Active Directory

ACTIVE DIRECTORY ET GPO
UN
GRAND MERCI
B APTISTE D IEU
ET
ECML T ECHNOLOGIE
POUR LA FOURNITURE DES
SOURCES AYANT SERVI DE BASE CE DOCUMENT
INTRODUCTION ACTIVE DIRECTORY

Active Directory est la plus grande volution quaient connue les environnements de Microsoft
depuis les premires versions serveurs. Il sagit dune base dannuaire qui va regrouper tous les
objets prsents sur le rseau. Active Directory est loutil de travail principal dans la gestion dun
domaine Windows. Cette base dannuaire va permettre une administration simplifie, offrant une
forte tolrance aux pannes puisquil dagit dune base dannuaire distribue.
Active Directory va sappuyer sur un ensemble de protocoles standard, ce qui fait de cette base
dannuaire un composant rseau sur lequel toutes les applications pourront sappuyer. Par
exemple, Exchange Server, le serveur de messagerie de Microsoft, permettra dutiliser les
groupes dutilisateur dfinis dans la base Active Directory, afin denvoyer des messages ces
mmes groupes dutilisateurs. Toute application pourra donc, si elle est dveloppe pour, tirer
parti de tous les avantages dActive Directory.
Active Directory supporte les protocoles suivants :
TCP/IP : cest le protocole de transport rseau.
DNS : lespace de noms Active Directory sappuie sur ce service
DHCP : Ce protocole va permettre de distribuer les adresses IP et de

configurer les clients dans DNS.
SNTP (Single Network Time Protocol) est le protocole de distribution et de

synchronisation de lheure. Il est impratif que toutes les machines du
domaine Windows disposent de la mme heure afin de synchroniser leurs
actions.
LDAP (Lightweight Directory Access Protocol) : ce protocole permet de

grer lannuaire dActive Directory et doprer des recherches dans sa base
de donnes.
Alors que la base des comptes de Windows NT pouvait comporter 40000 objets par domaine, la
base dannuaire de Windows permet de grer plusieurs millions dobjet, ce qui offre une
volutivit toute preuve. La tolrance des pannes est galement assure ds que lon possde
au moins deux contrleurs par domaine. En effet, comme Active Directory est une base
distribue, chaque contrleur de domaine dispose des mmes informations. Ceci est possible
grce une rplication que lon qualifie de multi-matre car tous les contrleurs sont gaux
sur le domaine. De ce fait, un client qui effectue une recherche dans Active Directory va pouvoir
consulter nimporte quel contrleur de domaine. La rpartition des charges est ainsi assure.
TERMINOLOGIE
La structure logique de la base Active Directory est compose de forts, darbres, de domaines et
dunits dorganisation (OU).
La fort
La fort est un regroupement de plusieurs arbres.
Larbre
Cest un ensemble de domaines qui disposent dun espace de
noms contigu. Un ou plusieurs arbres peuvent faire partie
dune fort.
Le domaine
Le domaine est un ensemble de ressources correspondant
un espace de noms DNS. Cest un domaine qui est gr par
un contrleur de domaine Active Directory.
Lunit dorganisation (OU)

Cest un dcoupage logique administratif au sein dun
domaine.
OBJETS ACTIVE DIRECTORY

Un objet dans Active Directory peut tre un compte dordinateur, un utilisateur, une imprimante,
un dossier public partag, etc... Chaque objet est compos dun ensemble dattributs qui sont
reprsentatifs de lobjet. Par exemple, lobjet Utilisateur aura comme attributs un nom, un
prnom, un nom douverture de session, un numro de tlphone, etc... alors quune imprimante
aura comme attributs un nom, un emplacement, une description, etc...
Parmi les attributs dun objet, certains sont obligatoires, dautres facultatifs. Tous ces attributs
sont dfinis dans ce quon nomme le schma. Ce schma est modifiable par les applications ou
par ladministrateur, pour ventuellement rajouter des attributs aux objets. Le schma est prsent
sur tous les contrleurs de domaine et est trait comme un objet Active Directory.
Tous les objets du mme type possdent les mmes attributs. Par contre, chacun de ces objets
possdent des valeurs diffrentes pour ces attributs. Un ensemble dobjet disposant des mmes
attributs est appel une classe. Par exemple, lors de la cration dun utilisateur, on cre un objet
de la classe User .Lors de cette cration, le schma nest pas modifi. La modification revient
crer de nouvelles classes ou de nouveaux attributs.
Pour modifier le schma, il faut utiliser le composant Schma Active Directory . Lajout
dattributs dans le schma est irrversible. Il est impossible de supprimer un attribut cre dans un
schma.
SERVICES DANNUAIRE
Le service dannuaire dispose de plusieurs conventions de dnomination :
Le nom complet relatif : il sagit du nom complet de lutilisateur qui

constitue un attribut de lobjet. Par exemple, Pierre DURANT .
Le Nom principal dutilisateur : il sagit, pour un utilisateur, de son

nom douverture de session suivi du nom de domaine dans lequel se trouve
lobjet. Par exemple, pierre.durant@e-cml.org .
Le nom complet : tout objet Active Directory possde un nom complet

qui permet de la situer dans un domaine et une OU. Par exemple, DC=org,
DC=e-cml, OU=Secrtariat, CN=Pierre DURANT . Ce qui signifie que
lutilisateur Pierre DURANT appartient lOU Secrtariat du sous-domaine
e-cml do domaine org ;
Chaque objet dispose dun numro unique, son GUID (Globally Unique IDentifier). Le numro
de change pas, mme si lobjet est renomm ou dplac.
INSTALLATION
Linstallation dActive Directory se fait sur un serveur Windows membre ou autonome. Une fois
la base dannuaire installe, le serveur devient un Contrleur de domaine . Active Directory
sera un fichier NTDS.DIT situ dans le rpertoire %systemroot%\ntds par dfaut. Il est
possible de modifier ce chemin lors de linstallation dActive Directory.
Linstallation dActive Directory ncessite une partition NTFS pour stocker le rpertoire
systme partag (SYSVOL) car le suivi des modifications dupliques de la base dannuaire
seffectue par le changement des numros de versions squentiels pris en charge par le systme
NTFS.
Pour installer Active Directory, il faut excuter la commande dcpromo.exe . La base des
comptes du serveur sera alors copie dans Active Directory avant dtre dtruite sur le serveur.
On ne perd donc pas les informations de comptes lors de la migration vers des contrleurs de
domaines. Enfin, pour installer Active Directory, il faut disposer dun serveur DNS install et
configur. Si le service DNS nest pas install, Active Directory propose de linstaller et de le
configurer. Il faut un serveur DNS supportant les mises jour dynamiques (DDNS) et
lenregistrement de ressources de type SRV.
Avant de se lancer dans linstallation, il est ncessaire de connatre le rle de ce serveur dans
larchitecture Active Directory. En effet, lors de linstallation de la base dannuaire, il faudra
spcifier si le serveur appartient un domaine existant ou si lon cre un nouveau domaine. Dans
ce dernier, cas il faudra savoir si le domaine appartient un arbre existant ou un nouvel arbre, et
de mme pour la fort.
Cration dun nouveau domaine

