Vous êtes sur la page 1sur 798

PRO DUIT

OFFICIEL

D E

M ICROS OFT

LEARN IN G

6238A:
Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Noubliez pas daccder au contenu de formation tendue du CD-ROM daccompagnement du cours qui se trouve au dos de votre livre.

ii

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Les informations contenues dans ce document, y compris les URL et autres rfrences des sites Web Internet, pourront faire lobjet de modifications sans pravis. Sauf mention contraire, les socits, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des socits, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et vnements existants ou ayant exist serait purement fortuite. Lutilisateur est tenu dobserver la rglementation relative aux droits dauteur applicable dans son pays. Aucune partie de ce document ne peut tre reproduite, stocke ou introduite dans un systme de restitution, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique, mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de Microsoft Corporation. Microsoft peut dtenir des brevets, avoir dpos des demandes denregistrement de brevets ou tre titulaire de marques, droits dauteur ou autres droits de proprit intellectuelle portant sur tout ou partie des lments qui font lobjet du prsent document. Sauf stipulation expresse contraire dun contrat de licence crit de Microsoft, la fourniture de ce document na pas pour effet de vous concder une licence sur ces brevets, marques, droits dauteur ou autres droits de proprit intellectuelle. Les noms de fabricants, de produits ou les URL sont fournis uniquement titre indicatif et Microsoft ne fait aucune dclaration et exclut toute garantie lgale, expresse ou implicite, concernant ces fabricants ou lutilisation des produits avec toutes les technologies Microsoft. Linclusion dun fabricant ou produit nimplique pas lapprobation par Microsoft du fabricant ou du produit. Des liens vers des sites Web tiers peuvent tre fournis. Ces sites ne sont pas sous le contrle de Microsoft et Microsoft nest pas responsable de leur contenu ni des liens quils sont susceptibles de contenir, ni des modifications ou mises jour de ces sites. Microsoft nest pas responsable du Webcasting ou de toute autre forme de transmission reue dun site auquel ces liens renvoient. Microsoft fournit ces liens pour votre commodit, et linsertion de tout lien nimplique pas lapprobation du site en question ou des produits quil contient par Microsoft. 2008 Microsoft Corporation. Tous droits rservs. Microsoft, Access, Active Directory, ActiveX, BitLocker, Convergence, Internet Explorer, Jscript, MSDN, NetMeeting, PowerPoint, SharePoint, SQL Server, Verdana, Visual Basic, Visual Studio, Win32, Windows et Windows Vista sont soit des marques de Microsoft Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis dAmrique et/ou dans dautres pays. Toutes les autres marques sont la proprit de leurs propritaires respectifs.

Relecteur technique : John Policelli

Numro de produit : 6238A Rf. n : X14-94124 Publi le : 06/2008

TERMES DU CONTRAT DE LICENCE MICROSOFT PRODUITS OFFICIELS DE FORMATION MICROSOFT DITION INSTRUCTEUR Versions prcommerciales et finales
Les prsents termes ont valeur de contrat entre Microsoft Corporation et vous. Lisez-les attentivement. Ils portent sur le Contenu sous licence vis ci-dessus, y compris le support sur lequel vous lavez reu, le cas chant. Ce contrat porte galement sur les produits Microsoft suivants : les mises jour, les supplments, les services Internet et les services dassistance

de ce Contenu sous licence moins que dautres termes naccompagnent ces produits, auquel cas ces derniers prvalent. En utilisant le Contenu sous licence, vous acceptez ces termes. Si vous tes en dsaccord avec ces termes, nutilisez pas le Contenu sous licence. Si vous vous conformez aux prsents termes du contrat de licence, vous disposez des droits stipuls ci-dessous.

1. DFINITIONS. a. La Documentation de formation signifie la documentation imprime ou sous forme


lectronique, comme les manuels, cahiers dexercice, livres blancs, communiqus de presse, feuilles de donnes et forums aux questions, qui peut tre incluse dans le Contenu sous licence.

b. Un Centre de formation agr signifie un centre partenaire Microsoft Certified Partner

approuv MLSC (Microsoft Learning Solutions Competency), un centre IT Academy, ou toute autre entit dsigne occasionnellement par Microsoft. organise dans ou par un Centre dapprentissage agr, dirige par un formateur qui dispense une formation des Stagiaires exclusivement sur les Produits officiels de formation Microsoft ( Official Microsoft Learning Products , anciennement appels cours officiels Microsoft ou MOC, Microsoft Official Curriculum ) et les produits Microsoft Dynamics (anciennement appels cours Microsoft Business Solutions). Chaque Session de formation agre dispensera une formation sur lobjet dun (1) Cours.

c. Une Session de formation agre signifie une session de formation agre par Microsoft et

d. Un Cours signifie lun des cours utilisant un Contenu sous licence proposs par un Centre de
formation agr dans le cadre dune Session de formation agre, chacune dispensant une formation sur un domaine particulier li une technologie Microsoft.

e. Un Dispositif signifie un ordinateur, un priphrique, une station de travail, un terminal ou


tout autre dispositif lectronique numrique ou analogique.

f.

Le Contenu sous licence signifie les supports qui accompagnent les prsents termes du contrat de licence. Le Contenu sous licence peut inclure, notamment, les lments suivants : (i) Le Contenu du formateur, (ii) le Contenu du stagiaire, (iii) le guide dinstallation de la classe et (iv) le Logiciel. Les composants du Contenu sous licence sont diffrents et distincts pour chaque Cours. application logicielle pouvant tre incluse dans le Contenu sous licence. votre centre.

g. Le Logiciel signifie les Machines virtuelles et les Disques durs virtuels ou toute autre h. Un Stagiaire signifie un stagiaire dment inscrit une Session de formation agre dans i.
Le Contenu du stagiaire signifie les supports de formation accompagnant les prsents termes du contrat de licence qui sont utiliss par les Stagiaires et les Formateurs durant une Session de formation agre. Le Contenu du stagiaire peut inclure des ateliers, des simulations et des fichiers spcifiques chaque Cours. Un Formateur signifie a) une personne dment certifie par Microsoft en tant que formateur MCT (Microsoft Certified Trainer) et b) toute autre personne autorise officiellement par Microsoft et qui a t charge par un Centre dapprentissage agr de dispenser une Session de formation agre des Stagiaires pour son compte. termes du contrat de licence qui sont utiliss par les Formateurs et les Stagiaires, selon le cas, uniquement durant une Session de formation agre. Le Contenu du formateur peut inclure les Machines virtuelles, les Disques durs virtuels, les fichiers Microsoft PowerPoint, les notes de linstructeur ainsi que les guides de dmonstration et les fichiers script requis pour chaque Cours. Les Disques durs virtuels signifient le Logiciel Microsoft constitu des disques durs virtuels (comme un disque dur virtuel de base ou des disques diffrents) pour une Machine virtuelle qui peut tre charg sur un seul ordinateur ou tout autre dispositif afin de permettre aux utilisateurs finals dexcuter plusieurs systmes dexploitation simultanment. Dans le cadre du prsent contrat de licence, les disques durs virtuels devront tre traits en tant que Contenu du formateur . logiciel Microsoft Virtual PC ou Microsoft Virtual Server qui se compose dun environnement matriel virtuel, dun ou de plusieurs disques durs virtuels ainsi que dun fichier de configuration dfinissant les paramtres de lenvironnement matriel virtuel (par exemple, la RAM). Dans le cadre du prsent contrat de licence, les disques durs virtuels devront tre traits en tant que Contenu du formateur . accept les prsents termes du contrat de licence.

j.

k. Le Contenu du formateur signifie les supports de formation accompagnant les prsents

l.

m. La Machine virtuelle signifie une exprience informatique virtuelle, obtenue laide du

n. Le terme vous signifie le Centre de formation agr ou le Formateur, selon le cas, qui a

2. PRSENTATION.
Contenu sous licence. Le Contenu sous licence inclut le Logiciel, la Documentation de formation (en ligne et sous forme lectronique), le Contenu du formateur, le Contenu du stagiaire, le guide dinstallation de la classe et les supports associs. Modle de licence. Le Contenu sous licence est concd sous licence en vertu dune licence par Centre de formation agr ou par Formateur.

3. INSTALLATION ET DROITS DUTILISATION. a. Centres de formation agrs et Formateurs : Pour chaque Session de formation agre,
vous tes autoris : i. soit installer, sur les Dispositifs de la classe, des copies individuelles du Contenu sous licence correspondant qui seront utilises uniquement par les Stagiaires dment inscrits la Session de formation agre et par le Formateur dispensant cette formation, sous rserve que le nombre de copies utilises ne dpasse pas le nombre de Stagiaires inscrits la Session de formation agre et le Formateur dispensant cette formation ; SOIT

ii. installer une copie du Contenu sous licence correspondant sur un serveur rseau qui sera accessible uniquement par les Dispositifs de la classe et qui sera utilise uniquement par les Stagiaires dment inscrits la Session de formation agre et par le Formateur dispensant cette formation, sous rserve que le nombre de Dispositifs qui accdent au Contenu sous licence sur le serveur ne dpasse pas le nombre de Stagiaires inscrits la Session de formation agre et le Formateur dispensant cette formation. iii. autoriser les Stagiaires dment inscrits la Session de formation agre et le Formateur dispensant cette formation utiliser le Contenu sous licence que vous installez selon (i) ou (ii) ci-dessus durant une Session de formation agre, conformment aux prsents termes du contrat de licence. iv. Dissociation de composants. Les composants du Contenu sous licence sont concds sous licence en tant quunit unique. Vous ntes pas autoris dissocier les composants et les installer sur diffrents Dispositifs. v. Programmes de tiers. Le Contenu sous licence peut galement contenir des programmes tiers. Lutilisation de ces programmes tiers sera rgie par les prsents termes du contrat de licence, moins que dautres termes naccompagnent ces programmes.

b. Formateurs :
i. Les Formateurs sont autoriss utiliser le Contenu sous licence que vous installez ou qui est install par un Centre de formation agr sur un Dispositif de la classe dans le cadre dune Session de formation agre.

ii. Les Formateurs sont galement autoriss utiliser une copie du Contenu sous licence, comme indiqu ci-aprs :

A. Dispositif concd sous licence. Le Dispositif concd sous licence est celui sur lequel

vous utilisez le Contenu sous licence. Vous tes autoris installer et utiliser une copie du Contenu sous licence sur le Dispositif sous licence uniquement pour les besoins de votre formation personnelle et pour prparer une Session de formation agre.

B. Dispositif portable. Vous tes autoris installer une autre copie du Contenu sous licence
sur un dispositif portable uniquement pour les besoins de votre formation personnelle et pour prparer une Session de formation agre.

4. VERSIONS PRCOMMERCIALES. Si le Contenu sous licence est une version prcommerciale


( version bta ), les prsents termes sappliquent en plus des termes de ce contrat :

a. Contenu sous licence en version prcommerciale. Ce Contenu sous licence est une version

prcommerciale. Il peut ne pas contenir les mmes informations et/ou ne pas fonctionner comme une version finale du Contenu sous licence. Nous sommes autoriss le changer pour la version commerciale finale. Nous sommes galement autoriss ne pas diter de version commerciale. Vous devez informer clairement et de faon visible les Stagiaires qui participent chaque Session de formation agre de ce qui prcde ; et vous ou Microsoft navez aucune obligation de leur fournir un contenu supplmentaire, notamment, de manire non limitative, la version finale du Contenu sous licence du Cours.

b. Commentaires. Si vous acceptez de faire part Microsoft de vos commentaires concernant le

Contenu sous licence, vous concdez Microsoft, gratuitement, le droit dutiliser, de partager et de commercialiser vos commentaires de quelque manire et quelque fin que ce soit. Vous concdez galement des tiers, gratuitement, les droits de brevet ncessaires pour que leurs produits, technologies et services puissent tre utiliss ou servir dinterface avec toute partie spcifique dun logiciel, Contenu sous licence ou service Microsoft qui inclut ces commentaires. Vous ne fournirez pas de commentaires faisant lobjet dune licence qui impose Microsoft de concder sous licence son logiciel ou sa documentation des tiers parce que nous y incluons vos commentaires. Ces droits survivent au prsent contrat. utilisateur, les fonctionnalits et la documentation pouvant tre incluses dans le Contenu sous licence, est confidentiel et la proprit de Microsoft et de ses fournisseurs. i.

c. Informations confidentielles. Le Contenu sous licence, y compris la visionneuse, linterface

Utilisation. Pendant cinq ans aprs linstallation du Contenu sous licence ou de sa commercialisation, selon la date la plus proche, vous ntes pas autoris divulguer des informations confidentielles des tiers. Vous tes autoris divulguer des informations confidentielles uniquement vos employs et consultants qui en ont besoin. Vous devez avoir conclu avec eux des accords crits qui protgent les informations confidentielles au moins autant que le prsent contrat. Maintien en vigueur de certaines clauses. Votre obligation de protection des informations confidentielles survit au prsent contrat.

ii.

iii. Exclusions. Vous tes autoris divulguer des informations confidentielles conformment une ordonnance judiciaire ou gouvernementale. Vous devez en informer par avance Microsoft afin de lui permettre de demander une ordonnance protectrice ou de trouver un autre moyen de protger ces informations. Les informations confidentielles nincluent pas les informations d. qui ont t portes la connaissance du public sans quil y ait eu violation de lobligation de confidentialit ; que vous avez reues dun tiers qui na pas viol ses obligations de confidentialit lgard de Microsoft ou de ses fournisseurs ; ou que vous avez dveloppes en toute indpendance.

Dure. Le prsent contrat pour les versions prcommerciales est applicable jusqu (i) la date dexpiration qui vous est communique par Microsoft pour lutilisation de la version bta, ou (ii) la commercialisation du Contenu sous licence, selon la date la plus proche (la dure de la bta ). Utilisation. Ds lexpiration ou la rsiliation de la dure de la bta, vous devrez cesser dutiliser les copies de la version bta et dtruire toutes les copies en votre possession ou sous votre contrle et/ou en possession ou sous le contrle dun Instructeur qui a reu des copies de la version prcommerciale. Copies. Microsoft informera les Centres de formation agrs sils sont autoriss effectuer des copies de la version bta (version imprime et/ou sur CD) et les distribuer aux Stagiaires et/ou Instructeurs. Si Microsoft autorise cette distribution, vous devrez vous conformer aux termes supplmentaires fournis par Microsoft concernant lesdites copies et distribution.

e.

f.

5. CONDITIONS DE LICENCE ET/OU DROITS DUTILISATION SUPPLMENTAIRES.


a. Centres de formation agrs et Formateurs : i. Logiciel.

ii. Disques durs virtuels. Le Contenu sous licence peut inclure des versions de Microsoft XP, Microsoft Windows Vista, Windows Server 2003, Windows Server 2008 et Windows 2000 Advanced Server et/ou dautres produits Microsoft qui sont fournis dans les Disques durs virtuels. A. Si les Disques durs virtuels et les ateliers sont lancs avec le lanceur dateliers Microsoft Learning Lab Launcher, ces termes sappliquent : Logiciel temporaire. Si le Logiciel nest pas rinitialis, il cessera de fonctionner lissue de la dure indique lors de linstallation de Machines virtuelles (entre trente et cinq cents jours aprs son installation). Vous ne recevrez pas de notification avant larrt du logiciel. Une fois que le logiciel ne fonctionnera plus, vous risquez de ne plus pouvoir accder aux donnes utilises ou aux informations enregistres avec les Machines virtuelles et de devoir rtablir ltat dorigine de ces Machines virtuelles. Vous devez supprimer le Logiciel des Dispositifs la fin de chaque Session de formation agre, et le rinstaller et le lancer avant le dbut de chaque nouvelle Session de formation agre.

B. Si les Disques durs virtuels ncessitent une cl de produit pour tre lancs, ces termes sappliquent : Microsoft dsactivera le systme dexploitation associ chaque Disque dur virtuel. Pour installer un Disque dur virtuel sur des Dispositifs de la classe dans le cadre dune Session de formation agre, vous devrez au pralable activer le systme dexploitation du Disque dur virtuel en utilisant la cl de produit correspondante fournie par Microsoft. C. Ces termes sappliquent lensemble des Machines virtuelles et des Disques durs virtuels : Vous tes autoris utiliser les Machines virtuelles et les Disques durs virtuels uniquement si vous vous conformez aux termes et conditions du prsent contrat de licence ainsi quaux conditions de scurit suivantes : o o Vous ne pouvez pas installer des Machines virtuelles et des Disques durs virtuels sur des Dispositifs portables ou des Dispositifs qui sont accessibles via dautres rseaux. Vous devez supprimer les Machines virtuelles et les Disques durs virtuels des Dispositifs de la classe la fin de chacune des Sessions de formation agres, lexception de celles dispenses dans les centres Microsoft Certified Partner approuvs MLSC. Vous devez supprimer les diffrentes portions de disque des Disques durs virtuels de tous les Dispositifs de la classe la fin de chaque Session de formation agre dispense dans les centres Microsoft Certified Partner approuvs MLSC. Vous devez vous assurer que les Machines virtuelles et les Disques durs virtuels ne sont pas copis ou tlchargs partir de Dispositifs sur lesquels ils ont t installs. Vous devez respecter strictement toutes les instructions Microsoft relatives linstallation, lutilisation, lactivation et la dsactivation, et la scurit des Machines virtuelles et des Disques durs virtuels. Vous ntes pas autoris modifier les Machines virtuelles et les Disques durs virtuels ou le contenu y figurant. Vous ntes pas autoris reproduire ou redistribuer les Machines virtuelles ou les Disques durs virtuels.

o o

o o

ii. Guide dinstallation de la classe. Vous devez vous assurer que le Contenu sous licence qui
sera utilis durant une Session de formation agre est install conformment au guide dinstallation de la classe associ au Cours.

iii. lments multimdias et modles. Vous pouvez autoriser les Formateurs et les Stagiaires utiliser des photographies, images clip art, animations, sons, musiques, formes, clips vido et modles inclus avec le Contenu sous licence uniquement dans le cadre dune Session de formation agre. Les Formateurs qui possdent leur propre copie du Contenu sous licence sont autoriss se servir des lments multimdias aux seules fins de leur formation personnelle.

iv. Logiciel dvaluation. Tout Logiciel inclus dans le Contenu du stagiaire et dsign comme Logiciel dvaluation peut tre utilis par les Stagiaires uniquement pour les besoins de leur formation personnelle en dehors de la Session de formation agre.

b. Formateurs uniquement :
i. Utilisation des modles de diapositives PowerPoint. Le Contenu du formateur peut comprendre des diapositives Microsoft PowerPoint. Le Formateur est autoris utiliser, copier et modifier les diapositives PowerPoint dans le seul but de dispenser une Session de formation agre. Si vous choisissez dexercer les droits prcits, vous vous engagez ou vous garantissez que le Formateur sengage : (a) ce que la modification des diapositives ne constitue pas la cration duvres obscnes ou diffamatoires, telles quelles sont dfinies par la lgislation fdrale au moment de leur cration ; et (b) respecter lensemble des termes et conditions du prsent contrat de licence.

ii. Utilisation des Composants de formation inclus dans le Contenu du formateur. Pour chaque Session de formation agre, les Formateurs sont autoriss personnaliser et reproduire, conformment aux termes du contrat MCT, les composants du Contenu sous licence qui sont associs logiquement la Session de formation agre. Si vous choisissez dexercer les droits prcits, vous vous engagez ou vous garantissez que le Formateur sengage : (a) ce que les personnalisations ou les reproductions ne soient utilises quaux seules fins de dispenser une Session de formation agre et (b) respecter lensemble des termes et conditions du prsent contrat de licence. iii. Documentation de formation. Si le Contenu sous licence inclut une Documentation de formation, vous tes autoris copier et utiliser cette Documentation. Vous ntes pas autoris modifier la Documentation de formation ni imprimer un ouvrage (version lectronique ou imprime) dans son intgralit. Si vous reproduisez une Documentation de formation, vous acceptez ces termes :

Vous pouvez utiliser la Documentation de formation aux seules fins de votre utilisation ou formation personnelle. Vous ne pouvez pas rditer ni publier la Documentation de formation sur un ordinateur du rseau, ni la diffuser sur un support. Vous devez ajouter la mention de droits dauteur dorigine de la Documentation de formation ou celle de Microsoft sous la forme ci-dessous : Forme de mention : 200X [Note to MS Learning: Insert correct date] Rimprim avec lautorisation de Microsoft Corporation pour usage personnel uniquement. Tous droits rservs.

Microsoft, Windows et Windows Server sont soit des marques de Microsoft Corporation, soit des marques dposes de Microsoft Corporation aux tatsUnis dAmrique et/ou dans dautres pays. Les autres noms de produits et de socits mentionns dans les prsentes sont des marques de leurs propritaires respectifs.

6. SERVICES INTERNET. Microsoft peut fournir des services Internet avec le Contenu sous licence. Ils
peuvent tre modifis ou interrompus tout moment. Vous ntes pas autoris utiliser ces services de quelque manire que ce soit qui pourrait leur porter atteinte ou perturber leur utilisation par un autre utilisateur. Vous ntes pas autoris tenter daccder de faon non autorise aux services, donnes, comptes ou rseaux de toute autre manire.

7. PORTEE DE LA LICENCE. Le Contenu sous licence nest pas vendu, mais concd sous licence. Le

prsent contrat vous confre certains droits dutilisation du Contenu sous licence. Microsoft se rserve tous les autres droits. Sauf si la loi en vigueur vous confre dautres droits, nonobstant la prsente limitation, vous ntes autoris utiliser le Contenu sous licence quen conformit avec les termes du prsent contrat. cette fin, vous devez vous conformer aux restrictions techniques contenues dans le Contenu sous licence qui vous permettent de lutiliser dune certaine faon. Vous ntes pas autoris : installer, sur des Dispositifs de la classe, plus de copies du Contenu sous licence que le nombre de Stagiaires plus le Formateur prsents dans la Session de formation agre ; permettre laccs au Contenu sous licence sur le serveur rseau, le cas chant, par davantage de Dispositifs de la classe que le nombre de Stagiaires dment inscrits la Session de formation agre plus le Formateur dispensant cette formation. copier ou reproduire le Contenu sous licence sur un autre serveur ou site en vue dune nouvelle reproduction ou redistribution ; rvler des tiers les rsultats des tests dvaluation du Contenu sous licence sans laccord crit pralable de Microsoft ; contourner les restrictions techniques figurant dans le Contenu sous licence ; reconstituer la logique du Contenu sous licence, le dcompiler ou le dsassembler, sauf dans la mesure o ces oprations seraient expressment permises par la rglementation applicable nonobstant la prsente limitation ; effectuer plus de copies du Contenu sous licence que ce qui nest autoris dans le prsent contrat ou par la rglementation applicable, nonobstant la prsente limitation ; publier le Contenu sous licence en vue dune reproduction par autrui ; transfrer le Contenu sous licence, en totalit ou en partie, un tiers ; accder ou utiliser un Contenu sous licence pour lequel vous (i) ne dispensez pas de Cours et/ou (ii) navez pas obtenu lautorisation de Microsoft ; louer ou prter le Contenu sous licence ; ou

utiliser le Contenu sous licence pour des services dhbergement commercial ou pour des besoins dordre gnral. Les droits daccs au logiciel serveur pouvant tre inclus avec le Contenu sous licence, y compris les Disques durs virtuels, ne vous autorisent pas exploiter des brevets appartenant Microsoft ou tous autres droits de proprit intellectuelle de Microsoft sur le logiciel ou tous dispositifs qui peuvent accder au serveur.

8. RESTRICTIONS LEXPORTATION. Le Contenu sous licence est soumis la rglementation

amricaine en matire dexportation. Vous devez vous conformer toutes les rglementations nationales et internationales en matire dexportation concernant le logiciel. Ces rglementations comprennent des restrictions sur les pays destinataires, les utilisateurs finaux et les utilisations finales. Des informations supplmentaires sont disponibles sur le site Internet www.microsoft.com/exporting. NFR ). Vous ntes pas autoris vendre un logiciel ou un Contenu sous licence portant la mention de revente interdite ( Not for Resale ou NFR ).

9. LOGICIEL/CONTENU SOUS LICENCE EN REVENTE INTERDITE ( NOT FOR RESALE OU

10. VERSION DUCATION. Pour utiliser un Contenu sous licence portant la mention de Version

ducation ( Academic Edition ou AE ), vous devez avoir la qualit d Utilisateur ducation Autoris (Qualified Educational User). Pour savoir si vous avez cette qualit, rendez-vous sur le site http://www.microsoft.com/france/licences/education ou contactez laffili Microsoft qui dessert votre pays. licence si vous nen respectez pas les termes et conditions. Si votre statut de Centre de formation agr ou de Formateur a) expire, b) est volontairement rsili par vous-mme et/ou c) est rsili par Microsoft, ce contrat expirera automatiquement. Aprs rsiliation du prsent contrat, vous devrez dtruire tous les exemplaires du Contenu sous licence et tous ses composants.

11. RSILIATION. Sans prjudice de tous autres droits, Microsoft pourra rsilier le prsent contrat de

12. INTGRALIT DES ACCORDS. Le prsent contrat ainsi que les termes concernant les

supplments, les mises jour, les services Internet et dassistance technique que vous utilisez constituent lintgralit des accords en ce qui concerne le Contenu sous licence et les services dassistance technique.

13. DROIT APPLICABLE. a. tats-Unis. Si vous avez acquis le Contenu sous licence aux tats-Unis, les lois de ltat de
Washington, tats-Unis dAmrique, rgissent linterprtation de ce contrat et sappliquent en cas de rclamation pour rupture dudit contrat, sans donner deffet aux dispositions rgissant les conflits de lois. Les lois du pays dans lequel vous vivez rgissent toutes les autres rclamations, notamment les rclamations fondes sur les lois fdrales en matire de protection des consommateurs, de concurrence dloyale et de dlits. lois de ce pays sappliquent.

b. En dehors des tats-Unis. Si vous avez acquis le Contenu sous licence dans un autre pays, les

14. EFFET JURIDIQUE. Le prsent contrat dcrit certains droits lgaux. Vous pouvez bnficier dautres

droits prvus par les lois de votre tat ou pays. Vous pouvez galement bnficier de certains droits lgard de la partie auprs de laquelle vous avez acquis le Contrat sous licence. Le prsent contrat ne modifie pas les droits que vous confrent les lois de votre tat ou pays si celles-ci ne le permettent pas.

15. EXCLUSIONS DE GARANTIE. Le Contenu sous licence est concd sous licence en

ltat . Vous assumez tous les risques lis son utilisation. Microsoft naccorde aucune garantie ou condition expresse. Vous pouvez bnficier de droits des consommateurs supplmentaires dans le cadre du droit local, que ce contrat ne peut modifier. Lorsque cela est autoris par le droit local, Microsoft exclut les garanties implicites de qualit, dadquation un usage particulier et dabsence de contrefaon. MICROSOFT ET DE SES FOURNISSEURS UNE INDEMNISATION EN CAS DE DOMMAGES DIRECTS LIMITE 5,00 $ U.S. VOUS NE POUVEZ PRTENDRE AUCUNE INDEMNISATION POUR LES AUTRES DOMMAGES, Y COMPRIS LES DOMMAGES INDIRECTS, DE PERTES DE BNFICES, SPCIAUX OU ACCESSOIRES. Cette limitation concerne : toute affaire lie au Contenu sous licence, au logiciel, aux services ou au contenu (y compris le code) figurant sur des sites Internet tiers ou dans des programmes tiers ; et les rclamations pour rupture de contrat ou violation de garantie, les rclamations en cas de responsabilit sans faute, de ngligence ou autre dlit dans la limite autorise par la loi en vigueur.

16. LIMITATION ET EXCLUSION DE RECOURS ET DE DOMMAGES. VOUS POUVEZ OBTENIR DE

Elle sapplique galement mme si Microsoft connaissait l'ventualit d'un tel dommage. La limitation ou exclusion ci-dessus peut galement ne pas vous tre applicable, car votre pays nautorise pas lexclusion ou la limitation de responsabilit pour les dommages indirects, accessoires ou de quelque nature que ce soit.

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

xiii

Table des matires


Module 1 : Implmentation des services de domaine Active Directory
Leon 1 : Installation des services de domaine Active Directory Leon 2 : Dploiement de contrleurs de domaine en lecture seule Leon 3 : Configuration des rles de contrleur de domaine des services de domaine Active Directory Atelier pratique : Implmentation de contrleurs de domaine en lecture seule et gestion des rles de contrleur de domaine 1-3 1-18 1-28 1-35

Module 2 : Configuration du service de noms de domaine pour les services de domaine Active Directory
Leon 1 : Prsentation de lintgration des services de domaine Active Directory et de DNS Leon 2 : Configuration des zones intgres des services de domaine Active Directory Leon 3 : Configuration des zones DNS en lecture seule Atelier pratique : Configuration de lintgration des services de domaine Active Directory et du systme DNS 2-3 2-12 2-21

2-21

Module 3 : Configuration des objets et approbations Active Directory


Leon 1 : Configuration des objets Active Directory Leon 2 : Stratgies dutilisation des groupes Leon 3 : Automatisation de la gestion des objets des services de domaine Active Directory Atelier pratique A : Configuration des objets Active Directory Leon 4 : Dlgation de laccs administratif aux objets AD DS Leon 5 : Configuration des approbations des services de domaine Active Directory Atelier pratique B : Configuration des dlgations et approbations Active Directory 3-3 3-14 3-20 3-28 3-42 3-50

3-62

xiv

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Module 4 : Configuration des sites des services de domaine Active Directory et de la rplication
Leon 1 : Prsentation de la rplication des services de domaine Active Directory Leon 2 : Prsentation des sites des services de domaine Active Directory et de la rplication Leon 3 : Configuration et surveillance de la rplication des services de domaine Active Directory Atelier pratique : Configuration des sites Active Directory et de la rplication 4-3 4-14 4-23

4-34

Module 5 : Cration et configuration dune stratgie de groupe


Leon 1 : Vue densemble de la stratgie de groupe Leon 2 : Configuration de ltendue des objets de stratgie de groupe Leon 3 : valuation de lapplication des objets de stratgie de groupe Leon 4 : Gestion des objets de stratgie de groupe Leon 5 : Dlgation du contrle administratif de la stratgie de groupe Atelier pratique : Cration et configuration dobjets Stratgie de groupe 5-3 5-17 5-31 5-37 5-46 5-50

Module 6 : Configuration des environnements utilisateur laide dune stratgie de groupe


Leon 1 : Configuration de paramtres de stratgie de groupe Leon 2 : Configuration de scripts et redirection de dossiers laide dune stratgie de groupe Leon 3 : Configuration des modles dadministration Leon 4 : Configuration des prfrences de stratgie de groupe Leon 5 : Dploiement de logiciels laide dune stratgie de groupe Atelier pratique : Configuration des environnements utilisateur laide dune stratgie de groupe 6-3 6-7 6-16 6-23 6-29

6-39

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

xv

Module 7 : Implmentation de la scurit laide dune stratgie de groupe


Leon 1 : Configuration des stratgies de scurit Leon 2 : Implmentation de stratgies de mots de passe affins Leon 3 : Restriction de lappartenance des groupes et de laccs aux logiciels Leon 4 : Gestion de la scurit laide de modles de scurit Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe 7-3 7-13 7-21 7-28

7-37

Module 8. Mise en uvre dun plan de contrle de services de domaine Active Directory
Leon 1 : Analyse des services de domaine Active Directory laide de lObservateur dvnements Leon 2 : Contrle des serveurs de domaine Active Directory laide de lanalyseur de fiabilit et de performances Leon 3 : Configuration de laudit des services de domaine Active Directory Atelier pratique : Analyse des services de domaine Active Directory 8-3 8-11 8-20 8-26

Module 9 : Implmentation dun plan de maintenance des services de domaine Active Directory
Leon 1 : Gestion des contrleurs de domaine de services de domaine Active Directory Leon 2 : Sauvegarde des services de domaine Active Directory Leon 3 : Restauration des services de domaine Active Directory Atelier pratique : Implmentation dun plan de maintenance des services de domaine Active Directory 9-3 9-16 9-20

9-32

xvi

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Module 10 : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication
Leon 1 : Rsolution des problmes lis aux services de domaine Active Directory Leon 2 : Rsolution des problmes lis lintgration du systme DNS et des services de domaine Active Directory Leon 3 : Rsolution des problmes lis la rplication des services de domaine Active Directory Atelier pratique : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication 10-3 10-9 10-16 10-24

Module 11 : Rsolution des problmes de stratgie de groupe


Leon 1 : Introduction la rsolution des problmes de stratgie de groupe Leon 2 : Rsolution des problmes dapplication de stratgie de groupe Leon 3 : Rsolution des problmes de paramtres de stratgie de groupe Atelier pratique : Rsolution des problmes de stratgie de groupe 11-3 11-10 11-18 11-26

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory


Leon 1 : Prsentation du domaine des services de domaine Active Directory Leon 2 : Planification dune stratgie de groupe Atelier pratique A : Dploiement des services de domaine Active Directory Atelier pratique B : Configuration de la relation dapprobation de fort Atelier pratique C : Conception dune stratgie de groupe 12-3 12-7 12-9 12-25 12-33

Corrigs de l'atelier pratique

propos de ce cours

xvii

propos de ce cours
Cette section dcrit brivement le cours, le profil des stagiaires, les connaissances pralables requises et les objectifs du cours.

Description du cours
Lobjectif de ce cours de 5 jours est dapprendre des spcialistes de la technologie Active Directory comment configurer les services de domaine Active Directory dans un environnement distribu, mettre en uvre une stratgie de groupe, effectuer des sauvegardes et des restaurations et assurer le contrle et la rsolution des problmes en cas de problme lis Active Directory. Au terme de ce cours, les stagiaires seront mme dimplmenter et de configurer les services de domaine Active Directory dans leur environnement dentreprise.

Public concern
Ce cours sadresse principalement des spcialistes de la technologie Active Directory, des administrateurs de serveurs et des administrateurs dentreprise qui souhaitent apprendre implmenter Active Directory dans un environnement distribu, scuriser des domaines laide dune stratgie de groupe, effectuer des sauvegardes et des rcuprations ainsi qu contrler et rsoudre les problmes de configuration Active Directory afin dassurer un fonctionnement sans problme.

Connaissances pralables
Pour suivre ce cours, vous devez remplir les conditions pralables suivantes : comprhension lmentaire de la mise en rseau ; par exemple, le fonctionnement du protocole TCP/IP, ladressage, la rsolution de noms (Domain Name System [DNS] / Windows Internet Name Service [WINS]) et les mthodes de connexion (cbl, sans fil, rseau priv virtuel [VPN]), NET+ ou connaissances quivalentes ; comprhension intermdiaire des systmes dexploitation rseau ; par exemple, Windows 2000, Windows XP, Windows server 2003, etc. et le systme dexploitation client Windows Vista (utile davoir) ; sensibilisation aux meilleures pratiques ; par exemple, autorisations de systme de fichiers, mthodes dauthentification, mthodes de renforcement des stations de travail et du serveur, etc. ; connaissance lmentaire du matriel serveur ; connaissance de A+ ou quivalent ;

xviii

propos de ce cours

une exprience dans la cration dobjets dans Active Directory ; Cours de base (6424A: Fundamentals of Windows Server 2008 Active Directory) ou connaissances quivalentes. concepts de base des processus de sauvegarde et rcupration dans un environnement Windows Server ; par exemple, types et mthodes de sauvegarde, topologies de sauvegarde, etc. (sujets traits dans 6420A: Fundamentals of Windows Server 2008 Network Infrastructure and Application Platform).

Objectifs du cours
la fin de ce cours, les stagiaires seront mme deffectuer les tches suivantes : mettre en uvre les services de domaine Active Directory ; configurer DNS pour les services de domaine Active Directory ; configurer des objets et des approbations Active Directory ; configurer des sites et la rplication Active Directory ; crer et configurer une stratgie de groupe ; configurer les environnements utilisateur laide dune stratgie de groupe ; mettre en uvre la scurit laide dune stratgie de groupe ; mettre en uvre un plan de contrle de services de domaine Active Directory ; mette en uvre un plan de maintenance de services de domaine Active Directory ; rsoudre les problmes dActive Directory, du systme DNS et de rplication ; rsoudre les problmes de stratgie de groupe ; mettre en uvre une infrastructure de services de domaine Active Directory.

propos de ce cours

xix

Plan du cours
Cette section fournit un plan du cours : Module 1. Ce module traite du matriel et des logiciels requis pour la mise en uvre des services de domaine Active Directory, ainsi que la procdure dinstallation de ce dernier. Il explique galement ce quest un contrleur de domaine en lecture seule (RODC) et la faon de linstaller. Module 2. Ce module prsente la configuration DNS spcifique aux services de domaine Active Directory. Module 3. Ce module explique comment mettre en uvre et configurer les objets et les approbations des services de domaine Active Directory. Module 4. Ce module explique comment crer et configurer des sites pour grer la rplication. Module 5. Ce module dcrit le fonctionnement des objets Stratgie de groupe (GPO), ainsi que leur mode de cration et d'application. Module 6. Ce module explique comment configurer les paramtres du bureau dutilisateur laide dune stratgie de groupe. Module 7. Ce module explique comment configurer les paramtres de scurit et les appliquer laide dobjets de stratgie de groupe. Module 8. Ce module dcrit comment contrler une infrastructure et les services de domaine Active Directory. Module 9. Ce module explique comment effectuer la maintenance, la sauvegarde et la rcupration de serveurs et dobjets Active Directory. Module 10. Ce module explique comment dpanner et rsoudre les problmes lis aux services de domaine Active Directory, DNS et la rplication. Module 11. Ce module explique comment dpanner et rsoudre des problmes lis la stratgie de groupe. Module 12. Ce module est un atelier pratique dune journe. Vous disposez de scnarios avec lesquels vous allez apprendre crer une solution de bout en bout.

xx

propos de ce cours

Documents de cours
Votre kit de cours contient les documents suivants : Guide du cours. Le guide du cours contient les sujets traits en classe. Il est destin tre utilis conjointement au CD-Rom daccompagnement du cours. CD-Rom daccompagnement du cours. Le CD-Rom daccompagnement du cours contient la totalit du cours, notamment le contenu dvelopp des pages de rubrique, lensemble des exercices de cet atelier et leurs corrigs, les ressources classes par rubriques et par catgories et des liens Internet. Il est destin tre utilis la fois en classe et en dehors.

Remarque : pour accder au contenu du cours, insrez le CD-ROM daccompagnement du cours dans le lecteur de CD-ROM, puis double-cliquez la racine sur StartCD.exe.

valuation du cours. la fin du cours, vous pourrez remplir une fiche dvaluation en ligne pour mettre vos commentaires sur le cours, le centre de formation et linstructeur.

Pour formuler des commentaires et impressions complmentaires sur le cours, vous pouvez envoyer un courrier lectronique ladresse support@mscourseware.com. Pour obtenir des renseignements sur le programme MCP (Microsoft Certified Professional), envoyez un courrier lectronique ladresse mcphelp@microsoft.com.

propos de ce cours

xxi

Environnement de lordinateur virtuel


Cette section fournit des informations pour configurer lenvironnement de la classe afin de prendre en charge le scnario dentreprise du cours.

Configuration de lordinateur virtuel


Dans ce cours, vous utiliserez Microsoft Virtual Server 2005 et lutilitaire de lancement des ateliers pratiques MSL pour effectuer les ateliers pratiques.

Important : la fin de chaque atelier pratique, vous devez arrter lordinateur virtuel sans enregistrer les modifications. Pour arrter un ordinateur virtuel sans enregistrer les modifications, procdez comme suit : 1. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. 2. Dans la zone Fermer, slectionnez Dsactiver lordinateur virtuel et ignorez les modifications. Cliquez sur OK.

xxii

propos de ce cours

Le tableau suivant illustre le rle de chaque ordinateur virtuel utilis dans ce cours :
Ordinateur virtuel 6238A-NYC-DC1 Rle Contrleur de domaine dans le domaine WoodgroveBank.com Contrleur de domaine dans le domaine WoodgroveBank.com Contrleur de domaine en lecture seule excutant Windows Server 2008 Server Core Serveur autonome Ordinateur principal Windows Server 2008 Ordinateur Windows Vista dans le domaine WoodgroveBank.com Serveur membre du domaine WoodgroveBank.com Contrleur de domaine dans le domaine EMEA.WoodgroveBank.com Contrleur de domaine Windows Server 2003 dans le domaine Fabrikam.com

6238A-NYC-DC2

6238A-MIA-RODC 6238A-NYC-SVR1 6238A-NYC-SVR2 6238A-NYC-CL1 6238A-NYC-RAS 6238A-LON-DC1

6238A-VAN-DC1

Configuration logicielle
Les logiciels suivants sont installs sur chaque ordinateur virtuel : Windows Server 2008 Entreprise ; Windows Server 2003 Enterprise ; Windows Vista SP1

propos de ce cours

xxiii

Installation de la salle de classe


Lordinateur virtuel sera configur de la mme faon sur tous les ordinateurs de la classe.

Niveau des lments matriels du cours


Pour garantir une utilisation satisfaisante, les formations Microsoft requirent une configuration matrielle minimale pour les ordinateurs de linstructeur et des stagiaires dans toutes les classes Microsoft CPLS (Certified Partner for Learning Solutions) dans lesquelles les produits officiels de formation Microsoft sont enseigns. Pour suivre ce cours, votre ordinateur doit au minimum disposer des lments matriels de niveau 5,5, savoir un Pentium 4 dau moins 2,4 gigahertz ou UC quivalente, au moins 2 gigaoctets de RAM, 16 mgaoctets de RAM vido et deux disques durs de 40 gigaoctets 7 200 tours/minute.

Implmentation des services de domaine Active Directory

1-1

Module 1.
Implmentation des services de domaine Active Directory
Table des matires :
Leon 1 : Installation des services de domaine Active Directory Leon 2 : Dploiement de contrleurs de domaine en lecture seule Leon 3 : Configuration des rles de contrleur de domaine des services de domaine Active Directory Atelier pratique : Implmentation de contrleurs de domaine en lecture seule et gestion des rles de contrleur de domaine 1-3 1-18 1-28 1-35

1-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

Les services de domaine Active Directory sont installs en tant que rle de serveur dans le systme dexploitation Windows Server 2008. Vous avez plusieurs options lorsque vous installez les services de domaine Active Directory et excutez lAssistant Installation des services de domaine Active Directory. Vous devez choisir entre crer un nouveau domaine ou ajouter un contrleur de domaine un domaine existant. Vous avez galement la possibilit dinstaller les services de domaine Active Directory sur un serveur excutant Windows Server 2008 Server Core ou dinstaller des contrleurs de domaine en lecture seule. Aprs le dploiement des contrleurs de domaine, vous devez aussi grer des rles spciaux de contrleur de domaine, par exemple les matres de catalogue global et doprations.

Implmentation des services de domaine Active Directory

1-3

Leon 1 :

installation des services de domaine Active Directory

Windows Server 2008 offre plusieurs faons dinstaller et de configurer les services de domaine Active Directory. Cette leon dcrit linstallation standard des services de domaine Active Directory, ainsi que quelques-unes des autres options disponibles durant linstallation.

1-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Configuration requise pour linstallation des services de domaine Active Directory

Points cls
Pour linstallation des services de domaine Active Directory, le serveur doit satisfaire les conditions suivantes : Le systme dexploitation Windows Server 2008 doit tre install. Il nest possible dinstaller les services de domaine Active Directory que sur les ditions suivantes : Le systme dexploitation Windows Server 2008 Standard Le systme dexploitation Windows Server 2008 Entreprise Le systme dexploitation Windows Server 2008 Datacenter

Implmentation des services de domaine Active Directory

1-5

Lectures complmentaires
Aide des services de domaine Active Directory : installation des services de domaine Active Directory Article Microsoft Technet : Configuration requise pour linstallation des services de domaine Active Directory

1-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des niveaux fonctionnels dun domaine et dune fort

Points cls
Dans Windows Server 2008, les fonctionnalits des forts et des domaines offrent un moyen dactiver les fonctionnalits Active Directory tendues lchelle de la fort ou du domaine dans votre environnement rseau. Il existe diffrents niveaux de fonctionnalit de fort et de domaine, selon le niveau fonctionnel du domaine et de la fort.

Lectures complmentaires
Aide des services de domaine Active Directory : dfinition du niveau fonctionnel du domaine ou de la fort (ventuellement en anglais) Article Microsoft Technet : Annexe des fonctionnalits de niveau fonctionnel (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-7

Procdure dinstallation des services de domaine Active Directory

Points cls
Pour configurer un contrleur de domaine Windows Server 2008, vous devez installer un rle de serveur Services de domaine Active Directory et excuter lAssistant Installation des services de domaine Active Directory. Pour ce faire, suivez lune des procdures ci-aprs : Installez le rle de serveur au moyen du Gestionnaire de serveur et lancez lAssistant dinstallation en excutant DCPromo ou lAssistant dinstallation depuis le Gestionnaire de serveur. Excutez DCPromo laide de la commande Excuter ou dune invite de commandes. Cela permet dinstaller le rle de serveur Services de domaine Active Directory et de lancer lAssistant dinstallation.

1-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Aide des services de domaine Active Directory : installation des services de domaine Active Directory Article Microsoft Technet : Installation dune nouvelle fort Windows Server 2008 et scnarios dinstallation des services de domaine Active Directory (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-9

Options avances pour linstallation des services de domaine Active Directory

Points cls
Certaines des pages de lAssistant Installation des services de domaine Active Directory ne saffichent que si vous activez la case cocher Utilisez linstallation en mode avanc sur la page Bienvenue de cet Assistant ou que vous excutez DCPromo avec le commutateur /adv. Si vous nexcutez pas lAssistant dinstallation en mode avanc, les options par dfaut applicables la plupart des configurations sont utilises. Question : Quand devez-vous utiliser le mode des options avances dans votre organisation ?

1-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Aide des services de domaine Active Directory : utilisation du mode dinstallation avanc (ventuellement en anglais) Article Microsoft Technet : Nouveauts de linstallation et de la suppression des services de domaine Active Directory (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-11

Installation des services de domaine Active Directory partir du support (ventuellement en anglais)

Points cls
Pour pouvoir utiliser le support de sauvegarde comme source dinstallation dun contrleur de domaine, crez le support dinstallation laide de Ntdsutil.exe. Ntdsutil.exe peut crer quatre types de support dinstallation. Question : Quels types de support dinstallation allez-vous utiliser dans votre organisation ?

Lectures complmentaires
Article Microsoft Technet : Installation des services de domaine Active Directory partir du support (ventuellement en anglais)

1-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Vrification de linstallation des services de domaine Active Directory

Question : Quelle procdure devez-vous suivre si vous remarquez que linstallation du contrleur de domaine a chou ?

Lectures complmentaires
Article Microsoft Technet : Vrification dune installation des services de domaine Active Directory (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-13

Mise niveau vers les services de domaine Active Directory de Windows Server 2008

Points cls
Pour installer un nouveau contrleur de domaine Windows Server 2008 dans un domaine Windows 2000 Server ou Windows Server 2003 existant, suivez cette procdure : Si le contrleur de domaine est le premier contrleur de domaine Windows Server 2008 de la fort, vous devez prparer celle-ci pour Windows Server 2008 en tendant le schma sur le matre doprations de schma. Pour tendre le schma, excutez adprep /forestprep. Loutil adprep se trouve sur le support dinstallation de Windows Server 2008. Si le contrleur de domaine est premier contrleur de domaine Windows Server 2008 dun domaine Windows 2000 Server, vous devez dabord prparer celui-ci en excutant adprep /domainprep /gpprep sur le matre dinfrastructure. Le commutateur gpprep ajoute des entres de contrle daccs (ACE) hritables aux objets de stratgie de groupe situs dans le dossier partag SYSVOL et synchronise celui-ci entre les contrleurs du domaine.

1-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Si le contrleur de domaine est premier contrleur de domaine Windows Server 2008 dun domaine Windows Server 2003, vous devez dabord prparer celui-ci en excutant adprep /domainprep sur le matre dinfrastructure. Aprs linstallation dun contrleur de domaine inscriptible, vous pouvez installer un contrleur de domaine en lecture seule dans la fort Windows Server 2003. Au pralable, vous devez prparer la fort en excutant adprep /rodcprep. Vous pouvez excuter adprep /rodcprep sur un ordinateur quelconque de la fort. Si le contrleur de domaine en lecture seule doit tre un serveur de catalogue global, vous devez excuter adprep /domainprep sur tous les domaines de la fort, que ceux-ci utilisent ou non un contrleur de domaine Windows Server 2008. Lexcution de adprep /domainprep dans tous les domaines permet au contrleur de domaine en lecture seule de rpliquer les donnes de catalogue global de tous les domaines de la fort et deffectuer une annonce en tant que serveur de catalogue global.

Lectures complmentaires
Aide des services de domaine Active Directory : installation des services de domaine Active Directory Article Microsoft Technet : Installation dune nouvelle fort Windows Server 2008 (ventuellement en anglais) Article Microsoft Technet : Scnarios dinstallation des services de domaine Active Directory (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-15

Installation des services de domaine Active Directory sur un ordinateur Server Core

Points cls
Pour installer les services de domaine Active Directory sur un ordinateur Windows Server 2008 excutant Server Core, vous devez utiliser linstallation sans surveillance. Windows Server 2008 Server Core ne fournissant pas dinterface utilisateur, vous ne pouvez pas excuter lAssistant Installation des services de domaine Active Directory. Pour raliser une installation automatise des services de domaine Active Directory, utilisez un fichier de rponse et la syntaxe suivante avec la commande Dcpromo :
Dcpromo /answer[:nomfichier], where nomfichier est le nom de votre fichier de rponse.

1-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Article Microsoft Technet : Installation dune fort Windows Server 2008, Annexe des paramtres dinstallation sans assistance (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-17

Discussion : Configuration commune pour les services de domaine Active Directory

Points cls
Aprs avoir install un contrleur de domaine, vous devrez peut-tre effectuer des tches supplmentaires dans votre environnement. Dans le Gestionnaire de serveur, sous Ressources et support, vous pouvez accder aux listes de contrle des configurations communes suivantes pour les services de domaine Active Directory :

Lectures complmentaires
Aide des services de domaine Active Directory : configurations communes pour les services de domaine Active Directory (ventuellement en anglais)

1-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 2 :

Dploiement de contrleurs de domaine en lecture seule

La possibilit dutiliser des contrleurs de domaine en lecture seule constitue lune des nouvelles fonctionnalits importantes de Windows Server 2008. Les contrleurs de domaine en lecture seule fournissent toutes les fonctionnalits dont les clients ont besoin, tout en offrant une scurit renforce pour les contrleurs de domaine dploys dans les succursales. Lors de la configuration des contrleurs de domaine en lecture seule, vous pouvez prciser quels mots de passe de compte dutilisateur seront mis en cache sur le serveur et configurer les autorisations administratives dlgues pour le contrleur de domaine. Cette leon explique comment installer et configurer des contrleurs de domaine en lecture seule.

Implmentation des services de domaine Active Directory

1-19

Description du contrleur de domaine en lecture seule

Points cls
Un contrleur de domaine en lecture seule est un nouveau type de contrleur de domaine pris en charge par Windows Server 2008. Il hberge les partitions en lecture seule de la base de donnes des services de domaine Active Directory. Cela signifie quil est impossible de modifier la copie de la base de donnes que stocke le contrleur de domaine en lecture seule. De plus, la rplication des services de domaine Active Directory dans son ensemble utilise une connexion unidirectionnelle entre un contrleur de domaine disposant dune copie inscriptible de la base de donnes et le contrleur de domaine en lecture seule.

Lectures complmentaires
Article Microsoft Technet : Services de domaine Active Directory : contrleurs de domaine en lecture seule (ventuellement en anglais)

1-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnalits des contrleurs de domaine en lecture seule

Points cls
Voir la liste sur la diapositive.

Lectures complmentaires
Article Microsoft Technet : Services de domaine Active Directory : contrleurs de domaine en lecture seule (ventuellement en anglais) Article Microsoft Technet : Guide pas pas pour les contrleurs de domaine en lecture seule dans Windows Server 2008 Beta 3 (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-21

Prparation de linstallation du contrleur de domaine en lecture seule

Points cls
Avant dinstaller un contrleur de domaine en lecture seule, vous devez prparer lenvironnement des services de domaine Active Directory en suivant cette procdure : dfinir le niveau fonctionnel du domaine et de la fort ; planifier la disponibilit du contrleur de domaine Windows Server 2008 ; prparer la fort et le domaine.

1-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Aide des services de domaine Active Directory : dlgation de linstallation et de ladministration des contrleurs de domaine en lecture seule (ventuellement en anglais) Article Microsoft Technet : Services de domaine Active Directory : contrleurs de domaine en lecture seule (ventuellement en anglais) Article Microsoft Technet : Guide pas pas pour les contrleurs de domaine en lecture seule dans Windows Server 2008 Beta 3 (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-23

Installation du contrleur de domaine en lecture seule

Points cls
Linstallation du contrleur de domaine en lecture seule est quasiment identique celle des services de domaine Active Directory sur un contrleur de domaine comportant une copie inscriptible de la base de donnes. Il faut toutefois prvoir quelques tapes supplmentaires.

Lectures complmentaires
Aide des services de domaine Active Directory : dlgation de linstallation et de ladministration des contrleurs de domaine en lecture seule (ventuellement en anglais) Article Microsoft Technet : Guide pas pas pour les contrleurs de domaine en lecture seule dans Windows Server 2008 Beta 3 (ventuellement en anglais)

1-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dlgation de linstallation dun contrleur de domaine en lecture seule

Points cls
Vous pouvez dlguer linstallation dun contrleur de domaine en lecture seule en effectuant une installation en deux tapes : Question : quels sont les avantages de la dlgation de linstallation dun contrleur de domaine en lecture seule ?

Implmentation des services de domaine Active Directory

1-25

Lectures complmentaires
Aide des services de domaine Active Directory : dlgation de linstallation et de ladministration des contrleurs de domaine en lecture seule (ventuellement en anglais) Article Microsoft Technet : Services de domaine Active Directory : contrleurs de domaine en lecture seule (ventuellement en anglais) Article Microsoft Technet : Guide pas pas pour les contrleurs de domaine en lecture seule (ventuellement en anglais)

1-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des stratgies de rplication des mots de passe

Points cls
Lorsque vous dployez un contrleur de domaine en lecture seule, vous pouvez configurer une stratgie de rplication des mots de passe lui appliquer. Cette stratgie fait office de liste de contrle daccs qui dtermine si un contrleur est autoris mettre un mot de passe en cache. La stratgie de rplication des mots de passe rpertorie les comptes dont vous autorisez explicitement la mise en cache et ceux pour lesquels vous ne la permettez pas. Les mots de passe des comptes ne sont rellement mis en cache sur le contrleur de domaine en lecture seule quaprs la premire authentification du compte dutilisateur ou dordinateur via ce contrleur.

Lectures complmentaires
Aide en ligne des services de domaine Active Directory : dfinition dune stratgie de rplication des mots de passe (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-27

Dmonstration : Configuration de la sparation du rle dadministrateur et des stratgies de rplication des mots de passe

Questions : Quelle autre mthode vous permet de configurer la sparation des rles dadministrateur et les stratgies de rplication des mots de passe ? Votre organisation a dploy deux contrleurs de domaine en lecture seule. Comment devez-vous configurer la stratgie de rplication des mots de passe si vous souhaitez que les informations didentification de tous les comptes dutilisateurs et comptes dordinateurs lexception de ceux pour administrateurs et cadres soient mis en cache sur les deux contrleurs de domaine en lecture seule ?

Lectures complmentaires
Aide des services de domaine Active Directory : dfinition dune stratgie de rplication des mots de passe (ventuellement en anglais)

1-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 3 :

Configuration des rles de contrleur de domaine des services de domaine Active Directory

Tous les contrleurs de domaine dun domaine sont globalement gaux : ils contiennent tous les mmes donnes et fournissent les mmes services. Vous pouvez toutefois leur affecter des rles spciaux afin de fournir des services supplmentaires ou concevoir des scnarios dans lesquels un seul contrleur de domaine doit fournir des services tout moment. Cette leon explique comment configurer et grer des serveurs de catalogue global et des matres doprations.

Implmentation des services de domaine Active Directory

1-29

Description des serveurs de catalogue global

Points cls
Le catalogue global est une rplique partielle en lecture seule de toutes les partitions dannuaire de domaine dune fort. Il sagit dune rplique partielle car elle inclut uniquement un jeu limit dattributs pour chacun des objets de la fort. En incluant uniquement les attributs faisant le plus souvent lobjet dune recherche, la base de donnes dun seul serveur de catalogue global peut reprsenter chaque objet de chaque domaine de la fort. Le serveur de catalogue global est un contrleur de domaine qui hberge galement le catalogue global. Les services de domaine Active Directory configurent automatiquement le premier contrleur de domaine de la fort en tant que serveur de catalogue global. Vous pouvez ajouter des fonctionnalits de catalogue global dautres contrleurs de domaine ou transfrer lemplacement par dfaut du catalogue global vers un autre contrleur de domaine.

Lectures complmentaires
Article Microsoft Technet : Rles de contrleur de domaine (ventuellement en anglais)

1-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Modification du catalogue global

Points cls
Vous souhaiterez parfois personnaliser le serveur de catalogue global pour inclure des attributs supplmentaires. Par dfaut, le serveur de catalogue global contient les attributs les plus courants de chaque objet de la fort. Les applications et les utilisateurs peuvent interroger ces attributs. Vous pouvez, par exemple, trouver un utilisateur par son prnom, son nom, son adresse de messagerie ou toute autre proprit courante.

Lectures complmentaires
Article Microsoft Technet : Rles de contrleur de domaine (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-31

Dmonstration : Configuration des serveurs de catalogue global

Questions : Quels types derreurs ou dexpriences utilisateur pourraient vous conduire envisager la ncessit de configurer un autre serveur en tant que serveur de catalogue global ? Quelles motifs pourraient justifier la rplication dun attribut dans le catalogue global ?

Lectures complmentaires
Article Microsoft Technet : Ajout dun attribut au catalogue global (ventuellement en anglais)

1-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des rles de matre doprations

Points cls
Active Directory est conu comme un systme de rplication multimatre. Toutefois, pour certaines oprations dannuaire, un seul serveur faisant autorit est requis. Les contrleurs de domaine ayant des rles spcifiques sont appels matres doprations. Les contrleurs de domaine ayant des rles de matre doprations sont conus pour excuter des tches spcifiques afin dassurer la cohrence et dliminer les risques dentres conflictuelles dans la base de donnes Active Directory.

Lectures complmentaires
Article Microsoft Technet : Ajout dun attribut au catalogue global (ventuellement en anglais) Article Microsoft Technet : Gestion des rles de matre doprations (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-33

Dmonstration : Gestion des rles de matre doprations

Questions : Dans quels cas devez-vous prendre immdiatement un rle de matre doprations plutt que dattendre la rparation dun contrleur de domaine grant actuellement ce rle ? Vous dployez le premier contrleur domaine dans un nouveau domaine qui sera une nouvelle arborescence de domaine dans la fort WoodgroveBank.com. Quels rles de matre doprations ce serveur tiendra-t-il par dfaut ?

Lectures complmentaires
Article Microsoft Technet : Gestion des rles de matre doprations (ventuellement en anglais)

1-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnement du service de temps Windows

Points cls
Le service de temps Windows, appel aussi W32Time, synchronise la date et lheure pour tous les ordinateurs dun rseau Windows Server 2008. Ce service utilise le protocole NTP (Network Time Protocol) pour garantir des paramtres de date et dheure exacts sur lensemble du rseau. Vous pouvez galement intgrer le service de temps Windows des sources de date et dheure externes.

Lectures complmentaires
Article Microsoft Technet : Rfrence technique du service de temps Windows (ventuellement en anglais) Article Microsoft Technet : configuration dune source de temps pour la fort (ventuellement en anglais)

Implmentation des services de domaine Active Directory

1-35

Atelier pratique : Implmentation de contrleurs de domaine en lecture seule et gestion des rles de contrleur de domaine

Scnario
La Woodgrove Bank a commenc le dploiement de Windows Server 2008. Lorganisation a dploy plusieurs contrleurs de domaine au sige de lentreprise et se prpare en faire autant dans des succursales. Ladministrateur dentreprise a cr une conception qui requiert le dploiement de contrleurs de domaine en lecture seule sur des serveurs excutant Windows Server 2008 dans toutes les succursales. Votre tche consiste dployer un contrleur de domaine rpondant ces exigences dans une succursale.

