2.2 Conception de l'arborescence eDirectory

La conception de l'arborescence eDirectory est la procédure la plus importante lorsqu'il s'agit de créer et de mettre en place un réseau. Cette conception est composée des tâches suivantes :

2.2.1 Création d'un document relatif aux standards de dénomination

L'utilisation de noms standard tels que des noms d'objet rend l'utilisation du réseau plus intuitive, aussi bien pour les utilisateurs que pour les administrateurs. Des normes écrites peuvent également indiquer comment les administrateurs doivent définir d'autres valeurs de propriété, comme les adresses et les numéros de téléphone.

Les recherches et la navigation dans le répertoire reposent principalement sur la cohérence des valeurs de dénomination et de propriété.

L'utilisation de noms standard permet également à NetIQ Identity Manager de transférer plus facilement les données entre eDirectory et d'autres applications. Pour plus d'informations sur Identity Manager, reportez-vous au NetIQ Identity Manager Setup Guide (Guide de configuration de NetIQ Identity Manager).

Conventions de dénomination

Objets

  • Le nom doit être unique dans le conteneur. Ainsi, les utilisateurs Debora Jones et Daniel Jones ne peuvent pas porter tous les deux le nom DJONES s'ils se trouvent dans le même conteneur.

  • Caractères spéciaux autorisés. Cependant, les signes plus (+) et égal (=), et le point (.) doivent toujours être précédés d'une barre oblique inverse (\). D'autres conventions de dénomination sont appliquées aux objets Serveur et o, ainsi qu'aux services de Bindery et aux environnements multilingues.

  • Les majuscules et les minuscules, ainsi que les caractères de soulignement et les espaces, sont affichés comme vous les avez saisis, mais ils ne sont pas différenciés. Par exemple, Manager_Profile et MANAGER PROFILE sont considérés identiques.

  • Si vous utilisez des espaces, vous devrez mettre le nom entre guillemets lorsque vous le saisirez sur la ligne de commande ou dans des scripts de connexion.

Objets Serveur

  • Les objets Serveur sont automatiquement créés lorsque vous installez de nouveaux serveurs.

  • Vous pouvez créer d'autres objets Serveur pour les serveurs Windows existants, ainsi que pour les serveurs eDirectory se trouvant dans d'autres arborescences. Toutefois, ils sont tous traités comme des objets de Bindery.

  • Lorsque vous créez un objet Serveur, son nom doit correspondre au nom physique du serveur, qui :

    • est unique sur l'ensemble du réseau ;

    • comporte de 2 à 47 caractères ;

    • ne contient que des lettres (A-Z), des chiffres (0-9), des traits d'union, des points et des traits de soulignement ;

    • ne peut avoir un point pour premier caractère.

  • Une fois nommé, l'objet Serveur ne peut pas être renommé dans NetIQ iManager. Si vous le renommez à partir du serveur, son nouveau nom apparaît automatiquement dans iManager.

Objets Pays

Les objets Pays doivent respecter le code ISO normalisé pour les pays (deux lettres).

Pour plus d'informations, reportez-vous à la liste des codes ISO 3166.

Questions touchant les langues

Si vos postes de travail fonctionnent dans différentes langues, vous pouvez limiter les noms d'objet aux caractères qui peuvent être affichés sur tous les postes de travail. Il peut arriver, par exemple, qu'un nom entré en japonais contienne des caractères qui ne peuvent pas être affichés dans les langues occidentales.

IMPORTANT :Le nom de l'arborescence doit toujours être indiqué en anglais.

Exemple de document relatif aux standards

Le document suivant contient un exemple de standards pour certaines des propriétés les plus fréquemment utilisées. Vous avez uniquement besoin des normes correspondant aux propriétés que vous utilisez. Distribuez ce document à tous les administrateurs chargés de la création et de la modification des objets.

Classe d'objet | Propriété

Standard

Exemples

Explication

Nom d'utilisateur | de connexion

Initiale du prénom, du deuxième prénom (le cas échéant) et nom (en minuscules). Huit caractères au maximum. Tous les noms communs doivent être uniques dans l'entreprise.

mdupont, bjohnson

eDirectory n'exige pas l'utilisation de noms uniques au niveau de l'entreprise, mais cette méthode permet d'éviter des conflits au sein d'un même contexte (ou d'un contexte de Bindery).

Nom de famille de l'utilisateur

Nom (première lettre en majuscule).

Smith

Utilisé pour générer des étiquettes d'expédition.

Numéros de téléphone et de télécopie

Numéros séparés par des tirets.

États-Unis : 123-456-7890 Autres : 44-344-123456

Utilisé par les logiciels de numérotation automatique.

Classes | Emplacement multiples

Code d'emplacement à deux lettres (majuscules), tiret, boîte aux lettres interne.

BA-C23

Utilisé par les coursiers inter‑bureaux.

Organisation | Nom

Nom de votre entreprise pour toutes les arborescences.

YourCo

En cas d'arborescences distinctes, choisissez un nom standard pour l'objet Organisation pour pouvoir fusionner ultérieurement les arborescences.

