Académique Documents
Professionnel Documents
Culture Documents
Active Directory
Active Directory
UN
GRAND MERCI
B APTISTE D IEU
ET
ECML T ECHNOLOGIE
Alors que la base des comptes de Windows NT pouvait comporter 40000 objets par domaine, la
base dannuaire de Windows permet de grer plusieurs millions dobjet, ce qui offre une
volutivit toute preuve. La tolrance des pannes est galement assure ds que lon possde
au moins deux contrleurs par domaine. En effet, comme Active Directory est une base
distribue, chaque contrleur de domaine dispose des mmes informations. Ceci est possible
grce une rplication que lon qualifie de multi-matre car tous les contrleurs sont gaux
sur le domaine. De ce fait, un client qui effectue une recherche dans Active Directory va pouvoir
consulter nimporte quel contrleur de domaine. La rpartition des charges est ainsi assure.
TERMINOLOGIE
La structure logique de la base Active Directory est compose de forts, darbres, de domaines et
dunits dorganisation (OU).
La fort
La fort est un regroupement de plusieurs arbres.
Larbre
Cest un ensemble de domaines qui disposent dun espace de
noms contigu. Un ou plusieurs arbres peuvent faire partie
dune fort.
Le domaine
Le domaine est un ensemble de ressources correspondant
un espace de noms DNS. Cest un domaine qui est gr par
un contrleur de domaine Active Directory.
SERVICES DANNUAIRE
Le service dannuaire dispose de plusieurs conventions de dnomination :
Chaque objet dispose dun numro unique, son GUID (Globally Unique IDentifier). Le numro
de change pas, mme si lobjet est renomm ou dplac.
INSTALLATION
Linstallation dActive Directory se fait sur un serveur Windows membre ou autonome. Une fois
la base dannuaire installe, le serveur devient un Contrleur de domaine . Active Directory
sera un fichier NTDS.DIT situ dans le rpertoire %systemroot%\ntds par dfaut. Il est
possible de modifier ce chemin lors de linstallation dActive Directory.
Linstallation dActive Directory ncessite une partition NTFS pour stocker le rpertoire
systme partag (SYSVOL) car le suivi des modifications dupliques de la base dannuaire
seffectue par le changement des numros de versions squentiels pris en charge par le systme
NTFS.
Pour installer Active Directory, il faut excuter la commande dcpromo.exe . La base des
comptes du serveur sera alors copie dans Active Directory avant dtre dtruite sur le serveur.
On ne perd donc pas les informations de comptes lors de la migration vers des contrleurs de
domaines. Enfin, pour installer Active Directory, il faut disposer dun serveur DNS install et
configur. Si le service DNS nest pas install, Active Directory propose de linstaller et de le
configurer. Il faut un serveur DNS supportant les mises jour dynamiques (DDNS) et
lenregistrement de ressources de type SRV.
Avant de se lancer dans linstallation, il est ncessaire de connatre le rle de ce serveur dans
larchitecture Active Directory. En effet, lors de linstallation de la base dannuaire, il faudra
spcifier si le serveur appartient un domaine existant ou si lon cre un nouveau domaine. Dans
ce dernier, cas il faudra savoir si le domaine appartient un arbre existant ou un nouvel arbre, et
de mme pour la fort.
Le systme essaie alors de dtecter un serveur DNS. Sil nen dtecte pas,
il propose dinstaller et de configurer celui de Windows.
Le systme doit alors tre redmarr pour prendre en compte le nouveau domaine.
Le systme doit alors tre redmarr pour prendre en compte le nouveau contrleur.
Le systme doit alors tre redmarr pour prendre en compte le nouveau domaine enfant.
Le systme doit alors tre redmarr pour prendre en compte le nouveau contrleur.
APPROBATIONS
Les approbations permettent des utilisateurs de domaines diffrents situs dans des forts
diffrentes de communiquer entre eux. En fait, lapprobation permet des utilisateurs dtre
authentifis sur dautres domaines que le leur. On va donc grer des domaines que lon approuve
et des domaines qui nous approuvent.
