Identification des participants au projet de déploiement
La première étape de l’établissement d’un projet de déploiement pour Active Directory Domain Services (AD DS) consiste à établir les équipes de projet de conception et de déploiement qui seront responsables de la gestion de la phase de conception et de la phase de déploiement du cycle de projet Active Directory. En outre, vous devez identifier les personnes et les groupes qui seront responsables de la propriété et de la maintenance de l’annuaire une fois le déploiement terminé.
Définition de rôles spécifiques au projet
Une étape importante dans l’établissement des équipes de projet consiste à identifier les personnes qui doivent détenir des rôles spécifiques au projet. Il s’agit notamment du sponsor exécutif, de l’architecte de projet et du chef de projet. Ces personnes sont responsables de l’exécution du projet de déploiement Active Directory.
Une fois que vous avez nommé l’architecte de projet et le chef de projet, ces personnes établissent des canaux de communication au sein de l’organisation, créent des calendriers de projet et identifient les personnes qui seront membres des équipes de projet, en commençant par les différents propriétaires.
Sponsor exécutif
Le déploiement d’une infrastructure comme AD DS peut avoir un impact étendu sur une organisation. Pour cette raison, il est important d’avoir un sponsor exécutif qui comprend la valeur métier du déploiement, soutient le projet au niveau de la direction et peut vous aider à résoudre les conflits au sein de l’organisation.
Architecte de projet
Chaque projet de déploiement Active Directory nécessite un architecte de projet pour gérer le processus décisionnel de conception et de déploiement d’Active Directory. L’architecte fournit une expertise technique pour faciliter le processus de conception et de déploiement d’AD DS.
Notes
Si aucun personnel de votre organisation n’a d’expérience en conception d’annuaires, vous pouvez embaucher un consultant externe expert en conception et déploiement d’Active Directory.
Les responsabilités de l’architecte de projet Active Directory sont les suivantes :
Être propriétaire de la conception Active Directory
Comprendre et consigner la justification des décisions de conception clés
S’assurer que la conception répond aux besoins métier de l’organisation
Établir un consensus entre les équipes de conception, de déploiement et d’exploitation
Comprendre les besoins des applications intégrées à AD DS
La conception Active Directory finale doit refléter une combinaison d’objectifs métier et de décisions techniques. Par conséquent, l’architecte de projet doit passer en revue les décisions de conception pour s’assurer qu’elles s’alignent sur les objectifs de l’entreprise.
Chef de projet
Le chef de projet facilite la coopération entre les unités commerciales et entre les groupes de gestion des technologies. Dans l’idéal, le chef de projet de déploiement Active Directory est une personne de l’organisation qui connaît à la fois les stratégies opérationnelles du groupe informatique et les exigences de conception pour les groupes qui se préparent à déployer AD DS. Le chef de projet supervise l’ensemble du projet de déploiement, en commençant par la conception et en continuant jusqu’à l’implémentation, et s’assure que le projet respecte le calendrier et les limites du budget. Les responsabilités du chef de projet sont les suivantes :
Fournir une planification de projet de base, comme la planification et la budgétisation
Mener la progression du projet de conception et de déploiement Active Directory
S’assurer que les personnes appropriées sont impliquées dans chaque partie du processus de conception
Servir de point de contact unique pour le projet de déploiement Active Directory
Établir la communication entre les équipes de conception, de déploiement et d’exploitation
Établir et maintenir la communication avec le sponsor exécutif tout au long du projet de déploiement
Établir les propriétaires et administrateurs
Dans un projet de déploiement Active Directory, les personnes propriétaires sont tenues responsables par la direction de s’assurer que les tâches de déploiement sont accomplies et que les spécifications de conception Active Directory répondent aux besoins de l’organisation. Les propriétaires n’ont pas nécessairement accès à l’infrastructure d’annuaire ou ne les manipulent pas directement. Les administrateurs sont les personnes responsables de l’exécution des tâches de déploiement requises. Les administrateurs disposent de l’accès réseau et des autorisations nécessaires pour manipuler l’annuaire et son infrastructure.
Le rôle du propriétaire est stratégique et managérial. Les propriétaires sont chargés de communiquer aux administrateurs les tâches requises pour l’implémentation de la conception Active Directory, comme la création de nouveaux contrôleurs de domaine dans la forêt. Les administrateurs sont responsables de l’implémentation de la conception sur le réseau conformément aux spécifications de la conception.