La premire fois quActive Directory est install, il faut crer un nouveau domaine (domaine
racine ou root domaine) dans une nouvelle fort. Pour cela, il faut suivre les tapes suivantes :
On slectionne Contrleur de domaine pour un nouveau domaine
On slectionne Crer une nouvelle arborescence de domaine
On slectionne Crer une nouvelle fort darborescences de domaines
On renseigne alors le nom DNS du nouveau domaine
On renseigne alors le nom NetBIOS du domaine. Par dfaut, Windows lui

donne le mme nom que le nom DNS. Ceci permettra aux clients antrieurs
Windows de communiquer avec la machine.
On indique les emplacements des fichiers de bases de donnes sur le

disque. Par dfaut, les fichiers seront crs dans %systemroot%\ntds .
Ceux-ci peuvent tre stocks sur nimporte quel type de partition : FAT,
FAT32 ou NTFS.
On renseigne lemplacement du rpertoire systme qui sera partag. Ce

dossier doit obligatoirement se situer sur une partition ou un volume NTFS.
Il contient les informations de stratgies de groupes, les scripts et les
informations de rplication.
Le systme essaie alors de dtecter un serveur DNS. Sil nen dtecte pas,
il propose dinstaller et de configurer celui de Windows.
On slectionne alors le mode Active Directory : natif si le rseau ne

comporte que des serveurs et des clients Windows, mixte si des clients ou
des serveurs plus anciens sont prsents. Il sera possible de changer du
mode mixte natif tout moment, mais lopration est irrversible.
Active Directory demande alors un mot de passe pour le mode

restauration de la base de donnes. En effet, lors du lancement du
systme en mode restauration Active Directory pour restaurer la base
partir dune sauvegarde, il faudra se connecter en tant quadministrateur
avec le mot de passe que lon indique ici.
Active Directory procde alors la cration et la configuration de la base

avant de convertir le serveur en contrleur de domaine.
Le systme doit alors tre redmarr pour prendre en compte le nouveau domaine.
Ajout dun contrleur un domaine existant

Un fois le domaine cre, il est possible dajouter des contrleurs de domaine supplmentaires. Il
est fortement recommand de possder au moins deux contrleurs pour assurer la tolrance des
pannes ainsi que la rpartition de charge.
Pour ajouter un contrleur, il faut suivre les tapes suivantes :
On slectionne Contrleur de domaine supplmentaire pour un

domaine existant
On renseigne alors le nom DNS du domaine, le compte et le mot de passe

dun utilisateur ayant le droit dajouter un contrleur au domaine.

FAT32 ou NTFS.



avant de convertir le serveur en contrleur de domaine supplmentaire pour
le domaine.
Le systme doit alors tre redmarr pour prendre en compte le nouveau contrleur.
Ajout dun domaine enfant

La cration dun domaine enfant seffectue aprs la cration dun domaine racine. Pour ajouter un
domaine enfant, il faut suivre les tapes suivantes :
On slectionne Contrleur de domaine pour un nouveau domaine
On slectionne Crer un nouveau domaine enfant dans une arborescence

de domaine existante
On renseigne le compte et le mot de passe dun utilisateur faisant partie du

groupe Administrateurs de lentreprise .
On renseigne alors le nom DNS du domaine parent, puis le nom du

nouveau domaine enfant crer.
On renseigne alors le nom NetBIOS du domaine.

Le systme doit alors tre redmarr pour prendre en compte le nouveau domaine enfant.
Ajout dun arbre dans une fort existante

Lajout dun arbre dans une fort existante va permettre de crer un nouvel espace de noms
contigu.
Pour ajouter un arbre, il faut suivre les tapes suivantes :
On slectionne Contrleur de domaine supplmentaire pour un

domaine existant
On slectionne Crer une nouvelle arborescence de domaine
On slectionne Placer cette nouvelle arborescence de domaine dans une

fort existante
On renseigne le compte et le mot de passe dun utilisateur faisant partie du

groupe Administrateurs de lentreprise .
On renseigne alors le nom DNS pour la nouvelle arborescence.

FAT32 ou NTFS.



avant de convertir le serveur en contrleur de domaine supplmentaire pour
le domaine.
Le systme doit alors tre redmarr pour prendre en compte le nouveau contrleur.
APPROBATIONS
Les approbations permettent des utilisateurs de domaines diffrents situs dans des forts
diffrentes de communiquer entre eux. En fait, lapprobation permet des utilisateurs dtre
authentifis sur dautres domaines que le leur. On va donc grer des domaines que lon approuve
et des domaines qui nous approuvent.
Approbation unidirectionnelle
Dans ce type dapprobation, un domaine A approuve
un domaine B. Ainsi le domaine B peut authentifier
les utilisateurs du domaine A.
Cette approbation est non transitive : c'est--dire que si un domaine A approuve un domaine
B et que de domaine B approuve un domaine C, A napprouve pas C pour autant.
Lapprobation unidirectionnelle peut tre mise en place avec :
Un domaine Windows dune fort diffrente
Un domaine Windows NT
Un domaine Kerberos
Approbation bidirectionnelle
Dans ce type dapprobation, un domaine A
approuve un domaine B et le domaine B approuve
le domaine A. Ainsi le domaine B peut
authentifier les utilisateurs du domaine A et viceversa.
Cette approbation est transitive : c'est--dire que si un domaine A approuve un domaine B et

que de domaine B approuve un domaine C, alors A approuve le domaine C.
Approbation automatique
Dans un arbre, les approbations sont automatiques. C'est--dire quun domaine parent approuve
automatiquement son enfant et vice-versa. Les approbations tant transitives dans un arbre, elles
remontent jusqu la racine de celui-ci jusqu faire une approbation entre deux arbres dune
mme fort et ainsi de suite. Tous les utilisateurs des domaines dune mme fort peuvent donc
sauthentifier automatiquement.
GESTION DES RESSOURCES

Avec un domaine Active Directory, la gestion des
utilisateurs devient centralise, au niveau du ou
des contrleurs de domaines. Loutil de gestion
des utilisateurs locaux, prsent sur Windows XP
ou sur un serveur autonome, est remplac par
loutil de gestion des ordinateurs et utilisateurs
Active Directory . Cet outil va permettre de
grer toutes les ressources mises disposition sur
le domaine.
RESSOURCES INSTALLES PAR DFAUT

Par dfaut, Active Directory contient un certains nombres de ressources dclares sur le domaine.
Cest le cas de certains groupes administratifs, de comptes utilisateurs ou dordinateurs. Ces
ressources contiennent les objets fondamentaux pour
la gestion des droits du domaine au niveau
administratif.
Ces ressources sont classes dans des conteneurs
hirarchique ou des units dorganisation (OU), un peu
comme les fichiers sur disque sont classs par dossiers.
Ces conteneurs devront tre enrichis pour reflter la
structure fonctionnelle de lentreprise gre par le domaine. Dans la figure ci-dessus, on peut
numrer les conteneurs prsents ds la conception du domaine:
Dossier
Builtin
Computers
Domain Controllers
ForeignSecurityPrincip
als
Users
Description
Conteneur pour les groupes de scurit locaux au contrleur
de domaine. Ils permettent ladministration des services et
fonctions, grs par ce contrleur. Ils ne peuvent pas tre
crs par ladministrateur
Conteneur pour les ordinateurs clients et les serveurs
membres appartenant au domaine
Conteneur pour le ou les contrleurs de domaine qui
administre le domaine. Il sagit dune unit dorganisation,
et non dun conteneur.
Conteneur pour les ordinateurs ou utilisateurs non-membres
de la fort auquel appartient le contrleur de domaine. Ils
peuvent aussi appartenir des groupes de scurits locaux
pour la gestion des ressources locales
Contient les comptes utilisateurs ainsi que les groupes de
scurits prsents par dfaut sur le domaine
CONVENTION DE NOMMAGE X500

La dnomination dun objet Active Directory doit suivre le protocole de nommage X500. Lors de
la cration, de la slection ou de la modification dun objet dans le domaine, cette convention doit
tre respecte.
Chaque type dobjet dans la hirarchie est donc dfini par un identifiant :
Type de nom
CN
OU
DC
Description
Lidentifiant CN dsigne un objet, ou un conteneur simple
dans la structure Active Directory.
Par exemple, Administrateur est un objet, et
Utilisateurs et Builtin sont deux conteneurs dfinis
par dfaut dans la base de donnes Active Directory
Lidentifiant OU dsigne une unit dorganisation dans la
structure Active Directory.
Par exemple, Domain Controllers est une unit
dorganisation dfinie par dfaut dans la base de donnes
Active Directory
Lidentifiant DC dsigne un niveau de hirarchie dans un
espace de noms DNS.
Par exemple, DC=microsoft, DC=com dsigne les deux
niveaux de lespace de noms du domaine microsoft.com
Exemple :
CN=Bob, OU=Techniciens, DC=mondomaine, DC=local dsigne lutilisateur Bob ,
dans lunit dorganisation Techniciens , situe la racine du domaine mondomaine.local
UNITS DORGANISATION (OU)