Approbation unidirectionnelle
Dans ce type dapprobation, un domaine A approuve
un domaine B. Ainsi le domaine B peut authentifier
les utilisateurs du domaine A.
Cette approbation est non transitive : c'est--dire que si un domaine A approuve un domaine
B et que de domaine B approuve un domaine C, A napprouve pas C pour autant.
Lapprobation unidirectionnelle peut tre mise en place avec :
Un domaine Windows NT
Un domaine Kerberos
Approbation bidirectionnelle
Dans ce type dapprobation, un domaine A
approuve un domaine B et le domaine B approuve
le domaine A. Ainsi le domaine B peut
authentifier les utilisateurs du domaine A et viceversa.
Approbation automatique
Dans un arbre, les approbations sont automatiques. C'est--dire quun domaine parent approuve
automatiquement son enfant et vice-versa. Les approbations tant transitives dans un arbre, elles
remontent jusqu la racine de celui-ci jusqu faire une approbation entre deux arbres dune
mme fort et ainsi de suite. Tous les utilisateurs des domaines dune mme fort peuvent donc
sauthentifier automatiquement.
Builtin
Computers
Domain Controllers
ForeignSecurityPrincip
als
Users
Description
Conteneur pour les groupes de scurit locaux au contrleur
de domaine. Ils permettent ladministration des services et
fonctions, grs par ce contrleur. Ils ne peuvent pas tre
crs par ladministrateur
Conteneur pour les ordinateurs clients et les serveurs
membres appartenant au domaine
Conteneur pour le ou les contrleurs de domaine qui
administre le domaine. Il sagit dune unit dorganisation,
et non dun conteneur.
Conteneur pour les ordinateurs ou utilisateurs non-membres
de la fort auquel appartient le contrleur de domaine. Ils
peuvent aussi appartenir des groupes de scurits locaux
pour la gestion des ressources locales
Contient les comptes utilisateurs ainsi que les groupes de
scurits prsents par dfaut sur le domaine
CN
OU
DC
Description
Lidentifiant CN dsigne un objet, ou un conteneur simple
dans la structure Active Directory.
Par exemple, Administrateur est un objet, et
Utilisateurs et Builtin sont deux conteneurs dfinis
par dfaut dans la base de donnes Active Directory
Lidentifiant OU dsigne une unit dorganisation dans la
structure Active Directory.
Par exemple, Domain Controllers est une unit
dorganisation dfinie par dfaut dans la base de donnes
Active Directory
Lidentifiant DC dsigne un niveau de hirarchie dans un
espace de noms DNS.
Par exemple, DC=microsoft, DC=com dsigne les deux
niveaux de lespace de noms du domaine microsoft.com
Exemple :
CN=Bob, OU=Techniciens, DC=mondomaine, DC=local dsigne lutilisateur Bob ,
dans lunit dorganisation Techniciens , situe la racine du domaine mondomaine.local
Hirarchie
On peut dfinir deux OU, Administration et Comptabilit , possdant des droits communs
ainsi que certains droits supplmentaires pour les objets de la comptabilit. Cela permet de ne pas
avoir redfinir tous les droits pour chaque groupe : les objets de lOU Comptabilit hritent par
dfaut des droits des objets de lOU Administration, et peuvent ensuite avoir leurs droits propres.
Ici, Alice Dupont ainsi que son ordinateur PC-ALICEDUPONT hritent des droits
cumuls entre lOU Administration et lOU Comptabilit. Nous verrons comment modifier cet
hritage dans les chapitres suivants.
<nom de lOU>
-d <domaine> |
<serveur>
-desc <description>
-u <utilisateur>
-p <mot de passe>
-q
-s
Description
Indique le nom de lOU crer. Le nom de lOU doit
contenir son emplacement dans la hirarchie X500 du
domaine.
