Administration A D

Administration Active Directory
Rdig par Guillaume MATHIEU, consultant Ple

Architecture & Intgration MANPOWER /
PROSERVIA
Plan de cours 1/2

1. Prsentation de Windows Server 2008 Server R2 :
Les nouveauts
Les Best Practice
2. Prsentation Active Directory :
Quest ce quun annuaire.
Les notions de fort / domaine / OU / schma Active Directory.
3. Les comptes utilisateurs :
Proprits dun compte utilisateur.
Les modles de compte utilisateur.
4. Les comptes ordinateurs :
Prsentation compte ordinateur.
Joindre un domaine
5. Les groupes :
Les tendues et les types de groupe.
Les Best Practice.
6. Les Units dorganisation :

Prsentation gnrale
Dlgation dadministration.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
Plan de cours 2/2

7. Les stratgies de groupe:
Les grands principes .
Prsentation de GPMC.
Les outils de diagnostics.
8. Les mcanismes de rplication :
Prsentation de la console Sites et Services Active Directory
La topologie de rplication.
9. Sauvegarde et restauration Active Directory :
Sauvegarde Active Directory
Restauration autoritaire / la corbeille Active Directory
10. Notions avances Active Directory :

Les outils de supervision / dpannage (DCDIAG, ASIEDIT, REPMON, REPADMIN).
11. Les services rseaux :
Le service DHCP
Le service WINS
1. Prsentation de
Windows Server 2008 R2
Ouverture session avec Windows 2008 R2 1/2

A savoir :
Le champ Se connecter A nexiste plus.
Pour se connecter la base SAM local sur Windows Server 2008, taper :
nom_machine\utilisateur.
Si la machine est membre dun domaine, se connecter au domaine en tapant :
Nom_NETBIOS\login_utilisateur_pre_Windows_2000
login@nom_dns_domaine
Ouverture session avec Windows 2008 R2 2/2

A savoir :
Il est possible de dfinir des noms de domaine DNS supplmentaires appels
suffixes UPN.
Intrt : le login de lutilisateur = ladresse de messagerie (plus simple retenir).
Toujours vrifier que le suffixe UPN nest pas dj utilis au niveau dune autre
fort que lon approuve.
Gestionnaire de Server
La console Server Manager permet :
Dajouter les composants Windows rpartis entre rles et
fonctionnalits.
Dactiver ou de dsactiver la configuration renforce de la
scurit dInternet Explorer (IE ESC).
De configurer les paramtres de mises jour.
Il est possible depuis Windows Server 2008 R2 uniquement
daccder distance la console Server Manager dun autre
serveur. Attention, toutes les fonctionnalits ne sont pas
accessibles.
Daccder depuis un point unique aux principales consoles
pour grer chaque rle / fonctionnalit.
Le bureau distance 1/2 :

A savoir :
A ne pas confondre avec le rle Terminal Server / Bureau distance qui
correspond lancien Terminal Server mode serveur dapplications.
La connexion entre un client RDP et le serveur RDP est chiffre maintenant.
Windows 2008 gnre un certificat auto-sign do le message derreur lorsque
que lon se connecte distance.
Pour ne plus avoir de message derreur, installer un certificat reconnu qui na pas
expir et se connecter au serveur avec le nom indiqu au niveau du certificat.
Le bureau distance 2/2 :

Remplacer le certificat
en installant une PKI
(Active Directory Certificat
Service) et en gnrant
un nouveau certificat.
Lancer la console
Configuration de lHte de
session Bureau
distance, aller dans RDPTCP | Gnral et mapper
le certificat.
http://blogs.nelite.com/bl
ogs/yvarloud/archive/2010
/04/05/windows-server2008-amp-r2-remotedesktop-servicescertificate.aspx
PowerShell
Prsentation PowerShell :
Nouvelle interface ligne de commande / sappuie sur le .Net Framework.
Active Directory Center excute en fait des commandes PowerShell.
Extensible (ajout de CMDLETs via chargement PSSNAPINs)
Les commandes PowerShell indispensables :

Get-Help get-aduser full
Get-Help get-aduser -examples
Get-pssnapin : pour avoir la liste des composants de PowerShell
Select-object : permet de slectionner que certains attributs de lobjet de sortie
Get-Help nom_cmdlet :
Les oprateurs ( < > | where ne ), les variables $_.attributs et les filtres
La commande ci-dessous permet de lister les caractristiques du domaine et
dafficher la rponse sous forme dune liste : Get-ADDomain | format-List
10
Dsactiver / reconfigurer IPV6

Pourquoi ?
Les adresses IPV6 sont en DHCP. Cela gnre donc des messages derreurs
lorsque lon fait un DCPROMO.
IPV6 est incompatible avec certaines fonctionnalits comme Outlook Anywhere
(Exchange 2007).
Comment :
Pour dsactiver IPV6, il faut dcocher la case IPV6 au niveau des proprits
TCP/IP de chaque carte rseau. Crer la valeur DWORD 32 Bits
DisabledComponents avec la valeur FFFFFFFF.
En fixant DisabledComponents 0x20, on configure IPV4 comme protocole
prioritaire sur IPV6 (configuration recommande)/
Pour plus dinformations, voir : http://support.microsoft.com/kb/929852/en-us
11
Dsactiver le pare feu :

Pourquoi ?
Par dfaut avec Windows Server 2008 / 2008 R2 le pare feu est activ. On oublie
gnralement sa prsence et les administrateurs nont pas encore le rflexe de
valider si un problme ne provient pas du pare feu.
Le pare feu de Windows 2008 / 2008 R2 peut gnrer des erreurs de rplication
si les exceptions ncessaires nont pas t configures.
Comment :
Toujours passer par la console Pare feu avec Fonctionnalits avances . En
effet, le pare feu de Windows Server 2008 / 2008 R2 dispose de 3 profils (public,
priv, domaine).
Il faut bien penser dsactiver la pare-feu pour les 3 profils.
12
Dsactiver lUAC 1/2:

Le principe de lUAC :
Quand on se logue sur une machine, un TGT
est cr. Ce dernier liste le ou les SID du compte
utilisateur et de tous les groupes auxquels le
compte utilisateur appartient.
LUAC permet de gnrer un second ticket. Tous
les SID des groupes avec des privilges
importants comme Administrateurs sont
supprims. Lutilisateur utilise par dfaut ce
second ticket.
Pour pouvoir bnficier de toutes les
fonctionnalits, il faut cliquer sur OK ou excuter
le programme en tant quadministrateur. LUAC
est paramtrable par stratgie de groupe.
13
Dsactiver lUAC 2/2:

Pourquoi dsactiver lUAC ?
Par dfaut avec Windows Server 2008 / 2008 R2 lUAC est activ. On oublie
gnralement sa prsence et les administrateurs nont pas encore le rflexe de
valider si un problme ne provient pas de lUAC.
LUAC peut gnrer des problmes avec certains scripts ou des applications qui
lancent des scripts. On peut avoir des accs refuss par exemple lors de
lexcution de certains scripts.
Problmes avec lutilitaire ADMT.
Comment :
Aller dans le Panneau de configuration | Comptes utilisateurs.
Sous Windows 2008 (pas sous Windows 2008 R2), il faut redmarrer
obligatoirement.
14
Divers 1/2 :
Activer le voisinage rseau :
Lancer la console services.msc et configurer le service Explorateur
dordinateur pour dmarrer automatiquement et le dmarrer.
En effet, ce service permet de maintenir la liste des machines dans le voisinage
rseau (via un systme dlection). Hors par dfaut cest lEmulateur PDC qui
gagne llection. Pour plus dinformations, voir : http://msreport.free.fr/?p=129
Renommer la machine :
A linstallation, Windows gnre un nom alatoire. Penser renommer.
Ne pas renommer un contrleur de domaine.
15
Divers 2/2 :
Penser configurer Windows Update :
Attention, par dfaut, Windows est configur pour tlcharger et installer
automatiquement les mises jour. Passer en mode Tlcharger les mises jour
et me laisser choisir sil convient de les installer .
Penser activer Windows :
Pour activer Windows, il faut aller dans Panneau de configuration | Systme et
scurit puis cliquer sur Systme . Cliquer ensuite sur Modifier la cl produit .
Cela va lancer automatiquement lactivation par Internet. Penser configurer un
proxy auparavant si besoin. Pour plus dinformations, voir :
http://msreport.free.fr/?p=153
16
TP : Windows Server 2008 R2 :

A faire :
Installer Windows Server 2008 R2.
Renommer la machine.
Configurer la machine en IP fixe. A quoi sert un masque de sous rseau, une
passerelle, un serveur DNS, un serveur Wins ?
Quest ce que lAPIPA, la configuration alternative (visible si station en DHCP).
Dsactiver le pare feu, lUAC, IPV6.
Installer le rle serveur de fichiers (installer tous les services de rles).
Installer le rle IIS. Ninstaller que les services de rles proposes par dfaut.
Comparer le mode dinstallation dIIS avec lquivalent sous Windows 2003.
Pourquoi peut on dire que IIS 7.5 (Windows 2008 R2) est beaucoup plus
scuris quIIS 6 (Windows 2003) ?
Activer le bureau distance sur son serveur et accder au serveur dun collgue
de son choix. Pourquoi y a-t-il un message davertissement ?
Dsactiver la configuration renforce de la scurit dInternet Explorer pour les
administrateurs. Quels risques en terme de scurit ?
Ractiver le voisinage rseau.
Lancer PowerShell.
Excuter la commande PowerShell Get-Help Get-PSSNAPIN
Excuter la commande Powershell Get-Alias dir et Get-Alias ls
Comparer PowerShell avec linvite de commande CMD.
17
2. Prsentation Active
Directory
18
Quest ce quun service dannuaire ?

Un service d'annuaire permet :
D'identifier des ressources.
Offre une mthode cohrente pour nommer, dcrire, rechercher, accder, grer et
scuriser laccs aux ressources de lentreprise.
Les limites Active Directory (taille, nombre dobjets) :
http://technet2.microsoft.com/windowsserver/en/library/d2fc40d8-50ba-450c-959b28fd7e31b9961033.mspx?mfr=true
Fonctionnement avanc :
http://technet.microsoft.com/en-us/library/cc772829(WS.10).aspx
Diffrence base SAM avec AD : AD est annuaire centralis (accessible depuis
plusieurs machines). Une base SAM est un annuaire local.
Les atouts d'Active Directory
Intgration DNS
Les GPO
Administration dlgue
Tolrance au panne.
Gestion centralise
PowerShell
Intgration standards
LDAP, DNS, KERBEROS
Extensible (mise jour

schma)
19
Les consoles dadministration 1/2 :

Les principale consoles dadministration sont :
Utilisateurs et Ordinateurs Active Directory : permet de crer les comptes
utilisateurs, groupe, compte ordinateur, OU.
Active Directory Centre dadministration : permet de crer les comptes
utilisateurs / ordinateurs, groupes, units dorganisation (OU). Console trs oriente
tches dadministration quotidiennes (crations de comptes).
Sites et Services Active Directory : permet de forcer la rplication Active Directory
et de grer les services qui se basent sur Active Directory.
Domaine et Approbation Active Directory : permet de grer les suffixes UPN et
les relations dapprobation.
Active Directory Module for Windows PowerShell : permet de crer les comptes
utilisateurs / ordinateurs, groupes, units dorganisation (OU) en ligne de commande
ou laide de script.
20
Les consoles dadministration 2/2 :
21
TP : Zoom sur ADUC 1/2

Si lon active le mode daffichage
Fonctionnalits avances , les
conteneurs suivants apparaissent :
Lost and Found : contient tous les objets en
conflits.
Program Data : conteneur vide, permet
des applications de stocker des donnes
spcifiques une application.
NTDS Quota : contient les objets quotas qui
permettent de limiter le nombre dobjets que
peut crer un compte utilisateur. Le but est de
se protger des attaques par dni de service.
http://www.serverwatch.com/tutorials/article.ph
p/3075971/Exploring-Windows-2003-SecurityMore-Active-Directory-SecurityImprovements.htm
System : contient tous les dossiers
systmes ncessaires aux bons
fonctionnement dActive Directory (FRS, les
objets pour les stratgies de groupe).
22
TP : Zoom sur ADUC 2/2

