Active Directory : améliorations dans la version 2008

Audit.
Les changements apportés à des objets Active Directory peuvent être enregistrés ; il est désormais possible de savoir ce qui a changé sur un objet, et de connaître les valeurs actuelles et précédentes des attributs modifiés.

Mots de passe avec granularité plus fine.
Les stratégies sur les mots de passe sont configurables au niveau des groupes du domaine. Il n’existe plus une seule stratégie pour l’ensemble de tous les comptes du domaine.

Contrôleur de domaine en lecture seule.
Un contrôleur de domaine avec une version en lecture seule de la base de données Active Directory peut être déployé dans des environnements où la sécurité du contrôleur de domaine ne peut pas être garantie : par exemple dans des succursales où la sécurité physique du contrôleur de domaine est insuffisante, ou lorsque le contrôleur de domaine joue des rôles supplémentaires impliquant la connexion directe d’utilisateurs. L’utilisation de contrôleurs de domaine en lecture seule empêche que des modifications réalisées au niveau des succursales viennent perturber ou endommager la forêt Active Directory via la réplication. Les contrôleurs de domaine en lecture seule éliminent aussi le besoin d’utiliser un site intermédiaire pour les contrôleurs de domaine des succursales, ou l’envoi sur site d’un administrateur de domaine avec les CD d’installation.

Possibilité de redémarrer les Services de domaine Active Directory.
Les Services de domaine Active Directory peuvent être arrêtés pour des raisons de maintenance. Le redémarrage du contrôleur de domaine dans le mode Restauration des services d’annuaire n’est pas nécessaire pour la plupart des opérations de maintenance. D’autres services du contrôleur de domaine peuvent continuer de fonctionner pendant que le service d’annuaire est hors connexion.

Outil de montage de la base de données.
Cet outil permet le montage d’un cliché instantané de la base de données Active Directory. Cela permet à un administrateur de domaine d’examiner les objets dans le cliché afin de déterminer ce qui doit être restauré, si nécessaire.

Une meilleure administration avec le Gestionnaire de serveur.
Ce gestionnaire est un nouvel outil dans Windows Server 2008 qui permet à un administrateur de pré-établir des contrôleurs de domaine. Lorsque le rôle du contrôleur de domaine est ajouté à la console Gestionnaire de serveur, les fichiers nécessaires à l’installation du service d’annuaire sont copiés sur le serveur. Lorsqu’un administrateur démarre l’Assistant Installation, dcpromo.exe, les fichiers sont déjà mis en cache et disponibles.

Création d’un fichier de réponses.
Si plusieurs contrôleurs de domaine utilisent les mêmes paramètres lorsqu’ils sont installés, la page Résumé vous permet d’exporter les paramètres de l’installation en cours dans un fichier de réponses. Le mot de passe utilisé pour votre compte d’administrateur Mode restauration des services d’annuaire n’est pas exporté dans le fichier de réponses. Vous pouvez indiquer qu’il faudra demander le mot de passe administrateur à l’utilisateur qui installe le contrôleur de domaine. Ainsi, les mots de passe ne sont pas accessibles aux utilisateurs qui ont accès aux emplacements qui renferment les fichiers de réponses.

Installation d’un contrôleur de domaine en lecture seule.
Le nouveau rôle Contrôleur de domaine en lecture seule peut être installé via l’Assistant Installation. Lors de l’installation d’un contrôleur de domaine en lecture seule, vous pouvez définir qui sera autorisé à installer et à administrer le contrôleur de domaine. Dans la première phase de l’installation, un administrateur de domaine peut définir le compte qui aura le droit d’installer un contrôleur de domaine en lecture seule. Une fois défini, l’utilisateur qui est associé au contrôleur de domaine en lecture seule aura le droit d’installer le service d’annuaire.