Exemple : OU=test, DC=microsoft, DC=com
Indique le nom du domaine ou le nom du contrleur o lOU
doit tre cre
Indique un commentaire li lOU cre
Indique le nom dutilisateur utilis pour crer lOU
Indique le mot de passe du compte utilisateur.
La valeur * permet de demander le mot de passe de
manire interactive
Excute la commande de manire silencieuse
Description
Affiche les informations relatives un objet
dans la base Active Directory
Modifie les informations relatives un objet
Dsmod
Supprime un objet dans la base Active
Dsrm
Directory
Dplace un objet dans la base Active Directory
Dsmove
Laide est disponible sur ces commandes via la syntaxe dsget ou / ? par exemple. Ces
commandes sont disponibles pour grer tous les types dobjets vus dans les chapitres suivants.
Dsget
Dlgation de contrle
La dlgation de contrle permet de dlguer certains droits sur une OU, un utilisateur ou un
groupe dutilisateurs.
La dlgation permet de dfinir des
tches simples, comme la gestion
des utilisateurs, ou des tches
personnalises plus complexes, en
fonction des attributs des objets prsents dans lOU.
Ainsi, ladministrateur peut dlguer ses tches
des responsables de diffrentes units. Cela permet
daugmenter le niveau fonctionnel dun utilisateur
sans crer de groupes de scurit spcifique cette
tche. La dlgation de contrle peut seffectuer au
niveau du domaine complet, ce qui nest pas
conseill pour des raisons videntes de scurit.
UTILISATEURS
Prsentation
Les comptes utilisateurs permettent aux utilisateurs daccder aux ressources du domaine. Ils sont
associs un mot de passe, et fonctionnent dans un environnement dfinit (local ou domaine).
Un utilisateur possdant un compte sur le domaine pourra donc didentifier sur toutes les
machines de ce domaine, sauf si ladministrateur met une restriction en place. Lors dune
modification (par exemple, le mot de passe), cette modification sera rpercute
automatiquement sur lensemble du domaine.
Un
Cette stratgie de mot de passe pourra tre modifie par la gestion des stratgies de groupe, que
nous verrons plus tard dans ce groupe.
Options
Diffrentes options sont dfinies au moment de la cration du compte :
Option
Description
Lors de sa premire connexion, le systme
forcera lutilisateur choisir un nouveau de
passe.
Cette option permet dassurer lutilisateur que
ladministrateur ne connatra pas son mot de
passe personnel.
Cette option permet ladministrateur de
sassurer quil pourra accder aux ressources du
compte utilisateur. On utilise cette option pour
les comptes invits.
Cette option permet de passer outre la stratgie
de mot de passe par dfaut (qui dfinit la
longvit dun mot de passe 42 jours)
Cette option invalide le compte utilisateur : il
nest plus possible douvrir une session avec ce
compte.
Cette option est intressante pour dsactiver
temporairement un compte (pour un cong par
exemple). En effet, si on supprime le compte,
on ne pourra le recrer sans supprimer toutes
les ressources qui lui taient associes (voir
la fin du paragraphe)
Proprits de lutilisateur
Un compte utilisateur dispose de nombreuses
proprits permettant de le dfinir au niveau
ressource dans le domaine, mais aussi de
faon fonctionnelle dans lentreprise.
Il est ainsi possible de dfinir un nombre
important de paramtres, qui peuvent savrer
utile lors de la recherche dans la base Active
Directory, par exemple, o lors daudits pour
savoir qui a effectu des modifications sur les
ressources du rseau.
Profils
Parmi les proprits disponibles, la notion de Profil est une des plus importantes. Elle permet
de dfinir sur quels dossiers seront sauvegards les paramtres dun compte utilisateur. Cest un
moyen efficace de planifier lemplacement de toutes les donnes utilisateur, des fins de
sauvegarde par exemple.