Managed Service Accounts : contient les comptes de services grs
(nouveauts 2008 R2). Cela permet de changer le mot de passe dun compte de
service sans avoir changer le mot de passe dans la configuration du service.
Pour plus dinformations :
http://blogs.technet.com/b/askds/archive/2009/09/10/managed-service-accountsunderstanding-implementing-best-practices-and-troubleshooting.aspx
http://technet.microsoft.com/en-us/library/dd548356(WS.10).aspx
Passer en mode Fonctionnalits avances permet dafficher des onglets
supplmentaires au niveau des proprits des objets :
Editeur dattributs: sorte dADSIEDIT intgr au niveau des proprits dun
compte utilisateur.
Objet : permet de dterminer o se trouve lobjet (pratique pour les recherches) et
de dsactiver la protection contre la suppression accidentelle.
Rplication des mots de passe : permet de dterminer si lon peut mettre en
cache le mot de passe sur les RODC.
23
TP : Zoom sur la console Sites et Services

La console Sites et Services naffichent pas par dfaut le nud services :
Ce nud permet davoir une vue simplifie du conteneur Services dans la
partition de configuration de lannuaire Active Directory.
Pour afficher le nud services :
Ouvrir la console Sites et Services Active Directory. Slectionner la racine de la
console et cliquer sur Affichage | Afficher le nud des services.
24
Le service DNS 1/3 :

A savoir :
Protocole permettant de rsoudre un nom DNS (www.google.fr) en une adresse IP
et inversement.
Deux systmes de rsolution de noms :
Zone de recherche directe : rsout un nom en IP.
Zone de recherche inverse : rsout une IP en nom.
Lespace de noms DNS est dcoup en zones DNS. Ces zones sont rpartis sur
des milliers de serveurs DNS.
Linterconnexion entre serveurs DNS se fait via le mcanisme de dlgation et de
redirection.
Afin de fournir une tolrance de panne et de rpartir la charge, un serveur DNS peut
disposer dune copie en lecture seule (zone secondaire) de la zone dun autre
serveur en lecteur / criture (zone principale).
25

Les notions avances :
La redirection : un serveur DNS peut rediriger les requtes non rsolues vers un
autre serveur DNS.
La dlgation : un serveur DNS peut dlguer une partie de lespace de noms quil
gre un autre serveur (payant).
Interface : serveur DNS ne rpond aux requtes que sur certaines interfaces / IP.
Un serveur DNS gnre toujours une entre de type A (Nom -> IP) pour ses
interfaces en coute mme si on dsactive la mise jour dynamique DNS au
niveau de la carte rseau. Problmatique si des stations de travail ne peuvent pas
accder aux serveurs via certaines IP / cartes.
Le round Robin : quand on dispose de plusieurs entres A, le serveur rpond
alatoirement sur les diffrentes entres.
Le TRI DNS : si plusieurs rponses possibles, le serveur DNS rpond toujours
avec une IP qui est dans le mme rseau IP que la machine qui a fait la requte
(prioritaire sur le Round Robin).
Mise jour dynamique DNS : activable au niveau des zones DNS. Commande
ipconfig /registerdns permet de forcer cration enregistrement A et PTR dune
machine Windows (mise jour dynamique DNS).
Transfert de zones : permet un serveur hbergeant une zone secondaire (en
lecture seule) de tlcharger la zone depuis un autre serveur.
Wins-R : le serveur DNS sappuie les enregistrements dun serveur WINS.
26
27

Plus dinformations sur le service DNS
Phnomne dIlot DNS : http://support.microsoft.com/kb/291382/fr
Cache Wins sur le serveur DNS :
http://technet2.microsoft.com/windowsserver/en/library/92654b58-b10f-4c35ab22-389b70d94a521033.mspx?mfr=true
Zones DNS en double : http://support.microsoft.com/kb/867464
Bug au niveau des zones secondaires sous Windows 2008 :
28
Interaction DNS / Active Directory :

Les stations de travail localisent les contrleurs de domaine en effectuant des
requtes sur les enregistrements DNS suivants :
_ldap._tcp.orga2.lan
_ldap._tcp.le_nom_du_site_de_rattachement.Lan
Les contrleurs de domaine se servent du DNS comme dun fichier de
configuration en mettant jour leurs enregistrements. Cest le service CLIENT
DHCP qui gre cela (ne jamais dsactiver ce service).
Pour localiser qui est Emulateur
PDC (lors changement mot de
passe) :
_ldap._tcp.pdc._msdcs.orga2.lan
Pour forcer lactualisation des
enregistrements de services des
contrleurs de domaine (par
dfaut toutes les 5 minutes), taper
les commandes suivantes :
Net stop netlogon & net start
netlogon
29
TP1: le service DNS

A faire :
Avec le bloc Note, ouvrir le fichier C:\WINDOWS\system32\drivers\etc\hosts. A quoi
sert ce fichier ?
Installer le service DNS (Gestionnaire de Server | Ajout de rles).
Crer la zone proserviaX.lan o X est le numro affect par le formateur. Autoriser
les mises jour dynamiques non scurises et scurises.
Crer un enregistrement www avec comme IP 192.168.0.1. Faire un ping de
www.proserviaX.lan puis un ipconfig /displaydns puis ipconfig /flushdns puis de
nouveau ipconfig /displaydns. A quoi sert le cache DNS ?
Au niveau du serveur DNS, purger le cache DNS. Expliquer la diffrence avec la
commande ipconfig /flushdns.
Dfinir un suffixe DNS sur une machine en groupe de travail (Panneau de
configuration | Proprits Systmes | Nom de lordinateur | Avanc).
Faire un ipconfig /registerdns. Que fait cette commande ?
Aller dans les paramtres avancs TCP/IP, onglet DNS et dsactiver la case
Enregistrer les adresses de cette connexion dans le systme DNS .
Crer une entre dans le fichier HOST et faire un ipconfig /displaydns.
Se mettre par deux. Crer la zone . sur le serveur 1. Crer une nouvelle
dlgation pour la zone fr en indiquant lIP du serveur 2.
Sur le serveur 2, crer la zone fr et le sous domaine google. Crer un entre
www dans google.fr . Faire un ping www.google.fr depuis le serveur 1 et 2.
30
La structure logique Active Directory 1/2

Fort
Domaine
Msreport.fr
Arborescence
proservia.fr
Units
d'organisation
dans un
domaine
Ai.proservia.fr
recherche.
msreport.fr
eu.recherche.
Msreport.fr
31
Les notions fondamentales 1/2 :

Fort (symbole : rectangle) : limite de rplication et de scurit. Ensemble
darborescences de domaine. Crer deux forts pour sparer deux entits pour des
raisons de scurits (crer ensuite une relation dapprobation avec authentification
slective).
Arborescence de domaine (symbole plusieurs triangles relis ensemble) :
Ensemble de domaine avec une mme racine de noms (noms contigus).
Domaine (symbole : triangle) : contient les objets (comptes utilisateur / ordinateur,
groupes, units dorganisation).
Unit dorganisation (OU, symbole : le rond) : Cest un conteneur. Permet
dorganiser lannuaire, dlguer ladministration et crer des objets de stratgie de
groupe.
DCPROMO : permet de convertir un serveur en groupe de travail / membre du
domaine en un contrleur de domaine et inversement (excuter DCPROMO sur un
contrleur de domaine).
Serveur de Catalogue global : contient un rplique partielle de tous les objets de
la fort (que certains attributs). Permet de rsoudre les membres des groupes
universels et de faire de recherche dans lannuaire.
SYSVOL : rpertoire spcial contenant les scripts et les GPO qui rpliquent sur
tous les contrleurs de domaine.
32
Les notions fondamentales 2/2 :

NTDS.DIT : il sagit de la base de donnes Active Directory (NTDS : New
Technology Directory Service). Cette base est un driv des bases JET
(moyennement fiable mais trs rapide en lecture).
Compte de restauration des services dannuaires : un contrleur de domaine
na plus de base SAM locale. Le compte de restauration des services dannuaire
permet de dmarrer en mode restauration des services dannuaire sur un rsidu de
base SAM. Cela peut tre utile pour effectuer certaines oprations de maintenance
pour Active Directory (restauration).
Exportation des paramtres : permet de crer un fichier de rponse au format
TXT pour faire une installation en mode Serveur CORE (Windows 2008 R2 sans
interface graphique).
33
La structure logique Active Directory 1/2

Toujours faire un domaine dans une fort sauf :
Si les administrateurs ne doivent pas pouvoir grer toutes les ressources.
Si vous devez avoir un nom NETBIOS diffrent pour chaque entit. Il nexiste pas
dquivalent des suffixes UPN pour le nom NETBIOS. Lalternative est de faire en
sorte que les utilisateurs ouvrent une session avec le nom DNS de domaine.
En mode natif 2008, il est possible de crer plusieurs stratgies de mots de passe
alors quen mode natif 2003 on ne peut crer quune stratgie de mot de passe par
domaine.
Best Practice :
Faire un domaine dans une fort puis crer une OU par entits / services.
Ne pas dpasser 4 5 niveaux dimbrication pour les OU si possible.
Dlguer ladministration au niveau des units dorganisation.
Faire une OU pour les comptes ordinateurs et une autre pour les comptes
utilisateurs. Mapper les GPO sur ces OU.
34
Le choix des noms de domaine :

Un domaine Active Directory dispose toujours de deux noms :
Le nom NETBIOS : permet aux stations antrieurs Windows 2000 de se
connecter au domaine.
Le nom DNS : peut tre utiliss par les stations de travail Windows 2000.
Le nom NETBIOS et le nom DNS peuvent tre compltement diffrents.
Le nom NETBIOS apparat au niveau du champ Se connecter sur les
machines Windows NT4, 2000, XP et 2003.
En mode natif 2003, on peut renommer un domaine Active Directory (utilitaire
RENDOM). Cela est trs dconseill, voir impossible (avec Exchange 2007).
Les Best Practice :
Dfinir un nom de domaine DNS gnrique qui ne reprend pas le nom de la
socit (sauf si la probabilit que le nom de domaine change est trs faible).
Utiliser les suffixes UPN pour ajouter des noms de domaine DNS.
Choisir un nom NetBIOS qui dfinit lactivit de la socit.
Attention, pas de nom de domaine DNS de type SINGLE LABEL DNS NAME
(exemple : proservia.).
http://www.msexchange.org/tutorials/Domain-Rename.html
http://support.microsoft.com/kb/925822/en-us
35
Les modes de domaine :

A savoir :
Dfinit qui peut tre contrleur au niveau dun domaine. Dbloque des
fonctionnalits (groupes globaux membres dautres groupes globaux).
Pas de retour arrire possible.
Mode de
domaine
Fonctionnalits
Type de DC
2000 mixte
Fonctionnalit de base
BDC NT4, DC 2000 / 2003
2000 natif
Groupe global membre dun autre groupe global.
2000 / 2003 / 2008 / 2008

R2
2003 natif
Nouveau algorithme de rplication / attribut

LastlogontTimestamp / authentification slective.
2003 / 2008 / 2008 R2
2008 natif
DFS-R remplace NTFRS pour la rplication de

SYSVOL. AES 128 / 256. Nouveaux attributs sur
les logons.Fine Grained Password Policy.
2008 / 2008 R2
2008 R2 natif
Comptes de service grs.
2008 R2

http://technet.microsoft.com/en-us/library/understanding-active-directory-functionallevels(WS.10).aspx
36
Les modes de fort :

A savoir :
Dfinit qui peut tre contrleur dans la fort Active Directory. Permet de dbloquer
des fonctionnalits (relation dapprobation inter-forts)
Pas de retour arrire possible sauf depuis le mode natif 2008 R2. Le retour en
mode 2008 natif est possible si lon a pas activ la corbeille Active Directory.
Mode de
fort
Fonctionnalits
Type de DC
2000 natif
Fonctionnalits de base.
BDC NT4 / 2000 /