1-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : valuation de ltat de prparation de la fort et du serveur pour linstallation dun contrleur de domaine en lecture seule
Dans cet exercice, vous allez valuer ltat de prparation de la fort et du serveur pour linstallation dun contrleur de domaine en lecture seule. Vous allez aussi prparer la fort en vue de linstallation. En outre, vous examinerez la configuration dun serveur excutant Server Core afin de vrifier quil remplit les conditions requises pour linstallation dun contrleur de domaine en lecture seule.
Remarque : en raison des limites de lenvironnement datelier virtuel, vous allez installer le contrleur de domaine en lecture seule sur le mme site que les contrleurs de domaine existants. Dans un environnement de production, vous devez suivre la mme procdure, mme si le contrleur de domaine en lecture seule se trouve sur un autre site.

Les principales tches sont les suivantes : 1. 2. 3. 4. Dmarrer les ordinateurs virtuels et ouvrir une session. Vrifier que le niveau fonctionnel de la fort et du domaine est compatible avec le dploiement dun contrleur de domaine en lecture seule. Vrifier quun contrleur de domaine inscriptible excutant Windows Server 2008 est disponible. Configurer les paramtres de compte dordinateur pour le contrleur de domaine en lecture seule.

Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session.


1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC2, cliquez sur Lancer. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCSVR1, cliquez sur Lancer.

2. 3. 4.

Implmentation des services de domaine Active Directory

1-37

5. 6. 7.

Ouvrez une session sur NYC-DC1 et NYC-DC2 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Ouvrez une session sur NYC-SVR1 en tant que LocalAdmin avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

Tche 2 : Vrifier que le niveau fonctionnel de la fort et du domaine est compatible avec le dploiement dun contrleur de domaine en lecture seule.
1. 2. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory. Affichez les proprits de WoodgroveBank.com, puis vrifiez que le niveau fonctionnel du domaine et celui de la fort sont definis sur ceux de Windows Server 2003.

Tche 3 : Vrifier la disponibilit dun contrleur de domaine inscriptible excutant Windows Server 2008.
1. 2. Dans Utilisateurs et ordinateurs Active Directory, vrifiez les proprits de NYC-DC1. Vrifiez que le nom du systme dexploitation est Windows Server 2008 Enterprise.

Tche 4 : Configurer les paramtres de compte dordinateur pour le contrleur de domaine en lecture seule.
1. 2. 3. Sur NYC-SVR1, ouvrez le Gestionnaire de serveur. Cliquez sur Modifier les proprits systme, et dans longlet Nom de lordinateur, changez le nom de lordinateur en TOR-DC1. Redmarrez lordinateur.
Rsultat : au terme de cet exercice, vous aurez vrifi que le domaine et lordinateur sont prts pour linstallation dun contrleur de domaine en lecture seule.

1-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Installation et configuration dun contrleur de domaine en lecture seule


Dans cet exercice, vous allez installer le rle de serveur Contrleur de domaine en lecture seule sur lordinateur Windows Server 2008. Pour ce faire, vous aller prconfigurer le compte dordinateur que le contrleur de domaine en lecture seule utilisera. Dans le cadre de cette procdure, vous allez configurer un groupe dadministration disposant dautorisations pour installer le contrleur de domaine. Une fois linstallation termine, vous allez vrifier quelle sest correctement droule. Vous allez galement configurer des stratgies de rplication des mots de passe pour les utilisateurs qui ouvrent une session sur le contrleur de domaine. Les principales tches sont les suivantes : 1. 2. 3. Prdfinir le compte dordinateur pour le contrleur de domaine en lecture seule. Ouvrir une session sur TOR-DC1 en tant quAdministrateur. Installer le contrleur de domaine en lecture seule au moyen du compte existant. Utiliser WoodgroveBank\Fabrice comme compte avec des informations didentification pour effectuer linstallation. Vrifier linstallation du contrleur de domaine. Configurer une stratgie de rplication de mot de passe permettant la mise en cache des informations didentification pour tous les comptes dutilisateur Toronto.

4. 5.

Tche 1 : Prdfinir le compte dordinateur pour le contrleur de domaine en lecture seule.


1. 2. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory. Cliquez avec le bouton droit sur lunit dorganisation Contrleurs de domaine et cliquez sur Crer au pralable un compte de contrleur de domaine en lecture seule. Excutez lAssistant Installation des services de domaine Active Directory en utilisant les slections suivantes : a. b. c. Utiliser linstallation en mode avanc. Utiliser les informations didentification actuelles. Nom de lordinateur : TOR-DC1

3.

Implmentation des services de domaine Active Directory

1-39

d. Site par dfaut e. f. Installez uniquement les options DNS et de contrleur de domaine en lecture seule. Dlguez Fabrice Canel lautorisation dinstaller le contrleur de domaine en lecture seule.

Tche 2 : Ouvrir une session sur TOR-DC1 en tant que LocalAdmin.


Ouvrez une session en tant que LocalAdmin avec le mot de passe Pa$$w0rd.

Tche 3 : Installer le contrleur de domaine en lecture seule au moyen du compte existant. Utilisez WoodgroveBank\Fabrice comme compte avec des informations didentification pour effectuer linstallation.
1. 2. Sur TOR-DC1, ouvrez une invite de commandes et tapez dcpromo /UseExistingAccount:Attach, et appuyez sur Entre : Excutez lAssistant Installation des services de domaine Active Directory en utilisant les slections suivantes : a. b. c. Utiliser linstallation en mode avanc. Indiquez Fabrice comme informations didentification de remplacement. Utilisez TOR-DC1 comme nom de lordinateur.

d. Utilisez NYC-DC1.WoodgroveBank.com comme contrleur de domaine source. e. f. 3. Acceptez lemplacement par dfaut pour les fichiers de base de donnes, les fichiers journaux et les fichiers SYSVOL. Utilisez Pa$$w0rd comme mot de passe dadministrateur de restauration des services dannuaire.

Redmarrez lordinateur une fois linstallation termine.

1-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 4 : Vrifier le bon droulement de linstallation du contrleur de domaine.


1. 2. 3. 4. 5. 6. 7. 8. 9. Aprs le redmarrage de NYC-SRV1, ouvrez une session en tant que Fabrice avec le mot de passe Pa$$w0rd. Dans le Gestionnaire de serveur, vrifiez que le rle de serveur Services de domaine Active Directory est install. Vrifiez que tous les services requis sont en fonctionnement. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que TOR-DC1 est rpertori dans lunit dorganisation Contrleurs de domaine. Vrifiez que vous ne disposez pas dautorisations pour ajouter ou supprimer des objets de domaine. Dans Sites et services Active Directory, vrifiez que TOR-DC1 figure dans la liste Serveurs pour Default-First-Site-Name. Vrifiez les Paramtres NTDS pour TOR-DC1. Confirmez que les objets de connexion ont t crs. Vrifiez les Paramtres NTDS pour NYC-DC1. Confirmez quaucun objet de connexion na t cr pour la rplication avec TOR-DC1. Ouvrez lObservateur dvnements. Dans le journal du service dannuaire, localisez et affichez un message avec lID dvnement 1128. Cet ID dvnement vrifie quun objet de connexion de rplication a t cr entre NYC-DC1 et TOR-DC1.

Tche 5 : Configurer une stratgie de rplication de mots de passe permettant la mise en cache des informations didentification pour tous les comptes dutilisateur Toronto.
1. 2. Sur NYC-DV1, dans Utilisateurs et ordinateurs Active Directory, accdez la bote de dialogue Proprits de TOR-DC1. Ajoutez tous les groupes de Toronto la stratgie de rplication des mots de passe.
Rsultat : au terme de cet exercice, vous aurez install un contrleur de domaine en lecture seule et configur sa stratgie de rplication des mots de passe.

Implmentation des services de domaine Active Directory

1-41

Exercice 3 : Configuration des rles de contrleur de domaine des services de domaine Active Directory
Dans cet exercice, vous allez configurer le contrleur de domaine en lecture seule, install dans lexercice prcdent, en tant que serveur de catalogue global. Vous allez galement affecter des rles de matre doprations un contrleur de domaine supplmentaire dans le domaine. Les principales tches sont les suivantes : 1. 2. 3. 4. Utiliser Sites et services Active Directory pour configurer TOR-DC1 en tant que serveur de catalogue global. Configurer NYC-DC2 en tant que matre dinfrastructure et matre doprations des noms de domaine pour le domaine WoodgroveBank.com. Ajouter lattribut Service au catalogue global. Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.

Tche 1 : Utiliser Sites et services Active Directory pour configurer TOR-DC1 en tant que serveur de catalogue global.
1. 2. Sur NYC-DC1, dans Sites et services Active Directory, localisez le compte dordinateur TOR-DC1. Accdez au Paramtres NTDS, et activez la case cocher Catalogue global.

Tche 2 : Configurer NYC-DC2 en tant que matre dinfrastructure et matre doprations des noms de domaine pour le domaine WoodgroveBank.com.
1. 2. Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, changez le focus de la console en NYC-DC1.WoodgroveBank.com, puis cliquez sur OK. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Matres doprations. Transfrez le rle de matre dinfrastructure vers NYC-DC2.WoodgroveBank.com. Sur NYC-DC2, ouvrez Domaines et approbations Active Directory. Accdez aux paramtres du Matre doprations et transfrez le rle de matre doprations des noms de domaine vers NYC-DC2.

3.

1-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Ajouter lattribut Service au catalogue global.


1. 2. 3. Sur NYC-DC1, utilisez regsvr32 schmmgmt.dll pour enregistrer le composant logiciel enfichable Schma Active Directory. Crez une nouvelle console MMC et ajoutez le composant logiciel enfichable Schma Active Directory. Dans le Schma Active Directory, accdez lattribut Service et configurez lattribut pour une rplication dans le Catalogue global.

Tche 4 : Arrter tous les ordinateurs virtuels et ignorer les modifications.


1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations. Cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez configur un serveur de catalogue global et les rles de contrleur de domaine des services de domaine Active Directory.

Implmentation des services de domaine Active Directory

1-43

Rcapitulatif du module et objectifs

Questions du contrle des acquis


1. Vous dployez un contrleur de domaine dans une succursale. Comme la succursale ne dispose pas dune salle de serveur hautement scurise, la scurit du serveur vous proccupe. Quelles sont les deux fonctionnalits de Windows Server 2008 dont vous pouvez tirer parti pour mieux scuriser le dploiement du contrleur de domaine ? Vous devez crer un nouveau domaine en installant un contrleur de domaine dans votre infrastructure Active Directory. Vous analysez cette fin linventaire des serveurs disponibles. Quels ordinateurs pourraient servir de contrleurs de domaine ? a. b. Windows Server 2008 Web Edition, systme de fichiers NTFS, 1 Go despace disque disponible, TCP/IP. Windows Server 2008 Enterprise Edition, systme de fichiers NTFS, 500 Mo despace disque disponible, TCP/IP.

2.

1-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

c.

Windows Server 2008 Server Core Enterprise Edition, systme de fichiers NTFS, 1 Go despace disque disponible, TCP/IP.

d. Windows Server 2008 Standard Edition, systme de fichiers NTFS, 500 Mo despace disque disponible, TCP/IP. 3. Vous dployez un contrleur de domaine en lecture seule dans une succursale. Vous devez vrifier que tous les utilisateurs de la succursale peuvent sauthentifier mme si la connexion de rseau tendu depuis cette succursale nest pas disponible. Seuls les utilisateurs qui ouvrent une session dans la succursale devraient-ils pouvoir le faire ? Comment configureriez-vous la stratgie de rplication des mots de passe ? Vous devez installer un contrleur de domaine en utilisant loption dinstallation partir du support. Quelle est la procdure requise ? Allez-vous dployer des contrleurs de domaine en lecture seule dans votre environnement de services de domaine Active Directory ? Dcrivez le scnario de dploiement. Vous dployez un contrleur de domaine dans une succursale. La succursale possde une connexion de rseau tendu au sige qui dispose de trs peu de bande passante et qui nest pas trs fiable. Devez-vous configurer le contrleur de domaine de la succursale en tant que serveur de catalogue global ?

4. 5.

6.

lments prendre en considration


Gardez lesprit les aspects suivants lorsque vous implmentez des contrleurs de domaine lecture seule et grer des rles de contrleurs de domaine : Vous pouvez installer le rle de serveur des services de domaine Active Directory sur toutes les ditions de Windows Server 2008, lexception de Windows Server 2008 Web Server Edition. Envisagez linstallation dun contrleur de domaine en lecture seule sur un ordinateur Windows Server 2008 Server Core pour renforcer la scurit de votre environnement de domaine. Pour installer les services de domaine Active Directory sur un ordinateur Server Core, vous devez utiliser linstallation sans assistance.

Implmentation des services de domaine Active Directory

1-45

Planifiez soigneusement les stratgies de rplication des mots de passe dans votre organisation. Si vous activez la mise en cache des informations didentification pour la plupart des comptes de votre domaine, limpact sur votre organisation est accru si le contrleur de domaine est compromis. Si vous nactivez pas la mise en cache des informations didentification, vous augmentez limpact sur la succursale au cas o la liaison de rseau tendu au sige serait indisponible. Dans la plupart des cas, le dploiement dun serveur de catalogue global sur un site amliore louverture de session pour les utilisateurs. Toutefois, ce mme dploiement dans une succursale augmente lutilisation du rseau pour la rplication. Les rles de matre doprations fournissent des services importants sur un rseau, mais pour lesquels le temps ne joue pas un rle crucial. La plupart du temps, si un contrleur de domaine ayant un rle de matre doprations connat une dfaillance, vous navez pas transfrer ce rle vers un autre contrleur sil est possible de rparer le serveur concern en quelques heures.

Configuration du service de noms de domaine des services de domaine Active Directory

2-1

Module 2.
Configuration du service de noms de domaine des services de domaine Active Directory
Table des matires :
Leon 1 : Prsentation de lintgration des services de domaine Active Directory et de DNS Leon 2 : Configuration des zones intgres des services de domaine Active Directory Leon 3 : Configuration des zones DNS en lecture seule Atelier pratique : Configuration de lintgration des services de domaine Active Directory et du systme DNS 2-3 2-12 2-21 2-25

2-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

Le systme DNS (Domain Name System) fait partie intgrante des services de domaine Active Directory (AD DS) pour Windows Server 2008. En comprenant la relation entre ces applications, vous pouvez rsoudre les problmes lis Active Directory et amliorer la scurit, tout en fournissant aux clients les fonctionnalits compltes du systme DNS.

Configuration du service de noms de domaine des services de domaine Active Directory

2-3

Leon 1 :

Prsentation de lintgration des services de domaine Active Directory et de DNS

Windows Server 2008 exige quune infrastructure DNS soit en place avant dinstaller les services de domaine Active Directory. Pour rsoudre les problmes lis au systme DNS (problmes douverture de session client, par exemple), il est important de comprendre comment DNS et les services de domaine Active Directory sont intgrs et comment les ordinateurs clients utilisent le systme DNS lors de louverture de session.

2-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Intgration des services de domaine Active Directory et de lespace de noms DNS

Points cls
Les domaines et les ordinateurs sont reprsents par des enregistrements de ressources dans lespace de noms DNS et par des objets Active Directory dans lespace de noms Active Directory. Tous les domaines Active Directory doivent avoir des domaines DNS correspondants avec des noms de domaine identiques. Les clients sappuient sur le systme DNS pour rsoudre les noms dhtes dordinateurs en adresses IP afin de pouvoir localiser des contrleurs de domaine et dautres ordinateurs qui fournissent les services de domaine Active Directory et dautres services rseau. Active Directory requiert le systme DNS, mais pas un type particulier de serveur DNS. Par consquent, il peut y avoir plusieurs types de serveurs DNS. Question : Quelle est la relation entre les noms de domaine Active Directory et les noms de zone DNS ?

Configuration du service de noms de domaine des services de domaine Active Directory

2-5

Lectures complmentaires :
Intgration dActive Directory (ventuellement en anglais) Intgration de DNS (ventuellement en anglais)

2-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Enregistrements du localisateur de service

Points cls
Pour que les services de domaine Active Directory fonctionnent correctement, les ordinateurs clients doivent tre en mesure de localiser les serveurs qui fournissent des services spcifiques tels que lauthentification des demandes douverture de session et des services Telnet ou SIP (Session Initiated Protocol). Les clients et les contrleurs de domaine des services de domaine Active Directory utilisent des enregistrements de ressources de service (SRV) pour dterminer les adresses IP des ordinateurs qui fournissent ces services. Les applications des services de domaine Active Directory orientes site, telles que Microsoft Exchange, utilisent aussi des enregistrements de ressources SRV. Question : Dans lexemple ci-dessous qui prsente deux enregistrements de ressource SRV, quel enregistrement est utilis par un client pour rechercher un service SIP ?

Configuration du service de noms de domaine des services de domaine Active Directory

2-7

_sip._tcp.exemple.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com. _sip._tcp.exemple.com. 86400 IN SRV 50 20 5060 Lcs2.contoso.com.

Lectures complmentaires
Gestion des enregistrements de ressources (ventuellement en anglais) RFC 2782 - Un enregistrement de ressource DNS permettant de spcifier lemplacement des services (SRV DNS) (ventuellement en anglais)

2-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Enregistrements de ressources SRV inscrits par des contrleurs de domaine AD DS

Questions : Quel est lavantage de rpliquer la zone mscdcs sur la fort entire ? Comment privilgier un enregistrement de ressource SRV plutt quun autre ?

Configuration du service de noms de domaine des services de domaine Active Directory

2-9

Utilisation des enregistrements du localisateur de ressource de service

Points cls
Les ordinateurs clients du domaine utilisent linterface de programmation dapplication (API) du localisateur pour localiser un contrleur de domaine en lanant une requte DNS. Si les enregistrements de ressources SRV ne sont pas disponibles pour identifier les contrleurs de domaine, les ouvertures de session peuvent chouer. Tous les ordinateurs, y compris les stations de travail excutant le systme dexploitation Windows XP Professionnel ou Windows Vista et les serveurs excutant le systme dexploitation Windows Server 2003 ou Windows Server 2008, utilisent le mme processus pour localiser les contrleurs de domaine.

Lectures complmentaires
Comment les contrleurs de domaine sont-il localiss dans Windows XP ? Processus de localisation des contrleurs de domaine

2-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Intgration des enregistrements du localisateur de service et des sites Active Directory

Points cls
Lorsquil recherche un contrleur de domaine, le localisateur essaie de le trouver dans le site le plus proche du client. Le contrleur de domaine utilise les informations stockes dans Active Directory afin de dterminer le site le plus proche. Dans la plupart des cas, le contrleur de domaine qui rpond en premier au client se trouve dans le mme site que le client. Mais dans les cas o un ordinateur a t physiquement dplac vers un autre site, ou si le contrleur de domaine du site local nest pas disponible, un processus recherche un autre contrleur de domaine. Lors du dmarrage du service Ouverture de session rseau, le service correspondant de chaque contrleur de domaine numre les objets du site dans le conteneur Configuration. Le service Ouverture de session rseau utilise les informations sur les sites pour crer une structure en mmoire qui permet de mapper les adresses IP vers les noms de site.

Configuration du service de noms de domaine des services de domaine Active Directory

2-11

Lectures complmentaires
Recherche dun contrleur de domaine sur le site le plus proche (ventuellement en anglais)

2-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 2 :

Configuration des zones intgres des services de domaine Active Directory

Lintgration des zones DNS et Active Directory peut simplifier ladministration DNS en rpliquant les informations de zone DNS dans le cadre de la rplication Active Directory. Elle fournit galement des avantages tels que les mises jour dynamiques scurises ainsi que le vieillissement et le nettoyage des enregistrements de ressources obsoltes.

Configuration du service de noms de domaine des services de domaine Active Directory

2-13

Les zones intgres des services de domaine Active Directory

Points cls
Lintgration DNS et Active Directory offre la possibilit dintgrer des zones DNS dans une base de donnes Active Directory. Une zone est une partie de lespace de noms du domaine possdant un groupement logique denregistrements de ressources, qui permet des transferts de zones pour ces enregistrements afin de fonctionner en tant quunit unique.

Lectures complmentaires
Intgration dActive Directory (ventuellement en anglais)

2-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Partitions dapplications dans les services de domaine Active Directory

Points cls
Trois partitions principales contiennent des informations Active Directory : La partition de schma, qui rplique les informations de schma sur la fort entire. La partition de configuration, qui rplique les informations de structure physique sur la fort entire. La partition de domaine, qui rplique les informations de domaine sur tous les contrleurs de domaine dans un domaine donn.

Lectures complmentaires
Rplication de zones DNS dans Active Directory (ventuellement en anglais)

Configuration du service de noms de domaine des services de domaine Active Directory

2-15

Options de configuration des partitions dapplications pour DNS

Points cls
Vous pouvez modifier la porte de la rplication DNS tout moment laide de la Console de gestion Microsoft (MMC) DNS ou de loutil de ligne de commande DNSCMD. Lorsque vous utilisez la Console MMC DNS, vous pouvez rpliquer vers les destinations suivantes : Vers tous les serveurs DNS dans cette fort. Vers tous les serveurs DNS dans ce domaine (il sagit de lemplacement de stockage par dfaut).

2-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vers tous les contrleurs de domaine de ce domaine (il sagit de la partition dinformations de domaine). Vers tous les contrleurs de domaine qui hbergent une partition dapplication particulire.

Lectures complmentaires
Rplication de zones DNS dans Active Directory (ventuellement en anglais)

Configuration du service de noms de domaine des services de domaine Active Directory

2-17

Fonctionnement des mises jour dynamiques

Points cls
Les mises jour dynamiques permettent aux ordinateurs clients DNS denregistrer et de mettre jour dynamiquement leurs enregistrements de ressources sur un serveur DNS chaque fois que des changements se produisent. Cela rduit le besoin dadministrer les enregistrements de zone manuellement, en particulier pour les clients qui dplacent ou changent frquemment des emplacements et qui utilisent DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP.

Lectures complmentaires
Mise jour dynamique (ventuellement en anglais)

2-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnement des mises jour DNS dynamiques scurises

Points cls
Les mises jour dynamiques scurises fonctionnent comme les mises jour dynamiques, avec lexception suivante : le serveur de noms faisant autorit accepte uniquement les mises jour provenant de clients et de serveurs qui sont authentifis et joints au domaine Active Directory dans lequel le serveur DNS se trouve. Comme le montre la diapositive, le client essaie dabord une mise jour non scurise. Si cette tentative choue, le client tente alors de ngocier une mise jour scurise. Si le client a t authentifi par les services de domaine Active Directory, la mise jour russit. Question : Quels sont les avantages utiliser des zones DNS intgres Active Directory ?

Configuration du service de noms de domaine des services de domaine Active Directory

2-19

Dmonstration : Configuration des zones intgres des services de domaine Active Directory

Questions : Comment empcher un ordinateur de sinscrire dans la base de donnes DNS ? Quelles consquences y aurait-il ne pas autoriser les mises jour dynamiques ? Lorsque vous utilisez les mises jour dynamiques scurises, comment pouvezvous contrler quels clients sont autoriss mettre jour des enregistrements DNS ?

2-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnement du chargement de zone larrire-plan

Points cls
Les trs grandes organisations possdant des zones extrmement volumineuses qui stockent leurs donnes DNS dans les services de domaine Active Directory se rendent compte parfois que le redmarrage dun serveur DNS peut prendre une heure ou plus lorsque les donnes DNS sont rcupres depuis le service dannuaire. Il en rsulte que le serveur DNS est de fait non disponible pour traiter les requtes des clients pendant toute la dure du chargement des zones intgres Active Directory.

Lectures complmentaires
Rle du serveur DNS (ventuellement en anglais)

Configuration du service de noms de domaine des services de domaine Active Directory

2-21

Leon 3 :

Configuration des zones DNS en lecture seule

Vous pouvez renforcer la scurit en configurant les zones DNS en lecture seule, puisque seul un administrateur a la possibilit de modifier ces zones. Tandis que le personnel non autoris ne peut pas modifier des enregistrements sur le contrleur de domaine en lecture seule (RODC), les clients ont toujours la pleine fonctionnalit de rsolution de noms Active Directory.

2-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Zones DNS en lecture seule

Points cls
Lorsque vous installez un contrleur de domaine en lecture seule Windows Server 2008, les options dinstallation de serveur DNS vous sont proposes. Loption par dfaut consiste installer un serveur DNS principal en lecture seule localement sur le contrleur de domaine en lecture seule, qui rplique la zone intgre Active Directory existante pour le domaine spcifi et ajoute ladresse IP locale en tant que serveur DNS prfr dans les paramtres TCP/IP locaux. Cela garantit que le serveur DNS en cours dexcution sur le RODC possde une copie intgrale en lecture seule de toutes les zones DNS.

Lectures complmentaires
Rle du serveur DNS (ventuellement en anglais)

Configuration du service de noms de domaine des services de domaine Active Directory

2-23

Fonctionnement du DNS en lecture seule

Points cls
Lorsquun ordinateur devient un RODC, il rplique une copie intgrale en lecture seule de toutes les partitions annuaire dapplications utilises par DNS, y compris la partition de domaine, ForestDnsZones et DomainDnsZones. Cela garantit que le serveur DNS excut sur le RODC possde une copie intgrale en lecture seule de toutes les zones DNS stockes sur un contrleur de domaine centralis dans ces partitions annuaire. Ladministrateur dun RODC peut afficher le contenu dune zone principale en lecture seule. Toutefois, ladministrateur peut modifier le contenu uniquement en remplaant la zone sur un serveur DNS par une copie accessible en criture de la base de donnes DNS. Question : Comment RODC augmente-t-il la scurit ?

Lectures complmentaires
Rle du serveur DNS (ventuellement en anglais)

2-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Discussion : Comparaison des options DNS pour les succursales

Points cls
Rpondez aux questions dans une discussion en classe.

Lectures complmentaires
Fonctionnement du DNS (ventuellement en anglais)

Configuration du service de noms de domaine des services de domaine Active Directory

2-25

Atelier pratique : Configuration de lintgration dAD DS et de DNS

Scnario
La Woodgrove Bank est une entreprise disposant de bureaux dans plusieurs villes travers le monde. La Woodgrove Bank a des relations commerciales avec deux autres entits, Fabrikam Inc. et Contoso Inc. La Woodgrove Bank a fait lacquisition des copies des fichiers de zone DNS pour ces entits. Tous les employs de la fort de la Woodgrove Bank ont besoin dun accs aux enregistrements DNS de Contoso Inc. Seuls les employs du domaine de la Woodgrove Bank doivent accder aux fichiers DNS de Fabrikam Inc. La succursale de Woodgrove Bank possde un contrleur de domaine en lecture seule. Ce contrleur de domaine sera configur pour prendre en charge le service Serveur DNS et toutes les zones DNS lchelle de la fort et du domaine. Ladministrateur de lentreprise a cr un document de conception pour la configuration DNS. La conception inclut la configuration de zones intgres Active Directory, la configuration des mises jour dynamiques DNS et la configuration des zones DNS en lecture seule.

2-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Configuration des zones intgres Active Directory


Dans cet exercice, vous allez configurer les zones DNS pour lenvironnement de la Woodgrove Bank afin de rpondre aux exigences de conception. Vous allez vrifier les enregistrements de ressources SRV que chaque contrleur de domaine a inscrits et crer un nouvel enregistrement de ressource SRV pour prendre en charge le protocole Telnet. Vous allez galement modifier des zones DNS pour examiner la diffrence entre les zones intgres Active Directory et les zones standard, et configurer les mises jour dynamiques et ltendue de rplication. Vous utiliserez ensuite lditeur ADSI pour afficher les enregistrements DNS stocks dans la partition du domaine. Les principales tches sont les suivantes : 1. 2. 3. 4. 5. 6. 7. Dmarrer le contrleur de domaine et ouvrir une session en tant quadministrateur. Examiner les enregistrements de ressources SRV. Crer un enregistrement de ressource SRV pour prendre en charge le protocole Telnet sur lordinateur NYC-SRV2. Crer deux zones partir des fichiers de zones pour Fabrikam et Contoso. Configurer les deux nouvelles zones pour les intgrer Active Directory et sassurer que les mises jour dynamiques ne sont pas autorises. Configurer ltendue de rplication de la zone Contoso chelle de la fort et celle de la zone Fabrikam chelle du domaine. Utiliser ADSI Edit.exe pour afficher les zones DNS intgres Active Directory.

Tche 1 : Dmarrer lordinateur NYC-DC1 et ouvrir une session en tant quAdministrateur.


Dmarrez lordinateur NYC-DC1 et ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd.

Configuration du service de noms de domaine des services de domaine Active Directory

2-27

Tche 2 : Examiner les enregistrements de ressources SRV.


1. 2. 3. 4. 5. Ouvrez la console de gestion DNS, dveloppez les Zones de recherche directes, puis cliquez sur _msdsc.woodgrovebank.com. Dveloppez le dossier GC>_TCP. Dveloppez le dossier DC>_TCP. Ouvrez les proprits de _msdsc.woodgrovebank.com. Fermez la page des proprits.

Tche 3 : Crer un enregistrement de ressource SRV pour prendre en charge le protocole Telnet sur lordinateur NYC-SRV2.
1. 2. 3. 4. Cliquez avec le bouton droit sur _msdsc.woodgrovebank.com, puis cliquez sur Nouveaux enregistrements. Slectionnez le type denregistrement Emplacement du service (SRV), puis cliquez sur Crer un enregistrement. Dans le champ Service, slectionnez _telnet dans la liste droulante. Dans le champ Hte offrant ce service, tapez NYCSRV2.woodgrovebank.com, cliquez sur OK, puis sur Termin.

Tche 4 : Crer deux zones partir des fichiers de zones pour Fabrikam et Contoso.
1. Utilisez lExplorateur Windows pour copier les fichiers Contoso.com.dns et Fabrikam.com.dns du dossier D:\6238\Mod02\Labfiles vers C:\Windows\System32\DNS. Laissez la fentre de lExplorateur Windows ouverte. Utilisez la console de gestion DNS pour crer une zone principale standard nomme Contoso.com en utilisant le fichier Contoso.com.dns. Crez une zone standard principale nomme Fabrikam.com en utilisant le fichier Fabrikam.com.dns.

2. 3.

2-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 5 : Configurer les zones Contoso et Fabrikam pour les intgrer Active Directory et sassurer que les mises jour dynamiques ne sont pas autorises.
1. 2. 3. Ouvrez la page des proprits de Contoso.com. Modifiez le type de zone stocker dans les services de domaine Active Directory. Retournez dans la fentre de lExplorateur Windows. Notez que le fichier de zone Contoso.com.dns nest plus dans le dossier DNS. Il est maintenant stock dans les services de domaine Active Directory. Revenez la page des proprits de la zone Woodgrovebank.com et dfinissez Mises jour dynamiques sur Aucune. Rptez les tapes 1 4 pour la zone Fabrikam.com.

4. 5.

Tche 6 : Configurer ltendue de rplication de la zone Contoso chelle de la fort et celle de la zone Fabrikam chelle du domaine.
1. 2. 3. 4. Ouvrez la page des proprits de Contoso.com. Dfinissez ltendue de rplication sur Vers tous les serveurs DNS de cette fort. Ouvrez la page des proprits de Fabrikam.com. Vrifiez que ltendue de rplication pour la zone Fabrikam est Vers tous les serveurs DNS de ce domaine.

Tche 7 : Utiliser ADSI Edit.exe pour afficher les zones DNS intgres Active Directory.
1. 2. 3. 4. partir de la commande Excuter, lancez adsiedit.msc. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion. Dans la section Point de connexion, cliquez sur Slectionnez ou entrez un nom unique ou un contexte dattribution de noms. Tapez DC=DomainDNSZones,DC=WoodgroveBank,DC=Com, puis cliquez sur OK.

Configuration du service de noms de domaine des services de domaine Active Directory

2-29

5. 6. 7.

Dveloppez le contexte dattribution de noms, dveloppez CN=MicrosoftDNS, puis cliquez sur DC=Woodgrovebank.com et examinez les enregistrements. Double-cliquez sur lenregistrement pour lordinateur NYC-DC1. Fermez toutes les pages des proprits et la console de gestion ADSI.
Rsultat : au terme de cet exercice, vous aurez cr des zones DNS intgres Active Directory.

2-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Configuration des zones DNS en lecture seule


Au cours de cet atelier pratique, vous allez configurer une zone DNS en lecture seule sur un RODC et tester les mises jour dynamiques et mises jour administratives. Les tches principales consistent configurer une zone DNS en lecture seule sur le RODC pour prendre en charge Fabrikam. Les principales tches sont les suivantes : 1. 2. 3. 4. Dmarrer et ouvrir une session sur le contrleur de domaine en lecture seule en tant quAdministrateur. Installer le service Serveur DNS. Configurer le serveur DNS pour prendre en charge toutes les zones lchelle du domaine et de la fort. Arrter tous les ordinateurs virtuels et ignorer les changements.

Tche 1 : Dmarrer et ouvrir une session sur le contrleur de domaine en lecture seule en tant quAdministrateur.
Dmarrez et ouvrez une session sur le contrleur de domaine en lecture seule en tant quAdministrateur avec le mot de passe Pa$$w0rd.

Tche 2 : Installer le service Serveur DNS.


Utilisez Start /w Ocsetup DNS-Server-Core-Role pour installer le rle de serveur DNS.

Remarque : le nom du rle de serveur est sensible la casse.

Configuration du service de noms de domaine des services de domaine Active Directory

2-31

Tche 3 : Configurer le serveur DNS pour prendre en charge toutes les zones lchelle du domaine et de la fort.
1. 2. 3. 4. l'invite de commandes, entrez la commande suivante : Dnscmd /enlistdirectorypartition DomainDnsZones.woodgrovebank.com Puis tapez la commande suivante : Dnscmd /enlistdirectorypartition ForestDnsZones.woodgrovebank.com Basculez vers lordinateur NYC-DC1 et ouvrez la console de gestion DNS. Ajoutez lordinateur MIA-RODC la console DNS et veillez ce que toutes les zones DNS apparaissent.

Remarque : le nom du rle de serveur est sensible la casse.

Tche 4 : Arrter tous les ordinateurs virtuels et ignorer les changements.


Rsultat : au terme de cet exercice, vous aurez configur le serveur DNS pour prendre en charge toutes les zones lchelle du domaine et de la fort.

2-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rcapitulatif du module et objectifs

Questions du contrle des acquis


1. 2. 3. Comment un ordinateur client dtermine le site dans lequel il se trouve ? Citez au moins trois avantages des zones intgres Active Directory. Dans lexemple ci-dessous qui prsente deux enregistrements de ressource SRV, quel enregistrement est utilis par un client pour rechercher un service SIP ? 4. 5. 6. _sip._tcp.exemple.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com. _sip._tcp.exemple.com. 86400 IN SRV 50 20 5060 Lcs2.contoso.com.

Quelles autorisations sont ncessaires pour crer des partitions dannuaire dapplications DNS ? Quels utilitaires sont disponibles pour crer des partitions dapplications ? Quel est ltat par dfaut des mises jour dynamiques pour une zone intgre Active Directory ?

Configuration du service de noms de domaine des services de domaine Active Directory

2-33

7. 8.

Quel est ltat par dfaut des mises jour dynamiques pour une zone principale standard ? Quels groupes disposent des autorisations pour effectuer des mises jour dynamiques scurises ?

lments prendre en considration


Lorsque vous configurez lintgration des services de domaine Active Directory et du systme DNS, prenez en compte les lments suivants : En raison de la dpendance DNS de Windows Server 2008 et des clients Active Directory, la premire tape de la rsolution des problmes lis Active Directory consiste souvent dpanner le systme DNS. Les enregistrements du localisateur de service sont essentiels pour un fonctionnement correct dActive Directory. Les enregistrements du localisateur de service doivent tre extrmement disponibles. Windows Server 2008 peut fonctionner avec nimporte quel serveur compatible avec DNS, mais les zones intgres Active Directory fournissent des fonctionnalits et une scurit supplmentaires. Les zones intgres Active Directory peuvent tre rpliques sur lensemble du domaine ou de la fort, ou sur des contrleurs de domaine spcifiques via les partitions dapplications personnalises. Les enregistrements DNS internes doivent tre conservs sparment des enregistrements DNS publics. Les mises jour dynamiques allgent la charge administrative que reprsente la maintenance de la base de donnes de zone DNS. Les mises jour dynamiques peuvent tre limites aux utilisateurs authentifis. Le chargement des zones larrire-plan rduit le temps dindisponibilit des serveurs DNS aprs un redmarrage. Vous pouvez utiliser DNS en lecture seule avec des contrleurs de domaine en lecture seule pour plus de scurit tout en assurant la fonctionnalit de client requise.

Configuration des objets et approbations Active Directory

3-1

Module 3.
Configuration des objets et approbations Active Directory
Table des matires :
Leon 1 : Configuration des objets Active Directory Leon 2 : Stratgies dutilisation des groupes Leon 3 : Automatisation de la gestion des objets des services de domaine Active Directory Atelier pratique A : Configuration des objets Active Directory Leon 4 : Dlgation de laccs administratif aux objets des services de domaine Active Directory Leon 5 : Configuration des approbations des services de domaine Active Directory Atelier pratique B : Configuration des dlgations et approbations Active Directory 3-3 3-14 3-20 3-28 3-42 3-50 3-62

3-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

Aprs le dploiement initial des services de domaine Active Directory (AD DS), les tches les plus communes de ladministrateur de ces services consistent grer les objets AD DS. Dans la plupart des organisations, chaque employ reoit un compte dutilisateur, qui est ajout un ou plusieurs groupes dans les services de domaine Active Directory. Les comptes dutilisateurs et de groupes permettent daccder aux ressources rseau Windows Server, telles que des sites Web, des botes aux lettres et des dossiers partags. Ce module explique comment effectuer un grand nombre de ces tches administratives, et dcrit les options permettant de les dlguer ou de les automatiser. Il explique galement comment configurer et grer les approbations Active Directory.

Configuration des objets et approbations Active Directory

3-3

Leon 1 :

Configuration des objets Active Directory

Aprs le dploiement initial des services de domaine Active Directory (AD DS), les tches les plus communes de ladministrateur de ces services consistent grer les objets AD DS. Dans la plupart des organisations, chaque employ reoit un compte dutilisateur, qui est ajout un ou plusieurs groupes dans les services de domaine Active Directory. Les comptes dutilisateurs et de groupes permettent daccder aux ressources rseau Windows Server, telles que des sites Web, des botes aux lettres et des dossiers partags. Ce module explique comment effectuer un grand nombre de ces tches administratives, et dcrit les options permettant de les dlguer ou de les automatiser. Il explique galement comment configurer et grer les approbations Active Directory.

3-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Types dobjets des services de domaine Active Directory

Points cls
Vous pouvez crer diffrents objets dans Active Directory :

Lectures complmentaires
Aide de la console Utilisateurs et ordinateurs Active Directory

Configuration des objets et approbations Active Directory

3-5

Dmonstration : Configuration des comptes dutilisateurs AD DS

Questions : Comment allez-vous crer plusieurs objets dutilisateur avec les mmes paramtres pour des attributs tels que le service et lemplacement du bureau ? Dans quels cas devez vous dsactiver un compte dutilisateur plutt que de le supprimer ?

3-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Types de groupes des services de domaine Active Directory

Points cls
Les services de domaine Active Directory (AD DS) prennent en charge deux types de groupes.

Lectures complmentaires
Aide de la console Utilisateurs et ordinateurs Active Directory

Configuration des objets et approbations Active Directory

3-7

tendues de groupes des services de domaine Active Directory

Points cls
Windows Server 2008 prend en charge les tendues de groupe indiques sur la diapositive.

Lectures complmentaires
Aide de la console Utilisateurs et ordinateurs Active Directory : Administration des groupes

3-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Groupes par dfaut des services de domaine Active Directory

Points cls
Windows Server 2008 fournit de nombreux groupes prdfinis, crs automatiquement lorsque vous installez un domaine Active Directory. Vous pouvez utiliser ces groupes prdfinis pour grer laccs aux ressources partages et dlguer des rles administratifs Active Directory spcifiques. Par exemple, vous pouvez placer le compte dutilisateur dun administrateur des services de domaine Active Directory dans le groupe Oprateurs de compte pour permettre cet administrateur de crer des comptes dutilisateurs et des groupes.

Lectures complmentaires
Groupes par dfaut de Microsoft TechNet (ventuellement en anglais)

Configuration des objets et approbations Active Directory

3-9

Identits spciales des services de domaine Active Directory

Points cls
Les serveurs qui excutent Windows Server 2008 incluent plusieurs identits spciales, gnralement appeles groupes spciaux ou identits spciales. Ces identits compltent les groupes des conteneurs Utilisateurs et Intgrs.

Lectures complmentaires
Article Microsoft Technet : Identits spciales des fichiers ADM (Modle administratif) dans Windows (ventuellement en anglais)

3-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Discussion : Utilisation des groupes par dfaut et des identits spciales

Scnario
La Woodgrove Bank possde plus de 100 serveurs dans le monde. Vous devez dterminer si vous pouvez utiliser les groupes par dfaut ou si vous devez crer des groupes et affecter des droits dutilisateurs ou des autorisations spcifiques aux groupes pour accomplir les tches administratives suivantes. Vous devez affecter des groupes par dfaut, des identits spciales ou crer des groupes pour les tches suivantes. Nommez le groupe par dfaut qui aura les droits utilisateur les plus restrictifs pour accomplir les actions suivantes ou dterminez si vous devez crer un groupe : 1. 2. 3. Sauvegarde et restauration des contrleurs de domaine Sauvegarde, mais non restauration, des fichiers sur les serveurs membres Cration de groupes dans lunit dorganisation Sales

Configuration des objets et approbations Active Directory

3-11

4.

Octroi des droits daccs un dossier partag auquel tous les employs de la Woodgrove Bank ont besoin daccder. Les employs sont situs dans deux domaines diffrents de la mme fort. Octroi des autorisations dadministration lutilisateur actuellement connect un ordinateur client sans accorder laccs aucun autre ordinateur. Les autorisations doivent sappliquer tous les utilisateurs qui ouvrent une session sur un ordinateur client de lorganisation. Octroi aux employs du support technique de laccs permettant de contrler distance le Bureau Fourniture dun accs dadministrateur tous les ordinateurs de lensemble du domaine Fourniture de laccs un dossier partag nomm Data sur un serveur nomm DEN-SRV1 Gestion de la file dattente dimpression de limprimante dun serveur dimpression spcifique

5.

6. 7. 8. 9.

10. Configuration des paramtres rseau sur un serveur membre

3-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration des comptes de groupes AD DS

Questions : Quelles sont les options disponibles pour modifier ltendue et le type dun groupe des services de domaine Active Directory ? Quels sont les avantages de laffectation de responsables de groupes ? Sagit-il dun paramtre que vous devez configurer dans votre organisation ?

Lectures complmentaires
Aide de la console Utilisateurs et ordinateurs Active Directory : Administration des groupes

Configuration des objets et approbations Active Directory

3-13

Dmonstration : Configuration des objets AD DS complmentaires

Questions : Pour quelles raisons devez-vous crer des units dorganisation ? Quels sont les avantages et inconvnients de lutilisation des objets imprimante et des objets dossier partag dans les services de domaine Active Directory ?

Lectures complmentaires
Aide de la console Utilisateurs et ordinateurs Active Directory

3-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 2 :

Stratgies dutilisation des groupes

Les groupes des services de domaines Active Directory simplifient la gestion des services de domaine Active Directory lors de laffectation de laccs aux ressources. Plutt que daccorder laccs aux ressources laide de comptes dutilisateurs, il est beaucoup plus efficace dajouter les utilisateurs aux groupes, puis daffecter laccs aux groupes. Toutefois, en raison de la diversit des options de groupes et des options de dploiement des services de domaine Active Directory, vous pouvez utiliser plusieurs stratgies diffrentes lors de la configuration des groupes.

Configuration des objets et approbations Active Directory

3-15

Options daffectation daccs aux ressources

Points cls
Lun des principaux objectifs de la cration des utilisateurs et des groupes dans les services de domaine Active Directory consiste faire en sorte que les utilisateurs puissent accder aux ressources partages, telles que dossiers partags, imprimantes, sites Windows SharePoint Services ou applications.

Lectures complmentaires
Article Microsoft Technet : Slection dune mthode dautorisation des ressources (ventuellement en anglais)

3-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Utilisation des groupes de comptes pour affecter laccs aux ressources

Points cls
Lorsque vous utilisez uniquement des groupes de comptes pour affecter laccs aux ressources, vous ajoutez dabord tous les comptes dutilisateurs aux groupes, puis affectez au groupe un ensemble dautorisations daccs. Par exemple, un administrateur peut placer tous les comptes dutilisateurs de gestion dans un groupe global appel GG-Tous les comptables et affecter au groupe des autorisations une ressource partage. Dans un environnement domaine unique, vous pouvez utiliser des groupes locaux de domaine, des groupes globaux ou des groupes universels pour affecter laccs aux ressources.

Lectures complmentaires
Article Microsoft Technet : Mthode Groupe de comptes/Liste de contrle daccs (ventuellement en anglais)

Configuration des objets et approbations Active Directory

3-17

Utilisation des groupes de comptes et des groupes de ressources

Points cls
Lorsque vous utilisez des groupes de comptes et des groupes de ressources, vous ajoutez dabord des utilisateurs ayant les mmes critres daccs dans des groupes de comptes, puis ajoutez les groupes de comptes en tant que membres un groupe de ressources auquel vous accordez des autorisations daccs spcifiques aux ressources. Cette stratgie procure une souplesse maximale tout en rduisant la complexit de laffectation des autorisations daccs au rseau. Lutilisation de cette mthode est trs rpandue dans les grandes organisations pour contrler laccs aux ressources.

Lectures complmentaires
Article Microsoft Technet : Mthode Groupe de comptes/groupe de ressources (ventuellement en anglais)

3-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Discussion : Utilisation des groupes dans un environnement domaine unique ou plusieurs domaines

Lisez les scnarios et crez un plan pour configurer des groupes et accorder laccs aux ressources dans chaque scnario. Exemple 1 Contoso, Ltd. possde un seul domaine situ Paris en France. Les directeurs de Contoso, Ltd. ont besoin daccder la base de donnes Inventaire pour effectuer leur travail. Question : que faites-vous pour permettre aux directeurs daccder la base de donnes ?

Configuration des objets et approbations Active Directory

3-19

Exemple 2 Contoso, Ltd. a dtermin que tout le personnel de la division Comptabilit doit avoir un accs complet aux donnes de gestion. En outre, les cadres de Contoso, Ltd. doivent pouvoir afficher les donnes. Contoso, Ltd. souhaite crer la structure de groupes pour toute la division Comptabilit qui comprend les services Dettes et Crances. Question : que faites-vous pour que les directeurs disposent des accs ncessaires et pour rduire au minimum les tches dadministration ? Exemple 3 Contoso, Ltd. sest dvelopp en Amrique du Sud et en Asie, et comporte dsormais trois domaines : le domaine Contoso.com, le domaine Asie.contoso.com et le domaine AS.contoso.com. Vous devez accorder tous les responsables informatiques, dans tous les domaines, laccs au dossier partag Admin_tools dans le domaine Contoso. Vous devez galement leur accorder un accs aux autres ressources lavenir. Question : comment pouvez-vous obtenir le rsultat souhait avec le minimum de tches dadministration ?

3-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 3 :

Automatisation de la gestion des objets des services de domaine Active Directory

Dans la plupart des cas, vous crez et configurez gnralement des objets des services de domaine Active Directory sur une base individuelle. Toutefois, il peut arriver que vous ayez besoin de crer ou de modifier la configuration dun grand nombre dobjets simultanment. Par exemple, si votre organisation emploie un vaste groupe de nouveaux employs, vous pouvez automatiser le processus de configuration des nouveaux comptes. Si votre organisation dmnage sur un nouveau site, vous pouvez automatiser la tche d attribution des nouvelles adresses et nouveaux numros de tlphone tous les utilisateurs. Cette leon explique comment grer plusieurs objets des services de domaine Active Directory.

Configuration des objets et approbations Active Directory

3-21

Outils dautomatisation de la gestion des objets des services de domaine Active Directory

Points cls
Windows Server 2008 propose plusieurs outils permettant de crer ou de modifier automatiquement plusieurs comptes dutilisateurs dans les services de domaine Active Directory. Certains de ces outils ncessitent lutilisation dun fichier texte qui contient des informations sur les comptes dutilisateurs que vous souhaitez crer. Vous pouvez galement crer des scripts Windows PowerShell pour ajouter ou modifier des objets dans Active Directory.

3-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Configuration des objets des services de domaine Active Directory laide des outils de ligne de commande

Points cls
Utilisez les outils de ligne de commande suivants pour configurer les objets des services de domaine Active Directory.

Configuration des objets et approbations Active Directory

3-23

Gestion des objets utilisateurs avec LDIFDE

Points cls
Vous pouvez utiliser loutil de ligne de commande Ldifde pour crer et modifier plusieurs comptes. Lors de lutilisation de loutil Ldifde, vous devez utiliser un fichier texte spar par des lignes pour fournir les informations dentres de la commande.

Lectures complmentaires
Article Microsoft Technet : LDIFDE

3-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Gestion des objets utilisateur avec CSVDE

Points cls
Vous pouvez utiliser loutil de ligne de commande Csvde pour crer plusieurs comptes dans AD DS, mais en aucun cas pour les modifier.

Lectures complmentaires
Article Microsoft Technet : CSVDE

Configuration des objets et approbations Active Directory

3-25

Qu'est-ce que Windows PowerShell ?

Points cls
Windows PowerShell est une technologie de ligne de commande et de script extensible qui permet aux dveloppeurs et aux administrateurs dautomatiser les tches dans un environnement Windows. Windows PowerShell utilise un jeu de petites cmdlets qui effectuent chacune une tche spcifique, mais que vous pouvez galement combiner pour excuter des tches administratives complexes.

Lectures complmentaires
Support technique Microsoft : Pack de documentation Windows PowerShell 1.0 (ventuellement en anglais)

3-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Applets de commande Windows PowerShell :

Points cls
Windows PowerShell est facile apprendre grce lutilisation des applets de commande. Le traitement en pipeline est cohrent sur tous les applets de commande.

Lectures complmentaires
Pack de documentation Windows PowerShell 1.0 (ventuellement en anglais)

Configuration des objets et approbations Active Directory

3-27

Dmonstration : Configuration dobjets Active Directory laide de Windows PowerShell

Questions : Quels sont les avantages et inconvnients de la modification des objets Active Directory laide de scripts Windows PowerShell ? Comment vous pouvez palier les inconvnients ?

Lectures complmentaires
Blog Windows PowerShell (ventuellement en anglais) Article Microsoft Technet : Les scripts avec Windows PowerShell (ventuellement en anglais)

3-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique A : Configuration des objets Active Directory

Scnario
La Woodgrove Bank a plusieurs exigences en matire de gestion des objets Active Directory. Lorganisation embauche frquemment des stagiaires qui doivent disposer dautorisations limites et dont les comptes doivent tre dfinis de sorte expirer automatiquement la fin de la priode de stage. Les comptes dutilisateurs doivent galement tre configurs avec une configuration standard qui comporte des paramtres tels que les paramtres de profil dutilisateur et les lecteurs mapps pour les dossiers de base. Lorganisation requiert galement des groupes des services de domaine Active Directory qui serviront attribuer des autorisations diverses ressources rseau. Lorganisation souhaite automatiser, dans la mesure du possible, les tches de gestion des utilisateurs et des groupes.

Configuration des objets et approbations Active Directory

3-29

Exercice 1 : Configuration des objets des services de domaine Active Directory


Dans cet exercice, vous allez installer les outils de gestion Active Directory sur un ordinateur Windows Vista. Vous utiliserez ensuite ces outils pour configurer plusieurs objets AD DS en fonction des informations fournies par le service des ressources humaines. Ces tches comprennent la cration de comptes dutilisateurs et la modification de comptes dutilisateurs existants. Le service des ressources humaines a demand les modifications suivantes dans les services de domaine Active Directory : La cration de comptes dutilisateurs pour Karl Fonteneau et Delphine Ribaute. Les deux comptes dutilisateurs doivent tre crs dans lunit dorganisation ITAdmins. La modification du compte dutilisateur de Michel Cordani.

Les principales tches sont les suivantes : 1. 2. 3. Dmarrer les ordinateurs virtuels et ouvrir une session. Crer les comptes dutilisateurs. Modifier les comptes dutilisateurs existants.

Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session.


1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les Programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer.

2.

3. Dans lutilitaire de lancement de latelier pratique, en regard de 6238-NYC-CL1, cliquez sur Lancer. 4. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd.

3-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

5. 6.

Ouvrez une session sur NYC-CL1 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique. Dmarrez 6238A-NYC-DC1 et ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd.

Tche 2 : Crer les comptes dutilisateurs.


1. 2. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory. Dans lunit dorganisation ITAdmins , crez un utilisateur avec les paramtres suivants : 3. Prnom : Karl Nom : Fonteneau Nom complet : Karl Fonteneau Nom douverture de session de lutilisateur : Karl Mot de passe : Pa$$w0rd Dsactivez la case cocher Lutilisateur doit changer le mot de passe la prochaine ouverture de session.

Sur NYC-DC1, utilisez loutil de ligne de commande Dsadd pour crer un compte dutilisateur pour Delphine Ribaute. La syntaxe de la commande Dsadd est la suivante : dsadd user "cn=nom_utilisateur,ou=nom_unit_organisation,dc=nom_domaine,dc=com" -sam id nom_ouverture_de_session -pwd mot_de_passe desc description

Tche 3 : Modifier les comptes dutilisateurs existants.


1. Sur NYC-DC1, crez un dossier sur le lecteur D nomm HomeDirs. Partagez le dossier, puis configurez les Utilisateurs du domaine avec des autorisations Collaborateur. Dans le dossier HomeDirs, crez un dossier nomm Marketing.

2.

Configuration des objets et approbations Active Directory

3-31

3.

Dans Utilisateurs et ordinateurs Active Directory, recherchez le compte de Michel Cordani et modifiez les proprits utilisateur comme suit : a. Sous longlet Gnral, dfinissez les champs suivants : b. c. Numro de tlphone : 555-555-0100 Bureau : sige social Courrier lectronique : Michel@WoodgroveBank.com

Sous longlet Appel entrant, dfinissez les champs suivants : Autorisation daccs rseau : Permettre laccs

Sous longlet Compte, dfinissez les champs suivants : Horaires daccs : Configurez les horaires daccs autoriser entre 8h00 et 17h00, puis cliquez sur OK.

d. Sous longlet Profil, dfinissez les champs suivants : Dossier de base : Mappez le lecteur H :

\\NYC-DC1\HomeDirs\Marketing\%UserName% 4. 5. Dans lExplorateur Windows, accdez D:\HomeDirs\Marketing. Vrifiez quun dossier nomm Michel a t cr dans le dossier. Sur NYC-CL1, fermez la session, puis ouvrez une session en tant que Michel avec le mot de passe Pa$$w0rd. Vrifiez que le lecteur H: a t correctement mapp et que Michel dispose de lautorisation approprie pour crer des fichiers dans son dossier de base.
Rsultat : au terme de cet exercice, vous aurez configur des objets Active Directory.

3-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Mise en uvre dune stratgie de groupe des services de domaine Active Directory
Dans cet exercice, vous allez passer en revue les exigences lies la cration de groupes de la Woodgrove Bank. Vous allez ensuite crer les groupes requis et configurer limbrication des groupes. Les principales tches sont les suivantes : 1. 2. 3. 4. 5. 6. Dmarrer 6238A-LON-DC1 et ouvrir une session en tant quAdministrateur. Consulter la documentation concernant les exigences lies aux groupes et crer une stratgie de mise en uvre de groupes. Analyser la stratgie de mise en uvre des groupes. Crer les groupes requis par la stratgie de mise en uvre des groupes. Imbriquer les groupes requis par la stratgie de mise en uvre des groupes. Arrter 6238A-LON-DC2 et supprimer toutes les modifications.

Tche 1 : Dmarrer lordinateur virtuel 6238A-LON-DC1 et ouvrir une session en tant quAdministrateur.
1. 2. 3. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-LONDC1, cliquez sur Lancer. Sur LON-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

Configuration des objets et approbations Active Directory

3-33

Tche 2 : Consulter la documentation concernant les exigences lies aux groupes et crer une stratgie de mise en uvre de groupes.
La Woodgrove Bank doit configurer laccs aux dossiers partags pour les cadres de lorganisation. Lorganisation a implment un dossier partag sur NYC-DC1 nomm ExecData. Le tableau suivant rpertorie les dossiers figurant dans le dossier ExecData et leurs objectifs :
Dossier ExecData Contenu \HeadOffice \Branch \Corp ExecData\HeadOfficeReports Contient des informations confidentielles relatives aux oprations du sige social et au personnel. Les cadres du sige social et des succursales de New York doivent pouvoir lire et crire des informations partir de ce dossier. Contient des informations confidentielles relatives aux oprations des succursales et au personnel. Un dossier spar a t cr pour chaque succursale. Les cadres du sige social doivent avoir un accs en lecture tous les dossiers des succursales. Les responsables des succursales doivent disposer dun accs total uniquement aux dossiers de leur succursale. Contient des informations relatives aux oprations de la Woodgrove Bank. Tous les cadres et responsables de succursale doivent disposer dun contrle total sur les fichiers de ce dossier.

ExecData\BranchReports

ExecData\Corp

Lquipe dirigeante de la Woodgrove Bank est rpartie comme suit : Les cadres peuvent tre bass dans nimporte quel site. Les cadres sont bass en Amrique du Nord, Europe et Asie. Chaque succursale possde un ou plusieurs gestionnaires de succursale. Les succursales sont situes Miami, New York, Toronto, Londres et Tokyo.

3-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Le groupe de planification des services de domaine Active Directory a tabli le schma daffectation de noms suivants pour les groupes AD DS : Code demplacement trois caractres : NYC, TOR, MIA, LON et TOK Pour les groupes qui contiennent des comptes provenant de plusieurs domaines, utilisez le code demplacement WGB. Pour les groupes qui nont pas demplacement spcifique, incluez le nom de domaine dans le nom du groupe. Pour les groupes de comptes, utilisez le nom du service : BranchManagers, Executives. Celui-ci est suivi du type de groupe : GG, UG. Pour les groupes de ressources, utilisez le nom de ressource : EX_HOReports, EX_LON_BranchReports, EX_Corp., suivi du niveau daccs (FC, RO). Dterminez les groupes globaux crer : Dterminez les groupes logiques dutilisateurs de lorganisation. Occupezvous seulement des autorisations requises par les groupes dutilisateurs, et non de celles requises par les utilisateurs individuels. Donnez un nom de groupe chaque groupe dutilisateurs. Notez vos dcisions dans le tableau Planification des groupes globaux ci-dessous.

1.

2.

Dterminez les groupes locaux crer : Dterminez quelles autorisations sont requises sur chaque ressource. Occupez-vous seulement de lautorisation, et non de la personne qui en a besoin. Donnez un nom de groupe chaque type dautorisation. Notez vos dcisions dans le tableau Planification des groupes locaux ci-dessous.

3. 4.

Dterminez les groupes imbriquer. Reportez la configuration dimbrication de groupe dans le tableau Planification de limbrication des groupes ci-dessous. Dterminez comment configurer les autorisations au niveau du partage pour le dossier ExecData.

Configuration des objets et approbations Active Directory

3-35

Tableau Planification des groupes globaux


Groupe dorganisation Nom du groupe

Tableau Planification des groupes locaux


Ressource ExecData\HeadOfficeReports ExecData\BranchReports\NYC ExecData\BranchReports\Toronto ExecData\BranchReports\Miami ExecData\BranchReports\London ExecData\BranchReports\Tokyo ExecData\Corp Conditions daccs Noms des groupes

3-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tableau Planification dimbrication des groupes


Nom du groupe local de domaine Groupes imbriqus

Tche 3 : Analyser la stratgie de mise en uvre des groupes. Tche 4 : Crer les groupes requis par la stratgie de mise en uvre des groupes.
Remarque : pour simplifier le processus dimplmentation, il est possible que certains des groupes requis aient dj t crs. En outre, vous configurez les groupes requis uniquement pour les domaines WoodgroveBank.com et EMEA.WoodgroveBank.com.

