Renforcement
de la fiabilité,
de la sécurité
et des possibilités
de montée en charge
RETOURButs:
Renforcement du système tant en terme de fiabilité et de sécurité qu'en terme de montée en charge.
Exemples
Fiabilité: Limitation du nombre de reboots.
Sécurité: Meilleures possibilités d'authentification
Montée en charge: Support des ordinateurs à 8, 16 voire 32 processeurs.
Un premier élément de réponse : Active Directory
AD est un annuaire destiné à contenir des "objets": utilisateurs, ordinateurs, applications, données partagées, ...
AD est basé sur un système de gestion de base de données hiérarchique dérivé d'ACCESS.
Intérêt d'AD:
Windows 2000 avec AD supporte plusieurs millions de comptes d'utilisateurs alors que, dans la pratique, Windows NT 4.0 était limité à quelques dizaines de milliers.
Windows 2000 avec AD supporte plusieurs dizaines de milliers de machines alors que, dans la pratique, Windows NT était limité à quelques centaines.
Active Directory propose une autre organisation que la classique et rigide organisation à base de domaines et d'approbation entre domaines de Windows NT 4.0.
C'est la souplesse de la gestion par base de données et les possibilités d'extension héritée de l'annuaire X.500 (à l'origine d'Active Directory) qui permettent ces nouvelles possibilités.
Unité Organisationnelle
La caractéristique la plus fondamentale d'Active Directory (héritée de X.500) est l'Unité Organisationnelle (UO). L'UO est un objet conteneur de l'annuaire à même de contenir des feuilles ou d'autres objets conteneurs, créant ainsi une organisation arborescente.
L'UO assure le contrôle de délégation sous Windows 2000 alors que sous NT, c'est le domaine.
La notion de domaine au sens Windows NT 4.0 disparaît dans Windows 2000.
L'extensibilité d'Active Directory
Un autre aspect d'AD est son extensibilité par la possibilité qu'il offre de définir de nouveaux objets à partir d'un paradigme hiérarchique orienté objet qui permet la création de nouvelles classes d'objet par ajout d'attributs et héritage d'anciennes classes.
Kerberos est le protocole d'authentification réseau de Windows 2000. Il succède à NT Lan Manager (NTLM). Associé à Active Directory, il rend Windows 2000 très différent de Windows NT 4.0 du point de vue de la gestion de la sécurité.
Deux points importants sont à signaler:
L'approbation transitive déjà signalée: Si A fait confiance à B, et B fait confiance à C, alors A fait confiance à C.
-> En particulier, cette loi est vérifiée pour les approbations entre "Domaines Windows 2000".
L'authentification mutuelle: Cette fonctionnalité permet aux clients et serveurs de vérifier l'authenticité de leurs identité respectives pour éviter les usurpations d'identité.
Implantation de fonctionnalités de sécurité via une infrastructure à clef publique (PKI, Public Key Infrastructure): Des certificats numériques émis par une autorité de certification permettent de s'assurer de l'émetteur, du récepteur et du cryptage de messages (en particulier sur Internet).
Le même genre de certificat numérique est à la base de la certification des composants systèmes et applicatifs développés par Microsoft et les éditeurs tiers.
Le cryptage et la compression
Windows 2000 autorise le cryptage et la compression des données circulant sur le réseau (déjà présent dans Windows NT 4.0) et permet aussi le cryptage des informations stockées sur disque (NTFS 2.0).
Support des multiprocesseurs
Jusqu'à 16 processeurs et 64 Go de mémoire gérés par Windows 2000 Data Center.