On distingue trois types de profils utilisateur disponibles :
Type de profil
Profil local
Profil itinrant
Description
Cest un profil enregistr au niveau de la station
de travail de lutilisateur. Il peut avoir des
caractristiques diffrentes selon la machine sur
laquelle lutilisateur ouvre sa session
Cest un profil enregistr dans une ressource
partage ou dans un dossier priv de lutilisateur.
Il peut le modifier, et il reste accessible quelle
que soit lordinateur sur lequel il est connect.
Cest un profil enregistr dans une ressource
partage ou dans un dossier priv de lutilisateur
ou dun groupe. Il ne peut pas tre modifi.
Profil local
Le profil local est enregistr au niveau de lordinateur client. Il se situe par dfaut dans le dossier
%SYSTEMDRIVE%\Documents and Settings\<nom de lutilisateur> . Sa configuration est
stock dans le fichier NTUSER.DAT , prsent pour chaque profil.
Lutilisateur peut modifier ce profil comme il lui plait, condition quil ait les droits
dadministration sur son ordinateur. Il faut donc dfinir son compte de domaine comme
administrateur local de la machine.
Ce type de profil nest pas trs avantageux ni trs efficace dans un domaine, car on ne peut pas
administrer les ressources de lutilisateur depuis les outils du domaine.
Il permet un utilisateur de retrouver les paramtres de son profil (comme son bureau,
par exemple), quelle que soit la machine sur laquelle il ouvre une session.
Lors de la fermeture de session sur lordinateur client, le profil est synchronis sur le serveur.
Attention : Avec Windows 2000, les profils ne sont pas synchroniss, mais tlchargs. Ceci peut
poser un problme de performances, notamment si 500 utilisateurs ouvrent leurs sessions
simultanment.
Sur un rseau important, cela peut mener des problmes de performances ; nous verrons
comment optimiser cet change avec les stratgies de scurit dans un prochain paragraphe.
<nom de lutilisateur>
-d <domaine>
<serveur>
-samid <id>
-upn <nom>
-fn <prnom>
-mi <initiales>
-ln <nom>
-display <nom>
-empid <identifiant>
-pwd <mot de passe>
-desc <description>
-memberof <groupes>
-office <bureau>
-tel <tlphone>
-s
Description
Indique le nom de lutilisateur crer. Le nom de
lutilisateur doit contenir son emplacement dans la
hirarchie X500 du domaine.
Exemple :
CN=Bob
DURAND,
CN=Utilisateurs,
DC=microsoft, DC=com
Indique le nom du domaine ou le contrleur de domaine o
lutilisateur doit tre cr
Identifiant unique dans la base Active Directory
Indique le nom principal de lutilisateur
Exemple : utilisateur@microsoft.com
Indique le prnom de lutilisateur
Indique les initiales de lutilisateur
Indique le nom de lutilisateur
Indique le nom complet afficher de lutilisateur
Exemple : Pascal DUPONT
Indique lID de lemploy affecter lutilisateur
Indique le mot de passe du compte utilisateur
Indique la description associe lutilisateur
Indique les groupes auxquels appartient lutilisateur
Indique lemplacement du bureau de lutilisateur
Indique le numro de tlphone de lutilisateur
-email <email>
-hometel <numro>
-pager <numro>
-mobile <numro>
-fax <numro>
-iptel <numro>
-webpg <page>
-title <fonction>
-dept <dpartement>
-company
-mgr <directeur>
-hmdir
-hmdrv
-profile
-loscr
-mustchpwr
-canchpwd
-pwdneverexpires
-acctexpires
-disabled
-u <utilisateur>
-p <mot de passe>
-q
Lentte contient les champs dfinis dans le fichier. Il nest pas ncessaire de renseigner tous les
champs. Seuls les champs dfinis dans lentte du fichier serviront limport.