1. 2. 3.

Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, vrifiez que tous les groupes globaux requis pour affecter une autorisation ont t crs. Sur LON-DC1, dans Utilisateurs et ordinateurs Active Directory, vrifiez que tous les groupes globaux requis pour affecter une autorisation ont t crs. Sur NYC-DC1, crez les groupes universels requis en fonction de la stratgie de mise en uvre des groupes. Crez les groupes universels dans lunit dorganisation Executives. Crez les groupes locaux de domaine requis en fonction de la stratgie de mise en uvre des groupes.

4.

Configuration des objets et approbations Active Directory

3-37

Tche 5 : Imbriquer les groupes requis par la stratgie de mise en uvre des groupes.
Sur NYC-DC1, imbriquez les groupes requis pour rpondre la stratgie de mise en uvre des groupes.

Tche 6 : Arrter 6238A-LON-DC2 et supprimer toutes les modifications.


1. 2. Fermez la fentre de contrle de lordinateur virtuel 6238A-LON-DC1. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations. Cliquez sur OK.
Rsultat : au terme de cet exercice, vous aurez implment une stratgie de mise en uvre de groupes.

3-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Automatisation de la gestion des objets des services de domaine Active Directory
La Woodgrove Bank ouvre une nouvelle succursale Houston. Le service des ressources humaines vous a fourni un fichier qui comprend tous les nouveaux utilisateurs qui ont t engags sur le site de Houston. Vous devez importer les comptes dutilisateurs dans AD DS, puis activer et affecter des mots de passe lensemble des comptes. Vous devez galement modifier les proprits dutilisateur pour les utilisateurs de Houston en mettant jour les informations de ville. La Woodgrove Bank prvoit galement de dmarrer un service de Recherche et dveloppement sur son site de New York (NYC). Vous devez crer une unit dorganisation pour le service de Recherche et dveloppement (R&D) dans le domaine de la Woodgrove Bank, et importer et configurer les nouveaux comptes dutilisateurs dans les services de domaine Active Directory. Les principales tches sont les suivantes : 1. 2. 3. Modifier et utiliser le fichier Importusers.csv pour importer un groupe dutilisateurs dans les services de domaine Active Directory. Modifier et excuter le script ActivateUser.vbs pour activer les comptes dutilisateurs imports et attribuer un mot de passe chaque compte. Modifier et utiliser le fichier Modifyusers.ldf pour prparer la modification des proprits dun groupe dutilisateurs dans les services de domaine Active Directory. Modifier et excuter le script CreateUsers.ps1 pour ajouter de nouveaux utilisateurs aux services de domaine Active Directory.

4.

Tche 1 : Modifier et utiliser le fichier Importusers.csv pour importer un groupe dutilisateurs dans les services de domaine Active Directory.
1. Sur NYC-DC1, accdez D:\6238\Mod03\Labfiles et ouvrez ImportUsers.csv dans le Bloc-notes. Examinez les informations den-tte requises pour crer des units dorganisation et des comptes dutilisateurs. Copiez et collez le contenu du fichier Users.txt dans le fichier ImportUsers.csv, en commenant par la deuxime ligne. Enregistrez le fichier sous C:\import.csv.

2.

Configuration des objets et approbations Active Directory

3-39

3. 4.

linvite de commandes, tapez CSVDE I F C:\import.csv, puis appuyez sur Entre. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que lunit dorganisation Houston et ses cinq units dorganisation enfants ont t cres, et que plusieurs comptes dutilisateurs ont t crs dans chaque unit dorganisation.

Tche 2 : Modifier et excuter le script ActivateUser.vbs pour activer les comptes dutilisateurs imports et attribuer un mot de passe chaque compte.
1. 2. 3. Sur NYC-DC1, dans D:\Mod03\6238\Labfiles, modifiez Activateusers.vbs. Remplacez la valeur de conteneur dans la deuxime ligne par : OU=BranchManagers,OU=Houston DC=WoodgroveBank,DC=com. Modifiez les valeurs de conteneur dans les lignes supplmentaires la fin du script pour inclure les units dorganisation suivantes, puis enregistrez le fichier : 4. 5. OU=CustomerService,OU=Houston,DC=WoodgroveBank,DC=com OU=Executives,OU=Houston,DC=WoodgroveBank,DC=com OU=Investments,OU=Houston,DC=WoodgroveBank,DC=com OU=ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com

Enregistrez le fichier sous c:\Activateusers.vbs, puis double-cliquez sur c:\Activateusers.vbs. Dans Utilisateurs et ordinateurs Active Directory, accdez lunit dorganisation Houston et vrifiez que les comptes dutilisateurs de toutes les units dorganisation enfants sont activs.

3-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Modifier et utiliser le fichier Modifyusers.ldf pour prparer la modification des proprits dun groupe dutilisateurs dans les services de domaine Active Directory.
1. Sur NYC-DC1, exportez tous les comptes dutilisateurs dans les units dorganisation enfants Houston laide de la commande LDIFDE f c:\ Modifyusers.ldf d "OU=Houston,DC=WoodgroveBank,DC=com" r "objectClass=user" l physicalDeliveryOfficeName. Modifiez le fichier C:\Modifyusers.ldf. Dans le menu Edition, utilisez loption Remplacer pour remplacer toutes les instances de changetype: add, par changetype: modify. Aprs chaque ligne changetype, ajoutez les lignes suivantes : replace: physicalDeliveryOfficeName physicalDeliveryOfficeName: Houston 5. 6. 7. 8. la fin de lentre de chaque utilisateur, ajoutez un tiret (-) suivi dune ligne vide. Enregistrez le fichier sous C:\ Modifyusers. linvite de commandes, tapez ldifde I f c:\ldifimport.ldf, puis appuyez sur Entre. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que lattribut Bureau pour les comptes dutilisateurs de Houston a t mis jour avec lemplacement de Houston.

2. 3. 4.

Tche 4 : Modifier et excuter le script CreateMultipleUsers.ps1 pour ajouter de nouveaux utilisateurs aux services de domaine Active Directory.
1. 2. 3. Sur NYC-DC1, dans D:\6238\Labfiles\Mod03, modifiez CreateMultipleUsers.ps1. Dans deux emplacements, modifiez ADOUName par R&D. Remplacez le Chemin daccs au fichier CSV par C:\6238\Mod03\Labfiles\Createusers.csv, puis enregistrez les modifications effectues dans le fichier.

Configuration des objets et approbations Active Directory

3-41

4. 5.

Dmarrez Windows PowerShell, et linvite de commandes PS, tapez C:\6238\Labfiles\Mod03\Createusers.ps1 et appuyez sur Entre. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que lunit dorganisation R&D a t cre et quelle a t remplie avec les comptes dutilisateurs disposant des attributs corrects.
Rsultat : au terme de cet exercice, vous aurez tudi plusieurs options permettant dautomatiser la gestion des objets utilisateur.

3-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 4 :

Dlgation de laccs administratif aux objets des services de domaine Active Directory

Un grand nombre de tches dadministration des services de domaine Active Directory sont trs simples effectuer, mais peuvent tre trs rptitives. Lune des options disponibles dans Windows Server Active Directory 2008 DS est la dlgation de certaines de ces tches administratives dautres administrateurs ou utilisateurs. En dlguant le contrle, vous pouvez permettre ces utilisateurs deffectuer des tches de gestion Active Directory spcifiques sans leur accorder plus dautorisations que ncessaire.

Configuration des objets et approbations Active Directory

3-43

Autorisations sur les objets Active Directory

Points cls
Les autorisations sur les objets Active Directory scurisent les ressources en permettant de dfinir les administrateurs ou les utilisateurs qui peuvent accder des objets ou des attributs dobjet particuliers, et de contrler le type daccs dont ils disposent. Vous utilisez des autorisations pour affecter des privilges administratifs une unit dorganisation ou une hirarchie dunits dorganisation, pour grer des objets Active Directory. Questions : Quels sont les risques de lutilisation des autorisations spciales pour attribuer des autorisations AD DS ? De quelles autorisations disposera un utilisateur sur un objet si vous lui accordez lautorisation Contrle total et lui refusez laccs en criture ?

3-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Article Microsoft Technet : Contrle daccs dans Active Directory (ventuellement en anglais) Article Microsoft Technet : Affecter, modifier ou supprimer des autorisations sur des objets ou des attributs Active Directory (ventuellement en anglais)

Configuration des objets et approbations Active Directory

3-45

Dmonstration : Hritage des autorisations sur les objets des services de domaine Active Directory

Questions : Que se passe-t-il sur les autorisations dun objet lorsque vous dplacez lobjet dune unit dorganisation vers une autre et que ces units dorganisation appliquent diffrentes autorisations ? Que se passe-t-il si vous supprimez toutes les autorisations dune unit dorganisation alors que vous avez bloqu lhritage et navez pas affect de nouvelles autorisations ?

Lectures complmentaires
Article Microsoft Technet : Affecter, modifier ou supprimer des autorisations sur des objets ou des attributs Active Directory (ventuellement en anglais)

3-46

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des autorisations effectives

Points cls
Loutil Autorisations effectives vous permet de dterminer les autorisations sur un objet Active Directory. Cet outil dtermine les autorisations accordes un utilisateur ou un groupe et tient compte des autorisations en vigueur par rapport lappartenance un groupe et des autorisations hrites de lobjet parent.

Lectures complmentaires
Article Microsoft Technet : Outil Autorisations effectives (ventuellement en anglais)

Configuration des objets et approbations Active Directory

3-47

Description de la dlgation du contrle

Points cls
La dlgation du contrle est la possibilit de confier un autre utilisateur ou groupe la responsabilit de la gestion des objets Active Directory. La dlgation de ladministration dans Active Directory permet dallger la lourdeur de la gestion du rseau en rpartissant les tches dadministration courantes entre plusieurs utilisateurs. La dlgation de ladministration permet daffecter des tches administratives de base des utilisateurs ou groupes normaux. Vous pouvez, par exemple, accorder aux superviseurs le droit de modifier lappartenance aux groupes dans leur service. Vous permettez ainsi aux groupes appartenant votre organisation de mieux contrler leurs ressources rseau locales. Vous contribuez galement protger le rseau contre les dysfonctionnements accidentels ou provoqus intentionnellement en restreignant lappartenance aux groupes Administrateur.

3-48

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Discussion : Scnarios de dlgation du contrle

Rpondez aux questions de la diapositive avec la classe.

Configuration des objets et approbations Active Directory

3-49

Dmonstration : Configuration de la dlgation du contrle

3-50

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 5 :

Configuration des approbations des services de domaine Active Directory

Un grand nombre dorganisations qui dploient les services de domaine Active Directory ne dploient gnralement quun seul domaine. Toutefois, les grandes entreprises ou les organisations qui doivent autoriser laccs aux ressources dautres organisations ou divisions, peuvent dployer plusieurs domaines, dans la mme fort Active Directory ou dans une fort distincte. Pour permettre aux utilisateurs daccder aux ressources entre les domaines, vous devez configurer les domaines ou les forts avec des approbations. Cette leon explique comment configurer et grer des approbations dans un environnement Active Directory.

Configuration des objets et approbations Active Directory

3-51

Description des approbations des services de domaine Active Directory

Points cls
Les approbations autorisent les entits de scurit transmettre leurs informations didentification dun domaine un autre, et sont ncessaires pour autoriser laccs aux ressources entre les domaines. Lorsque vous configurez une approbation entre domaines, un utilisateur peut tre authentifi dans son domaine et ses informations didentification de scurit peuvent ensuite tre utilises pour accder aux ressources dun autre domaine.

3-52

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Options des approbations AD DS

Points cls
Le graphique figurant sur la diapositive dcrit les options dapprobation prises en charge par Windows Server 2008. Questions : Si vous envisagez de configurer une approbation entre un domaine Windows Server 2008 et un domaine Windows NT 4.0, quel type dapprobation devez-vous configurer ? Si vous devez partager des ressources entre des domaines, mais ne souhaitez pas configurer dapprobation, comment pouvez-vous fournir laccs aux ressources partages ? Un utilisateur situ dans un autre domaine de votre fort a besoin dune autorisation pour crer des objets de stratgie de groupe dans votre domaine. Quelle est la meilleure mthode pour y parvenir ?

Configuration des objets et approbations Active Directory

3-53

Lectures complmentaires
Aide du composant Domaines et approbations Active Directory : Gestion des approbations

3-54

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnement des approbations dans une fort

Points cls
Lorsque vous configurez des approbations entre domaines dune mme fort, entre des forts ou avec un domaine externe, les informations relatives ces approbations sont stockes dans AD DS de sorte que vous pouvez les extraire en cas de besoin. Un objet de domaine approuv (TDO) stocke ces informations. Le TDO stocke des informations relatives lapprobation, comme sa transitivit et son type. chaque cration dune approbation, un TDO est cr et stock dans le conteneur Systme du domaine de lapprobation.

Lectures complmentaires
Aide du composant Domaines et approbations Active Directory : Gestion des approbations

Configuration des objets et approbations Active Directory

3-55

Fonctionnement des approbations entre forts

Points cls
Windows Server 2008 prend en charge les approbations entre forts, qui permettent aux utilisateurs daccder aux ressources dune autre fort. Lorsquun utilisateur tente daccder aux ressources dune fort approuve, les services de domaine Active Directory doivent pralablement rechercher les ressources. Une fois les ressources localises, lutilisateur peut tre authentifi et autoris accder aux ressources.

Lectures complmentaires
Article Microsoft Technet : Fonctionnement des domaines et des forts (ventuellement en anglais)

3-56

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration dapprobations

Questions : Quelle est la diffrence entre une approbation raccourcie et une approbation externe ? Lorsque vous configurez une approbation de fort, quelles informations doivent tre disponibles dans DNS pour que lapprobation de fort fonctionne ?

Lectures complmentaires
Aide du composant Domaines et approbations Active Directory : Crer une approbation raccourcie, Crer une approbation externe, Crer une approbation de fort

Configuration des objets et approbations Active Directory

3-57

Description des noms dutilisateurs principaux (UPN)

Points cls
Un nom dutilisateur principal (UPN) est un nom douverture de session qui est utilis uniquement pour se connecter un rseau Windows Server 2008. Le nom dutilisateur principal est compos de deux parties spares par le signe @, par exemple, laurab@WoodgroveBank.com : le prfixe du nom dutilisateur principal qui, dans cet exemple, est laurab ; le suffixe du nom dutilisateur principal qui, dans cet exemple, est WoodgroveBank.com.

3-58

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Par dfaut, le suffixe est le nom du domaine dans lequel le compte dutilisateur a t cr. Vous pouvez utiliser les autres domaines du rseau ou des suffixes supplmentaires que vous avez crs pour configurer dautres suffixes pour les utilisateurs. Par exemple, vous pouvez configurer un suffixe pour crer des noms douverture de session utilisateur qui correspondent ladresse lectronique de lutilisateur.

Lectures complmentaires
Article Microsoft Technet : Dnomination Active Directory (ventuellement en anglais)

Configuration des objets et approbations Active Directory

3-59

Description des paramtres dauthentification slective

Points cls
Une autre option pour limiter lauthentification sur des approbations dans une fort Windows Server 2008 consiste utiliser lauthentification slective. Avec ce mode dauthentification, vous pouvez restreindre laccs des utilisateurs dune autre fort certains ordinateurs de votre fort.

Lectures complmentaires
Article Microsoft Technet : Activer lauthentification slective sur une approbation de fort (ventuellement en anglais) Article Microsoft Technet : Accorder lautorisation Autorisation dauthentifier sur les ordinateurs du domaine ou de la fort autoris approuver (ventuellement en anglais)

3-60

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration des paramtres dapprobation avancs

Points cls
Une autre option pour limiter lauthentification sur des approbations dans une fort Windows Server 2008 consiste utiliser lauthentification slective. Avec ce mode dauthentification, vous pouvez restreindre laccs de certains ordinateurs de votre fort aux utilisateurs dune autre fort. Questions : Que se passerait-il si vous configuriez un nouveau suffixe UPN dans une fort aprs quune approbation ait t configure avec une autre fort portant le mme suffixe UPN ? Dans quelles situations devez-vous implmenter lauthentification slective ?

Configuration des objets et approbations Active Directory

3-61

Lectures complmentaires
Article Microsoft Technet : Activer lauthentification slective sur une approbation de fort (ventuellement en anglais) Article Microsoft Technet : Accorder lautorisation Autorisation dauthentifier sur les ordinateurs du domaine ou de la fort autoris approuver (ventuellement en anglais)

3-62

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique B : Configuration des dlgations et approbations Active Directory

Scnario
Pour optimiser lemploi du temps des administrateurs des services de domaine Active Directory, la Woodgrove Bank souhaite dlguer certaines tches administratives des administrateurs adjoints. Ces administrateurs recevront un accs pour grer les comptes dutilisateurs et de groupes dans diffrentes units dorganisation. La Woodgrove Bank a galement tabli un partenariat avec Fabrikam Ltd. Certains utilisateurs de chaque organisation doivent pouvoir accder aux ressources de lautre organisation. Toutefois, laccs entre les organisations doit tre limit un nombre minimal dutilisateurs et de serveurs.

Configuration des objets et approbations Active Directory

3-63

Exercice 1 : Dlgation du contrle des objets AD DS


Dans cet exercice, vous allez dlguer le contrle des objets AD DS dautres administrateurs. Vous allez galement tester les autorisations dlgues pour vous assurer que les administrateurs ne peuvent excuter que les actions requises. La Woodgrove Bank a dcid de dlguer des tches administratives pour son bureau de Toronto. Dans ce bureau, les responsables de succursale doivent pouvoir crer et grer des comptes dutilisateurs et de groupes. Le personnel du service client doit pouvoir rinitialiser les mots de passe des utilisateurs et configurer certaines informations concernant les utilisateurs, telles que numros de tlphone ou adresses. Les principales tches sont les suivantes : 1. 2. 3. 4. Attribuer le contrle total aux utilisateurs et groupes de lunit dorganisation Toronto. Attribuer les droits pour rinitialiser les mots de passe et configurer les informations utilisateur prives dans lunit dorganisation Toronto. Vrifier les autorisations effectives attribues lunit dorganisation Toronto. Tester les autorisations dlgues pour lunit dorganisation Toronto.

Tche 1 : Attribuer le contrle total aux utilisateurs et groupes de lunit dorganisation Toronto.
1. 2. Sur NYC-DC1, excutez lAssistant Dlgation de contrle sur lunit dorganisation Toronto. Attribuez les droits Crer, supprimer et grer les comptes dutilisateurs et Crer, supprimer et grer les groupes au responsable de succursale Tor_BranchManagersGG.

3-64

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Attribuer les droits pour rinitialiser les mots de passe et configurer les informations utilisateur prives dans lunit dorganisation Toronto.
1. 2. Sur NYC-DC1, excutez lAssistant Dlgation de contrle sur lunit dorganisation Toronto. Attribuez le droit Rinitialiser les mots de passe et forcer le changement de mot de passe la prochaine ouverture de session au groupe Tor_CustomerServiceGG. Excutez de nouveau Assistant Dlgation de contrle. Choisissez loption permettant de crer une tche personnalise. Attribuez au groupe Tor_CustomerServiceGG lautorisation de modifier les informations personnelles uniquement pour les comptes dutilisateurs.

3. 4.

Tche 3 : Vrifier les autorisations effectives attribues lunit dorganisation Toronto.


1. 2. 3. Dans Utilisateurs et ordinateurs Active Directory, activez laffichage des Fonctionnalits avances. Accdez aux Paramtres de scurit avancs pour lunit dorganisation Toronto. Vrifiez les autorisations effectives de Roland Winkler. Roland est membre du groupe Tor_BranchManagersGG. Vrifiez quil dispose des autorisations permettant de crer et supprimer des comptes dutilisateurs et de groupes. Accdez aux paramtres de scurit avancs de Daniel Durrer, qui se trouve dans lunit dorganisation CustomerService de lunit dorganisation Toronto. Vrifiez quil dispose des autorisations permettant de crer et supprimer des comptes dutilisateurs et de groupes. Vrifiez les autorisations effectives de Richard Tupy. Richard est membre du groupe TOR_CustomerServiceGG. Vrifiez quil dispose des autorisations permettant de rinitialiser les mots de passe et dcrire des attributs personnels.

4.

5.

Configuration des objets et approbations Active Directory

3-65

Tche 4 : Activer le groupe Utilisateurs du domaine pour ouvrir une session sur les contrleurs de domaine.
Remarque : cette tape a t intgre latelier pour vous aider tester les autorisations dlgues. En rgle gnrale, il est prfrable dinstaller les outils dadministration sur une station de travail Windows plutt que de permettre aux utilisateurs du domaine de se connecter aux contrleurs du domaine.

1. 2. 3.

Sur NYC-DC1, dmarrez Gestion des stratgies de groupe, puis modifiez la Stratgie Contrleurs de domaine par dfaut. Dans la fentre diteur de la Gestion des stratgies de groupe, accdez au dossier Attribution des droits utilisateurs. Double-cliquez sur Autoriser louverture dune session locale. Dans la bote de dialogue Proprits de Autoriser louverture dune session locale, cliquez sur Ajouter un utilisateur ou un groupe. Accordez au groupe Utilisateurs du domaine le droit douvrir une session locale. Ouvrez une invite de commandes, tapez GPUpdate /force, puis appuyez sur Entre.

4. 5.

Tche 5 : Tester les autorisations dlgues pour lunit dorganisation Toronto.


1. 2. 3. 4. 5. Sur NYC-DC1 , ouvrez une session en tant que Roland avec le mot de passe Pa$$w0rd. Dmarrez Utilisateurs et ordinateurs Active Directory et vrifiez que Roland peut crer un utilisateur dans lunit dorganisation Toronto. Vrifiez que Roland peut crer un groupe dans lunit dorganisation Toronto. Vrifiez que Roland ne peut pas crer dutilisateur dans lunit dorganisation ITAdmins. Sur NYC-DC1, fermez la session, puis ouvrez une session en tant que Richard avec le mot de passe Pa$$w0rd.

3-66

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

6.

Dans Active Directory Utilisateurs et ordinateurs, vrifiez que Richard ne dispose pas dautorisations pour crer de nouveaux objets dans lunit dorganisation Toronto. Vrifiez que Richard peut rinitialiser les mots de passe des utilisateurs et configurer les proprits utilisateurs, telles que le bureau et le numro de tlphone.
Rsultat : au terme de de cet exercice, vous aurez dlgu les tches administratives du bureau de Toronto.

7.

Configuration des objets et approbations Active Directory

3-67

Exercice 2 : Configuration des approbations des services de domaine Active Directory


Dans cet exercice, vous allez configurer des approbations en fonction dun modle de configuration dapprobation fourni par ladministrateur de lentreprise. Vous allez galement tester la configuration dapprobation pour vous assurer que les approbations sont correctement configures. La Woodgrove Bank a lanc un partenariat stratgique avec Fabrikam. Les utilisateurs de la Woodgrove Bank devront avoir accs plusieurs partages de fichiers et applications fonctionnant sur plusieurs serveurs Fabrikam. Seuls les utilisateurs de Fabrikam devront pouvoir accder aux partages sur NYC-SVR1. Les principales tches sont les suivantes : 1. 2. 3. 4. 5. 6. Dmarrer VAN-DC1, puis ouvrir une session. Configurer les paramtres rseau et DNS pour activer lapprobation de fort. Configurer une approbation de fort entre WoodgroveBank.com et NorthwindTraders.com. Configurer lauthentification slective pour lapprobation de fort afin dactiver laccs NYC-DC2 uniquement. Tester lauthentification slective. Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.

Tche 1 : Dmarrer lordinateur virtuel VAN-DC1, puis ouvrir une session.


1. 2. 3. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-VANDC1, cliquez sur Lancer. Sur VAN-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

3-68

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Configurer les paramtres rseau et DNS pour activer lapprobation de fort.
1. Sur VAN-DC1, modifiez les proprits de Rseau local pour remplacer lAdresse IP par 10.10.0.110, la Passerelle par dfaut par 10.10.0.1 et le Serveur DNS prfr par 10.10.0.110, puis cliquez sur OK. Synchronisez lheure de VAN-DC1 avec NYC-DC1. Dans le Gestionnaire DNS, ajoutez un redirecteur conditionnel pour transfrer toutes les requtes de Woodgrovebank.com vers 10.10.0.10. Dans Domaines et approbations Active Directory, levez le domaine et la fort au niveau fonctionnel de Windows Server 2003. Sur NYC-DC1, dans la console Gestionnaire DNS, ajoutez un redirecteur conditionnel pour transfrer toutes les requtes de Fabrikam.com vers 10.10.0.110. Fermez la console Gestionnaire DNS.

2. 3. 4. 5.

6.

Tche 3 : Configurer une approbation de fort entre WoodgroveBank.com et Fabrikam.com.


1. 2. 3. 4. 5. 6. Sur NYC-DC1, dmarrez Domaines et approbations Active Directory dans le dossier Outils dadministration. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Proprits. Dmarrez lAssistant Nouvelle approbation et configurez une approbation de fort avec Fabrikam.com. Configurez les deux extrmits de lapprobation. Utilisez Administrateur@Fabrikam.com pour vrifier lapprobation. Acceptez le paramtre par dfaut de lauthentification lchelle du domaine pour les deux domaines. Confirmez les deux approbations.

Configuration des objets et approbations Active Directory

3-69

Tche 4 : Configurer lauthentification slective pour lapprobation de fort afin dactiver laccs NYC-DC2 et NYC-CL1 uniquement.
1. Dans Domaines et approbations Active Directory, modifiez lapprobation entrante provenant de NorthwindTraders.com pour utiliser lauthentification slective. Dans Utilisateurs et ordinateurs Active Directory, accdez aux proprits de NYC-DC2. Sous longlet Scurit, accordez au groupe MarketingGG de Fabrikam.com lautorisation de sauthentifier auprs de ce serveur. Accdez aux proprits de NYC-CL1. Sous longlet Scurit, accordez au groupe MarketingGG de Fabrikam.com lautorisation de sauthentifier auprs de ce serveur.

2.

3.

Tche 5 : Tester lauthentification slective.


1. Sur lordinateur virtuel NYC-CL1, ouvrez une session en tant que Adam@fabrikam.com avec le mot de passe Pa$$w0rd.

Remarque : Adam est membre du groupe MarketingGG Fabrikam. Il est en mesure de se connecter un ordinateur du domaine WoodgroveBank.com grce lapprobation entre les deux forts et parce quil a t autoris sauthentifier auprs de NYC-CL1.

2. 3.

Essayez daccder au dossier \\NYC-DC2\Netlogon. David devrait pouvoir accder au dossier. Essayez daccder au dossier \\NYC-DC1\Netlogon. David ne devrait pas pouvoir accder au dossier car le serveur nest pas configur pour lauthentification slective.

3-70

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulations.
1. 2. 3. Fermez la fentre de contrle distance de chaque ordinateur virtuel en cours dexcution. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez configur des approbations en fonction dun modle de configuration dapprobation.

Configuration des objets et approbations Active Directory

3-71

Rcapitulatif du module et objectifs

Questions du contrle des acquis


1. Vous tes responsable de ladministration des comptes et de laccs aux ressources des membres de votre groupe. Un utilisateur appartenant votre groupe quitte lentreprise et vous attendez son remplaant dans quelques jours. Que devez-vous faire du compte de lutilisateur prcdent ? Vous devez crer plusieurs centaines de comptes dordinateurs dans les services de domaine Active Directory afin que les comptes soient prconfigurs pour une installation automatise. Quelle est la meilleure faon de procder ? Un utilisateur signale quil ne peut pas se connecter son ordinateur. Le message derreur indique que lapprobation entre lordinateur et le domaine est rompue. Comment allez-vous rsoudre le problme ? Vous avez cr un groupe global, appel Support technique, contenant tous les comptes du support technique. Vous souhaitez que le personnel du support technique puisse effectuer nimporte quelle opration sur les ordinateurs de bureau locaux, y compris sapproprier des fichiers. Quel est le meilleur groupe intgr utiliser ?

2.

3.

4.

3-72

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

5.

Le groupe BranchOffice_Admins a obtenu lautorisation Contrle total sur tous les comptes dutilisateurs de lunit dorganisation BranchOffice_OU. Quelles autorisations le groupe BranchOffice_Admins devrait-il avoir sur un compte dutilisateur qui a t transfr de lunit dorganisation BranchOffice_OU vers HeadOffice_OU ? Votre organisation dispose dun environnement Windows Server 2008, mais elle vient juste de racheter une organisation dote dun environnement de fort Windows 2000 qui ne contient quun seul domaine. Les utilisateurs des deux organisations doivent pouvoir accder aux ressources de lautre fort. Quel type dapprobation devez-vous crer entre les domaines racines de fort de chaque fort ?

6.

lments prendre en compte pour la configuration des objets Active Directory


Compltez ou modifiez les meilleures pratiques pour vos propres situations de travail : Crez un schma daffectation de noms pour les objets AD DS avant de dmarrer le dploiement des services de domaine Active Directory. Par exemple, vous devez prvoir la faon dont vous allez crer les noms douverture de session utilisateur et concevoir votre stratgie dattribution des noms de groupes. Il est beaucoup plus facile de planifier les stratgies de dnomination tt dans le dploiement des services de domaine Active Directory plutt que de modifier les noms aprs le dploiement. Planifiez votre stratgie de groupe des services de domaine Active Directory avant leur dploiement. Lors de la planification de la stratgie de groupe, tenez compte des plans de croissance future de lorganisation. Mme si lorganisation ne comporte quun petit nombre dutilisateurs dans un seul domaine, vous pouvez implmenter une stratgie de groupe de comptes/groupe de ressources si lorganisation a une forte stratgie de croissance ou si elle est susceptible dtablir des partenariats cls pouvant ncessiter des approbations de fort.

Configuration des objets et approbations Active Directory

3-73

Recherchez de opportunits dautomatisation des tches de gestion des services de domaine Active Directory. La cration de fichiers csvde et ldifde, ou lcriture de scripts VBScript ou Windows PowerShell peuvent prendre un temps considrable. Mais, une fois ces outils mis en place, ils reprsentent un immense gain de temps. Une autre option pour rduire la charge de travail pour les administrateurs des services de domaine Active Directory consiste dlguer des tches. Pour dterminer les tches dlguer, analysez les tches qui prennent le plus de temps pour les administrateurs des services de domaine Active Directory. Si les tches classiques, telles que la cration des comptes utilisateurs, la rinitialisation des mots de passe ou la mise jours des informations utilisateurs, prennent un temps considrable, vous pouvez dlguer ces tches spcifiques dautres utilisateurs.

3-74

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Outils
Utilisez les outils suivants lors de la configuration des objets et approbations Active Directory :
Outil Gestionnaire de serveur Utilisation des services de domaine Active Directory dans une console unique. Emplacement pointez sur Outils dadministration, puis cliquez sur Gestionnaire de serveur. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Domaines et approbations Active Directory.

Accder aux outils de gestion Cliquez sur Dmarrer,

Utilisateurs et ordinateurs Active Directory

Crer et configurer tous les


objets des services de domaine Active Directory

Domaines et approbations Active Directory

Crer et configurer des


approbations

Outils de ligne de commande (notamment Csvde et Ldifde) Windows PowerShell

Crer et configurer des objets Ceux-ci sont installs par


des services de domaine Active Directory dfaut et sont accessibles via une invite de commandes.

crire des scripts permettant


dautomatiser la gestion des objets des services de domaine Active Directory

Windows PowerShell est disponible sous forme de tlchargement Microsoft et peut tre install en tant que fonctionnalit dans Windows Server 2008. Une fois Windows PowerShell install, toutes les cmdlets sont accessibles via son interface de commandes.

Configuration des sites des services de domaine Active Directory et de la rplication

4-1

Module 4.
Configuration des sites des services de domaine Active Directory et de la rplication
Table des matires :
Leon 1 : Prsentation de la rplication des services de domaine Active Directory Leon 2 : Prsentation des sites des services de domaine Active Directory et de la rplication Leon 3 : Configuration et surveillance de la rplication des services de domaine Active Directory Atelier pratique : Configuration des sites Active Directory et de la rplication 4-3 4-14 4-23 4-34

4-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

Dans un environnement de services de domaine Active Directory Windows Server 2008, vous pouvez dployer plusieurs contrleurs de domaine dans le mme domaine ou dans dautres domaines de la mme fort. Les informations des services de domaine Active Directory sont automatiquement rpliques entre tous les contrleurs de domaine. Ce module vous aide comprendre le fonctionnement de la rplication des services de domaine Active Directory, grer le trafic rseau li la rplication et garantir la cohrence des donnes de ces services sur votre rseau.

Configuration des sites des services de domaine Active Directory et de la rplication

4-3

Leon 1 :

Prsentation de la rplication des services de domaine Active Directory

Lorsquun utilisateur ou un administrateur effectue une mise jour des services de domaine Active Directory, la base de donnes des services de domaine Active Directory dun contrleur de domaine est mise jour. Cette mise jour est alors rplique sur tous les autres contrleurs de domaine du domaine et, dans certains cas, sur tous les autres contrleurs de domaine de la fort. Les services de domaine Active Directory utilisent un modle de rplication multimatre, ce qui signifie que vous pouvez apporter la plupart des modifications sur nimporte quel contrleur de domaine, celles-ci tant alors rpliques sur tous les autres contrleurs de domaine. Cette leon dcrit le fonctionnement de la rplication des services de domaine Active Directory dans Windows Server 2008.

4-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnement de la rplication des services de domaine Active Directory

Points cls
La diapositive dcrit comment les diffrents composants fonctionnent dans la rplication des services de domaine Active Directory.

Lectures complmentaires
Aide sur les sites et services Active Directory : Prsentation des sites, sousrseaux et liens de sites (ventuellement en anglais) Article Microsoft Technet : Composants dun modle de rplication (ventuellement en anglais) Article Microsoft Technet : Fonctionnement du modle de rplication Active Directory (ventuellement en anglais)

Configuration des sites des services de domaine Active Directory et de la rplication

4-5

Fonctionnement de la rplication des services de domaine Active Directory au sein dun site

Points cls
Au sein dun mme site, le processus de rplication est lanc par une notification du contrleur de domaine metteur. En cas de modification de la base de donnes, lordinateur metteur avertit un partenaire de rplication que les modifications sont disponibles. Le partenaire de rplication extrait les modifications partir du contrleur de domaine metteur en utilisant une connexion dappel de procdure distante (RPC). Une fois que la rplication est termine, le contrleur de domaine metteur attend trois secondes puis avertit un autre partenaire de rplication, qui collecte galement les modifications. Par dfaut, un contrleur de domaine attend 15 secondes aprs une modification avant de commencer rpliquer les modifications sur les autres contrleurs de domaine du mme site.

4-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Aide sur les sites et services Active Directory : prsentation des sites, sousrseaux et liens de sites (ventuellement en anglais) Article Microsoft Technet : Fonctionnement du modle de rplication Active Directory (ventuellement en anglais)

Configuration des sites des services de domaine Active Directory et de la rplication

4-7

Rsolution des conflits de rplication

Points cls
Il existe trois types de conflits : la modification simultane de la mme valeur dattribut dun objet sur deux contrleurs de domaine ; lajout ou la modification dun objet sur un contrleur de domaine simultanment la suppression de lobjet conteneur de cet objet sur un autre contrleur de domaine ; lajout dobjets ayant le mme nom unique relatif dans le mme conteneur.

Lectures complmentaires
Article Microsoft Technet : Fonctionnement du modle de rplication Active Directory (ventuellement en anglais)

4-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Optimisation de la rplication

Points cls
Au cours de la rplication, les contrleurs de domaine peuvent utiliser plusieurs chemins afin denvoyer et de recevoir les mises jour. Si lutilisation de chemins multiples favorise la tolrance de pannes et les performances amliores, il peut en rsulter des mises jour qui sont rpliques plusieurs fois vers le mme contrleur de domaine sur des chemins de rplication diffrents. Pour viter ces rplications rptes, la rplication des services de domaine Active Directory utilise le blocage de propagation. Il sagit dun processus consistant rduire la quantit de donnes inutiles qui transitent entre deux contrleurs de domaine.

Lectures complmentaires
Article Microsoft Technet : Fonctionnement du modle de rplication Active Directory (ventuellement en anglais)

Configuration des sites des services de domaine Active Directory et de la rplication

4-9

Description des partitions dannuaire

Points cls
La base de donnes des services de domaine Active Directory est rpartie logiquement en partitions dannuaire : une partition de schma, une partition de configuration, des partitions de domaine et des partitions dapplication. Chaque partition est une unit de rplication et possde sa propre topologie de rplication.

Lectures complmentaires
Article Microsoft Technet : Fonctionnement du magasin de donnes (section Partition de lannuaire) (ventuellement en anglais) Fonctionnement du modle de rplication Active Directory (ventuellement en anglais)

4-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description de la topologie de rplication

Points cls
La topologie de rplication est litinraire suivi par les donnes de la rplication travers un rseau. Pour crer une topologie de rplication, les services de domaine Active Directory doivent dterminer quels contrleurs de domaine rpliquent les donnes avec les autres contrleurs de domaine. Question : Quelles partitions dapplication sont cres par dfaut dans les services de domaine Active Directory ?

Lectures complmentaires
Article Microsoft Technet : Quest-ce que la topologie de rplication Active Directory ? (ventuellement en anglais)

Configuration des sites des services de domaine Active Directory et de la rplication

4-11

Rplication des partitions de lannuaire et du catalogue global

Points cls
La rplication des partitions de schma et de configuration suit le mme processus que toutes les autres partitions dannuaire. Toutefois, tant donn que ces partitions sont lchelle de la fort plutt qu lchelle du domaine, vous pouvez crer les objets de connexion pour ces partitions entre deux contrleurs de domaine quelconques, quel que soit le domaine auxquels ils appartiennent. Tous les contrleurs de domaine de la fort sont inclus dans la topologie de rplication pour ces partitions.

Lectures complmentaires
Article Microsoft Technet : Quest-ce que la topologie de rplication Active Directory ? (ventuellement en anglais)

4-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Gnration de la topologie de rplication

Points cls
Lorsque vous ajoutez des contrleurs de domaine un site, les services de domaine Active Directory utilisent le Vrificateur de cohrence de connaissances (KCC, Knowledge Consistency Checker) pour tablir un chemin de rplication entre les contrleurs de domaine.

Lectures complmentaires
Article Microsoft Technet : Fonctionnement du modle de rplication Active Directory (ventuellement en anglais)

Configuration des sites des services de domaine Active Directory et de la rplication

4-13

Dmonstration : Cration et configuration dobjets de connexion

Question : Quand configureriez-vous des objets de connexion manuellement ?

4-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 2 :

Prsentation des sites des services de domaine Active Directory et de la rplication

Au sein dun mme site, la rplication des services de domaine Active Directory se produit rapidement et automatiquement, sans tenir compte de lutilisation du rseau. Toutefois, certaines organisations ont plusieurs sites relis par des connexions rseau lentes. Vous pouvez utiliser les sites des services de domaine Active Directory pour contrler la rplication et le trafic des services de domaine Active Directory de toute nature sur ces liaisons rseau.

Configuration des sites des services de domaine Active Directory et de la rplication

4-15

Description des sites des services de domaine Active Directory et liens de sites

Points cls
Vous utilisez des sites pour contrler le trafic de rplications, le trafic li aux connexions et les requtes des clients sur le serveur de catalogue global.

Lectures complmentaires
Aide sur les sites et services Active Directory : prsentation des sites, sousrseaux et liens de sites (ventuellement en anglais)

4-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Discussion : Pourquoi implmenter des sites supplmentaires ?

Lectures complmentaires
Aide sur les sites et services Active Directory : prsentation des sites, sousrseaux et liens de sites (ventuellement en anglais)

Configuration des sites des services de domaine Active Directory et de la rplication

4-17

Dmonstration : Configuration des services de domaine Active Directory

Questions : Que devient la topologie de rplication si vous dplacez un contrleur de domaine dun site vers un autre site ? Vous dplacez un contrleur de domaine vers un nouveau site laide de Sites et services Active Directory. Six heures plus tard vous dterminez que le contrleur de domaine ne rplique avec aucun autre contrleur de domaine. Que devez-vous vrifier ?

Lectures complmentaires
Aide sur les sites et services Active Directory : Crer un site, crer un sousrseau

4-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnement de la rplication entre sites

Points cls
Au sein dun site, le contrle du processus de rplication des services de domaine Active Directory est trs limit. Lorsque vous implmentez plusieurs sites dans une fort des services de domaine Active Directory, vous pouvez galement configurer la rplication des services de domaine Active Directory pour garantir une utilisation optimale du rseau.

Configuration des sites des services de domaine Active Directory et de la rplication

4-19

Comparaison de la rplication intrasite et intersite

Points cls
Voir la diapositive pour les comparaisons.

Lectures complmentaires
Aide sur les sites et services Active Directory : rplication intersite (ventuellement en anglais) Article Microsoft Technet : Quest-ce que la topologie de rplication Active Directory ? (ventuellement en anglais)

4-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration des liens de sites des services de domaine Active Directory

Questions : Si tous les emplacements dans votre organisation sont connects par un rseau tendu ayant la mme bande passante disponible, avez-vous besoin de crer des liens de sites supplmentaires ? Votre organisation possde deux sites et un seul domaine. Pouvez-vous utiliser SMTP comme protocole de rplication entre les deux sites ?

Lectures complmentaires
Aide sur les sites et services Active Directory : Crer un lien de sites

Configuration des sites des services de domaine Active Directory et de la rplication

4-21

Quest-ce que le gnrateur de topologie intersite ?

Points cls
Le KCC dun contrleur de domaine du site est dsign comme gnrateur de topologie intersite (ISTG, InterSite Topology Generator) du site. Il existe un seul gnrateur de topologie intersite par site, quel que soit le nombre de domaines ou autres partitions dannuaire que comporte le site. LISTG est charg de calculer la topologie idale de rplication du site.

Lectures complmentaires
Article Microsoft Technet : Fonctionnement du modle de rplication Active Directory (ventuellement en anglais)

4-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnement de la rplication unidirectionnelle

Points cls
Aucune modification ne provient du contrleur de domaine en lecture seule (RODC), du fait quaucune modification nest crite directement sur ce dernier. En consquence, les contrleurs de domaine accessibles en criture qui sont des partenaires de rplication nont pas extraire les modifications du contrleur de domaine en lecture seule. Autrement dit, aucune modification ou altration effectue par un utilisateur malveillant dans une succursale nest rplique depuis le contrleur de domaine en lecture seule vers la fort. Cela rduit galement la charge de travail des serveurs tte de pont dans le concentrateur et simplifie la surveillance de la rplication.

Lectures complmentaires
Article Microsoft Technet : Services de domaine Active Directory : contrleurs de domaine en lecture seule (ventuellement en anglais)

Configuration des sites des services de domaine Active Directory et de la rplication

4-23

Leon 3 :

Configuration et surveillance de la rplication des services de domaine Active Directory

Une fois que vous avez configur les sites et liens de sites pour lenvironnement des services de domaine Active Directory, vous pouvez configurer la rplication des services de domaine Active Directory. Dans Windows Server 2008, les services de domaine Active Directory fournissent plusieurs options que vous pouvez utiliser pour grer le flux de rplication entre les sites. tant donn que la rplication des services de domaine Active Directory est essentielle pour votre environnement, vous devez galement savoir comment la surveiller.

4-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description du serveur de tte de pont

Points cls
Le serveur tte de pont dans une topologie de rplication AD DS est le contrleur de domaine unique dans chaque site qui est responsable de lchange des donnes rpliques avec dautres sites. Le serveur tte de pont du site dorigine collecte toutes les modifications de rplication de son site et les envoie au serveur tte de pont du site destinataire, qui rplique les modifications sur tous ses contrleurs de domaine. Par dfaut, le gnrateur de topologie intersite identifie un contrleur de domaine dans chaque site en tant que serveur tte de pont pour chaque lien de sites. Si ce serveur tte de pont devient indisponible, le gnrateur de topologie intersite identifie un autre contrleur de domaine en tant que serveur tte de pont.

Lectures complmentaires
Article Microsoft Technet : Fonctionnement du modle de rplication Active Directory (ventuellement en anglais)

Configuration des sites des services de domaine Active Directory et de la rplication

4-25

Dmonstration : Configuration de serveurs tte de pont

Question : Votre organisation possde deux sites et deux domaines dans la mme fort avec des contrleurs pour les deux domaines dans les deux sites. Vous configurez un contrleur de domaine sur chaque site en tant que serveur tte de pont prfr. Quelque temps plus tard vous remarquez que les contrleurs de lun des domaines ne rpliquent pas via le lien de sites. Que faire pour rsoudre ce problme ?

Lectures complmentaires
Article Microsoft Technet : Gestion de la rplication intersite

4-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration de la disponibilit et de la frquence de rplication

Questions : Vous configurez des liens de sites entre le site de New York et celui de Toronto, et entre le site de New York et celui de Londres. Le lien de sites New York-Toronto est disponible de 2h 5h. Le lien de sites New York-London est disponible de 20h 23h. Vous crez un nouvel utilisateur Toronto. Quand le nouvel utilisateur apparat-il dans les services de domaine Active Directory sur un contrleur de domaine de Londres ? Votre organisation compte 4 sites. Tous vos sites sont inclus dans le DefaultIPSiteLink. Vous souhaitez modifier la planification de la rplication pour tous les sites afin que la rplication entre sites se produise toutes les 15 minutes. Comment devez-vous procder ?

Configuration des sites des services de domaine Active Directory et de la rplication

4-27

Lectures complmentaires
Aide sur les sites et services Active Directory : Configurer la rplication intersite

4-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description du pontage de liens de sites

Points cls
Par dfaut, tous les liens de sites des services de domaine Active Directory sont transitifs, ou de type pont. Cela signifie que si le site A possde un lien de sites commun avec le site B, le site B possde galement un lien de sites commun avec le site C et les deux liens de sites sont relis par un pont. Les contrleurs de domaine du site A peuvent rpliquer directement avec les contrleurs de domaine du site C, mme sil nexiste aucun lien de sites entre les sites A et C. Vous pouvez modifier la configuration de pontage des liens de site par dfaut en dsactivant le pontage de liens de sites, puis en le configurant uniquement pour les liens qui doivent tre transitifs.

Lectures complmentaires
Article Microsoft Technet : Fonctionnement du modle de rplication Active Directory (ventuellement en anglais)

Configuration des sites des services de domaine Active Directory et de la rplication

4-29

Dmonstration : Modification des ponts entre des liens de site

Question : Votre organisation possde cinq sites. Quatre des sites sont connects par des liaisons rseau tendu (WAN) avec de la bande passante rseau en surplus tandis que le dernier est reli aux autres par une liaison rseau tendu avec trs peu de bande passante disponible. Vous dsactivez le pontage de lien de sites dans votre organisation et constatez alors que la rplication des changements des services de domaine Active Directory intersite est beaucoup plus longue que dhabitude. Que devez-vous faire pour optimiser la rplication entre les quatre sites ayant de la bande passante disponible tout en rduisant lutilisation rseau sur le site ayant moins de bande passante disponible ?

Lectures complmentaires
Article Microsoft Technet : Gestion de la rplication intersite

4-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description de la mise en cache de lappartenance un groupe universel

Points cls
Lun des problmes que vous devrez peut-tre traiter lors de la configuration de la rplication des services de domaine Active Directory est celui de lventuel dploiement de serveurs de catalogue global dans chaque site. tant donn que des serveurs de catalogue global sont requis lorsque les utilisateurs ouvrent une session sur le domaine, le dploiement dun serveur de catalogue global dans chaque site optimise lexprience de lutilisateur. Toutefois, le dploiement dun serveur de catalogue global dans un site entrane une augmentation du trafic de rplication, qui peut poser problme si la bande passante de la connexion rseau entre les sites des services de domaine Active Directory est limite. Pour ces scnarios, vous pouvez dployer des contrleurs de domaine excutant Windows Server 2008, puis activer la mise en cache de lappartenance au groupe universel pour le site.

Configuration des sites des services de domaine Active Directory et de la rplication

4-31

Lectures complmentaires
Article Microsoft Technet : Planification du positionnement du serveur de catalogue global (ventuellement en anglais)

4-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration de la mise en cache des appartenances un groupe universel

Lectures complmentaires
Article Microsoft Technet : Mise en cache des appartenances un groupe universel

Configuration des sites des services de domaine Active Directory et de la rplication

4-33

Dmonstration : Outils de surveillance et de gestion de la rplication

Questions : Dans quelles circonstances aimeriez-vous savoir quel contrleur de domaine est le gnrateur ISTG dun site ? Quelles informations disponibles dans les outils de ligne de commande ne le sont pas via les outils de linterface utilisateur graphique ?

4-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Configuration des sites Active Directory et de la rplication

Scnario
La Woodgrove Bank dispose de nombreuses filiales dans le monde. Pour optimiser le trafic douverture de session client et grer la rplication des services de domaine Active Directory, ladministrateur de lentreprise a cr une nouvelle conception pour configurer les sites AD DS et la rplication entre sites. Vous devez crer des sites AD DS et configurer la rplication partir de la conception de ladministrateur, puis surveiller la rplication des sites et vous assurer que tous les composants ncessaires sont oprationnels. La conception de site en cours la Woodgrove Bank na pas t modifie par rapport sa valeur par dfaut. Mis part le site par dfaut, aucun site des services de domaine Active Directory ou lien de sites nest configur.

Configuration des sites des services de domaine Active Directory et de la rplication

4-35

Ladministrateur de lentreprise a cr la conception de site suivante : New York dispose dune connexion de rseau tendu (WAN) 1,544 Mbits/s avec Londres, sur laquelle 50 % de la bande passante sont disponibles. New York et Tokyo sont galement connects par une connexion WAN 1,544 Mbits/s, sur laquelle 50 % de la bande passante sont disponibles. Toutes les modifications apportes aux services de domaine Active Directory dans lun de ces trois sites doivent tre rpliques sur les autres sites en une heure. Miami est connect New York via une connexion WAN 256 Kbits/s qui a moins 20 % de bande passante disponible pendant les horaires de bureau. Les modifications apportes aux services de domaine Active Directory sur nimporte quel site de lorganisation ne doivent pas tre rpliques avec Miami pendant les horaires de bureau. Le contrleur de domaine de Miami doit uniquement recevoir les mises jour dun contrleur de domaine de New York. Les contrleurs de domaine de New York, Tokyo et Londres peuvent recevoir des mises jour de nimporte quel contrleur de domaine de lun de ces trois sites. Le contrleur de domaine de Miami nest pas configur en tant que serveur de catalogue global en raison de problmes concernant la rplication de catalogue global. Pour rduire le trafic rseau requis pour lauthentification, vous devez activer la mise en cache des appartenances un groupe universel pour le site de Miami. Vous devez configurer chaque agence de la socit en tant que site distinct, avec le nom de site Ville-Site. Vous devez nommer les liens de sites selon le format suivant : Ville-Ville-SiteLink. Les configurations dadresse rseau pour chaque agence de la socit sont les suivantes : New York 10.10.0.0/16 London 10.20.0.0/16 Miami 10.30.0.0/16 Tokyo 10.40.0.0/16

4-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Remarque : en raison des limitations de latelier pratique virtuel, vous ne devez configurer que les sites des agences de New York, Londres et Miami. Remarque : latelier pratique suivant ncessite lexcution simultane de quatre ordinateurs virtuels. Les ordinateurs des stagiaires doivent tre configurs avec 1 Go de RAM supplmentaire (soit un total de 3 Go) pour amliorer les performances des ordinateurs virtuels dans cet atelier pratique.

Configuration des sites des services de domaine Active Directory et de la rplication

4-37

Exercice 1 : Configuration des sites et des sous-rseaux des services de domaine Active Directory
Dans cet exercice, vous allez modifier la configuration actuelle du site en fonction de la conception de ladministrateur de lentreprise. Les tches incluent la cration de nouveaux sous-rseaux et sites, la cration de liens de sites et le dplacement de serveurs vers les sites appropris. Les principales tches sont les suivantes : 1. 2. 3. Dmarrer les ordinateurs virtuels et ouvrir une session. Vrifier la configuration et la topologie de rplication actuelle du site. Crer les sites des services de domaine Active Directory.

Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session.


1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes et sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-LONDC1, cliquez sur Lancer. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-MIARODC, cliquez sur Lancer. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCRAS, cliquez sur Lancer. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Sur LON-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Ouvrez une session sur MIA-RODC en tant quAdministrateur avec le mot de passe Pa$$w0rd. Ouvrez une session sur NYC-RAS en tant quAdministrateur avec le mot de passe Pa$$w0rd.

2. 3. 4. 5. 6. 7. 8. 9.

10. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

4-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Dmarrer lordinateur virtuel 6238A-LON-DC1 et ouvrir une session en tant quAdministrateur.
Dmarrez 6238A-LON-DC1 et ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd.

Tche 3 : Vrifier la configuration et la topologie de rplication actuelle du site.


1. 2. Sur NYC-DC1, ouvrez Sites et services Active Directory et accdez aux proprits des Paramtres NTDS pour NYC-DC1. Vrifiez les objets de connexion configurs sur NYC-DC1. Vrifiez que les objets de connexion sont utiliss pour rpliquer toutes les partitions appropries de lannuaire. Vrifiez que les connexions sont configures pour toujours rpliquer, et rechercher les mises jour toutes les heures. Examinez les objets de connexion configurs sur MIA-RODC. Vrifiez que le contrleur de domaine en lecture seule a uniquement des partenaires de rplication entrants et aucun partenaire de rplication sortant.

3. 4.

Tche 4 : Crer les sites des services de domaine Active Directory.


1. 2. 3. Dans Sites et services Active Directory, renommez Nom-Premier-Site-Par dfaut en NewYork-Site. Crez de nouveaux sites nomms Miami-Site, London-Site et Tokyo-site. Crez de nouveaux objets sous-rseau avec les proprits suivantes : 4. Prfixe : 10.10.0.0/16, Site : NewYork-Site Prfixe : 10.20.0.0/16, Site : London-Site Prfixe : 10.30.0.0/16, Site : Miami-Site Prfixe : 10.40.0.0/16, Site : Tokyo-Site

Vrifiez que les sous-rseaux corrects sont associs chaque site.


Rsultat : au terme de cet exercice, vous aurez configur des sites et des sous-rseaux de services de domaine Active Directory et li les sous-rseaux aux sites appropris.

Configuration des sites des services de domaine Active Directory et de la rplication

4-39

Exercice 2 : Configuration de la rplication des services de domaine Active Directory


Dans cet exercice, vous allez configurer la rplication des services de domaine Active Directory entre les sites. Il sagira notamment de crer de nouveaux liens de site, de configurer le pontage de liens de sites et de dplacer les contrleurs de domaine vers les sites appropris. Les principales tches sont les suivantes : 1. 2. 3. 4. 5. Crer des objets lien de site. Configurer le pontage de liens de site. Modifier la configuration dadresse IP du contrleur de domaine. Dplacez les contrleurs de domaine vers les sites appropris. Configurer la mise en cache du catalogue global pour le site de Miami.

Tche 1 : Crer des objets lien de site.


1. Dans Sites et services Active Directory, renommez DEFAULTIPSITELINK en NewYork-London-Site-Link. Configurez le lien de sites de telle sorte quil contienne uniquement New York-Site et London-Site et que la rplication seffectue toutes les 30 minutes. Cliquez avec le bouton droit sur NewYork-London-Site-Link et cliquez sur Proprits. Crez un nouveau lien de sites nomm New York-Tokyo-Site-Link, incluant New York-Site et Tokyo-Site avec une rplication toute les 30 minutes. Crez un autre lien de sites nomm New York-Miami-Site-Link, incluant New York-Site et Miami-Site. Modifiez la planification pour le lien de sites de telle sorte que la rplication soit interdite entre 7:00 et 19:00, du lundi au vendredi.

2. 3. 4.

Tche 2 : Configurer le pontage de liens de site.


1. 2. Dans Sites et services Active Directory, dsactivez le pontage des liens de sites IP. Crez un nouveau pont de liens de sites nomm NewYork-London-TokyoSite-Link-Bridge comprenant tous les sites lexception de Miami-Site.

4-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Modifier la configuration dadresse IP du contrleur de domaine.


1. Sur LON-DC1, accdez aux proprits de Connexion au rseau local. Modifiez la configuration de ladresse IP pour utiliser 10.20.0.110 comme adresse et 10.11.0.1 comme passerelle par dfaut. Assurez-vous que vous pouvez excuter la commande ping sur 10.10.0.10 partir de LON-CD1 et forcez le serveur enregistrer son adresse IP auprs du DNS. Sur MIA-RODC, dans la fentre dinvite de commandes, utilisez Netsh interface ipv4 show interfaces pour identifier la valeur Idx affecte la connexion au rseau local. Utilisez la commande netsh interface ipv4 set address name="ID" source=static address=10.30.0.15 mask=255.255.0.0 gateway=10.30.0.1 pour modifier ladresse IP de MIA-RODC. Assurez-vous que vous pouvez excuter la commande ping sur 10.10.0.10 partir de MIA-RODC et forcez le serveur enregistrer son adresse IP dans DNS. Sur NYC-DC1, vrifiez que les adresses IP de LON-DC1 et MIA-RODC ont t mises jour dans le systme DNS. Modifiez lenregistrement de dlgation pour quEMEA utilise 10.20.0.110 comme adresse de serveur DNS EMEA.

2.

3.

4.

5. 6. 7.

Tche 4 : Dplacer les contrleurs de domaine vers les sites appropris.


1. 2. Sur NYC-DC1, dans Sites et services Active Directory, dplacez LON-DC1 de NewYork-Site vers London-Site. Dplacez MIA-RODC de NewYork-Site vers Miami-Site.

Configuration des sites des services de domaine Active Directory et de la rplication

4-41

Tche 5 : Configurer la mise en cache du catalogue global pour le site de Miami.


1. 2. Sur NYC-DC1, dans Sites et services Active Directory, accdez aux proprits de Paramtres de site NTDS pour Miami-Site. Activez la Mise en cache de lappartenance au groupe universel et configurez le cache pour quil soit actualis partir de NewYork-Site.
Rsultat : au terme de cet exercice, vous aurez configur la rplication des services de domaine Active Directory.

4-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Surveillance de la rplication des services de domaine Active Directory


Dans cet exercice, vous allez configurer la rplication des services de domaine Active Directory entre les sites. Vous allez utiliser DCDiag et NLTest pour vrifier la disponibilit du serveur, puis Repadmin pour configurer les objets des services de domaine Active Directory et enfin ReplMon pour surveiller la rplication entre sites. Les principales tches sont les suivantes : 1. 2. 3. 4. 5. Vrifier que la topologie de rplication a t mise jour. Vrifier que la rplication fonctionne entre les sites. Utiliser DCDiag pour vrifier la topologie de rplication. Utiliser Repadmin pour vrifier que la rplication a russi. Arrter tous les ordinateurs virtuels et supprimez toutes les modifications.

Tche 1 : Vrifier que la topologie de rplication a t mise jour.


1. 2. Sur NYC-DC1, dans Sites et services Active Directory, accdez aux Paramtres NTDS pour NYC-DC1 et forcez le serveur vrifier la topologie de rplication. Accdez aux Paramtres NTDS pour MIA-RODC sur Miami-Site et forcez-le vrifier la topologie de rplication. Lexcution de cette opration prend quelques minutes. Accdez aux proprits de Paramtres de site NTDS pour NewYork-Site et vrifiez que NYC-DC1 est configur comme Gnrateur de topologie intersites. Accdez aux Paramtres de site NTDS pour Miami-Site et vrifiez que MIARODC nest pas rpertori comme ISTG. Dans la mesure o MIA-RODC est un contrleur de domaine en lecture seule, il ne peut pas fonctionner comme serveur tte de pont ou ISTG.

3.

4.

Configuration des sites des services de domaine Active Directory et de la rplication

4-43

Tche 2 : Vrifier que la rplication fonctionne entre les sites.