2003 / 2008 / 2008 R2
2003 natif
Approbation de fort / Renommage de domaine (

viter) / support des RODC / amlioration au niveau
du KCC et de lISTG / dsactivation dattribut.
2003 / 2008 / 2008 R2
2008 natif
Mme fonctionnalits que le mode natif 2003.
2008 / 2008 R2
2008 R2 natif
Corbeille Active Directory
2008 R2

http://technet.microsoft.com/en-us/library/understanding-active-directory-functionallevels(WS.10).aspx
http://unifiedit.wordpress.com/2009/12/17/retrogradation-niveau-fonctionnel-2008-r2/
37
TP : Cration dun domaine 1/2

A faire :
Renommer la machine suivant la convention de nommage indique par le
formateur (DCTESTLABX).
Configurer le serveur en adressage IP fixe (valider la configuration DNS).
Installer le rle serveur DNS.
Installer le rle Active Directory Domain Services.
Excuter lassistant DCPROMO (Domain Controller Promotion).
Suivre les instructions des captures dcran.
Il faut utiliser lassistant en mode avanc pour pouvoir crer une nouvelle
arborescence de domaine.
38
TP : Cration dun domaine 2/2
39
TP : Ajout dun second DC 1/3

A faire :
Dfinir comme serveur DNS principal, lIP du premier contrleur de domaine.
Expliquer pourquoi ?
Faire un ping DCTESTLABX.formationX.lan puis ipconfig /displaydns
Faire ensuite un ipconfig /flushdns puis ipconfig /displaydns. Expliquer.
Lancer lassistant DCPROMO. Une fois lcran de bienvenue se lance, aller le
gestionnaire de rle dans la section Rles de Server. Que constatez vous ?
Suivre les indications sur les captures dcran.
40

En mode avanc, il est possible de spcifier depuis quel contrleur de domaine on
rplique. Pour les sites avec une trs faible bande passante, il est mme possible de
rpliquer depuis une sauvegarde. Pour plus dinformations :
http://www.laboratoire-microsoft.org/articles/win/dcpromo_adv/
Cocher les cases
Serveurs DNS
et Catalogue
Global .
Sans catalogue
global, seul les
administrateur du
domaine peuvent
ouvrir une session.
Sans serveur
DNS, les stations
de travail ne
peuvent pas
localiser les
contrleurs de
domaine (sauf via
diffusion).
41

Vrifier le fonctionnement
de la rplication :
Avec Sites et Services
Active Directory
Si la rplication nest pas
fonctionnelle :
Dfinir sur tous les DC le
mme serveur DNS principal.
Vrifier sur ce dernier quil
existe une zone DNS
correspondant au nom de
domaine DNS.
Vrifier si cette zone autorise
les mises jour dynamiques.
Taper les commandes
suivantes :
Ipconfig /flusddns
Ipconfig /registerdns
Net stop netlogon
Net start netlogon
Repadmin /kcc
42
Les chemins LDAP :

A savoir :
Commutateurs
Nom unique relatif LDAP : OU=Production
Nom unique LDAP :
OU=
OU=Production,DC=orga2,DC=Lan
CN=
CN=sophie
mathieu2,Ou=enfant,0U=Migration,DC=ORGA
DC=
2,DC=LAN
O=
Nom canonique : orga2.lan/Production
Signification.
Units dorganisation
Objets
Domaine
Organisation
(Exchange).
A faire :
Crer deux comptes utilisateurs appels Sophie Mathieu2 et guillaume.mathieu.
Donner le chemin LDAP de la ressource Sophie Mathieu2 et guillaume.mathieu.
Attention, il faut commencer par la ressource.
43
Les rles FSMO et le Catalogue Global 1/3

5 rles FSMO (Flexible Single Master Operation) et le Catalogue Global :
:
:
Emulateur PDC : serveur de temps du domaine. Permet aux stations NT4
douvrir une session sur le domaine (il se fait passer pour un PDC NT4). Gre les
changements de mots de passe. En mode 2000 mixte, permet aux BDC NT4 de
se synchroniser avec le DC jouant le rle dEmulateur PDC.
Matre RID : permet dallouer des pool de 500 GUID. Si ce rle nest plus en
ligne, les contrleurs de domaine ne peuvent plus obtenir de nouveau pool de
GUID. Si leur pool est puis, ils ne peuvent plus crer de nouveaux objets.
Matre dinfrastructure : permet de grer les objets fantmes (un objet fantme
est cr lorsque lon joint un objet du domaine B dans un groupe du domaine A).
Matre dattribution de noms de domaine : valide sil ny a pas de conflit(s) de
noms DNS au niveau des domaines de la fort et des domaines approuvs.
Matre de schma : permet de grer les modifications effectues au niveau du
schma Active Directory.
Le serveur de Catalogue Global : contient une rplique des principaux attributs
de tous les objets de la fort. Permet de faire des recherches dans lannuaire.
Gre les groupes universels. Si plus de serveur de Catalogue global, on ne peut
plus ouvrir de sessions (sauf les administrateurs du domaine).
44

Best Practice :
Mettre tous les DC en tant que serveur de Catalogue global ou ne pas
mettre le contrleur de domaine qui joue le rle de Matre dInfrastructure en tant
que serveur de Catalogue Global.
Pour afficher la console Matre de Schma :

Pour afficher la composant logiciel enfichable Matre de schma, taper la
commande regsvr32 schmmgmt.dll.
Aller dans me menu Dmarrer, cliquer Excuter puis taper MMC. Cela permet
de lancer une console MMC vierge. Cliquer sur Ajouter un composant logiciel
enfichable .
Slectionner le composant Matre de Schma .
45

Astuce :
Il faut se connecter sur le DC cible sur lequel on veut transfrer le rle car par
dfaut la console Matre de Schma se connecte sur le contrleur de domaine qui
joue le rle de Matre de Schma.
Pour plus dinformations sur les rles FSMO :

http://support.microsoft.com/kb/324801
http://support.microsoft.com/kb/223346/fr
http://support.microsoft.com/kb/839879/
http://www.laboratoire-microsoft.org/articles/win/FSMO/3/
46
Les partitions dannuaires 1/4 :

Active Directory est dcoup en partitions :
Schma : contient lensemble des attributs et des classes
(extensible).
Configuration : contient la configuration de lannuaire Active
Directory (les sites, les partitions dannuaires).
Domaine (1 par domaine) : contient les donnes utiles (les
comptes utilisateur / ordinateur, les groupes).
ForestDnsZones : contient les entres des zones DNS
publies sur tous les serveurs DNS de la fort.
DomainDnsZones (1 par domaine) : contient les entres des
zones DNS publies sur tous les serveurs DNS du domaine.
Pour se connecter certaines partitions, il faut se connecter
avec un diteur bas niveau Active Directory : ADSIEDIT.
47
48
A faire :
Lancer la console Utilisateurs et Ordinateurs Active Directory .
Crer lOU Test la racine du domaine.
Crer le compte utilisateur test1 (mot de passe : P@ssword) dans lOU Test.
Crer le groupe global testgp1 dans lOU Test.
Ajouter lutilisateur test1 au groupe global testgp1.
Lancer ADSIEDIT. Se connecter la partition de domaine.
Localiser la ressource testgp1 et diter lobjet utilisateur (bouton droit, Proprits).
Aller au niveau de lattribut member et supprimer lentre test1.
Relancer la console Utilisateurs et Ordinateurs Active Directory et valider que
lutilisateur test1 nest plus membre du groupe testgp1.
49
50
TP2 : Le service DNS :

A faire :
Crer une zone DNS appele google2.fr.
Intgrer la zone dans lannuaire. Cocher la case Enregistrer la zone dans Active
Directory . Slectionner ensuite Vers tous les contrleurs de domaine dans ce
domaine
Crer un enregistrement de type A appel www avec lIP 192.168.0.1.
Cela va crer une entre dans System\Microsoft DNS.
Publier maintenant cette zone
dans la ForestDnsZones puis
dans la DomainDnsZones.
Pour cela, aller dans les
proprits de la zone, onglet
Gnral . Au niveau de
Rplication, cliquer sur
Proprits. Slectionner choix 1
puis choix 2.
51
Le schma:
Vocabulaires :
Attributs : proprits dun objet (exemple : description, socit, numro de fax).
Mthodes : actions que lon peut faire sur un objet (dplacer, supprimer..)
Classes : types dobjets (exemple de classe dobjet : groupe, utilisateur).
Schma : ensemble des attributs, des mthodes et des classes.
Le schma Active Directory est extensible. Cela permet dajouter des attributs ou des
classes. On ne peut pas modifier les mthodes. Certaines applications comme
Exchange (setup.com/PrepareAD) ncessite dtendre le schma.
http://technet.microsoft.com/fr-fr/library/bb727029.aspx
http://technet.microsoft.com/en-us/library/bb727064.aspx
52
Mise jour/extension du schma :

Pourquoi mettre jour son schma Active Directory :
Installation de produit qui sappuie sur Active Directory comme Exchange.
ADPREP /Forestprep : permet dajouter les attributs et les classes permettant
linstallation des contrleurs de domaine de version Windows suprieur (exemple,
DC 2008 R2 dans un domaine gr initialement par des DC Windows 2000).
Best Practice :
Effectuer la manipulation sur le matre de Schma.
Dsactiver la rplication entrante et sortante sur le matre de schma pendant la
phase de mise niveau du schma (voir commande ci-dessous).
53
TP schma : modification et ajout attributs

A ne pas faire en production sans
validation :
Crer une MMC vierge et ajouter le
composant logiciel enfichable Matre de
Schma .
Editer lattribut Description puis
lattribut Department . Quel(s) attributs
sont publis dans le Catalogue Global.
Slectionner lattribut Title . Cocher
la case pour que ce dernier soit conserv
lors de la copie dobjet (compte
utilisateur).
Essayer de crer un nouvel objet. Il faut
un numro OID pour cela.
Affecter le nouveau attribut la classe
user.
Lancer la console Utilisateurs et
ordinateurs Active Directory en mode
daffichage Fonctionnalits avances .
Editer un compte utilisateur et aller dans
longlet Editeur dattributs .
54
Les relations dapprobation 1/5 :

A savoir :
Les relations dapprobations permettent de partager des accs entre deux
annuaires diffrents.
Tous les domaines de la mme fort sapprouvent.
A approuve B : on peut dfinir des permissions sur les ressources du domaine A
avec des utilisateurs / groupes du domaine B. Les utilisateurs de la fort B sont
automatiquement membres du groupe Utilisateurs authentifis du domaine A.
Lauthentification slective permet de donner aucun droit par dfaut entre deux
domaines qui sapprouvent. Il faut dlguer au niveau de chaque compte ordinateur
les droits Lire et Authentifier pour permettre un accs avec des permissions
quivalentes Utilisateurs Authentifis
Pas dapprobation entre deux domaines avec un nom de domaine NETBIOS
ou un nom de domaine DNS identique.
LEmulateur PDC de chaque domaine doit tre en ligne lorsque lon cre une
relation dapprobation entre deux domaines.
Les relations dapprobations peuvent tre :
Transitive : si A approuve B et que B approuve C, alors A approuve C.
Implicite : automatique (relation dapprobation entre domaines de la mme fort).
Bidirectionnelle : A approuve B et B approuve A.
Les relations dapprobations entre domaines de la mme fort sont transitives,
implicites et bidirectionnelles.
55

A faire :
Ouvrir la console DNS.
Autoriser sur toutes les zones le transfert de zones.
Sur le DC1 (domaine 1), ajouter les zones DNS du DC2 (domaine 2).
Ouvrir la console Domaines et Approbation Active Directory .
Crer une relation dapprobation bidirectionnelle.
Activer lauthentification slective.
56
57
58
59
Le service Active Directory :