Les units dorganisation (OU) vont permettre de dcouper le domaine en plusieurs groupes
logiques, administrables sparment, et sur lesquels sappliquent des configurations diffrentes.
Elles sont donc utilises pour reflter les structures fonctionnelles ou commerciales dune
entreprise.
Les units d'organisation peuvent donc contenir des utilisateurs, des groupes, des ordinateurs,
des imprimantes, des contacts, des dossiers partags et une quantit illimite d'autres units
d'organisation, mais elles ne peuvent pas contenir d'objets d'autres domaines.
Il est galement possible de crer une hirarchie dans les units dorganisation. Cela permettra de
dfinir des stratgies de droits spcifiques des utilisateurs, tout en hritant de droits dj dfinis
pour dautres utilisateurs.
Hirarchie
On peut dfinir deux OU, Administration et Comptabilit , possdant des droits communs
ainsi que certains droits supplmentaires pour les objets de la comptabilit. Cela permet de ne pas
avoir redfinir tous les droits pour chaque groupe : les objets de lOU Comptabilit hritent par
dfaut des droits des objets de lOU Administration, et peuvent ensuite avoir leurs droits propres.
Ici, Alice Dupont ainsi que son ordinateur PC-ALICEDUPONT hritent des droits
cumuls entre lOU Administration et lOU Comptabilit. Nous verrons comment modifier cet
hritage dans les chapitres suivants.
Cration interactive dune OU

Une unit dorganisation peut tre cre
directement via loutil Utilisateurs et
ordinateurs Active Directory .
Une OU est dfinie par son nom, sa description, et
sa position dans la hirarchie des OU du domaine.
Dautres proprits sont disponibles pour situer
lOU au niveau de lentreprise, et dsigner le
grant de lOU, si son administration a t
dlgue.
Cration par script dune OU

Une unit dorganisation peut galement tre cre par script, via la commande dsadd :
dsadd ou <nom de lOU>

La liste des paramtres est la suivante :
Option
<nom de lOU>
-d <domaine> |
<serveur>
-desc <description>
-u <utilisateur>
-p <mot de passe>
-q
-s
Description
Indique le nom de lOU crer. Le nom de lOU doit
contenir son emplacement dans la hirarchie X500 du
domaine.
Exemple : OU=test, DC=microsoft, DC=com
Indique le nom du domaine ou le nom du contrleur o lOU
doit tre cre
Indique un commentaire li lOU cre
Indique le nom dutilisateur utilis pour crer lOU
Indique le mot de passe du compte utilisateur.
La valeur * permet de demander le mot de passe de
manire interactive
Excute la commande de manire silencieuse
Dplacement dune ressource entre OU

Dans certaines conditions, il est utile de
dplacer une ressource dune OU vers une
autre. Ceci peut tre fait par le menu
Dplacer , dans loutil Utilisateurs et
ordinateurs Active Directory .
Il est galement possible de dplacer une
OU par script en utilisant la commande dsmove :
dsmove <nom de lOU> -newparent <OU parente>

Lexemple suivant permet de dplacer lOU MonOU vers lOU Administration :
dsmove permet aussi de renommer un objet en utilisant la syntaxe suivante :
dsmove <nom de lOU> -newname <nouvelle OU>
Autres commandes Active Directory

Dautres commandes en ligne Active Directory permettent de modifier le contenu de la base :
Option
Description
Affiche les informations relatives un objet
dans la base Active Directory
Modifie les informations relatives un objet
Dsmod
Supprime un objet dans la base Active
Dsrm
Directory
Dplace un objet dans la base Active Directory
Dsmove
Laide est disponible sur ces commandes via la syntaxe dsget ou / ? par exemple. Ces
commandes sont disponibles pour grer tous les types dobjets vus dans les chapitres suivants.
Dsget
Exemple (affectation dun commentaire une unit dorganisation) :
dsmod ou "OU=Contrleurs de domaine,DC=Microsoft,DC=Com"

-desc "Il s'agit d'une unit d'organisation test"
Dlgation de contrle
La dlgation de contrle permet de dlguer certains droits sur une OU, un utilisateur ou un
groupe dutilisateurs.
La dlgation permet de dfinir des
tches simples, comme la gestion
des utilisateurs, ou des tches
personnalises plus complexes, en
fonction des attributs des objets prsents dans lOU.
Ainsi, ladministrateur peut dlguer ses tches
des responsables de diffrentes units. Cela permet
daugmenter le niveau fonctionnel dun utilisateur
sans crer de groupes de scurit spcifique cette
tche. La dlgation de contrle peut seffectuer au
niveau du domaine complet, ce qui nest pas
conseill pour des raisons videntes de scurit.
UTILISATEURS
Prsentation
Les comptes utilisateurs permettent aux utilisateurs daccder aux ressources du domaine. Ils sont
associs un mot de passe, et fonctionnent dans un environnement dfinit (local ou domaine).
Un utilisateur possdant un compte sur le domaine pourra donc didentifier sur toutes les
machines de ce domaine, sauf si ladministrateur met une restriction en place. Lors dune
modification (par exemple, le mot de passe), cette modification sera rpercute
automatiquement sur lensemble du domaine.
Un utilisateur possdant un compte local ne pourra sidentifier que sur la machine

disposant de ce compte. Les informations sur lutilisateur sont stockes sur la machine
possdant ce compte. Lors dune modification (par exemple, le mot de passe), cette
modification devra tre rpercute manuellement sur toutes les machines ayant dclar ce
compte.
Cration interactive dun compte utilisateur

Un compte utilisateur peut tre cr directement
via loutil Utilisateurs et ordinateurs Active
Directory , dans lunit dorganisation voulue.
Un
utilisateur est dfini au moins par son nom, son

login sur le domaine, et son mot de passe.
Bien sur, il sera cr dans lOU pour laquelle on

veut dfinir lutilisateur.
Stratgie de scurit du mot de passe

Un contrleur de domaine met en place une stratgie de mot de passe par dfaut. Ce mot de passe
doit contenir au moins 6 caractres et rpondre un critre de complexit :
au moins une minuscule
au moins une majuscule
au moins un signe de ponctuation
le login ne doit pas tre contenu dans un mot de passe
Cette stratgie de mot de passe pourra tre modifie par la gestion des stratgies de groupe, que
nous verrons plus tard dans ce groupe.
Options
Diffrentes options sont dfinies au moment de la cration du compte :
Option
Lutilisateur doit changer son mot