1. 2. 3. Sur NYC-DC1, dans Sites et services Active Directory, accdez aux Paramtres NDTS pour NYC-DC1. Dans le volet Dtails, vrifiez quun objet de connexion a t cr entre NYCDC1 et LON-DC1, et forcez la rplication sur cet objet. Sur LON-DC1, ouvrez Sites et services Active Directory, accdez lobjet de connexion configur sur LON-DC1 entre LON-DC1 et NYC-DC1, et forcez la rplication sur cet objet. Sur NYC-DC1, dans le conteneur Utilisateurs de Utilisateurs et ordinateurs Active Directory, crez un nouvel utilisateur avec le prnom et le nom douverture de session UtilisateurTest, ainsi que le mot de passe Pa$$w0rd. Dans Sites et services Active Directory, accdez lobjet de connexion configur sur MIA-RODC entre NYC-DC1 et MIA-RODC, et forcez la rplication sur cet objet. Dans Utilisateurs et ordinateurs Active Directory, activez MIA-RODC.WoodgroveBank.com. Dans la bote de dialogue Modifier le contrleur de domaine, cliquez sur MIA-RODC.WoodgroveBank.com, cliquez sur OK, puis vrifiez que le compte UtilisateurTest a bien t rpliqu sur MIA-RODC.

4.

5.

6. 7.

Tche 3 : Utiliser DCDiag pour vrifier la topologie de rplication.


Sur NYC-DC1, linvite de commandes, tapez DCDiag /test:replications pour vrifier que NYC-DC1 satisfait tous les tests de connectivit.

Remarque : des erreurs de rplication seront rpertories car la rplication a t tente alors que NYC-DC2 et TOK-DC1 ntaient pas en cours dexcution.

4-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 4 : Utiliser Repadmin pour vrifier que la rplication a russi.


1. Sur NYC-DC1, linvite de commandes, tapez repadmin /showrepl et vrifiez que la rplication a bien t effectue avec LON-DC1 lors de la dernire mise jour de rplication. linvite de commandes, tapez repadmin /showrepl MIA-RODC.WoodgroveBank.com et vrifiez que toutes les partitions dannuaire ont bien t rpliques lors de la dernire mise jour de rplication. linvite de commandes, tapez repadmin /bridgeheads et vrifiez que NYC-DC1 et LON-DC1 sont rpertoris comme serveurs tte de pont pour leur site. linvite de commandes, tapez repadmin /replsummary et examinez le rsum de la rplication, puis fermez linvite de commandes.

2.

3.

4.

Tche 5 : Arrter tous les ordinateurs virtuels et supprimez toutes les modifications.
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez vrifi le bon fonctionnement de la rplication des services de domaine Active Directory.

Configuration des sites des services de domaine Active Directory et de la rplication

4-45

Rcapitulatif du module et objectifs

Questions du contrle des acquis


1. 2. Comment pouvez-vous rduire les risques de crer un conflit de rplication dans votre organisation ? Vous avez dploy neuf contrleurs de domaine dans le mme domaine. Cinq de ces contrleurs de domaine sont dans un site, tandis que les quatre autres sont dans un autre site. Vous navez pas modifi la frquence de rplication par dfaut de la rplication intersite et intrasite. Vous crez un compte dutilisateur sur un contrleur de domaine. Combien de temps faudra-t-il au maximum pour que ce compte dutilisateur soit rpliqu sur tous les contrleurs du domaine ? Vous ajoutez un nouveau contrleur de domaine un domaine existant dans votre fort. Quelles partitions des services de domaine Active Directory sont modifies la suite de cette opration ?

3.

4-46

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

4.

Votre organisation dispose dun domaine avec trois sites : le site du sige et deux sites de succursales. Les contrleurs de domaine du site dune succursale peuvent communiquer avec les contrleurs de domaine du sige social, mais ils ne peuvent pas communiquer directement avec ceux de lautre succursale en raison de restrictions de pare-feu. Comment configurer larchitecture de liens de sites dans les services de domaine Active Directory pour intgrer le pare-feu et assurer que le KCC ne crera pas automatiquement une connexion entre les sites des succursales ? Votre organisation possde un sige social et 20 succursales. Chaque succursale est configure comme un site distinct. Vous disposez de trois contrleurs de domaine dploys au sige social. Un des contrleurs de domaine du sige social a un processeur plus rapide et plus de mmoire que les deux autres. Vous voulez vous assurer que la charge de rplication des services de domaine Active Directory est attribue lordinateur le plus puissant. Comment devez-vous procder ?

5.

lments prendre en considration pour configurer des sites et la rplication des services de domaine Active Directory
Compltez ou modifiez les meilleures pratiques pour vos propres situations de travail : Dans une organisation avec un site unique, vous pouvez presque toujours accepter la configuration de la rplication par dfaut. Bien que vous puissiez modifier les heures de notification par dfaut pour la rplication des services de domaine Active Directory, il ny a gnralement aucune raison de le faire. Dans une organisation ayant plusieurs sites, vous devez planifier la conception des sites pour optimiser lutilisation du rseau tendu en rduisant la rplication Active Directory et le trafic douverture des sessions client. Pour viter que certains contrleurs de domaine du site soient serveurs tte de pont, utilisez les serveurs tte de pont prfrs. Certains contrleurs risquent de ne pas tre assez puissants pour rpliquer de manire fiable entre les sites. Dans le cas contraire, autorisez le gnrateur de topologie intersite slectionner automatiquement les serveurs tte de pont.

Configuration des sites des services de domaine Active Directory et de la rplication

4-47

La configuration des sites et les emplacements des contrleurs de domaine dans les sites peuvent tre modifis aprs le dploiement. Si vous dcouvrez que la rplication des services de domaine Active Directory est inefficace, ou si votre organisation se dveloppe, il est facile de modifier le processus de rplication en ajoutant ou supprimant des sites ou en modifiant la configuration des liens de sites. Le trafic de rplication des services de domaine Active Directory entre les sites est compress. Cela signifie que dans presque toutes les plus grandes organisations, le trafic de rplication ne consommera pas une quantit importante de bande passante rseau entre les sites.

Outils
Utilisez les outils ci-dessous lors de la configuration des sites et de la rplication des services de domaine Active Directory :
Outil Gestionnaire de serveur Utilisation Accder aux outils de gestion des services de domaine Active Directory dans une console unique. Emplacement Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestionnaire de serveur. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Install par dfaut et accessible dans une invite de commandes.

Sites et services Active Directory

Cration et configuration des sites et des sous-rseaux, dplacement des contrleurs de domaine entre les sites et forage de la rplication.

Repadmin

Collection des donnes sur la topologie et ltat de rplication actuels, et cration des objets de rplication. Collection des donnes sur les contrleurs de domaine y compris les partenaires et ltat de rplication.

DCDiag

Install par dfaut et accessible dans une invite de commandes.

Cration et configuration dune stratgie de groupe

5-1

Module 5.
Cration et configuration dune stratgie de groupe
Table des matires :
Leon 1 : Vue densemble de la stratgie de groupe Leon 2 : Configuration de ltendue des objets de stratgie de groupe Leon 3 : valuation de lapplication des objets de stratgie de groupe Leon 4 : Gestion des objets de stratgie de groupe Leon 5 : Dlgation du contrle administratif de la stratgie de groupe Atelier pratique : Cration et configuration dobjets Stratgie de groupe 5-3 5-17 5-31 5-37 5-46 5-50

5-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

Les administrateurs sont confronts des dfis de plus en plus complexes en ce qui concerne la gestion de linfrastructure informatique. Ils doivent fournir et grer des configurations de bureau personnalises pour des employs trs divers tels que des utilisateurs nomades, des professionnels de linformation, ou encore des personnes affectes des tches spcialises telles que la saisie de donnes. Grce la stratgie de groupe et linfrastructure des services de domaine Active Directory (AD DS) dans Windows Server 2008, les administrateurs informatiques automatisent la gestion des utilisateurs et des ordinateurs, ce qui simplifie les tches dadministration et rduit les cots informatiques. Ainsi, les administrateurs peuvent implmenter des paramtres de scurit, appliquer efficacement des stratgies informatiques et distribuer des logiciels de manire cohrente sur un site, un domaine ou un ventail dunits dorganisation spcifique.

Cration et configuration dune stratgie de groupe

5-3

Leon 1 :

Vue densemble de la stratgie de groupe

Cette leon prsente comment utiliser la stratgie de groupe pour simplifier la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Vous allez apprendre la structure des objets de stratgie de groupe et leurs modalits dapplication, ainsi que certaines des exceptions relatives au traitement de leur application. Cette leon prsente galement les fonctionnalits de stratgie de groupe, fournies dans Windows Server 2008, qui elles aussi permettent de simplifier la gestion des ordinateurs et des utilisateurs.

5-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Quest-ce que la stratgie de groupe ?

Points cls
La stratgie de groupe est une technologie Microsoft qui prend en charge la gestion des ordinateurs et des utilisateurs de type un--plusieurs dans un environnement Active Directory. En modifiant les paramtres de stratgie de groupe et en ciblant lobjet de stratgie de groupe pour des ordinateurs ou des utilisateurs slectionns, vous pouvez centraliser la gestion des paramtres de configuration spcifiques. Vous avez ainsi la possibilit de grer des milliers dordinateurs ou dutilisateurs potentiels en modifiant un seul objet de stratgie de groupe. Un objet stratgie de groupe dsigne la collection des paramtres qui sont appliqus des utilisateurs et des ordinateurs slectionns. La stratgie de groupe peut contrler de nombreux aspects de lenvironnement dun objet cible, notamment le Registre, la scurit du systme de fichiers NTFS, la stratgie daudit et de scurit, linstallation et la restriction de logiciels, lenvironnement du bureau et les scripts douverture/de fermeture de session.

Cration et configuration dune stratgie de groupe

5-5

Un seul objet stratgie de groupe peut tre associ plusieurs conteneurs dans AD DS par le biais de la liaison. linverse, plusieurs objets de stratgie de groupe peuvent tre lis un seul conteneur. Question : dans quel cas une stratgie de groupe locale peut savrer utile dans un environnement de domaines ?

Lectures complmentaires
Article Microsoft Technet : Stratgie de groupe Windows Server (ventuellement en anglais)

5-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Paramtres de stratgie de groupe

Points cls
La stratgie de groupe contient environ 2 400 paramtres configurables. Ces paramtres peuvent affecter presque toutes les zones de lenvironnement informatique. Vous ne pouvez pas appliquer tous les paramtres toutes les versions des systmes dexploitation Windows. Par exemple, bon nombre des nouveaux paramtres fournis avec Windows XP Professionnel Service Pack (SP) 2, comme les stratgies de restriction logicielle, sappliquent uniquement ce systme dexploitation. De mme, des centaines de nouveaux paramtres sappliquent uniquement au systme dexploitation Windows Vista et Windows Server 2008. Si un ordinateur ne peut pas traiter un paramtre appliqu, il lignore tout simplement. Question : parmi les nouvelles fonctionnalits, lesquelles peuvent savrer les plus utiles dans votre environnement ?

Cration et configuration dune stratgie de groupe

5-7

Lectures complmentaires
Article Microsoft Technet : Rcapitulatif des paramtres de stratgie de groupe nouveaux ou dvelopps (ventuellement en anglais) Article Microsoft Technet : Nouveauts de la stratgie de groupe dans Windows Vista et Windows Server 2008 (ventuellement en anglais)

5-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Application de la stratgie de groupe

Points cls
Les clients dmarrent lapplication de la stratgie de groupe en interrogeant les objets stratgie de groupe dans les services de domaine Active Directory. Lorsque la stratgie de groupe est applique un utilisateur ou un ordinateur, le composant client linterprte et effectue les modifications appropries dans lenvironnement. Ces composants sont appels extensions ct client de la stratgie de groupe. Au fur et mesure que les objets de stratgie de groupe sont traits, le processus Winlogon en transmet la liste chaque extension ct client de la stratgie de groupe. Lextension utilise ensuite la liste pour traiter la stratgie approprie, le cas chant. Question : quels avantages et inconvnients prsenteraient la rduction de lintervalle dactualisation ?

Cration et configuration dune stratgie de groupe

5-9

Lectures complmentaires
Article Microsoft Technet : Stratgie de groupe Windows Server (ventuellement en anglais)

5-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exceptions au traitement de la stratgie de groupe

Points cls
Diffrents facteurs peuvent modifier le comportement standard du traitement de la stratgie de groupe, tels que louverture de session avec une connexion lente, ou bien certains types de connexions ou de systmes dexploitation qui traitent la stratgie de groupe leur manire. Question : pourquoi le service Connaissance des emplacements rseau constitue-til une meilleure solution que le protocole ICMP (Internet Control Message Protocol) pour lapplication de la stratgie de groupe ?

Lectures complmentaires
Contrle des extensions ct client laide de la stratgie de groupe (ventuellement en anglais)

Cration et configuration dune stratgie de groupe

5-11

Composants de la stratgie de groupe

Points cls
Vous pouvez utiliser les modles de stratgie de groupe pour crer et configurer des paramtres de stratgie de groupe qui sont stocks dans des objets stratgie de groupe. Les objets de stratgie de groupe, leur tour, sont stocks dans le conteneur SYSVOL des services de domaine Active Directory. Ce conteneur fonctionne comme un rfrentiel central pour les objets de stratgie de groupe. De cette faon, une seule stratgie peut tre associe plusieurs conteneurs Active Directory via la liaison. linverse, plusieurs stratgies peuvent tre lies un seul conteneur. La stratgie de groupe comporte trois principaux composants : Modles de stratgie de groupe Conteneur de stratgie de groupe Objets de stratgie de groupe

5-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des fichiers ADM et ADMX

Points cls Fichiers ADM


Le plus souvent, les fichiers ADM servaient dfinir les paramtres que ladministrateur configurait par le biais de la stratgie de groupe. Les systmes dexploitation Windows et les Service Packs successifs ont toujours inclus une version plus rcente de ces fichiers. Les fichiers ADM utilisent leur propre langage de balisage. De ce fait, il est difficile de les personnaliser. Les modles ADM sont situs dans le dossier %SystemRoot%\Inf.

Fichiers ADMX
Windows Vista et Windows Server 2008 introduisent un nouveau format daffichage des paramtres de stratgie bass sur le Registre. Ces paramtres sont dfinis laide dun format de fichier XML normalis, appel fichiers ADMX. Ces nouveaux fichiers remplacent les fichiers ADM. Les outils de stratgie de groupe dans Windows Vista et Windows Server 2008 continueront reconnatre les fichiers ADM personnaliss de votre environnement existant, mais ignoreront tous les fichiers ADM que les fichiers ADMX ont remplacs.

Cration et configuration dune stratgie de groupe

5-13

Question : comment pouvez-vous dterminer si un objet de stratgie de groupe a t cr ou modifi laide de fichiers ADM ou ADMX ?

Lectures complmentaires
Article Microsoft Technet : Guide pas pas de la gestion des fichiers ADMX de stratgie de groupe (ventuellement en anglais) Support technique Microsoft : Emplacement des fichiers ADM (Modle administratif) dans Windows (ventuellement en anglais)

5-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description du magasin central

Points cls
Dans les entreprises bases sur le domaine, les administrateurs peuvent crer un magasin central des fichiers ADMX, accessible par toute personne autorise crer ou modifier des objets de stratgie de groupe. Dans Windows Vista et Windows Server 2008, lditeur dobjets stratgie de groupe lit et affiche automatiquement les paramtres de la stratgie de modles dadministration partir des fichiers ADMX mis en cache dans le magasin central et ignore ceux qui sont stocks localement. Si le contrleur de domaine nest pas disponible, le magasin local est utilis. Vous devez crer le magasin central et le mettre jour manuellement sur un contrleur de domaine. Lutilisation des fichiers ADMX est lie au systme dexploitation de lordinateur sur lequel vous crez ou modifiez lobjet stratgie de groupe. Par consquent, le contrleur de domaine peut tre un serveur dot de Windows 2000, Windows Server 2003 ou Windows Server 2008. Le service de rplication de fichiers (FRS) rplique le contrleur de domaine sur les autres contrleurs de ce domaine.

Cration et configuration dune stratgie de groupe

5-15

Question : quel avantage prsenterait la cration du magasin central sur lmulateur de contrleur de domaine principal ?

Lectures complmentaires
Support technique Microsoft : Comment crer un magasin central pour les modles dadministration de stratgie de groupe dans Windows Vista

5-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration dobjets de stratgie de groupe

Question : lorsque vous ouvrez la Console de gestion des stratgies de groupe sur lordinateur Windows XP, les nouveaux paramtres de Windows Vista ne saffichent pas dans lditeur dobjets de stratgie de groupe. Pourquoi ?

Cration et configuration dune stratgie de groupe

5-17

Leon 2 :

Configuration de ltendue des objets de stratgie de groupe

Il existe plusieurs techniques qui permettent aux administrateurs de manipuler la manire dont la stratgie de groupe est applique. Vous pouvez dterminer lordre de traitement par dfaut des stratgies via lapplication, le blocage de lhritage, le filtrage de scurit et les filtres WMI (Windows Management Instrumentation), ou lutilisation de la boucle de rappel. Dans cette leon, vous allez apprendre ces techniques.

5-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Ordre de traitement de la stratgie de groupe

Points cls
Les objets de stratgie de groupe qui sappliquent un utilisateur ou un ordinateur nont pas tous la mme priorit. Ils sont implments dans un ordre prcis. Cet ordre signifie que les paramtres traits en premier peuvent tre crass par les paramtres traits ensuite. Par exemple, une stratgie qui restreint laccs au Panneau de configuration applique au niveau du domaine peut tre inverse par une stratgie applique au niveau de lunit dorganisation pour cette unit dorganisation spcifique. Question : votre organisation possde plusieurs domaines rpartis dans plusieurs sites. Vous souhaitez appliquer une stratgie de groupe tous les utilisateurs de deux domaines distincts. Quelle est la meilleure mthode pour y parvenir ?

Lectures complmentaires
Article Microsoft Technet : Traitement et priorit de la stratgie de groupe(ventuellement en anglais)

Cration et configuration dune stratgie de groupe

5-19

Description des objets de stratgie de groupe locale multiples

Points cls
Dans les systmes dexploitation Microsoft antrieurs Windows Vista, il nexistait quune seule configuration utilisateur disponible dans la stratgie de groupe locale. Cette configuration tait applique tous les utilisateurs ayant ouvert une session partir de lordinateur local. Cest toujours vrai ceci prs que Windows Vista et Windows Server 2008 offrent une fonctionnalit supplmentaire. Dans Windows Vista et Windows Server 2008, il est maintenant possible davoir des paramtres utilisateur diffrents pour des utilisateurs locaux diffrents, mme sil subsiste une configuration ordinateur unique qui affecte tous les utilisateurs. Question : dans quel cas des objets de stratgie de groupe locale multiples peuvent savrer utiles dans un environnement de domaines ?

5-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Article Microsoft Technet : Guide pas pas de la gestion des objets de stratgie de groupe locale multiples (ventuellement en anglais)

Cration et configuration dune stratgie de groupe

5-21

Options de modification du traitement de la stratgie de groupe

Points cls
Il peut y avoir des situations o le comportement standard de la stratgie de groupe nest pas souhaitable. Par exemple, des paramtres de stratgie de groupe restrictifs peuvent ne pas sappliquer certains utilisateurs ou certains groupes, ou bien un objet stratgie de groupe doit sappliquer uniquement des ordinateurs possdant certaines caractristiques matrielles ou logicielles. Par dfaut, tous les paramtres de stratgie de groupe sappliquent au groupe Utilisateurs authentifis dun conteneur donn. Cependant, vous pouvez modifier ce comportement en utilisant diffrentes mthodes.

5-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Question : Vous avez cr une stratgie de Bureau restrictive et lavez lie lunit dorganisation Finances. Lunit dorganisation Finances possde plusieurs units dorganisation enfants avec des objets de stratgie de groupe distincts qui vont lencontre de vos restrictions. Comment pouvez-vous vous assurer que tous les utilisateurs du service Finances reoivent votre stratgie de Bureau ?

Lectures complmentaires
Article Microsoft Technet : Contrle de la porte des objets stratgie de groupe laide de la console GPMC (ventuellement en anglais)

Cration et configuration dune stratgie de groupe

5-23

Dmonstration : Configuration des liens de lobjet de stratgie de groupe

Question : vrai ou faux : si un objet de stratgie de groupe est li plusieurs conteneurs, la modification des paramtres dun des liens affecte uniquement le conteneur correspondant.

5-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration de lhritage de la stratgie de groupe

Question : votre domaine possde deux stratgies de niveau domaine, GPO1 et GPO2. Vous devez vous assurer que toutes les units dorganisation reoivent la stratgie GPO1 et veiller ce que la stratgie GPO2 naffecte pas deux des units dorganisation. Quelle mthode utilisez-vous pour y parvenir ?

Cration et configuration dune stratgie de groupe

5-25

Dmonstration : Filtrage des objets de stratgie de groupe laide des groupes de scurit

Question : vous souhaitez vous assurer quune stratgie spcifique lie une unit dorganisation na une incidence que sur les membres du groupe local Directeurs. Comment pouvez-vous atteindre cet objectif ?

5-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Filtrage des objets de stratgie de groupe laide des filtres WMI

Question : vous devez dployer une application qui requiert 1 Go de mmoire vive (RAM). Quelle est la meilleure mthode pour y parvenir ?

Cration et configuration dune stratgie de groupe

5-27

Fonctionnement du traitement en boucle

Points cls
En rgle gnrale, les paramtres de stratgie utilisateur dcoulent entirement des objets stratgie de groupe associs au compte dutilisateur daprs son emplacement dans les services de domaine Active Directory. Cependant, le traitement en boucle indique au systme dappliquer un ensemble de paramtres utilisateur de substitution pour lordinateur tout utilisateur ouvrant une session sur un ordinateur affect par cette stratgie. Le traitement en boucle est conu pour des ordinateurs ddis qui imposent la modification de la stratgie utilisateur en fonction de lordinateur utilis, par exemple les ordinateurs dans les zones ouvertes au public ou les classes. Lorsque vous appliquez la boucle, celle-ci affecte tous les utilisateurs lexception des utilisateurs locaux. Le bouclage fonctionne laide des deux modes suivants : Mode de fusion Mode de remplacement

5-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Article Microsoft Technet : Traitement en boucle de la stratgie de groupe Article Microsoft Technet : Traitement en boucle de la stratgie de groupe

Cration et configuration dune stratgie de groupe

5-29

Discussion : Configuration de ltendue du traitement de la stratgie de groupe

Scnario
Utilisez les informations de scnario ci-aprs pour votre discussion.

Structure physique
Woodgrove bank possde un seul domaine qui comprend deux sites : le sige et Toronto. Le site de Toronto est reli au site du sige via une liaison haut dbit. Au sein du site du sige, il y a une succursale, situe Winnipeg. Cette succursale est relie au sige via une liaison lente. Elle compte cinq utilisateurs. Il ny a pas de contrleur de domaine Winnipeg, mais il y a un serveur SQL. Lorganisation a dploy Windows XP Professionnel et Windows Vista sur ses ordinateurs.

5-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

lments requis
Tous les ordinateurs du domaine sur lesquels Windows XP Professionnel est install disposent dune petite application logicielle distribue via la stratgie de groupe. Les utilisateurs du domaine ne doivent pas pouvoir accder aux proprits daffichage du bureau. Cette restriction ne sapplique pas au groupe Administrateurs. Dautres restrictions du bureau sappliqueront aux utilisateurs des succursales de Winnipeg et de Toronto. Les deux succursales disposent dun ordinateur de type borne dans le hall pour laccs public Internet. Cet ordinateur doit tre verrouill pour que lutilisateur ne puisse modifier aucun paramtre. Les comptes dordinateur des succursales sont situs dans leurs units dorganisation respectives. Les comptes dordinateur des serveurs qui ne sont pas contrleurs du domaine seront situs dans lunit dorganisation du serveur ou dans une unit dorganisation imbrique. Les paramtres de scurit de base doivent tre appliqus tous les serveurs. Des paramtres de scurit supplmentaires doivent tre appliqus aux serveurs SQL. Question : comment btir un schma de stratgie de groupe qui remplisse ces conditions ?

Cration et configuration dune stratgie de groupe

5-31

Leon 3 :

valuation de lapplication des objets de stratgie de groupe

Les administrateurs systme doivent connatre lincidence des paramtres de stratgie de groupe sur les ordinateurs et les utilisateurs dans un environnement gr. Ces informations sont essentielles lors de la planification dune stratgie de groupe pour un rseau et du dbogage des objets stratgie de groupe existants. Lobtention des informations peut tre une tche complexe si vous envisagez les nombreuses combinaisons de sites, de domaines et dunits dorganisation possibles ainsi que la foule de types de paramtres de stratgie de groupe disponibles. La tche se corse si vous envisagez le filtrage laide des groupes de scurit, ou lhritage, le blocage et lapplication des objets stratgie de groupe. Loutil de ligne de commande Rsultats de stratgie de groupe (GPResult.exe) et la Console de gestion des stratgies de groupe (GPMC) fournissent des fonctionnalits de cration de rapports qui simplifient ces tches.

5-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des rapports de stratgie de groupe

Points cls
Rapports de stratgie de groupe est une fonctionnalit de stratgie de groupe qui facilite limplmentation et la rsolution des problmes. Les deux principaux outils de rsolution des problmes sont loutil de ligne de commande GPResult.exe et lAssistant Rsultats de stratgie de groupe dans la Console de gestion des stratgies de groupe. La fonctionnalit Rsultats de stratgie de groupe permet aux administrateurs de dterminer le jeu de stratgie rsultant qui a t appliqu un ordinateur et/ou un utilisateur ayant ouvert une session sur cet ordinateur. Bien que ces outils soient similaires, ils fournissent chacun des informations diffrentes. Question : vous souhaitez dterminer quel contrleur de domaine a fourni la stratgie de groupe un client. Quel utilitaire devez-vous utiliser ?

Cration et configuration dune stratgie de groupe

5-33

Lectures complmentaires
Ressources Microsoft : Gpresult Article Microsoft Technet : Rsultats de la stratgie de groupe (Administration de la stratgie de groupe laide de la Console de gestion des stratgies de groupe) (ventuellement en anglais)

5-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description de la modlisation de stratgie de groupe

Points cls
Une autre mthode permettant de tester la stratgie de groupe consiste utiliser lAssistant Modlisation de stratgie de groupe dans la Console de gestion des stratgies de groupe. Cette mthode a pour but de modliser les modifications de lenvironnement avant quelles ne soient rellement effectues. LAssistant Modlisation de stratgie de groupe calcule leffet net simul des objets de stratgie de groupe. Loutil Modlisation de stratgie de groupe simule galement des aspects tels que lappartenance au groupe de scurit ou lvaluation des filtres WMI, ainsi que les effets du dplacement des objets utilisateur ou ordinateur vers une autre unit dorganisation ou un autre site. Lorsque vous utilisez lAssistant Modlisation de stratgie de groupe, vous pouvez galement spcifier la dtection de liaison lente, le traitement en boucle ou les deux. Le processus de modlisation de stratgie de groupe sexcute sur un contrleur de domaine dans votre domaine Active Directory. Comme lAssistant ninterroge jamais lordinateur client, il ne prend pas en compte les stratgies locales.

Cration et configuration dune stratgie de groupe

5-35

Question : quelles simulations pouvez-vous effectuer laide de lAssistant Modlisation de stratgie de groupe ? Slectionnez toutes les rponses possibles. a. b. c. Traitement en boucle Dplacement dun utilisateur vers un autre domaine de la mme fort Filtrage par groupe de scurit

d. Dtection des liaisons lentes e. f. Filtres WMI Toutes les propositions

Lectures complmentaires
Article Microsoft Technet : Utilisation de la modlisation de stratgie de groupe et des Rsultats de stratgie de groupe pour valuer les paramtres de stratgie de groupe (ventuellement en anglais)

5-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Comment valuer lapplication des objets de stratgie de groupe

Question : un utilisateur signale quil ne parvient pas accder au Panneau de configuration, alors que dautres utilisateurs du mme service y parviennent. Quels outils pouvez-vous utiliser pour rsoudre ce problme ?

Cration et configuration dune stratgie de groupe

5-37

Leon 4 :

Gestion des objets de stratgie de groupe

La Console de gestion des stratgies de groupe fournit des mcanismes pour la sauvegarde, la restauration, la migration et la copie des objets de stratgie de groupe existants. Ces mcanismes sont trs importants pour la prservation de vos dploiements de stratgie de groupe en cas derreur ou dincident. Ils vous permettent dviter la recration manuelle des objets stratgie de groupe perdus ou endommags et une nouvelle mise en uvre des phases de planification, de test et de dploiement. Une partie de votre plan doprations de stratgie de groupe en cours doit inclure des sauvegardes rgulires de tous les objets de stratgie de groupe. La Console de gestion des stratgies de groupe fournit galement des mcanismes de copie et dimportation des objets de stratgie de groupe partir du mme domaine et de domaines diffrents.

5-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tches de gestion des objets de stratgie de groupe

Points cls
Tout comme les donnes critiques et les ressources lies Active Directory, vous devez sauvegarder les objets de stratgie de groupe pour protger leur intgrit et celle des services de domaine Active Directory. La Console de gestion des stratgies de groupe fournit les options de sauvegarde et de restauration de base, mais galement un contrle supplmentaire sur les objets de stratgie de groupe des fins dadministration. Question : vous effectuez des sauvegardes rgulires des objets de stratgie de groupe. Un administrateur modifie par inadvertance plusieurs paramtres dun objet de stratgie de groupe. Quelle est la mthode la plus rapide pour rsoudre ce problme ?

Cration et configuration dune stratgie de groupe

5-39

Lectures complmentaires
Bibliothque technique Windows Server : Sauvegarde, restauration, migration et copie dobjets de stratgie de groupe (ventuellement en anglais) Article Microsoft Technet : Importation laide de la Console de gestion des stratgies de groupe (ventuellement en anglais)

5-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description de lobjet de stratgie de groupe Starter

Points cls
Les objets de stratgie de groupe Starter stockent une collection de paramtres de la stratgie de modles dadministration dans un seul objet. Ils contiennent uniquement des modles dadministration. Vous pouvez les importer et les exporter pour les distribuer dans dautres zones de votre entreprise. Lorsque vous crez un nouvel objet de stratgie de groupe partir dun objet de stratgie de groupe Starter, le nouvel objet rcupre tous les paramtres du modle dadministration que lobjet de stratgie de groupe Starter avait dfini. On peut dire que les objets de stratgie de groupe Starter fonctionnent comme des modles pour la cration dobjets de stratgie de groupe, contribuant ainsi maintenir la cohrence dans des environnements distribus.

Cration et configuration dune stratgie de groupe

5-41

Les objets de stratgie de groupe Starter peuvent tre exports dans des fichiers .cab des fins de simplification de la distribution. Vous pouvez ensuite rimporter ces fichiers .cab dans la Console de gestion des stratgies de groupe. Cette dernire stocke les objets stratgie de groupe Starter dans un dossier nomm StarterGPOs, situ dans SYSVOL.

Lectures complmentaires
Rubriques daide : Utilisation des objets de stratgie de groupe Starter

5-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Comment copier un objet de stratgie de groupe

Question : pourquoi est-il conseill de copier un objet de stratgie de groupe et de le lier une unit dorganisation plutt que de lier lobjet de stratgie de groupe dorigine plusieurs units dorganisation?

Cration et configuration dune stratgie de groupe

5-43

Dmonstration : Sauvegarde et restauration des objets de stratgie de groupe

Question : quelles autorisations sont ncessaires pour pouvoir sauvegarder un objet de stratgie de groupe ?

5-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Importation dun objet de stratgie de groupe

Question : quoi sert une table de migration ?

Cration et configuration dune stratgie de groupe

5-45

Migration des objets de stratgie de groupe

Points cls
Loutil Migrateur ADMX vous permet de convertir des modles ADM personnaliss en modles ADMX. Le fichier ADML associ est galement cr. Les fichiers convertis sont enregistrs dans le dossier des documents de lutilisateur par dfaut. Lorsque vous avez cr les nouveaux fichiers, copiez le fichier ADMX dans le dossier PolicyDefinitions ou dans le magasin central, puis copiez le fichier ADML dans le sous-dossier appropri. Les nouveaux modles dadministration deviennent alors disponibles dans la Console de gestion des stratgies de groupe.

Lectures complmentaires
Site Web Microsoft : Outil de migration ADMX (ventuellement en anglais)

5-46

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 5 :

Dlgation du contrle dadministration des objets Stratgie de groupe

Dans un environnement distribu, il est courant davoir des groupes dlgus qui effectuent des tches dadministration diverses. La gestion de la stratgie de groupe est lune des tches dadministration que vous pouvez dlguer.

Cration et configuration dune stratgie de groupe

5-47

Options de dlgation du contrle des objets de stratgie de groupe

Points cls
La dlgation permet de rpartir la charge de travail dadministration au sein de lentreprise. Un groupe peut tre charg de la cration et de la modification des objets de stratgie de groupe pendant quun autre effectue des tches de cration de rapports et danalyse. Enfin, un autre groupe peut tre charg des filtres WMI. Les tches de stratgie de groupe suivantes peuvent tre dlgues de manire indpendante : Cration dobjets de stratgie de groupe Modification dobjets de stratgie de groupe Gestion des liens dobjets de stratgie de groupe pour un site, un domaine ou une unit dorganisation Analyses de modlisation des stratgies de groupe sur un domaine ou une unit dorganisation spcifique

5-48

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lecture des donnes des Rsultats de stratgie de groupe pour des objets dun domaine ou dune unit dorganisation spcifique Cration des filtres WMI dans un domaine

Question : vous effectuez des sauvegardes rgulires des objets de stratgie de groupe. Un administrateur modifie par inadvertance plusieurs paramtres dun objet de stratgie de groupe. Quelle est la mthode la plus rapide pour rsoudre ce problme ?

Lectures complmentaires
Article Microsoft Technet : Dlgation de stratgie de groupe (ventuellement en anglais)

Cration et configuration dune stratgie de groupe

5-49

Dmonstration : Comment dlguer le contrle administratif des objets de stratgie de groupe

Question : un utilisateur situ dans un autre domaine de la fort doit se voir accorder lautorisation de crer des objets de stratgie de groupe dans votre domaine. Quelle est la meilleure mthode pour y parvenir ?

5-50

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Cration et configuration dobjets Stratgie de groupe

Scnario
La Woodgrove Bank a dcid dimplmenter une stratgie de groupe pour grer les bureaux des utilisateurs et configurer la scurit des ordinateurs. La banque a dj mis en place une configuration dunits dorganisation qui intgre des units dorganisation de niveau suprieur par emplacement, auxquelles sajoutent des dunits dorganisation supplmentaires dans chaque unit dorganisation pour des services distincts. Les comptes dutilisateur se trouvent dans le mme conteneur que leurs comptes dordinateur station de travail. Les comptes dordinateurs serveur sont rpartis dans diffrentes units dorganisation.

Cration et configuration dune stratgie de groupe

5-51

Ladministrateur de lentreprise a cr un plan de dploiement des objets de stratgie de groupe. Vous avez t charg de crer des objets de stratgie de groupe de faon ce que certaines stratgies puissent tre appliques tous les objets du domaine. Certaines stratgies sont obligatoires. Vous voulez galement crer des paramtres de stratgie qui sappliquent uniquement des sous-ensembles des objets du domaine, et vous voulez avoir des stratgies spares pour les paramtres ordinateur et les paramtres utilisateur. Vous devez dlguer ladministration des objets de stratgie de groupe aux administrateurs dans chaque site de la banque.
Remarque : certaines des tches de cet atelier pratique sont conues pour illustrer les techniques et les paramtres de gestion des objets de stratgie de groupe, et elles ne suivent pas toujours les meilleures pratiques.

Stratgie de groupe
Les utilisateurs du domaine ne peuvent pas accder au menu Excuter. La stratgie sapplique tous les utilisateurs lexception de ceux de lunit dorganisation IT Admin. Les cadres ne peuvent pas accder aux paramtres daffichage du bureau. Les utilisateurs des succursales de New York, Miami et Toronto ne peuvent pas accder au Panneau de configuration. Cette restriction ne sapplique pas lensemble des directeurs de succursale. Tous les ordinateurs du domaine ont une stratgie de scurit de base obligatoire applique qui naffiche pas le nom du dernier utilisateur ayant ouvert une session. Les ordinateurs excutant Windows Vista ou Windows XP ont des paramtres supplmentaires appliqus pour attendre le rseau au dmarrage. Les utilisateurs du groupe Administrateurs ont dans leurs Favoris lURL du support technique de Microsoft. Les ordinateurs faisant office de bornes dans les succursales ont le traitement en boucle activ.

5-52

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Cration et configuration des objets de stratgie de groupe


Vous allez crer et lier les objets de stratgie de groupe spcifis dans le plan de ladministrateur de lentreprise. Les tches comprennent la modification de la stratgie de domaine par dfaut et la cration de stratgies lies des units dorganisation et des sites spcifiques. Les principales tches sont les suivantes : 1. 2. 3. 4. Dmarrer et ouvrir une session sur lordinateur NYC-DC1. Crer les objets de stratgie de groupe. Configurer les objets de stratgie de groupe. Lier les objets de stratgie de groupe.

Tche 1 : Dmarrer et ouvrir une session sur lordinateur NYC-DC1.


1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer. Ouvrez une session sur lordinateur NYC-DC1 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4.

Tche 2 : Crer les objets de stratgie de groupe.


Utilisez la Console de gestion des stratgies de groupe pour effectuer les oprations suivantes : crer un objet de stratgie de groupe appel Restreindre le Panneau de configuration ; crer un objet de stratgie de groupe appel Restreindre laffichage du Bureau ; crer un objet de stratgie de groupe appel Restreindre la commande Excuter ;

Cration et configuration dune stratgie de groupe

5-53

crer un objet de stratgie de groupe appel Scurit de base ; crer un objet de stratgie de groupe appel Scurit Vista et XP ; crer un objet de stratgie de groupe appel Favoris Admin ; crer un objet de stratgie de groupe appel Scurit des bornes informatiques.

Tche 3 : Configurer les objets de stratgie de groupe.


1. 2. 3. Modifiez lobjet de stratgie de groupe Restreindre la commande Excuter pour empcher laccs au menu Excuter. Modifiez lobjet de stratgie de groupe Scurit de base de sorte que le nom du dernier utilisateur ayant ouvert une session ne soit pas affich. Modifiez lobjet de stratgie de groupe Scurit du serveur pour que les administrateurs naient pas dinvite de contrle de compte dutilisateur sur les ordinateurs excutant Windows Server 2008. Modifiez lobjet de stratgie de groupe Favoris Admin pour inclure lURL du support technique de Microsoft (http://support.microsoft.com) dans les Favoris Internet. Modifiez lobjet de stratgie de groupe Restreindre le Panneau de configuration pour empcher les utilisateurs daccder au Panneau de configuration. Modifiez lobjet de stratgie de groupe Restreindre laffichage du Bureau pour interdire laccs aux paramtres daffichage du Bureau. Modifiez lobjet de stratgie de groupe Scurit des bornes informatiques pour utiliser le traitement en boucle et pour masquer et dsactiver tous les lments du Bureau pour lutilisateur ayant ouvert une session.

4.

5. 6. 7.

5-54

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 4 : Lier les objets de stratgie de groupe.


Utilisez la Console de gestion des stratgies de groupe pour effectuer les oprations suivantes : lier lobjet de stratgie de groupe Restreindre la commande Excuter au conteneur de domaine ; lier lobjet de stratgie de groupe Scurit de base au conteneur de domaine ; lier lobjet de stratgie de groupe Scurit Vista et XP au conteneur de domaine ; lier lobjet de stratgie de groupe Scurit ordinateur borne au conteneur de domaine ; lier lobjet de stratgie de groupe Favoris Admin lunit dorganisation Admin ; lier lobjet de stratgie de groupe Restreindre le Panneau de configuration aux units dorganisation NYC, Miami et Toronto ; lier lobjet de stratgie de groupe Restreindre laffichage du Bureau lunit dorganisation Executives.

Rsultat : au terme de cet exercice, vous serez en mesure de crer et de configurer des objets de stratgie de groupe.

Cration et configuration dune stratgie de groupe

5-55

Exercice 2 : Gestion de ltendue de lapplication dun objet de stratgie de groupe


Dans cet exercice, vous allez configurer ltendue des paramtres de lobjet de stratgie de groupe en fonction du plan de ladministrateur dentreprise. Les tches comprennent la dsactivation de parties des objets de stratgie de groupe, le blocage et lapplication de lhritage ainsi que lapplication du filtrage bas sur les groupes de scurit et les filtres WMI. Les principales tches sont les suivantes : 1. 2. 3. 4. 5. 6. Configurer la gestion de la stratgie de groupe pour le conteneur de domaine. Configurer la gestion de la stratgie de groupe pour lunit dorganisation IT Admin. Configurer la gestion de la stratgie de groupe pour les units dorganisation de succursale. Crer et appliquer un filtre WMI pour lobjet de stratgie de groupe Scurit du serveur. Vrifier linstallation du contrleur de domaine. Configurer une stratgie de rplication de mots de passe permettant la mise en cache des informations didentification pour tous les comptes dutilisateur Toronto. Vrifier que la stratgie de rplication de mot de passe a activ la mise en cache des informations didentification.

7.

Tche 1 : Configurer la gestion de la stratgie de groupe pour le conteneur de domaine.


1. 2. 3. Affectez au lien de Scurit de base la valeur Appliqu, puis dsactivez la partie Utilisateur de la stratgie. Affectez au lien de Scurit Vista et XP la valeur Appliqu. Utilisez le filtrage par appartenance au groupe de scurit pour que lobjet de stratgie de groupe Scurit des bornes informatiques sapplique uniquement au groupe global Bornes informatiques.

5-56

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Configurer la gestion de la stratgie de groupe pour lunit dorganisation IT Admin.


Bloquez lhritage dans lunit dorganisation IT Admin pour que lobjet de stratgie de groupe Restreindre la commande Excuter ne soit pas appliqu aux administrateurs informatiques.

Tche 3 : Configurer la gestion de la stratgie de groupe pour les units dorganisation de succursale.
Utilisez le filtrage par appartenance au groupe de scurit pour que lobjet de stratgie de groupe Restreindre le Panneau de configuration refuse lautorisation Appliquer la stratgie de groupe aux groupes suivants : Mia_BranchManagersGG NYC_BranchManagersGG Tor_BranchManagersGG

Rsultat : au terme de cet exercice, vous serez en mesure de configurer ltendue des paramtres de lobjet de stratgie de groupe.

Cration et configuration dune stratgie de groupe

5-57

Exercice 3 : Vrification de lapplication des objets de stratgie de groupe


Dans cet exercice, vous allez tester lapplication des objets de stratgie de groupe pour vrifier quils sont appliqus conformment au plan de conception. Les stagiaires ouvriront une session en tant quutilisateurs spcifiques, puis utiliseront les outils Modlisation de stratgie de groupe et RSoP pour vrifier que les objets stratgie de groupe sont appliqus correctement. Les principales tches sont les suivantes : 1. 2. 3. 4. 5. 6. 7. Dmarrer lordinateur NYC-CL1. Vrifier quun utilisateur de la succursale de Miami reoit la stratgie correcte. Vrifier quun directeur de la succursale de Miami reoit la stratgie correcte. Vrifier quun utilisateur de lunit dorganisation IT Admin reoit la stratgie correcte. Vrifier quun utilisateur de lunit dorganisation Executive reoit la stratgie correcte. Vrifier que le nom dutilisateur napparat pas. Utiliser loutil Modlisation de stratgie de groupe pour tester les paramtres de lordinateur borne.

Tche 1 : Dmarrer lordinateur NYC-CL1. Tche 2 : Vrifier quun utilisateur de la succursale de Miami reoit la stratgie correcte.
1. 2. 3. 4. Ouvrez une session sur lordinateur NYC-CL1 en tant quAntoine avec le mot de passe Pa$$w0rd. Vrifiez quil nexiste aucun lien vers le menu Excuter dans le dossier Accessoires du menu Dmarrer. Vrifiez quil nexiste aucun lien vers le Panneau de configuration du menu Dmarrer. Fermez la session.

5-58

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Vrifier quun directeur de la succursale de Miami reoit la stratgie correcte.


1. 2. 3. 4. Ouvrez une session sur lordinateur NYC-CL1 en tant que Raoul avec le mot de passe Pa$$w0rd. Vrifiez quil nexiste aucun lien vers le menu Excuter dans le dossier Accessoires du menu Dmarrer. Vrifiez quun lien vers le Panneau de configuration apparat dans le menu Dmarrer. Fermez la session.

Tche 4 : Vrifier quun utilisateur de lunit dorganisation IT Admin reoit la stratgie correcte.
1. 2. 3. 4. 5. Ouvrez une session sur lordinateur NYC-CL1 en tant que Florence avec le mot de passe Pa$$w0rd. Vrifiez quun lien vers le menu Excuter apparat dans le dossier Accessoires du menu Dmarrer. Vrifiez quun lien vers le Panneau de configuration apparat dans le menu Dmarrer. Lancez Internet Explorer, ouvrez les Favoris, puis vrifiez que le lien vers le Support technique apparat. Fermez la session.

Tche 5 : Vrifier quun utilisateur de lunit dorganisation Executive reoit la stratgie correcte.
1. 2. 3. Ouvrez une session sur lordinateur NYC-CL1 en tant que Laurent avec le mot de passe Pa$$w0rd. Vrifiez quil nexiste aucun lien vers le menu Excuter dans le dossier Accessoires du menu Dmarrer. Vrifiez quun lien vers le Panneau de configuration saffiche dans le menu Dmarrer.

Cration et configuration dune stratgie de groupe

5-59

4.

Vrifiez quil ny a aucun accs vers les paramtres daffichage du bureau.

Conseil : lorsque vous tentez daccder aux paramtres daffichage, vous recevez un message vous informant que cette fonction a t dsactive.

5.

Fermez la session.

Tche 6 : Vrifier que le nom dutilisateur napparat pas.


Vrifiez que le nom du dernier utilisateur qui a ouvert une session napparat pas.

Tche 7 : Utiliser loutil Modlisation de stratgie de groupe pour tester les paramtres de lordinateur borne.
1. 2. Ouvrez une session sur lordinateur NYC-DC1 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Lancez la Console de gestion des stratgies de groupe, cliquez avec le bouton droit sur le dossier Modlisation de stratgie de groupe, cliquez sur Assistant Modlisation de stratgie de groupe, puis sur Suivant deux reprises. Dans lcran Slection dordinateurs et dutilisateurs, cliquez sur Ordinateur, tapez Woodgrovebank\NYC-CL1, puis cliquez sur Suivant trois reprises. Dans lcran Groupe de scurit ordinateur, cliquez sur Ajouter. Dans la bote de dialogue Slectionner des groupes, tapez Bornes informatiques, puis cliquez sur Suivant. Dans lcran Filtres WMI pour Ordinateurs, cliquez sur Suivant deux reprises, puis sur Terminer pour afficher le rapport.
Rsultat : au terme de cet exercice, vous serez en mesure de tester et de vrifier une application des objets de stratgie de groupe.

3. 4. 5. 6.

5-60

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 4 : Gestion des objets de stratgie de groupe


Dans cet exercice, vous allez utiliser la Console de gestion des stratgies de groupe pour sauvegarder, restaurer et importer des objets de stratgie de groupe. Les principales tches sont les suivantes : 1. 2. 3. 4. Sauvegarder une stratgie individuelle. Sauvegarder tous les objets de stratgie de groupe. Supprimer et restaurer un objet de stratgie de groupe individuel. Importer un objet de stratgie de groupe.

Tche 1 : Sauvegarder une stratgie individuelle.


1. 2. 3. 4. Dans la Console de gestion des stratgies de groupe, ouvrez le dossier Objets de stratgie de groupe. Cliquez avec le bouton droit sur la stratgie Restreindre le Panneau de configuration, puis cliquez sur Sauvegarder. Accdez au dossier D:\6238\GPObackup. Cliquez sur Sauvegarder, puis sur OK une fois la sauvegarde termine.

Tche 2 : Sauvegarder tous les objets de stratgie de groupe.


1. 2. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Sauvegarder tout. Vrifiez que lemplacement D:\6238\GPObackup correspond lemplacement de sauvegarde. Confirmez la suppression.

Tche 3 : Supprimer et restaurer un objet de stratgie de groupe individuel.


1. Cliquez avec le bouton droit sur la stratgie Favoris Admin, puis cliquez sur Supprimer. Cliquez sur Oui, puis sur OK lorsque la suppression a t effectue. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Grer les sauvegardes.

2.

Cration et configuration dune stratgie de groupe

5-61

3. 4.

Restaurez lobjet de stratgie de groupe Favoris Admin. Vrifiez que la stratgie Favoris Admin saffiche dans le dossier Objets de stratgie de groupe.

Tche 4 : Importer un objet de stratgie de groupe.


1. 2. 3. 4. 5. 6. 7. 8. Crez un nouvel objet de stratgie de groupe appel Importer dans le dossier Objets de stratgie de groupe. Cliquez avec le bouton droit sur lobjet de stratgie de groupe Importer, puis cliquez sur Importer des paramtres. Dans lAssistant Importation des paramtres, cliquez sur Suivant. Dans la fentre Objet de stratgie de groupe de sauvegarde, cliquez sur Suivant. Vrifiez que lemplacement du dossier de sauvegarde est D:\6238\GPObackup. Dans lcran Objet de stratgie de groupe source, cliquez sur Restreindre le Panneau de configuration, puis sur Suivant. Terminez lexcution de lAssistant Importation des paramtres. Cliquez sur lobjet de stratgie de groupe Importer, slectionnez longlet Paramtres, puis vrifiez que le paramtre de restriction daccs au Panneau de configuration est Activ.
Rsultat : au terme de cet exercice, vous serez en mesure de sauvegarder, de restaurer et dimporter des objets de stratgie de groupe.

5-62

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 5 : Dlgation du contrle administratif des objets de stratgie de groupe


Dans cet exercice, vous allez dlguer le contrle administratif des objets de stratgie de groupe conformment au plan de conception de ladministrateur dentreprise. Les tches comprennent la configuration des autorisations pour crer, modifier et lier des objets de stratgie de groupe. Vous testerez ensuite la configuration des autorisations. Les principales tches sont les suivantes : 1. 2. 3. 4. 5. 6. Octroyer Florence lautorisation de crer des objets de stratgie de groupe dans le domaine. Dlguer lautorisation de modifier lobjet de stratgie de groupe Importer Florence. Dlguer lautorisation de lier les objets de stratgie de groupe de lunit dorganisation Cadre Florence. Activer le groupe Utilisateurs du domaine pour ouvrir une session sur les contrleurs de domaine. Tester la dlgation. Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.

Tche 1 : Octroyer Florence lautorisation de crer des objets de stratgie de groupe dans le domaine.
1. 2. Slectionnez le dossier Objets de stratgie de groupe, cliquez sur longlet Dlgation, puis sur Ajouter. Dans la bote de dialogue Slectionnez des utilisateurs, tapez Florence dans le champ de nom Objet, puis cliquez sur OK.

Cration et configuration dune stratgie de groupe

5-63

Tche 2 : Dlguer lautorisation de modifier lobjet de stratgie de groupe Importer Florence.


1. 2. 3. Dans le dossier Objets de stratgie de groupe, slectionnez lobjet de stratgie de groupe Importer, cliquez sur longlet Dlgation, puis sur Ajouter. Dans la bote de dialogue Slectionnez des utilisateurs, tapez Florence dans le champ de nom Objet, puis cliquez sur OK. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, slectionnez Modifier les paramtres dans la liste droulante, puis cliquez sur OK.

Tche 3 : Dlguer lautorisation de lier les objets de stratgie de groupe de lunit dorganisation Executives Florence.
1. 2. 3. Slectionnez lunit dorganisation Executives, cliquez sur longlet Dlgation, puis sur Ajouter. Dans la bote de dialogue Slectionnez des utilisateurs, tapez Florence dans le champ de nom Objet, puis cliquez sur OK. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, slectionnez Ce conteneur seulement, puis cliquez sur OK.

Tche 4 : Activer le groupe Utilisateurs du domaine pour ouvrir une session sur les contrleurs de domaine.
Remarque : cette tape a t intgre latelier pour vous aider tester les autorisations dlgues. En rgle gnrale, il est prfrable dinstaller les outils dadministration sur une station de travail Windows plutt que de permettre aux utilisateurs du domaine de se connecter aux contrleurs du domaine.

1. 2. 3.

Sur NYC-DC1, dmarrez Gestion des stratgies de groupe, puis modifiez la Stratgie Contrleurs de domaine par dfaut. Dans la fentre diteur de gestion des stratgies de groupe, accdez au dossier Attribution des droits utilisateur. Double-cliquez sur Autoriser louverture dune session locale. Dans la bote de dialogue Proprits de Autoriser louverture dune session locale, cliquez sur Ajouter un utilisateur ou un groupe.

5-64

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

4. 5.

Accordez au groupe Utilisateurs du domaine le droit douvrir une session locale. Ouvrez une invite de commandes, tapez GPUpdate /force, puis appuyez sur Entre.

Tche 5 : Tester la dlgation.


1. 2. 3. 4. 5. 6. 7. 8. Ouvrez une session sur NYC-CL1 en tant que Florence Crez une Console de gestion des stratgies de groupe. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Nouveau. Crez une nouvelle stratgie appele Test. Cette opration doit russir. Cliquez avec le bouton droit sur lobjet de stratgie de groupe Importer, puis cliquez sur Modifier. Cette opration doit russir. Cliquez avec le bouton droit sur lunit dorganisation Executives, puis liez lobjet de stratgie de groupe Test celle-ci. Cette opration doit russir. Cliquez avec le bouton droit sur la stratgie Favoris Admin et essayez de la modifier. Cette opration est impossible. Fermez la console GPMC.

Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la zone Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous serez en mesure de sauvegarder, de restaurer et dimporter des objets de stratgie de groupe.

Cration et configuration dune stratgie de groupe

5-65

Rcapitulatif du module et objectifs

lments prendre en considration


Gardez les remarques suivantes lesprit lors de la cration et de la configuration dune stratgie de groupe : Objets de stratgie de groupe locale multiples Remplacement des fichiers ADMX et ADML par les fichiers ADM Mthodes de contrle de la stratgie de groupe : hritage, filtrage et application Outils de stratgie de groupe et rapports

5-66

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Questions du contrle des acquis


1. 2. Vous voulez forcer lapplication de certains paramtres de stratgie de groupe sur une liaison lente. Que pouvez-vous faire ? Vous devez vous assurer quune stratgie de niveau domaine est applique tous les groupes, lexception du groupe global Directeurs. Comment pouvezvous atteindre cet objectif ? Vous souhaitez que certains modles dadministration soient activs dans tous les objets de stratgie de groupe contenant des paramtres utilisateur. Vous devez tre en mesure denvoyer ces stratgies dautres administrateurs de lentreprise. Quelle est la meilleure approche ? Vous souhaitez contrler laccs aux priphriques de stockage amovibles sur toutes les stations de travail clientes via la stratgie de groupe. Pouvez-vous utiliser la stratgie de groupe pour y parvenir ?

3.

4.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-1

Module 6.
Configuration des environnements utilisateur laide dune stratgie de groupe
Table des matires :
Leon 1 : Configuration de paramtres de stratgie de groupe Leon 2 : Configuration de scripts et redirection de dossiers laide dune stratgie de groupe Leon 3 : Configuration des modles dadministration Leon 4 : Configuration des prfrences de stratgie de groupe Leon 5 : Dploiement de logiciels laide dune stratgie de groupe Atelier pratique : Configuration des environnements utilisateur laide dune stratgie de groupe 6-3 6-7 6-16 6-23 6-29 6-39

6-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

Ce module prsente le travail de configuration de lenvironnement utilisateur laide dune stratgie de groupe. Plus prcisment, ce module permet dacqurir les comptences et connaissances ncessaires pour utiliser une stratgie de groupe afin de configurer la redirection de dossiers et explique comment utiliser les scripts. Vous allez aussi apprendre comment les modles dadministration affectent Windows Vista et Windows Server 2008, et dployer des logiciels laide dune stratgie de groupe.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-3

Leon 1 :

Configuration de paramtres de stratgie de groupe

La fonction Stratgie de groupe peut fournir de nombreux types de paramtres. Si certains dentre eux ne requirent quune simple activation, dautres sont plus complexes configurer. Cette leon dcrit comment configurer les divers paramtres de stratgie de groupe.

6-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Options de configuration des paramtres de stratgie de groupe

Points cls
Pour quun paramtre de stratgie de groupe ait un effet, vous devez le configurer. La plupart des paramtres de stratgie de groupe ont trois tats, savoir : Activ Dsactiv Non configur

Vous devez galement configurer les valeurs de certains paramtres de stratgie de groupe. Par exemple, vous devez configurer les valeurs dappartenance un groupe restreint pour les groupes et les utilisateurs.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-5

Question : Une stratgie au niveau du domaine restreint laccs au Panneau de configuration. Vous souhaitez que les utilisateurs de lunit dorganisation (UO) Admin puissent avoir accs au Panneau de configuration, mais vous ne souhaitez pas bloquer lhritage. Comment allez-vous vous y prendre ?

Lectures complmentaires
Article Microsoft Technet : Comment fonctionne la stratgie de groupe de base ?

6-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration des paramtres de stratgie de groupe laide de lditeur de stratgie de groupe

Question : Comment pouvez vous empcher une stratgie de niveau infrieur dinverser le paramtrage dune stratgie de niveau suprieur ?

Configuration des environnements utilisateur laide dune stratgie de groupe

6-7

Leon 2 :

Configuration de scripts et redirection de dossiers laide dune stratgie de groupe

Windows Server 2008 vous permet dutiliser une stratgie de groupe afin de dployer des scripts pour des utilisateurs et des ordinateurs. Vous pouvez galement rediriger vers un serveur central des dossiers des disques durs locaux de lutilisateur que son profil utilisateur inclut.

6-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des scripts de stratgie de groupe

Points cls
Vous pouvez utiliser des scripts de stratgie de groupe pour effectuer un certain nombre de tches. Par exemple, des actions qui doivent tre effectues chaque fois quun ordinateur dmarre ou sarrte, ou que des utilisateurs se connectent ou se dconnectent. Par exemple, vous pouvez utiliser des scripts pour nettoyer les bureaux lorsque les utilisateurs se dconnectent et arrtent leur ordinateur, ou pour supprimer le contenu des rpertoires temporaires, ou encore pour effacer le fichier dchange afin de scuriser lenvironnement. Question : Vous conservez des scripts douverture de session dans un dossier partag sur le rseau. Comment vous assurer que les scripts seront toujours disponibles pour les utilisateurs, depuis nimporte quel emplacement ?

Configuration des environnements utilisateur laide dune stratgie de groupe

6-9

Lectures complmentaires
Article Microsoft Technet : Les deux aspects du traitement de lextension des scripts de stratgie de groupe (ventuellement en anglais) Article Microsoft Technet : Les deux aspects du traitement de lextension des scripts de stratgie de groupe (deuxime partie) (ventuellement en anglais) Support technique Microsoft : Prsentation des scripts douverture de session, de fermeture de session, de dmarrage et darrt dans Windows 2000 (ventuellement en anglais)

6-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration de scripts avec la stratgie de groupe

Question : Quelle autre mthode pouvez-vous utiliser pour attribuer des scripts douverture de session aux utilisateurs ?

Configuration des environnements utilisateur laide dune stratgie de groupe

6-11

Description de la redirection de dossiers

Points cls
Lorsque vous redirigez des dossiers, vous changez leur emplacement sur le disque dur local de lordinateur de lutilisateur par un dossier partag sur un serveur de fichiers du rseau. Aprs avoir redirig un dossier vers un serveur de fichiers, celuici reste visible lutilisateur comme sil rsidait encore sur son disque dur local. La fonction Redirection de dossiers facilite ladministration et la sauvegarde des donnes. En redirigeant les dossiers, vous garantissez laccs de lutilisateur aux donnes indpendamment de lordinateur sur lequel il ouvre une session. Question : Rpertoriez quelques inconvnients lis la redirection de dossiers.