Dans les grandes organisations, différentes personnes remplissent des rôles de propriétaire et d’administrateur ; toutefois, dans certaines petites organisations, la même personne peut agir à la fois en tant que propriétaire et administrateur.
Propriétaires de services et de données
La gestion quotidienne des services AD DS implique deux types de propriétaires :
- Les propriétaires de services qui sont responsables de la planification et de la maintenance à long terme de l’infrastructure Active Directory et qui doivent s’assurer que l’annuaire continue de fonctionner et que les objectifs établis dans les contrats de niveau de service sont maintenus.
- Les propriétaires de données qui sont responsables de la maintenance des informations stockées dans l’annuaire. Cela inclut la gestion des comptes d’utilisateur et d’ordinateur et la gestion des ressources locales, comme les serveurs membres et les stations de travail.
Il est important d’identifier rapidement le service Active Directory et les propriétaires de données afin qu’ils puissent participer au plus grand nombre possible du processus de conception. Étant donné que les propriétaires de services et de données sont responsables de la maintenance à long terme de l’annuaire une fois le projet de déploiement terminé, il est important pour ces personnes de fournir des commentaires sur les besoins de l’organisation et de savoir comment et pourquoi certaines décisions de conception sont prises. Les propriétaires de services incluent le propriétaire de la forêt, le propriétaire du système d’affectation de noms (DNS) du domaine Active Directory et le propriétaire de la topologie de site. Les propriétaires de données incluent les propriétaires d’unités d’organisation (OU).
Administrateurs de services et de données
Le fonctionnement d’AD DS implique deux types d’administrateurs : les administrateurs de services et les administrateurs de données. Les administrateurs de service implémentent les décisions de stratégie prises par les propriétaires de services et gèrent les tâches quotidiennes associées à la maintenance du service d’annuaire et de l’infrastructure. Cela inclut la gestion des contrôleurs de domaine qui hébergent le service d’annuaire, la gestion d’autres services réseau comme DNS requis pour AD DS, le contrôle de la configuration des paramètres à l’échelle de la forêt et la garantie que l’annuaire est toujours disponible.
Les administrateurs de service sont également chargés d’effectuer les tâches de déploiement Active Directory courantes qui sont requises une fois le processus de déploiement initial de Windows Server 2008 Active Directory terminé. Par exemple, à mesure que les demandes sur l’annuaire augmentent, les administrateurs de service créent des contrôleurs de domaine supplémentaires et établissent ou suppriment des approbations entre les domaines, si nécessaire. Pour cette raison, l’équipe de déploiement Active Directory doit inclure des administrateurs de service.
Vous devez veiller à attribuer des rôles d’administrateur de service uniquement aux personnes de confiance de l’organisation. Étant donné que ces personnes ont la possibilité de modifier les fichiers système sur les contrôleurs de domaine, elles peuvent modifier le comportement d’AD DS. Vous devez vous assurer que les administrateurs de service de votre organisation sont des personnes qui connaissent les stratégies opérationnelles et de sécurité en place sur votre réseau et qui comprennent la nécessité d’appliquer ces stratégies.
Les administrateurs de données sont des utilisateurs au sein d’un domaine qui sont responsables à la fois de la maintenance des données stockées dans AD DS, comme les comptes d’utilisateur et de groupe, et de la maintenance des ordinateurs membres de leur domaine. Les administrateurs de données contrôlent des sous-ensembles d’objets dans l’annuaire et n’ont aucun contrôle sur l’installation ou la configuration du service d’annuaire.
Les comptes d’administrateur de données ne sont pas fournis par défaut. Une fois que l’équipe de conception a déterminé comment les ressources doivent être gérées pour l’organisation, les propriétaires de domaine doivent créer des comptes d’administrateur de données et leur déléguer les autorisations appropriées en fonction de l’ensemble d’objets dont les administrateurs doivent être responsables.
Il est préférable de limiter le nombre d’administrateurs de service dans votre organisation au nombre minimal requis pour garantir que l’infrastructure continue de fonctionner. La majorité du travail administratif peut être effectué par des administrateurs de données. Les administrateurs de service ont besoin d’un ensemble de compétences beaucoup plus large, car ils sont responsables de la maintenance de l’annuaire et de l’infrastructure qui le prend en charge. Les administrateurs de données ont uniquement besoin des compétences nécessaires pour gérer leur partie de l’annuaire. La division des affectations de travail de cette façon entraîne des économies pour l’organisation, car seul un petit nombre d’administrateurs doivent être formés pour exploiter et gérer l’ensemble de l’annuaire et son infrastructure.