de passe la prochaine ouverture
de session
Lutilisateur ne peut pas changer

son mot de passe
Le mot de passe nexpire jamais
Le compte est dsactiv
Description
Lors de sa premire connexion, le systme
forcera lutilisateur choisir un nouveau de
passe.
Cette option permet dassurer lutilisateur que
ladministrateur ne connatra pas son mot de
passe personnel.
Cette option permet ladministrateur de
sassurer quil pourra accder aux ressources du
compte utilisateur. On utilise cette option pour
les comptes invits.
Cette option permet de passer outre la stratgie
de mot de passe par dfaut (qui dfinit la
longvit dun mot de passe 42 jours)
Cette option invalide le compte utilisateur : il
nest plus possible douvrir une session avec ce
compte.
Cette option est intressante pour dsactiver
temporairement un compte (pour un cong par
exemple). En effet, si on supprime le compte,
on ne pourra le recrer sans supprimer toutes
les ressources qui lui taient associes (voir
la fin du paragraphe)
Proprits de lutilisateur
Un compte utilisateur dispose de nombreuses
proprits permettant de le dfinir au niveau
ressource dans le domaine, mais aussi de
faon fonctionnelle dans lentreprise.
Il est ainsi possible de dfinir un nombre
important de paramtres, qui peuvent savrer
utile lors de la recherche dans la base Active
Directory, par exemple, o lors daudits pour
savoir qui a effectu des modifications sur les
ressources du rseau.
Profils
Parmi les proprits disponibles, la notion de Profil est une des plus importantes. Elle permet
de dfinir sur quels dossiers seront sauvegards les paramtres dun compte utilisateur. Cest un
moyen efficace de planifier lemplacement de toutes les donnes utilisateur, des fins de
sauvegarde par exemple.
On distingue trois types de profils utilisateur disponibles :
Type de profil
Profil local
Profil itinrant
Profil itinrant obligatoire
Description
Cest un profil enregistr au niveau de la station
de travail de lutilisateur. Il peut avoir des
caractristiques diffrentes selon la machine sur
laquelle lutilisateur ouvre sa session
Cest un profil enregistr dans une ressource
partage ou dans un dossier priv de lutilisateur.
Il peut le modifier, et il reste accessible quelle
que soit lordinateur sur lequel il est connect.
Cest un profil enregistr dans une ressource
partage ou dans un dossier priv de lutilisateur
ou dun groupe. Il ne peut pas tre modifi.
Profil local
Le profil local est enregistr au niveau de lordinateur client. Il se situe par dfaut dans le dossier
%SYSTEMDRIVE%\Documents and Settings\<nom de lutilisateur> . Sa configuration est
stock dans le fichier NTUSER.DAT , prsent pour chaque profil.
Lutilisateur peut modifier ce profil comme il lui plait, condition quil ait les droits
dadministration sur son ordinateur. Il faut donc dfinir son compte de domaine comme
administrateur local de la machine.
Ce type de profil nest pas trs avantageux ni trs efficace dans un domaine, car on ne peut pas
administrer les ressources de lutilisateur depuis les outils du domaine.
Profil itinrant (ou errant)

Le profil errant apporte deux avantages :
Il permet un utilisateur de retrouver les paramtres de son profil (comme son bureau,
par exemple), quelle que soit la machine sur laquelle il ouvre une session.
Les fichiers correspondant au profil se retrouvent sur un dossier partag du serveur et

peuvent tre facilement intgrs une politique de sauvegarde.
Un profil errant est dfini au niveau des proprits du
compte utilisateur.
Les fichiers constituant le profil de lutilisateur seront
donc stocks dans le dossier partag personnel de
lutilisateur, sur le serveur. Bien entendu, il faut
dfinir les droits daccs ncessaires au niveau de ce
dossier.
Lors de la fermeture de session sur lordinateur client, le profil est synchronis sur le serveur.
Attention : Avec Windows 2000, les profils ne sont pas synchroniss, mais tlchargs. Ceci peut
poser un problme de performances, notamment si 500 utilisateurs ouvrent leurs sessions
simultanment.
Sur un rseau important, cela peut mener des problmes de performances ; nous verrons
comment optimiser cet change avec les stratgies de scurit dans un prochain paragraphe.
Profil errant obligatoire

Le profil errant obligatoire perme de dfinir un profil qui nest pas modifiable. Lenvironnement
peut tre modifi le temps de la session, mais, chaque ouverture de session, lutilisateur
retrouve son environnement dorigine, comme dfinit dans le profil de dpart. Ce type de profil
est destin aux utilisateurs visiteurs, ou ceux dont les droits doivent tre restreints.
Pour crer un profil errant obligatoire, il faut renommer le fichier NTUSER.DAT en
NTUSER.MAN (mandatory).
Cration par script dun compte utilisateur

Un utilisateur peut galement tre cr via la commande dsadd :
dsadd user <nom de lutilisateur>

La liste des paramtres est la suivante :
Option
<nom de lutilisateur>
-d <domaine>
<serveur>
-samid <id>
-upn <nom>
-fn <prnom>
-mi <initiales>
-ln <nom>
-display <nom>
-empid <identifiant>
-pwd <mot de passe>
-desc <description>
-memberof <groupes>
-office <bureau>
-tel <tlphone>
-s
Description
Indique le nom de lutilisateur crer. Le nom de
lutilisateur doit contenir son emplacement dans la
hirarchie X500 du domaine.
Exemple :
CN=Bob
DURAND,
CN=Utilisateurs,
DC=microsoft, DC=com
Indique le nom du domaine ou le contrleur de domaine o
lutilisateur doit tre cr
Identifiant unique dans la base Active Directory
Indique le nom principal de lutilisateur
Exemple : utilisateur@microsoft.com
Indique le prnom de lutilisateur
Indique les initiales de lutilisateur
Indique le nom de lutilisateur
Indique le nom complet afficher de lutilisateur
Exemple : Pascal DUPONT
Indique lID de lemploy affecter lutilisateur
Indique le mot de passe du compte utilisateur
Indique la description associe lutilisateur
Indique les groupes auxquels appartient lutilisateur
Indique lemplacement du bureau de lutilisateur
Indique le numro de tlphone de lutilisateur
-email <email>
-hometel <numro>
-pager <numro>
-mobile <numro>
-fax <numro>
-iptel <numro>
-webpg <page>
-title <fonction>
-dept <dpartement>
-company
-mgr <directeur>
-hmdir
-hmdrv
-profile
-loscr
-mustchpwr
-canchpwd
-pwdneverexpires
-acctexpires
-disabled
-u <utilisateur>
-p <mot de passe>
-q
Indique ladresse e-mail de lutilisateur

Indique le numro de tlphone personnel de lutilisateur
Indique le numro de pager personnel de lutilisateur
Indique le numro de portable de lutilisateur
Indique le numro de fax de lutilisateur
Indique le numro de tlphone IP de lutilisateur
Indique la page web de lutilisateur
Indique la fonction de lutilisateur
Indique le dpartement de lutilisateur dans lentreprise
Indique la socit laquelle appartient lutilisateur
Indique le nom unique du directeur de lutilisateur
Spcifie l'emplacement du rpertoire de base de l'utilisateur
que vous souhaitez ajouter. Si RpertoireBase est donn sous
la forme d'un chemin UNC (\\), vous devez alors spcifier
une lettre de lecteur mapper ce chemin en utilisant le
paramtre -hmdrv
Il est possible dutiliser la variable denvironnement
%username% dans le chemin pour indiquer le nom de
lutilisateur
Exemple : \Users\%username%\home
Spcifie la lettre de lecteur du rpertoire de base (par
exemple E:) de l'utilisateur que vous souhaitez ajouter
Spcifie le chemin du profil de lutilisateur
Spcifie le chemin du script douverture de session de
lutilisateur
Indique si lutilisateur doit changer son mot de passe
louverture de session
Indique si lutilisateur peut changer son mot de passe
Indique si le mot de passe de lutilisateur nexiste jamais
Indique la dure de validit du mot de passe de lutilisateur
Indique si le compte de lutilisateur est dsactiv
Indique le nom dutilisateur utilis pour crer le nouveau
compte
Indique le mot de passe du compte utilisateur crant le
nouveau compte.
manire interactive
Dsactivation des comptes utilisateurs

Chaque compte utilisateur dispose dun identifiant unique (SID comme vu dans la base de
registre). Lorsquon supprime un compte et quon le recre, mme avec des informations
strictement identiques, celui-ci se voit affecter un nouvel SID. Il perd donc tout son contexte de
scurit. Afin dviter davoir reconfigurer tous ses droits et autorisations, il est conseill de
dsactiver le compte. Aprs vrification, si la suppression peut se faire dans de bonnes conditions,
elle peut tre ralise.
IMPORT ET EXPORT DES UTILISATEURS AVEC CSVDE