6-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Article Microsoft Technet : Fonction de redirection de dossiers dans Windows MSDN : IE7 dans Vista : Redirection de dossiers avec Favoris sur le mme ordinateur (ventuellement en anglais) Tlchargement Microsoft : Guide de dploiement - Gestion des donnes dutilisateurs itinrants

Configuration des environnements utilisateur laide dune stratgie de groupe

6-13

Options de configuration de la redirection de dossiers

Points cls
Trois paramtres sappliquent la redirection de dossiers : Non configur, De base et Avanc. La redirection de base est destine aux utilisateurs qui doivent rediriger leurs dossiers vers une zone commune ou qui souhaitent garantir la confidentialit de leurs donnes. La redirection avance vous permet de spcifier des emplacements rseau diffrents pour diffrents groupes de scurit Active Directory. Question : Les utilisateurs du mme service se connectent souvent des ordinateurs diffrents. Ils doivent accder leur dossier Mes documents. La confidentialit des donnes doit galement tre respecte. Quel paramtre de redirection de dossiers choisiriez-vous ?

Lectures complmentaires
Article Microsoft Technet : Recommandations pour la redirection de dossiers (ventuellement en anglais)

6-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Options de scurisation des dossiers redirigs

Points cls
Si vous devez crer manuellement un dossier rseau partag pour y stocker les dossiers redirigs, la fonction de redirection des dossiers peut crer pour vous les dossiers redirigs par les utilisateurs. Dans ce cas, les autorisations appropries sont automatiquement configures. Si vous crez manuellement les dossiers, vous devez connatre les autorisations appropries. Question : Quelles tapes pouvez-vous suivre pour protger les donnes pendant leur transfert entre le client et le serveur ?

Lectures complmentaires
Support technique Microsoft : Fonction de redirection de dossiers dans Windows Bibliothque Windows Server : Considrations en matire de scurit pour la configuration de la redirection des dossiers

Configuration des environnements utilisateur laide dune stratgie de groupe

6-15

Dmonstration : Configuration de la redirection de dossiers

Question : Les utilisateurs du mme service souhaitent que les favoris Internet de chacun soient accessibles tous au sein du service. Quelles options de redirection de dossiers choisiriez-vous ?

6-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 3 :

Configuration des modles dadministration

Les fichiers des modles dadministration fournissent la majorit des paramtres de stratgie disponibles, conus pour modifier des cls de Registre spcifiques. Cette fonctionnalit est appele stratgie base sur le Registre. Pour de nombreuses applications, lutilisation de la stratgie base sur le Registre offerte par les modles dadministration est le moyen le plus simple de prendre en charge la gestion centralise des paramtres de stratgie. Dans cette leon, vous allez apprendre configurer des modles dadministration.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-17

Description des modles dadministration

Points cls
Les modles dadministration vous permettent de contrler lenvironnement du systme dexploitation et lexprience de lutilisateur. Il existe deux ensembles de modles dadministration : lun destin aux utilisateurs et lautre aux ordinateurs. Les modles dadministration sont le principal moyen de configurer les paramtres de Registre de lordinateur client via la stratgie de groupe. Les modles dadministration sont un rfrentiel de modifications lies au Registre. En utilisant les sections des modles dadministration de lobjet de stratgie de groupe, vous pouvez dployer des centaines de modifications sur les portions ordinateur (la ruche HKEY_LOCAL_MACHINE dans le Registre) et utilisateur (la ruche HKEY_CURRENT_USER dans le Registre) du Registre. Question : Quelles sections des modles dadministration trouverez-vous les plus utiles dans votre environnement ?

6-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Article Microsoft Technet : Utilisation des modles dadministration avec une stratgie de groupe base sur le Registre (ventuellement en anglais) Article Microsoft Technet : Rfrence technique de lextension des modles dadministration (ventuellement en anglais)

Configuration des environnements utilisateur laide dune stratgie de groupe

6-19

Dmonstration : Configuration des modles dadministration

Question : Vous devez veiller ce que Windows Messenger nest jamais autoris sexcuter sur un ordinateur particulier. Comment utiliseriez-vous les modles dadministration pour ce faire ?

6-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Modification des modles dadministration

Points cls
Dans la mesure o les fichiers ADMX sont bass sur XML, vous pouvez les modifier ou en crer de nouveaux laide de nimporte quel diteur de texte. Toutefois, il existe galement des programmes compatibles avec XML (tels que Microsoft Visual Studio) que les administrateurs ou les dveloppeurs peuvent utiliser pour crer ou modifier des fichiers ADMX. Une fois le fichier ADMX au point, il suffit de le placer dans le dossier Dfinitions de stratgies ou le magasin central, le cas chant.

Lectures complmentaires
Article Microsoft Technet : Cration dun fichier ADMX de base personnalis (ventuellement en anglais) Tlchargements Microsoft : Fichiers ADMX dexemple de stratgie de groupe (ventuellement en anglais)

Configuration des environnements utilisateur laide dune stratgie de groupe

6-21

Dmonstration : Ajout de modles dadministration pour les applications Office

Question : Pouvez-vous encore utiliser des fichiers ADM personnaliss pour produire des paramtres de stratgie de groupe dans Windows Server 2008 ?

6-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Discussion : Options dutilisation des modles dadministration

Configuration des environnements utilisateur laide dune stratgie de groupe

6-23

Leon 4 :

Configuration des prfrences de stratgie de groupe

De nombreux paramtres communs, qui affectent lutilisateur et lenvironnement informatique, nont pas pu tre fournis par le biais de la stratgie de groupe (par exemple, des lecteurs mapps). Ces paramtres sont gnralement fournis par le biais de scripts douverture de session ou de solutions dimagerie. Windows Server 2008 inclut les nouvelles prfrences de stratgie de groupe intgres la Console de gestion des stratgies de groupe (GPMC). De plus, les administrateurs peuvent configurer des prfrences en installant les Outils dadministration de serveur distant (RSAT) sur un ordinateur qui excute Windows Vista Service Pack 1 (SP1). Cela permet de fournir de nombreux paramtres communs par le biais de la stratgie de groupe.

6-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des prfrences de stratgie de groupe

Points cls
Les extensions des prfrences de stratgie de groupe comptent plus de vingt extensions, qui tendent la gamme des paramtres configurables dans un objet de stratgie de groupe. La principale diffrence entre les paramtres de stratgie et les paramtres de prfrence est que les paramtres de prfrence ne sont pas mis en uvre. Cela signifie que lutilisateur final peut modifier le paramtre de prfrence qui est appliqu par le biais de la stratgie de groupe, mais les paramtres de stratgie empchent les utilisateurs de les modifier.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-25

Diffrence entre les paramtres de stratgie de groupe et les prfrences

Points cls La mise en uvre est la diffrence essentielle entre les prfrences et les paramtres de stratgie de groupe.

6-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnalits des prfrences de stratgie de groupe

Points cls
La plupart des extensions des prfrences de stratgie de groupe prennent en charge les actions ci-dessous pour chaque lment de prfrence : Crer. Crez un lment sur lordinateur cible. Supprimer. Supprimez un lment existant sur lordinateur cible. Remplacer. Supprimez et recrez un lment sur lordinateur cible. Le rsultat est que les prfrences de stratgie de groupe remplacent tous les paramtres existants et les fichiers associs llment de prfrence. Mettre jour Modifiez un lment existant sur lordinateur cible.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-27

Dploiement des prfrences de stratgie de groupe

Points cls
Les prfrences de stratgie de groupe ne requirent pas que vous installiez des services sur les serveurs. Windows Server 2008 inclut les prfrences de stratgie de groupe par dfaut dans le cadre de la Console de gestion des stratgies de groupe. Les administrateurs peuvent configurer et dployer des prfrences de stratgie de groupe dans un environnement Windows Server 2003 en installant les Outils dadministration de serveur distant sur un ordinateur qui excute Windows Vista avec SP1.

6-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Dploiement des prfrences de stratgie de groupe

Question : Vous avez dploy des prfrences de stratgie de groupe. Les utilisateurs signalent quils ne parviennent pas modifier certains de ces paramtres. Daprs vous, quelle est la cause du problme ?

Configuration des environnements utilisateur laide dune stratgie de groupe

6-29

Leon 5 :

Dploiement de logiciels laide dune stratgie de groupe

Windows Server 2008 comprend une fonctionnalit appele Installation et maintenance du logiciel qui utilise les services de domaines Active Directory, la stratgie de groupe et le service Windows Installer pour installer, maintenir et supprimer des logiciels sur les ordinateurs de votre organisation.

6-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Options de dploiement et de gestion des logiciels laide dune stratgie de groupe

Points cls
Le cycle de vie des logiciels est compos de quatre phases : prparation, dploiement, maintenance et suppression. Vous pouvez appliquer des paramtres de stratgie de groupe des utilisateurs ou des ordinateurs dans un site, un domaine ou une unit dorganisation pour automatiser les tches suivantes : installation, mise niveau ou suppression de logiciels. Lapplication de paramtres de stratgie de groupe des logiciels vous permet de grer les diverses phases du dploiement de logiciels sans dployer ceux-ci individuellement sur chaque ordinateur. Question : Quels types dapplications dploieriez-vous par le biais de la stratgie de groupe dans votre environnement ?

Configuration des environnements utilisateur laide dune stratgie de groupe

6-31

Lectures complmentaires
Support technique Microsoft : Comment utiliser une stratgie de groupe pour installer un logiciel distance dans Windows 2000 Article Microsoft Technet : Recours linstallation logicielle de la stratgie de groupe pour dployer le systme Office 2007 (ventuellement en anglais)

6-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Comment fonctionne la distribution logicielle ?

Points cls
Windows Server 2008 utilise le service Windows Installer pour permettre la stratgie de groupe de dployer et grer les logiciels. Ce composant automatise linstallation et la suppression dapplications en appliquant durant le processus dinstallation un jeu de rgles de configuration dfinies de faon centralise. Question : Quels sont certains des inconvnients lis au dploiement de logiciels laide de la stratgie de groupe ?

Lectures complmentaires
Support technique Microsoft : Comment utiliser une stratgie de groupe pour installer un logiciel distance dans Windows 2000

Configuration des environnements utilisateur laide dune stratgie de groupe

6-33

Options dinstallation de logiciels

Points cls
Il existe deux types de dploiement pour fournir des logiciels aux clients. Les administrateurs peuvent installer lavance les logiciels pour les utilisateurs ou permettre ceux-ci dinstaller au coup par coup les logiciels dont ils ont besoin. Les utilisateurs ne partagent pas les applications dployes, ce qui signifie quune application que vous installez pour un utilisateur via la stratgie de groupe ne sera pas disponible aux autres utilisateurs de cet ordinateur. Chaque utilisateur a besoin de sa propre instance de lapplication. Question : Quel est lun des avantages de la publication plutt que de lassignation dune application ?

Lectures complmentaires
Article Microsoft Technet : Prsentation de linstallation logicielle dune stratgie de groupe (ventuellement en anglais)

6-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration de la distribution de logiciels

Question : Quels types dapplications serait-il utile dassigner lordinateur plutt qu lutilisateur?

Configuration des environnements utilisateur laide dune stratgie de groupe

6-35

Options pour modifier la distribution de logiciels

Points cls
Linstallation logicielle dans la stratgie de groupe inclut des options de configuration de logiciels dploys. Vous pouvez classer par catgorie les programmes qui sont publis dans le Panneau de configuration et associer des extensions de nom de fichier des applications. Vous pouvez galement ajouter des modifications des logiciels dploys.

Lectures complmentaires
Article Microsoft Technet : Spcifier les catgories des applications grer (ventuellement en anglais) Article Microsoft Technet : Meilleures pratiques pour linstallation logicielle dune stratgie de groupe - Spcifier des options dinstallation automatique bases sur lextension de nom de fichier (ventuellement en anglais) Article Microsoft Technet : Ajouter ou supprimer des modifications pour un package dapplication (ventuellement en anglais)

6-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Modification de la distribution de logiciels

Question : Vous souhaitez dployer un utilitaire dadministration destination des membres du groupe de scurit Admins du domaine. Ces utilitaires doivent tre disponibles partir de nimporte quel ordinateur auquel un administrateur se connecte, mais ne doivent tre installs que lorsque cela est ncessaire. Quelle est la meilleure mthode pour y parvenir ?

Configuration des environnements utilisateur laide dune stratgie de groupe

6-37

Maintenance de logiciels laide dune stratgie de groupe

Points cls
De temps autre, un package doit tre mis niveau vers une version plus rcente. Longlet Mises niveau vous permet de mettre niveau un package en utilisant lobjet de stratgie de groupe. Vous pouvez galement redployer un package si le fichier Windows Installer dorigine a t modifi. Vous pouvez supprimer des packages logiciels sils ont t fournis lorigine laide de la stratgie de groupe. La suppression peut tre obligatoire ou facultative. Question : Votre organisation procde une mise niveau vers une version plus rcente dun package logiciel. Certains utilisateurs de lorganisation ncessitent lancienne version. Comment allez-vous dployer la mise niveau ?

Lectures complmentaires
Article Microsoft Technet : Dfinir les options par dfaut de linstallation logicielle de stratgie de groupe (ventuellement en anglais)

6-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Discussion : valuation de lutilisation de la stratgie de groupe pour dployer des logiciels

Question : Vous souhaitez dployer un utilitaire dadministration destination des membres du groupe de scurit Admins du domaine. Ces utilitaires doivent tre disponibles partir de nimporte quel ordinateur auquel un administrateur se connecte, mais ne doivent tre installs que lorsque cela est ncessaire. Quelle est la meilleure mthode pour y parvenir ?

Configuration des environnements utilisateur laide dune stratgie de groupe

6-39

Atelier pratique : Configuration des environnements utilisateur laide dune stratgie de groupe

Scnario
La Woodgrove Bank a dcid dimplmenter une stratgie de groupe pour grer les bureaux des utilisateurs. Lorganisation a dj implment une configuration dunit dorganisation (UO) qui inclut des units dorganisation de niveau suprieur regroupes par lieu, avec des units dorganisation supplmentaires dans chaque lieu pour les diffrents services. Les comptes dutilisateur et les comptes dordinateur de leurs stations de travail se trouvent dans le mme conteneur. Les comptes dordinateur des serveurs sont rpartis dans les diffrentes units dorganisation.

6-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Ladministrateur de lentreprise a conu un objet de stratgie de groupe qui servira grer lenvironnement de bureau de lutilisateur. Vous tes charg de configurer des objets de stratgie de groupe de sorte que des paramtres spcifiques soient appliqus aux ordinateurs et aux bureaux des utilisateurs.
Remarque : certaines des tches de cet atelier pratique sont conues pour illustrer les techniques et les paramtres de gestion des objets de stratgie de groupe, et elles ne suivent pas toujours les meilleures pratiques.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-41

Exercice 1 : Configuration de scripts et redirection de dossiers


Scnario
Vous avez t charg de crer un script qui mappe un lecteur rseau au dossier partag nomm Donnes (Data) sur NYC-DC1. Puis vous allez utiliser la stratgie de groupe pour attribuer le script tous les utilisateurs des units dorganisation de Toronto, Miami et New York. Le script doit tre stock dans un emplacement hautement disponible. Vous allez galement dfinir des autorisations pour partager et scuriser un dossier sur NYC-DC1. Le dossier Documents de tous les membres de lunit dorganisation Executives y sera redirig. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. Dmarrer les ordinateurs virtuels et ouvrir une session. Crer un script douverture de session pour mapper vers le dossier partag de donnes (Data). Utiliser la stratgie de groupe pour copier le script dans le partage NetLogon, puis attribuer le script aux units dorganisation appropries. Partager et scuriser un dossier pour le groupe Executives. Rediriger le dossier Documents pour le groupe Executives.

Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session.


1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, puis sur Microsoft Learning et cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4.

6-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Crer un script douverture de session pour mapper vers le dossier partag de donnes (Data).
1. 2. 3. 4. Dmarrez le Bloc-notes. Dans le Bloc-notes, tapez Net Use J: \\NYC-DC1\Data. Fermez et enregistrez le fichier en tant que C:\Map.bat. Vrifiez que le champ de type fichier Enregistrer sous est Tous les fichiers.

Tche 3 : Utiliser la stratgie de groupe pour copier le script dans le partage NetLogon, puis attribuer le script aux units dorganisation appropries.
1. 2. 3. Ouvrez une fentre Explorateur Windows, copiez C:\map.bat dans le Pressepapiers, puis fermez lExplorateur Windows. Lancez le GPMC, puis crez une nouvelle stratgie de groupe nomme Script douverture de session. Pour modifier la stratgie, dveloppez Configuration utilisateur, Paramtres Windows, puis cliquez sur Scripts (ouverture de session/fermeture de session). Ouvrez les proprits de lobjet de stratgie de groupe du Script douverture de session, cliquez sur Afficher les fichiers, cliquez avec le bouton droit et slectionnez Coller, pour copier le script partir du Presse-papiers dans le dossier Scripts, puis fermez lExplorateur. Dans la bote de dialogue Proprits de Ouverture de session, cliquez sur Ajouter. Dans la bote de dialogue Ajout dun Script, cliquez sur Parcourir. Dans la bote de dialogue Parcourir, slectionnez le fichier Map.bat. Fermez lditeur de gestion des stratgies de groupe. Liez la stratgie Script douverture de session aux units dorganisation Miami, New York et Toronto.

4.

5. 6. 7. 8. 9.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-43

Tche 4 : Partager et scuriser un dossier pour le groupe Executives.


1. 2. 3. 4. 5. 6. 7. Dans lExplorateur Windows, ouvrez les Proprits du dossier Executives. Cliquez sur longlet Partage, puis sur Partage avanc. Activez la case cocher Partager ce dossier, puis cliquez sur Autorisations. Supprimez le groupe Tout le monde. Ajoutez les groupes Executives Woodgrove GG, Rediriger le dossier Documents pour le groupe Executives et accordez-leur le Contrle total. Cliquez sur longlet Scurit, puis sur Avanc. Sous longlet Autorisations, cliquez sur Modifier, dsactivez la case cocher en regard de Inclure les autorisations hritables partir du parent de cet objet, puis copiez les autorisations. Supprimez tous les utilisateurs et groupes lexception de Crateur Propritaire et Systme. Ajoutez le groupe Executives_WoodgroveGG, puis attribuez les autorisations Liste du dossier/lecture de donnes et Cration de dossiers/ajout de donnes Ce dossier seulement.

8. 9.

10. Fermez les proprits, puis fermez lExplorateur Windows.

Tche 5 : Rediriger le dossier Documents pour le groupe Executives.


1. 2. Crez un objet de stratgie de groupe nomm Redirection des cadres. Modifiez la stratgie : dveloppez Configuration utilisateur, Stratgies, Paramtres Windows, Redirection de dossiers, cliquez avec le bouton droit sur Documents puis cliquez sur Proprits. Sous longlet Cible, rglez le paramtre de base sur de base (rediriger les dossiers de tous les utilisateurs vers le mme emplacement). Laissez le paramtrage par dfaut pour lemplacement du dossier cible, puis tapez \\NYC-DC1\Executives dans le champ Chemin daccs. Associez la stratgie lunit dorganisation Executives.
Rsultat : au terme de cet exercice, vous aurez configur des scripts et la redirection de dossiers.

3. 4. 5.

6-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Configuration des modles dadministration


Scnario
Vous avez t charg de crer et dattribuer des modles dadministration de stratgie de groupe pour contrler lenvironnement dordinateur et dutilisateur. Les paramtres suivants sappliqueront tous les ordinateurs : Autoriser ladministration distance entrante. Dtection de liaison lente dfinie sur 800 kbits/s.

Les ordinateurs des units dorganisation de Miami, Toronto et New York empcheront linstallation de priphriques amovibles. Les ordinateurs de lunit dorganisation Executives auront des fichiers hors connexion chiffrs. Les paramtres suivants sappliqueront tous les utilisateurs du domaine : Les outils de modification du Registre seront interdits. Lhorloge sera supprime de la barre des tches.

En outre, les paramtres suivants sappliqueront aux utilisateurs des units dorganisation de Miami, Toronto et New York : Les profils seront limits 1 Gigaoctet (Go). Volet Windows dsactiv.

Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. Modifier la stratgie de domaine par dfaut pour contenir les paramtres de tous les ordinateurs. Crer et attribuer un objet de stratgie de groupe pour empcher linstallation de priphriques amovibles sur les ordinateurs de la succursale. Crer et attribuer un objet de stratgie de groupe pour chiffrer les fichiers hors connexion sur les ordinateurs des cadres. Crer et attribuer un objet de stratgie de groupe au niveau du domaine pour tous les utilisateurs du domaine. Crer et attribuer un objet de stratgie de groupe pour limiter la taille de profil et dsactiver le Volet Windows pour les utilisateurs de la succursale.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-45

Tche 1 : Modifier la stratgie de domaine par dfaut pour contenir les paramtres de tous les ordinateurs.
1. Dans la console GPMC, modifiez la stratgie de domaine par dfaut. dveloppez Configuration ordinateur, Stratgies, Modles dadministration, Rseau, Connexions rseau, Pare-feu Windows, puis Profil du domaine. Dans le volet dinformations, double-cliquez sur Pare-feu Windows : autoriser lexception dadministration distance entrante. Activez la stratgie pour le Sous-rseau local dans Autoriser les messages entrants non sollicits provenant des adresses IP suivantes :. Dveloppez Configuration ordinateur, Modles dadministration, Systme, puis Stratgie de groupe. Activez la Dtection dune liaison lente de stratgie de groupe sur 800 kbits/s.

2. 3. 4.

Tche 2 : Crer et attribuer un objet de stratgie de groupe pour empcher linstallation de priphriques amovibles sur les ordinateurs de la succursale.
1. 2. Crez un objet de stratgie de groupe nomm Empcher les priphriques amovibles. Pour modifier lobjet de stratgie de groupe, dveloppez Configuration ordinateur, Modles dadministration, Systme, Installation de priphriques, puis Restrictions dinstallation de priphriques. Activez le paramtre Empcher linstallation de priphriques amovibles. Associez la stratgie Empcher les priphriques amovibles aux units dorganisation Miami, New York et Toronto.

3. 4.

6-46

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Crer et attribuer un objet de stratgie de groupe pour chiffrer les fichiers hors connexion sur les ordinateurs des cadres.
1. 2. 3. 4. Crez un objet de stratgie de groupe nomm Chiffrer les fichiers hors connexion. Pour modifier la stratgie, dveloppez Configuration ordinateur, Modles dadministration, Rseau, puis Fichiers hors connexion. Activez le paramtre Chiffrer le cache des fichiers hors connexion. Associez lobjet de stratgie de groupe lunit dorganisation Executives.

Tche 4 : Crer et attribuer un objet de stratgie de groupe au niveau du domaine pour tous les utilisateurs du domaine.
1. 2. 3. 4. 5. 6. Crez un objet de stratgie de groupe nomm Stratgie de tous les utilisateurs. Dveloppez Configuration utilisateur, Stratgies, Modles dadministration, puis Systme. Activez le paramtre Empcher laccs aux outils de modification du Registre. Cliquez sur Menu Dmarrer et Barre des tches. Activez le paramtre Supprimer lhorloge de la zone de notification systme. Liez lobjet de stratgie de groupe au domaine Woodgrovebank.com.

Tche 5 : Crer et attribuer une stratgie pour limiter la taille de profil et dsactiver le Volet Windows pour les utilisateurs de la succursale.
1. 2. Crez un objet de stratgie de groupe nomm Stratgie utilisateurs succursale. Pour modifier lobjet de stratgie de groupe, dveloppez Configuration utilisateur, Stratgies, Modles dadministration, Systmes, puis Profils utilisateur. Activez le paramtre Limiter la taille du profil avec la valeur 1000000. Dveloppez Configuration utilisateur, Modles dadministration, Composants Windows et Volet Windows.

3. 4.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-47

5. 6.

Activez le paramtre Dsactiver le Volet Windows. Associez lobjet de stratgie de groupe Stratgie utilisateurs succursale aux units dorganisation Miami, New York et Toronto.
Rsultat : au terme de cet exercice, vous aurez configur des modles dadministration.

6-48

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Configuration des prfrences


Scnario
Vous avez t charg de crer et dattribuer des prfrences de stratgie de groupe pour contrler lenvironnement dordinateur et dutilisateur. Vous allez ajouter un raccourci Notepad.exe sur le Bureau de NYC-DC1. Vous allez crer un nouveau dossier appel Rapports sur le lecteur C: de tous les ordinateurs en cours dexcution Vous allez configurer le menu Dmarrer des ordinateurs Windows Vista. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. Ajouter un raccourci vers Notepad.exe sur le Bureau de NYC-DC1. Crer un nouveau dossier appel Reports sur le lecteur C: de tous les ordinateurs excutant Windows Server 2008. Configurer le menu Dmarrer des ordinateurs Windows Vista.

Tche 1 : Ajouter un raccourci vers Notepad.exe sur le Bureau de NYC-DC1.


1. 2. Dans la console GPMC, modifiez les prfrences de la stratgie de domaine par dfaut. Modifiez les prfrences des Paramtres Windows pour crer un raccourci appel Bloc-notes avec les paramtres suivants : Emplacement = Bureau du profil Tous les utilisateurs Chemin daccs cible = C:\Windows\System32\Notepad.exe 3. Dans longlet Commun, configurez le ciblage au niveau de llment pour le nom dordinateur NYC-DC1.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-49

Tche 2 : Crer un nouveau dossier appel Reports sur le lecteur C: de tous les ordinateurs excutant Windows Server 2008.
1. 2. 3. Dans Configuration Ordinateur, Prfrences des paramtres Windows, crez un nouveau dossier. Configurez le chemin daccs de la faon suivante : C:\Reports. Dans longlet Commun, configurez le ciblage au niveau de llment de sorte cibler le systme dexploitation Windows Server 2008.

Tche 3 : Configurer le menu Dmarrer des ordinateurs Windows Vista.


1. Dveloppez Configuration utilisateur, Prfrences, Installation de Windows, Paramtres du Panneau de configuration, puis crez un nouvel objet du menu Dmarrer pour Windows Vista. 2. Configurez le menu Dmarrer pour supprimer le dossier Jeux et pour ajouter les outils dadministration systme au menu Tous les programmes.
Rsultat : au terme de cet exercice, vous aurez configur les prfrences.

6-50

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 4 : Vrification de lapplication des objets de stratgie de groupe


Scnario
Vous allez ouvrir une session en tant que diffrents utilisateurs du domaine pour tester lapplication de la stratgie de groupe. Vous allez galement utiliser le jeu de stratgie rsultant (RSoP) de la stratgie de groupe pour vrifier que les objets de stratgie de groupe sappliquent correctement. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. 6. Vrifier que les prfrences ont t appliques. Dmarrer 6238A-NYC-CL1, ouvrez une session en tant que Woodgrovebank\Administrateur, puis observez les paramtres appliqus. Ouvrir une session en tant quutilisateur de lunit dorganisation Executives et observer les paramtres appliqus. Ouvrir une session en tant quutilisateur dune succursale et observer les paramtres appliqus. Utiliser la console GPMC sur NYC-DC1 pour consulter les rsultats de la stratgie de groupe. Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.

Tche 1 : Vrifier que les prfrences ont t appliques.


1. 2. 3. 4. Sur NYC-DC1, fermez la session, puis ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd. Sur le Bureau, vrifiez quun raccourci a bien t cr pour le Bloc-notes. Vrifiez quun dossier nomm Rapports a t cr sur le lecteur C: D:. Vrifiez que les Outils dadministration figurent dans le menu Dmarrer et que le dossier Jeux nest pas affich.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-51

Tche 2 : Dmarrer 6238A-NYC-CL1, ouvrez une session en tant que Woodgrovebank\Administrateur, puis observez les paramtres appliqus.
1. 2. Ouvrez Virtual Server Remote Control Client et double-cliquez sur 6238ANYC-CL1. Ouvrez une session sur NYC-CL1 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Fermez la session, puis ouvrez une nouvelle session en tant quAdministrateur.

Remarque : deux ouvertures de session sont ncessaires en raison des informations didentification mises en cache.

3. 4.

Vrifiez que lhorloge nest pas affiche dans la zone de notification. Cliquez avec le bouton droit sur la Barre des tches, cliquez sur Proprits, puis sur longlet Zone de notification. Vrifiez que vous navez pas la possibilit dafficher lhorloge, puis cliquez sur OK. Dconnectez-vous de NYC-CL1.

5.

Tche 3 : Ouvrir une session en tant quutilisateur de lunit dorganisation Executives et observer les paramtres appliqus.
1. Ouvrez une session sur NYC-CL1 en tant que Ariane en utilisant le mot de passe Pa$$w0rd. Vrifiez que lhorloge nest pas affiche dans la zone de notification. Cliquez sur Dmarrer, cliquez avec le bouton droit sur le dossier Documents, puis cliquez sur Proprits. Vrifiez que lemplacement est \\nan-cd1\execdata\ariane. Cliquez sur Dmarrer, tapez Regedt32 dans la zone de recherche, puis appuyez sur ENTRE. Assurez-vous que la modification du Registre a t dsactive. Vrifiez que le Volet Windows nest pas affich. Fermez la session sur NYC-CL1.

2.

3.

4. 5.

6-52

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 4 : Ouvrir une session en tant quutilisateur dune succursale et observer les paramtres appliqus.
1. 2. 3. Ouvrez une session sur NYC-CL1 en tant que Loig, avec le mot de passe Pa$$w0rd. Vrifiez que lhorloge nest pas affiche dans la zone de notification. Cliquez sur Dmarrer, cliquez avec le bouton droit sur le dossier Documents, puis cliquez sur Proprits. Vrifiez que lemplacement est C:\Users\Loig. Cliquez sur Dmarrer, tapez Regedt32 dans la zone de recherche, puis appuyez sur ENTRE. Assurez-vous que la modification du Registre a t dsactive. Vrifiez que le Volet Windows nest pas affich. Cliquez sur Dmarrer, puis ouvrez Ordinateur. Vrifiez que le lecteur J: est mapp au partage Data. Fermez la session sur NYC-CL1.

4. 5. 6.

Tche 5 : Utiliser la console GPMC sur NYC-DC1 pour consulter les rsultats de la stratgie de groupe.
1. 2. 3. 4. 5. 6. 7. 8. 9. Sur NYC-DC1, restaurez la console GPMC. Cliquez avec le bouton droit sur Rsultats de stratgie de groupe, puis cliquez sur Assistant Rsultats de stratgie de groupe. Slectionnez lordinateur Woodgrovebank\NYC-CL1. Slectionnez Woodgrovebank\Ariane comme utilisateur. Dans lcran Rsum, cliquez sur Suivant, puis sur Terminer. Dans le rapport Rsultats de stratgie de groupe, dveloppez la section Objets de stratgie de groupe. Cliquez sur longlet Paramtres, puis dveloppez Modles dadministration. Fermez la console GPMC. Supprimez les modifications sur tous les ordinateurs virtuels, puis arrtez lordinateur.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-53

Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulations.
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez vrifi lapplication dun objet de stratgie de groupe.

6-54

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rcapitulatif du module et objectifs

lments prendre en considration


Lors de la configuration denvironnements utilisateur laide dune stratgie de groupe, prenez en compte les lments suivants : Les paramtres de stratgie qui sont activs appliquent un paramtre. Les paramtres de stratgie qui sont dsactivs inversent un paramtre. Les paramtres de stratgie qui ne sont pas configurs ne sont pas affects par la stratgie de groupe. Des scripts peuvent tre appliqus lutilisateur ou lordinateur par le biais de la stratgie de groupe. Les scripts peuvent tre crits dans plusieurs langues. Le stockage des scripts dans le partage NetLogon les rend extrmement disponible. Certains dossiers peuvent tre redirigs partir du profil des utilisateurs vers un dossier partag sur le rseau.

Configuration des environnements utilisateur laide dune stratgie de groupe

6-55

Diffrents groupes de scurit peuvent tre redirigs vers diffrents emplacements rseau. Les modles dadministration appliquent des paramtres en modifiant le Registre pour lutilisateur et lordinateur. Les fichiers ADMX peuvent tre personnaliss. Les logiciels peuvent tre distribus par stratgie de groupe via fichiers .msi. Les logiciels peuvent tre publis destination des utilisateurs ou affects des utilisateurs ou des ordinateurs. Les logiciels affects aux utilisateurs sont spcifiques ces utilisateurs. Les logiciels affects des ordinateurs sont disponibles tous les utilisateurs de cet ordinateur. Les logiciels peuvent tre modifis et grs par le biais dune stratgie de groupe. Les logiciels peuvent tre supprims par le biais dune stratgie de groupe.

Questions du contrle des acquis


1. Vous avez attribu un script douverture de session une unit dorganisation par le biais de la stratgie de groupe. Le script se trouve dans un dossier rseau partag nomm Scripts. Certains utilisateurs dunits dorganisation reoivent le script tandis que dautres non. Quelle peut en tre la cause ? Quelle procdure pourrait empcher que ces problmes se reproduisent ? Vous avez deux scripts douverture de session attribus aux utilisateurs : script1 et script2. Lexcution de script2 dpend de lexcution russie de script1. Vos utilisateurs signalent que script2 ne sexcute jamais. Quel est le problme et comment le rsoudre ?

2. 3.

Implmentation de la scurit laide dune stratgie de groupe

7-1

Module 7.
Implmentation de la scurit laide dune stratgie de groupe Table des matires :
Leon 1 : Configuration des stratgies de scurit Leon 2 : Implmentation de stratgies de mots de passe affins Leon 3 : Restriction de lappartenance des groupes et de laccs aux logiciels Leon 4 : Gestion de la scurit laide de modles de scurit Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe 7-3 7-13 7-21 7-28 7-37

7-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

Labsence de stratgies de scurit adquates peut entraner de nombreux risques pour une organisation. Une stratgie de scurit bien conue vous aide protger les investissements de lorganisation en matire dinformations commerciales et de ressources internes, comme le matriel et les logiciels. Cependant, lexistence dune stratgie de scurit ne suffit pas. Vous devez appliquer cette stratgie pour quelle soit efficace. Vous pouvez rutiliser la stratgie de groupe de manire standardiser la scurit pour contrler lenvironnement.

Implmentation de la scurit laide dune stratgie de groupe

7-3

Leon 1 :

Configuration des stratgies de scurit

La stratgie de groupe fournit des paramtres que vous pouvez utiliser pour appliquer la scurit dans votre organisation. Par exemple, vous pouvez utiliser les paramtres de la stratgie de groupe pour scuriser les mots de passe, le dmarrage et les autorisations des services systme. Dans cette leon, vous allez prendre connaissance des lments et des comptences ncessaires la configuration des stratgies de scurit.

7-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des stratgies de scurit

Points cls
Les stratgies de scurit sont des rgles qui servent protger des ressources sur les ordinateurs et les rseaux. La stratgie de groupe permet de configurer un grand nombre de ces rgles comme paramtres de stratgie de groupe. Par exemple, vous pouvez configurer les stratgies de mot de passe dans le cadre dune stratgie de groupe. La stratgie de groupe comprend une grande section de scurit pour configurer la scurit des utilisateurs et des ordinateurs. Ainsi, vous pouvez appliquer la scurit de manire cohrente entre les units dorganisation (UO) dans les services de domaine Active Directory (AD DS) en dfinissant les paramtres de scurit dans un objet de stratgie de groupe associ un site, un domaine ou une unit dorganisation.

Lectures complmentaires
Article Microsoft Technet : Paramtres de scurit (ventuellement en anglais) Article Microsoft Technet : Paramtres de stratgie de scurit de groupe (ventuellement en anglais)

Implmentation de la scurit laide dune stratgie de groupe

7-5

Description de la stratgie de scurit de domaine par dfaut

Points cls
La stratgie de domaine par dfaut est lie au domaine et elle affecte, par consquent, tous les objets dans le domaine, sauf si un objet de stratgie de groupe appliqu un niveau infrieur bloque ou remplace ces paramtres. Dans cette stratgie, trs peu de paramtres sont configurs par dfaut. Mme si la stratgie de domaine par dfaut possde tous les paramtres et toutes les fonctions dun objet de stratgie de groupe, il est recommand de nutiliser cette stratgie que pour fournir des stratgies de compte. Vous devez crer dautres objets de stratgie de groupe pour fournir dautres paramtres.

Lectures complmentaires
Article Microsoft Technet : Chapitre 3 relatif la stratgie de domaine, dans le guide de scurit de Windows Server 2003 (ventuellement en anglais)

7-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des stratgies de compte

Points cls
Les stratgies de compte protgent les comptes et les donnes de lorganisation en rduisant la menace des attaques en force consistant deviner le mot de passe des comptes. Sur les systmes dexploitation Windows et de nombreux autres systmes dexploitation, la mthode la plus courante pour authentifier lidentit dun utilisateur consiste utiliser un mot de passe secret. La scurisation de votre environnement rseau implique que tous les utilisateurs utilisent des mots de passe forts. Les paramtres de stratgie de mot de passe contrlent la complexit et la dure de vie des mots de passe. Vous pouvez configurer les paramtres de stratgie de mot de passe par le biais dune stratgie de groupe.

Lectures complmentaires
Article Microsoft Technet : Mots de passe et stratgies de compte

Implmentation de la scurit laide dune stratgie de groupe

7-7

Description des stratgies locales

Points cls
Tous les ordinateurs quips de Windows 2000 Server ou une version ultrieure possdent exactement un seul objet de stratgie de groupe local (LGPO). Dans cet objet, les paramtres de stratgie de groupe sont stocks sur les ordinateurs, quils fassent partie dun environnement Active Directory ou non. Lobjet de stratgie de groupe local est stock dans un dossier cach appel %windir%\system32\Group Policy. Ce dossier nexistera pas tant que vous naurez pas configur dobjet de stratgie de groupe local.

7-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des stratgies de scurit rseau

Points cls
Lautomatisation des paramtres de configuration des ordinateurs clients est une tape essentielle pour rduire le cot du dploiement de la scurit rseau et les problmes de prise en charge rsultant de paramtres configurs incorrectement. Depuis Windows Server 2003, il est possible dautomatiser la configuration sans fil des clients laide des paramtres de stratgie rseau sans fil de la stratgie de groupe. Windows Server 2008 et Windows Vista incluent de nouvelles fonctionnalits pour les stratgies rseau et la stratgie de groupe prend en charge les paramtres dauthentification 802.1X pour les connexions cbles et sans fil.

Implmentation de la scurit laide dune stratgie de groupe

7-9

Lectures complmentaires :
Article Microsoft Technet : Intgration dun client cbl Windows Vista un domaine (ventuellement en anglais) Article Microsoft Technet : Chapitre 6 relatif la scurit de rseau local sans fil avec 802.1X (ventuellement en anglais) Article Microsoft Technet : Paramtres de stratgie de groupe sans fil pour Windows Vista (ventuellement en anglais) Article Microsoft Technet : Dfinition des stratgies de rseau sans fil bases sur Active Directory (ventuellement en anglais)

7-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Pare-feu Windows avec fonctions avances de scurit

Points cls
Windows Vista et Windows Server 2008 incluent une nouvelle version amliore du Pare-feu Windows. La nouvelle version du Pare-feu Windows est un pare-feu bas sur un hte avec tat, qui permet le trafic rseau ou le bloque en fonction de sa configuration.

Lectures complmentaires
Article Microsoft Technet : Nouveau Pare-feu Windows dans Windows Vista et Windows Longhorn (ventuellement en anglais)

Implmentation de la scurit laide dune stratgie de groupe

7-11

Dmonstration : Prsentation des paramtres de scurit supplmentaires

Question : Vous devez garantir quun service particulier nest pas autoris sexcuter sur lun de vos serveurs rseau. Quelle mthode utilisez-vous pour y parvenir ?

7-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Description de la stratgie de scurit de domaine par dfaut

Question : Quel est lintervalle dactualisation par dfaut de la stratgie de groupe pour les contrleurs de domaine ?

Implmentation de la scurit laide dune stratgie de groupe

7-13

Leon 2 :

Implmentation de stratgies de mot de passe affines

Dans Windows Server 2008, des stratgies de mot de passe affines vous permettent de dfinir diffrents critres de mots de passe et diffrentes stratgies de verrouillage de compte pour diffrents utilisateurs ou groupes Active Directory. Dans cette leon, vous allez dcouvrir les connaissances et les comptences ncessaires limplmentation de stratgies de mot de passe affines.

7-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des stratgies de mot de passe affines

Points cls
Dans les versions prcdentes des services de domaine Active Directory, vous ne pouvez appliquer quune seule stratgie de mot de passe et de verrouillage de compte tous les utilisateurs du domaine. Les stratgies de mot de passe affines permettent de disposer de diffrentes exigences de mot de passe et de stratgies de verrouillage de compte pour les diffrents utilisateurs ou groupes Active Directory. Cela est souhaitable lorsque vous souhaitez que diffrents groupes dutilisateurs soient associs diffrentes exigences de mot de passe, mais que vous ne souhaitez pas des domaines distincts. Par exemple, le groupe Administrateurs de domaine peut ncessiter des exigences strictes en matire de mot de passe auxquelles vous ne souhaitez pas soumettre les utilisateurs ordinaires. Si vous nimplmentez pas de mots de passe affins, les stratgies de compte de domaine par dfaut sappliquent tous les utilisateurs.

Implmentation de la scurit laide dune stratgie de groupe

7-15

Question : Comment devez-vous utiliser des mots de passe affins dans votre environnement ?

Lectures complmentaires
Article Microsoft Technet : Services de domaine Active Directory : stratgies de mots de passe affins (ventuellement en anglais)

7-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Implmentation des stratgies de mots de passe affins

Points cls
Pour stocker les stratgies de mots de passe affins, Windows Server 2008 inclut deux nouvelles classes dobjets dans le schma Active Directory. Ces classes sont les suivantes : Conteneur de paramtres de mot de passe (PSC) Objet paramtres de mot de passe (PSO)

La classe de lobjet paramtres de mot de passe est cre par dfaut dans le conteneur systme du domaine qui stocke les objets paramtres de mot de passe de ce domaine. Vous ne pouvez pas renommer ce conteneur, ni le dplacer ou le supprimer.

Implmentation de la scurit laide dune stratgie de groupe

7-17

Question : Comment pouvez-vous afficher le conteneur des paramtres de mot de passe dans Utilisateurs et ordinateurs Active Directory ?

Lectures complmentaires
Article Microsoft Technet : Services de domaine Active Directory : stratgies de mots de passe affins (ventuellement en anglais)

7-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Implmentation de stratgies de mot de passe affines

Points cls
Il y a trois tapes principales impliques dans limplmentation des mots de passe granularit fine : Cration des groupes ncessaires et ajout des utilisateurs appropris Cration des objets paramtres de mot de passe pour toutes les stratgies de mot de passe dfinies Application des objets paramtres de mot de passe aux utilisateurs ou aux groupes de scurit globale appropris

Question : Dans votre organisation, un certain nombre dutilisateurs traitent rgulirement des fichiers confidentiels. Vous devez vous assurer que des stratgies de comptes strictes sont appliques pour tous ces utilisateurs. Les comptes dutilisateurs sont rpartis sur plusieurs units dorganisation. Comment obtenir ce rsultat avec un minimum deffort administratifs ?

Implmentation de la scurit laide dune stratgie de groupe

7-19

Lectures complmentaires
Article Microsoft Technet : Guide pas pas pour la configuration de la stratgie de mots de passe affins et de verrouillage de compte (ventuellement en anglais)

7-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Implmentation de stratgies de mot de passe affines

Question : Quels utilitaires peuvent tre utiliss pour grer des objets paramtres de mot de passe ? Slectionnez toutes les rponses possibles. a. b. c. diteur ADSI GPMC CSVDE

d. LDIFDE e. f. NTDSUtil Utilisateurs et ordinateurs Active Directory

Implmentation de la scurit laide dune stratgie de groupe

7-21

Leon 3 :

Restriction de lappartenance des groupes et de laccs aux logiciels

Dans un environnement rseau de grande taille, lun des dfis de la scurit rseau est de contrler lappartenance de groupes intgrs lannuaire et aux stations de travail. Il est important galement dempcher laccs des logiciels non autoriss sur les stations de travail.

7-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description de lappartenance des groupes restreints

Points cls
Dans certains cas, vous souhaitez peut-tre contrler lappartenance de certains groupes dans un domaine pour empcher lajout dautres comptes dutilisateur ces groupes comme le groupe Administrateurs locaux. Vous pouvez utiliser la stratgie Groupes restreints pour contrler lappartenance des groupes. Utilisez la stratgie pour spcifier les membres qui figurent dans un groupe. Si vous dfinissez une stratgie Groupes restreints et que vous actualisez la stratgie de groupe, les membres actuels dun groupe qui ne figurent pas sur la liste des membres de la stratgie Groupes restreints sont supprims. Cela peut inclure les membres par dfaut comme les administrateurs de domaine.

Implmentation de la scurit laide dune stratgie de groupe

7-23

Mme si vous pouvez contrler les groupes de domaine en attribuant des stratgies Groupes restreints des contrleurs de domaine, vous devez utiliser ce paramtre principalement pour configurer lappartenance des groupes critiques comme Administrateurs de lentreprise et Administrateurs du schma. Vous pouvez galement utiliser ce paramtre pour contrler lappartenance des groupes locaux intgrs sur les stations de travail et les serveurs membres. Par exemple, vous pouvez placer le groupe Support technique dans le groupe Administrateurs locaux sur toutes les stations de travail. Vous ne pouvez pas spcifier dutilisateurs locaux dans un objet de stratgie de groupe du domaine. Les utilisateurs locaux qui figurent actuellement dans le groupe local contrl par la stratgie vont tre supprims. La seule exception est que le compte Administrateurs locaux se trouve toujours dans le groupe Administrateurs locaux. Question : Votre socit a cinq serveurs Web rpartis physiquement en Amrique du Nord. Les comptes dordinateurs de ce serveur Web se trouvent dans une seule unit dorganisation. Vous souhaitez accorder tous les utilisateurs du groupe global nomm Web_Backup le droit de sauvegarder et de restaurer les serveurs Web. Comment pourriez-vous utiliser la stratgie de groupe pour y parvenir ?

Lectures complmentaires
Article Microsoft Technet : Groupes restreints (ventuellement en anglais) Article Microsoft Technet : Paramtres de scurit de stratgie de groupe (ventuellement en anglais)

7-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration de lappartenance des groupes restreints

Question : Vous avez cr une stratgie de groupe qui ajoute le groupe support technique au groupe Administrateurs local et vous avez li la stratgie une unit dorganisation. prsent les administrateurs de domaine nont plus dautorit administrative sur les ordinateurs de cette unit dorganisation. Quel problme est le plus susceptible de se produire et comment le rsoudre ?

Implmentation de la scurit laide dune stratgie de groupe

7-25

Description de la stratgie de restriction logicielle

Points cls
Vous pourriez souhaiter restreindre laccs aux logiciels pour empcher les utilisateurs dexcuter des applications en particulier ou des types dapplication comme des scripts VBScript. Une stratgie de restriction logicielle fournit aux administrateurs un mcanisme fond sur une stratgie pour identifier un logiciel et contrler sa capacit sexcuter sur un ordinateur client. Question : Vous avez un certain nombre dordinateurs dans un groupe de travail. Vous devez restreindre laccs une application afin que seuls les membres du groupe Administrateurs soient autoriss lancer lapplication. Quelle mthode utilisez-vous pour y parvenir ?

Lectures complmentaires
Article Microsoft Technet : Utilisation des stratgies de restriction logicielle pour se protger contre les logiciels non autoriss (ventuellement en anglais)

7-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Options de configuration des stratgies de restriction logicielle

Points cls
Les stratgies de restriction logicielle utilisent des rgles pour dterminer si une application est autorise tre excute. Lorsque vous crez une rgle, vous commencez par identifier lapplication. Ensuite, vous lidentifiez comme exception au paramtre de stratgie par dfaut Non restreint ou Non autoris. Le moteur de mise en uvre interroge les rgles de la stratgie de restriction logicielle avant de permettre dexcuter un programme. Question : Vous devez restreindre laccs une application quel que soit lemplacement du rpertoire o lapplication est installe. Quel type de rgle devezvous utiliser ?

Lectures complmentaires
Article Microsoft Technet : Utilisation des stratgies de restriction logicielle pour se protger contre les logiciels non autoriss (ventuellement en anglais)

Implmentation de la scurit laide dune stratgie de groupe

7-27

Dmonstration : Configuration des stratgies de restriction logicielle

Question : Vous souhaitez vous assurer que seuls les scripts Visual Basic signs numriquement soient autoriss sexcuter. Quel type de rgle devez-vous utiliser ?

7-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 4 :

Gestion de la scurit laide de modles de scurit

La stratgie de scurit est un groupe de paramtres de scurit qui affecte la scurit dun ordinateur. Vous pouvez utiliser une stratgie de scurit pour dfinir des stratgies de comptes et des stratgies locales sur votre ordinateur local et dans Active Directory. Vous pouvez crer des modles de scurit pour aider la cration de stratgies de scurit pour rpondre aux besoins de la socit en termes de scurit. Vous pouvez alors utiliser ces modles pour configurer les paramtres de scurit affects des ordinateurs manuellement ou par le biais dune stratgie de groupe.

Implmentation de la scurit laide dune stratgie de groupe

7-29

Description des modles de scurit

Points cls
Un modle de scurit est un ensemble de paramtres de scurit configurs. Vous pouvez utiliser des modles de scurit prdfinis comme base pour crer des stratgies de scurit que vous personnalisez pour rpondre vos besoins ou vous pouvez crer dautres modles. Vous utilisez le composant logiciel enfichable Modles de scurit pour crer ou personnaliser des modles. Une fois que vous avez cr un modle ou personnalis un modle de scurit prdfini, vous pouvez lutiliser pour configurer la scurit sur un ordinateur individuel ou sur des milliers dordinateurs. Les modles de scurit contiennent des paramtres pour tous les domaines de scurit.

Lectures complmentaires
Article Microsoft Technet : Modles de scurit

7-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Application des modles de scurit

Question : Vous disposez de plusieurs serveurs de base de donnes situs dans des units dorganisation distinctes. Quel est le moyen le plus simple dappliquer des paramtres de scurit cohrents tous les serveurs de base de donnes ?

Implmentation de la scurit laide dune stratgie de groupe

7-31

Description de lAssistant Configuration de la scurit

Points cls
LAssistant Configuration de la scurit est un outil de rduction de la surface dattaque qui est apparu pour la premire fois dans Windows Server 2003 avec Service Pack 1 (SP1). LAssistant Configuration de la scurit permet aux administrateurs de crer des stratgies de scurit. Il dtermine les fonctionnalits minimales requises pour les rles dun serveur, puis dsactive les fonctionnalits qui ne sont pas ncessaires. LAssistant Configuration de la scurit vous guide tout au long du processus de cration, de modification, dapplication ou dannulation dune stratgie de scurit partir des rles slectionns du serveur. Les stratgies de scurit que vous crez avec lAssistant Configuration de la scurit sont des fichiers XML qui, lorsquils sont appliqus, configurent les services, la scurit du rseau, les valeurs spcifiques du Registre, la stratgie daudit et, le cas chant, les services Internet (IIS). Question : Quels types de rles de serveur existent dans votre organisation ?

7-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Article Microsoft Technet : Modles de scurit Article Microsoft Technet : Assistant Configuration de la scurit pour Windows Server 2003 (ventuellement en anglais)

Implmentation de la scurit laide dune stratgie de groupe

7-33

Dmonstration : Configuration de la scurit du serveur laide de lAssistant Configuration de la scurit

Question : Quel est le principal avantage de lAssistant Configuration de la scurit ?

7-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Options dintgration de lAssistant Configuration de la scurit et des modles de scurit

Points cls
Les stratgies de scurit que vous crez avec lAssistant Configuration de la scurit peuvent galement inclure des modles de scurit personnaliss. Certains des paramtres que vous pouvez configurer laide de lAssistant Configuration de la scurit chevauchent partiellement les paramtres que vous configurez laide des modles de scurit uniquement. Aucun des ensembles de modifications apportes la configuration ninclut totalement lautre. Par exemple, lAssistant Configuration de la scurit inclut les paramtres de services Internet (IIS) qui ne sont pas inclus dans un modle de scurit. linverse, les modles de scurit peuvent inclure des lments comme des stratgies de restriction logicielle, que vous ne pouvez pas configurer avec lAssistant Configuration de la scurit.

Implmentation de la scurit laide dune stratgie de groupe

7-35

Lectures complmentaires
Article Microsoft Technet : Prsentation de lAssistant Configuration de la scurit (ventuellement en anglais) Article Microsoft Technet : Veille de scurit : Assistant Configuration de la scurit (ventuellement en anglais)

7-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Importation des stratgies de configuration de la scurit dans des modles de scurit

Question : Vous devez ouvrir un port sur vos ordinateurs clients Windows Vista pour une application personnalise. Devez-vous utiliser lAssistant Configuration de la scurit ou crer un modle de scurit et utiliser un objet de stratgie de groupe ?

Implmentation de la scurit laide dune stratgie de groupe

7-37

Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe

Scnario
Woodgrove Bank a dcid dimplmenter une stratgie de groupe pour configurer la scurit pour les utilisateurs et les ordinateurs au sein de lorganisation. La socit a rcemment procd la mise niveau de toutes ses stations de travail vers Windows Vista et de tous ses serveurs vers Windows Server 2008. Lorganisation souhaite utiliser la stratgie de groupe pour implmenter les paramtres de scurit pour les stations de travail, les serveurs et les utilisateurs. Ladministrateur de lentreprise a cr une conception qui inclut des modifications de la stratgie de scurit du domaine par dfaut, ainsi que des objets de stratgie de groupe supplmentaires pour configurer la scurit. La socit souhaite disposer dune certaine flexibilit pour affecter diffrentes stratgies de mot de passe pour des utilisateurs spcifiques. La socit souhaite galement automatiser autant que possible la configuration des paramtres de scurit.

7-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Remarque : certaines des tches de cet atelier pratique sont conues pour illustrer les techniques et les paramtres de gestion des objets de stratgie de groupe, et elles ne suivent pas toujours les meilleures pratiques.

Implmentation de la scurit laide dune stratgie de groupe

7-39

Exercice 1 : Configuration des paramtres de stratgie de compte et de scurit


Il vous a t demand dimplmenter une stratgie de compte du domaine avec les critres suivants : les mots de passe de domaine doivent comporter huit caractres ; des mots de passe forts doivent tre appliqus ; les mots de passe doivent tre modifis exactement tous les 20 jours ; les comptes doivent tre verrouills pendant 30 minutes aprs cinq tentatives douverture de session non valides.

Vous configurez galement une stratgie locale sur le client Windows Vista qui active le compte Administrateur local et empche laccs la commande Excuter pour les utilisateurs qui ne sont pas administrateurs. Ensuite, vous crez une stratgie de rseau sans fil pour Windows Vista, qui cre un profil pour le rseau sans fil de lentreprise. Ce profil dfinit 802.1x comme mthode dauthentification. Cette stratgie refuse galement laccs au rseau sans fil appel Recherche. Enfin, vous allez configurer une stratgie pour empcher lexcution du service Registre distant sur un contrleur de domaine. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. Dmarrer lordinateur virtuel et ouvrir une session en tant quAdministrateur. Crer une stratgie de compte pour le domaine. Configurer les paramtres de stratgie locale pour un client Windows Vista. Crer un objet de stratgie de groupe de rseau sans fil pour les clients Windows Vista. Configurer un objet de stratgie de groupe qui empche un service sur tous les contrleurs de domaine.

7-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 1 : Dmarrer lordinateur virtuel et ouvrir une session en tant quAdministrateur.


1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4.

Tche 2 : Crer une stratgie de compte pour le domaine.


1. 2. Lancez la Console de gestion des stratgies de groupe. Modifiez la stratgie de compte dans la stratgie de domaine par dfaut avec les valeurs suivantes : Stratgie de mot de passe : Mots de passe de domaine : longueur de 8 caractres Mots de passe fort : appliqus Dure de vie minimale du mot de passe : 19 jours Dure de vie maximale du mot de passe : 20 jours

Stratgie de verrouillage de compte : Seuil de verrouillage de compte : 5 tentatives douverture de session non valides Dure de verrouillage de compte : 30 minutes Compteur de verrouillages : rinitialiser aprs 30 minutes

Implmentation de la scurit laide dune stratgie de groupe

7-41

Tche 3 : Configurer les paramtres de stratgie locale pour un client Windows Vista.
1. 2. Dmarrez NYC-CL1 et ouvrez une session en tant que WoodgroveBank\Administrateuravec le mot de passe Pa$$w0rd. Crez une console MMC et ajoutez le composant logiciel enfichable correspondant lditeur dobjets de stratgie de groupe de lordinateur local. Ouvrez Paramtres Windows de la configuration de lordinateur, Paramtres de scurit, Stratgies locales, Options de scurit, puis activez le paramtre Comptes : tat de compte dadministrateur. Ajoutez de nouveau le composant logiciel enfichable diteur dobjets de stratgie de groupe dans la console MMC, puis cliquez sur Parcourir.

3.

4.

5. Cliquez sur longlet Utilisateurs, slectionnez le groupe Non-Administrateurs, cliquez sur OK, puis sur Terminer. 6. Ouvrez Configuration utilisateur, Modles dadministration, cliquez sur le menu Dmarrer et sur le dossier Barre des tches, puis activez la case cocher Supprimer Excuter du menu Dmarrer setting. Fermez la console MMC sans enregistrer les modifications.

7.

Tche 4 : Crer un objet de stratgie de groupe de rseau sans fil pour les clients Windows Vista.
1. 2. Dans la Console de gestion des stratgies de groupe, crez un objet stratgie de groupe appel Stratgie sans fil Vista. Modifiez lobjet de stratgie de groupe en cliquant avec le bouton droit sur Stratgies de rseau sans fil (IEEE 802.11), puis en cliquant sur Crer une stratgie de rseau sans fil Vista. Dans la bote de dialogue Nouvelle stratgie de rseau sans fil Vista, cliquez sur Ajouter, puis cliquez sur Infrastructure. Crez un profil appel Entreprise, puis dans le champ Nom rseau (SSID), tapez Corp. Cliquez sur longlet Scurit, modifiez la mthode dauthentification sur Ouvrir avec 802.1X, puis cliquez sur OK.

3. 4. 5.

7-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

6. 7. 8.

Cliquez sur longlet Autorisations rseau, puis sur Ajouter. Tapez Recherche dans le champ Nom rseau (SSID) :, dfinissez lautorisation sur Refuser, puis cliquez deux fois sur OK. Fermez lditeur de gestion des stratgies de groupe, puis laissez la Console de gestion des stratgies de groupe ouverte.

Tche 5 : Configurer une stratgie qui empche un service sur tous les contrleurs de domaine.
1. Modifiez les lments suivants pour dsactiver le service daccs distance au Registre : Stratgie par dfaut des contrleurs de domaine, Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit et Services systme. Fermez lditeur de gestion des stratgies de groupe et laissez la Console de gestion des stratgies de groupe ouverte.
Rsultat : au terme de cet exercice, vous aurez configur les paramtres de stratgie de compte et de scurit.

2.

Implmentation de la scurit laide dune stratgie de groupe

7-43

Exercice 2 : Implmentation de stratgies de mot de passe affines


La stratgie de scurit de votre entreprise dtermine que les membres du groupe Administrateurs informatiques disposent de stratgies de mot de passe strictes. Les mots de passe doivent correspondre aux critres suivants : 30 mots de passe doivent tre mmoriss dans lhistorique des mots de passe ; les mots de passe de domaine doivent comporter 10 caractres ; des mots de passe forts doivent tre appliqus ; les mots de passe ne doivent pas tre stocks avec le chiffrement rversible ; les mots de passe doivent tre modifis exactement tous les 7 jours ; les comptes doivent tre verrouills pendant 30 minutes aprs trois tentatives douverture de session non valides.

Vous crez une stratgie de mots de passe affins pour mettre en uvre ces stratgies pour le groupe global Administrateurs informatiques. Les principales tches sont les suivantes : 1. 2. Crer un objet de stratgie de groupe laide dADSI Edit. Attribuer un objet de stratgie de groupe ITAdmin au groupe global Administrateurs informatiques.

Tche 1 : Crer un objet de stratgie de groupe laide dADSI Edit.


1. 2. 3. Dans la fentre de la commande Excuter, tapez adsiedit.msc, puis appuyez sur Entre. Cliquez avec le bouton droit sur ADSI Edit, cliquez sur Connexion , puis cliquez sur OK pour accepter les valeurs par dfaut. Accdez DC=woodgrovebank, DC=com, CN=Systme, CN=Conteneur de paramtres de mot de passe, cliquez avec le bouton droit sur CN=Conteneur de paramtres de mot de passe, puis crez un nouvel objet.