Unité organisationnelle | Nom (sur la base de l'emplacement)

Code de localité à deux ou trois lettres, toutes en majuscules.

STG, MEZ, LIL, PAR, LYN, BDX, QPR

Utilisez des noms courts et standard pour effectuer une recherche efficace.

Unité organisationnelle | Nom (sur la base du service)

Nom ou abréviation du service.

Ventes, Ing

Utilisez des noms courts et standard pour faciliter l'identification du service pris en charge par le conteneur.

Groupe | Nom

Nom descriptif.

Chefs de projet

Évitez les noms trop longs. Certains utilitaires ne peuvent pas les afficher.

Assignation de répertoire | Nom

Contenu du répertoire indiqué par l'objet Assignation de répertoire.

DOSAPPS

Utilisez des noms courts et standard pour faciliter l'identification du service pris en charge par le conteneur.

Profil | Nom

Rôle du profil.

Utilisateur mobile

Utilisez des noms courts et standard pour faciliter l'identification du service pris en charge par le conteneur.

Serveur | Nom

SERV, tiret, service, tiret, numéro unique.

SERV‑Ing‑1

eDirectory nécessite que les noms de serveur soient uniques dans l'arborescence.

2.2.2 Conception des couches supérieures de l'arborescence

Vous devez très soigneusement concevoir les couches supérieures de l'arborescence : en effet, si jamais vous devez par la suite effectuer des modifications sur ces couches, la totalité de l'arborescence en est affectée, notamment si votre entreprise est dotée de liaisons WAN. Vous devez concevoir le sommet de l'arborescence de manière à ce que peu de modifications soient nécessaires ultérieurement.

Utilisez les règles de conception suivantes pour créer l'arborescence eDirectory :

  • Utilisez une conception pyramidale.

  • Utilisez une seule arborescence eDirectory portant un nom unique.

  • Créez un seul objet Organisation.

  • Créez des unités organisationnelles de premier niveau qui représentent l'infrastructure réseau physique.

La Figure 2-1 illustre les règles de conception d'eDirectory.

Figure 2-1 Règles de conception

Pour créer les couches supérieures de l'arborescence, reportez-vous aux sections Création d'un objet et Modification des propriétés d'un objet.

Utilisation d'une conception pyramidale

Les réseaux eDirectory conçus en pyramide facilitent la gestion, la modification de grands groupes et la création de partitions logiques.

L'alternative à une conception pyramidale est une arborescence simple dans laquelle tous les objets sont placés dans les couches supérieures de l'arborescence. eDirectory prend en charge une conception d'arborescence simple. Toutefois, ce type de conception peut compliquer la gestion et le partitionnement.

Utilisation d'une seule arborescence eDirectory portant un nom unique

Une seule arborescence est la conception optimale pour la plupart des organisations. Par défaut, une seule arborescence est créée. Une arborescence unique implique une seule identité d'utilisateur sur le réseau, une administration de la sécurité plus simple et un seul point de gestion.

Ces recommandations concernant une arborescence unique pour une utilisation commerciale n'excluent pas la mise en place d'arborescences supplémentaires pour les tests et le développement.

Certaines organisations, cependant, peuvent avoir besoin de plusieurs arborescences en raison de problèmes législatifs, politiques ou professionnels. Par exemple, une organisation constituée de plusieurs entités autonomes peut avoir besoin de créer plusieurs arborescences. Si votre organisation requiert la création de plusieurs arborescences, envisagez l'utilisation de NetIQ Identity Manager pour en simplifier la gestion. Pour plus d'informations sur Identity Manager, reportez-vous au NetIQ Identity Manager Setup Guide (Guide de configuration de NetIQ Identity Manager).

Lorsque vous attribuez un nom à l'arborescence, utilisez un nom unique qui n'entrera pas en conflit avec celui d'autres arborescences. Utilisez un nom court et descriptif, comme EDL-ARBO.

Si deux arborescences portent le même nom et qu'elles sont situées sur le même réseau, vous risquez de rencontrer les problèmes suivants :

  • Mises à jour appliquées à la mauvaise arborescence

  • Disparition de ressources

  • Disparition de droits

  • Altération

Vous pouvez modifier le nom de l'arborescence à l'aide de l'utilitaire DSMerge, mais procédez avec précaution. La modification du nom d'une arborescence a une incidence sur le réseau car vous devez reconfigurer les clients pour qu'ils prennent en compte le nouveau nom de l'arborescence.

Création d'un seul objet Organisation

En règle générale, une arborescence eDirectory doit comporter un objet Organisation. Par défaut, un objet Organisation unique est créé et nommé en fonction de la société. Vous pouvez ainsi configurer les modifications qui s'appliquent à la totalité de la société à partir d'un emplacement unique de l'arborescence.

Par exemple, vous pouvez utiliser ZENworks® pour créer un objet Règle d'importation de postes de travail dans l'objet Organisation. Dans cette règle, qui influe sur la totalité de l'organisation, vous définissez la manière dont les objets Poste de travail sont nommés lorsqu'ils sont créés dans eDirectory.