CSVDE (Comma Separated Value Directory Exchange) est un utilitaire permettant l'importation
en bloc d'utilisateurs dans l'annuaire Active Directory. Il s'avre trs utile si l'on doit importer une
base de donnes utilisateurs venant d'un autre support (Excel, Notes,...) et permet l'import via des
fichiers .txt ou .csv . Pour que l'importation fonctionne correctement, le fichier doit
contenir les informations ncessaires la cration des attributs du compte de l'utilisateur.
Si CSVDE ne permet pas de modifier des donnes existantes dActive Directory, il permet en
revanche d'importer comme d'exporter vers des feuilles Excel ou simplement un fichier texte.
La solution la plus simple pour crer un fichier CSVDE est dobtenir un masque de fichier
partir dun utilisateur existant dans Active Directory et les exporter vers CSVDE, via le
paramtre -f :
Le fichier CSVDE obtenu est le suivant :
Lentte contient les champs dfinis dans le fichier. Il nest pas ncessaire de renseigner tous les
champs. Seuls les champs dfinis dans lentte du fichier serviront limport.
Il est bien entendu possible de filtrer les entres exportes par CSVDE. Lexemple suivant extrait
les informations concernant le compte Bob DUPONT :
Exemple dimportation :
Lexemple suivant importe les champs dfinis ci-aprs :
DN,
UserPrincipalName,
SamAccountName,
TelephoneNumber,
department,
UserAccountControl,
ObjectClass
Les donnes sont :
"CN=Bob DURANT,OU=Dveloppeurs,DC=virtualdomain,DC=com",
bob.durant,
bob.durant@virtualdomain.com,
0611111111,
Dveloppeurs,
512,
user
Activation du compte
Le paramtres 512 (6me paramtre UserAccountControl ) indique que le compte est activ.
Une valeur de 514 dsactive le compte.
Limport est ralis via le paramtres -i :
Loutil CSVDE se rvle trs pratique pour faire de limport de masse, en partant par exemple
dune feuille Excel convertie en .csv .
ORDINATEURS
Les comptes dordinateurs nexistent que dans le contexte dun domaine. Ils permettent
didentifier chaque ordinateur ayant accs la base de compte Active Directory, notamment pour
lidentification des utilisateurs.
Les comptes dordinateurs sont particulirement utiles pour la gestion de la scurit : ainsi on va
pouvoir utiliser ces comptes pour configurer des audits, du cryptage IP, le dploiement de
logiciels, les stratgies de scurit,
Cration interactive dun compte ordinateur

Un compte ordinateur peut tre cr directement
via loutil Utilisateurs et ordinateurs Active
Directory , dans lunit dorganisation voulue.
Un ordinateur est dfini au moins par son nom et
son nom compatible pr-Windows.
Ordinateur gr
Un ordinateur gr est connu par le domaine
par son identifiant unique (GUID). Cela permet
certains services, notamment les services de
dploiement RIS (Remote Installation Services),
de filtrer les ordinateurs susceptibles de
sinstaller comme client du domaine. Nous
verrons cette option lors du chapitre concernant les installations distance.
Cration par script dun compte ordinateur

Un ordinateur peut galement tre cr via la commande dsadd :
dsadd computer <nom de lordinateur>

Option
<nom de lordinateur>
-d <domaine>
<serveur>
-loc
-desc
-memberof
-u <utilisateur>
-p <mot de passe>
-s
Description
Indique le nom de lordinateur crer. Le nom de
lordinateur doit contenir son emplacement dans la
hirarchie X500 du domaine.
Exemple :
CN=CLIENTXP,
CN=Ordinateurs,
lordinateur doit tre cr
Indique lemplacement de lordinateur
Indique la description associe lordinateur
Indique les groupes auxquels appartient lordinateur
compte
nouveau compte.
manire interactive
-q
GROUPES
Les groupes permettent de simplifier la gestion de laccs des utilisateurs aux ressources du
rseau. Ils peuvent, en une seule action, affecter une ressource un ensemble dutilisateurs, au
lieu de rpter laction pour chaque utilisateur. Un utilisateur pourra tre membre de plusieurs
groupes.
Les groupes dclars sur les contrleurs de domaines sont utilisables sur lensemble des machines
du domaine. Ils permettent davoir une gestion centralise de la hirarchie des groupes. Ils
peuvent contenir des utilisateurs du domaine, et mme dautres domaines.
Groupes par dfaut

Les groupes par dfaut possdent des droits et des autorisations prdfinis qui permettent de
faciliter la mise en place dun environnement scuris. Ainsi, un certain nombre de rles courants
sont directement applicables en faisant membre du groupe adquat lutilisateur auquel on
souhaite donner ces droits.
Ces groupes sont crs automatiquement, ainsi que les autorisations qui leur sont associs.
Sur un serveur
Les groupes par dfaut sur un serveur sont stocks dans la base de compte locale la machine. Ils
sont crs automatiquement lors de linstallation de Windows Server 2003 et sont visibles dans
loutil Utilisateurs et groupes locaux .
Groupe
Administrateurs
Invits
Utilisateurs
Utilisateurs
pouvoir
avec
Oprateurs dimpression
Description
Les membres ont plein pouvoir sur le domaine. Lorsquun
serveur est ajout au domaine, le groupe Administrateurs du
domaine est ajout ce groupe.
Les membres de ce groupe ont un pouvoir trs limit. Un
profil temporaire est cr pour les utilisateurs de ce groupe.
Les membres de ce groupe peuvent utiliser les applications
et les priphriques installs.
Les membres de ce groupe peuvent crer des comptes
utilisateurs, des ordinateurs, des dossiers partags, et les
grer
Les membres de ce groupe peuvent grer les imprimantes et
les travaux dimpression
Certains groupes par dfaut sont installs si un service est dploy sur le serveur. Cest le cas des
groupes Utilisateurs DHCP et Administrateurs DHCP par exemple.
Sur un contrleur Active Directory

Les groupes par dfaut sur un contrleur Active Directory sont stocks dans la base Active
Directory du domaine. Ils sont visibles dans les conteneurs Builtin et Users de loutil
Utilisateurs et ordinateurs Active Directory . Ils sont crs lors de linstallation dActive
Directory. Ils rpondent surtout des rles prcis dans dadministration des objets du domaine.
Les proprits de certains de ces groupes sont les suivants :
Groupe
Description
Oprateurs de compte
Oprateurs de serveur
Contrleurs de domaine
Oprateurs de
sauvegarde
Ordinateurs
Invits du domaine
Utilisateurs du domaine
Administrateurs du
domaine
Administrateurs de
lentreprise
Les membres de ce groupe peuvent grer les comptes

utilisateurs
Les membres de ce groupe peuvent grer les ordinateurs du
domaine
Ce groupe contient les comptes dordinateurs et de
contrleurs de domaine
Les membres de ce groupe peuvent faire des sauvegardes des
dossiers et fichiers, mme sans la permission daccder ces
derniers
Ce groupe contient les comptes dordinateurs du domaine
Les membres de ce groupe bnficient dun profil
temporaire
Ce groupe contient tous les utilisateurs du domaine
Les membres de ce groupe peuvent administrer les
ressources du domaine
Les membres de ce groupe peuvent administrer les
ressources du domaine, et crer des liens entre les domaines
de la fort
Groupes Systme
Les groupes systme sont des groupes sont les membres sont grs automatiquement par le
systme. Ces groupes sont utiles dans le cas daffectations dautorisations sur les ressources.
Groupe
Anonymous Logon
Tout le monde
Rseau
Utilisateurs authentifis
Crateur propritaire
Description
Reprsente les utilisateurs qui ne sont pas authentifis
Tous les utilisateurs (authentifis ou non) sont prsents dans
ce groupe
Regroupe les utilisateurs connects via le rseau
Reprsente les utilisateurs qui sont authentifis
Reprsente le propritaire dune ressource
Types de groupe
Il existe deux types de groupes disponibles dans Active Directory :
Type
Groupes de scurit
Groupes de distribution
Description
Ils permettent daffecter des utilisateurs et des ordinateurs
des ressources
Ils sont conus pour regrouper des utilisateurs dans un
contexte logique. Ils sont exploitables, entre autres, par les
logiciels de messagerie. Ils ne permettent pas daffecter des
ressources.
Etendues des groupes