Il est bien entendu possible de filtrer les entres exportes par CSVDE. Lexemple suivant extrait
les informations concernant le compte Bob DUPONT :
Exemple dimportation :
Lexemple suivant importe les champs dfinis ci-aprs :
DN,
UserPrincipalName,
SamAccountName,
TelephoneNumber,
department,
UserAccountControl,
ObjectClass
Les donnes sont :
"CN=Bob DURANT,OU=Dveloppeurs,DC=virtualdomain,DC=com",
bob.durant,
bob.durant@virtualdomain.com,
0611111111,
Dveloppeurs,
512,
user
Activation du compte
Le paramtres 512 (6me paramtre UserAccountControl ) indique que le compte est activ.
Une valeur de 514 dsactive le compte.
Limport est ralis via le paramtres -i :
Loutil CSVDE se rvle trs pratique pour faire de limport de masse, en partant par exemple
dune feuille Excel convertie en .csv .
ORDINATEURS
Les comptes dordinateurs nexistent que dans le contexte dun domaine. Ils permettent
didentifier chaque ordinateur ayant accs la base de compte Active Directory, notamment pour
lidentification des utilisateurs.
Les comptes dordinateurs sont particulirement utiles pour la gestion de la scurit : ainsi on va
pouvoir utiliser ces comptes pour configurer des audits, du cryptage IP, le dploiement de
logiciels, les stratgies de scurit,
Ordinateur gr
Un ordinateur gr est connu par le domaine
par son identifiant unique (GUID). Cela permet
certains services, notamment les services de
dploiement RIS (Remote Installation Services),
de filtrer les ordinateurs susceptibles de
sinstaller comme client du domaine. Nous
verrons cette option lors du chapitre concernant les installations distance.
<nom de lordinateur>
-d <domaine>
<serveur>
-loc
-desc
-memberof
-u <utilisateur>
-p <mot de passe>
-s
Description
Indique le nom de lordinateur crer. Le nom de
lordinateur doit contenir son emplacement dans la
hirarchie X500 du domaine.
Exemple :
CN=CLIENTXP,
CN=Ordinateurs,
DC=microsoft, DC=com
Indique le nom du domaine ou le contrleur de domaine o
lordinateur doit tre cr
Indique lemplacement de lordinateur
Indique la description associe lordinateur
Indique les groupes auxquels appartient lordinateur
Indique le nom dutilisateur utilis pour crer le nouveau
compte
Indique le mot de passe du compte utilisateur crant le
nouveau compte.
La valeur * permet de demander le mot de passe de
manire interactive
-q
GROUPES
Les groupes permettent de simplifier la gestion de laccs des utilisateurs aux ressources du
rseau. Ils peuvent, en une seule action, affecter une ressource un ensemble dutilisateurs, au
lieu de rpter laction pour chaque utilisateur. Un utilisateur pourra tre membre de plusieurs
groupes.
Les groupes dclars sur les contrleurs de domaines sont utilisables sur lensemble des machines
du domaine. Ils permettent davoir une gestion centralise de la hirarchie des groupes. Ils
peuvent contenir des utilisateurs du domaine, et mme dautres domaines.
Sur un serveur
Les groupes par dfaut sur un serveur sont stocks dans la base de compte locale la machine. Ils
sont crs automatiquement lors de linstallation de Windows Server 2003 et sont visibles dans
loutil Utilisateurs et groupes locaux .
Groupe
Administrateurs
Invits
Utilisateurs
Utilisateurs
pouvoir
avec
Oprateurs dimpression
Description
Les membres ont plein pouvoir sur le domaine. Lorsquun
serveur est ajout au domaine, le groupe Administrateurs du
domaine est ajout ce groupe.
Les membres de ce groupe ont un pouvoir trs limit. Un
profil temporaire est cr pour les utilisateurs de ce groupe.
Les membres de ce groupe peuvent utiliser les applications
et les priphriques installs.
Les membres de ce groupe peuvent crer des comptes
utilisateurs, des ordinateurs, des dossiers partags, et les
grer
Les membres de ce groupe peuvent grer les imprimantes et
les travaux dimpression
Certains groupes par dfaut sont installs si un service est dploy sur le serveur. Cest le cas des
groupes Utilisateurs DHCP et Administrateurs DHCP par exemple.