Dans le conteneur Organisation, les objets suivants sont créés :

  • Admin

  • Serveur

  • Volume

    Les réseaux qui ne comportent qu'un seul serveur Windows ou Linux exécutant eDirectory ne contiennent aucun objet Volume.

Vous créerez plusieurs objets Organisation si votre société a les besoins suivants :

  • Elle comporte plusieurs sociétés qui ne partagent pas le même réseau.

  • Elle a besoin de représenter séparément les différentes unités ou organisations.

  • Elle dispose d'une règle ou de lignes directrices internes qui énoncent que les organisations restent séparées.

Création d'unités organisationnelles représentant le réseau physique

La conception d'unités organisationnelles de premier niveau est importante car elle a une incidence sur le partitionnement et l'efficacité d'eDirectory.

Dans le cas de réseaux couvrant plusieurs bâtiments ou emplacements à l'aide d'un LAN ou d'un WAN, la conception de l'objet Unité organisationnelle de premier niveau doit être basée sur l'emplacement. Vous pouvez ainsi créer des partitions eDirectory de manière à conserver tous les objets d'une partition à un même emplacement. Vous obtenez en outre un emplacement naturel où effectuer les assignations de sécurité et d'administrateur pour chaque emplacement.

2.2.3 Conception des couches inférieures de l'arborescence

Vous devez concevoir les couches inférieures d'une arborescence en fonction de l'organisation des ressources réseau. La conception des couches inférieures d'une arborescence eDirectory n'ayant d'impact que sur les objets situés au même emplacement, elle vous laisse plus de liberté que celle des couches supérieures.

Pour créer les couches inférieures de l'arborescence, reportez-vous aux sections Création d'un objet et Modification des propriétés d'un objet.

Détermination de la taille du conteneur, de l'arborescence et de la base de données

Le nombre d'objets Conteneur de niveau inférieur que vous créez dépend du nombre total d'objets de l'arborescence, de l'espace disque disponible et des limitations de vitesse d'E/S au niveau du disque. eDirectory a été testé avec plus d'un milliard d'objets regroupés au sein d'une arborescence eDirectory unique. Ses performances sont donc uniquement limitées par l'espace disque, la vitesse d'E/S du disque et la mémoire vive. N'oubliez pas qu'une réplication peut avoir un impact important sur une arborescence de grande taille.

La taille habituelle d'un objet dans  eDirectory est comprise entre 3 et 5 Ko. À l'aide de cette taille d'objet, vous pouvez rapidement calculer l'espace requis sur le disque dur pour le nombre d'objets que vous possédez ou dont vous avez besoin. N'oubliez pas que la taille des objets augmente en fonction du nombre d'attributs pour lesquels des données ont été définies et en fonction de la nature de ces données. Lorsque des objets contiennent des données BLOB (large objet binaire), telles que des images, du son ou des informations biométriques, leur taille est forcément accrue.

Plus les partitions sont volumineuses, plus le temps de réplication est long. Si vous utilisez des produits qui requièrent l'utilisation d'eDirectory, tels que ZENworks et les services DNS/DHCP, les objets eDirectory créés par de tels produits ont une incidence sur la taille des conteneurs dans lesquels ils sont situés. Il est recommandé de placer dans leur propre partition les objets créés à des fins uniquement administratives, tels que les objets DNS/DHCP, afin que l'accès utilisateur ne soit pas affecté par une réplication plus lente. En outre, la gestion des partitions et des répliques est ainsi facilitée.

Si cela vous intéresse, vous pouvez facilement déterminer la taille de votre base de données eDirectory ou de l'ensemble DIB (Directory Information Base ‑ base de données des informations de l'Annuaire).

  • Sous Windows, recherchez l'ensemble DIB dans le répertoire \novell\nds\dibfiles.

  • Sous Linux, recherchez l'ensemble DIB dans le répertoire spécifié pendant l'installation.

Choix des conteneurs à créer

Généralement, vous devez créer des conteneurs pour des objets qui partagent les besoins d'accès avec d'autres objets eDirectory. Cela permet de gérer plusieurs utilisateurs avec une assignation d'ayant droit ou un script de connexion. Vous pouvez créer des conteneurs dans le but précis de rendre les scripts de connexion de conteneur plus efficaces, ou encore, vous pouvez placer deux services de votre entreprise dans un même conteneur pour faciliter la maintenance des scripts de connexion.

Conservez les utilisateurs dans des emplacements proches des ressources dont ils ont besoin afin de limiter le trafic réseau. Par exemple, les personnes au sein d'un même service travaillent généralement en étroite collaboration les unes avec les autres. Elles ont généralement besoin d'accéder au même système de fichiers et elles utilisent les mêmes imprimantes.

Il est simple de gérer les exceptions aux limites générales des groupes de travail. Par exemple, si deux groupes de travail utilisent une imprimante commune, vous pouvez créer un objet Alias pour l'imprimante dans l'un des groupes. Vous pouvez créer des objets Groupe pour gérer certains objets Utilisateur au sein d'un groupe de travail ou pour gérer des objets Utilisateur répartis sur plusieurs groupes de travail. Vous pouvez créer des objets Profil pour des sous‑groupes d'utilisateurs partageant les mêmes exigences en termes de script de connexion.