4. Dans la bote de dialogue Crer un objet, cliquez sur msDS-PasswordSettings, puis sur Suivant. 5. Dans la zone Valeur, tapez ITAdmin.

7-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

6. 7. 8. 9.

Dans la valeur msDS-PasswordSettingsPrecedence, tapez 10. Dans la valeur msDS-PasswordReversibleEncryptionEnabled, tapez FALSE. Dans la valeur msDS-PasswordHistoryLength, tapez 30. Dans la valeur msDS-PasswordComplexityEnabled, tapez TRUE.

10. Dans la valeur msDS-MinimumPasswordLength, tapez 10. 11. Dans la valeur msDS-MinimumPasswordAge, tapez -5184000000000. 12. Dans la valeur msDS-MaximumPasswordAge, tapez -6040000000000. 13. Dans la valeur msDS-LockoutThreshold, tapez 3. 14. Dans la valeur msDS-LockoutObservationWindow, tapez -18000000000. 15. Dans la valeur msDS-LockoutDuration, tapez -18000000000, puis cliquez sur Terminer. 16. Fermez la console MMC ADSI Edit sans enregistrer les modifications.

Tche 2 : Attribuer un objet de stratgie de groupe ITAdmin au groupe global Administrateurs informatiques.
1. 2. 3. 4. 5. 6. 7. Ouvrez Utilisateurs et ordinateurs Active Directory. Cliquez sur Affichage, puis sur Fonctionnalits avances. Dveloppez Woodgrovebank.com, Systme, puis cliquez sur Conteneur de paramtres de mot de passe. Dans le volet dinformations, cliquez avec le bouton droit sur lobjet de stratgie de groupe ITAdmin et cliquez sur Proprits. Cliquez sur longlet diteur dattributs, faites dfiler jusqu lattribut msDSPSOAppliesTo et cliquez sur Modifier. Ajoutez le groupe ITAdmins_WoodgroveGG. Fermez Utilisateurs et ordinateurs Active Directory.
Rsultat : au terme de cet exercice, vous aurez implment des stratgies de mots de passe affins.

Implmentation de la scurit laide dune stratgie de groupe

7-45

Exercice 3 : Configuration des groupes restreints et des stratgies de restriction logicielle


Vous devez vous assurer que le groupe ITAdmins global est inclus dans le groupe local Administrateurs pour tous les ordinateurs de lorganisation. Les contrleurs de domaine sont considrs comme bnficiant dune haute scurit et Internet Explorer nest pas autoris sexcuter sur les contrleurs de domaine. Vous empchez galement lexcution de scripts Visual Basic (VBS) sur le lecteur C: des contrleurs de domaine. Les principales tches sont les suivantes : 1. 2. Configurer des groupes restreints pour le groupe local Administrateurs. Crer un objet de stratgie de groupe qui empche lexcution dInternet Explorer et de scripts VBS sur les contrleurs de domaine.

Tche 1 : Configurer des groupes restreints pour le groupe local Administrateurs.


1. Si ncessaire, ouvrez la Console de gestion des stratgies de groupe, ouvrez le dossier Objets stratgie de groupe, puis modifiez la stratgie de domaine par dfaut. Accdez Configuration ordinateur, dveloppez Stratgies, Paramtres Windows et Paramtres de scurit, cliquez avec le bouton droit sur Groupes restreints, puis cliquez sur Ajouter un groupe. Ajoutez le groupe Administrateurs, puis cliquez sur OK. Dans la bote de dialogue Proprits de Administrateurs, ajoutez les groupes suivants : 5. Woodgrovebank\ITAdmins_WoodgroveGG Woodgrovebank\Domain Admins

2.

3. 4.

Fermez lditeur de gestion des stratgies de groupe.

7-46

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Empcher lexcution dInternet Explorer et de scripts VBS sur les contrleurs de domaine.
1. 2. Modifiez la stratgie de contrleurs de domaine par dfaut. Accdez Paramtres Windows, dveloppez Paramtres de scurit, cliquez avec le bouton droit sur Stratgies de restriction logicielle, puis cliquez sur Nouvelle stratgie de restriction logicielle. Cliquez avec le bouton droit sur Rgles supplmentaires, puis cliquez sur Nouvelle rgle de hachage. Recherchez C:\Program Files\Internet Explorer\iexplore.exe, puis cliquez sur Ouvrir. Assurez-vous que le niveau de scurit est Non autoris. Cliquez avec le bouton droit sur Rgles supplmentaires, puis cliquez sur Nouvelle rgle de hachage. Dans le champ Chemin daccs, tapez *.vbs, puis cliquez sur OK. Fermez lditeur de gestion des stratgies de groupe.
Rsultat : au terme de cet exercice, vous aurez configur des groupes restreints et des stratgies de restriction logicielle.

3. 4. 5. 6. 7.

Implmentation de la scurit laide dune stratgie de groupe

7-47

Exercice 4 : Configuration des modles de scurit


Vous allez crer un modle de scurit pour les serveurs de fichiers et dimpression, qui renomme le compte Administrateur, et naffiche pas le nom du dernier utilisateur connect. Vous utilisez alors lAssistant Configuration de la scurit pour crer une stratgie de scurit qui renforce le serveur de fichiers et dimpression, et inclut le modle de scurit. Vous utilisez linterface de lAssistant Configuration de la scurit pour appliquer la stratgie au serveur de fichiers et dimpression NYC-SVR1. Enfin, vous transformez la stratgie en objet de stratgie de groupe appel FPSecurity. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. Crer un modle de scurit pour les serveurs de fichiers et dimpression. Dmarrer NYC-SVR1, joindre le domaine et dsactiver le Pare-feu Windows. Excuter lAssistant Configuration de la scurit et importer le modle FPSecurity. Transformer FPPolicy en objet de stratgie de groupe.

Tche 1 : Crer un modle de scurit pour les serveurs de fichiers et dimpression.


1. 2. Crez une console MMC et ajoutez le composant logiciel enfichable correspondant aux Modles de scurit. Dveloppez Modles de scurit, cliquez avec le bouton droit sur C:\Users\Administrators\Documents\Security\Templates, puis cliquez sur Nouveau modle. Nommez le modle FPSecurity. Accdez Stratgies locales, puis Options de scurit. Dfinissez le champ Comptes : renommer le compte Administrateur sur la valeur FPAdmin. Dfinissez le champ Ouverture de session interactive : ne pas afficher le dernier nom dutilisateur sur Activ. Dans le volet Dossier, cliquez avec le bouton droit sur FPSecurity, puis cliquez sur Enregistrer. Fermez la console MMC sans enregistrer les modifications.

3. 4. 5. 6. 7.

7-48

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Dmarrer NYC-SVR1, joindre le domaine et dsactiver le Pare-feu Windows.


1. 2. 3. 4. Dmarrez NYC-SVR1 et ouvrez une session en tant que LocalAdmin avec le mot de passe Pa$$w0rd. Joignez NYC-SVR1 au domaine WoodgoveBank.com. Redmarrez lordinateur et ouvrez une session en tant quAdministrateur. Dsactivez le Pare-feu Windows.

Remarque : cette tape a pour but de simplifier latelier pratique, mais ne constitue pas une mthode recommande.

Tche 3 : Excuter lAssistant Configuration de la scurit et importer le modle FPSecurity.


1. 2. 3. 4. 5. 6. 7. 8. 9. Sur NYC-DC1, lancez lAssistant Configuration de la scurit. Dans la page de bienvenue, cliquez sur Suivant. Dans lcran Action de configuration, cliquez sur Suivant. Dans lcran Slectionnez un serveur, tapez NYC-SVR1.woodgrovebank.com, puis cliquez sur Suivant. Aprs les processus de base de donnes de configuration, cliquez sur Suivant. Dans lcran Configuration des services selon les rles, cliquez sur Suivant. Dans lcran Slectionnez des rles de serveur, activez la case cocher en regard de Serveur DNS. Activez la case cocher en regard de Serveur de fichiers. Activez la case cocher en regard de Serveur dimpression, puis cliquez sur Suivant.

10. Dans lcran Slectionnez des fonctionnalits client, cliquez sur Suivant. 11. Dans lcran Slectionnez des options dadministration et dautres options, cliquez sur Suivant. 12. Dans lcran Slectionnez des services supplmentaires, cliquez sur Suivant.

Implmentation de la scurit laide dune stratgie de groupe

7-49

13. Dans lcran Gestion des services non spcifis, cliquez sur Suivant jusqu ce que vous atteigniez lcran Nom du fichier de stratgie de scurit. 14. Dans lcran Nom du fichier de stratgie de scurit, tapez FPPolicy la fin du chemin daccs C:\Windows\security\msscw\policies\. 15. Cliquez sur Inclure les modles de scurit, puis cliquez sur Ajouter. 16. Ajoutez la stratgie Documents\Security\Templates\FPSecurity. 17. Dans lcran Appliquer la stratgie de scurit, cliquez sur Appliquer maintenant, puis cliquez sur Suivant. 18. Dans lcran Application de la stratgie de scurit, cliquez sur Suivant, puis cliquez sur Terminer.

Tche 4 : Transformer FPPolicy en objet de stratgie de groupe.


1. Sur NYC-DC1, lancez linvite de commandes et tapez scwcmd transform /p:C:\Windows\security\msscw\Policies\FPpolicy.xml /g:FileServerSecurity. Ouvrez la Console de gestion des stratgies de groupes si ncessaire, puis ouvrez le dossier Objets Stratgie de groupe. Double-cliquez sur lobjet de stratgie de groupe FilesServerSecurity, puis examinez les paramtres. Fermez la Console de gestion des stratgies de groupe et fermez la session NYC-DC1.
Rsultat : au terme de cet exercice, vous aurez configur des modles de scurit.

2.

3.

7-50

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 5 : Vrification de la configuration de la scurit


Ouvrez une session sous diffrents noms dutilisateur pour testez les rsultats de la stratgie de groupe. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. Ouvrir une session en tant quAdministrateur local de lordinateur Windows Vista et vrifier lappartenance du groupe Administrateurs local. Ouvrir une session sur lordinateur Windows Vista comme utilisateur ordinaire et tester la stratgie de compte. Ouvrir une session sur le contrleur de domaine comme administrateur de domaine et tester les restrictions logicielles et les services. Utiliser la modlisation des stratgies de groupe pour tester les paramtres sur le serveur de fichiers et dimpression. Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.

Tche 1 : Ouvrir une session en tant quAdministrateur local de lordinateur Windows Vista et vrifier lappartenance du groupe Administrateurs local.
1. 2. 3. 4. Sur NYC-CLI, ouvrez une session en tant que NYC-CL1\administrateur avec le mot de passe Pa$$w0rd. Lancez une invite de commandes, puis excutez la commande GPupdate /force. Assurez-vous que le menu Excuter saffiche dans le dossier Accessoires du menu Dmarrer. Ouvrez Panneau de configuration, cliquez sur Comptes dutilisateurs, Grer les comptes dutilisateurs, cliquez sur longlet Paramtres avancs, cliquez sur Groupes, ouvrez le groupe Administrateurs, puis assurez-vous que les groupes globaux Administrateurs de domaine et Administrateurs informatiques existent. Redmarrez NYC-CL1.

5.

Implmentation de la scurit laide dune stratgie de groupe

7-51

Tche 2 : Ouvrir une session sur lordinateur Windows Vista comme utilisateur ordinaire et tester la stratgie de compte.
1. 2. 3. 4. 5. Sur NYC-CL1, ouvrez une session en tant que WoodgroveBank\Administrateur avec le mot de passe Pa$$w0rd. Assurez-vous que le menu Excuter ne saffiche pas dans le dossier Accessoires du menu Dmarrer. Appuyez sur Droite-Alt + Suppr, puis cliquez sur Modifier un mot de passe. Dans le champ Ancien mot de passe, tapez Pa$$w0rd. Dans les champs Nouveau mot de passe et Confirmer le mot de passe, tapez w0rdPa$$. Vous ne pouvez pas mettre jour le mot de passe car la dure minimale du mot de passe nest pas arrive expiration. Fermez la session sur NYC-CL1.

6.

Tche 3 : Ouvrir une session sur le contrleur de domaine comme administrateur de domaine et tester les restrictions logicielles et les services.
1. 2. 3. 4. 5. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Lancez une invite de commandes, puis excutez la commande GPupdate /force. Tentez de lancer Internet Explorer, lisez le message derreur, puis cliquez sur OK. Accdez D:\6238\mod07\labfiles, double-cliquez sur Hello.vbs, lisez le message derreur, puis cliquez sur OK. Ouvrez la console MMC Services dans les Outils dadministration. Faites dfiler la liste jusquau service daccs distance au Registre et assurez-vous quil est Dsactiv.

7-52

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 4 : Utiliser la modlisation des stratgies de groupe pour tester les paramtres sur le serveur de fichiers et dimpression.
1. 2. 3. 4. Ouvrez la console de gestion des stratgies de groupe (GPMC), puis lancez lAssistant Modlisation de stratgie de groupe. Acceptez toutes les valeurs par dfaut, sauf dans la fentre Slection dordinateurs et dutilisateurs. Cliquez sur Ordinateur, puis tapez Woodgrovebank\NYC-SVR1. Dans lcran de fin de lAssistant, observez les paramtres de stratgie.

Tche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulations.
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la zone Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez vrifi la configuration de la scurit.

Implmentation de la scurit laide dune stratgie de groupe

7-53

Rcapitulatif du module et objectifs

Considrations relatives limplmentation de la scurit laide de la stratgie de groupe


Lorsque vous implmentez la scurit par le biais dune stratgie de groupe, prenez en compte les lments suivants. Les stratgies de scurit sont des rgles qui protgent les ressources sur les ordinateurs et les rseaux, et qui peuvent tre mis en uvre laide dune stratgie de groupe. La stratgie de domaine par dfaut et la stratgie de contrleurs de domaine par dfaut sont cres par dfaut. Les stratgies de comptes doivent tre implmentes au niveau du domaine. Toute stratgie de niveau domaine est capable de livrer des stratgies de compte. Les clients reoivent les stratgies de compte partir des contrleurs de domaine.

7-54

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Les stratgies locales affectent gnralement tous les utilisateurs de lordinateur local, y compris les utilisateurs du domaine. Les stratgies de scurit rseau peuvent contrler la configuration sans fil pour Windows XP et version ultrieure. Les stratgies de scurit rseau peuvent contrler la configuration pour Windows Vista et version ultrieure. Le Pare-feu Windows prend en charge les rgles du trafic sortant. La reconnaissance du rseau peut dterminer automatiquement votre profil de pare-feu. Les paramtres de pare-feu et les paramtres IPSec sont dsormais intgrs. Les mots de passe affins permettent diffrents utilisateurs ou groupes globaux de disposer de diffrentes stratgies de compte. Les stratgies affines ne sont pas fournies par le biais dune stratgie de groupe. Les stratgies strictes doivent tre cres laide de ADSIedit ou LDIFDE. Lappartenance au domaine tout comme au groupe local peut tre contrle par le biais de la stratgie de groupe. Laccs au logiciel peut tre contrl par le biais de la stratgie de groupe. Les administrateurs locaux peuvent tre exempts des restrictions logicielles. Il existe quatre types de rgles pour contrler laccs aux logiciels. Des modles de scurit peuvent tre utiliss pour fournir un ensemble cohrent de paramtres de scurit. LAssistant Configuration de la scurit simplifie la cration des stratgies de scurit. Les prfrences peuvent remplacer un grand nombre des fonctions des scripts douverture de session. Les prfrences sont appliques une fois, mais ne sont pas mises en uvre et peuvent tre modifies par les utilisateurs. Les prfrences peuvent tre dfinies de manire tre actualises selon le mme programme quune stratgie de groupe. Les prfrences peuvent cibler des objets.

Implmentation de la scurit laide dune stratgie de groupe

7-55

Questions du contrle des acquis


1. Vous souhaitez placer une stratgie de restriction logicielle dans un nouveau type de fichier excutable. Que devez-vous effectuer avant de pouvoir crer une rgle pour ce code de fichier excutable ? Quel paramtre devez-vous configurer pour vous assurer que les utilisateurs nont droit qu trois tentatives douverture de session non valides ? Vous souhaitez fournir des paramtres de scurit cohrents pour tous les ordinateurs clients au sein de lorganisation. Les comptes dordinateurs sont rpartis sur plusieurs units dorganisation. Quelle est la meilleure mthode pour y parvenir ? Un administrateur de votre organisation a modifi par accident la stratgie de contrleur de domaine par dfaut. Vous devez restaurer les paramtres par dfaut dorigine de la stratgie. Quelle mthode utilisez-vous pour y parvenir ?

2. 3.

4.

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-1

Module 8.
Mise en uvre dun plan de contrle de services de domaine Active Directory Table des matires :
Leon 1 : Analyse des services de domaine Active Directory laide de lObservateur dvnements Leon 2 : Contrle des serveurs de domaine Active Directory laide de lanalyseur de fiabilit et de performances Leon 3 : Configuration de laudit des services de domaine Active Directory Atelier pratique : Analyse des services de domaine Active Directory 8-3 8-11 8-20 8-26

8-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

Pour grer et administrer le systme dexploitation dune entreprise, il est important de connatre les outils que vous pouvez utiliser pour surveiller lintgrit du systme. Grce des outils tels que lObservateur dvnements, lanalyseur de fiabilit et de performances et les stratgies daudit, vous serez mieux mme danticiper les problmes et de grer les vnements quotidiens.

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-3

Leon 1 :

Analyse des services de domaine Active Directory laide de lObservateur dvnements

La surveillance des performances du serveur constitue un volet important du contrle et de ladministration dun systme dexploitation. LObservateur dvnements est une application qui vous permet de parcourir, de grer et de contrler les vnements enregistrs dans les journaux des vnements.

8-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnalits de lObservateur dvnements

Points cls
LObservateur dvnements est un des premiers lments vers lesquels vous devez vous tourner lors de la rsolution de problmes dans Microsoft Windows. Un certain nombre de nouvelles fonctionnalits sont intgres lObservateur dvnements dans Windows Vista et Windows Server 2008. LObservateur dvnements a t compltement rcrit et dot dune nouvelle interface utilisateur qui facilite le filtrage et le tri des vnements et contrle les vnements enregistrs. En outre, vous pouvez excuter certaines tches de diagnostic de base partir de lObservateur dvnements. Il fournit galement nombre de nouveaux fichiers journaux.

Lectures complmentaires
Article Microsoft Technet : Observateur dvnements Article Microsoft Technet : Informations sur les vnements en ligne

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-5

Dmonstration : Prsentation de lObservateur dvnements

Question : Vous avez un problme au niveau de stratgie de groupe. Quel journal devez-vous afficher pour consulter les vnements dtaills de stratgie de groupe ?

8-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Journaux des services de domaine Active Directory

Points cls
Les journaux Systme et Application fournissent toujours des informations gnrales et des vnements de journaux en provenance de nombreux domaines, mais lObservateur dvnements offre maintenant une grande varit de journaux dapplication et de service. Ces journaux peuvent fournir des informations prcises sur les services de domaine Active Directory et dautres services, notamment la stratgie de groupe, les fichiers hors connexion et le client Windows Update.

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-7

Description de la vue personnalise

Points cls
Les vues personnalises sont des filtres qui sont nomms et enregistrs. Une fois la vue personnalise cre et enregistre, vous tes en mesure de la rutiliser sans avoir recrer son filtre sous-jacent. Pour rutiliser une vue personnalise, accdez la catgorie Vues personnalises dans larborescence de la console et slectionnez le nom de la vue personnalise. Ce faisant, vous appliquez le filtre qui lui est associ et les rsultats sont affichs. Vous pouvez importer et exporter les vues personnalises, ce qui vous permet de les partager entre des utilisateurs et des ordinateurs.

Lectures complmentaires
Article Microsoft Technet : Crer une vue personnalise (ventuellement en anglais)

8-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description des abonnements

Points cls
LObservateur dvnements vous permet dafficher les vnements sur un ordinateur distant unique. Toutefois, la rsolution des problmes peut exiger que vous examiniez un ensemble dvnements stocks dans plusieurs journaux sur plusieurs ordinateurs. LObservateur dvnements offre la possibilit de collecter des copies des vnements depuis plusieurs ordinateurs distants et de les stocker localement. Pour spcifier les vnements recueillir, vous devez crer un abonnement un vnement. Une fois quun abonnement est activ, et que les vnements sont recueillis, vous pouvez afficher et traiter les vnements transmis comme sil sagissait de nimporte quel vnement stock en local. Question : O les abonnements seraient-ils le plus utile dans votre organisation ?

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-9

Lectures complmentaires
Article Microsoft Technet : Abonnements aux vnements (ventuellement en anglais) Article Microsoft Technet : Configurer les ordinateurs pour transmettre et collecter les vnements

8-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration des vues personnalises et des abonnements

Question : Vous souhaitez surveiller un groupe dvnements particulier sur plusieurs serveurs Web. Quelle est la meilleure mthode pour y parvenir ?

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-11

Leon 2 :

Contrle des serveurs de domaine Active Directory laide de lanalyseur de fiabilit et de performances

En gnral, les performances sont une indication de la rapidit laquelle un ordinateur excute des applications et des tches systme. Vous pouvez utiliser lanalyse de performances pour effectuer le suivi dune plage de processus et afficher les rsultats. Vous pouvez galement utiliser lanalyse des performances pour vous aider mettre niveau la planification, effectuer le suivi des processus optimiser et connatre une charge de travail et son impact sur lutilisation des ressources pour identifier les goulets dtranglement. Les performances du systme globales peuvent tre limites par la vitesse daccs des disques durs physiques, la quantit de mmoire disponible, la vitesse du processeur ou le dbit des interfaces rseau.

8-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctions de lanalyseur de fiabilit et de performances

Points cls
Lanalyseur de fiabilit et de performances Windows vous permet deffectuer le suivi de limpact des performances et des applications et de gnrer des alertes ou des actions lorsque des seuils de performances optimales dfinis par lutilisateur sont dpasss. Lanalyseur de fiabilit et de performances Windows fournit les fonctionnalits dcrites ci-dessous. Vue des ressources Analyseur de fiabilit Ensembles de collecteurs de donnes Suivi des performances des applications et des services Assistants et modles pour crer des journaux Gnrer des alertes et prendre les mesures lorsque les seuils sont atteints

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-13

Gnrer des rapports Accs lanalyseur de fiabilit et de performances

Lectures complmentaires
Article Microsoft Technet : Analyseur de fiabilit et de performances Windows

8-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Prsentation de lanalyseur de fiabilit et de performances

Question : O pouvez-vous trouver des informations en temps rel sur lactivit du rseau ?

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-15

Analyse des services de domaine Active Directory laide de lanalyseur de performances

Points cls
Lanalyse du service Active Directory distribu et des services sur lesquels il repose permet de conserver la cohrence des donnes dannuaire, ainsi que le niveau de service requis dans la fort. Vous pouvez contrler les principaux indicateurs pour identifier et rsoudre des problmes mineurs avant quils nentranent des coupures de service plus ou moins longues. Outre les compteurs de ligne de base que vous analysez pour tous les serveurs, il existe des objets et des douzaines de compteurs spcifiques aux services de domaine Active Directory.

Lectures complmentaires
Article Microsoft Technet : Analyse dActive Directory

8-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description de la ligne de base Active Directory

Points cls
Une ligne de base informatique est une mesure du comportement dune ressource donne pendant une activit normale indiquant comment la ressource, ou lensemble de ressources systme, fonctionne. Ces informations sont ensuite compares lactivit ultrieure afin danalyser lutilisation du systme et les rponses de ce dernier en cas de modification des conditions.

Lectures complmentaires
Article Microsoft Technet : Dploiement dActive Directory dans les environnements de succursales, Chapitre 9 - Analyse aprs dploiement des contrleurs de domaine (ventuellement en anglais)

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-17

Contrle de la disponibilit des services laide de lanalyseur de fiabilit

Points cls
La fiabilit dun systme permet de mesurer la frquence laquelle un systme ne se comporte pas comme il le devrait. Lanalyseur de fiabilit calcule un index de stabilit du systme qui montre si des problmes inattendus en ont affect la fiabilit. Un graphique de lindex de stabilit dans le temps permet didentifier rapidement les dates partir desquelles les problmes ont commenc se produire. Question : Vous souhaitez voir un enregistrement historique du logiciel qui a t ajout lordinateur ou supprim de ce dernier. O allez-vous trouver ces informations ?

Lectures complmentaires
Article Microsoft Technet : Guide pas pas de lanalyse de la fiabilit et des performances Windows Vista (ventuellement en anglais)

8-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Analyse des services de domaine Active Directory laide densembles de collecteurs de donnes

Points cls
Lanalyseur de fiabilit et de performances de Windows est dot dune nouvelle fonctionnalit, lensemble de collecteurs de donnes, qui regroupe des collecteurs de donnes sous forme dlments rutilisables avec diffrents scnarios danalyse de performances. Question : Vous souhaitez crer une alerte pour vous avertir lorsque lespace disque disponible est insuffisant. Comment allez-vous procder ?

Lectures complmentaires
Article Microsoft Technet : Cration densembles de collecteurs de donnes

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-19

Dmonstration : Analyse des services de domaine Active Directory

Question : Quel est le moyen le plus simple de consigner le mme ensemble de donnes sur plusieurs ordinateurs ?

8-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 3 :

Configuration de laudit de services de domaine Active Directory

Dans nimporte quel environnement scuris, vous devez analyser activement les services de domaine Active Directory. Dans le cadre de votre stratgie de scurit globale, vous devez dterminer le niveau daudit appropri pour votre environnement. Laudit doit identifier les actions, russies ou non, ayant modifi ou tent de modifier les objets Active Directory.

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-21

Quest-ce que laudit des services de domaine Active Directory ?

Points cls
Un journal daudit enregistre une entre chaque fois que les utilisateurs effectuent certaines actions spcifiques. Par exemple, la modification dun objet ou dune stratgie peut dclencher une entre daudit montrant lopration excute, le compte dutilisateur associ et la date et heure de laction. Vous pouvez auditer la fois les tentatives dopration ayant abouti et celles qui ont chou. Avant de mettre en uvre une stratgie daudit, vous devez dfinir les catgories dvnements que vous voulez auditer. Les paramtres daudit que vous choisissez pour les catgories dvnements dfinissent votre stratgie daudit. Sur les serveurs et les stations de travail membres lies un domaine, les paramtres daudit ne sont pas dfinis par dfaut. Sur les contrleurs de domaine, les audits sont activs par dfaut.

8-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Article Microsoft Technet : Guide pas pas de laudit des modifications AD DS dans Windows Server Longhorn Bta 3 (ventuellement en anglais) Support technique Microsoft : Comment utiliser la stratgie de groupe pour configurer des paramtres daudit de scurit dtaills pour des ordinateurs Windows Vista et Windows Server 2008 dans un domaine Windows Server 2008, Windows Server 2003 ou Windows 2000. (ventuellement en anglais) Article Microsoft Technet : Ensemble de commandes Auditpol (ventuellement en anglais)

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-23

Dmonstration : Configuration dune stratgie daudit

Question : Quel journal affiche les rsultats daudit ?

8-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Types dvnements auditer

Points cls
La catgorie Accs au service dannuaire fournit toujours des informations sur tous les vnements qui se produisent dans lannuaire, et elle est active par dfaut, mais vous pouvez obtenir des informations plus dtailles en provenance des souscatgories. Question : Vous souhaitez effectuer le suivi des dtails de toutes les modifications apportes aux objets Active Directory dune unit dorganisation particulire (UO) et des units dorganisation enfants. Quelle entre de contrle daccs (ACE) devez-vous paramtrer pour recueillir ces informations ?

Lectures complmentaires
Article Microsoft Technet : Guide pas pas de laudit des modifications des services de domaine Active Directory dans Windows Server 2008 (ventuellement en anglais)

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-25

Dmonstration : Configuration de laudit de services de domaine Active Directory

Question : Comment devez-vous activer le suivi des vnements dchec pour la sous-catgorie de modification des services dannuaire ?

8-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Analyse des services de domaine Active Directory

Scnario
La Woodgrove Bank a termin le dploiement de services de domaine Active Directory. En tant quadministrateur des services de domaine Active Directory, vous devez contrler la disponibilit et les performances des services de domaine. Ladministrateur serveur a fourni un plan de contrle incluant la disponibilit des services, les performances et les composants danalyse du journal des vnements. En utilisant le contrle des performances et de la fiabilit, lObservateur dvnements ainsi que dautres outils, vous pouvez surveiller les contrleurs de domaine des services de domaine Active Directory.

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-27

Exercice 1 : Analyse des services de domaine Active Directory laide de lObservateur dvnements
En tant quadministrateur rseau, vous souhaitez collecter des informations de lObservateur dvnements provenant des services dannuaire de lensemble des contrleurs de domaine. Vous allez crer une vue personnalise pour recueillir les vnements critiques, derreur et davertissement pour les services de domaine Active Directory et le serveur DNS. Ensuite, vous allez exporter la vue vers un dossier rseau partag et importer la vue personnalise dans NYC-DC2. Vous souhaitez galement contrler quel moment les services sarrtent et dmarrent sur NYC-DC2. Vous allez crer un abonnement afin de transmettre lvnement 7036 de NYC-DC2 vers NYC-DC1 et tester le rsultat. Enfin, vous allez associer une tche au journal dinstallation de Windows pour tre averti chaque fois quun vnement sera gnr dans le journal dinstallation sur NYC-DC1, de sorte vous permettre de suivre linstallation des applications. Vous allez galement associer une tche lvnement 7P036 afin dtre inform en cas de problme de services. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. 6. 7. Dmarrer les ordinateurs virtuels et ouvrir une session. Crer une vue personnalise pour capturer les vnements appropris. Exporter une vue personnalise. Importer une vue personnalise. Configurer les ordinateurs pour transmettre et collecter les vnements. Crer un abonnement afin de transmettre les vnements depuis NYC-DC2 vers NYC-DC1. Joindre une tche un journal des vnements et joindre une tche un vnement.

8-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session.


1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes et sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC2, cliquez sur Lancer. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Sur NYC-DC2, ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4. 5. 6.

Tche 2 : Crer une vue personnalise pour capturer les vnements appropris.
1. 2. 3. 4. 5. Sur NYC-DC1, ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd. Lancez lObservateur dvnements partir du dossier Outils dadministration. Cliquez avec le bouton droit sur Vues personnalises, puis cliquez sur Crer une vue personnalise. Activez les cases cocher en regard de Critique, Avertissement et Erreur. Cliquez sur la flche droulante en regard de Journaux dvnements, dveloppez Journaux des applications et des services, slectionnez Service dannuaire et Serveur DNS, puis cliquez sur OK. Nommez la vue personnalise Service dannuaire.

6.

Tche 3 : Exporter une vue personnalise.


1. 2. Cliquez avec le bouton droit sur la vue personnalise Service dannuaire, puis cliquez sur Exporter la vue personnalise. Enregistrez la vue exporte sous C:\Data Active Directory.

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-29

Tche 4 : Cliquer avec le bouton droit sur Vues personnalises, puis cliquer sur Crer une vue personnalise.
1. 2. 3. 4. Sur NYC-DC2, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Lancez lObservateur dvnements partir du dossier Outils dadministration. Cliquez avec le bouton droit sur Vues personnalises, puis cliquez sur Importer une vue personnalise. Importez la vue personnalise de \\NYC-DC1\Data\Active Directory.xml.

Tche 5 : Configurer les ordinateurs pour transmettre et collecter les vnements.


1. 2. 3. 4. 5. Sur NYC-DC1 (ordinateur collecteur), ouvrez une Invite de commandes, tapez wecutil qc et Y, puis appuyez sur Entre pour effectuer les modifications. Fermez linvite de commandes. Basculez sur NYC-DC2 (ordinateur source). Ouvrez lInvite de commandes, tapez winrm quickconfig et Y, puis appuyez sur Entre pour effectuer les modifications. Fermez linvite de commandes.

Tche 6 : Crer un abonnement afin de transmettre les vnements depuis NYC-DC2 vers NYC-DC1.
1. 2. 3. 4. 5. Sur NYC-DC1, dans lObservateur dvnements, cliquez avec le bouton droit sur Abonnements, puis cliquez sur Crer un abonnement. Nommez labonnement vnements du Service, cliquez sur Initialisation par le collecteur, puis sur Slectionner les ordinateurs. Cliquez sur Ajouter des ordinateurs du domaine, puis sur NYC-DC2. Cliquez sur Slectionnez des vnements, puis slectionnez les vnements dinformations. Cliquez sur la flche droulante en regard de Journaux des vnements, dveloppez Journaux Windows, puis slectionnez le journal Systme.

8-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

6. 7. 8. 9.

Dans le champ ID dvnement, tapez 7036, puis cliquez sur OK. Cliquez sur Avanc, sur Utilisateur spcifique, puis sur Utilisateur et Mot de passe. Assurez-vous que le nom dutilisateur est bien Woodgrovebank\Administrateur, puis entrez le mot de passe Pa$$w0rd. Cliquez sur Minimiser la latence, puis cliquez deux fois sur OK. Cliquez sur Oui pour rpondre aux messages de lObservateur dvnements sils apparaissent.

10. Dans le volet des dossiers, cliquez sur le dossier Abonnements et assurez-vous que ltat dabonnement des vnements du service est Actif. 11. Sur NYC-DC2, ouvrez lInvite de commandes. 12. Dans linvite de commandes, tapez Net Stop DNS, puis appuyez sur Entre. 13. Tapez Net Start DNS, puis appuyez sur Entre. 14. Sur NYC-DC1, cliquez sur le journal vnements transmis. Examinez les vnements dinformation.

Remarque : les vnements rels peuvent prendre quelques minutes pour apparatre dans le journal des vnements transmis. Dmarrez et arrtez le service DNS nouveau si ncessaire.

Tche 7 : Joindre une tche un journal des vnements et un vnement.


1. Sur NYC-DC1, dveloppez les journaux Windows, cliquez avec le bouton droit sur le journal dinstallation, puis cliquez sur Joindre une tche ce journal. Dans lAssistant Crer une tche de base, cliquez sur Suivant. Dans la fentre Lors de lenregistrement dun vnement spcifique, cliquez sur Suivant. Dans la fentre Action, cliquez sur Envoyer un courrier lectronique, puis sur Suivant. Dans la fentre Envoyer un courrier lectronique, tapez Observateur dvnements dans le champ De.

2. 3. 4. 5.

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-31

6. 7. 8. 9.

Tapez Administrateur@woodgrovebank.com dans le champ . Tapez Installation dapplication dans le champ Objet. Tapez Mail.Woodgrovebank.com dans le champ Serveur SMTP, cliquez sur Suivant, puis sur Terminer. Cliquez sur OK. Cliquez sur le journal vnements transmis pour louvrir.

10. Cliquez avec le bouton droit sur lun des vnements 7036, puis cliquez sur Joindre une tche cet vnement. 11. Sur lcran Crer une tche de base, cliquez sur Suivant. 12. Sur lcran Lors de lenregistrement dun vnement spcifique, cliquez sur Suivant. 13. Sur lcran Action, cliquez sur Afficher un message, puis cliquez sur Suivant. 14. Sur lcran Afficher un message, tapez vnement de service dans le champ Titre, tapez Un service arrt ou dmarr dans le champ Message, cliquez sur Suivant, puis sur Terminer, puis cliquez sur OK pour accuser rception du message de lObservateur dvnements. 15. Basculez sur NYC-DC2 et rptez les tapes pour arrter et dmarrer le service DNS. 16. Lorsque la bote de message saffiche avec votre message, cliquez sur OK pour accuser rception du message.
Remarque : la bote de message peut tre masque par la fentre de lObservateur dvnements. Cherchez-la dans la barre des tches.

17. Fermez toutes les fentres.


Rsultat : au terme de cet exercice, vous avez analys les services de domaine Active Directory laide de lObservateur dvnements.

8-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Analyse des services de domaine Active Directory laide de lanalyseur de fiabilit et de performances
En tant quadministrateur rseau, vous allez configurer lanalyseur de fiabilit et de performances pour contrler certains des compteurs du service dannuaire. Vous allez galement crer des ensembles de collecteurs de donnes laide de lanalyseur de performances et configurer une alerte qui sera dclenche lorsque lespace disque disponible deviendra insuffisant. Dans ces exercices, les tches principales sont les suivantes : 1. 2. Configurer lanalyseur de fiabilit et de performances afin de contrler les services de domaine Active Directory. Crer un ensemble de collecteurs de donnes.

Tche 1 : Configurer lanalyseur de fiabilit et de performances afin de contrler les services de domaine Active Directory.
1. 2. 3. 4. Sur NYC-DC1, , ouvrez lAnalyseur de fiabilit et de performances, dans Outils dadministration, puis cliquez sur Analyseur de performances. Cliquez sur le signe Plus vert de la barre doutils pour ajouter des objets et des compteurs. Dans la bote de dialogue Ajouter des compteurs, dveloppez lobjet Services dannuaire, puis ajoutez le compteur Nb total doctets DRA entrants/s. Rptez ltape prcdente pour ajouter les compteurs suivants : 5. 6. Nb total doctets DRA sortants/s Nb de threads Active Directory utiliss Lectures Active Directory/s critures Active Directory/s

Dveloppez Statistiques de scurit au niveau du systme, puis ajoutez le compteur Authentifications Kerberos. Dveloppez DNS, puis ajoutez le compteur Requtes UDP reues.

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-33

Tche 2 : Crer un ensemble de collecteurs de donnes.


1. Dans le volet Dossier, cliquez avec le bouton droit sur Analyseur de performances, cliquez sur Nouveau, puis sur Ensemble de collecteurs de donnes. Nommez lensemble de collecteurs de donnes Active Directory. Laissez le rpertoire racine comme chemin daccs par dfaut, puis cliquez sur Terminer. Dveloppez Ensembles de collecteurs de donnes, puis Dfini par lutilisateur, cliquez avec le bouton droit sur lensemble de collecteurs de donnes Active Directory, puis cliquez sur Dmarrer. Dveloppez successivement Rapports, Dfini par lutilisateur, Active Directory, puis cliquez sur System Monitor Log.blg. Le statut du rapport montre que le journal est en train de collecter des donnes. Cliquez sur lensemble de collecteurs de donnes Active Directory, puis sur Arrter. Cliquez sur System Monitor Log.blg. Le graphique correspondant au journal saffiche dans le volet dinformations.
Rsultat : au terme de cet exercice, vous aurez analys les services de domaine Active Directory laide de lanalyseur de fiabilit et de performances.

2. 3. 4.

5.

6. 7.

8-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Configuration de laudit de services de domaine Active Directory


En tant quadministrateur rseau, vous avez t charg de la mise en uvre dune stratgie daudit pour effectuer le suivi dvnements spcifiques se produisant dans les services de domaine Active Directory. Tout dabord, vous allez examiner ltat actuel de la stratgie daudit. Puis vous allez configurer laudit comme indiqu pour effectuer le suivi des modifications (quelles aient ou non abouti) apportes aux objets Active Directory, notamment les valeurs anciennes et nouvelles des attributs. Pour terminer, vous testerez la stratgie. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. Examiner ltat actuel de la stratgie daudit. Activer loption Auditer laccs au service dannuaire sur les contrleurs de domaine. Dfinir la liste de contrle daccs systme (SACL) pour le domaine. Tester la stratgie. Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.

Tche 1 : Examiner ltat actuel de la stratgie daudit.


1. 2. Sur NYC-DC1, ouvrez lInvite de commandes. Dans la fentre dinvite de commandes, tapez Auditpol.exe /get/Category: * puis appuyez sur Entre. Examinez les paramtres de stratgie daudit par dfaut. Rduisez la fentre dinvite en icne.

3.

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-35

Tche 2 : Activer loption Auditer laccs au service dannuaire sur les contrleurs de domaine.
1. 2. 3. Sur NYC-DC1, ouvrez Gestion des stratgies de groupe. Ouvrez le dossier Objets Stratgie de groupe et modifiez la stratgie par dfaut Contrleurs de domaine. Dveloppez successivement Configuration ordinateur, puis Paramtres Windows, Paramtres de scurit et Stratgie locale, puis cliquez sur Stratgie daudit. Notez que tous les paramtres de stratgie ont pour valeur Non dfini. Double-cliquez sur Auditer laccs au service dannuaire, dfinissez les paramtres de stratgie la fois pour Succs et chec, puis cliquez sur OK. Fermez lditeur de gestion des stratgies de groupe, puis la console de gestion des stratgies de groupe. Restaurez linvite de commandes, puis tapez Gpupdate. Lorsque la mise jour est termine, excutez de nouveau la commande Auditpol.exe /get /category:* et examinez les paramtres de stratgie daudit par dfaut. Fermez linvite de commandes.

4, 5. 6. 7.

8.

Tche 3 : Dfinir la liste de contrle daccs systme (SACL) pour le domaine.


1. 2. 3. 4. 5. 6. Ouvrez Utilisateurs et ordinateurs Active Directory. Cliquez sur le menu Afficher, puis sur Fonctionnalits avances. Cliquez avec le bouton droit sur lobjet domaine woodgrovebank.com, puis cliquez sur Proprits. Dans la bote de dialogue Proprits, cliquez sur longlet Scurit, sur Avanc, sur longlet Audit, puis cliquez sur Ajouter. Dans la bote de dialogue Slectionner un utilisateur, tapez Tout le monde, puis cliquez sur OK. Dans la bote de dialogue Audit de lentre pour Woodgrovebank, activez la case cocher pour auditer la fois Succs et chec pour crire toutes les proprits, puis cliquez deux reprises sur OK.

8-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 4 : Tester la stratgie.


1. 2. 3. 4. 5. 6. 7. Renommez lUO Toronto en GTA. Ouvrez lObservateur dvnements, dveloppez Journaux Windows, puis cliquez sur Scurit. Ouvrez lvnement 4662 et examinez-le. Retournez dans Utilisateurs et ordinateurs Active Directory et modifiez nimporte quel compte dutilisateur pour changer le numro de tlphone. Revenez lObservateur dvnements et examinez les vnements rsultant des modifications du service dannuaire. Fermez toutes les fentres. Arrtez tous les ordinateurs virtuels sans enregistrer les modifications.

Tche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : Au terme de cet exercice, vous avez configur lAudit de service dannuaire Active Directory.

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-37

Rcapitulatif du module et objectifs

Questions du contrle des acquis


1. 2. 3. 4. 5. Quels types dvnements sont enregistrs dans le journal du programme dinstallation ? Sur quel ID dvnement devez-vous filtrer pour voir les comptes dutilisateur supprims ? Quel service devez-vous activer sur les ordinateurs collectant des vnements dabonnement en provenance dordinateurs distants ? O pouvez-vous obtenir des informations jour sur les ID dvnement ? O pouvez-vous obtenir lhistorique des informations sur les checs dapplication ?

8-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

6.

Le compteur NTDS\Nb de synchronisations de rplication DRA en attente est bien au-dessus de la valeur de ligne de base dfinie pour lui. Quest-ce que cela peut signifier ? Vous souhaitez afficher toutes les occurrences dun ID dvnement particulier prsent sur plusieurs journaux. Quelle est la meilleure mthode pour y parvenir ?

7.

Remarques lies la mise en uvre dun plan danalyse des services de domaine Active Directory
Prenez les points suivants en compte lorsque vous mettez en uvre un plan de contrle des services de domaine Active Directory : lObservateur dvnements vous permet denregistrer les filtres en tant que vues personnalises rutilisables ; les requtes sur plusieurs journaux vous permettent dafficher des donnes issues de plusieurs journaux dans une seule vue ; les abonnements vous permettent de recueillir des vnements en provenance dordinateurs distants ; les journaux dapplication et de services fournissent des journaux plus dtaills appartenant des services Windows spcifiques ; les journaux des vnements fournissent des informations jour sur les vnements ; les journaux dapplication et de service comprennent les journaux administratifs, oprationnels, analytiques et de dbogage ; un journal est cr pour chaque rle de serveur que vous installez ; vous pouvez importer et exporter des vues personnalises ; les abonnements ncessitent une configuration des ordinateurs de collecte et source ; lanalyseur de fiabilit et de performances fournit des informations en temps rel dans la vue des ressources ; lanalyseur de fiabilit fournit un affichage graphique de la stabilit du systme au fil du temps ; vous pouvez gnrer des rapports conviviaux ;

Mise en uvre dun plan de contrle de services de domaine Active Directory

8-39

lAnalyseur de performances fournit une grande varit dobjets et de compteurs Active Directory ; vous devez tablir des lignes de base pour dterminer les performances dun ordinateur dans des conditions de charge de travail normales ; le rapport de stabilit du systme effectue le suivi de plusieurs catgories dvnements et conserve un historique ; les ensembles de collecteurs de donnes vous permettent de regrouper des collecteurs de donnes sous forme dlments rutilisables ; il existe un certain nombre densembles de collecteurs de donnes intgrs ou vous pouvez dfinir les vtres ; laudit des services de domaine Active Directory permet de suivre tous les vnements qui se produisent dans les services de domaine Active Directory ; laudit Accs au service dannuaire se divise en quatre sous-catgories ; la sous-catgorie Modification du service dannuaire fournit les valeurs anciennes et nouvelles lorsque vous modifiez les attributs ; vous devez utiliser Auditpol.exe pour configurer les sous-catgories ; avant de pouvoir recueillir un quelconque rsultat, il convient de dfinir des listes de contrles daccs systme sur les objets pour permettre laudit ; la sous-catgorie Modification du service dannuaire fournit les valeurs anciennes et nouvelles lorsque vous modifiez les attributs ; Auditpol.exe doit tre utilis pour configurer des sous-catgories ; avant de pouvoir recueillir un quelconque rsultat, il convient de dfinir des listes de contrles daccs systme sur les objets pour permettre laudit.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-1

Module 9.
Implmentation dun plan de maintenance des services de domaine Active Directory
Table des matires :
Leon 1 : Gestion des contrleurs de domaine de services de domaine Active Directory Leon 2 : Sauvegarde des services de domaine Active Directory Leon 3 : Restauration des services de domaine Active Directory Atelier pratique : Implmentation dun plan de maintenance des services de domaine Active Directory 9-3 9-16 9-20 9-32

9-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

En tant quadministrateur Windows Server 2008, lune de vos tches consiste grer les contrleurs de domaine des services de domaine Active Directory (AD DS) de votre organisation. La gestion, la sauvegarde et la restauration du magasin de donnes des services de domaine Active Directory constituent une composante importante de la gestion des contrleurs de domaine.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-3

Leon 1 :

Gestion des contrleurs de domaine de services de domaine Active Directory

La gestion de la base de donnes de services de domaine Active Directory est une tche dadministration importante que vous devez planifier rgulirement pour vous assurer, en cas de catastrophe, de pouvoir rcuprer des donnes perdues ou altres et rparer la base de donnes des services de domaine Active Directory. Les services de domaine Active Directory possdent leur propre moteur de base de donnes, le moteur ESE (Extensible Storage Engine), qui gre le stockage de tous les objets de services de domaine Active Directory dans une base de donnes de services de domaine Active Directory. En comprenant la manire dont les modifications apportes aux attributs dans les services de domaine Active Directory sont crites dans la base de donnes, vous allez comprendre comment la modification des donnes affecte les performances et la fragmentation de la base de donnes, ainsi que lintgrit des donnes.

9-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Base de donnes des services de domaine Active Directory et fichiers journaux

Points cls
Le moteur de base de donnes des services de domaine Active Directory, le moteur ESE, stocke tous les objets des services de domaine Active Directory. Le moteur ESE utilise des transactions et des fichiers journaux pour sassurer de lintgrit de la base de donnes des services de domaine Active Directory.

Lectures complmentaires
Article Microsoft Technet : Fonctionnement du stockage des donnes (ventuellement en anglais)

Implmentation dun plan de maintenance des services de domaine Active Directory

9-5

Modification de la base de donnes des services de domaine Active Directory

Points cls
Les points cls du processus de modification des donnes des services de domaine Active Directory sont les suivants : Une transaction est un ensemble de modifications apportes la base de donnes des services de domaine Active Directory et aux mtadonnes associes. Le processus de base de modification des donnes comprend six tapes : 1. 2. 3. 4. La demande dcriture dclenche une transaction. Les services de domaine Active Directory crivent la transaction dans la mmoire tampon des transactions de la mmoire. Les services de domaine Active Directory crivent la transaction dans le journal des transactions. Les services de domaine Active Directory crivent la transaction dans la base de donnes partir de la mmoire tampon.

9-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

5.

Les services de domaine Active Directory comparent la base de donnes et les fichiers journaux pour sassurer que la transaction a t valide dans la base de donnes. Les services de domaine Active Directory mettent jour le fichier de point de vrification.

6.

La mise en cache et la journalisation amliorent les performances de la base de donnes en permettant aux services de domaine Active Directory de traiter plusieurs transactions supplmentaires avant de les crire dans la base de donnes.

Questions : Quels sont les autres services Microsoft qui utilisent un modle transactionnel pour apporter des modifications la base de donnes ? En quoi le modle des services de domaine Active Directory diffre-t-il de ces autres services ?

Lectures complmentaires
Article Microsoft Technet : Fonctionnement du stockage des donnes (ventuellement en anglais)

Implmentation dun plan de maintenance des services de domaine Active Directory

9-7

Gestion de la base de donnes Active Directory laide de loutil NTDSUtil

Points cls
Ntdsutil.exe est un outil de ligne de commande que vous pouvez utiliser pour grer les services de domaine Active Directory. Vous pouvez effectuer de nombreuses tches de maintenance qui ne peuvent pas tre effectues dans linterface graphique utilisateur (GUI), y compris la dfragmentation en mode hors connexion de la base de donnes, le dplacement de la base de donnes et de son journal des transactions, la suppression et la restauration dobjets supprims partir des services de domaine Active Directory, la saisie des rles matres doprations, galement appels FSMO (Flexible Single Master Operations), ainsi que la gestion dinstantans de la base de donnes. Vous pouvez galement inclure ces commandes dans un fichier de commandes. Question : Vous avez oubli le mot de passe en mode Restauration des services dannuaire pour votre contrleur de domaine. Comment pouvez-vous rcuprer le mot de passe ?

9-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Aide de NTDSUtil (ventuellement en anglais) Outils et paramtres des magasins de donnes (ventuellement en anglais)

Implmentation dun plan de maintenance des services de domaine Active Directory

9-9

Dfragmentation de la base de donnes des services de domaine Active Directory

Points cls
Au fil du temps, la fragmentation se produit lorsque des enregistrements de la base des services de domaine Active Directory sont supprims et que de nouveaux enregistrements sont ajouts ou dvelopps. Lorsque les enregistrements sont fragments, lordinateur doit rechercher et rassembler les lments sur le disque, chaque fois que la base de donnes est ouverte. Si de nombreuses modifications ont t apportes la base de donnes des services de domaine Active Directory, la fragmentation peut ralentir les performances. Question : quelle frquence devez-vous effectuer une dfragmentation en mode hors connexion de votre base de donnes des services de domaine Active Directory dans votre environnement ?

9-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Dfragmentation en mode hors connexion de la base de donnes des services de domaine Active Directory (ventuellement en anglais) Outils et paramtres des magasins de donnes (ventuellement en anglais)

Implmentation dun plan de maintenance des services de domaine Active Directory

9-11

Services de domaine Active Directory redmarrables

Points cls
Les services de domaine Active Directory dans Windows Server 2008 peuvent tre arrts et redmarrs lorsque lordinateur est dmarr. Dans les versions prcdentes, si un administrateur souhaite dmarrer un contrleur de domaine sans charger les services de domaine Active Directory, le serveur doit tre redmarr en mode de restauration des services de domaine Active Directory. Cette opration dmarre le serveur comme serveur autonome sans les services de domaine Active Directory. Vous pouvez alors effectuer des tches de maintenance en mode hors connexion, comme une dfragmentation en mode hors connexion ou le dplacement des fichiers de la base de donnes et des fichiers journaux. Avec Windows Server 2008, le service dannuaire peut tre utilis en mode hors connexion alors que lordinateur est excut, avec une interruption minimale des autres services.

9-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Services de domaine Active Directory : Services de domaine Active Directory redmarrables (ventuellement en anglais) Bibliothque technique Windows Server 2008 (ventuellement en anglais)

Implmentation dun plan de maintenance des services de domaine Active Directory

9-13

Dmonstration : Excution de tches de maintenance de la base de donnes des services de domaine Active Directory

tapes de dmonstration
Pour effectuer ces procdures, vous devez tre un membre du groupe Administrateurs intgr sur le contrleur de domaine. 1. 2. 3. 4. 5. 6. 7. Arrtez les services de domaine Active Directory. Ouvrez une invite de commandes. Dmarrez ntdstuil. Dans linvite ntdsutil, tapez Activate Instance NTDS, puis appuyez sur Entre. Dans linvite ntdsutil, tapez files, puis appuyez sur Entre. Compactez la base de donnes laide dun rpertoire temporaire pour la nouvelle version de ntds.dit. Remplacez lancienne version de ntds.dit par la nouvelle version compacte, puis supprimez les fichiers journaux (* .log) dans le dossier %systemroot%\NTDS\.

9-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

8. 9.

Dans la fentre dinvite de commandes file maintenance de ntdsutil, tapez integrity pour vrifier lintgrit de la nouvelle base de donnes compacte. Dans la fentre de linvite de commandes file maintenance, tapez move db to chemin daccs, puis appuyez sur Entre. Le fichier ntds.dit est dplac vers le nouvel emplacement et les autorisations sont dfinies en consquence.

10. Dmarrez les services de domaine Active Directory. Questions : Pourquoi est-il ncessaire darrter les services de domaine Active Directory avant la dfragmentation ? Pourquoi est-il ncessaire de compacter la base de donnes dans un rpertoire temporaire dabord ?

Lectures complmentaires
Compression du fichier de base de donnes dannuaire (dfragmentation en ligne) (ventuellement en anglais)

Implmentation dun plan de maintenance des services de domaine Active Directory

9-15

Verrouillage des services sur les contrleurs de domaine des services de domaine Active Directory

Points cls
Dans le cadre dun plan de scurit complet, vous pouvez augmenter la scurit dun contrleur de domaine en supprimant lensemble des services et des fonctionnalits inutiles. Cela rduit la surface dattaque et amliore les performances.

Lectures complmentaires
Prsentation de lAssistant Configuration de la scurit (ventuellement en anglais)

9-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 2 :

Sauvegarde des services de domaine Active Directory

En raison de limportance des services de domaine Active Directory pour la plupart des organisations, il est essentiel de pouvoir restaurer les fonctionnalits des services de domaine Active Directory si la base de donnes est altre, en cas de dfaillance du serveur ou dun incident plus grave comme la dfaillance dun centre de donnes qui contient plusieurs serveurs. Pour prparer la rcupration durgence, vous devez implmenter une stratgie cohrente pour la sauvegarde des informations des services de domaine Active Directory sur les contrleurs de domaine.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-17

Prsentation de la sauvegarde des services de domaine Active Directory

Points cls
Vous pouvez utiliser lutilitaire de sauvegarde Windows Server pour sauvegarder les services de domaine Active Directory. Lutilitaire de sauvegarde Windows Server nest pas install par dfaut. Vous devez linstaller laide de loption Ajouter des fonctionnalits de Server Manager avant de pouvoir utiliser loutil de ligne de commande Wbadmin.exe ou lutilitaire de sauvegarde des Outils dadministration. Question : Quels sont les autres processus que vous pouvez utiliser pour sauvegarder les donnes sur ltat du systme dans un contrleur de domaine ?

Lectures complmentaires
Guide tape par tape pour la sauvegarde et la rcupration des services de domaine Active Directory de Windows Server 2008 version bta 3 (ventuellement en anglais)

9-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnalits de sauvegarde de Windows Server

Points cls
Lutilitaire de sauvegarde Windows Server est le nouvel utilitaire de sauvegarde mis disposition par Windows Server 2008. Pour utiliser lutilitaire de sauvegarde Windows Server, vous devez linstaller en tant que fonctionnalit. Si vous souhaitez utiliser les outils de ligne de commande de lutilitaire de sauvegarde Windows Server, vous devez galement installer la fonctionnalit Windows PowerShell.

Lectures complmentaires
Bibliothque technique Windows Server 2008 (ventuellement en anglais)

Implmentation dun plan de maintenance des services de domaine Active Directory

9-19

Dmonstration : Sauvegarde des services de domaine Active Directory

Questions : Pourquoi les sauvegardes doivent-elles tre planifies ? quelle frquence une sauvegarde complte doit-elle tre effectue ? quelle frquence une sauvegarde incrmentielle ou diffrentielle doit-elle tre effectue ?

Lectures complmentaires
Guide tape par tape pour la sauvegarde et la rcupration des services de domaine Active Directory de Windows Server 2008 version bta 3 (ventuellement en anglais)

9-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 3 :

Restauration des services de domaine Active Directory

Aprs avoir implment un systme de sauvegarde des services de domaine Active Directory, vous pouvez passer la planification et implmentation des restaurations des services de domaine Active Directory. Dans Windows Server 2008, vous disposez de plusieurs options pour restaurer les informations des services de domaine Active Directory. Cette leon dcrit les cas et la procdure dutilisation de chaque option.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-21

Prsentation de la restauration des services de domaine Active Directory

Points cls
Dans Windows Server 2008, vous disposez de plusieurs options pour restaurer les services de domaine Active Directory. Loption slectionne dpend du scnario de rcupration durgence prendre en compte.

Lectures complmentaires
Guide tape par tape pour la sauvegarde et la rcupration des services de domaine Active Directory de Windows Server 2008 version bta 3 (ventuellement en anglais)

9-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Restauration ne faisant pas autorit des services de domaine Active Directory

Points cls
Vous pouvez utiliser une sauvegarde pour effectuer une restauration ne faisant pas autorit dun contrleur de domaine. Une restauration qui ne fait pas autorit restaure ltat du service dannuaire au moment o la sauvegarde a t cre. Une fois lopration de restauration termine, la rplication des services de domaine Active Directory met jour le contrleur de domaine avec les modifications qui ont eu lieu depuis la cration de la sauvegarde. De cette manire, ltat actuel du contrleur de domaine est rcupr. Question : Que se passerait-il si vous naviez pas entr la deuxime commande bcdedit aprs la restauration de la base de donnes des services de domaine Active Directory ?

Implmentation dun plan de maintenance des services de domaine Active Directory

9-23

Lectures complmentaires
Guide tape par tape pour la sauvegarde et la rcupration des services de domaine Active Directory de Windows Server 2008 version bta 3 (ventuellement en anglais)

9-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Restauration faisant autorit des services de domaine Active Directory

Points cls
Une restauration faisant autorit permet de rcuprer des objets et des conteneurs qui ont t supprims dans les services de domaine Active Directory. Lorsquun objet est marqu pour une restauration faisant autorit, son numro de version est modifi de sorte quil soit suprieur au numro de version existant de lobjet (supprim) dans le systme de rplication des services Active Directory. Cette modification garantit que toutes les donnes que vous restaurez de manire faisant autorit sont rpliques partir du contrleur de domaine restaur sur les autres contrleurs de domaine de la fort. Question : Que se passerait-il si vous naviez pas entr la deuxime commande bcdedit aprs la restauration de la base de donnes des services de domaine Active Directory ?

Implmentation dun plan de maintenance des services de domaine Active Directory

9-25

Lectures complmentaires
Guide tape par tape pour la sauvegarde et la rcupration des services de domaine Active Directory de Windows Server 2008 version bta 3 (ventuellement en anglais) Restauration faisant autorit dobjets Active Directory (ventuellement en anglais)

9-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Outil de montage de base de donnes

Points cls
Loutil de montage de base de donnes (Dsamain.exe) permet aux administrateurs dafficher et de comparer des donnes dans des instantans de base de donnes (sauvegardes) sans avoir restaurer ces sauvegardes, ce qui permet de limiter le temps dindisponibilit et dacclrer le processus de rcupration de domaine.