Chaque type de groupe Active Directory grent chacun trois niveaux dtendue . Leur
fonctionnement dpend du niveau fonctionnel du domaine, qui peut varier entre mixte et
Windows 2000 / Windows 2003 (natif).
Groupes globaux
Membres
Membres de
Etendue
Autorisations pour
Mode mixte
Compte
utilisateurs
mme domaine
Mode natif
Compte utilisateurs et
groupes globaux du
mme domaine
Groupes locaux du mme
Groupes
locaux
du
domaine
domaine
Visibles dans leur domaine et dans tous les domaines
approuvs
Tous les domaines de la fort
du
Groupes locaux
Membres
Membres de
Etendue
Autorisations pour
Mode mixte
Non utilisables
Mode natif
Comptes
utilisateurs,
groupes
globaux
et
universels dun domaine
quelconque de la fort, et
groupes locaux de mme
domaine
Non utilisables
Groupes locaux de mme
domaine
Visibles dans leur propre domaine
Le domaine dans lequel le groupe existe
Groupes universels
Membres
Membres de
Etendue
Autorisations pour
Mode mixte
Non utilisables
Mode natif
Comptes
utilisateurs,
groupes
globaux
et
universels dun domaine
quelconque de la fort
Non utilisables
Groupes locaux de mme
domaine
Visibles dans tous les domaines de la fort
Tous les domaines de la fort
Cration interactive dun groupe

Un groupe peut tre cr directement via loutil
Utilisateurs et ordinateurs Active Directory ,
dans lunit dorganisation voulue.
Un groupe est dfini au moins par son nom, son type
et son tendue.
Cration par script dun groupe

Un groupe peut galement tre cr via la commande dsadd :
dsadd group <nom du groupe>
Les paramtres de la commande sont les suivants :

Option
<nom du groupe>
-samid <id>
-d <domaine>
<serveur>
-secgrp yes | no
-s
-scope l | g | u
-desc <description>
-memberof <groupes>
-members <utilisateurs>
-u <utilisateur>
-p <mot de passe>
-q
Description
Indique le nom du groupe crer. Le nom du groupe doit
domaine.
Exemple :
CN=GROUPEDHCP,
CN=Utilisateurs,
le groupe doit tre cr
Indique si le groupe est un groupe de scurit (yes) ou un
groupe de distribution (no)
Dfinit ltendue du groupe :
l dfinit un groupe local au domaine
g dfinit un groupe global
u dfinit un groupe universel
Indique les groupes auxquels appartient lordinateur
Indique les groupes auxquels ce groupe doit tre ajout
Indique les membres ajouter au groupe
compte
nouveau compte.
manire interactive
CONTACTS
Les contacts permettent de rfrencer des personnes
indpendantes de lorganisation fonctionnelle du
domaine, comme par exemple des clients ou des
fournisseurs. Ils pourront tre recherchs dans
lannuaire Active Directory, comme les autres
ressources.
Cration interactive dun contact

Un contact peut tre cr directement via loutil
Utilisateurs et ordinateurs Active Directory , dans lunit dorganisation voulue. Un contact
est dfini au moins par son nom.
Cration par script dun contact

Un contact peut galement tre cr via la commande dsadd :
dsadd contact <nom du contact>
Les paramtres de la commande sont les suivants :

Option
<nom du contact>
-samid <id>
-d <domaine>
<serveur>
-fn <prnom>
-mi <initiales>
-ln <nom>
-display <nom>
-desc <description>
-office <bureau>
-tel <tlphone>
-email <email>
-hometel <numro>
-pager <numro>
-mobile <numro>
-fax <numro>
-iptel <numro>
-title <fonction>
-dept <dpartement>
-company
-u <utilisateur>
-p <mot de passe>
-q
-s
Description
Indique le nom du contact crer. Le nom du contact doit
domaine.
Exemple :
CN=Fournisseur
X,
OU=Marketing,
lutilisateur doit tre cr
Indique le prnom de lutilisateur
Indique les initiales de lutilisateur
Indique le nom de lutilisateur
Indique le nom complet afficher de lutilisateur
Exemple : Pascal DUPONT
Indique la description associe lutilisateur
Indique lemplacement du bureau de lutilisateur
Indique le numro de tlphone de lutilisateur
Indique ladresse e-mail de lutilisateur
Indique le numro de tlphone personnel de lutilisateur
Indique le numro de pager personnel de lutilisateur
Indique le numro de portable de lutilisateur
Indique le numro de fax de lutilisateur
Indique le numro de tlphone IP de lutilisateur
Indique la fonction de lutilisateur
Indique le dpartement de lutilisateur dans lentreprise
Indique la socit laquelle appartient lutilisateur
compte
nouveau compte.
manire interactive
DOSSIER PARTAGS
Les dossiers partags permettent de rfrencer les
partages rseaux sur le domaine.
Ainsi un utilisateur peut profiter du service de
recherche, au lieu de parcourir toutes les
stations manuellement sur le rseau pour trouver
ces partages.
IMPRIMANTES
Comme les dossiers partags, un utilisateur peut
profiter du service de recherche des imprimantes, au
lieu de parcourir toutes les stations manuellement sur
le rseau pour les trouver.
INETORGPERSON
Lobjet InetOrgPerson est un cas particulier. Active Directory prend en charge la classe
d'objets InetOrgPerson et ses attributs dfinis dans RFC 2798. La classe d'objets InetOrgPerson
est utilise dans plusieurs services d'annuaire LDAP et X.500 non Microsoft pour reprsenter les
membres d'une organisation.
La prise en charge de InetOrgPerson rend les migrations de donnes des autres annuaires LDAP
vers Active Directory plus efficaces. L'objet InetOrgPerson est driv de la classe d'utilisateur et
peut tre utilis comme entit de scurit tout comme celle-ci.
RECHERCHE DANS ACTIVE DIRECTORY

Lavantage de la base Active Directory est de pouvoir faire des recherches pour localiser des
ressources sur le rseau. Ces recherches peuvent se baser sur des critres comme le type dobjet
ou les valeurs de ces proprits. Deux solutions existent pour procder cette recherche :
Recherche interactive sur le serveur

La recherche interactive est disponible dans loutil Utilisateurs et ordinateurs Active
Directory
Recherche interactive sur le client

La recherche interactive est disponible dans les Favoris
Rseau , via la commande Rechercher dans Active
Directory .
Cette recherche est possible par dfaut par le nom, mais
peut tre ralise sur tous les champs correspondants aux
proprits dfinies par les objets.
Recherche
par script sur
le serveur
La recherche est galement possible sur le serveur via les commandes dsquery .
Lexemple suivant recherche les utilisateurs dont le nom commence par Bob :
Plus dinformations sont disponibles sur la commande dsquery ladresse suivante :

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/46ba14
26-43fd-4985-b429-cd53d3046f01.mspx?mfr=true
STRATGIES DE SCURIT
Dfinition
Le terme Stratgie dsigne la configuration logicielle du systme par rapport aux utilisateurs. A la
suite dune installation de Windows, aucune stratgie n'est configure, et tout est permis (en
fonction bien sr des droits des groupes d'utilisateurs prdfinis : Administrateurs, Utilisateurs,
Utilisateurs avec pouvoir...). La stratgie peut alors tre modifie par un administrateur en
fonction des paramtres quil veut appliquer sur une machine ou sur un compte utilisateur.
Stratgie de scurit cliente (sous Windows XP)