Description
Oprateurs de compte
Oprateurs de serveur
Contrleurs de domaine
Oprateurs de
sauvegarde
Ordinateurs
Invits du domaine
Utilisateurs du domaine
Administrateurs du
domaine
Administrateurs de
lentreprise
Groupes Systme
Les groupes systme sont des groupes sont les membres sont grs automatiquement par le
systme. Ces groupes sont utiles dans le cas daffectations dautorisations sur les ressources.
Groupe
Anonymous Logon
Tout le monde
Rseau
Utilisateurs authentifis
Crateur propritaire
Description
Reprsente les utilisateurs qui ne sont pas authentifis
Tous les utilisateurs (authentifis ou non) sont prsents dans
ce groupe
Regroupe les utilisateurs connects via le rseau
Reprsente les utilisateurs qui sont authentifis
Reprsente le propritaire dune ressource
Types de groupe
Il existe deux types de groupes disponibles dans Active Directory :
Type
Groupes de scurit
Groupes de distribution
Description
Ils permettent daffecter des utilisateurs et des ordinateurs
des ressources
Ils sont conus pour regrouper des utilisateurs dans un
contexte logique. Ils sont exploitables, entre autres, par les
logiciels de messagerie. Ils ne permettent pas daffecter des
ressources.
Groupes globaux
Membres
Membres de
Etendue
Autorisations pour
Mode mixte
Compte
utilisateurs
mme domaine
Mode natif
Compte utilisateurs et
groupes globaux du
mme domaine
Groupes locaux du mme
Groupes
locaux
du
domaine
domaine
Visibles dans leur domaine et dans tous les domaines
approuvs
Tous les domaines de la fort
du
Groupes locaux
Membres
Membres de
Etendue
Autorisations pour
Mode mixte
Non utilisables
Mode natif
Comptes
utilisateurs,
groupes
globaux
et
universels dun domaine
quelconque de la fort, et
groupes locaux de mme
domaine
Non utilisables
Groupes locaux de mme
domaine
Visibles dans leur propre domaine
Le domaine dans lequel le groupe existe
Groupes universels
Membres
Membres de
Etendue
Autorisations pour
Mode mixte
Non utilisables
Mode natif
Comptes
utilisateurs,
groupes
globaux
et
universels dun domaine
quelconque de la fort
Non utilisables
Groupes locaux de mme
domaine
Visibles dans tous les domaines de la fort
Tous les domaines de la fort
<nom du groupe>
-samid <id>
-d <domaine>
<serveur>
-secgrp yes | no
-s
-scope l | g | u
-desc <description>
-memberof <groupes>
-members <utilisateurs>
-u <utilisateur>
-p <mot de passe>
-q
Description
Indique le nom du groupe crer. Le nom du groupe doit
contenir son emplacement dans la hirarchie X500 du
domaine.
Exemple :
CN=GROUPEDHCP,
CN=Utilisateurs,
DC=microsoft, DC=com
Identifiant unique dans la base Active Directory
Indique le nom du domaine ou le contrleur de domaine o
le groupe doit tre cr
Indique si le groupe est un groupe de scurit (yes) ou un
groupe de distribution (no)
Dfinit ltendue du groupe :
l dfinit un groupe local au domaine
g dfinit un groupe global
u dfinit un groupe universel
Indique les groupes auxquels appartient lordinateur
Indique les groupes auxquels ce groupe doit tre ajout
Indique les membres ajouter au groupe
Indique le nom dutilisateur utilis pour crer le nouveau
compte
Indique le mot de passe du compte utilisateur crant le
nouveau compte.
La valeur * permet de demander le mot de passe de
manire interactive
Excute la commande de manire silencieuse
CONTACTS
Les contacts permettent de rfrencer des personnes
indpendantes de lorganisation fonctionnelle du
domaine, comme par exemple des clients ou des
fournisseurs. Ils pourront tre recherchs dans
lannuaire Active Directory, comme les autres
ressources.
