A A c c t t i i v v e e D D i i r r e e c c t t o o r r y y
S St ta ag ge e p pe er rs so on nn ne es s r re es ss so ou ur rc ce es s r r s se ea au u e en n t ta ab bl li is ss se em me en nt t j ja an nv vi ie er r 2 20 00 05 5
Formateur : Jackie DAN
Active Directory / J. Dan - janvier 2005 page 2 / 11 Sommaire
LES DOMAINES WINDOWS 2000/2003........................................................................................................... 3 PRINCIPES DE BASE ............................................................................................................................................. 3 STRUCTURE D'ACTIVE DIRECTORY..................................................................................................................... 3 Domaines....................................................................................................................................................... 3 Arbres de domaines ....................................................................................................................................... 3 Forts ............................................................................................................................................................ 4 QUY A-T-IL DANS UN DOMAINE ACTIVE DIRECTORY ? ...................................................................................... 4 ACTIVE DIRECTORY ET DNS ........................................................................................................................ 5 INSTALLER ACTIVE DIRECTORY................................................................................................................ 6 CREATION DUNE FORET QUI NE CONTIENDRA QUUN ARBRE QUI LUI-MEME SERA FORME DUN SEUL DOMAINE. 6 TACHES A EFFECTUER APRES LINSTALLATION DACTIVE DIRECTORY.................................... 9 VERIFICATION DE LINSTALLATION DACTIVE DIRECTORY ................................................................................ 9 Vrification des enregistrements de ressource SRV ...................................................................................... 9 Vrification du dossier SYSVOL.................................................................................................................... 9 Vrification des rsultats de linstallation par le biais des journaux dvnements. .................................. 10 INTEGRATION DES ZONES DNS A ACTIVE DIRECTORY...................................................................................... 10 SECURISATION DES MISES A JOUR POUR LES ZONES INTEGREES A ACTIVE DIRECTORY..................................... 10 AUGMENTER LE NIVEAU FONCTIONNEL DACTIVE DIRECTORY ........................................................................ 10 AJOUT DUN CONTROLEUR DE DOMAINE SUPPLEMENTAIRE. ...................................................... 11 Active Directory / J. Dan - janvier 2005 page 3 / 11 Les domaines Windows 2000/2003 Principes de base Active Directory gre de manire hirarchise un certain nombre dobjets situs dans des domaines et organiss selon un schma. Ces objets peuvent tre des serveurs, des stations, des priphriques, des dossiers partags, des utilisateurs, des groupes dobjets (groupes locaux, groupes globaux), des Units dOrganisation (conteneurs dans lesquels les administrateurs rangent diffrents objets). Structure d'Active Directory Domaines Un domaine Active Directory (AD) est la principale frontire logique dans un annuaire. Pris sparment, un domaine AD ressemble beaucoup un domaine NT. Les utilisateurs et les ordinateurs sont tous stocks et grs dans les limites qu'il dfinit. Les domaines AD servent de limites de scurit pour les objets et contiennent leurs propres stratgies de scurit. Par exemple, chaque domaine peut appliquer aux utilisa- teurs des stratgies de mots de passe diffrentes. Un domaine tant une organisation logique d'objets, il peut aisment s'tendre sur plusieurs emplacements physiques.
Un domaine regroupe des ordinateurs, des priphriques, des utilisateurs. Cest une sorte de zone scurise, sur laquelle on ne peut pntrer que quand on a t authentifi par le Contrleur de Domaine. Arbres de domaines Un arbre Active Directory est compos de plusieurs domaines relis par le biais d'approbations transitives bidirectionnelles, qui partagent un schma et un catalogue global communs.
Dans lexemple ci-contre, le domaine racine de l'arbre est : cite-scolaire.local
et les sous-domaines sont : clg.cite-scolaire.local et lyc.cite-scolaire.local
La relation d'approbation transitive est automatique, ce qui diffre de la structure de domaines NT4 o toutes les relations doivent tre dfinies manuellement. L'expression clg.cite-scolaire.local lyc.cite-scolaire.local cite-scolaire.local cite-scolaire clg lyc Un arbre AD simple avec trois sous-domaines.