Les stratgies de scurit sont les conteneurs de proprits valables sur une machine ou sur le
rseau. Elles sont configures pour la machine locale ou pour lutilisateur en session sur la
machine.
Une machine cliente sous Windows XP, de mme quun
serveur autonome Windows Server, possde donc sa gestion
des stratgies, accessible par loutil dadministration
Stratgie de scurit locale . Elle permet de configurer
une stratgie de paramtres valables sur le client, mme si celui-ci nest pas membre dun
domaine Active Directory.
Sur un client, les paramtres de scurit locaux paramtrables sont situs dans les branches
suivantes :
Option
Description
Stratgie de comptes
Cette arborescence contient les paramtres permettant de

scuriser les comptes utilisateurs. On trouve ici les paramtres
inhrents aux critres de gestion des mots de passe (longueur,
complexit, ), ainsi que les options de verrouillage lors de la
saisie de mauvais mot de passe.
Stratgies locales
Stratgies
publiques
de
Cette arborescence contient les paramtres permettant de grer

les audits au sein du systme (notamment laudit NTFS). On
trouve galement les options de scurit visant dterminer
quels utilisateurs possdent des droits sur les paramtrages
critiques du systme.
clefs
Cette branche contient les paramtres permettant de grer le

systme de cryptage EFS du systme de fichiers NTFS.
Stratgies de restriction
logicielle
Stratgie de scurit IP
Cette branche contient les paramtres permettant de restreindre

lusage des applications en fonction des utilisateurs.
Cette branche contient les paramtres permettant de mettre en
place un cryptage IPSec lors des communications avec
lordinateur.
Chaque paramtre est modifiable par ladministrateur, et est mis en place pour lordinateur. La
valeur affecte dpend de ces paramtres.
Stratgie de scurit sur un domaine

Lors de la mise en place dun domaine Active Directory, une stratgie de
scurit du domaine est mise en place par dfaut. Tous les ordinateurs et
utilisateurs membres de ce domaine hriteront donc des paramtres configurs
au niveau de cette stratgie. On retrouve dans larborescence des paramtres
communs avec les paramtres de scurit locale des clients, ainsi que beaucoup
dautres paramtres concernant la scurit accrue inhrente au domaine.
Comme sur un client, chaque paramtre est modifiable par ladministrateur, et est mis en place
pour lordinateur. La valeur affecte dpend de ces paramtres.
Stratgie de scurit sur un contrleur de domaine

Une stratgie de scurit supplmentaire est mise en place sur les contrleurs de
domaine. La majorit des paramtres ne sont pas configurs sur cette stratgie, et
les ordinateurs et utilisateurs hritent donc en majorit des paramtres fixs dans
la stratgie du domaine. Toutefois, ces lments restent configurables afin
dobtenir une scurit plus ou moins permissive.
STRATGIES DE GROUPE (GPO)

Prsentation
Les stratgies de groupe sont des ensembles de paramtres applicables des utilisateurs, des
groupes dutilisateurs et des ordinateurs, de faon automatise. Elles se dfinissent au niveau
dun domaine ou des units dorganisation prsentes dans ce domaine, et sont applicables tous
les objets situs dans le conteneur o est dfinie la stratgie. Elles sont alors imposes
automatiquement par le systme dexploitation et non modifiables par lutilisateur.
Grce aux stratgies de groupe, il est alors possible de restreindre le bureau des utilisateurs,
dappliquer des stratgies de comptes et de mots de passe, de dployer des applications, de
paramtrer la scurit, dexcuter des scripts, de mettre en uvre des audits, de changer les droits
dun utilisateur, etc... En bref, les stratgies de groupe permettent de disposer dun outil de
gestion et de contrle dadministration permettant de rduire le cot de maintenance dun
domaine Active Directory ainsi que les tches lies ladministration.
Dfinition
Les stratgies de groupe sont reprsentes comme des objets Active Directory. On les appelle
plus communment des GPO (Group Policy Objects).
Lorsquon cre une stratgie de groupe, on cre alors un objet Active Directory que lon va lier
un conteneur de type OU ou au domaine. Il est possible de lier la GPO plusieurs conteneurs et
lier plusieurs GPO un mme conteneur.
Il existe deux possibilits pour grer les stratgies de groupe au niveau de Windows Server 2003 :
On peut les grer avec loutil Utilisateurs et Ordinateurs Active

Directory . Chaque conteneur possible pour lapplication dune stratgie
possde une proprit permettant de crer, supprimer et grer la porte de la
stratgie. Nanmoins, on ne peut visualiser et grer quune stratgie la fois,

pour un conteneur donn.
On peut grer lensemble des

stratgies de faon gnralise
en utilisant la Gestion des
Stratgies de Groupe (ou
GPMC pour Group Policy
Management Console). Cest
un composant qui nest pas
intgr au systme et qui doit
tre tlcharg et install
sparment. Il peut sinsrer
ensuite dans une console MMC. Cet outil savre plus pratique utiliser, car
on a une vue globale des stratgies dployes et des lments qui composent
cette stratgie. Nous utiliserons donc cet outil dans cette session de cours.
Aprs son installation, il remplace la possibilit de gestion des stratgies de
loutil Utilisateurs et Ordinateurs Active Directory .
Principe
La gestion des stratgies de groupe se divise en deux parties : la configuration ordinateur et la
configuration utilisateur . Pour rsumer simplement :
Les paramtres de stratgies pour les ordinateurs dfinissent le

comportement du systme dexploitation, dune partie du bureau et des
lments de scurit.
Les paramtres de stratgies pour les utilisateurs dfinissent les

applications publies, la configuration des applications ainsi que la
configuration du bureau.
Lorsque la machine dmarre, les paramtres dfinis pour lordinateur vont tre appliqus ainsi
que les scripts de dmarrage. La stratgie va alors modifier des valeurs parmi les clefs du registre
de la machine de destination, de faon ce que les paramtres concernant cette stratgie soient
appliqus sur la machine et sur le compte de lutilisateur connect. Les stratgies de groupe
naffectent que 4 cls du registre qui ne sont modifiables que par le compte Administrateur, un
utilisateur tiers ne peut modifier aucune des cls mme sil dispose dditeur de registre comme
REGEDIT. Les cls du registre concernes sont :
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Ensuite, lorsque lutilisateur ouvre une session, les paramtres de lutilisateur sont appliqus,
suivi des scripts douverture de session.
Les stratgies de groupe ne sont pas appliques aux utilisateurs membres du groupe de scurit
Administrateurs.
Une fois les stratgies appliques, elles sont rafrachies toutes les 90 minutes sur le domaine.
Ainsi les ordinateurs et les utilisateurs ont toujours la stratgie applique mme sils ne se
dconnectent pas. Sur les contrleurs de domaine et les serveurs membres, les GPO sont
rafrachies toutes les 5 minutes.
Il est possible de forcer manuellement la mise jour des stratgies sur le domaine en utilisant la
commande suivante :
gpupdate /force
Visualisation dune stratgie

La figure ci-contre montre la stratgie du domaine
configure par dfaut.
Longlet Etendue prsente la ou les stratgies prsente
sur lOU ou le domaine. Les diffrentes options
accessibles par le menu contextuel de chaque stratgie de
scurit sont :
Option
Appliquer
Lien activ
Supprimer le lien
Description
Cette fonctionnalit permet de forcer l'application d'une
stratgie mme si l'hritage a t bloqu au niveau d'un
conteneur infrieur. Lorsque ce paramtre est appliqu, un
cadenas apparat sur de l'icne du lien de stratgie de groupe.
dtermine si le lien de stratgie de groupe est activ ou non.
S'il n'est pas activ, les paramtres de la stratgie ne
s'appliqueront pas.
Cette permission retire la stratgie de scurit de lOU ou du
domaine correspondant. Cela ne dtruit pas la stratgie qui
reste prsente dans les objets de stratgie de groupe
Dans longlet Dtails , il est possible, pour chaque stratgie dfinie, de restreindre les
paramtres pris en compte lors de son application, de faon prendre en compte ou ignorer les
paramtres utilisateurs, les paramtres ordinateur ou tous les paramtres. Lavantage est
dacclrer lapplication des stratgies lors de s ouvertures de session si certains des paramtres
ne nous sont pas utiles.
Longlet Paramtres permet de rsumer les

paramtres qui ont t initialiss ou modifis dans la
stratgie. Cela vite de rechercher, dans chaque branche
de larborescence de la stratgie, les paramtres qui
sont destins sappliquer.
Enfin, longlet Dlgation permet de dlguer la

gestion des stratgies des utilisateurs
ou des groupes de scurit.
Loption Avanc permet de dfinir les permissions

des utilisateurs et des groupes sur les stratgies en place.
Par exemple, un utilisateur doit tre capable de lire
la stratgie pour quelle sapplique lui.
Cration dune stratgie