<nom du contact>
-samid <id>
-d <domaine>
<serveur>
-fn <prnom>
-mi <initiales>
-ln <nom>
-display <nom>
-desc <description>
-office <bureau>
-tel <tlphone>
-email <email>
-hometel <numro>
-pager <numro>
-mobile <numro>
-fax <numro>
-iptel <numro>
-title <fonction>
-dept <dpartement>
-company
-u <utilisateur>
-p <mot de passe>
-q
-s
Description
Indique le nom du contact crer. Le nom du contact doit
contenir son emplacement dans la hirarchie X500 du
domaine.
Exemple :
CN=Fournisseur
X,
OU=Marketing,
DC=microsoft, DC=com
Identifiant unique dans la base Active Directory
Indique le nom du domaine ou le contrleur de domaine o
lutilisateur doit tre cr
Indique le prnom de lutilisateur
Indique les initiales de lutilisateur
Indique le nom de lutilisateur
Indique le nom complet afficher de lutilisateur
Exemple : Pascal DUPONT
Indique la description associe lutilisateur
Indique lemplacement du bureau de lutilisateur
Indique le numro de tlphone de lutilisateur
Indique ladresse e-mail de lutilisateur
Indique le numro de tlphone personnel de lutilisateur
Indique le numro de pager personnel de lutilisateur
Indique le numro de portable de lutilisateur
Indique le numro de fax de lutilisateur
Indique le numro de tlphone IP de lutilisateur
Indique la fonction de lutilisateur
Indique le dpartement de lutilisateur dans lentreprise
Indique la socit laquelle appartient lutilisateur
Indique le nom dutilisateur utilis pour crer le nouveau
compte
Indique le mot de passe du compte utilisateur crant le
nouveau compte.
La valeur * permet de demander le mot de passe de
manire interactive
Excute la commande de manire silencieuse
DOSSIER PARTAGS
Les dossiers partags permettent de rfrencer les
partages rseaux sur le domaine.
Ainsi un utilisateur peut profiter du service de
recherche, au lieu de parcourir toutes les
stations manuellement sur le rseau pour trouver
ces partages.
IMPRIMANTES
Comme les dossiers partags, un utilisateur peut
profiter du service de recherche des imprimantes, au
lieu de parcourir toutes les stations manuellement sur
le rseau pour les trouver.
INETORGPERSON
Lobjet InetOrgPerson est un cas particulier. Active Directory prend en charge la classe
d'objets InetOrgPerson et ses attributs dfinis dans RFC 2798. La classe d'objets InetOrgPerson
est utilise dans plusieurs services d'annuaire LDAP et X.500 non Microsoft pour reprsenter les
membres d'une organisation.
La prise en charge de InetOrgPerson rend les migrations de donnes des autres annuaires LDAP
vers Active Directory plus efficaces. L'objet InetOrgPerson est driv de la classe d'utilisateur et
peut tre utilis comme entit de scurit tout comme celle-ci.
Recherche
par script sur
le serveur
La recherche est galement possible sur le serveur via les commandes dsquery .
Lexemple suivant recherche les utilisateurs dont le nom commence par Bob :
STRATGIES DE SCURIT
Dfinition
Le terme Stratgie dsigne la configuration logicielle du systme par rapport aux utilisateurs. A la
suite dune installation de Windows, aucune stratgie n'est configure, et tout est permis (en
fonction bien sr des droits des groupes d'utilisateurs prdfinis : Administrateurs, Utilisateurs,
Utilisateurs avec pouvoir...). La stratgie peut alors tre modifie par un administrateur en
fonction des paramtres quil veut appliquer sur une machine ou sur un compte utilisateur.
Sur un client, les paramtres de scurit locaux paramtrables sont situs dans les branches
suivantes :
Option
Description
Stratgie de comptes
Stratgies locales
Stratgies
publiques
de
Stratgies de restriction
logicielle
Stratgie de scurit IP
Chaque paramtre est modifiable par ladministrateur, et est mis en place pour lordinateur. La
valeur affecte dpend de ces paramtres.