Active Directory / J. Dan - janvier 2005 page 4 / 11 approbation transitive signifie que le domaine CLG approuve le domaine LYC parce qu'en premier lieu ils approuvent tous deux la racine cite-scolaire.local. Les approbations se propagent ainsi travers la structure de domaines.
Tous les domaines d'un arbre partagent le mme espace de noms, ici cite-scolaire.local, mais sont soumis des mcanismes de scurit qui empchent par dfaut l'accs inter- domaines. Autrement dit, un administrateur du domaine LYC peut disposer d'un contrle sur le domaine tout entier, sans que les utilisateurs du domaine CLG ou racine aient le droit d'accder ses ressources. Mais s'il le souhaitait, il pourrait aussi autoriser des groupes d'utilisateurs d'autres domaines se connecter. L'administration est granulaire et configurable. Forts Une fort est un groupe d'arbres de domaines interconnects. Des approbations implicites existent entre les racines des arbres d'une fort. Si tous les domaines et arbres de domaines ont en commun un mme schma et un mme catalogue global, ils ne partagent en revanche pas le mme espace de noms.
Remarque : dans la plupart des cas, le rseau dun tablissement scolaire sera limit un seul domaine. Quy a-t-il dans un domaine Active Directory ? Des objets, qui peuvent tre
Des serveurs. Il y a plusieurs types de serveurs Serveurs Membres : simples serveurs auxquels on attribue une tche dfinie : serveurs de fichiers, destins stocker des documents, serveurs dapplications, sur lesquels sont installes les applications excuter partir des stations serveurs dimpressions, qui grent les imprimantes
mondomaine.net enfant1.mondomaine.net enfant2.mondomaine.net dc.mondomaine.net dc.enfant1.mondomaine.net S t1.mondomaine.net St2.mondomaine.net S t1.enfant1.mondomaine.net dc.enfant2.mondomaine.net utilisateur@enfant2.mondomaine.net autredomaine.net Relations dapprobation Fort Arbre 1 Arbre 2 Active Directory / J. Dan - janvier 2005 page 5 / 11 Contrleurs de domaine Ils sont les seuls habilits authentifier les utilisateurs qui se connectent au domaine Ils remplissent plusieurs fonctions importantes. Il est intressant de disposer de plusieurs contrleurs de domaines : rpartition des services, rplication des donnes pour quun contrleur en panne soit remplac par un autre. Cest linstallation dActive Directory qui fait dun serveur un Contrleur de Domaine.
Des clients : stations, imprimantes, etc. Seules les stations Windows 2000 et Windows XP bnficient de toutes les fonctionnalits dActive Directory. Un utilisateur (sous Win9x) peut ouvrir une session sur le domaine, mais la station nest pas un objet du domaine.
Des utilisateurs Chaque utilisateur a un certain nombre dattributs et son propre UID (User Identity : Un numro de code qui lui permet dtre identifi sur le domaine. Son UPN (User Principal Name) est du type utilisateur@mondomaine.local
Des groupes Les groupes peuvent contenir des utilisateurs, des ordinateurs et d'autres groupes. Les groupes simplifient la gestion d'un grand nombre d'objets.
Des stratgies de groupe Elles dfinissent le comportement du domaine pour tel ou tel utilisateur ou groupe dutilisateurs ou ordinateurs. Vous les utiliserez pour grer les stations Windows 2000 ou XP, mais pas win9x
Des Units dorganisation Vous crez des units d'organisation pour ranger des objets dans une hirarchie logique et ordonne. Les diffrents OU ne contiennent ni des dossiers, ni des fichiers, mais des ordinateurs, des utilisateurs, des groupes d'utilisateurs, des imprimantes, etc. Ce sont donc des conteneurs dobjets destins ladministration et non pas des groupes dutilisateurs ! Active Directory et DNS Le DNS est indispensable la configuration de Active Directory. Devez-vous utiliser le serveur DNS de Microsoft pour prendre en charge Active Directory ? pas obligatoirement mais cest quand mme bien pratique dutiliser le DNS de Microsoft qui sintgre parfaitement Active Directory. Active Directory est intgr au DNS de la faon suivante :
Active Directory et DNS ont la mme structure hirarchique. Mme s'ils sont spars et implments diffremment pour des raisons diverses, les espaces de noms d'une organisation pour DNS et pour Active Directory ont une structure identique. Par exemple, zonetest.local est un domaine DNS et un domaine Active Directory.