A Savoir :
Depuis Windows Server 2008, Active Directory est un service. Il est possible
darrter ce service pour effectuer certaines oprations de maintenance.
Redmarrer les services si possible (redmarrer aussi les dpendances).
Pour plus dinformations, voir :
http://www.petri.co.il/defragmenting-active-directory-database.htm
60
Le rpertoire SYSVOL
A savoir :
Contient les scripts et les fichiers des stratgies de groupe (GPO).
Lemplacement de SYSVOL se dfinit au DCPROMO (modification avec NTDSUTIL).
Rplique sur tous les contrleurs de domaine.
En mode natif 2003 et antrieur : utilisation de lalgorithme NTFRS
En mode natif 2008 et ultrieur : utilisation de lalgorithme RDC.
Le partage NETLOGON correspond au rpertoire
c:\windows\sysvol\sysvol\nom_domaine\scripts.
Le partage SYSVOL correspond au rpertoire c:\windows\sysvol\sysvol.
61
Le rpertoire NTDS
A savoir :
Contient lannuaire
Pour sauvegarder lannuaire, il faut obligatoirement
une sauvegarde de lEtat du systme. Une sauvegarde
du lecteur C nest pas suffisante.
Le fichier NTDS.DIT correspond la base de donnes
Active Directory.
Les fichiers .log sont les fichiers de logs. Les
modifications sont effectues dans les logs puis inscrits
ensuite dans le fichier NTDS.DIT.
Le fichier .chk permet de connatre le log en cours.
Les fichiers .jrs sont des fichiers de logs utilisaient en
cas de saturation de lespace disque.
Le fichier temp.edb est une base de donnes
temporaire utilise pour certaines oprations.
Pour rparer la base de donnes Active Directory, il faut
utiliser lutilitaire ESEUTIL (dfragmentation.).
Windows effectue tous les soirs une dfragmentation
en ligne de lannuaire. Cette dernire ne permet
cependant pas de rcuprer de lespace disque. Il faut
une dfragmentation hors ligne.
62
TP SYSVOL & NTDS 1/2

Pr-requis :
Un domaine avec deux contrleurs de domaine.
A faire :
Sur le premier contrleur de domaine, crer un fichier test.txt (contenu test1)
dans c:\windows\sysvol\sysvol\nom_domaine. Attendre environ 5 minutes.
Valider que ce dernier est apparu dans le mme rpertoire sur le second
contrleur de domaine.
Sur les deux contrleurs de domaine, diter le mme fichier, le modifier (mettre
une valeur diffrente) et lenregistrer au mme moment. Que se passe til ?
Arrter le service DFS Replication sur le second contrleur de domaine. Crer
un nouveau fichier sur le premier contrleur de domaine. Que se passe til ?
Arrter maintenant le service Active Directory.
Effectuer ensuite une dfragmentation hors ligne.
Redmarrer tous les services de dpendance pour Active Directory.
Best Practice : toujours vrifier que tous les services de dpendances Active
Directory ont redmarrs (DNS, DFS Replication)
63
TP SYSVOL & NTDS 2/2

Taper les commandes suivantes :
Ntdsutil
Activate Instance NTDS
Files
info
Compact to
c:\Windows\NTDS\temp
Remplacer le fichier NTDS.DIT.
64
3. Les comptes utilisateurs
65
Prsentation compte utilisateur 1/3 :

A savoir :
Les comptes utilisateurs sont identifis par le SID / GUID et non par le login. Il
est donc possible de changer le login / renommer un compte utilisateur.
Il existe deux types de login (un pour nom NETBIOS et un pour nom DNS).
Toujours cocher la case Le mot de passe nexpire jamais pour un compte de
service ou utiliser la nouvelle fonctionnalit de Compte de services grs .
66

Pour le chemin des profils itinrants, il est possible dutiliser la variable
%username% et faire une slection multiple.
Indiquer juste le nom du script de login. Ce dernier doit se trouve dans
c:\windows\sysvol\sysvol\nom_domaine_dns\scripts
Depuis Windows Server 2008,
il est possible de protger les
comptes utilisateurs contre une
suppression accidentelle. Cela
positionne des permissions
Refus pour lopration de
suppression au niveau de
longlet Scurit du compte
utilisateur (il faut tre en mode
daffichage Fonctionnalits
avances .
Avec les RODC, il est
possible de dire si le mot de
passe peut tre mis en cache
(en mmoire) ou non.
67

La console Utilisateurs et Ordinateurs Active Directory
intgre maintenant une diteur ADSIEDIT (onglet
Editeur dattributs ).
Les deux captures de droite montrent les permissions
positionnes par la case Protger contre la
suppression accidentelle .
Longlet Bureau Virtuel est li la solution
Microsoft Virtual Desktop Infrastructure (VDI).
http://www.laboratoire-microsoft.org/articles/MicrosoftVDI/4/
Il est possible de visualiser les certificats associs aux
comptes utilisateurs comme pour EFS (cl publique
uniquement)
68
Modifications multiples :
Il est possible deffectuer des modifications sur plusieurs comptes en mme temps
en appuyant sur la touche contrle et en slectionnant les comptes utilisateurs.
On peut aussi utiliser un outil comme ADMODIFY.
Pour plus dinformations sur
ADMODIFY, voir :
http://msreport.free.fr/?page_id=
124
69
Les modles de comptes utilisateurs :

A savoir :
Modle de compte : on passe par la fonction Copier. Lassistant classique se lance
ensuite et demande de saisir les informations spcifiques au compte utilisateur.
On peut modifier dans la console Schma , les valeurs des attributs qui sont
conservs lors dun copie.
Intrt :
Permet de conserver la valeur de certains attributs (appartenances aux groupes,
certains champs de ladresses). Do un gain de temps.
Best Practice :
Dsactiver les modles de comptes utilisateurs.
70
Best Practice compte utilisateur :

Les BEST PRACTICE :
Valider avec la direction la convention de nommage et la stratgie de mots de
passe.
Intgrer si possible une chane de caractre alatoire dans le login pour viter les
attaques par verrouillage (en dterminant le login dun utilisateur).
Crer des modles de comptes utilisateurs.
Dsactiver les comptes au lieu de les supprimer. En effet en cas de
suppression, il ne sera pas possible de rcuprer le SID sauf si lon effectue une
restauration autoritaire (avec NTDSUTIL).
Ne pas activer le verrouillage de comptes avec une seuil trop faible (mettre
environ 50 checs avant le verrouillage).
Pour les comptes de services, cocher la case Le mot de passe nexpire
jamais afin dviter que le mot de passe des comptes de services nexpire. Cela
bloquera en effet le dmarrage du service. Il est aussi possible dutiliser les
nouveaux comptes de services grs.
Remarque :
Il existe des outils comme Quest ActiveRoles for Server qui permettent de forcer
la saisie de certains champs lors de la cration des comptes utilisateurs ou qui
permettent dimposer un certain formalisme lors de la saisie des champs.
71
TP : cration compte utilisateur

A faire :
Crer un compte utilisateur sans mot de passe. On obtient le message derreur cidessous. Ressayer en utilisant le mot de passe P@ssword .
Ouvrir une session avec ce compte sur une machine membre du domaine. Un
nouveau profil est gnr.
Lancer lditeur de base de registre (REGEDT32). Faire une recherche sur la valeur
profileimagepath . Cette cl permet de mapper le SID du compte au profil utilisateur.
Personnaliser le profil (fond dcran, cration de fichiers sur le bureau). Fermer la
session.
Renommer le compte utilisateur (champ prnom, nom, description, login).
Ouvrir la session. Vous devez rcuprer votre profile. Pourquoi ?
Pour plus dinformations, voir :
72
La gestion des mots de passe 1/2 :

Les paramtres de stratgies de mots de passe :
Historique des mots de passe / dure de vie minimale du mot de passe : permet
dempcher les utilisateurs de rutiliser le mme mot de passe. Le paramtre dure
de vie minimale du mot de passe empche lutilisateur de changer X fois son mot de
passe jusqu'a pouvoir ressaisir son ancien mot de passe.
Dure de vie maximale du mot de passe : le mot de passe devra tre changer tous
les X jours.
Longueur minimum du mot de passe : le mot de passe doit faire au minimum X
caractres.
Les mots de passe doivent respecter les exigences de complexit : permet dobliger
les utilisateurs saisir un mot de passe avec un caractre spcial ou une majuscule
ou un chiffre. Les paramtres de complexit ne sont pas configurables.
Quelle stratgie de mots de passe adopte ?
Depuis Windows Server 2008, il est possible de crer des Fine Grained Password
Policy . On peut donc dfinir des stratgies de mots de passe spcifique pour un
utilisateur ou un groupe.
La stratgie de mots de passe doit avoir t valide par la direction de lentreprise.
Les risques :
Une politique de mots de passe trop faible risque de compromettre le niveau de
scurit de la socit tout comme une politique de mots de passe trop complexe (les
utilisateurs crivent sur papier leur mot de passe).
73
La gestion des mots de passe 2/2 :

Procdure de changement de mots de passe ?
Rinitialisation de mots de passe Changement de mot de passe : attention la
rinitialisation de mot de passe fait perdre laccs aux donnes chiffres avec EFS
dans certains cas (si compte de la base SAM local par exemple).
Quel politique adopte ?
Toujours faire valider la stratgie de mots de passe par la direction.
Il faut trouver un juste milieu (complexit activ, historique : 5 mots de passe, dure
de vie minimale du mot de passe : 1 journe, dure de vie maximale du mot de passe
: 42 jours).
Cocher la case Le mot de passe nexpire jamais pour les comptes de
services.
Procdure de cration des Fine Grained Password Policy :

74
Managed Service Accounts 1/2 :

Les Managed Service Accounts :
Prise en charge avec machine Windows Server 2008 R2 / Windows Seven.
1 Managed Service Account par machine (pas de partage dun mme Managed
Service Account entre machines).
Pas de pris en charge des cluster (services mis en haute disponibilit).
msDS-ManagedServiceAccount : nouvelle classe pour grer les Managed Service
Accounts.
Managed Service Account : cest une sorte dintermdiaire entre un compte
utilisateur et un compte ordinateur.
Changement du mot de passe : mme fonctionnement quun compte ordinateur
(changement tous les 30 jours). Ncessite mode 2008 R2 pour changement
automatique du mot de passe.
Pas de login interactif ou de verrouillage de compte.
Possibilit dajouter un Managed Service Account un groupe (pour le contrle
des accs).
http://technet.microsoft.com/en-us/library/dd548356(WS.10).aspx
http://blogs.technet.com/b/askds/archive/2009/09/10/managed-service-accountsunderstanding-implementing-best-practices-and-troubleshooting.aspx
75
Managed Service Account 2/2 :

A faire : Cration et utilisation dun Managed Service Account :
Cration des Managed Service Accounts via PowerShell uniquement.
Installation des Managed Service Accounts sur une machine via PowerShell.
Lors configuration du service, ne pas mettre de mots de passe au niveau du
service.
Rinitialiser ensuite le mot de passe du Managed Service Account.
76
4. Les comptes ordinateurs
77
Prsentation gnrale 1/2

A savoir :
Les comptes ordinateurs disposent dun mot de passe.
Permet dauthentifier la machine dans le domaine. La machine envoie le mot de
passe du compte ordinateur (qui est mis en cache) au contrleur de domaine. Ce
dernier le compare au mot de passe contenu dans lannuaire.
Permet dattribuer des GPO de type Configuration Ordinateur .
Le mot de passe du compte ordinateur change par dfaut tous les 30 jours
(configurable via registre / GPO).
Lorsque lon joint une machine au domaine, par dfaut le compte ordinateur est
ajout dans le conteneur Computer la racine du domaine.
En cas de problme avec le compte ordinateur, une erreur NETLOGON apparat
sur la station de travail et le contrleur de domaine.
Il est possible de pr-crer le compte ordinateur dans une OU spcifique. Quand la
machine joint le domaine, elle complte les informations (version de lOS).
Des produits de lditeur Centrify permettent des machines Linux / UNIX de se
comporter comme des machines Windows.
78
Prsentation gnrale 2/2
79
TP : Les comptes ordinateurs