Par exemple, un administrateur de service doit comprendre comment ajouter un domaine à une forêt. Cela inclut comment installer le logiciel pour convertir un serveur en contrôleur de domaine et comment manipuler l’environnement DNS afin que le contrôleur de domaine puisse être fusionné en toute transparence dans l’environnement Active Directory. Un administrateur de données doit uniquement savoir comment gérer les données spécifiques dont il est responsable, par exemple la création de comptes d’utilisateur pour les nouveaux employés de son service.
Le déploiement d’AD DS nécessite une coordination et une communication entre de nombreux groupes différents impliqués dans le fonctionnement de l’infrastructure réseau. Ces groupes doivent désigner des propriétaires de services et de données qui sont chargés de représenter les différents groupes pendant le processus de conception et de déploiement.
Une fois le projet de déploiement terminé, ces propriétaires de services et de données continuent d’être responsables de la partie de l’infrastructure gérée par leur groupe. Dans un environnement Active Directory, ces propriétaires sont le propriétaire de la forêt, le propriétaire DNS pour AD DS, le propriétaire de la topologie de site et le propriétaire de l’unité d’organisation. Les rôles de ces propriétaires de services et de données sont expliqués dans les sections suivantes.
Propriétaire de forêt
Le propriétaire de la forêt est généralement un responsable informatique de l’organisation qui est responsable du processus de déploiement Active Directory et qui est responsable du maintien de la prestation des services au sein de la forêt une fois le déploiement terminé. Le propriétaire de la forêt affecte des personnes pour remplir les autres rôles de propriété en identifiant le personnel clé au sein de l’organisation qui est en mesure de fournir les informations nécessaires sur l’infrastructure réseau et les besoins administratifs. Le propriétaire de la forêt est responsable des éléments suivants :
Déploiement du domaine racine de forêt pour créer la forêt
Déploiement du premier contrôleur de domaine dans chaque domaine pour créer les domaines requis pour la forêt
Appartenances aux groupes d’administrateurs de service dans tous les domaines de la forêt
Création de la conception de la structure d’unité d’organisation pour chaque domaine de la forêt
Délégation de l’autorité administrative aux propriétaires de l’unité d’organisation
Modifications apportées au schéma
Modifications apportées aux paramètres de configuration à l’échelle de la forêt
Implémentation de certains paramètres de stratégie de groupe, y compris les stratégies de compte d’utilisateur de domaine, comme le mot de passe affiné et la stratégie de verrouillage de compte
Paramètres de stratégie métier qui s’appliquent aux contrôleurs de domaine
Tous les autres paramètres de stratégie de groupe appliqués au niveau du domaine
Le propriétaire de la forêt a autorité sur l’ensemble de la forêt. Il incombe au propriétaire de forêt de définir des stratégies de groupe et métier et de sélectionner les personnes qui sont administrateurs de service. Le propriétaire de forêt est un propriétaire de service.
DNS pour le propriétaire AD DS
Le propriétaire DNS pour AD DS est une personne qui a une compréhension approfondie de l’infrastructure DNS existante et de l’espace de noms existant de l’organisation.
Le propriétaire DNS pour AD DS est responsable de :
Servir de liaison entre l’équipe de conception et le groupe informatique qui possède actuellement l’infrastructure DNS
Fournir les informations sur l’espace de noms DNS existant de l’organisation pour faciliter la création de l’espace de noms Active Directory
Travailler avec l’équipe de déploiement pour s’assurer que la nouvelle infrastructure DNS est déployée conformément aux spécifications de l’équipe de conception et qu’elle fonctionne correctement
Gérer l’infrastructure DNS pour AD DS, y compris le service de serveur DNS et les données DNS
Le propriétaire DNS pour AD DS est un propriétaire de service.
Propriétaire de topologie de site
Le propriétaire de la topologie de site connaît la structure physique du réseau d’organisation, y compris le mappage des sous-réseaux, routeurs et zones réseau individuels connectés au moyen de liaisons lentes. Le propriétaire de la topologie de site est responsable de :
Comprendre la topologie de réseau physique et son impact sur AD DS
Comprendre l’impact du déploiement d’Active Directory sur le réseau
Déterminer les sites logiques Active Directory à créer
Mettre à jour les objets de site pour les contrôleurs de domaine lorsqu’un sous-réseau est ajouté, modifié ou supprimé
Créer des liens de site, ponts de lien de site et objets de connexion manuelle
Le propriétaire de la topologie de site est un propriétaire de service.