Lectures complmentaires
Services de domaine Active Directory : Outil de montage de base de donnes (ventuellement en anglais) Guide tape par tape pour lutilisation de loutil de montage de base de donnes Active Directory dans Windows Server 2008 version bta 3 (ventuellement en anglais)

Implmentation dun plan de maintenance des services de domaine Active Directory

9-27

Dmonstration : Utilisation de loutil de montage de base de donnes

Procdure de dmonstration
Pour effectuer cette procdure, vous devez ouvrir une session sur un contrleur de domaine en tant que membre du groupe Administrateurs de lentreprise ou du groupe Admins du domaine. 1. 2. 3. 4. 5. Dmarrez une invite de commandes avec les droits dadministrateur. linvite de commandes, tapez ntdsutil, puis appuyez sur Entre. linvite de commandes, tapez snapshot, puis appuyez sur Entre. Dans linvite de commandes snapshot, tapez activate instance ntds, puis appuyez sur Entre. Dans linvite de commandes snapshot, tapez create, puis appuyez sur Entre. La commande renvoie la sortie suivante : Lensemble dinstantans {GUID} a bien t gnr.

9-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

6.

Dans linvite de commandes, tapez mount {GUID}. Linstantan mont saffiche dans le systme de fichiers.

Remarque : veillez inclure les accolades avant et aprs le numro GUID.

7. 8.

Tapez deux fois quit pour revenir linvite de commandes. Dans linvite de commandes, tapez le code ci-dessous (sur une ligne) et appuyez sur Entre : Dsamain dbpath:C:\$SNAP_200708311630_VOLUMEC$\WINDOWS\NTDS\ntds. dit -ldapport:51389 -sslport:51390 -gcport:51391 -gcsslport:51392

Remarque : le chemin de votre instantan sera probablement diffrent.

9.

Un message indique que le dmarrage des services de domaine Active Directory est termin. Laissez Dsamain.exe en cours dexcution. Ne fermez pas linvite de commandes.

10. Dans linvite de commandes, tapez LDP, puis cliquez sur OK. 11. Cliquez sur Connexion, puis sur Se connecter. 12. Dans Serveur, tapez localhost et dans Port, tapez 51389, puis cliquez sur OK. 13. Cliquez sur Connexion, puis sur Lier. 14. Dans Type de liaison, cliquez sur Liaison en tant quutilisateur actuellement connect, puis sur OK. 15. Cliquez sur Afficher, puis sur Arborescence. 16. Dans Nom unique de base, tapez dc=woodgrovebank,dc=com. 17. Recherchez les conteneurs dun objet utilisateur, puis double-cliquez sur lutilisateur pour afficher ses proprits. 18. Fermez LDP.exe. 19. Arrtez Dsamain.exe en appuyant sur Ctrl+C.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-29

Questions : Quand est-il utile de monter plusieurs instantans en mme temps ? Pourquoi est-il ncessaire de spcifier diffrents ports LDAP, SSL et de catalogue global pour chaque instance de la base de donnes mont ?

Lectures complmentaires
Guide tape par tape pour lutilisation de loutil de montage de base de donnes Active Directory dans Windows Server 2008 version bta 3 (ventuellement en anglais)

9-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Ractivation dobjets de services de domaine Active Directory dsactivs

Points cls
Un objet dsactiv est marqu comme supprim dans les services de domaine Active Directory. Lorsquun administrateur supprime un objet, il est converti en objet dsactiv. Lobjet dsactiv reste dans la base de donnes des services de domaine Active Directory dans un tat dsactiv pendant 180 jours (dure de dsactivation par dfaut). Lobjet dsactiv est rpliqu sur tous les autres contrleurs de domaine, puis supprim sur chaque contrleur de domaine la fin de la dure de vie de lobjet dsactiv. Lorsquun objet est marqu comme objet dsactiv, lattribut isDeleted de lobjet est dfini sur True et la plupart des autres attributs sont supprims. Seuls quelques attributs critiques (SID, ObjectGUID, LastKnownParent et SAMAccountName) sont conservs. Cela signifie que mme si ladministrateur ractive lobjet, il ne possde plus toutes les informations quil possdait. Vous devez recrer manuellement les valeurs dattribut manquantes.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-31

Remarque : Loutil de montage de la base de donnes peut tre utilis pour afficher les attributs de lobjet supprim dun instantan qui a t effectue avant que lobjet soit supprim. Cela facilite la rcupration de llment supprim.

Lectures complmentaires
Restauration de comptes dutilisateurs supprims et de leur appartenance dans Active Directory (ventuellement en anglais)

9-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Implmentation dun plan de maintenance des services de domaine Active Directory

Scnario
La Woodgrove Bank a termin le dploiement des services de domaine Active Directory. Pour garantir une haute disponibilit et des performances pour les serveurs des services de domaine Active Directory, lorganisation implmente un plan de maintenance, qui inclut la maintenance de la base de donnes des services de domaine Active Directory en cours et limplmentation dun plan de rcupration durgence. Ladministrateur du serveur a prpar un plan de sauvegarde, qui inclut un volume systme quotidien dun contrleur de domaine dans chaque domaine. Ladministrateur du serveur a galement prpar des plans de rcupration des donnes des services de domaine Active Directory dans plusieurs scnarios. Vous devez implmenter ces plans.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-33

Exercice 1 : Gestion des contrleurs de domaine des services de domaine Active Directory
Dans cet exercice, vous allez implmenter un plan pour la gestion des contrleurs de domaine des services de domaine Active Directory. Les tches comprennent lexcution de lAssistant Configuration de la scurit pour dsactiver tous les services qui ne sont pas requis sur les contrleurs de domaine, le dplacement des bases de donnes des services de domaine Active Directory vers un autre disque dur et la dfragmentation en mode hors connexion de la base de donnes des services de domaine Active Directory. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. Dmarrer lordinateur virtuel et ouvrir une session. Utiliser lAssistant Configuration de la scurit pour verrouiller les services et configurer le pare-feu sur NYC-DC1. Effectuer une dfragmentation en mode hors connexion de la base de donnes des services de domaine Active Directory. Dplacer la base de donnes des services de domaine Active Directory.

Tche 1 : Dmarrer lordinateur virtuel et ouvrir une session.


1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes et sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4.

9-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Utiliser lAssistant Configuration de la scurit pour verrouiller les services et configurer le pare-feu sur NYC-DC1.
1. 2. 3. Dmarrez lAssistant Configuration de la scurit partir du gestionnaire de serveur. Choisissez loption pour crer une stratgie de scurit pour NYC-DC1. Excutez lAssistant Configuration de la scurit avec les options suivantes : 4. 5. Assurez-vous que le rle de serveur Contrleur de domaine (Active Directory) est slectionn. Activez le service Active Directory Mode de planification RsoP.

Acceptez les valeurs par dfaut pour la configuration du Pare-feu Windows. Configurez les paramtres du Registre de la manire suivante : Scurit requise : Ncessite des signatures de scurit SMB. Nactivez que les ordinateurs clients Windows 2000 Service Pack 3 ou version suprieure. Nautorisez que les systmes dexploitation Windows NT 4.0 Service Pack 6a ou version ultrieure et les horloges synchronises avec lhorloge du serveur slectionn. Ne pas autoriser les ordinateurs qui ncessitent une authentification LAN Manager et les ordinateurs qui nont pas t configurs pour utiliser lauthentification NTLMv2 se connecter.

6. 7. 8.

Configurez la stratgie daudit de manire contrler les activits russies ou non. Enregistrez la stratgie de scurit avec le nom de fichier c:\windows\security\msscw\policies\NYC-DC1.xml. Choisissez loption pour appliquer la stratgie ultrieurement.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-35

Tche 3 : Effectuer une dfragmentation en mode hors connexion de la base de donnes des services de domaine Active Directory.
1. 2. 3. 4. 5. 6. 7. 8. Sur lordinateur NYC-DC1, arrtez les services de domaine Active Directory. Ouvrez une invite de commandes et dmarrez loutil ntdsutil. Activez linstance NTDS. Utilisez la commande Files pour compacter la base de donnes des services de domaine Active Directory pour C:\temp. Vrifiez lintgrit de la base de donnes dfragmente. Copiez le fichier c:\temp\ntds.dit sous c:\Windows\NTDS\ntds.dit. Supprimez tous les fichiers journaux dans le dossier C:\Windows\NTDS. Dmarrez les services de domaine Active Directory.

Tche 4 : Dplacer la base de donnes des services de domaine Active Directory.


1. 2. 3. 4. 5. Sur lordinateur NYC-DC1, arrtez les services de domaine Active Directory. Ouvrez une invite de commandes et dmarrez loutil ntdsutil. Activez linstance NTDS. Utilisez la commande File Maintenance pour dplacer la base de donnes des services de domaine Active Directory vers C:\DSData. Dmarrez les services de domaine Active Directory.
Rsultat : au terme de cet exercice, vous aurez install lAssistant Configuration de la scurit pour verrouiller les services sur un contrleur de domaine des services de domaine Active Directory et effectu des tches de maintenance de base de donnes des services de domaine Active Directory.

9-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Sauvegarde des services de domaine Active Directory


Dans cet exercice, vous allez installer la fonctionnalit de sauvegarde Windows Server et lutiliser pour planifier une sauvegarde des informations des services de domaine Active Directory. Vous allez galement effectuer une sauvegarde la demande du volume systme. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Installer les fonctionnalits de sauvegarde de Windows Server. Crer une sauvegarde planifie. Effectuer une sauvegarde la demande.

Tche 1 : Installer les fonctionnalits de sauvegarde de Windows Server.


Dans le Gestionnaire de serveur, installez toutes les fonctionnalits de sauvegarde de Windows Server.

Tche 2 : Crer une sauvegarde planifie.


1. Dmarrez loutil de sauvegarde Windows Server et crez une sauvegarde planifie avec les paramtres suivants : 2. Type de sauvegarde : personnalise lments de sauvegarde : C: uniquement Heure de sauvegarde : 00h00 tous les jours Disque de destination : disque 1

Ouvrez le Planificateur de tches et rcapitulez la tche de sauvegarde planifie que vous venez de crer.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-37

Tche 3 : Effectuer une sauvegarde la demande.


1. 2. Dans la fentre de loutil de sauvegarde de Windows Server, dans le volet Actions, cliquez sur Sauvegarde unique. Configurez la sauvegarde pour utiliser les paramtres suivants : 3. Type de sauvegarde : personnalise lments de sauvegarde : C: uniquement Option avance : Sauvegarde complte VSS

La sauvegarde prend approximativement 10 15 minutes. Quand la sauvegarde est termine, fermez lutilitaire de sauvegarde de Windows Server.
Rsultat : au terme de cet exercice, vous aurez install la fonctionnalit de sauvegarde Windows Server, vous laurez utilis pour planifier une sauvegarde des informations des services de domaine Active Directory et pour effectuer une sauvegarde la demande.

9-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Ralisation dune restauration faisant autorit dans la base de donnes des services de domaine Active Directory
Dans cet exercice, vous allez effectuer une restauration faisant autorit de la base de donnes des services de domaine Active Directory. Vous vrifierez ensuite que la rplication ne remplace pas les donnes restaures. Les principales tches sont les suivantes : 1. 2. 3. 4. 5. 6. Supprimer lunit dorganisation Toronto. Redmarrer NYC-DC1 en mode de restauration des services dannuaire. Restaurer les donnes sur ltat du systme. Marquer les informations restaures comme faisant autorit et redmarrer le serveur. Vrifier que les donnes supprimes ont t restaures. Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.

Tche 1 : Supprimer lunit dorganisation Toronto.


1. 2. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory. Supprimer lunit dorganisation Toronto.

Tche 2 : Redmarrer NYC-DC1 en mode de restauration des services dannuaire.


1. 2. 3. Dmarrez une invite avec des autorisations dadministrateur. Utilisez bcdedit /set safeboot dsrepair pour configurer le serveur de sorte quil soit dmarr en mode de restauration des services dannuaire. Redmarrez le serveur.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-39

Tche 3 : Restaurer les donnes sur ltat du systme.


1. 2. 3. Ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd. Dmarrez une invite avec des autorisations dadministrateur. Utilisez la commande wbadmin get versions -backuptarget:D: -machine:NYC-DC1 pour obtenir les informations de version pour la sauvegarde cre. Restaurez les informations sur ltat du systme en utilisant la commande wbadmin start systemstaterecovery -version:version -machine:NYC-DC1.

4.

Tche 4 : Marquer les informations restaures comme faisant autorit et redmarrer le serveur.
1. 2. 3. Dans linvite de commandes, utilisez NTDS pour effectuer une restauration faisant autorit sur OU=Toronto,DC=Woodgrovebank,DC=com. Pour redmarrer le serveur normalement aprs avoir effectu lopration de restauration, tapez bcdedit /deletevalue safeboot, puis appuyez sur Entre. Redmarrez le serveur.

Tche 5 : Vrifier que les donnes supprimes ont t restaures.


1. 2. 3. Aprs le redmarrage du serveur, ouvrez une session en tant quAdministrateur. Ouvrez Utilisateurs et ordinateurs Active Directory et vrifiez que lUO Toronto a t restaure. Sur NYC-DC2, ouvrez Utilisateurs et ordinateurs Active Directory. Vrifiez que lUO Toronto a galement t restaure sur ce serveur.

9-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez effectu une restauration faisant autorit des informations des services de domaine Active Directory.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-41

Exercice 4 : Restauration des donnes laide de loutil de montage de base de donnes des services de domaine Active Directory (facultatif)
Dans cet exercice, vous allez utiliser loutil de montage de base de donnes des services de domaine Active Directory pour aider restaurer des donnes partir dun objet supprim des services de domaine Active Directory. Les tches incluent lutilisation de NTDSUtil pour crer un instantan du volume des services de domaine Active Directory, la suppression dun compte dutilisateur dans les services de domaine Active Directory et lutilisation de NTDSUtil pour monter linstantan. Ensuite, vous restaurez le compte laide de LDP et vous affichez les dtails du compte partir de linstantan. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. Dmarrer lordinateur virtuel et ouvrir une session. Crer et monter un instantan des informations des services de domaine Active Directory. Modifier, puis supprimer un compte dutilisateur dans les services de domaine Active Directory. Utiliser LDP pour restaurer le compte dutilisateur supprim. Afficher les informations pour le compte dutilisateur supprim de linstantan mont.

Tche 1 : Dmarrer lordinateur virtuel et ouvrir une session.


1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes et sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4.

9-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Crer et monter un instantan des informations des services de domaine Active Directory.
1. Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, dans lUO ITAdmins, cliquez avec le bouton droit sur Fabrice Canel, puis cliquez sur Proprits. Ajoutez les informations ci-dessous dans les proprits du compte dutilisateur, puis cliquez sur OK : 2. 3. 4. 5. 6. Description : administrateur informatique Bureau : Sige social Numro de tlphone : 555-5555

Dmarrez une invite avec des autorisations dadministrateur. Dans linvite de commandes, tapez ntdsutil, puis appuyez sur Entre. Dans linvite de commandes, tapez snapshot, puis appuyez sur Entre. Dans linvite de commandes snapshot, tapez activate instance ntds, puis appuyez sur Entre. Dans linvite de commandes snapshot, tapez create, puis appuyez sur Entre. La commande renvoie la sortie suivante : Lensemble dinstantans {GUID} a bien t gnr. Laissez cette fentre ouverte. Dans linvite de commandes snapshot, tapez mount {GUID}, puis appuyez sur Entre. Le GUID est le GUID affich dans la commande prcdente. Linstantan mont saffiche dans le systme de fichiers. Dans linvite de commandes snapshot, tapez list all, puis appuyez sur Entre. Identifiez le numro affect linstantan que vous venez de crer. Dans linvite de commandes snapshot, tapez mount numro, puis appuyez sur Entre. numro est le numro affich dans la commande prcdente. Linstantan mont saffiche dans le systme de fichiers.

7.

8. 9.

10. Quittez NTDSUtil, mais laissez linvite de commandes ouverte.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-43

Tche 3 : Supprimer un compte dutilisateur.


Supprimez le compte de Fabrice Canel.

Tche 4 : Utiliser LDP pour restaurer le compte dutilisateur supprim.


1. linvite de commandes, tapez la commande suivante, puis appuyez sur Entre. Dsamain -dbpath <chemin daccs linstantan ntds.dit> -ldapport 51389 2. 3. 4. 5. 6. 7. 8. 9. Ne fermez pas linvite de commandes. Dmarrez LDP et connectez-vous au serveur local et crez une liaison. Dans le menu Options, ajoutez la commande Return Deleted Objects. Dans le menu Affichage, cliquez sur Arborescence, puis sur OK. Dveloppez DC=Woodgrove Bank,DC=com, puis cliquez sur CN=Deleted Items,DC=Woodgrove Bank,DC=com. Cliquez avec le bouton droit sur CN=Fabrice Canel, puis cliquez sur Modifier. Dans la zone Valeur dattribut, tapez isDeleted, sous Opration, cliquez sur Supprimer, puis appuyez sur Entre. Dans la zone Attribut, tapez distinguishedName.

10. Dans la zone Valeurs, tapez CN=Fabrice Canel,uo=ITAdmins, dc=woodgrovebank,dc=com. 11. Sous Opration, cliquez sur Remplacer, puis appuyez sur Entre. 12. Activez la case cocher tendue, puis cliquez sur Excuter. 13. Ouvrez Utilisateurs et ordinateurs Active Directory et vrifiez que le compte de Fabrice Canel a t restaur dans lUO ITAdmins et que le compte est dsactiv.

9-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 5 : Afficher les informations pour le compte dutilisateur supprim de linstantan mont.
1. 2. 3. 4. Cliquez sur Dmarrer, Excuter, tapez LDP, puis cliquez sur OK. Connectez-vous localhost avec le port 51389 et crez une liaison. Dans Nom unique de base, tapez dc=woodgrovebank,dc=com. Recherchez lUO ITAdmins et double-cliquez sur CN=Fabrice Canel. Affichez les attributs Description, physicalDeliveryOfficeName et Numro de tlphone. Vous pouvez maintenant ajouter les informations dans ces attributs dans lobjet utilisateur dans Utilisateurs et ordinateurs Active Directory. Fermez LDP.exe.

Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulations.
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez restaur un compte dutilisateur supprim et affich les proprits de lutilisateur restaur laide de loutil de montage de base de donnes des services de domaine.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-45

Rcapitulatif du module et objectifs

Questions du contrle des acquis


1. Lun de vos contrleurs de domaine ne dispose pas dassez despace disque. Vous modifiez le contrleur de domaine afin quil ne soit plus un serveur de catalogue global, mais notez que la taille de la base de donnes des services de domaine Active Directory ne diminue pas. Que devez-vous faire pour rcuprer de lespace sur le disque dur du serveur ? Vous vous souciez de la quantit despace disque utilis par la base de donnes des services de domaine Active Directory et les fichiers journaux. Comment dterminez-vous la taille des fichiers de la base de donnes et des fichiers journaux ? Vous installez lutilitaire de sauvegarde Windows Server sur votre contrleur de domaine. Vous ne disposez que de deux lecteurs sur lordinateur et les deux sont utiliss pour les fichiers de donnes ou les fichiers systme. Quels sont les types de sauvegarde utiliser pour sauvegarder votre environnement de services de domaine Active Directory ?

2.

3.

9-46

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

4.

Tous les contrleurs de domaine de votre domaine ont chou. Vous tentez de recrer le domaine partir de la sauvegarde des services de domaine Active Directory sur un contrleur de domaine. Quel type de restauration devez-vous utiliser pour reconstruire le domaine ? Vous avez supprim par inadvertance un compte dutilisateur dans les services de domaine Active Directory. Quelles sont les options dont vous disposez pour librer le compte nouveau ?

5.

lments prendre en considration pour la gestion des services de domaine Active Directory
Compltez ou modifiez les meilleures pratiques pour vos propres situations de travail : La surveillance est une composante essentielle de la gestion dun environnement de services de domaine Active Directory. Un programme de surveillance efficace peut vous alerter sur les situations dans lesquelles vous devez effectuer des tches de maintenance avant que la situation devienne critique. Comparez les efforts engags dans la restauration des objets de services de domaine Active Directory par rapport ceux impliqus dans la restauration dobjets ou la ractivation dobjets supprims. Si un seul compte dutilisateur a t supprim, il est souvent beaucoup plus facile de simplement recrer le compte au lieu de le restaurer. Si une UO entire a t supprime, la ralisation dune restauration faisant autorit est gnralement beaucoup plus rapide que la recration de lensemble des comptes de lUO. Ltape la plus importante de la prparation un chec dun contrleur de domaine consiste dployer plusieurs contrleurs de domaine dans un domaine. Si vous disposez dun second contrleur de domaine, les services de domaine Active Directory continuent tre disponibles et vous pouvez installer facilement un contrleur de domaine supplmentaire pour remplacer le serveur qui a chou. Si vous disposez dun seul contrleur de domaine dans le domaine et que ce contrleur de domaine choue, vous devez restaurer les services de domaine Active Directory partir de la sauvegarde. Si vous estimez que vous aurez besoin dutiliser loutil de montage de base de donnes des captures instantanes de manire cohrente, envisagez de crer une tche planifie qui cre rgulirement un instantan.

Implmentation dun plan de maintenance des services de domaine Active Directory

9-47

Outils
Utilisez les outils ci-dessous lors de la configuration des sites et de la rplication des services de domaine Active Directory :
Outil Utilitaire de sauvegarde Windows Server Utilisation Emplacement Doit tre install comme fonctionnalit Windows Server 2008. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Sauvegarde de Windows Server.

Sauvegarde et restauration
des informations des services de domaine Active Directory ou des autres donnes sur un ordinateur Windows Server 2008

LDP.exe

Affichage et modification des Install par dfaut et


informations sur les objets des services de domaine Active Directory et ractivation des objets supprims accessible dans une invite de commandes.

NTDSUtil

Gestion du magasin de
donnes des services de domaine Active Directory et gestion des rles de matres doprations des services de domaine Active Directory

Install par dfaut et accessible dans une invite de commandes.

Outil de montage de base de donnes

Utilis pour crer et monter


des instantans du magasin de donnes des services de domaine Active Directory

Accessible par le biais de NTDSUtil.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-1

Module 10.
Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication
Table des matires :
Leon 1 : Rsolution des problmes lis aux services de domaine Active Directory Leon 2 : Rsolution des problmes lis lintgration du systme DNS avec les services de domaine Active Directory Leon 3 : Rsolution des problmes lis la rplication des services de domaine Active Directory Atelier pratique : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication 10-3 10-9 10-16 10-24

10-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

En tant quadministrateur Windows Server 2008, vous serez probablement amen rsoudre des problmes lis aux services de domaine Active Directory (AD DS). Lorsque les services de domaine Active Directory sont bien conus et mis en uvre, ils offrent une infrastructure de services dannuaire trs stable. Toutefois, mme dans les environnements les plus stables, vous devrez parfois rsoudre des problmes lis lauthentification, lautorisation, la rplication ou la configuration du systme DNS (Domain Name System) pour les services de domaine Active Directory.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-3

Leon 1 :

Rsolution des problmes lis aux services de domaine Active Directory

Chaque fois que les utilisateurs ne peuvent pas sauthentifier sur le rseau ou ne peuvent pas accder aux ressources rseau, vous devez dterminer si la cause du problme est lie aux services de domaine Active Directory. Le problme peut tre la connectivit rseau, une erreur de services rseau ou un problme des services de domaine Active Directory. Dans cette leon, vous allez apprendre identifier et rsoudre les problmes lis aux services de domaine Active Directory.

10-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Introduction la rsolution des problmes lis aux services de domaine Active Directory

Points cls
Les services de domaine Active Directory constituent un systme distribu comportant de nombreux services dont ils dpendent pour fonctionner correctement. Lors de la rsolution de problmes lis aux services de domaine Active Directory, vous devez identifier la source du problme et rsoudre le problme spcifique.

Lectures complmentaires
Prsentation de la rsolution des problmes lis Active Directory (ventuellement en anglais) Guide des oprations des produits Active Directory (ventuellement en anglais)

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-5

Discussion : Comment faire pour rsoudre les problmes lis aux services de domaine Active Directory

Questions : Quels outils pouvez-vous utiliser ? Comment allez-vous vrifier que votre solution a fonctionn ?

10-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rsolution des problmes lis aux erreurs daccs utilisateur

Points cls
Il existe plusieurs raisons possibles pour lesquelles un utilisateur ne peut pas accder aux ressources rseau. Ces raisons peuvent tre rparties en trois catgories de base.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-7

Dmonstration : Outils pour la rsolution des problmes lis aux erreurs daccs utilisateur

Questions : partir de votre exprience, quelle est la raison la plus courante lorigine des erreurs lies laccs utilisateur au sein de votre organisation ? Quelle procdure pouvez-vous suivre afin de rduire le nombre derreurs lies laccs utilisateur, tout en prservant la scurit du rseau ?

10-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rsolution des problmes lis aux performances du contrleur de domaine

Points cls
En tant que service distribu, les services de domaine Active Directory dpendent dun grand nombre de services interdpendants, qui sont distribus sur de nombreux priphriques, de nombreux emplacements distants. Lorsque vous augmentez la taille de votre rseau pour tirer parti de lvolutivit des services de domaine Active Directory, les performances des contrleurs de domaine peuvent poser problme.

Lectures complmentaires
Guide de planification et de dploiement dune agence Windows Server 2003 Active Directory (ventuellement en anglais) Analyse des donnes de performances (ventuellement en anglais)

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-9

Leon 2 :

Rsolution des problmes lis lintgration du systme DNS et des services de domaine Active Directory

Les services de domaine Active Directory ne peuvent pas fonctionner sans le systme DNS. Les clients et les serveurs dapplications comme Microsoft Exchange Server utilisent le systme DNS pour rechercher des contrleurs et des services de domaine. Les contrleurs de domaine et les serveurs de catalogue global utilisent le systme DNS pour dterminer lemplacement de chacun deux, puis rpliquer les uns vers les autres. En raison de cette intgration troite des services de domaine Active Directory et du systme DNS, vous allez souvent commencer la rsolution des problmes lis aux services de domaine Active Directory par la rsolution des problmes lis au systme DNS.

10-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Prsentation de la rsolution des problmes lis au systme DNS et aux services de domaine Active Directory

Points cls
Lune des raisons principales lorigine des problmes lis aux services de domaine Active Directory concerne un problme li linfrastructure DNS. Vous devez notamment commencer la rsolution des problmes lis au systme DNS lorsque vous voyez les problmes rpertoris dans la diapositive.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-11

Rsolution des problmes lis la rsolution des noms DNS

Points cls
Pour vrifier que les clients peuvent rsoudre les noms et les enregistrements, procdez comme suit : Vrifiez la connectivit rseau sur tous les ordinateurs. Utilisez Ipconfig pour vous assurer que tous les ordinateurs, y compris les clients, les serveurs de membre, les contrleurs de domaine et les serveurs DNS utilisent un serveur DNS qui fait autorit pour le domaine Active Directory. Parfois, les ordinateurs sont configurs manuellement pour utiliser un serveur DNS incorrect, par exemple un serveur de mise en cache Internet ou le serveur DNS dun fournisseur de services Internet. Utilisez NetDiag pour tester la connectivit DNS. Assurez-vous que le serveur DNS fonctionne correctement. Vous pouvez effectuer lauto-test simple sur les proprits du serveur DNS pour vrifier que la base de donnes rpond. Effacez galement le cache du serveur DNS pour vous assurer que le cache nest pas altr et quil dispose des dernires informations de zone.

10-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Utilisez ipconfig /flushdns pour effacer le cache de rsolution DNS du client. Si la zone parat tre corrompue, effectuez une restauration partir de la sauvegarde. Si ncessaire, effacez les enregistrements dynamiques de la zone DNS et recrez la base de donnes. Consultez les erreurs dans le journal du serveur DNS de lObservateur dvnements. Utilisez DNSLint ou NSlookup pour connatre les rsultats renvoys par le serveur DNS. Les enregistrements DNS suivants sont ncessaires pour le fonctionnement correct dActive Directory.

Question : Quels sont les problmes les plus courants lis au systme DNS dans votre organisation ?

Lectures complmentaires
Diagnostic des problmes lis la rsolution des noms (ventuellement en anglais)

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-13

Rsolution des problmes lis lenregistrement des noms DNS

Points cls
Tous les serveurs doivent disposer au moins des enregistrements A (hte) et ventuellement PTR (recherche inverse) dans le systme DNS. De plus, les enregistrements de ressources SRV de tous les contrleurs de domaine doivent tre mis jour dans le systme DNS. Les listes ci-dessous indiquent le service responsable de la mise jour dynamique du systme DNS : Les enregistrements A sont mis jour par le service du client DNS de lordinateur. Les enregistrements PTR sont configurs manuellement. Les enregistrements SRV sont mis jour par le service NetLogon du contrleur de domaine.

10-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Question : quoi servent les enregistrements PTR ? Quelles erreurs allez-vous dcouvrir si les enregistrements PTR ne sont pas enregistrs pour les contrleurs de domaine ?

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-15

Rsolution des problmes lis la rplication de zones DNS

Points cls
Chaque fois quun enregistrement DNS est mis jour, dans une zone principale classique ou dans une zone intgre aux services de domaine Active Directory, cette mise jour doit tre rplique dans un transfert de zone sur tous les serveurs DNS qui font autorit pour cette zone. Un administrateur peut choisir de prserver la bande passante pendant les heures dutilisation intensive du rseau en retardant la rplication des heures moins charges. Mme dans ce cas, lenregistrement doit tre rpliqu un certain niveau pour que la base de donnes DNS soit cohrente. Lorsque les problmes lis au systme DNS ne sont pas cohrents pour tous les utilisateurs et que vous pouvez suivre le problme sur un serveur DNS spcifique, vous devez envisager la rplication de zones DNS comme cause possible du problme.

Lectures complmentaires
Rsolution des problmes lis aux zones (ventuellement en anglais)

10-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 3 :

Rsolution des problmes lis la rplication des services de domaine Active Directory

Les services de domaine Active Directory utilisent une topologie de rplication matre, qui dpend de tous les contrleurs de domaine disponibles sur le rseau. La rplication est importante pour sassurer que tous les utilisateurs rencontrent une rponse cohrente de tous les contrleurs de domaine, indpendamment du contrleur de domaine auquel lutilisateur se connecte. Dans cette leon, vous allez apprendre rsoudre les problmes lis la rplication des services de domaine Active Directory.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-17

lments requis pour la rplication des services de domaine Active Directory

Points cls
Reportez-vous aux lments requis indiqus sur la diapositive pour que la rplication des services de domaine Active Directory se droule correctement.

10-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Problmes courants lis la rplication

Points cls
Lorsque vous rencontrez des problmes de rplication dans les services de domaine Active Directory, commencez par identifier les symptmes et les causes possibles. Question : Quelle est la raison la plus courante des erreurs de rplication dans votre organisation ?

Lectures complmentaires
Rsolution des problmes lis la rplication Active Directory

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-19

Description de loutil Repadmin

Points cls
Loutil de ligne de commande Repadmin.exe permet dafficher la topologie de rplication du point de vue de chaque contrleur de domaine. Vous pouvez galement utiliser Repadmin.exe pour crer la topologie de rplication manuellement, pour forcer des vnements de rplication entre des contrleurs de domaine et pour afficher les mtadonnes de la rplication (informations sur les donnes) et mettre jour ltat des vecteurs.

Lectures complmentaires
Rsolution des problmes lis la rplication Active Directory

10-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Description de loutil DCDiag

Points cls
Loutil dcdiag.exe excute une srie de tests pour vrifier diffrents aspects du systme. Ces tests vrifient le fonctionnement de la connectivit, de la rplication, de lintgrit de la topologie et la sant intersite.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-21

Identification de la cause des erreurs de rplication

Points cls
Les problmes lis la rplication des services de domaine Active Directory peuvent avoir diffrentes sources. Par exemple, les problmes DNS, les problmes de mise en rseau ou les problmes de scurit peuvent tous provoquer lchec de la rplication des services de domaine Active Directory. Vous pouvez effectuer les tests laide des outils de ligne de commande Repadmin.exe et DCDiag.exe pour dterminer la cause principale du problme.

10-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Discussion : Rsolution des problmes de rplication des services de domaine Active Directory intersite

En tant que classe, discutez des questions sur la diapositive.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-23

Rsolution des problmes lis la rplication des fichiers distribus

Le contenu du dossier SYSVOL est rpliqu sur tous les contrleurs de domaine dun domaine. Si le domaine se trouve sur Windows Server 2003 ou un niveau fonctionnel infrieur, le service de rplication de fichiers (FRS) est responsable de la rplication du contenu du dossier SYSVOL entre les contrleurs de domaine. Lorsque vous mettez niveau le niveau fonctionnel vers Windows Server 2008, le service DFSR est utilis pour rpliquer le contenu du dossier SYSVOL. Dans les deux cas, la topologie dobjet de connexion et de planification que le vrificateur de cohrence des donnes (KCC) cre pour la rplication des services de domaine Active Directory est utilise pour grer la rplication entre les contrleurs de domaine. Les services FRS et DFRS ncessitent la connectivit LDAP et RPC entre les contrleurs de domaine. Pour rsoudre les problmes lis la rplication FRS, utilisez les commandes Ntfrsutl et FRSDiag. Pour rsoudre les problmes lis la rplication DFSR, utilisez loutil DFRSAdmin.

10-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

Scnario
La Woodgrove Bank a termin son dploiement de Windows Server 2008. En tant quadministrateur des services de domaine Active Directory, lune de vos tches principales consiste dsormais rsoudre les problmes lis aux services de domaine Active Directory qui vous ont t signals par le personnel de support de la socit. Vous tes charg de la rsolution des problmes lis laccs des utilisateurs aux ressources, lintgration du systme DNS et des services de domaine Active Directory et la rplication des services de domaine Active Directory.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-25

Exercice 1 : Rsolution des erreurs lies lauthentification et lautorisation


Scnario
Dans cet exercice, vous allez rsoudre des erreurs lies lauthentification et lautorisation. Vous allez examiner des tickets dincident et rsoudre des problmes lis aux tickets dincident. Prparation des ateliers pratiques : assurez-vous que NYC-DC1, NYC-DC2 et NYCCL1 sont dmarrs et en cours dexcution. Arrtez les autres ordinateurs virtuels. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. Dmarrer les serveurs virtuels. Excuter le fichier Lab10_Prep.bat. Rsoudre les tickets dincident.

Tche 1 : Dmarrer les serveurs virtuels.


1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes et sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer. Ouvrez une session sur NYC-DC1 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC2, cliquez sur Lancer. Sur NYC-DC2, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCCL1, cliquez sur Lancer. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4. 5. 6. 7.

10-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Excuter le fichier Lab10_Prep.bat.


1. 2. Sur NYC-DC1, ouvrez lExplorateur Windows et accdez d:\6238\Mod10\Labfiles. Double-cliquez sur Lab10_Prep.bat.

Tche 3 : Rsoudre les tickets dincident.


Ticket dincident n 1 : une utilisatrice appele Sabine Royant rencontre des difficults se connecter sur son ordinateur avec le systme dexploitation Windows Vista. Elle tait dtache pour une mission de recherche depuis plusieurs mois et maintenant elle doit accder au rseau pour prparer son rapport pour la direction. Son ordinateur de bureau a t dsactiv pendant son absence. Le problme vous a t signal. 1. 2. Tentez douvrir une session sur NYC-CL1 avec le nom dutilisateur Sabine et le mot de passe Pa$$w0rd. Louverture de session a-t-elle abouti ? Notez le message derreur ci-dessous : _________________________________________________________________ 3. 4. Vrifiez que le compte dordinateur NYC-CL1 existe toujours dans le domaine. Selon vous, quel peut tre le problme ? Comment allez-vous le rsoudre ? _________________________________________________________________ 5. 6. 7. 8. Ouvrez une session sur NYC-CL1 avec le nom dutilisateur NYCCL1\AdminLocal et le mot de passe Pa$$w0rd. Effectuez vos tapes de rsolution des problmes. Fermez la session sur NYC-CL1 avec le nom dutilisateur AdminLocal et ouvrez une nouvelle session avec le nom dutilisateur Sabine. Avez-vous russi ? _________________________________________________________________ 9. Fermez la session sur NYC-CL1.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-27

Ticket dincident n 2 : un membre du personnel de support appel Karim Manar doit ajouter les nouveaux employs dans lunit dorganisation NYC BranchManagers du domaine Woodgrovebank.com. Karim est membre du groupe global de support. Tous les membres du groupe de support doivent pouvoir grer les comptes dutilisateurs partir des stations de travail clientes laide du Bureau distance. Lorsque Karim tente dajouter de nouveaux employs, il choue. Le problme vous a t signal. 1. 2. Ouvrez une session sur NYC-CL1 avec le nom dutilisateur Karim et le mot de passe Pa$$w0rd. Tentez de vous connecter NYC-DC1 laide de la fonction Bureau distance. Avez-vous russi ? Quels sont les messages derreur, le cas chant, que vous avez reus ? _________________________________________________________________ 3. Daprs vous, quelle est la cause du problme ? _________________________________________________________________ 4. 5. Effectuez les tapes ncessaires la rsolution du message derreur. Essayez de vous reconnecter au Bureau distance. Avez-vous russi cette foisci ? Dans le cas contraire, suivez les tapes ncessaires la rsolution des problmes. _________________________________________________________________ 6. Aprs vous tre correctement connect au Bureau distance, essayez douvrir Utilisateurs et ordinateurs Active Directory. Si vous ny tes pas parvenu, effectuez les tapes permettant de rsoudre le problme. Dans Utilisateurs et ordinateurs Active Directory, ressayez de crer un compte dutilisateur test dans lUO Branch Managers. Avez-vous russi ? Quels sont les messages derreur, le cas chant, que vous avez reus ? _________________________________________________________________ 8. Quelles tapes supplmentaires, le cas chant, estimez-vous ncessaires ? _________________________________________________________________

7.

10-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

9.

Rsolvez les problmes restants.

10. Fermez la session sur NYC-CL1.


Rsultat : au terme de cet exercice, vous aurez rsolu deux tickets dincident portant sur des problmes lis lauthentification et lautorisation.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-29

Exercice 2 : Rsolution des problmes lis lintgration du systme DNS et des services de domaine Active Directory
Scnario
Dans cet exercice, vous allez rsoudre les problmes identifis dans les tickets dincidents communiqus lquipe du serveur concernant lintgration du systme DNS et des services de domaine Active Directory. Vous allez identifier le problme dans chaque ticket, le rsoudre et vrifier que la rsolution a russi. Dans cet exercice, la tche principale consiste rsoudre le ticket dincident.

Tche 1 : Rsoudre le ticket dincident.


Ticket dincident n 3 : certains utilisateurs de WoodgroveBank.com se plaignent de ne pas parvenir accder aux ressources rseau. Le support a dj tabli que tous les ordinateurs clients qui prsentent ce problme utilisent NYC-DC2 comme serveur DNS prfr. Vous allez utiliser NYC-CL1 pour tester toutes les solutions et vous assurer que les utilisateurs peuvent ouvrir une session sur le domaine laide de NYC-DC1 et de NYC-DC2 comme serveurs DNS principaux. 1. Quel peut tre le problme ? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 2. Quelle procdure suivez-vous pour tester et rsoudre les problmes ? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 3. 4. Utilisez Nslookup pour vrifier les enregistrements DNS pour la zone WoodgroveBank.com sur NYC-DC1 et NYC-DC2. Utilisez le Gestionnaire DNS pour examiner la configuration pour les zones WoodgroveBank.com et _msdcs.WoodgroveBank.com sur les deux serveurs DNS.

10-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

5. 6.

Suivez la procdure ncessaire la rsolution du problme. Quel tait le problme et comment lavez-vous rsolu ? __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________
Rsultat : au terme de cet exercice, vous aurez rsolu un ticket dincident portant sur des problmes lis lintgration du systme DNS et des services de domaine Active Directory.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-31

Exercice 3 : Rsolution des problmes lis la rplication des services de domaine Active Directory
Scnario
Dans cet exercice, vous allez rsoudre les problmes identifis dans les tickets dincidents communiqus lquipe du serveur. Les problmes potentiels incluent, par exemple, les comptes dutilisateurs qui ne sont pas rpliqus vers dautres contrleurs de domaine, les checs de rplication et les checs de rplication de fichiers de services de domaine Active Directory. Vous allez identifier le problme dans chaque ticket, le rsoudre et vrifier que la rsolution a russi. Dans cet exercice, la tche principale consiste rsoudre les tickets dincident.

Tche 1 : Rsoudre les tickets dincident.


Ticket dincident n 4 : le support est charg de crer des comptes dutilisateurs pour les nouveaux employs. Comme les nouveaux employs vont se dplacer entre les agences, il est essentiel quils puissent ouvrir une session partir de nimporte quel emplacement. Le support a remarqu que la rplication entre NYC-DC1 et NYC-DC2 ne fonctionne pas. Lorsquun membre de lquipe cre un compte dutilisateur sur le contrleur de domaine NYC-DC1, le compte dutilisateur ne saffiche pas sur le contrleur de domaine NYC-DC2. Le problme vous a t signal. 1. Vrifiez si la rplication des services de domaine Active Directory fonctionne. Selon vous, quel peut tre le problme ? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ Quelle procdure de rsolution allez-vous suivre pour rsoudre le problme ? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 2. Mettez en uvre la procdure de rsolution des problmes. Vous y parvenez lorsque vous tes en mesure de crer un utilisateur test sur lun des contrleurs de domaine et de rpliquer le compte sur lautre contrleur de domaine.

10-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Ticket dincident n 5 : le support a remarqu que lorsque certains utilisateurs de lagence de New York du domaine WoodgroveBank.com ouvrent une session, ils nobtiennent pas les mappages de lecteur automatiques attendus. Tous les utilisateurs doivent obtenir un mappage de lecteur qui mappe le lecteur H: vers \\NYC-DC1\data. Le support a confirm que lobjet de stratgie de groupe est configur correctement. Le script douverture de session est appel MapDataDir.bat et doit se trouver dans le partage Netlogon. 1. Selon vous, quel peut tre le problme ? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 2. Quelle procdure de rsolution allez-vous suivre pour rsoudre le problme ? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 3. Comment allez-vous vrifier que le problme a t rsolu ? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 4. Mettez en uvre la procdure de rsolution des problmes. Quel tait le problme et comment lavez-vous rsolu ? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-33

Tche 2 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulations.
1. 2. 3. Fermez la fentre de contrle distance de chaque ordinateur virtuel en cours dexcution. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez rsolu un ticket dincident portant sur des problmes lis la rplication des services Active Directory.

10-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rcapitulatif du module et objectifs

lments prendre en considration pour la gestion des services de domaine Active Directory Compltez ou modifiez les meilleures pratiques pour vos propres situations de travail : Lorsque vous rsolvez des problmes lis aux services de domaine Active Directory, commencez toujours au niveau de la couche rseau. Le plus souvent, lopration de vrification de la connectivit rseau est rapide et facile. Utilisez lObservateur dvnements lors de la rsolution des problmes lis aux services de domaine Active Directory. De nombreuses erreurs lies aux services de domaine Active Directory sont enregistres dans les journaux dvnements de lObservateur et les dtails des erreurs fournissent souvent des informations utiles pour rsoudre les problmes.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-35

Dans les grandes organisations, envisagez de dployer Microsoft System Center Operations Manager avec le pack dadministration Active Directory. Le Gestionnaire des oprations peut surveiller tous les contrleurs de domaine dans lenvironnement et fournit des conseils dtaills sur la rsolution des problmes lis aux services de domaine Active Directory. Microsoft systme Center Operations Manager est une mise niveau de Microsoft Operations Manager.

Outils Utilisez les outils ci-dessous lors de la rsolution des problmes lis aux services de domaine Active Directory :
Outil Gestionnaire de serveur Fonction Accder aux outils de gestion des services de domaine Active Directory dans une console unique. Emplacement Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestionnaire de serveur. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur DNS. Install par dfaut et accessible dans une invite de commandes.

Sites et services Active Directory

Cration et configuration des sites et des sousrseaux, dplacement des contrleurs de domaine entre les sites et forage de la rplication. Configuration et affichage des zones DNS.

DNS

Repadmin

Collection des donnes sur la topologie de rplication et ltat actuels, et cration des objets de rplication. Collecter des donnes sur les contrleurs de domaine y compris les partenaires de rplication et ltat.

DCDiag

Install par dfaut et accessible dans une invite de commandes.

10-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

(suite)
Outil Nslookup Fonction Rvision des informations stockes dans des fichiers de zone DNS. Affiche des informations dtailles sur les rpliques FRS actives sur le contrleur de domaine et peut tre utilis pour forcer la rplication. Fournit une interface utilisateur graphique pour collecter des informations dtailles sur les performances et les problmes FRS, et analyse les rsultats afin didentifier les problmes courants lis FRS et Active Directory. Fournit des informations dtailles sur ltat actuel de rplication DFSR dans le domaine. Peut galement servir configurer la rplication DFSR. Emplacement Install par dfaut et accessible dans une invite de commandes. Install par dfaut et accessible dans une invite de commandes.

Ntfrsutl

FRSDiag

Peut tre tlcharg partir du Centre de tlchargement Microsoft.

Dfsradmin

Install sur les ordinateurs Windows Server 2008 lorsque vous installez les fonctionnalits de gestion de fichiers.

Questions du contrle des acquis


1. Lutilisateur est en mesure douvrir une session sur son ordinateur, mais chaque fois quil tente daccder une ressource rseau, il est invit indiquer un nom dutilisateur et un mot de passe. Comment allez-vous vous assurer quil peut accder aux ressources rseau sans avoir indiquer le nom dutilisateur et le mot de passe une fois quune session est ouverte ? Vous devez vrifier que tous les enregistrements SRV du contrleur de domaine sont inscrits dans le systme DNS. Tous les serveurs DNS de votre organisation utilisent un systme DNS tiers et non un systme DNS Windows Server 2008. Comment pouvez-vous afficher les enregistrements dans le systme DNS ?

2.

Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

10-37

3.

Dans une agence de votre organisation, les utilisateurs sont confronts des temps de connexion trs longs. Vous crez un contrleur de domaine dans votre bureau principal, puis vous envoyez le contrleur de domaine lagence. Vous configurez le bureau dagence comme second site dans votre fort. Vous avez modifi la configuration de ladresse IP du contrleur de domaine, confirm la connectivit rseau et vrifi que ladresse IP du contrleur de domaine a t mise jour dans le systme DNS. Cependant, certains utilisateurs de lagence sont toujours confronts des temps de connexion trs longs. Que devez-vous faire dautre ? Votre organisation possde cinq sites, configurs comme des sites distincts dans les services de domaine ActiveDirectory. Au moins un contrleur de domaine a t dploy dans chaque bureau. Lintgralit de la gestion des comptes dutilisateurs est effectue dans le bureau principal. Lorsque vous crez un compte dutilisateur dans le bureau principal, vous notez que lopration peut prendre jusqu 3 heures avant de pouvoir ouvrir une session laide de ce compte dans lagence. Que devez-vous faire pour vous assurer que lutilisateur peut se connecter ds que le compte a t cr ?

4.

Rsolution des problmes de stratgie de groupe

11-1

Module 11.
Rsolution des problmes de stratgie de groupe
Table des matires :
Leon 1 : Introduction la rsolution des problmes de stratgie de groupe Leon 2 : Rsolution des problmes dapplication de stratgie de groupe Leon 3 : Rsolution des problmes de paramtres de stratgie de groupe Atelier pratique : Rsolution des problmes de stratgie de groupe 11-3 11-10 11-18 11-26

11-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

Ce module dcrit les procdures de rsolution des problmes des clients et des ordinateurs de traitement de la stratgie de groupe. Ces procdures peuvent inclure des paramtres de stratgie incorrects ou incomplets ou ne pas avoir dapplication de la stratgie pour lordinateur ou lutilisateur. Dans ce module, vous allez acqurir les connaissances et comptences ncessaires pour rsoudre ces problmes.

Rsolution des problmes de stratgie de groupe

11-3

Leon 1 :

Prsentation de la rsolution des problmes de stratgie de groupe

La stratgie de groupe peut tre complexe dployer et grer, et parfois un paramtre peut entraner des consquences inattendues pour des utilisateurs ou des ordinateurs. Cette leon fournit des informations sur le traitement de la stratgie de groupe et sur les points posant frquemment problme ; elle dcrit galement certains outils de rsolution des problmes disponibles.

11-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Scnarios de rsolution des problmes de stratgie de groupe

Lectures complmentaires
Article Microsoft Technet : Rsolution des problmes de stratgie de groupe (ventuellement en anglais)

Rsolution des problmes de stratgie de groupe

11-5

Prparation de la rsolution des problmes de stratgie de groupe

Points cls
La premire tape de la rsolution des problmes de stratgie de groupe consiste dterminer la source du problme. Des problmes de stratgie de groupe peuvent tre le symptme dautres problmes non lis, tels que la connectivit rseau, des problmes dauthentification, la disponibilit du contrleur de domaine ou des erreurs de configuration du service de noms de domaine (DNS, Domain Name Service). Par exemple, la dfaillance dun routeur ou dun serveur DNS peut empcher les clients de contacter un contrleur de domaine. Question : Quel outil de diagnostic utiliser pour dterminer lexpiration du bail dune adresse DHCP (Dynamic Host Configuration Protocol) mise pour un ordinateur client ?

11-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Rsolution des problmes des systmes au moyen des diagnostics rseau (ventuellement en anglais) Utilisation de NSlookup.exe (ventuellement en anglais) Article Microsoft Technet : Accs impossible au contrleur de domaine (ventuellement en anglais) Kerbtray.exe: Kerberos.exe : Kerberos Tray (ventuellement en anglais)

Rsolution des problmes de stratgie de groupe

11-7

Outils de rsolution des problmes lis la stratgie de groupe

Points cls
Il existe un certain nombre doutils de diagnostic et de journaux permettant de vrifier si vous pouvez suivre un problme jusqu la stratgie de groupe principale.

Journalisation de stratgie de groupe


Si dautres outils ne fournissent pas les informations dont vous avez besoin pour identifier les problmes qui affectent lapplication de la stratgie de groupe, vous pouvez activer la journalisation dtaille et examiner les fichiers journaux rsultants. Les fichiers journaux peuvent tre gnrs sur le client et le serveur pour fournir des informations dtailles. Question : Quel outil de diagnostic affiche rapidement le seuil de liaison lente de la stratgie de groupe en cours ?

11-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Modlisation de la stratgie de groupe et rsultats (ventuellement en anglais) Cration manuelle dobjets de stratgie de groupe par dfaut (ventuellement en anglais) GPOTool (dans le kit des ressources de serveur Win2K) (ventuellement en anglais) Article Microsoft Technet : Actualisation des paramtres de stratgie de groupe avec GPUpdate.exe (ventuellement en anglais) Rsolution des problmes de stratgie de groupe au moyen de fichiers journaux (ventuellement en anglais)

Rsolution des problmes de stratgie de groupe

11-9

Dmonstration : Utilisation des outils de diagnostic de stratgie de groupe

Question : Quelle procdure devez-vous effectuer avant dexcuter les rapports de stratgie de groupe RSoP sur un ordinateur distant ?

11-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 2 :

Rsolution des problmes lis lapplication de la stratgie de groupe

Lors de la rsolution des problmes de stratgie de groupe, vous devez bien comprendre les interactions entre la stratgie de groupe et ses technologies de prise en charge, et la faon dont vous grez, dployez et appliquez les objets de stratgie de groupe.

Rsolution des problmes de stratgie de groupe

11-11

Rsolution des problmes dhritage de stratgie de groupe

Points cls
Le blocage de lhritage empche tous les paramtres de niveau suprieur daffecter les units dorganisation et leurs units enfants. Vous ne pouvez bloquer lhritage que pour des units dorganisation entires et non pour des objets individuels. Le blocage de lhritage peut rendre la rsolution des problmes plus complique, car il soppose aux rgles dhritage habituelles. Question : Y a-t-il des scnarios dans votre organisation qui bnficieraient du blocage dhritage ?

Lectures complmentaires
Article Microsoft Technet : Rsolution des problmes de stratgie de groupe au moyen des fichiers journaux (ventuellement en anglais)

11-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rsolution des problmes de filtrage de stratgie de groupe

Points cls
Le filtrage de stratgie de groupe dtermine les utilisateurs et les ordinateurs qui recevront les paramtres dobjet de stratgie de groupe. Le filtrage des objets de stratgie de groupe dpend de deux facteurs : le filtrage de scurit sur lobjet de stratgie de groupe ; les filtres WMI (Windows Management Instrumentation) sur lobjet de stratgie de groupe.

Rsolution des problmes de stratgie de groupe

11-13

Question : Vous avez appliqu le filtrage de scurit pour limiter lapplication de lobjet de stratgie de groupe au groupe Responsables uniquement. Pour cela, vous avez dfini les autorisations suivantes : Lautorisation Appliquer la stratgie de groupe est refuse aux utilisateurs authentifis. Lautorisation Lire et Appliquer la stratgie de groupe est accorde au groupe Responsables. Aucun des responsables ne reoit les paramtres de lobjet de stratgie de groupe. Quel est le problme ?

Lectures complmentaires
Article Microsoft Technet : Rsolution des problmes dtendue de stratgie de groupe (ventuellement en anglais)

11-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rsolution des problmes de rplication de stratgie de groupe

Points cls
Dans un domaine qui contient plusieurs contrleurs de domaine, la propagation ou la rplication des informations de stratgie de groupe dun contrleur vers un autre prend du temps. Un objet de stratgie de groupe se compose de deux parties : le modle de stratgie de groupe (GPT) et le conteneur de stratgie de groupe (GPC). Le suivi des modifications apportes aux objets de stratgie de groupe sopre au moyen de numros de version. Chaque modification incrmente le numro de version du modle de stratgie de groupe et du conteneur de stratgie de groupe. Question : Quel outil utiliser pour forcer la rplication sur tous les contrleurs du domaine ?

Rsolution des problmes de stratgie de groupe

11-15

Lectures complmentaires
Rsolution des problmes lis au service de rplication de fichiers (ventuellement en anglais) Article Microsoft Technet : chec de la rplication des paramtres de stratgie de groupe entre les contrleurs de domaine (ventuellement en anglais)

11-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rsolution des problmes dactualisation de stratgie de groupe

Points cls
Lactualisation de la stratgie de groupe fait rfrence la rcupration priodique des objets de stratgie de groupe dun client. Pendant lactualisation, le client contacte un contrleur de domaine disponible. Si des objets de stratgie de groupe ont t modifis, le contrleur de domaine fournit la liste de tous les objets de stratgie de groupe appropris. Par dfaut, les objets de stratgie de groupe sont traits au niveau de lordinateur uniquement si le numro de version dau moins un objet a t modifi sur le contrleur de domaine auquel lordinateur accde. Question : Vous avez implment la redirection de dossiers pour une unit dorganisation particulire. Certains utilisateurs signalent que leurs dossiers ne sont pas redirigs vers le partage rseau. Quelle est la premire tape entreprendre pour rsoudre le problme ?

Lectures complmentaires
chec de lactualisation de la stratgie de groupe (ventuellement en anglais)

Rsolution des problmes de stratgie de groupe

11-17

Discussion : Rsolution des problmes de configuration de stratgie de groupe

Question : Des paramtres que personne dautre ne reoit sont appliqus un utilisateur. Quel peut-tre le problme et comment commenceriez-vous le rsoudre ?

11-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 3 :

Rsolution des problmes lis aux paramtres de stratgie de groupe

Les problmes lis aux paramtres de stratgie de groupe sont gnralement dus la dtection dune liaison lente ou une configuration incorrecte. Le fait de connatre le fonctionnement des extensions ct client et le mode de dtermination des liaisons lentes facilite la rsolution de ces problmes.

Rsolution des problmes de stratgie de groupe

11-19

Comment fonctionne le traitement des extensions ct client

Points cls
Les extensions ct client sont des bibliothques de liens dynamiques (DLL, Dynamic Link Libraries) qui effectuent le traitement proprement dit des paramtres de stratgie de groupe. Les paramtres de stratgie sont regroups en diffrentes catgories (modles dadministration, paramtres de scurit, redirection de dossiers, quotas de disque, installation de logiciels, par exemple). Les paramtres de chaque catgorie requirent une extension ct client spcifique pour les traiter et chaque extension a ses propres rgles pour le traitement des paramtres. Les principaux processus de stratgie de groupe appellent les extensions ct client appropries pour traiter ces paramtres. Certaines extensions cts client se comportent diffremment selon les circonstances. Par exemple, certaines extensions neffectuent pas de traitement si une liaison lente est dtecte. Les paramtres de scurit et les modles dadministration sont toujours appliqus et vous ne pouvez pas les dsactiver. Vous pouvez contrler le comportement dautres extensions cts client sur les liaisons lentes.

11-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lors du traitement de la stratgie de groupe, le processus WinLogon transmet la liste des objets de stratgie de groupe qui doivent tre traits chaque extension ct client de la stratgie. Lextension utilise la liste pour traiter la stratgie approprie, le cas chant. Question : Les utilisateurs dune succursale se connectent via une connexion modem lente. Vous voulez que la redirection de dossiers leur soit applique mme via la liaison lente. Quelle mthode utilisez-vous pour y parvenir ?

Lectures complmentaires
Identification des extensions ct client de la stratgie de groupe Stratgie dordinateur pour les extensions ct client (ventuellement en anglais) Stratgie de groupe et bande passante rseau (ventuellement en anglais)

Rsolution des problmes de stratgie de groupe

11-21

Rsolution des problmes lis aux paramtres du modle dadministration

Points cls
Certains paramtres du modle dadministration peuvent tre des prfrences plutt que des stratgies que vous ne pouvez pas supprimer facilement, tandis que les systmes dexploitation plus anciens peuvent ne pas accepter dautres paramtres dadministration. Question : Votre rseau comporte des ordinateurs Windows XP et des ordinateurs Windows Vista. Vous avez configur le modle dadministration pour supprimer le lien Jeux du menu Dmarrer, mais seuls les ordinateurs Windows Vista appliquent ce paramtre. Quel est le problme ?

Lectures complmentaires
Article Microsoft Technet : Rsolution des problmes lis aux paramtres de stratgie de modle dadministration (ventuellement en anglais)

11-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rsolution des problmes de stratgie de scurit

Points cls
Les stratgies de scurit protgent lintgrit de lenvironnement informatique en contrlant de nombreux aspects de celui-ci, tels que les stratgies de mot de passe, les options de scurit, les groupes restreints, les stratgies rseau, les services, les stratgies de cl publique, etc.

Caractristiques des stratgies de scurit


Les stratgies de scurit sont actualises toutes les 16 heures, mme si elles nont pas chang. Les stratgies de scurit sont toujours traites, mme sur des connexions lentes.

Rsolution des problmes de stratgie de groupe

11-23

Question : Vous avez configur une stratgie de mots de passe dans un objet de stratgie de groupe et li cette stratgie lunit dorganisation Recherche. La stratgie naffecte pas les utilisateurs du domaine dans lunit dorganisation. Quel est le problme ?

Lectures complmentaires
Rsolution des problmes lis lapplication de la stratgie de groupe (ventuellement en anglais)

11-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rsolution des problmes lis aux paramtres de stratgie de script

Points cls
Lextension ct client Scripts met jour le Registre avec lemplacement des fichiers de script afin que le processus UserInit puisse trouver ces valeurs pendant son traitement normal. Lorsquune extension ct client signale la russite, cela peut signifier uniquement que lemplacement du script se trouve dans le Registre. Mme si le paramtre est dans le Registre, certains problmes peuvent empcher son application au client. Par exemple, si un script spcifi dans un paramtre de script comporte une erreur qui empche son excution, lextension ct client ne dtecte pas derreur. La stratgie de groupe traite un objet de stratgie de groupe et stocke les informations de script aux emplacements suivants dans le Registre : HKCU\Software\Policies\Microsoft\Windows\System\Scripts (Scripts utilisateurs) HKLM\Software\Policies\Microsoft\Windows\System\Scripts (Scripts ordinateurs)

Rsolution des problmes de stratgie de groupe

11-25

Question : Un script douverture de session est assign une unit dorganisation. Le script sexcute correctement pour tous les utilisateurs, mais certains utilisateurs signalent quils obtiennent un message de refus daccs lorsque quils tentent daccder au lecteur mapp. Quel est le problme ?

Lectures complmentaires
Article Microsoft Technet : Rsolution des problmes lis aux paramtres de stratgie de scripts (ventuellement en anglais)

11-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Rsolution des problmes de stratgie de groupe

Scnario
La Woodgrove Bank a termin son dploiement Windows Server 2008. En tant quadministrateur des services de domaine Active Directory, lune de vos principales tches consiste rsoudre les problmes lis aux services de domaine Active Directory que le support technique de la socit fait remonter jusqu vous. Vous tes galement charg de rsoudre les problmes lis lapplication et la configuration des stratgies de groupe.
Remarque : certaines des tches de cet atelier sont conues pour illustrer les techniques de rsolution des problmes lis aux objets de stratgie de groupe et peuvent ne pas toujours respecter les meilleures pratiques en la matire.