A faire :
Installer Windows XP Pro SP3 avec une IP fixe et un masque de sous rseau.
Joindre la machine avec le nom DNS de domaine. Cela choue. Pourquoi ?
Essayer de joindre la machine avec le nom NETBIOS. Cela russit si le contrleur
de domaine et la station de travail sont sur le mme sous rseau IP. Pourquoi ?
Ouvrir les observateurs dvnements sur la station de travail. Commenter les
messages davertissement s / erreurs NETLOGON.
Dfinir un des contrleurs de domaine / serveur DNS comme serveur DNS
principal. Pourquoi faut il dfinir plusieurs serveurs DNS ?
Sortir la machine du domaine. Redmarrer la machine.
Crer un compte utilisateur avec des privilge standard.
Joindre la machine au domaine en utilisant le nom de DNS de domaine. Utiliser le
compte standard pour vous authentifier. Redmarrer la machine.
Ouvrir la console Utilisateurs et Ordinateurs Active Directory . Aller dans le
conteneur Computers .
Aller dans les proprits du compte ordinateur et parcourir les diffrents onglets. A
quoi sert le groupe Ordinateurs du domaine .
Supprimer le compte ordinateur. Redmarrer la station de travail . Essayer douvrir
une session avec le compte utilisateur. Cela choue. Pourquoi ?
Rinitialiser le mot de passe du compte ordinateur. Redmarrer la station de travail.
Ouvrir les observateurs dvnements. Une erreur NETLOGON apparat. Pourquoi ?
80
5. Les groupes
81
Prsentation gnrale des groupes :

Quest ce quun groupe ?
Un groupe est un ensemble de ressources.
Un groupe nest pas un conteneur (ne pas confondre avec les OU).
On ne peut pas affecter de GPO un groupe. On peut cependant filtrer lapplication
des GPO des groupes en dfinissant les droits Lire et Appliquer les stratgies
de groupes un groupe (dans longlet Scurit).
2 types de groupes :
Les groupes de scurit : utiliss pour la messagerie et grer les droits.
Les groupes de distribution : utiliss pour la messagerie (liste de diffusion)
3 tendues diffrentes :
Les groupes globaux de domaine
Les groupes locaux de domaine
Les groupes universels
Fonctionnement selon le niveau fonctionnel de domaine / fort :
Pour crer des groupes universelles : mode natif 2000 obligatoire.
Pour encapsuler des groupes globaux (groupes globaux membres dautres groupes
globaux) : mode natif 2000 obligatoire.
A partir du mode natif 2003, si lon ajoute un objet comme membre dun groupe,
seul lajout du membre rplique. Auparavant lobjet groupe rpliquait compltement.
On va pouvoir changer ltendue dun groupe partir du mode natif 2000.
82
Les tendues de groupes :

Etendue
Membres
Visibilit
Intrt
Globale
Objet du mme domaine

Ne peut pas contenir de
groupe universel.
Visible sur le domaine

locale et tous les
domaines approuves.
Groupe
dutilisateurs
Locale
Objet du domaine locale et de Visible sur le domaine

tous les domaines approuves. locale uniquement.
Objet de tous les domaines de

Universelle la fort (pas sur les domaines
approuves hors de la fort)
Visible sur le domaine

locale et tous les
domaines approuves
Pour dfinir des

permissions.
Liste des
distributions
pour Exchange.
83
Notions avances sur les groupes :

Notions avances :
Les propritaires dun groupe : peut grer les appartenances aux groupes.
L imbrication des groupes : un groupe peut avoir comme membre dautres groupes
selon le niveau fonctionnel du domaine.
Pour modifier ltendue dun groupe : convertir un groupe globale en groupe
universel puis le repasser en groupe local. Attention aux permissions dfinis sur
les serveurs laide des groupes ! Un groupe globale est visible depuis le domaine
locale et tous les domaines approuves. Un groupe locale nest visible que depuis
son domaine ! Attention aux incohrences.
On peut aussi changer le type dun groupe. Attention si lon passe un groupe de
scurit en groupe de distribution, toutes les permissions dfinies ne fonctionneront
plus mais elles continueront de safficher dans longlet Scurit .
84
Les Best Practice :

Best Practice :
Eviter de convertir les groupes de scurits en groupe de distribution.
Eviter dutiliser les groupes universels. Les groupes universels augmentent la taille
du Catalogue globale .
Utiliser les groupes locaux de domaine pour dfinir des permissions sur les
serveurs de fichiers et au niveau de lannuaire.
Utiliser les groupes globaux comme des groupes dutilisateurs.
Dfinir une topologie de groupe globaux sur papier. Elle doit correspondre la
structure administrative de lentreprise. Un groupe par sous-services par exemple
Pas plus de 5 niveaux dencapsulation (pour des raisons de performance).
Convenir avec la direction dune convention de nommage.
Pour grer les accs une ressource :

Ladministration des accs doit se faire depuis la console Utilisateurs et
Ordinateurs du domaine ou Centre dadministration Active Directory.
Crer 3 groupes locaux de domaine, un pour laccs en lecture, un pour laccs en
lecture et criture (Modifier), un pour laccs en Contrle Totale.
Dfinir les permissions ces 3 groupes au niveau de la ressource (onglet Scurit).
Ajouter Contrle Total aux groupes SYSTEM et au groupe Administrateurs.
Crer vos groupes dutilisateurs (groupes globaux).
Pour dfinir des accs la ressource, ajouter des groupes globaux ou des comptes
utilisateur / ordinateur en tant que membres des groupes locaux de domaine.
85
TP : Gestion accs avec les groupes 1/2

A savoir :
Pas de synchronisation entre le systme de fichiers et lannuaire.
Permission accs partage = cumul le plus restrictif permissions Partages / NTFS.
A faire :
Crer 3 dossiers imbriqus les uns dans les autres (Niveau1, Niveau 2 et Niveau 3).
Dsactiver lhritage au niveau du dossier Niveau 1.
Partager Niveau 1 (contrle Total pour tout le monde).
Scuriser le rpertoire Niveau 1 selon les Best Practice (utiliser les groupes locaux
de domaine pour dfinir des permissions). Cration groupes GDL_Niveau1_L,
GDL_Niveau1_M et GDL_Niveau1_CT.
Crer des comptes utilisateurs compta1 et compta2 et le groupe globale
(GG_Comptaibilit). Ajout les utilisateurs compta1 et compta2 dans ce groupe
globale.
Dfinir des permissions Modifier sur le rpertoire Niveau1 lutilisateur
Compta1 .
Supprimer le compte Compta1. Observer ce qui se passe au niveau des groupes et
des permissions de la ressource Niveau1, Niveau 2 et Niveau 3.
Ajouter le groupe GG_Compatibilit en tant que membre du groupe
GDL_Niveau1_M .
Se loguer avec le compte Compta2 sur une machine membre du domaine et
accder au partage Niveau1.
86
TP : Gestion accs avec les groupes 2/2

Question :
Peut on
sauvegarder un
rpertoire sur lequel
on a pas daccs. La
rponse est oui si
on est oprateur de
sauvegarde,
Oprateur de Server
et administrateurs.
Voir la capture de
droite. Expliquer ?
87
Les groupes BUILTIN 1/2

A savoir :
Ne pas dplacer.
Equivalent des groupes locaux de domaine.
Ne pas utiliser si possible car on ne peut pas les migrer avec des outils comme
ADMT.
88
Les groupes BUILTIN 2/2

Rle de ces groupes :
Builtin\Administrateurs : administrateur local
sur tous les contrleurs de domaine. Droits
presque quivalents Admins du domaine.
Les membres de ce groupe ne sont pas
administrateur local des stations de travail
membrew du domaine.
BUILTIN\Duplicateurs
Builtin\Oprateurs de compte : peut crer
des comptes. Peut tre utilis pour faire un
premier niveau
Builtin\Oprateurs de sauvegarde : peut
sauvegarder des donnes mme si ce dernier
na pas daccs.
Builtin\Oprateurs de Server : peut effectuer certaines actions au niveau des
contrleurs de domaine comme changer la configuration IP.
Seul les groupes BUILTIN Oprateurs de sauvegarde, Administrateurs,
Oprateurs de comptes et Oprateurs dimpression peuvent ouvrir une
session sur un contrleur de domaine (configurable via GPO).
89
Les groupes dans conteneur Users :

Rle de ces groupes :
Admins du domaine : na des droits que sur le domaine. Il na que des droits partiels
sur la partition de configuration.
Administrateur de lentreprise : administrateur de tous les domaines de la fort
Administrateur du schma : seul groupe habilit modifier le schma Active
Directory
90
Les entits systme

Les entits systmes sont :
Tout le monde : tout le monde.
Utilisateurs authentifis : tout ordinateur ou tout utilisateurs qui a ouvert une session
est membre du groupe utilisateurs authentifis . Groupe avec privilge important
comme crer des dossiers / fichiers sur la partition C des serveurs.
Crateur propritaire : par dfaut le crateur dun fichier et dun dossier est le
propritaire. Il a le droit de modifier les permissions.
System : droit presque quivalent administrateur local. Cest par exemple le seul
pouvoir modifier le contenu de la base SAM dans la base de registre.
91
6. Les units
dorganisation
92
Prsentation gnrale des OU :

A savoir :
OU = unit dorganisation
Cest un conteneur (rien voir avec les groupes).
On peut crer dans une OU tout type dobjet dont dautres OU.
La topologie dunits dorganisation doit correspondre lorganisation administrative
de lentreprise. Elle est faire sur papier et doit tre valide par la direction.
Les OU permettent aussi de faire de la dlgation dadministration et de crer des
GPO.
Depuis Windows 2008, la console Gestion des stratgies de groupe est install
par dfaut. On ne peut donc plus crer dobjets stratgies de groupe depuis la
console Utilisateurs et Ordinateurs Active Directory .
Nouveaut sur les contrleurs de domaine :

Quand on cre une nouvelle OU sur un DC 2008 / 2008, par dfaut la protection
renforce contre la suppression accidentelle est active. Cette protection met des
permissions Refus Tout le monde pour la suppression dobjet.
Si on essaie de dplacer ou supprimer une OU, on a donc un message Accs
Refus .
Passer en mode daffichage Fonctionnalits avances pour cocher ou dcocher
cette case.
93
Prsentation gnrale des OU 2/2 :
94
TP : dlgation dadministration 1/4

A savoir :
Il est possible de dlguer des droits au niveau de chaque attribut (chaque champ)
pour chaque type dobjet.
Mthode 1 : utilisateurs membres dOprateur de Comptes. Ces comptes
utilisateur peuvent crer des groupes / comptes utilisateur / ordinateur dans lAD.
Mthode 2 : Utilisateur lassistant Dlgation dadministration en mode basique.
Cette mthode permet de dlguer des tches basiques au niveau dun OU
particulire. Il nest pas possible de dlguer les droits pour un ou plusieurs attributs.
Mthode 3 : Utiliser lassistant Dlgation en mode avanc Crer une tche
personnaliser dlguer . Cette mthode permet de dlguer la gestion de certains
attributs pour certains types dobjets.
Mthode 4 : lancer la console Utilisateurs et Ordinateurs Active Directory en
mode daffichage Fonctionnalits avances . Aller au niveau dune OU, cliquer sur
Proprits et aller dans longlet Scurit .
http://windowsitpro.itpro.fr/Dossiers-par-Theme/suivante/2/12/050501823-Deleguer-dans-lAD.htm#R3
http://www.microsoft.com/downloads/details.aspx?FamilyID=631747a3-79e1-48fa-9730dae7c0a1d6d3&DisplayLang=en
http://www.microsoft.com/downloads/details.aspx?FamilyID=29dbae88-a216-45f9-9739cb1fb22a0642&DisplayLang=en
http://support.microsoft.com/?kbid=308404
95

A faire : utilisation de la mthode 2 :
Crer une OU appele Msreport1.
Crer un compte utilisateur dans cette OU appel admin1_msreport.
Faire un clic droit au niveau de lOU CHU et cliquer Dlgation de contrle .
Ajouter le utilisateur ou le groupe qui vous souhaitez dlguer des droits
dadministration.
Slectionner le ou les droits dlguer.
Se loguer sur une station de travail membre du domaine avec le compte
admin1_msreport.
Installer les outils dadministration (Adminpack pour Windows XP, RSAT pour
Windows Vista / Seven). Seul les RSAT sont supports pour grer des serveurs
Windows 2008 / 2008 R2.
Tester la cration dun compte utilisateur.
96