Les zones DNS peuvent tre stockes dans Active Directory. Si vous utilisez le service DNS Windows 2000, vous pouvez stocker les fichiers de la zone principale dans Active Directory en vue d'une rplication sur d'autres contrleurs de domaine Active Directory.
Active Directory / J. Dan - janvier 2005 page 6 / 11 Les clients Active Directory utilisent DNS pour rechercher des contrleurs de domaine. Pour rechercher un contrleur de domaine pour un domaine spcifique, les clients Active Directory interrogent leur serveur DNS configur et lui demandent des enregistrements de ressources spcifiques ; ils interrogent les enregistrements SRV. Les ordinateurs Windows 2000 peuvent enregistrer et mettre jour dynamiquement les enregistrements avec un serveur DNS prenant en charge le protocole de mise jour DNS dynamique. Qu'en est-il des clients de bas niveau (comme Windows 9x ou Windows NT) et les clients autres que Microsoft ne pouvant pas enregistrer dynamiquement leurs enregistrements de ressources ? Nous pouvons, pour ces clients, utiliser la capacit du serveur DHCP Windows 2000 enregistrer dynamiquement les enregistrements de ressources DNS. Installer Active Directory Linstallation dAD cre un contrleur de domaine, une arborescence de domaine et une fort darborescence de domaines. Cration dune fort qui ne contiendra quun arbre qui lui-mme sera form dun seul domaine. Menu Dmarrer / Excuter, taper dcpromo.
L'Assistant Installation de Active Directory installe et configure les composants qui fournissent le service d'annuaire Active Directory aux utilisateurs et aux ordinateurs du rseau.
Compatibilit avec les systmes d'exploitation prcdents Par dfaut, les paramtres de scurit sur les contrleurs de domaine excutant Windows Server 2003 sont configurs pour aider empcher toute interception ou falsification des communications du contrleur de domaine par des utilisateurs malveillants.
Pour ngocier correctement les communications avec un contrleur de domaine excutant Windows Server 2003, ces paramtres de scurit par dfaut exigent que les ordinateurs clients utilisent tous les deux la signature SMB (Server Message Block) et le cryptage ou la signature du trafic du canal scuris.
Les systmes d'exploitation Windows suivants ne possdent pas la prise en charge intgre de la signature SMB ou du cryptage et de la signature du canal scuris : Windows pour Workgroups Windows 95 Windows NT 4.0 Active Directory / J. Dan - janvier 2005 page 7 / 11
Nous dsirons que ce serveur devienne contrleur de Domaine pour un nouveau domaine.
Aucune fort nexistant, vous allez donc crer un nouveau domaine dans une nouvelle fort.
Vous devez donner le nom DNS complet du nouveau domaine.
Vous pouvez accepter le nom NetBIOS du domaine qui est propos par dfaut.
Il serait prfrable de conserver ces fichiers sur un disque diffrent (au moins 300 Mo) afin damliorer la performance. Dans notre cas garder lemplacement par dfaut.
Vous avez maintenant la possibilit de modifier lemplacement du rpertoire partag qui stocke la copie serveur des fichiers publics du domaine. Ce dossier permet denregistrer les scripts qui font partie des objets Stratgie de groupe pour le domaine courant et le rseau de lentreprise. Le rpertoire par dfaut est \SYSVOL
Active Directory / J. Dan - janvier 2005 page 8 / 11
Une vrification de lexistence dun serveur DNS oprationnel est effectue.
Windows 2003 Server assure une compatibilit avec les versions prcdentes de Windows. Lassistant vous offre le choix entre une compatibilit avec ces anciennes versions ou une compatibilit uniquement avec les ordinateurs Windows 2000 ou 2003 (serveur et professionnel).
On parlera de mode mixte pour le premier cas.
Le mot de passe pour la restauration de services dannuaire vous est demand.
Un rsum rcapitulatif vous est donn avant de confirmer les options choisies.
Lassistance effectue alors la configuration de Active Directory.
Ensuite, lordinateur doit tre redmarr.
