Introduction
Le schéma Active Directory définit la manière dont les objets peuvent être créés, ainsi que les attributs requis ou facultatifs pour ces objets. À chaque version de Windows Server, le schéma de base a été amélioré et étendu.
De nombreuses fonctionnalités nécessitent des versions spécifiques du schéma pour Active Directory. Par exemple, si vous souhaitez déployer une ferme de services de fédération Active Directory (AD FS) basée sur Windows Server 2016, vous aurez besoin du schéma Windows Server 2016.
Depuis Windows Server 2012, Microsoft met à jour automatiquement le schéma Active Directory lors de la promotion du premier serveur membre basé sur Windows Server 2012 en tant que contrôleur de domaine Active Directory.
Cependant, envisagez ce qui se passera si vous souhaitez faire l’une des opérations suivantes :
- Mettre à jour uniquement le schéma Active Directory, car votre organisation ne souhaite pas que les contrôleurs de domaine exécutent la dernière version.
- Déléguer la promotion du premier contrôleur de domaine à un utilisateur moins privilégié, plutôt qu’à un administrateur membre du groupe Schéma Admins.
- Contrôler la réplication correcte de la mise à jour du schéma vers tous les contrôleurs de domaine avant de promouvoir le premier contrôleur de domaine.
- Éviter le délai d’attente par défaut fourni par l’Assistant de configuration Active Directory pour une réplication correcte.
- Effectuer toutes les préparations Active Directory.
Dans ces situations, vous devrez mettre à jour manuellement le schéma Active Directory en utilisant adprep.exe à partir du support d’installation de Windows Server.
Permissions requises
Le processus de préparation d’Active Directory se divise en deux étapes. Pour chacune de ces étapes, vous devrez disposer d’un compte faisant partie des groupes suivants :
| Étapes | Permissions requises |
| Préparer la forêt | Enterprise Admins Schéma Admins Administrateur du domaine dans le domaine racine de la forêt |
| Préparer le domaine | Administrateur du domaine |
N’oubliez pas de vous reconnecter après vous avoir ajouté aux groupes.
Préparation de l’extension de schéma
Copiez tout le contenu du dossier \support\adprep du support d’installation de Windows Server de la version vers laquelle vous voulez préparer votre Active Directory, dans un dossier temporaire sur le disque dur de votre système.
Dans le cas ou votre DC est une machine virtuelle voici la commande pour effectuer le copier-coller :
Copy-VMFile "MyVM" -SourcePath "C:\Users\Administrator\Desktop\file.txt" -DestinationPath "C:\temp\file.txt" -CreateFullPath -FileSource Host
Veuillez-vous assurer que les « services d’invité » sous « Services d’intégration » sont activés dans les paramètres de la VM avant d’exécuter cette commande sur l’hôte. Dans l’exemple ci-dessous, « MyVM » est le NOM D’AFFICHAGE de la VM tel qu’il apparaît dans le gestionnaire HyperV et non le nom de l’hôte ou le nom FQDN.
Lancez une invite de commande et accédez au dossier dans lequel vous avez copié les fichiers.
Le processus de préparation d’Active Directory se compose de deux étapes distinctes :
- Préparation de la forêt
- Préparation du domaine
Après ces étapes, vous voudrez vérifier la bonne réplication de votre Active Directory.
Préparation de la forêt
Pour préparer la forêt Active Directory, exécutez la commande suivante :
adprep.exe /forestprep /forest labdomain.local /user Administrator /userdomain labdomain.local
Vous pouvez utiliser /forcereplicate pour être sûr.
Remplacez le nom du domaine et les valeurs par des valeurs correspondant à votre environnement Active Directory.
Après avoir appuyé sur Entrée voici ce que vous devriez voir :
La ligne suivante à la fin de l’exécution indique que la préparation de la forêt Active Directory a réussi :
Adprep successfully updated the forest-wide information
Préparation du domaine
Pour préparer le domaine Active Directory, exécutez la commande suivante :
adprep.exe /domainprep /domain labdomain.local /user DomAdm /userdomain labdomain.local /password P@ssword
Remplacez le nom du domaine et les valeurs par des valeurs correspondant à votre environnement Active Directory.
La ligne suivante à la fin de l’exécution indique que la préparation de la forêt Active Directory a réussi :
Adprep successfully updated the domain-wide information
Vérification de la réplication
Une fois les étapes de préparation terminées, la version du schéma Active Directory doit être mise à niveau vers un numéro plus élevé, correspondant à la nouvelle version du schéma.
Le tableau suivant indique les numéros de version en fonction du niveau d’Active Directory :
| Windows Server version | Version du schéma |
| Windows 2000 Server | 13 |
| Windows Server 2003 | 30 |
| Windows Server 2003 R2 | 31 |
| Windows Server 2008 | 44 |
| Windows Server 2008 R2 | 47 |
| Windows Server 2012 | 56 |
| Windows Server 2012 R2 | 69 |
| Windows Server 2016 | 87 |
| Windows Server 2019 | 88 |
| Windows Server 2022 | 88 |
Vous pouvez vérifier manuellement la version du schéma par contrôleur de domaine avec la commande suivante à partir de n’importe lequel de vos contrôleurs de domaine :
repadmin.exe /showattr * "cn=schema,cn=configuration,dc=labdomain,dc=local" /atts:objectVersion
Remplacez par les valeurs correspondant à votre environnement Active Directory.
Lorsque tous les contrôleurs de domaine indiquent la même version de schéma, la préparation Active Directory a été répliquée avec succès sur tous les contrôleurs de domaine.
Article écrit par Mohamed Sabia