A faire : utilisation de la mthode 3 :
Crer une OU appele MSREPORT2.
Crer un compte utilisateur dans cette OU appel admin2_msreport.
Clic droit sur lOU CHU et cliquer Dlgation de contrle .
Ajouter le utilisateur ou le groupe qui vous souhaitez dlguer des
droits dadministration.
Slectionner Crer une tche dadministration personnalise
dlguer .
Slectionner Seulement les objets suivants dans le dossier .
Cocher les cases Crer et supprimer des objets .
Slectionner gnrales dans la fentre Afficher les
autorisations .
Si vous souhaitez dlguer laccs en criture que pour certains
attributs, cocher la case Spcifique aux proprits . Slectionner
les proprits de votre choix.
Se loguer sur une station de travail membre du domaine avec le
compte admin2_msreport.
Installer les outils dadministration (Adminpack pour Windows XP,
RSAT pour Windows Vista / Seven). Seul les RSAT sont supports
pour grer des serveurs Windows 2008 / 2008 R2.
Tester la cration dun compte utilisateur.
97
98
7. Les stratgies de groupe
99
La base de registre 1/2 :

A savoir
La base de registre est la base de configuration de Windows.
Pour diter la base de registre, on utilise REGEDIT ou
REGEDT32 (cest le mme excutable avec Windows XP).
Ruche : ensemble de cls et de valeurs qui correspondent un
fichier au niveau du systme.
Cls : cest un conteneur de valeur.
Valeur : variable. Il existe diffrent type de valeur (binaire, chane
de caractres, tableaux de chaines de caractres).
La base de registre est organise en deux grandes sections
HKEY LOCAL MACHINE et HKEY USERS.
La ruche HKEY_CURRENT_CONFIG est une sous ruche de
HKEY_LOCAL_MACHINE
Il est possible de charger des ruches (fichier NTUSER.DAT dun
autre utilisateur).
Il est possible de dfinir des permissions au niveau des cls de
registre
100
La base de registre 2/2 :

A savoir
Les paramtres de HKEY_USERS correspondent la
configuration spcifique au niveau des utilisateurs.
Les paramtres de HKEY_LOCAL_MACHINE correspondent
la configuration de la machine (commune pour tous les
utilisateurs).
Dans HKEY_LOCAL_MACHINE | SYSTEM |
CurrentControlSet | Services, on retrouve la configuration des
services.
Dans HKEY_LOCAL_MACHINE | SOFTWARE, on retrouve la
configuration des logiciels commun tous les utilisateurs.
Dans HKEY_USERS | SOFTWARE, on retrouve la
configuration des logiciels commun spcifique un utilisateur.
101
TP : base de registre
A faire :
Sur une station de travail Windows XP Pro, lancer lditeur de base de registre.
Aller dans HKEY_LOCAL_MACHINE | SAM | SAM.
Faire un clic droit sur le dossier SAM et cliquer sur Autorisation .
Ajouter les droits Control Total au groupe Administrateurs de la base SAM locale.
Vous pouvez maintenant visualiser le contenu de la base SAM locale.
Crer un compte utilisateur appel testregistre au niveau du domaine et se
loguer avec ce compte sur la station de travail. Personnaliser puis fermer la session
(ajout imprimante rseau).
Ouvrir une session avec le compte administrateur local sur cette station de travail.
Lancer lditeur de base de registre.
Slectionner HKEY_USERS puis aller dans le menu Fichier et cliquer sur
Charger la ruche . Aller dans c:\Documents and settings\testregistre et
slectionner le fichier NTUSER.DAT . A quoi correspond ce fichier ?
Faire une recherche au niveau de HKEY_LOCAL_MACHINE sur la cl
PROFILEIMAGEPATH . A quoi sert cette cl. On se rend compte que toute la
scurit est bas sur le SID. Il est possible de rassocier un compte utilisateur avec
le profil dun autre utilisateur. Pour plus dinformations, voir http://msreport.free.fr.
Aller dans c:\windows\system32\config. On y retrouve tous les fichiers des ruches
de la base de registre.
102
Quest ce quune stratgie de groupe ?

Quest ce quune stratgie de groupe :
Les stratgies de groupes (GPO) : se sont des
cls et valeurs de registre.
Deux sections pour les stratgies de groupe :
Configuration ordinateur (modifie
HKEY_LOCAL_MACHINE) et Configuration
utilisateur (modifie HKEY_USERS).
Les stratgies de groupe se dcomposent en
deux composants, les fichiers de stratgie de
groupe (dans le rpertoire
SYSVOL\SYSVOL\nomdomainedns\Policies), un
objet stratgie de groupe (dans le conteneur
SYSTEM au niveau de la partition de domaine).
103
Prsentation de la console GPMC:

A savoir :
La console Gestion des stratgies de groupe : permet dajouter, lier, modifier et
supprimer les GPO.
Il est possible dajouter de crer des stratgies de groupes personnalises (fichier
ADM ou ADMX).
A la cration du domaine, deux GPO, la Default Domain Policy (configuration
du domaine ) et la Default Domain Controller Policy (configurer des DC). Ne pas
supprimer ces deux GPO. Eviter de les modifier.
Possibilit dexporter / importer des GPO via GPMC.
104
Les paramtres de stratgie de groupe :

Les stratgies de groupe permettent :
De dployer des logiciels (installeur au format .MSI obligatoire). Pas de rapport,
risque saturation rseau si gros logiciels.
Dposer les excutables dans le partage NETLOGON ou SYSVOL.
Dexcuter des scripts au dmarrage / arrt de la machine (sous compte SYSTEM).
De configurer les stratgies de mots de passe, Kerberos et de verrouillage de
comptes. Les paramtres de stratgie de mot de passe pour les comptes du domaine
se dfinissent uniquement au niveau de la Default Domain Policy . Si on dfinit ce
paramtre dans une autre stratgie, cela sapplique pour les comptes locaux. Voir
http://msreport.free.fr/?p=156.
De configurer les paramtres et options de scurit (qui peut ouvrir une session
localement, arrter la machine, accder la machine via le rseau, changer lheure,
les protocoles dauthentification autoriss).
De configurer les paramtres des logiciels et du systme (configuration Windows
Update, panneau de configuration, pare feu). Il est possible dajouter des fichiers ADM
/ ADMX supplmentaires pour ajouter de nouvelles stratgies (configuration Adobe,
Citrix, Office) :
http://www.microsoft.com/downloads/details.aspx?familyid=92d8519a-e143-4aee8f7a-e4bbaeba13e7&displaylang=en
Windows 2008 incluse GPO de prfrences. Ncessite dploiement dun correctif
sur Windows XP / Vista / 2003. Voir http://support.microsoft.com/kb/943729/en-us
105
Les paramtres de stratgie de groupe :
106
Comment sappliquent les GPO ?

Une GPO Configuration Ordinateur
sapplique une machine (si compte
ordinateur est dans OU o est lie la GPO et
si le compte ordinateur a les droits Lire et
Appliquer la stratgie de groupe ).
Une GPO Configuration Utilisateur
sapplique aux utilisateurs (si compte
utilisateur est dans OU o est lie la GPO et
si le compte utilisateur a les droits Lire et
Appliquer la stratgie de groupe ).
Par dfaut Utilisateurs authentifis
(toutes les comptes ordinateurs et utilisateurs
qui ont ouvert une session) a les droits
Lire et Appliquer la stratgie de
groupe . Possibilit filtrage en supprimant
cet entit de scurit.
107
Ordre dapplication des GPO :

Problmatique avec les GPO :
Possibilit de fixer des GPO avec des paramtres contradictoires diffrents
niveaux.
Pour grer les conflits, les GPO sappliquent dans un certains ordre :
Local, Site, Domaine, units dorganisation, units dorganisation enfant
En cas de conflit cest la dernire stratgie qui sapplique qui lemporte sauf si les
paramtres Appliquer (ne pas passer outre) et Bloquer lhritage ont t
dfinis.
Paramtre Appliquer : force lapplication de la GPO.
Paramtre Bloquer lhritage : si ce paramtre est fix au niveau dune OU
enfant, les GPO au niveau des sites, domaines et des OU parent ne sappliquent pas
(sauf les paramtres de scurit).
Le paramtre Appliquer prime sur le paramtre Bloquer lhritage .
108
Les stratgies de mots de passe 1/2 :

Les paramtres de stratgies de mots de passe :
Configurable au niveau de la stratgie Default Domain Policy .
Les Fine Grained Password Policy / Granular Password Policy :
Permet dattribuer une stratgie de mots de passe un compte utilisateur ou un
groupe.
Cration via ADSIEDIT.
Ncessite domaine en mode Fonctionnalit Windows 2008.
http://www.windowsecurity.com/articles/Configuring-Granular-Password-SettingsWindows-Server-2008-Part-1.html
109
Les stratgies de mots de passe 2/2 :
110
Bloquer les applications non autorises :

A savoir :
Permet de dfinir quels sont les applications que lon peut excuter sur une station
de travail.
APPLOCKER ne fonctionne quavec Windows Seven ou Windows 2008 R2.
Utiliser le mode dinventaire avant de mettre des stratgies restrictives.
http://technet.microsoft.com/fr-fr/library/ee424367(WS.10).aspx
111
Dpannage des stratgies de groupes 1/2 :

Dpannage :
Utiliser loutil GPRESULT ou le composant logiciel enfichable Jeu de stratgies
rsultants pour dterminer quels sont les paramtres de stratgies de groupe qui
sappliquent.
Toujours consulter longlet Aide au niveau dun paramtre de stratgie de
groupe (dsactiver une stratgie qui masque le panneau de configuration active le
panneau de configuration).
Pour les scripts de dploiement rseau, configurer la stratgie Ouverture de
session : attendre les connexions rseau pour forcer lapplication des scripts
de dmarrage avant louverture de session.
Consulter les articles suivants en cas de problme avec les GPO :
http://technet.microsoft.com/en-us/library/bb727058.aspx
Pour bloquer lapplication des stratgies pour les administrateurs : supprimer lentit
Utilisateurs authentifis et ajouter les droits lire et appliquer la stratgie des
groupes utilisateurs et des groupes dordinateurs. Pour plus dinformations, voir
En cas de suppression des stratgies Default Domain Policy et Default Domain
Controller Policy, appliquer larticle : http://support.microsoft.com/kb/555647/en-us
Pour rinitialiser stratgie scurits : http://support.microsoft.com/kb/324800/en-us
112
Dpannage des stratgies de groupes 2/2 :

Dpannage (suite) :
Bug GPRESULT : http://support.microsoft.com/kb/837129/en-us et
Pour afficher les stratgies de mots de passe : net accounts /domain
Les stratgies de prfrence : http://support.microsoft.com/kb/943729/en-us
113
8. Les mcanismes de
rplication :
114
Les sites Active Directory :

Intrt :
Dfinir avec quels DC les stations de travail sauthentifient.
Configurer lintervalle de rplication entre contrleurs de domaine.
A savoir :
Rplication Active Directory : base sur numro USN (Unique Squence Number).
La restauration autoritaire (avec NTDSUTIL) permet daugmenter numro USN.
Par dfaut, les DC dun mme site rplique toutes les 30 secondes entre eux.
Chaque site est associ un sous rseau IP.
Un sous rseau IP ne peut pas tre associ deux sites Active Diffrents.
Pour configurer 2 sites AD diffrents, il faut 2 sous rseaux IP (un pour chaque site).
Les DC rpliquent entre eux via des objets Connexion (unidirectionnel).
Les objets Connexion sont gnrs par le KCC (DC dans mme site) et par
lISTG entre 2 sites. Pour forcer la gnration objets Connexion : repadmin /KCC.
Best Practice :
Prvoir un serveur de Catalogue Global dans chaque site ou activer la mise en
cache des groupes universels.
http://www.tech-faq.com/lang/fr/active-directory-replication.shtml
115
TP : Les sites Active Directory 1/5 :