La cration dune stratgie
seffectue sur lOU ou sur le
domaine que lon souhaite
voir concern. Les options
possibles sont les suivantes :
Option
Description
Crer et lier un objet de

stratgie de groupe ici
Cette option permet de crer une nouvelle stratgie avec des

paramtres par dfaut. Elle sera galement applique par dfaut
elle aussi.
Lier un objet de stratgie

de groupe existant
Cette option permet dutiliser une stratgie de scurit dj

dfinie.
Une fois la stratgie cre, on peut la modifier, de faon dfinir les paramtres qui nous
intressent.
Lditeur de stratgie de groupe affiche alors larborescence des paramtres configurable dans la
stratgie, au niveau utilisateur et ordinateur :
Configuration des paramtres

Chaque paramtre est configurable suivant sa nature, mais dispose galement dun tat o le
systme ignore sa valeur.
Ainsi si le paramtre est indiqu comme Non configur , il ne sera pas pris en compte lors de
lapplication de cette stratgie. Il pourra bien sur tre pris en compte sil est dfinit dans les
stratgies dont on hrite, ou dans les stratgies dfinies dans un niveau infrieur.
Si le paramtre est configur, il sera pris en compte si aucune stratgie de priorit plus importante
ne spcifie le contraire.
Exemple : Empcher laccs au Panneau de Configuration

Option
Description
Non configur
Laccs au Panneau de Configuration sera autoris sauf si

nimporte quelle autre GPO spcifie le contraire.
Activ
Laccs au Panneau de Configuration ne sera pas autoris, sauf si

une GPO ayant une priorit plus importante spcifie le
contraire.
Dsactiv
Laccs au Panneau de Configuration sera autoris, sauf si une

GPO ayant une priorit plus importante spcifie le contraire.
Ordre dapplication et Cumul des stratgies

Des stratgies peuvent tre appliques diffrents niveaux (par exemple, sur un domaine puis sur
une OU). Tout dabord les stratgies dfinies au niveau du domaine sont appliques et enfin
celles aux niveaux des OU. Il y a cumul des stratgies tant quaucun conflit nintervient (c'est-dire quun paramtre nest pas dfini diffremment dans les deux stratgies). En cas de conflit,
cest la stratgie la plus proche de lutilisateur (ici celle de lOU o est situ lutilisateur) qui
est applique.
Dans le cas o plusieurs stratgies sont appliques au mme conteneur, les stratgies sont lues
dans lordre de la liste du bas vers le haut. Cest donc celle du haut qui est applique en cas de
conflit. Sil ny a pas conflit, il y a cumul des stratgies. Il est alors possible de dplacer les
stratgies du haut vers le bas pour modifier les priorits dapplication de celles-ci.
Dans la figure ci-dessous, les utilisateurs membres de lOU Dveloppeurs seront soumis en
premier aux paramtres de la Stratgie Techniciens puis de la Stratgie Dveloppeurs . Il
est possible de modifier cet ordre grce aux flches situes sur la gauche.
Hritage des stratgies

Par dfaut, les stratgies sont hrites des conteneurs parents. Ainsi, les utilisateurs dune OU sur
laquelle aucune stratgie na t dfinie peuvent se voir appliquer des stratgies dfinies au
niveau du domaine, ou mme dune OU parente de ce conteneur.
Il est possible, sur un conteneur, de ne pas hriter des stratgies venant de plus haut dans la
hirarchie. Pour cela, on utilise loption Bloquer lhritage dans le menu contextuel du
conteneur soumis la stratgie :
Dans ce cas, seules les stratgies appliques aux conteneurs seront applicables aux objets prsents
dans ce dernier, et non plus hrites.
Sauf dans le cas o le conteneur parent valide loption Appliqu . Cette option permet aux
administrateurs de forcer lapplication dune stratgie, en cas de conflit, o mme si lenfant
spcifie Bloquer lhritage .
Suppression des stratgies

Du fait que les stratgies appliques aux conteneurs ne sont quun lien vers le GPC, la
suppression dune stratgie va tre, soit simplement la suppression de ce lien logique, soit la
suppression du lien ainsi que de la stratgie elle-mme.
La suppression de la stratgie dans la branche correspondante lOU ne supprime que la lien.

Pour supprimer rellement la configuration de la stratgie, il faut le faire dans la branche Objets
de stratgies de groupe .
DPLOIEMENT PAR STRATGIE

Les stratgies de groupe permettent de distribuer des applications ou des correctifs aux
utilisateurs ou ordinateurs. Il sagit dune fonctionnalit offerte par la technologie
IntelliMirror de Microsoft. Le dploiement dapplications fonctionne sur la technologie
Windows Installer . Il sagit dun service qui fonctionne sur chaque machine, et qui permet
dinstaller et de maintenir des applications. Le systme pourra donc installer de nouveaux
composants ds que lutilisateur en aura besoin, mais aussi rparer des fichiers manquant ou
corrompus, et ce sans intervention de lutilisateur.
Le dploiement dapplications va donc ncessiter un Package utilisable par Windows
Installer. Il sagit dun fichier dinstallation avec lextension .MSI, accompagn des fichiers
ncessaires linstallation du produit.
Pour dployer des applications, on crera un dossier partag sur le serveur pour stocker les
images des applications installer. Ce partage devra contenir les sources .MSI du produit.
Au niveau de la stratgie de groupe, dans la Configuration ordinateur se situe la branche
Installation de logiciel . Il est alors possible daccder au menu pour crer un Nouveau
package... . On slectionne alors le fichier .MSI installer.
Il existe deux mthodes dinstallation pour les packages :

Option
Description
Publication
Lorsquon publie une application pour les utilisateurs, ces

derniers utilisent loutil Ajout/Suppression de programmes
dans le panneau de configuration. En double-cliquant sur un
fichier dont lextension est associe au programme publi, cela
provoque linstallation automatique du programme, sans avoir
passer par le panneau de configuration. La publication est
disponible dans les stratgies de groupe uniquement pour les
paramtres utilisateurs.
Attribution
Un raccourci vers lapplication attribue est cr dans le menu

Dmarrer. Lapplication sera installe lorsque lutilisateur
cliquera sur ce raccourci, ou effectuera un double click sur un
document associ lapplication. Si vous attribuez des
applications lordinateur, celles-ci seront automatiquement
installes.

Active Directory

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Active Directory

Transféré par

Droits d'auteur :

Formats disponibles

ACTIVE DIRECTORY ET GPO

POUR LA FOURNITURE DES

SOURCES AYANT SERVI DE BASE CE DOCUMENT

INTRODUCTION ACTIVE DIRECTORY

TCP/IP : cest le protocole de transport rseau.

DNS : lespace de noms Active Directory sappuie sur ce service

DHCP : Ce protocole va permettre de distribuer les adresses IP et de

SNTP (Single Network Time Protocol) est le protocole de distribution et de

LDAP (Lightweight Directory Access Protocol) : ce protocole permet de

Lunit dorganisation (OU)

OBJETS ACTIVE DIRECTORY

Le nom complet relatif : il sagit du nom complet de lutilisateur qui

Le Nom principal dutilisateur : il sagit, pour un utilisateur, de son

Le nom complet : tout objet Active Directory possde un nom complet

Cration dun nouveau domaine

On slectionne Contrleur de domaine pour un nouveau domaine

On slectionne Crer une nouvelle arborescence de domaine

On slectionne Crer une nouvelle fort darborescences de domaines

On renseigne alors le nom DNS du nouveau domaine

On renseigne alors le nom NetBIOS du domaine. Par dfaut, Windows lui

On indique les emplacements des fichiers de bases de donnes sur le

On renseigne lemplacement du rpertoire systme qui sera partag. Ce

On slectionne alors le mode Active Directory : natif si le rseau ne