Comme sur un client, chaque paramtre est modifiable par ladministrateur, et est mis en place
pour lordinateur. La valeur affecte dpend de ces paramtres.
Dfinition
Les stratgies de groupe sont reprsentes comme des objets Active Directory. On les appelle
plus communment des GPO (Group Policy Objects).
Lorsquon cre une stratgie de groupe, on cre alors un objet Active Directory que lon va lier
un conteneur de type OU ou au domaine. Il est possible de lier la GPO plusieurs conteneurs et
lier plusieurs GPO un mme conteneur.
Il existe deux possibilits pour grer les stratgies de groupe au niveau de Windows Server 2003 :
Principe
La gestion des stratgies de groupe se divise en deux parties : la configuration ordinateur et la
configuration utilisateur . Pour rsumer simplement :
Lorsque la machine dmarre, les paramtres dfinis pour lordinateur vont tre appliqus ainsi
que les scripts de dmarrage. La stratgie va alors modifier des valeurs parmi les clefs du registre
de la machine de destination, de faon ce que les paramtres concernant cette stratgie soient
appliqus sur la machine et sur le compte de lutilisateur connect. Les stratgies de groupe
naffectent que 4 cls du registre qui ne sont modifiables que par le compte Administrateur, un
utilisateur tiers ne peut modifier aucune des cls mme sil dispose dditeur de registre comme
REGEDIT. Les cls du registre concernes sont :
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Ensuite, lorsque lutilisateur ouvre une session, les paramtres de lutilisateur sont appliqus,
suivi des scripts douverture de session.
Les stratgies de groupe ne sont pas appliques aux utilisateurs membres du groupe de scurit
Administrateurs.
Une fois les stratgies appliques, elles sont rafrachies toutes les 90 minutes sur le domaine.
Ainsi les ordinateurs et les utilisateurs ont toujours la stratgie applique mme sils ne se
dconnectent pas. Sur les contrleurs de domaine et les serveurs membres, les GPO sont
rafrachies toutes les 5 minutes.
Il est possible de forcer manuellement la mise jour des stratgies sur le domaine en utilisant la
commande suivante :
gpupdate /force
Option
Appliquer
Lien activ
Supprimer le lien
Description
Cette fonctionnalit permet de forcer l'application d'une
stratgie mme si l'hritage a t bloqu au niveau d'un
conteneur infrieur. Lorsque ce paramtre est appliqu, un
cadenas apparat sur de l'icne du lien de stratgie de groupe.
dtermine si le lien de stratgie de groupe est activ ou non.
S'il n'est pas activ, les paramtres de la stratgie ne
s'appliqueront pas.
Cette permission retire la stratgie de scurit de lOU ou du
domaine correspondant. Cela ne dtruit pas la stratgie qui
reste prsente dans les objets de stratgie de groupe
Dans longlet Dtails , il est possible, pour chaque stratgie dfinie, de restreindre les
paramtres pris en compte lors de son application, de faon prendre en compte ou ignorer les
paramtres utilisateurs, les paramtres ordinateur ou tous les paramtres. Lavantage est
dacclrer lapplication des stratgies lors de s ouvertures de session si certains des paramtres
ne nous sont pas utiles.
Description
Une fois la stratgie cre, on peut la modifier, de faon dfinir les paramtres qui nous
intressent.
Lditeur de stratgie de groupe affiche alors larborescence des paramtres configurable dans la
stratgie, au niveau utilisateur et ordinateur :
Description
Non configur
Activ
Dsactiv
Dans ce cas, seules les stratgies appliques aux conteneurs seront applicables aux objets prsents
dans ce dernier, et non plus hrites.
Sauf dans le cas o le conteneur parent valide loption Appliqu . Cette option permet aux
administrateurs de forcer lapplication dune stratgie, en cas de conflit, o mme si lenfant
spcifie Bloquer lhritage .
Description
Publication
Attribution