Propriétaire de l’unité d’organisation
Le propriétaire de l’unité d’organisation est responsable de la gestion des données stockées dans l’annuaire. Cette personne doit être familiarisée avec les stratégies opérationnelles et de sécurité qui sont en place sur le réseau. Les propriétaires de l’unité d’organisation peuvent effectuer uniquement les tâches qui leur ont été déléguées par les administrateurs de service, et ils peuvent effectuer uniquement ces tâches sur les unités d’organisation auxquelles ils sont affectés. Les tâches qui peuvent être attribuées au propriétaire de l’unité d’organisation sont les suivantes :
Exécution de toutes les tâches de gestion de compte au sein de l’unité d’organisation affectée
Gestion des stations de travail et des serveurs membres de l’unité d’organisation qui leur est attribuée
Délégation d’autorité aux administrateurs locaux au sein de l’unité d’organisation qui leur est attribuée
Le propriétaire de l’unité d’organisation est un propriétaire de données.
Création d’équipes de projet
Les équipes de projet Active Directory sont des groupes temporaires qui sont chargés d’effectuer des tâches de conception et de déploiement Active Directory. Une fois le projet de déploiement Active Directory terminé, les propriétaires assument la responsabilité de l’annuaire et les équipes de projet peuvent se dissoudre.
La taille des équipes de projet varie en fonction de la taille de l’organisation. Dans les petites organisations, une seule personne peut couvrir plusieurs domaines de responsabilité au sein d’une équipe de projet et être impliquée dans plusieurs phases du déploiement. Les grandes organisations peuvent avoir besoin d’équipes plus grandes avec des individus différents, voire des équipes différentes couvrant les différents domaines de responsabilité. La taille des équipes n’est pas importante tant que tous les domaines de responsabilité sont attribués et que les objectifs de conception de l’organisation sont atteints.
Identification des propriétaires potentiels de forêts
Identifiez les groupes au sein de votre organisation qui possèdent et contrôlent les ressources nécessaires pour fournir des services d’annuaire aux utilisateurs sur le réseau. Ces groupes sont considérés comme des propriétaires potentiels de forêts.
La séparation du service et de l’administration des données dans AD DS permet au groupe ou aux groupes informatiques d’infrastructure d’une organisation de gérer le service d’annuaire, tandis que les administrateurs locaux de chaque groupe gèrent les données qui appartiennent à leurs propres groupes. Les propriétaires potentiels de forêts disposent de l’autorité requise sur l’infrastructure réseau pour déployer et prendre en charge AD DS.
Pour les organisations qui disposent d’un groupe informatique d’infrastructure centralisée, le groupe informatique est généralement le propriétaire de la forêt et, par conséquent, le propriétaire potentiel de la forêt pour tous les déploiements futurs. Les organisations qui incluent un certain nombre de groupes informatiques d’infrastructure indépendants ont un certain nombre de propriétaires potentiels de forêts. Si votre organisation dispose déjà d’une infrastructure Active Directory, tous les propriétaires de forêts actuels sont également des propriétaires potentiels de forêts pour les nouveaux déploiements.
Sélectionnez l’un des propriétaires potentiels de forêts pour agir en tant que propriétaire de forêt pour chaque forêt que vous envisagez de déployer. Ces propriétaires potentiels de forêts sont chargés de travailler avec l’équipe de conception pour déterminer si leur forêt sera effectivement déployée ou si une autre voie d’action (par exemple, rejoindre une autre forêt existante) serait une meilleure utilisation des ressources disponibles tout en répondant toujours à leurs besoins. Le ou les propriétaires de forêts de votre organisation sont membres de l’équipe de conception Active Directory.
Création d’une équipe de conception
L’équipe de conception Active Directory est responsable de la collecte de toutes les informations nécessaires pour prendre des décisions concernant la conception de la structure logique Active Directory.