A savoir :
Le service RRAS permet de transformer Windows Server 2008 R2 en routeur IP,
serveur NAT, serveur VPN et en serveur RAS.
Sous Windows Server 2008 R2, il est ncessaire dinstaller le rle Services de
stratgies et daccs distants et de configurer ensuite le service RRAS en tant
que routeur IP.
A faire :
Installer le rle Services de stratgies et daccs rseau avec les services de
rles Service de routage et accs distant .
Aller dans les outils dadministration et lancer la console Routage et Accs
distants .
116

A faire :
Dmarrer la console Routage et Accs
distant (dans les outils dadministration).
Cliquer sur Configurer et activer le
routage et laccs distant .
Slectionner Configuration
personnalise puis Routage IP .
Cliquer sur Dmarrer le service .
Valider que les deux contrleurs de
domaine peuvent communiquer ensemble
(ping).
117

A faire :
Dfinir 1er DC avec IP : 192.168.1.1 /24 et 2me DC avec IP : 192.168.2.1 /24.
Changer les adresses de serveur DNS et indiquer une passerelle (routeur RRAS).
Supprimer les anciennes entres dans le DNS (anciennes IP des DC).
Taper les commandes suivantes :
Ipconfig /registerdns
Net stop netlogon & Net start netlogon
Ipconfig /flushdns.
Valider que les deux DC peuvent communiquer ensemble (PING).
Lancer Sites et Services Active Directory . Forcer la rplication entre les 2 DC.
Renommer le site par dfaut en Nemours . Crer un second site appel
Meudon . Crer 2 SUBNETs 192.168.1.0./24 et 192.168.2.0 /24. Lier 1er SUBNET
au site Nemours, lier 2me SUBNET Meudon.
Renommer le lien inter-sites par dfaut en Nemours-Meudon. Configurer la
rplication sur 15 minutes. Permettre la rplication toutes heures.
Dplacer le 2me contrleur de domaine dans le site Meudon. Lancer la commande
repadmin /kcc pour forcer lISTG gnrer les objets Connexion.
Supprimer les liens connexions. Dsactiver le KCC / ISTG :
Taper la commande repadmin /KCC. Que se passe til ? Crer les liens de
connexion manuellement.
118
119
120
9. Sauvegarde et
restauration Active
Directory :
121
Windows Server Backup 1/5:

A savoir :
NTBACKUP a t replac par Windows Server Backup .
Windows Server Backup permet prend en charge la dduplication quand on
sauvegarde sur une partition ddie. On peut donc excuter des sauvegardes
compltes toutes les heures. Seuls les blocs modifis sont sauvegards.
Windows Server Backup ne permet pas de sauvegarder sur bande. Pour faire une
sauvegarde sur bande, sauvegarder vers un partage et sauvegarder ensuite les
fichiers produits par Windows Server Backup .
Quand on fait une sauvegarde sur disque local, le disque est format en NTFS mais
nest pas mont. Il est alors rserv par Windows Server Backup.
A faire :
Pr-requis : Il faut disposer dun second disque sur le serveur (ddi).
Lancer la dtection des disques et le mettre en ligne.
Installer la fonctionnalit Windows Server Backup (avec la partie PowerShell).
Lancer la console Windows Server Backup et cliquer sur Planifier une
sauvegarde. Cliquer sur sauvegarde complte (inclue la sauvegarde de lEtat du
systme). Faire une sauvegarde plusieurs fois par jour vers un disque ddi.
Aller dans les tches planifies, dans la section backup. Modifier la tche pour
quelle autorise les actions manuelles et lancer une sauvegarde.
Ouvrir la console Windows Server Backup et valider ltat davancement de la
sauvegarde.
122
123
124

A faire (suite) :
Une fois la sauvegarde
termine, relancer une
seconde fois la sauvegarde.
Lespace disque volue til ?
Le fait de faire une seconde
sauvegarde nous fait passer
de 7,01 Go 7,03 Go.
Lancer PowerShell et taper
la commande suivante : addpssnapin
windows.serverbackup. Cela
ajoute les CMDLET Windows
Server backup PowerShell.
Taper ensuite la commande
get-command -module
windows.serverbackup pour
afficher les commandes
Windows Server Backup.
125

Astuce :
Pour externaliser la sauvegarde, faire une sauvegarde sur un LUN hberg sur un
SAN (Fibre Channel / DAS obligatoire). Cela permet de conserver la dduplication.
Vrifier quil est possible de charger le pilote de la carte Fibre / DAS depuis le CD
dinstallation (en mode rcupration).
http://technet.microsoft.com/en-us/library/ee849849(WS.10).aspx
http://www.winserverhelp.com/2010/03/windows-server-2008-r2-backup-andrestore/
http://unifiedit.wordpress.com/2009/12/17/forest-recovery-ad-2008/
126
Restauration Windows Server Backup 1/2 :

A savoir :
On ne peut pas restaurer un DC une date antrieure
la priode de Tombstone (60 jours avec Windows 2000 /
2003, 180 jours avec Windows 2003 SP1 et ultrieur, sauf
pour les annuaires migrs).
Pour faire une restauration autoritaire, il faut redmarrer
en mode Restauration des services dannuaire .
http://technet.microsoft.com/enus/library/cc816878(WS.10).aspx
Vrifier une fois que la restauration est effectue que
tout rplique bien et quil ny a pas derreurs dans les logs.
Faire un DCDIAG /V /E pour valider le bon fonctionnement
de lannuaire.
A faire :
Dmarrer sur le CD dinstallation et cliquer sur Rparer
lordinateur . Restaurer avec la sauvegarde disque.
127
Restauration Windows Server Backup 2/2 :
128
Restauration autoritaire :
A faire :
Au redmarrage, appuyer sur F8.
Dmarrer en mode Restauration des services dannuaire .
Lancer Windows Server Backup et faire une restauration classique.
Lancer lutilitaire NTDSUTIL pour marquer les objets qui sont restaurer de
manire autoritaire (cela incrmente le numro USN de lobjet).
Appliquer la procdure suivante : http://technet.microsoft.com/enus/library/cc816878(WS.10).aspx
Attention aux problmes dappartenance des groupes. Prfrer utiliser la
corbeille Active Directory quand cela est possible.
129
La corbeille Active Directory 1/3 :

A savoir :
Avant la corbeille Active Directory, il tait dj possible de rcuprer les objets
qui taient en mode Tombstone. Lorsque un objet est supprim, il passe en mode
Tombstone pendant 60 jours ou 180 jours. Il est alors possible de le restaurer.
Cependant, lors de la restauration on ne pouvait rcuprer que 5 attributs dont le
SAMACCOUNTNAME (login pr Windows 2000), le SID et le GUID. Les
appartenances aux groupes taient perdues.
Lactivation de la corbeille est irrversible
La fort doit tre en mode natif 2008 R2 pour activer cette fonctionnalit.
La dure de vie pendant laquelle les objets peuvent tre restaurs est contrls
par le paramtre msDS-deletedObjectLifetime . Ne pas oublier de dfinir la
valeur souhaite.
http://www.hyperv.fr/blog/2009/04/11/windows-server-2008-r2-et-powershellrestauration-dobjets-active-directory-1273.html
130

A faire :
Vrifier que la fort est en mode natif 2008 R2 (en PowerShell)
Activer la corbeille Active Directory en tapant la commande suivante (remplacer le
nom de domaine, ici formation10.lan par le nom de votre domaine) :
Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' Scope
ForestOrConfigurationSet -Target formation10.Lan
Configurer la dure de vie de la corbeille.
Set-ADObject -Identity "CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=formation10,DC=Lan" -Partition
"CN=Configuration,DC=formation10,DC=Lan" -Replace:@{"msDSDeletedObjectLifeTime" = 365}
Crer un compte utilisateur testsuppr1 et un groupe Testlab2. Ajouter lutilisateur
dans le groupe. Ouvrir une session avec ce compte et personnaliser la session.
Supprimer ce compte utilisateur. Lister les objets supprims :
Get-ADObject -Filter 'isdeleted -eq $true -and name -ne "Deleted Objects"' IncludeDeletedObjects -Properties *
Get-ADObject -filter 'samaccountname -eq guillaume.mathieu"'
IncludeDeletedObjects
Restaurer lobjet en tapant la commande suivante :
Get-ADObject -filter 'samaccountname -eq "dominique.mathieu"'
-IncludeDeletedObjects | Restore-ADObject
131

http://www.hyperv.fr/blog/2
009/04/11/windows-server2008-r2-et-powershellrestauration-dobjets-activedirectory-1273.html
http://blogs.technet.com/b/
askds/archive/2009/08/27/th
e-ad-recycle-binunderstandingimplementing-bestpractices-andtroubleshooting.aspx
132
10. Notions avances

Active Directory :
133
Les paramtres avances :

Complments dinformations sur les paramtres de scurit Active Directory
(quotas) :
http://www.serverwatch.com/tutorials/article.php/3075971/Exploring-Windows-2003Security-More-Active-Directory-Security-Improvements.htm
Rinitialiser le mot de passe administrateur du domaine depuis le mode
Restauration des services dannuaire :
http://blog.portail-mcse.net/index.php?post/2008/02/27/Reset-du-mot-de-passeAdmin-du-domaine-sous-Windows-Server-2003
Visibilit du champ UserPassword :
http://blog.portail-mcse.net/index.php?post/2009/11/23/l-attribut-UserPassword-enclear-text
Configuration des paramtres KERBEROS :

Lorsque lon rencontre des problmes de dsynchronisation horaire sur les stations
de travail, il peut tre intressant daugmenter le paramtre Maximum tolerance for
computer clock synchronisation plus de 5 minutes.
134
Mthodologie dpannage AD 1/2:

Etape 1 : Faire une sauvegarde de lEtat du Systme avant toutes
modifications.
Avant deffectuer la moindre modification, valider quil existe une sauvegarde de
lEtat du systme pour chaque contrleur de domaine (au moins un DC par domaine).
Valider le bon fonctionnement de la sauvegarde en lanant la console Windows
Server Backup .
Etape 2 : reproduction du problme :

Reproduire le problme : gnralement quand on arrive reproduire le problme,
lincident 90% de chance dtre rsolu.
Etape 3 : Vrification prliminaire :
Valider que les services suivants sont dmarrs sur tous les DC :
Appel de procdure distante (RPC), Assistance NetBIOS sur TCP/IP, Centre de
Distribution de Cls Kerberos, Client DHCP (gre la mise jour dynamique DNS,
Explorateur dordinateurs (pour le voisinage rseau), Messagerie Inter-site Netlogon,
Registre distance, Rplication de fichiers (si niveau fonctionnelle domaine < 2008
natif), Rplication DFS (si niveau fonctionnelle domaine > 2003 R2), Serveur DNS,
Services de domaine Active Directory, Services Web Active Directory
Valider quIPV6, lUAC et le pare Windows sont dsactivs.
Vrifier que les stations de travail peuvent communiquer avec les contrleurs de
domaine (ping).
135
Mthodologie dpannage AD 2/2 :

Etape 4 : Analyse :
Analyser les observateurs dvnements. Filtrer sur les erreurs et les
avertissements uniquement dans un premier temps. Attention, de nombreuses
erreurs risquent de remonter. Il faut trouver la cause du problme et ne pas se
focaliser sur les consquences.
Validation la configuration DNS (tous les DC ont le mme serveur DNS principal).
Valider le bon fonctionnement de la rplication Active Directory (NTDS) et SYSVOL.
Pour cela, lancer la console Sites et Services Active Directory et forcer la
rplication. Copier un fichier dans c:\windows\sysvol\sysvol et valider que ce fichier
apparat dans sur tous les DC.
Valider quil ny a pas plus de 5 minutes de dcalage horaire entre les diffrentes
machines (DC comme stations de travail).
Lancer les outils de diagnostics DCDIAG, REPADMIN, MPSREPORT, REPLMON
Etape 5 : recherche et validation solution :
Vous pouvez vous appuyer sur les sites communautaires (www.google.fr/microsoft),
les NEWGROUP et la base de connaissance Microsoft
(http://support.microsoft.com/search) . Pour plus dinformations, voir larticle A la
dcouverte de la communaut Microsoft sur http://msreport.free.fr.
Une fois la solution trouve, il faut monter une maquette pour valider la solution.
Faire une sauvegarde avant toute application de la solution sur lenvironnement de
production.
136
Les observateurs dvnements 1/2 :