Active Directory / J. Dan - janvier 2005 page 9 / 11 Tches effectuer aprs linstallation dActive Directory Vrification de linstallation dActive Directory Vrification des enregistrements de ressource SRV
Dans la console DNS, la zone de recherche directe de votre domaine sest enrichie de 6 conteneurs supplmentaires correspondant AD. Vrification du dossier SYSVOL Vrifiez que le dossier \WINDOWS\SYSVOL contient bien ceci :
Vrifier les partages :
- par Gestion de lordinateur Les partages NETLOGON et SYSVOL doivent y apparatre.
- dans une invite de commande tapez net share pour voir la liste des partages.
Active Directory / J. Dan - janvier 2005 page 10 / 11 Vrification des rsultats de linstallation par le biais des journaux dvnements. Intgration des zones DNS Active Directory Pour intgrer les zones de recherche directes et de recherche inverse Active Directory, il suffit, dans la console de gestion du DNS, par un clic-droit sur le nom de la zone de choisir Proprits et ensuite daller Modifier le type de zone dans longlet Gnral .
Il ne reste plus qu cocher la case Enregistrer la zone dans Active Directory
Scurisation des mises jour pour les zones intgres Active Directory
Dans longlet Gnral des Proprits de la zone DNS, on peut dcider de nautoriser que les Mises jour dynamiques Scuris uniquement .
Augmenter le niveau fonctionnel dActive Directory De mme que Windows 2000 prserve la compatibilit avec les domaines et clients NT existants lors de son installation, Windows Server 2003 ne met pas, lors de son installation, niveau la fort Active Directory afin de pouvoir continuer supporter les contrleurs de domaines Windows NT 4.0 et 2000. Il existe quatre niveaux fonctionnels de domaine et trois niveaux fonctionnels de fort. Windows 2000 mixte Lorsque Windows Server 2003 est install dans une fort Active Directory 2000 qui opre dans le mode mixte, cela signifie que les contrleurs de domaines 2003 pourront communi- quer avec les contrleurs NT et 2000 de la fort. II s'agit du niveau fonctionnel le plus limi- tatif, car des fonctionnalits telles que les groupes universels, les groupes imbriqus et la scurit renforce ne sont pas disponibles. Ce niveau sert en gnral d'tape vers une mise niveau ultrieure. Windows 2000 natif Lorsqu'il est install dans un annuaire Windows 2000 qui fonctionne dans le mode 2000 natif, Windows Server 2003 s'excute au niveau fonctionnel de 2000. Seuls des contrleurs de domaines 2000 et 2003 sont supports dans cet environnement. Active Directory / J. Dan - janvier 2005 page 11 / 11 Windows Server 2003 provisoire Ce mode permet au service AD de Windows Server 2003 d'interoprer avec un domaine compos uniquement de contrleurs de domaines NT4. Aprs que tous les contrleurs NT ont t limins ou mis niveau, les niveaux fonctionnels peuvent tre relevs. Windows Server 2003 Ce niveau reprsente limplmentation idale d'Active Directory. Cet environnement donne accs des fonctionnalits avances telles que la dsactivation de schmas, le renommage de domaines et de contrleurs, et les approbations inter-forts. Pour en bnficier, tous les contrleurs doivent d'abord tre migrs vers 2003, aprs quoi les domaines puis la fort peuvent tre mis niveau.
Pour activer ce mode, ouvrez le composant Domaines et approbations Active Directory partir des Outils d'administration. Dans le panneau de gauche, faites un clic-droit sur le nom de domaine puis sur Augmenter le niveau fonctionnel du domaine .
Dans la fentre qui s'ouvre, slectionnez Windows Server 2003 et cliquez sur Augmenter .
Cliquez sur OK deux reprises pour terminer l'opration.
Elevez ensuite le niveau de la racine de la fort. Dans l'arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory , puis cliquez sur Augmenter le niveau fonctionnel de la fort . Ajout dun contrleur de domaine supplmentaire. Menu Dmarrer / Excuter, taper dcpromo. L'Assistant Installation de Active Directory installe et configure les composants qui fournissent le service d'annuaire Active Directory aux utilisateurs et aux ordinateurs du rseau.
Nous dsirons que ce serveur devienne un contrleur de Domaine supplmentaire pour un domaine existant.
Vous devez spcifier le nom du domaine existant (on peut rechercher le domaine existant laide de loption Parcourir) ainsi que le nom dun utilisateur autoris raliser cette opration et son mot de passe.