Les responsabilités de l’équipe de conception sont les suivantes :
Déterminer le nombre de forêts et de domaines requis et des relations entre les forêts et les domaines
Travailler avec les propriétaires de données pour s’assurer que la conception répond à leurs exigences de sécurité et d’administration
Travailler avec les administrateurs réseau actuels pour s’assurer que l’infrastructure réseau actuelle prend en charge la conception et que la conception n’aura pas d’impact négatif sur les applications existantes déployées sur le réseau
Travailler avec des représentants du groupe de sécurité de l’organisation pour s’assurer que la conception respecte les stratégies de sécurité établies
Concevoir des structures d’unité d’organisation qui permettent des niveaux de protection appropriés et une délégation d’autorité appropriée aux propriétaires des données
Travailler avec l’équipe de déploiement pour tester la conception dans un environnement lab afin de s’assurer qu’elle fonctionne comme prévu et modifier la conception en fonction des besoins pour résoudre les problèmes qui se produisent
Créer une conception de topologie de site qui répond aux exigences de réplication de la forêt tout en évitant la surcharge de la bande passante disponible. Pour plus d’informations sur la conception de la topologie du site, voir Conception de la topologie du site pour Windows Server 2008 AD DS.
Collaborer avec l’équipe de déploiement pour s’assurer que la conception est implémentée correctement
L’équipe de conception comprend les membres suivants :
Propriétaires potentiels de forêts
Architecte de projet
Chef de projet
Personnes responsables de l’établissement et de la maintenance des stratégies de sécurité sur le réseau
Pendant le processus de conception de la structure logique, l’équipe de conception identifie les autres propriétaires. Ces personnes doivent commencer à participer au processus de conception dès qu’elles sont identifiées. Une fois le projet de déploiement remis à l’équipe de déploiement, l’équipe de conception est chargée de superviser le processus de déploiement pour s’assurer que la conception est implémentée correctement. L’équipe de conception apporte également des modifications à la conception en fonction des commentaires des tests.
Création d’une équipe de déploiement
L’équipe de déploiement Active Directory est chargée de tester et d’implémenter la conception de structure logique Active Directory. Cela implique les tâches suivantes :
Établir un environnement de test qui émule suffisamment l’environnement de production
Tester la conception en implémentant la forêt et la structure de domaine proposées dans un environnement lab pour vérifier qu’elle répond aux objectifs de chaque propriétaire de rôle
Développer et tester tous les scénarios de migration proposés par la conception dans un environnement lab
S’assurer que chaque propriétaire valide le processus de test pour s’assurer que les fonctionnalités de conception appropriées sont bien testées
Tester l’opération de déploiement dans un environnement pilote
Une fois les tâches de conception et de test terminées, l’équipe de déploiement effectue les tâches suivantes :
Créer les forêts et les domaines en fonction de la conception de structure logique Active Directory
Créer les sites et les objets de lien de site selon les besoins en fonction de la conception de la topologie de site
Vérifier que l’infrastructure DNS est configurée pour prendre en charge AD DS et que tous les nouveaux espaces de noms sont intégrés à l’espace de noms existant de l’organisation
L’équipe de déploiement Active Directory comprend les membres suivants :
Propriétaire de forêt
DNS pour le propriétaire AD DS
Propriétaire de topologie de site
Propriétaires de l’unité d’organisation
L’équipe de déploiement travaille avec les administrateurs de service et de données pendant la phase de déploiement pour s’assurer que les membres de l’équipe des opérations sont familiarisés avec la nouvelle conception. Cela permet de garantir une transition en douceur de la propriété lorsque l’opération de déploiement est terminée. À la fin du processus de déploiement, la responsabilité de la maintenance du nouvel environnement Active Directory est passée à l’équipe des opérations.
Documentation des équipes de conception et de déploiement
Documentez les noms et les coordonnées des personnes qui participeront à la conception et au déploiement d’AD DS. Identifiez qui sera responsable de chaque rôle dans les équipes de conception et de déploiement. Au départ, cette liste inclut les propriétaires potentiels de forêts, le chef de projet et l’architecte de projet. Lorsque vous déterminez le nombre de forêts que vous allez déployer, vous devrez peut-être créer de nouvelles équipes de conception pour d’autres forêts. Notez que vous devez mettre à jour votre documentation à mesure que les appartenances à l’équipe changent et que vous identifiez les différents propriétaires Active Directory pendant le processus de conception. Pour obtenir une feuille de calcul pour vous aider à documenter les équipes de conception et de déploiement pour chaque forêt, téléchargez Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip à partir du Kit d’aides aux tâches pour le déploiement Windows Server 2003 et ouvrez « Informations de l’équipe de conception et de déploiement » (DSSLOGI_1.doc).