A savoir :
Analyser le contenu des journaux Systmes, Application, Key Management
Service, Rplication DFS (pour SYSVOL et le DFS), Service DNS, Services
dannuaire, Services Web Active Directory.
Configurer les filtres pour nafficher que les avertissements, les erreurs et les
messages critiques.
Quelques erreurs rechercher : USERENV, NTDS REPLICATION, NETLOGON,
SAM, NTDS, DNS-SERVER-SERVICE, DFS-REPLICATION, SCECLI.
De nombreuses erreurs vont remonter. Chercher les causes pas les consquences.
Astuces : Aller sur www.google.fr et taper la source de lvnement et le code
derreur aprs (exemple : NETLOGON 5722).
Pour les recherches dans la base de connaissance Microsoft
(http://support.microsoft.com/search, toujours en anglais).
137
Les observateurs dvnements 2/2 :

A savoir :
Pour afficher les vnements de plusieurs journaux, passer par les vues.
138
Les outils de dpannage 1/3 :

MPSREPORT Active Directory :
Pack doutils de diagnostics pour contrleurs de domaine.
NTDSUTIL :
Rinitialisation du mot de passe compte restauration des services dannuaire.
Supprimer un contrleur de domaine ou un domaine.
Permet de dfragmenter lannuaire.
Permet de faire une restauration autoritaire.
Permet de forcer le transfert dun rle.
Permet de crer des SNAPSHOT dActive Directory (que lon peut monter en
lecture seule).
Permet de crer des partitions dapplication.
DCDIAG /V /E > c:\DCDIAG.TXT :

Permet de valider la configuration des contrleurs de domaine de toute la fort.
Attention ce dernier sappuie sur les noms NETBIOS. Donc il faut pouvoir rsoudre
tous les contrleurs de domaine avec leurs noms NETBIOS.
Faire une recherche sur le mot Fail ou Echec au niveau du fichier de sortie.
DCPROMO /FORCEREMOVAL :
Permet de forcer la suppression dun contrleur de domaine. Ce dernier ne
contacte pas les autres DC qui rfrencent donc toujours le DC. Il faut faire ensuite
un NTDSUTIL METADATACLEANUP
139

DFSDIAG :
Permet de valider le bon fonctionnement de la rplication DFS-R (SYSVOL).
REPADMIN :
Repadmin /KCC : permet de forcer lISTG / KCC a rgnrer la topologie de
rplication (liens connexions dans la console Sites et Services Active Directory).
Repadmin /showrepl : permet de valider le bon fonctionnement de la rplication.
Repadmin /options nom_serveur +Disable_Outbound_REPL
Repadmin /options nom_serveur +Disable_Inbound_REPL
140

Attention, en Franais il y
a un bug avec linvite de
commande quand on
redirige une commande
vers un fichier de sortie.
En fait le fichier est chiffr
en UTF8. Il faut donc
lenregistrer dans le bon
format.
141
Suppression dun DC et nettoyage AD 1/3 :

Pr-requis :
Disposez de 2 DC qui rpliquent et qui sont
serveur de Catalogue Global .
Dterminer sur quel DC les rles FSMO
sont installs. Si les rles sont rpartis, les
transfrer sur un unique contrleur de
domaine.
A faire :
Sur le contrleur de domaine qui dispose de
tous les rles FSMO, taper la commande :
DCPROMO /FORCEREMOVAL.
De nombreux messages apparaissent
expliquant quels sont les consquences de la
suppression en mode force du contrleur de
domaine qui hberge les rles FSMO /
Catalogue global.
Saisir un nouveau mot de passe
administrateur local (la base SAM va tre
recre).
142
143

A faire :
Configurer le contrleur de domaine restant avec comme serveur DNS principal
lui-mme.
Ouvrir un invite de commande et lancer lutilitaire NTDSUTIL.
Forcer le transfert des rles FSMO (avec loutil NTDSUTIL). Pour cela appliquer
larticle Microsoft suivant : http://support.microsoft.com/kb/255504
Utiliser lutilitaire NTDSUTIL pour supprimer les rfrences lancien contrleur de
domaine. Attention une simple suppression du compte ordinateur en suffit
pas! Pour cela appliquer larticle Microsoft suivant :
Best Practice :
Toujours faire une sauvegarde des contrleurs de domaine (Etats du systme
obligatoirement) avant dutiliser la commande NTDSUTIL.
Ne pas se tromper au niveau de la partie Select Operation target . On
slectionne le DC que lon veut supprimer.
144
Les outils de migration / restructuration 1/2 :

Mise jour des contrleurs de domaine :
Utilisation de loutil ADPREP pour mettre jour le schma Active Directory.
Migration par ajout et suppression de contrleurs de domaine.
http://www.petri.co.il/windows-server-2008-adprep.htm
Migration de ressources entre forts / fusion de deux forts en une seule :
Utilisation de loutil ADMT 3.1 / ADMT 3.2 (pas de prise en charge des annuaires
grs par des contrleurs de domaine Windows 2000).
Utilisation de lattribut SID History.
Les ressources sont copis entre le domaine source et le domaine cible.
Commencer par migrer tous les groupes, puis tous les comptes utilisateurs. Migrer
ensuite les comptes ordinateurs par lots.
Attention lors de la suppression de lancien domaine, les anciens SID ne sont plus
rsolus. Il faut donc lancer lassistant translation des SID sur tous les serveurs. Voir
outil tiers pour les NAS NETAPP / EMC
Lagent ADMT excute un script qui va permettre de changer la machine de
domaine et de translater les SID. Lancer loutil avec un compte utilisateur du domaine
source (compte membre du groupe administrateur du domaine source et
BUILTIN\Administrateurs dans le domaine cible).
145
Les outils de migration / restructuration 2/2 :

Fusion de deux domaines dans la mme fort :
Utilisation ADMT
Les ressources sont dplaces. Il faut migrer les groupes (les passer en groupes
universelles) puis migrer par les lots les comptes utilisateurs / comptes ordinateurs.
Lagent ADMT excute un script qui va permettre de changer la machine de
domaine et de translater les SID. Lancer loutil avec un compte utilisateur du domaine
source (administrateur du domaine source et BUILTIN\Administrateurs dans le
domaine cible).
Pour plus dinformations sur ADMT :
http://www.microsoft.com/downloads/details.aspx?familyid=6D710919-1BA5-41CAB2F3-C11BCB4857AF&displaylang=en
146
11. Les services rseaux :
147
Le service DHCP :
A savoir :
Permet daffecter dynamiquement une adresse IP des stations de travail.
Rservation IP : affectation dune IP une adresse MAC (utile pour les
imprimantes ou les lments dont lIP ne doit pas changer).
Le service DHCP de Windows sinterface avec le service DNS. Le serveur DHCP
peut mettre jour les enregistrements DNS dynamiques la place des stations de
travail.
Il est ncessaire dautoriser le serveur DHCP sur une machine membre / contrleur
dun domaine (ncessite les droits administrateur de lentreprise).
Best Practice :
Activer la dtection des conflits IP (au niveau des proprits du serveur DNS).
Cocher la case Ignorer les enregistrements A et PTR lorsque le bail est
supprim .
Pour les problmes avec les mises jour dynamiques DNS : voir
Quelques problmes connus :
Croix rouge au niveau des baux DHCP : http://msreport.free.fr/?p=120
Erreurs DCHP 1010 / 1014 : http://msreport.free.fr/?p=95
Doublons dans les zones DNS : http://msreport.free.fr/?p=75
148
TP : le service DHCP :
Dconnecter la salle du cours du rseau dentreprise.
Faire ce TP par groupe de 2.
Installer le service DHCP (ajout du rle depuis le Gestionnaire de Server).
Crer une tendue DHCP avec deux adresses (voir formateur) et la configurer
pour affecter une adresse de serveurs DNS / Wins / passerelle).
Tester le fonctionnement de ltendue. Que se passe til ?
Tester les commandes ipconfig /release et ipconfig /renew et ipconfig /all
Arrter tous les serveurs DHCP. Faire un ipconfig /release et un ipconfig /renew.
Que se passe til ?
Crer une rservation IP.
149
Le WINS / LMHOST
A savoir :
Wins : Windows Internet Naming Service
Protocole permettant de rsoudre des noms NETBIOS (toto) en adresse IP.
Utiliser aujourdhui encore pour acclrer laffichage du voisinage rseau.
A faire :
Avec le bloc Note, ouvrir le fichier C:\WINDOWS\system32\drivers\etc\
lmhosts.sam. A quoi sert ce fichier ?
Installer le service WINS (Ajout de fonctionnalits dans le Gestionnaire de
Server).
Configurer le serveur pour senregistrer dans la base WINS (paramtres TCP /
IP, paramtres avances).
Crer un enregistrement www avec comme IP 192.168.0.1. Faire un ping de
www puis un nbstat -n puis nbtstat -R. Quest ce quest le cache Wins.
Configurer votre serveur WINS pour tre partenaire de rplication avec un autre
serveur WINS.
Renommer le fichier LMHOST.SAM en LMHOST et configurer Windows pour
utiliser ce fichier. Crer une entre dans ce fichier et conclure.
Prsenter le fonctionnement du voisinage rseau et excuter la commande
Browstat status . Quest ce quun master browser ?
Lire article http://msreport.free.fr/?p=129.
150

Administration A D

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Administration A D

Transféré par

Droits d'auteur :

Formats disponibles

Administration Active Directory

Rdig par Guillaume MATHIEU, consultant Ple

Plan de cours 1/2

6. Les Units dorganisation :

Plan de cours 2/2

10. Notions avances Active Directory :

Ouverture session avec Windows 2008 R2 1/2

Ouverture session avec Windows 2008 R2 2/2

Le bureau distance 1/2 :

Le bureau distance 2/2 :

Les commandes PowerShell indispensables :

Dsactiver / reconfigurer IPV6

Dsactiver le pare feu :

Dsactiver lUAC 1/2:

Dsactiver lUAC 2/2:

TP : Windows Server 2008 R2 :

Quest ce quun service dannuaire ?

Extensible (mise jour

Les consoles dadministration 1/2 :

Les consoles dadministration 2/2 :

TP : Zoom sur ADUC 1/2

TP : Zoom sur ADUC 2/2

TP : Zoom sur la console Sites et Services

Le service DNS 1/3 :

Le service DNS 2/3 :

Le service DNS 3/3 :

Le service DNS 3/4 :

Interaction DNS / Active Directory :

TP1: le service DNS

La structure logique Active Directory 1/2

Les notions fondamentales 1/2 :

Les notions fondamentales 2/2 :

La structure logique Active Directory 1/2

Le choix des noms de domaine :

Les modes de domaine :

BDC NT4, DC 2000 / 2003

Groupe global membre dun autre groupe global.

2000 / 2003 / 2008 / 2008

Nouveau algorithme de rplication / attribut

2003 / 2008 / 2008 R2

DFS-R remplace NTFRS pour la rplication de

Comptes de service grs.

Pour plus dinformations :

Les modes de fort :

BDC NT4 / 2000 /

Approbation de fort / Renommage de domaine (

2003 / 2008 / 2008 R2

Mme fonctionnalits que le mode natif 2003.

Corbeille Active Directory

Pour plus dinformations :

TP : Cration dun domaine 1/2

TP : Cration dun domaine 2/2

TP : Ajout dun second DC 1/3

TP : Ajout dun second DC 2/3

TP : Ajout dun second DC 3/3

Les chemins LDAP :

Les rles FSMO et le Catalogue Global 1/3

Les rles FSMO et le Catalogue Global 2/3

Pour afficher la console Matre de Schma :

Les rles FSMO et le Catalogue Global 3/3

Pour plus dinformations sur les rles FSMO :

Les partitions dannuaires 1/4 :

Les partitions dannuaires 2/4 :

Les partitions dannuaires 3/4 :