Rsolution des problmes de stratgie de groupe

11-27

Exercice 1 : Rsolution des problmes lis aux scripts de stratgie de groupe


Vous allez crer un objet de stratgie de groupe qui effectue les oprations cidessous et le lier tous les utilisateurs et ordinateurs du domaine : dfinir ladresse http://WoodgroveBank.com comme page daccueil Internet Explorer ; forcer le menu Dmarrer classique ; forcer le client attendre linitialisation du rseau lors du dmarrage, puis ouvrir une session ; configurer le Pare-feu Windows pour autoriser ladministration distance entrante.

Ensuite, vous allez appliquer tous les utilisateurs du domaine un objet de stratgie de groupe prconfigur qui mappe un lecteur vers le dossier partag Donnes, puis observer les rsultats et rsoudre les problmes. Tous les utilisateurs du domaine disposeront dun lecteur mapp sur un dossier partag nomm Donnes. Lobjet de stratgie de groupe est dj cr et sauvegard. Vous allez restaurer et appliquer lobjet de stratgie de groupe qui fournit cette stratgie au domaine et rsoudre les problmes lis la stratgie. Un utilisateur de lunit dorganisation Miami a envoy le ticket de support technique suivant : Nom dutilisateur : Loig Raoul Nom de lordinateur : NYC-CL1 Description du problme : Il ny a aucun mappage de lecteur vers le dossier Donnes.

Ce ticket a t transmis lquipe serveur pour rsolution.

11-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Les tches principales sont les suivantes : 1. 2. Dmarrer lordinateur virtuel 6238A-NYC-DC1 et ouvrir une session en tant quAdministrateur. Crer et lier une stratgie de Bureau au niveau du domaine. 3. 4. 5. 6. 7. 8. dfinir http://WoodgroveBank.com comme page daccueil dInternet Explorer ; forcer le menu Dmarrer classique pour tous les utilisateurs du domaine ; forcer lordinateur client attendre linitialisation du rseau lors du dmarrage et de louverture de session ; configurer le Pare-feu Windows pour autoriser ladministration distance entrante.

Restaurer lobjet de stratgie de groupe Lab11A. Lier lobjet de stratgie de groupe Lab11A au domaine. Dmarrer lordinateur virtuel 6238A-NYC-CL1 et ouvrir une session en tant quAdministrateur. Tester lobjet de stratgie de groupe. Rsoudre les problmes lis lobjet de stratgie de groupe. Rsoudre le problme et tester la rsolution.

Tche 1 : Dmarrer lordinateur virtuel 6238A-NYC-DC1 et ouvrir une session en tant quAdministrateur.
1. 2. Ouvrez le client VMRC (Virtual Server Remote Control Client) et double cliquez sur 6238A-NYC-DC1. Ouvrez une session sur NYC-DC1 en tant quAdministrateur avec le mot de passe Pa$$w0rd.

Rsolution des problmes de stratgie de groupe

11-29

Tche 2 : Crer et lier une stratgie de Bureau au niveau du domaine.


1. 2. 3. Ouvrez Gestion des stratgies de groupe. Crez et liez un objet de stratgie de groupe nomm Bureau au domaine WoodgroveBank. Modifiez la stratgie comme suit : a. Accdez Configuration ordinateur, Modles dadministration, Systme, puis Ouverture de session. Activez la stratgie Toujours attendre le rseau lors du dmarrage de lordinateur et de louverture de session. Accdez Rseau, Connexions rseau, Pare-feu Windows, puis Profil du domaine. Activez la stratgie Pare-feu Windows : autoriser lexception dadministration distance entrante, puis tapez localsubnet dans le champ et cliquez sur OK. Accdez Configuration utilisateur, Paramtres Windows, Maintenance dInternet Explorer, Adresses URL, puis Adresses URL importantes.

b.

c.

d. Dans la bote de dialogue Adresses URL importantes, personnalisez lURL de la page daccueil en lui affectant la valeur http://WoodgroveBank.com. e. 4. Accdez Modles dadministration, Menu Dmarrer et barre des tches et activez le paramtre Forcer le menu Dmarrer classique.

Fermez lditeur de gestion des stratgies de groupe.

Tche 3 : Restaurer lobjet de stratgie de groupe Lab11A.


1. 2. 3. 4. Dans la console GPMC, cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe et cliquez sur Grer les sauvegardes. Dans la bote de dialogue Grer les sauvegardes, tapez D:\6238 dans le champ Emplacement de sauvegarde. Slectionnez lobjet de stratgie de groupe Lab 11A, cliquez sur Restaurer, puis cliquez deux fois sur OK. Fermez la bote de dialogue Grer les sauvegardes.

11-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 4 : Lier lobjet de stratgie de groupe Lab11A au domaine.


1. Dans la console GPMC, cliquez avec le bouton droit sur le domaine WoodgroveBank.com et cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue Slectionner un objet GPO, slectionnez lobjet de stratgie de groupe Lab 11A et cliquez sur OK.

2.

Tche 5 : Dmarrer lordinateur virtuel 6238A-NYC-CL1 et ouvrir une session en tant quAdministrateur.
Dmarrez NYC-CL1 et ouvrez une session en tant que WoodgroveBank\Administrateur avec le mot de passe Pa$$w0rd.

Tche 6 : Tester lobjet de stratgie de groupe.


1. Fermez la session, puis ouvrez une nouvelle session en tant quAdministrateur.

Remarque : deux ouvertures de session sont ncessaires pour voir les paramtres de la stratgie de groupe car lAdministrateur ouvre une session avec des donnes didentification mises en cache.

2. 3.

Cliquez sur le bouton Dmarrer et vrifiez que le menu Dmarrer classique apparat. Double-cliquez sur Internet Explorer et cliquez sur le X rouge pour arrter la tentative de connexion la page de dmarrage par dfaut. Cliquez sur licne Dmarrage dans la barre doutils et vrifiez que http://WoodgroveBank.com est la page daccueil. Double-cliquez sur Internet Explorer et cliquez sur le X rouge pour arrter la tentative de connexion la page de dmarrage par dfaut. Cliquez sur licne Dmarrage dans la barre doutils et vrifiez que http://WoodgroveBank.com est la page daccueil. Fermez Internet Explorer. Double-cliquez sur Ordinateur sur le Bureau et vrifiez quun lecteur est mapp au dossier partag Donnes.

4.

5. 6.

Rsolution des problmes de stratgie de groupe

11-31

7. 8. 9.

Fermez la session. Sur lordinateur virtuel NYC-CL1, ouvrez une session en tant que Loig avec le mot de passe Pa$$w0rd. Fermez lAccueil Windows.

10. Cliquez sur le bouton Dmarrer et vrifiez que Loig dispose du menu Dmarrer classique. 11. Sur le Bureau, double-cliquez sur Internet Explorer, cliquez sur licne Dmarrage de la barre doutils et vrifiez que http://WoodgroveBank.com est la page daccueil. 12. Fermez Internet Explorer. 13. Sur le Bureau, double-cliquez sur Ordinateur et recherchez le lecteur mapp vers le dossier partag Donnes.

Tche 7 : Rsoudre les problmes lis lobjet de stratgie de groupe.


1. 2. Revenez NYC-DC1. Dans la console GPMC, cliquez avec le bouton droit sur Rsultats de la stratgie de groupe, puis cliquez sur Assistant Rsultats de la stratgie de groupe. Dans lcran Slection de lordinateur, cliquez sur Autre ordinateur, puis tapez NYC-CL1 dans le champ. Dans la fentre Slection de lutilisateur, slectionnez WoodgroveBank\Loig, puis cliquez sur Terminer. Dans la section Rsum de la configuration utilisateur, cliquez sur Objets de stratgie de groupe, puis sur Objets de stratgie de groupe appliqus. Cliquez sur longlet Paramtres. Dveloppez Paramtres Windows, Scripts et Ouverture de session. Revenez NYC-CL1 en tant que Loig. Testez lautorisation de Loig sur lemplacement des scripts : ouvrez une commande Excuter, tapez \\nan-cd1\scripts et appuyez sur Entre.

3. 4. 5. 6. 7. 8. 9.

10. Cliquez sur OK pour fermer la bote de dialogue derreur.

11-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Remarque : si vous disposez de suffisamment de temps, vous pouvez afficher le journal oprationnel de stratgie de groupe en tant quAdministrateur sur NYC-CL1. Si vous filtrez laffichage pour afficher les vnements que gnre Loig, vous devez constater que le journal ne dtecte pas les erreurs ou les avertissements pour cet utilisateur. Cela est d au fait que lobjet de stratgie de groupe dfinit uniquement une valeur dans le Registre qui spcifie lemplacement du dossier des scripts. La stratgie de groupe ne sait pas si lutilisateur a accs lemplacement. Lcriture a russi. Par consquent, le journal de stratgie de groupe ne voit pas derreurs. Pour dterminer les problmes daccs, vous devez auditer Accs lobjet pour le dossier des scripts.

Tche 8 : Rsoudre le problme et tester la rsolution.


1. 2. 3. 4. 5. Revenez NYC-DC1 et ouvrez lExplorateur Windows. Accdez au dossier D:\6238\scripts. Ajoutez des utilisateurs authentifis la liste des autorisations de partage et accordez-leur lautorisation Lecture. Basculez vers NYC-CL1 en tant que Loig, fermez la session puis rouvrez-la. Sur le Bureau, double-cliquez sur Ordinateur.

Remarque : une autre mthode de rsolution du problme consisterait dplacer le script vers le partage Netlogon.

6.

Fermez la session.
Rsultat : au terme de cet exercice, vous aurez rsolu un problme de scripts de stratgie de groupe.

Rsolution des problmes de stratgie de groupe

11-33

Exercice 2 : Rsolution des problmes lis lobjet de stratgie de groupe Lab11B


Les utilisateurs du domaine de lunit dorganisation Miami et de toutes les sousunits dorganisation ne doivent pas avoir accs au Panneau de configuration. Vous allez restaurer et appliquer lobjet de stratgie de groupe qui fournit cette stratgie lunit dorganisation Miami. Le technicien sur site local a soumis un ticket de support technique et transmis le problme suivant lquipe du serveur : Nom dutilisateur : Technicien sur site local Nom de lordinateur : NYC-CL1 Nom dutilisateur : Technicien sur site local Nom de lordinateur : NYC-CL1 Description du problme : Aucun utilisateur ne doit avoir accs au Panneau de configuration. Toutefois, certains utilisateurs y ont accs et dautres pas. En particulier, Loig, un gestionnaire de la succursale de Miami, a accs au Panneau de configuration.

Ce ticket a t transmis lquipe serveur pour rsolution. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. Restaurer lobjet de stratgie de groupe Lab11B. Lier lobjet de stratgie de groupe Lab11B lunit dorganisation Miami. Tester lobjet de stratgie de groupe avec des utilisateurs diffrents. Rsoudre les problmes lis lobjet de stratgie de groupe laide de RSoP. Rsoudre le problme et tester la rsolution.

Tche 1 : Restaurer lobjet de stratgie de groupe Lab11B.


1. 2. 3. Sur NYC-DC1, cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Grer les sauvegardes. Dans la bote de dialogue Grer les sauvegardes, tapez D:\6238\GPOBackup dans le champ Emplacement de sauvegarde. Restaurez lobjet de stratgie de groupe Lab 11B.

11-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Lier lobjet de stratgie de groupe Lab11B lunit dorganisation Miami.


1. 2. Dans la console GPMC, cliquez avec le bouton droit sur lunit dorganisation Miami et cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue Slectionner un objet GPO, slectionnez lobjet de stratgie de groupe Lab 11B et cliquez sur OK.

Tche 3 : Tester lobjet de stratgie de groupe.


1. 2. 3. 4. 5. 6. Sur NYC-CL1, ouvrez une session en tant que Etienne avec le mot de passe Pa$$w0rd. Vrifiez que les paramtres de lobjet de stratgie de groupe Bureau sont appliqus. Assurez-vous que licne du Panneau de configuration napparat pas sur le Bureau ou dans le menu Dmarrer. Fermez la session. Ouvrez une session sur NYC-CL1 en tant que Loig. Fermez la session.

Tche 4 : Rsoudre les problmes lis lobjet de stratgie de groupe.


1. 2. Revenez NYC-DC1. Dans la console GPMC, cliquez avec le bouton droit sur Rsultats de la stratgie de groupe, puis cliquez sur Assistant Rsultats de la stratgie de groupe. Dans la fentre Slection de lordinateur, cliquez sur Autre ordinateur, puis tapez NYC-CL1 dans le champ. Dans la fentre Slection de lutilisateur, slectionnez WoodgroveBank\Etienne, puis cliquez sur Terminer. Dans la section Rsum de la configuration utilisateur, cliquez sur Objets de stratgie de groupe, puis sur Objets de stratgie de groupe appliqus. Cliquez sur longlet Paramtres. Dveloppez Paramtres Windows, puis Panneau de configuration.

3. 4. 5. 6. 7.

Rsolution des problmes de stratgie de groupe

11-35

8.

Cliquez avec le bouton droit sur Rsultats de la stratgie de groupe, envoyez une requte Loig sur NYC-CL1 dans le volet de gauche et cliquez sur Relancer la requte. Dans la section Rsum de la configuration utilisateur, cliquez sur Objets de stratgie de groupe, puis sur Objets de stratgie de groupe appliqus.

9.

10. Cliquez sur Objets de stratgie de groupe refuss.

Tche 5 : Rsoudre le problme et tester la rsolution.


1. Dans la console GPMC, dveloppez le dossier Objets de stratgie de groupe, cliquez sur lobjet de stratgie de groupe Lab 11B, cliquez sur longlet Dlgation puis sur Avance. Dans longlet Scurit, cliquez sur Miami_BranchManagersGG. Supprimez Miami_BranchManagersGG de la liste dautorisations, puis cliquez sur OK. Basculez vers NYC-CL1 et ouvrez une nouvelle session en tant que Loig.
Rsultat : au terme de cet exercice, vous aurez rsolu un problme dobjets de stratgie de groupe.

2. 3. 4.

11-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Rsolution des problmes lis lobjet de stratgie de groupe Lab11C


Les utilisateurs de lunit dorganisation Miami ne doivent pas avoir accs la commande Excuter du menu Dmarrer. Vous allez restaurer et lier lobjet de stratgie de groupe Lab 11C pour appliquer ce paramtre. Le technicien local a transmis le problme suivant lquipe du serveur : Nom dutilisateur : Technicien sur site local Nom de lordinateur : NYC-CL1 Description du problme : Aucun utilisateur ne doit avoir accs la commande Excuter du menu Dmarrer, mais tous les utilisateurs de lunit dorganisation Miami y ont accs.

Ce ticket a t transmis lquipe serveur pour rsolution. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. Restaurer lobjet de stratgie de groupe Lab11C. Lier lobjet de stratgie de groupe Lab11C lunit dorganisation Miami. Tester lobjet de stratgie de groupe. Rsoudre les problmes lis lobjet de stratgie de groupe. Rsoudre le problme et tester la rsolution.

Tche 1 : Restaurer lobjet de stratgie de groupe Lab11C.


1. 2. 3. Sur NYC-DC1, cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Grer les sauvegardes. Dans la bote de dialogue Grer les sauvegardes, tapez D:\6238\GPOBackup dans le champ Emplacement de sauvegarde. Restaurez lobjet de stratgie de groupe Lab 11C.

Rsolution des problmes de stratgie de groupe

11-37

Tche 2 : Lier lobjet de stratgie de groupe Lab11C lunit dorganisation Miami.


1. 2. Dans la console GPMC, cliquez avec le bouton droit sur lunit dorganisation Miami et cliquez sur Lier un objet de stratgie de groupe existant. Slectionnez lobjet de stratgie de groupe Lab 11C et cliquez sur OK.

Tche 3 : Tester lobjet de stratgie de groupe.


1. 2. Ouvrez une session sur NYC-CL1 en tant que Loig. Fermez la session.

Tche 4 : Rsoudre les problmes lis lobjet de stratgie de groupe.


1. 2. 3. 4. 5. Basculez vers NYC-DC1. Dans la console GPMC, rexcutez la requte Loig sur NYC-CL1. Dans la section Rsum de la configuration utilisateur, cliquez sur Objets de stratgie de groupe, puis sur Objets de stratgie de groupe appliqus. Cliquez sur longlet Paramtres. Dans la section Configuration utilisateur, dveloppez Modles dadministration, puis cliquez sur Menu Dmarrer et barre des tches.

Tche 5 : Rsoudre le problme et tester la rsolution.


1. 2. 3. 4. 5. Dveloppez le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur lobjet de stratgie de groupe Lab 11C et cliquez sur Modifier. Accdez Configuration utilisateur, Modles dadministration, Menu Dmarrer, puis Barre des tches. Double-cliquez sur le paramtre Ajouter la commande Excuter au menu Dmarrer, cliquez sur Non configur, puis sur OK. Recherchez le paramtre Supprimer le menu Excuter du menu Dmarrer et activez-le. Fermez lditeur dobjets de stratgie de groupe.

11-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

6. 7.

Ouvrez une session sur NYC-CL1 en tant que Loig. Ne fermez pas la session.
Rsultat : au terme de cet exercice, vous aurez rsolu un problme dobjets de stratgie de groupe.

Rsolution des problmes de stratgie de groupe

11-39

Exercice 4 : Rsolution des problmes lis lobjet de stratgie de groupe Lab11D


Vous allez restaurer lobjet de stratgie de groupe Lab 11D et le lier au dossier Loopback. Cet objet de stratgie de groupe est conu pour amliorer la scurit. Un utilisateur dans lunit dorganisation Miami a envoy le ticket de support technique suivant : Nom dutilisateur : Loig Raoul Nom de lordinateur : NYC-CL1 Description du problme : Depuis lapplication de lobjet stratgie de groupe, Loig na plus le menu Dmarrer classique ni le mappage de lecteur et ne peux plus excuter Internet Explorer.

Ce ticket a t transmis lquipe serveur pour rsolution. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. 6. 7. Crer une unit dorganisation appele Loopback. Restaurer lobjet de stratgie de groupe Lab11D. Lier lobjet de stratgie de groupe Lab11D lunit dorganisation Loopback. Dplacer lordinateur virtuel NYC-CL1 vers lunit dorganisation Loopback. Tester lobjet de stratgie de groupe. Rsoudre les problmes lis lobjet de stratgie de groupe. Rsoudre le problme et tester la rsolution.

Tche 1 : Crer une unit dorganisation appele Loopback.


Utilisez Utilisateurs et ordinateurs Active Directory pour crer une unit dorganisation appele Loopback dans le domaine WoodgroveBank.com.

11-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Restaurer lobjet de stratgie de groupe Lab11D.


1. 2. 3. Sur NYC-DC1, cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Grer les sauvegardes. Dans la bote de dialogue Grer les sauvegardes, tapez D:\6238\GPOBackup dans le champ Emplacement de sauvegarde. Restaurez lobjet de stratgie de groupe Lab 11D.

Tche 3 : Lier lobjet de stratgie de groupe Lab11D lunit dorganisation Loopback.


1. 2. Dans la console GPMC, cliquez avec le bouton droit sur lunit dorganisation Loopback et cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue Slectionner un objet GPO, slectionnez lobjet de stratgie de groupe Lab 11D et cliquez sur OK.

Tche 4 : Dplacer lordinateur virtuel NYC-CL1 vers lunit dorganisation Loopback.


1. 2. 3. 4. Cliquez sur Dmarrer, Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory. Dveloppez le domaine WoodgroveBank.com , puis cliquez sur le conteneur Ordinateurs. Cliquez avec le bouton droit sur le compte dordinateur NYC-CL1, puis cliquez sur Dplacer. Slectionnez lunit dorganisation Loopback, puis cliquez sur OK.

Tche 5 : Tester lobjet de stratgie de groupe.


1. 2. 3. 4. Basculez vers lordinateur virtuel NYC-CL1, puis redmarrez lordinateur. Ouvrez une session en tant que WoodgroveBank\Loig avec le mot de passe Pa$$w0rd. Fermez lAccueil Windows. Cliquez sur le bouton Dmarrer.

Rsolution des problmes de stratgie de groupe

11-41

5. 6.

Double-cliquez sur Internet Explorer. Fermez Internet Explorer.

Tche 6 : Rsoudre les problmes lis lobjet de stratgie de groupe.


1. 2. 3. 4. 5. 6. Revenez NYC-DC1. Dans la console GPMC, excutez lAssistant Rsultats de la stratgie de groupe. Dans la fentre Slection de lordinateur, cliquez sur Autre ordinateur, tapez NYC-CL1 dans la zone, puis cliquez sur Suivant. Dans la fentre Slection de lutilisateur, slectionnez WoodgroveBank\Loig, puis cliquez sur Terminer. Dans la section Rsum de la configuration ordinateur, cliquez sur Objets de stratgie de groupe, puis sur Objets de stratgie de groupe appliqus. Dans la section Configuration de lordinateur, cliquez sur Modles dadministration, puis sur Systme/Stratgie de groupe.

Tche 7 : Rsoudre le problme et tester la rsolution.


1. 2. 3. Dans la console GPMC, cliquez avec le bouton droit sur lunit dorganisation Admins et dsactivez le lien vers lobjet de stratgie de groupe Lab 11D. Redmarrez lordinateur NYC-CL1. Ouvrez une session en tant que Loig.
Rsultat : au terme de cet exercice, vous aurez rsolu un problme dobjets de stratgie de groupe.

11-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rcapitulatif du module et objectifs

lments prendre en considration


Prenez les points suivants en compte lorsque vous mettez en uvre un plan de contrle des services de domaine Active Directory : Les extensions ct client grent lapplication de la stratgie de groupe des intervalles normaux configurables. Les numros de version des stratgies de groupe dterminent si une stratgie de groupe a t modifie. Les extensions ct client ne sont pas toutes traites sur une liaison lente. Les paramtres de scurit sont actualiss toutes les 16 heures. Windows XP et les versions antrieures enregistrent la plupart des problmes lis aux stratgies de groupe dans le journal Userenv. Vous pouvez modifier le Registre pour activer dautres journaux dextension ct client. Windows Vista enregistre les informations de journalisation dans les journaux oprationnels de lObservateur dvnements.

Rsolution des problmes de stratgie de groupe

11-43

Le blocage de lhritage empche lapplication de toutes les stratgies de niveau lev moins que celles-ci ne soient appliques. Vous pouvez filtrer la stratgie de groupe pour lappliquer uniquement certains principes de scurit au moyen de paramtres de scurit ou de scripts WMI. La stratgie de groupe est compose de deux parties : les modles de stratgie de groupe et les conteneurs de stratgie de groupe. La stratgie de groupe rplique ces objets sur des planifications distinctes laide de mcanismes diffrents. Windows XP et les versions ultrieures ouvrent une session pour les utilisateurs au moyen dinformations didentification mises en cache par dfaut. Pour cette raison, de nombreux paramtres dutilisateurs ncessiteront deux ouvertures de session. Windows XP et les versions infrieures utilisent le protocole ICMP pour dterminer la vitesse de la liaison. Windows Vista et les versions ultrieures utilisent la reconnaissance du rseau pour dterminer la vitesse de la liaison. Les principes de scurit requirent lautorisation daccder aux emplacements des scripts afin de pouvoir les excuter. Les scripts de dmarrage de lordinateur sexcutent de manire synchrone par dfaut. Les scripts douverture de session des utilisateurs sexcutent de manire asynchrone par dfaut.

11-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Outils
Utilisez les outils suivants lors de la rsolution des problmes de stratgie de groupe :
Ping Nslookup DCdiag Set

Test de la connectivit rseau. Test des recherches DNS. Test des contrleurs de domaine. Affichage, dfinition ou suppression de
variables denvironnement.

Kerbtray Rapports de stratgie de groupe RSoP. GPResult

Affichage des informations de ticket Kerberos. Rapports sur les stratgies actuelles fournies
aux clients.

Utilitaire en ligne de commande qui affiche les


informations RSoP.

GPOTool

Vrification de la stabilit des objets de


stratgie de groupe et contrle de la rplication de stratgie.

GPResult

Actualisation des paramtres de stratgie de


groupe locaux et bass sur les services de domaine Active Directory.

Dcgpofix

Restauration des objets de stratgie de


groupe par dfaut leur tat dorigine aprs linstallation initiale.

GPOLogView

Exportation des vnements lis la stratgie


de groupe partir des journaux systme et oprationnels vers des fichiers texte, HTML ou XML. utiliser avec Windows Vista et les versions ultrieures.

Scripts de gestion des stratgies de groupe

Exemples de scripts qui effectuent des tches


de rsolution des problmes et de maintenance.

Rsolution des problmes de stratgie de groupe

11-45

Questions du contrle des acquis


1. Quel outil peut tester la rsolution de noms DNS ? a. b. c. Nslookup DCdiag GPResult

d. Ping 2. Quel journal donnera les dtails de la redirection de dossiers ? ________________________________________________________________ 3. Quel indicateur visuel de la console GPMC montre que lhritage a t bloqu ? ________________________________________________________________ 4. Quels paramtres dobjet de stratgie de groupe sont appliqus sur les liaisons lentes par dfaut ? Slectionnez toutes les rponses qui conviennent. a. b. c. Stratgies de scripts Paramtres de scurit Paramtres dadministration

d. Maintenance dInternet Explorer e. f. Stratgie de rcupration du systme EFS Stratgie IPSec

Implmentation dune infrastructure AD DS

12-1

Module 12.
Implmentation dune infrastructure AD DS
Table des matires :
Leon 1 : Prsentation du domaine des services de domaine Active Directory Leon 2 : Planification dune stratgie de groupe Atelier pratique A : Dploiement des services de domaine Active Directory Atelier pratique B : Configuration de la relation dapprobation de fort Atelier pratique C : Conception dune stratgie de groupe 12-3 12-7 12-9 12-25 12-33

12-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue densemble du module

Ce module explique comment implmenter une infrastructure Services de domaine Active Directory (Active Directory Domain Services, ou AD DS). Il comporte cinq exercices rpartis en trois ateliers pratiques. Ces exercices compltent le cours thorique en vous donnant la possibilit deffectuer diverses oprations non ralises au cours des ateliers prcdents. Les exercices sont indpendants les uns des autres.

Implmentation dune infrastructure AD DS

12-3

Leon 1 :

Prsentation du domaine des services de domaine Active Directory

Cette leon prsente les composants du domaine des services de domaine Active Directory sur lesquels vous travaillerez lors des ateliers.

12-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Prsentation de la configuration actuelle du domaine AD DS

Points cls
La diapositive illustre la configuration actuelle du domaine de Woodgrove Bank.

Implmentation dune infrastructure AD DS

12-5

Prsentation de la configuration du domaine AD DS requise

Points cls
La diapositive illustre la configuration du domaine de Woodgrove Bank que lon souhaite obtenir. Le domaine Contoso sera intgr la fort Woodgrove Bank sous forme darborescence distincte.

12-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Prsentation de la configuration du site AD DS

Points cls
La diapositive illustre la configuration actuelle du site de Woodgrove Bank. La socit vient douvrir une nouvelle agence New-York et souhaite crer un site pour contrler le trafic de connexions de cette agence. Nous allons crer les deux sites suivants : Le site Contoso.com contiendra le sous-rseau 192.168.0.0. Le site NYC-Branch-Office contiendra le sous-rseau 10.30.0.0.

Implmentation dune infrastructure AD DS

12-7

Leon 2 :

Planification dune stratgie de groupe

Dans cette leon, vous allez planifier une stratgie de groupe et limplmenter au cours des ateliers.

12-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Prsentation du dploiement du contrleur de domaine

Points cls
La diapositive illustre le dploiement du nouveau contrleur de domaine de Woodgrove Bank. Lordinateur Server Core NYC-SVR2 sera renomm en NYC-DC3 pour tenir compte du changement de rle. Le rle RODC (read-only domain controller, contrleur de domaine en lecture seule) sera alors install sur NYC-DC3. Lordinateur NYC-SVR1 sera renomm en ContosoDC pour tenir compte du changement de rle. Il sera ensuite promu au rle de contrleur du domaine Contoso.

Implmentation dune infrastructure AD DS

12-9

Atelier pratique A : Dploiement des services de domaine Active Directory

Scnario
Woodgrove Bank dploie un AD DS sous le systme dexploitation Windows Server 2008. Ladministrateur de lentreprise a dfini la configuration du dploiement. En tant quadministrateur AD DS, vous tes charg dimplmenter cette configuration et de vrifier que tous ses composants fonctionnent correctement.

Informations sur les sites


Il existera deux nouveaux sites : NYC Branch Office et Contoso. Nom du site : NYC-Head-Office Sous-rseau : 10.10.0.0 Passerelle : 10.10.0.1 Contrleur de domaine : NYC-DC1 10.10.0.10

12-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Nom du site : NYC-Branch-Office Sous-rseau : 10.30.0.0 Passerelle : 10.30.0.1 Contrleur de domaine : NYC-DC3 (RODC) (renommer NYC-SRV2) 10.30.0.10 Nom du site : Contoso Sous-rseau : 192.168.0.0 Passerelle : 192.168.0.1 Contrleur de domaine : ContosoDC (renommer NYC-SRV1) 192.168.0.10

Informations sur les domaines


Il existera deux domaines : WoodgroveBank.com et Contoso.com. WoodgroveBank et Contoso font partie de la mme fort. WoodgroveBank est le domaine racine de la fort et Contoso une arborescence distincte de cette dernire.

WoodgroveBank.com
Contrleurs de domaine : NYC-DC1, NYC-DC2, NYC-DC3 (RODC) (renommer NYC-SRV2)

Contoso.com
Contrleur de domaine : ContosoDC (renommer NYC-SVR1)
Remarque : latelier pratique suivant ncessite lexcution simultane de quatre ordinateurs virtuels. Les ordinateurs des stagiaires doivent tre configurs avec 1 Go de RAM supplmentaire (soit un total de 3 Go) pour amliorer les performances des ordinateurs virtuels dans cet atelier pratique.

Implmentation dune infrastructure AD DS

12-11

Exercice 1 : Installation dun RODC sur un ordinateur Server Core et cration du site dune agence
Scnario
Woodgrove Bank a ouvert une nouvelle agence New York. Les comptes dutilisateurs du personnel de lagence feront lobjet dune unit dorganisation distincte. Pour mieux grer le trafic de connexions, la direction a dcid de crer un site distinct pour lagence et de crer un contrleur de domaine en lecture seule sur une installation Server Core du site. Vous tes charg de crer et de configurer le contrleur de domaine de la nouvelle agence de New York. Vous utiliserez un serveur existant, NYC-SRV2, qui est une installation Server Core. Vous allez excuter les tches ci-dessous dans les services de domaine Active Directory : Vous prconfigurerez le compte du RODC de lagence. Vous crerez une unit dorganisation nomme Personnel agence qui contiendra les comptes dutilisateurs. Vous crerez des comptes dutilisateurs pour le directeur et pour les utilisateurs de lagence. Vous crerez un groupe global nomm BranchUsersGG et y ajouterez les utilisateurs de lagence.

Les seuls mots de passe mis en cache sur le RODC seront ceux du personnel de lagence. Vous tes galement charg de crer le site de lagence ainsi que lobjet de sousrseau, 10.30.0.0, de cette dernire. Vous devrez ensuite renommer NYC-SRV2 en NYC-DC3, qui est un nom refltant le changement de rle. Vous configurerez ladresse IP en fonction du sous-rseau du site de lagence. Ensuite, vous installerez le RODC sur le serveur. Enfin, vous configurerez une rplication des intervalles de 30 minutes avec le site du sige. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Dmarrer les ordinateurs virtuels et ouvrir une session. Copier le fichier sans assistance et remplacer le nom NYC-SVR2 par NYC-DC3. Donner NYC-SRV2 ladresse IP 10.30.0.10.

12-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

4. 5. 6. 7. 8. 9.

Crer le site NYC-Branch-Office et renommer le site par dfaut. Crer les objets de sous-rseau des sites du sige et de lagence de New York. Configurer la planification de la rplication. Crer une unit dorganisation pour lagence. Crer des utilisateurs et des groupes pour lagence. Configurer le service DNS sur NYC-DC1 de faon autoriser les transferts de zone.

10. Prdfinir le compte dordinateur pour le contrleur de domaine en lecture seule. 11. Installer le rle DNS sur lordinateur virtuel NYC-DC3. 12. Installer le contrleur de domaine en lecture seule sur lordinateur virtuel NYC-DC3 et vrifier le rsultat. 13. Fermer lordinateur virtuel NYC-SRV2 et ignorer les disques dannulations.

Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session.


1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes et sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC2, cliquez sur Lancer. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCSVR2, cliquez sur Lancer. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCRAS, cliquez sur Lancer. Ouvrez une session sur tous les ordinateurs en tant quAdministrateur avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4. 5. 6. 7.

Implmentation dune infrastructure AD DS

12-13

Tche 2 : Copier le fichier sans assistance et remplacer le nom NYCSRV2 en NYC-DC3.


1. 2. Copiez le fichier NYC-RODC.txt du dossier D:\6238\Mod12\Labfiles vers le lecteur C:. linvite de commandes, tapez Netdom renamecomputer %nomordinateur% /newname:NYC-DC3 /force /reboot:5, puis appuyez sur Entre. Lordinateur redmarre automatiquement au bout de 5 secondes.

Tche 3 : Affecter ladresse IP 10.30.0.10 lordinateur virtuel NYC-SRV2.


1. 2. Dans linvite de commandes, tapez netsh interface ipv4 show interfaces. Notez le numro Idx de linterface de connexion au rseau local. Dans linvite de commandes, tapez netsh interface ipv4 set address name=<Numro Idx de linterface rseau> source=static address=10.30.0.10 mask=255.255.0.0 gateway=10.30.0.1, puis appuyez sur Entre. Dans linvite de commandes, tapez IPconfig /all et assurez-vous que les informations dadresse IP sont correctes et que le serveur DNS est 10.10.0.10.

3.

Tche 4 : Crer le site NYC-Branch-Office et renommer le site par dfaut.


1. 2. 3. Sur NYC-DC1, ouvrez Sites et services Active Directory. Cliquez avec le bouton droit sur Sites, puis cliquez sur le New Site named NYC-Branch-Office. Slectionnez DefaultIPSiteLink, puis cliquez sur OK. Remplacez Default-First-Site-Name par NYC-Head-Office.

Tche 5 : Crer les objets de sous-rseau des sites du sige et de lagence de New York.
1. 2. Crez un objet de sous-rseau pour le sous-rseau 10.10.0.0/16. Slectionnez le site NYC-Head-Office, puis cliquez sur OK. Crez un objet de sous-rseau pour le sous-rseau 10.30.0.0/16. Slectionnez le site NYC-Branch-Office, puis cliquez sur OK.

12-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 6 : Configurer la planification de la rplication.


1. 2. 3. Ouvrez les proprits du sous-rseau DEFAULTIPSITELINK. Tapez 30 dans le champ Rplication toutes les, puis cliquez sur OK. Fermez Sites et services Active Directory.

Tche 7 : Crer une unit dorganisation pour les utilisateurs de lagence.


1. 2. Ouvrez Utilisateurs et ordinateurs Active Directory. Crez une unit dorganisation nomme NYC-Branch-Office.

Tche 8 : Crer des utilisateurs et des groupes pour lagence.


1. Crez un utilisateur selon les paramtres suivants : 2. 3. 4. Nom : Branch Manager Nom douverture de session : branchmanager Mot de passe : Pa$$w0rd Le mot de passe nexpire jamais.

Crez un second utilisateur selon les paramtres suivants : Nom : Branch User Nom douverture de session : branchuser Mot de passe : Pa$$w0rd Le mot de passe nexpire jamais.

Crez un groupe global nomm BranchUsersGG. Ajoutez les comptes Branch Manager et Branch User au groupe global BranchUsersGG.

Implmentation dune infrastructure AD DS

12-15

Tche 9 : Configurer le service DNS sur NYC-DC1 de faon autoriser les transferts de zone.
1. 2. 3. Sur NYC-DC1, ouvrez la console de gestion DNS. Configurez la zone WoodgroveBank.com de faon autoriser les transferts de zone. Fermez le Gestionnaire DNS.

Tche 10 : Prdfinir le compte dordinateur pour le contrleur de domaine en lecture seule.


1. Revenez Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur lunit dorganisation Contrleurs de domaine, puis cliquez sur le compte Crer au pralable un compte de contrleur de domaine en lecture seule. Dans la page Assistant Installation des services de domaine Active Directory, activez la case cocher Utiliser linstallation en mode avanc, puis cliquez sur Suivant. Dans la page Compatibilit du systme dexploitation, cliquez sur Suivant. Dans la page Informations didentification rseau, vrifiez que loption Mes informations didentification de connexion actuelles est slectionne, puis cliquez sur Suivant. Dans la page Spcifiez le nom de lordinateur, dans le champ Nom de lordinateur, tapez NYC-DC3, puis cliquez sur Suivant. Dans la page Slectionner un site, cliquez sur NYC-Branch-Office, puis sur Suivant. Dans la page Options supplmentaires pour le contrleur de domaine, conservez les valeurs par dfaut, puis cliquez sur Suivant. Dans la page Spcifier la stratgie de rplication de mot de passe, cliquez sur Ajouter, puis slectionnez Autoriser la rplication des mots de passe du compte sur ce contrleur de domaine en lecture seule (RODC). Ajoutez BranchUsersGG.

2.

3. 4.

5. 6. 7. 8.

9.

12-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

10. Dans la page Dlgation de linstallation en une administration du RODC, cliquez sur Dfinir, puis ajoutez le compte BranchManager. 11. Fermez lAssistant pour crer le compte RODC. Notez que le compte dordinateur NYC-DC3 est rpertori dans les services de domaine Active Directory, mais que le type de contrleur de domaine est Compte de contrleur de domaine inoccup.

Tche 11 : Installer le rle DNS sur NYC-DC3.


1. 2. Sur NYC-DC3, tapez Oclist pour afficher les rles actuellement installs. Notez quaucun rle nest actuellement install. Tapez start /w ocsetup DNS-Server-Core-Role, puis appuyez sur Entre pour installer le serveur DNS. Le nom de rle du Server Core est sensible la casse.

Tche 12 : Installer le contrleur de domaine en lecture seule sur lordinateur virtuel NYC-DC3 et vrifier le rsultat.
1. Tapez dcpromo.exe /UseExistingAccount:Attach /unattend:c:\nyc-rodc.txt. Lexcution de la promotion prend plusieurs minutes et se termine par un redmarrage automatique de lordinateur. Sur lordinateur virtuel NYC-DC3, ouvrez une session en tant que BranchManager. Basculez vers lordinateur virtuel NYC-DC1 et actualisez laffichage de lunit dorganisation des contrleurs de domaine. Notez que le type de contrleur de domaine de lordinateur virtuel NYC-DC3 est maintenant dfini sur Contrleur de domaine en lecture seule. Ouvrez Sites et services Active Directory et examinez le site NYC-BranchOffice. Notez que lordinateur virtuel NYC-DC3 est maintenant rpertori dans le conteneur Serveurs. Ouvrez le Gestionnaire DNS et connectez-vous au serveur DNS NYC-DC3. Notez que lordinateur virtuel NYC-DC3 hberge une copie de la zone WoodgroveBank.com.

2. 3.

4.

5.

Implmentation dune infrastructure AD DS

12-17

Remarque : si le serveur nest pas disponible, attendez quelques minutes et ressayez. Notez que lordinateur virtuel NYC-DC3 hberge une copie de la zone WoodgroveBank.com.

6.

Fermez la console DNS.

Tche 13 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.
1. 2. Fermez la fentre VMRC de lordinateur virtuel 6238A-NYC-SRV2. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK.
Rsultat : auterme de cet exercice, vous aurez cr un RODC sur un ordinateur Server Core.

12-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Cration dun domaine dans une arborescence distincte et sur un site distinct
Scnario
La Woodgrove Bank a acquis une petite entreprise nomme Contoso, Ltd. Pour des raisons juridiques, cette socit doit faire lobjet dun domaine distinct dans une nouvelle arborescence faisant partie de la mme fort. Cela permettra la socit de conserver lespace de noms Contoso.com. Le domaine Contoso se trouvera galement dans un site distinct. Vous tes charg de crer le domaine de Contoso, Ltd. Ce domaine sera nomm Contoso.com et aura sa propre arborescence dans la fort WoodgroveBank. Vous ferez dun serveur existant, NYC-SRV1, le contrleur du nouveau domaine. Vous donnerez un nouveau nom lordinateur : ContosoDC. De plus, vous crerez pour le domaine Contoso un site distinct utilisant le sous-rseau 192.168.0.0 et vous attribuerez ladresse IP 192.168.0.10 lordinateur ContosoDC. Vous allez configurer la rplication entre le site de New-York et le site Contoso de faon quelle se produise toutes les 4 heures, entre 18h00 et 06h00. Vous allez installer et configurer le service DNS sur ContosoDC pour quil comporte une zone secondaire de WoodgroveBank.com. Enfin, vous allez affecter ContosoDC le rle de contrleur du domaine Contoso.com. Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. 6. 7. 8. 9. Dmarrer NYC-SVR1. Crer le site Contoso. Crer le sous-rseau du site Contoso. Crer et configurer un nouveau lien de sites pour la rplication. Renommer le serveur NYC-SRV1 en ContosoDC. Modifier ladresse IP de ContosoDC. Configurer le service DNS sur NYC-DC1 pour autoriser les transferts de zone (si vous avez effectu lexercice 1, vous avez dj appliqu cette tape). Installer DNS sur ContosoDC. Configurer le service DNS sur ContosoDC.

10. Promouvoir le serveur au rle de contrleur du domaine Contoso. 11. Fermer les ordinateurs virtuels NYC-SRV1 et NYC-DC2, et supprimer les disques dannulations.

Implmentation dune infrastructure AD DS

12-19

Tche 1 : Dmarrer lordinateur virtuel NYC-SVR1.


1. 2. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Lancer. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

Tche 2 : Crer le site Contoso.


1. 2. 3. Sur NYC-DC1, ouvrez Sites et services Active Directory. Crez un site nomm Contoso. Slectionnez le lien du site DefaultIPSiteLink, cliquez sur OK, puis de nouveau sur OK pour accuser rception du message.

Tche 3 : Crer le sous-rseau du site Contoso.


1. 2. Crez un objet de sous-rseau pour le sous-rseau 192.168.0.0/24. Slectionnez le site Contoso, puis cliquez sur OK. Fermez Sites et services Active Directory.

Tche 4 : Crer et configurer un nouveau lien de sites pour la rplication.


1. 2. 3. 4. Crez un lien de sites nomm Contoso-NYC-HO. Ouvrez les proprits du lien du site Contoso-NYC-HO et ajoutez les sites Contoso et NYC-Head-Office au lien du site. Tapez 240 dans le champ Rplication toutes les, puis cliquez sur Modifier la planification. Dans la bote de dialogue Planification pour Contoso-NYC-HO, slectionnez par glisser-dplacer lintervalle 06h00 18h00, Lundi Vendredi, cliquez sur Rplication non disponible, puis deux fois sur OK.

12-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 5 : Renommer le serveur NYC-SRV1 en ContosoDC.


1. 2. Sur NYC-SRV1, ouvrez une session en tant quAdminLocal avec le mot de passe Pa$$w0rd. Remplacez le nom de lordinateur par ContosoDC, puis redmarrez lordinateur.

Tche 6 : Modifier ladresse IP de ContosoDC.


1. 2. Ouvrez une session sur ContosoDC en tant que AdminLocal avec le mot de passe Pa$$w0rd. Configurez ladresse IPV4 comme suit : Adresse IP : 192.168.0.10 Masque de sous-rseau : 255.255.255.0 Passerelle par dfaut : 192.168.0.1 DNS : 10.10.0.10

Tche 7 : Configurer le service DNS sur NYC-DC1 pour autoriser les transferts de zone (si vous avez effectu lexercice 1, vous avez dj appliqu cette tape).
1. 2. 3. 4. Basculez vers NYC-DC1. Ouvrez la console de gestion DNS. Configurez la zone Woodgrovebank.com de faon Autoriser les transferts de zone. Fermez le Gestionnaire DNS.

Tche 8 : Installer le rle du serveur DNS sur ContosoDC.


1. 2. 3. Basculez vers ContosoDC. Installez le rle de serveur DNS. Laissez le Gestionnaire de serveur ouvert.

Implmentation dune infrastructure AD DS

12-21

Tche 9 : Configurer le service DNS sur ContosoDC.


1. 2. 3. Ouvrez la console de gestion DNS. Crez une zone directe secondaire nomme WoodgroveBank.com. Configurez le serveur DNS principal en tant que 10.10.0.10. Lopration de transfert de zone prend quelques temps. Vous devez actualiser la console pour voir les modifications. Dveloppez les journaux globaux, puis cliquez sur vnements DNS. Examinez les vnements qui dcrivent le transfert de zone. Fermez le Gestionnaire DNS.

4. 5.

Tche 10 : Promouvoir le serveur au rle de contrleur du domaine Contoso.


1. 2. 3. 4. 5. Utilisez le Gestionnaire de serveur pour ajouter le rle Services de domaine Active Directory. Lancez DCPromo.exe. Dans lAssistant Installation des services de domaine Active Directory, slectionnez Utiliser linstallation en mode avanc. Dans la page Compatibilit du systme dexploitation, cliquez sur Suivant. Dans la fentre Choisissez une configuration de dploiement, cliquez sur Fort existante, cliquez sur Crer un nouveau domaine dans une fort existante, puis slectionnez Crer une nouvelle racine darborescence de domaine au lieu dun nouveau domaine enfant. Dans lcran Informations didentification rseau, tapez Woodgrovebank.com dans le champ du nom de domaine, cliquez sur Dfinir, puis utilisez les informations didentification suivantes : a. Utilisateur : Administrateur

6.

B. Mot de passe : Pa$$w0rd 7. 8. 9. Nommez la nouvelle racine darborescence de domaine Contoso.com. Dans lcran Nom de domaine NetBIOS, cliquez sur Suivant. Dfinissez le niveau fonctionnel du domaine Windows Server 2008.

12-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

10. Dans la fentre Slectionner un site, cliquez sur Suivant. 11. Dans la fentre Options supplmentaires pour le contrleur de domaine, activez la case cocher Catalogue global, puis cliquez sur Suivant. 12. Dans la bote de message Attribution IP statique, cliquez sur Oui, lordinateur utilisera une adresse IP attribue dynamiquement, puis sur Oui pour continuer.
Remarque : ce message fait rfrence linterface IPV6, qui est configure pour utiliser le protocole DHCP.

13. Dans la fentre Contrleur de domaine source, cliquez sur Suivant. 14. Dans la fentre Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, cliquez sur Suivant. 15. Dfinissez le mot de passe administrateur de restauration des services dannuaire sur Pa$$w0rd. 16. Dans lcran Rsum, cliquez sur Suivant, puis slectionnez Redmarrer la fin de lopration. 17. Ouvrez une session sur lordinateur ContosoDC en tant que Contoso\Administrateur. 18. Ouvrez la console de gestion DNS et examinez les zones de recherche directes. Notez la prsence de la zone contoso.com. 19. laide de la commande IPconfig /all, examinez la configuration IP. Notez que ContosoCD utilise 127.0.0.1 en tant que serveur DNS principal.

Implmentation dune infrastructure AD DS

12-23

Tche 11 : Fermer les ordinateurs virtuels NYC-SVR1 et NYC-DC2, et supprimer les disques dannulations.
1. 2. 3. 4. Fermez la fentre VMRC de lordinateur virtuel 6238A-NYC-SVR1. Dans la zone Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations. Cliquez sur OK. Fermez la fentre VMRC de 6238A-NYC-DC2. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations. Cliquez sur OK.
Rsultat : au terme de cet exercice, vous aurez cr un domaine dans une arborescence distincte et sur un site distinct.

12-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Prsentation de la relation dapprobation de fort

Points cls
Cette rubrique prsente les informations dont vous avez besoin pour latelier suivant. la fin de latelier suivant, vous aurez mis niveau la fort Fabrikam vers Windows Server 2008 et vous aurez affect un serveur Windows Server 2008 le rle de contrleur supplmentaire du domaine. La fort Fabrikam.com aura une relation dapprobation avec la fort WoodgroveBank. Lapprobation utilisera lauthentification slective afin que seul le groupe Administrateurs du domaine WoodgroveBank soit autoris sauthentifier auprs des ressources du domaine Fabrikam.

Implmentation dune infrastructure AD DS

12-25

Atelier pratique B : Configuration de la relation dapprobation de fort

Scnario
Woodgrove Bank a rcemment fait lacquisition dune nouvelle filiale, Fabrikam, Inc. Celle-ci utilise actuellement des contrleurs de domaine sous le systme dexploitation Windows Server 2003. Lune des premires tches des administrateurs de Woodgrove Bank consiste mettre les contrleurs de domaine niveau vers Windows Server 2008. Fabrikam, Inc restera dans une fort distincte et aura une relation dapprobation avec la fort de Woodgrove Bank.

12-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice : Mise niveau du domaine Fabrikam et cration dune approbation de fort avec Woodgrove Bank
Scnario
Vous tes charg de prparer la fort et le domaine Fabrikam 2003 afin quils acceptent les contrleurs de domaine Windows Server 2008. Vous devez galement configurer les transferts de zone DNS entre les forts Fabrikam et WoodgroveBank. Vous devez ensuite promouvoir un serveur Windows Server 2008 pour en faire un contrleur du domaine Fabrikam. Enfin, vous devez configurer une approbation de fort entre WoodgroveBank.com et Fabrikam.com. Lapprobation utilisera lauthentification slective de sorte que seul le groupe Administrateurs de domaine WoodgroveBank sera autoris sauthentifier auprs des ressources du domaine Fabrikam. Utilisez les informations suivantes dans cet exercice : Nom du site : Fabrikam Sous-rseau : 10.20.0.0 Passerelle : 10.20.0.1 Contrleur de domaine : FabrikamDC 10.20.0.10

Dans cet exercice, les tches principales sont les suivantes : 1. 2. 3. 4. 5. 6. 7. 8. Dmarrer les ordinateurs virtuels VAN-DC1 et NYC-SVR1. Prparer la fort et le domaine pour que la fort Fabrikam.Com accepte les contrleurs de domaine Windows Server 2008. Configurer des transferts de zone DNS rciproques en utilisant des zones de stub entre WoodgroveBank.com et Fabrikam.com. Donner NYC-SRV1 le nom VAN-DC2. Affecter au serveur Windows Server 2008 le rle de contrleur du domaine Fabrikam. Configurer une approbation de fort entre WoodgroveBank.com et Fabrikam.com pour une authentification slective. Configurer lauthentification slective pour le groupe Administrateurs du domaine WoodgroveBank. Arrter les serveurs.

Implmentation dune infrastructure AD DS

12-27

Tche 1 : Dmarrer les ordinateurs virtuels VAN-DC1 et NYC-SVR1.


1. 2. 3. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-VANDC1, cliquez sur Lancer. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCSVR1, cliquez sur Lancer. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

Tche 2 : Prparer la fort et le domaine pour que la fort Fabrikam.Com accepte les contrleurs de domaine Windows Server 2008.
1. 2. 3. 4. 5. 6. 7. 8. Sur VAN-DC1, ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd. Ouvrez Utilisateurs et ordinateurs Active Directory. Cliquez avec le bouton droit sur Fabrikam.com, puis cliquez sur Augmenter le niveau fonctionnel du domaine. levez le domaine au niveau fonctionnel de Windows Server 2003. Ouvrez Domaines et approbations Active Directory. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Augmenter le niveau fonctionnel de la fort. levez la fort au niveau fonctionnel de Windows Server 2003. Copiez les fichiers ADPrep Windows Server 2008 du dossier D:\6238\Mod12\Adprep sur lordinateur NYC-DC1 vers le dossier C:\Adprep sur lordinateur virtuel VAN-DC1. Dans une invite de commandes, entrez la commande C:\Adprep\adprep /forestprep. Lisez le message davertissement, puis tapez C pour continuer. Lexcution de Forestprep prend quelques instants.

9.

10. Dans la fentre dinvite de commandes, tapez C:\ Adprep\adprep /domainprep. 11. Fermez linvite de commandes.

12-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Configurer des transferts de zone DNS rciproques en utilisant des zones de stub entre WoodgroveBank.com et Fabrikam.com.
1. 2. 3. 4. 5. 6. 7. 8. Sur lordinateur virtuel VAN-DC1, lancez la console de gestion DNS. Configurez la zone Fabrikam.com pour autoriser les transferts de zone. Sur lordinateur virtuel NYC-DC1, lancez la console de gestion DNS. Lancez lAssistant Nouvelle zone. Dans lcran Type de zone, cliquez sur Zone de stub. Dans la page tendue de la zone de rplication de Active Directory, cliquez sur Suivant. Dans la fentre Nom de la zone, tapez Fabrikam.com. Dans la fentre Serveurs DNS matres, tapez 10.20.0.10, puis fermez lAssistant. Lexcution du transfert de zone prend quelques instants. Vous devez actualiser la console pour voir les modifications. Fermez le Gestionnaire DNS.

9.

10. Basculez vers VAN-DC1. 11. Lancez lAssistant Nouvelle zone. 12. Dans lcran Type de zone, cliquez sur Zone de stub. 13. Dans la page tendue de la zone de rplication de Active Directory, cliquez sur Suivant. 14. Dans la fentre Nom de la zone , tapez WoodgroveBank.com. 15. Dans la fentre Serveurs DNS matres, tapez 10.10.0.10, puis fermez lAssistant. Lexcution du transfert de zone prend quelques instants. Vous devez actualiser la console pour voir les modifications. 16. Fermez le Gestionnaire DNS.

Implmentation dune infrastructure AD DS

12-29

Tche 4 : Donner NYC-SRV1 le nom VAN-DC2.


1. 2. Sur NYC-SRV1, ouvrez une session en tant quAdminLocal avec le mot de passe Pa$$w0rd. Modifiez la configuration de ladresse IP pour la connexion au rseau local : 3. 4. Adresse IP : 10.20.0.11 Masque de sous-rseau : 255.255.0.0 Passerelle par dfaut : 10.20.0.1 Serveur DNS prfr : 10.20.0.10

Dans le Gestionnaire de serveur, cliquez sur Modifier les proprits systme. Donnez lordinateur le nom VAN-DC2, puis redmarrez-le.

Tche 5 : Affecter au serveur Windows Server 2008 le rle de contrleur du domaine Fabrikam.
1. 2. 3. 4. Sur lordinateur virtuel VAN-DC2, ouvrez une session en tant que AdminLocal avec le mot de passe Pa$$w0rd. Ajoutez le rle Services de domaine Active Directory. Lancez DCPromo.exe. Dans la fentre Choisissez une configuration de dploiement, cliquez sur Fort existante et conservez le choix par dfaut : Ajouter un contrleur de domaine un domaine existant. Dans la fentre Informations didentification rseau, tapez Fabrikam.com dans le champ du nom de domaine, cliquez sur Dfinir et utilisez les informations didentification suivantes : 6. Utilisateur : Fabrikam\Administrateur Mot de passe : Pa$$w0rd

5.

Dans la fentre Slectionnez un domaine, cliquez sur Fabrikam.com, puis sur Oui pour accuser rception du message concernant les contrleurs de domaine en lecture seule. Dans la fentre Slectionner un site, cliquez sur Suivant.

7.

12-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

8. 9.

Dans Options supplmentaires pour le contrleur de domaine, dsactivez les cases cocher Serveur DNS et Catalogue global. Dans la fentre Conflit de configuration du matre dinfrastructure, cliquez sur Transfrer le rle de matre dinfrastructure vers ce contrleur de domaine.

10. Dans la fentre Emplacement de la base de donnes, des fichiers journaux et de Sysvol, cliquez sur Suivant. 11. Dans le champ Mot de passe administrateur de restauration des services dannuaire, tapez Pa$$w0rd. 12. Dans la page Rsum, cliquez sur Suivant, puis cliquez sur Redmarrer la fin de lopration.

Tche 6 : Configurer une approbation de fort entre WoodgroveBank.com et Fabrikam.com pour une authentification slective.
1. 2. 3. 4. 5. 6. 7. 8. 9. Basculez vers NYC-DC1. Ouvrez Domaines et approbations Active Directory. Dans les proprits de WoodgroveBank.com, cliquez sur longlet Approbations, puis sur Nouvelle approbation. Dans lAssistant Nouvelle approbation, cliquez sur Suivant. Nommez lapprobation Fabrikam.com. Crez une approbation de fort. Configurez lapprobation pour quelle soit unilatrale : entrante. Dans la fentre Sens de lapprobation, slectionnez la fois ce domaine et le domaine spcifi. Utilisez les informations didentification suivantes : Nom dutilisateur : Administrateur Mot de passe : Pa$$w0rd

10. Dans lcran Niveau dauthentification dapprobations sortantes - Fort spcifie, cliquez sur Authentification slective.

Implmentation dune infrastructure AD DS

12-31

11. Dans la fentre Fin de la slection des approbations, cliquez sur Suivant. 12. Dans lcran Confirmer lapprobation entrante, cliquez sur Suivant, et fermez lAssistant.

Tche 7 : Configurer lauthentification slective pour le groupe Administrateurs du domaine WoodgroveBank.


1. 2. 3. 4. 5. 6. Basculez vers VAN-DC1. Ouvrez Utilisateurs et ordinateurs Active Directory. Activez la fonctionnalit Affichage avanc. Dans Unit dorganisation des contrleurs de domaine, ouvrez les proprits de lordinateur virtuel VAN-DC1. Dans la fentre Proprits de VAN-DC1, cliquez sur longlet Scurit, puis sur Ajouter. Affectez au groupe WoodgroveBank\Administrateurs de domaine lautorisation Authentifier.

Tche 8 : Fermer les ordinateurs virtuels NYC-SVR1, NYC-RAS et VAN-DC1, et supprimer les disques dannulations.
1. 2. 3. 4. 5. 6. 7. Fermer les ordinateurs virtuels NYC-SVR1, NYC-RAS et VAN-DC1, et supprimer les disques dannulations. Fermez la fentre VMRC de lordinateur virtuel 6238A-NYC-SVR1. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez la fentre VMRC de lordinateur virtuel 6238A-NYC-RAS. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez la fentre VMRC de lordinateur virtuel 6238A-VAN-DC1. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK.
Rsultat : au terme de cet exercice, vous aurez cr une approbation de fort.

12-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Prsentation de la configuration de lobjet de stratgie de groupe AD DS

Points cls
La diapositive illustre la configuration actuelle des units dorganisation de Woodgrove Bank.

Implmentation dune infrastructure AD DS

12-33

Atelier C : Conception dune stratgie de groupe

Scnario
En tant quadministrateur rseau de WoodgroveBank.Com, vous tes charg de dvelopper une stratgie de bureau et de scurit qui pourra tre gre de manire centralise laide dune stratgie de groupe.

12-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Planification dune stratgie de groupe


Scnario
Vous tes charg de crer une stratgie de scurit ordinateur pouvant tre dlivre via une stratgie de groupe. Vous devez crer toutes les units dorganisation ncessaires, puis crer et lier ces units les stratgies appropries. La stratgie dentreprise exige que les serveurs se trouvent dans une arborescence dunits dorganisation distincte en fonction de leur rle. Vous devez prendre en compte des serveurs de fichiers et dimpression, des serveurs SQL et des serveurs Web. Utilisez le diagramme du domaine pour planifier plus facilement la stratgie de groupe et la structure des units dorganisation. Inscrivez dans le tableau la description des objets de stratgie de groupe que vous devez crer, les paramtres que chacun contiendra et les points de liaison entre les objets de stratgie de groupe. Dans cet exercice, les tches principales sont les suivantes : 1. Crer une stratgie de scurit globale qui sera applicable tous les ordinateurs du domaine comme suit : 2. Le compte Administrateur intgr chaque ordinateur sera renomm Admin. Le groupe global IT Admins sera ajout au groupe Administrateurs local. Les mises jour de Windows proviendront dun serveur Web interne nomm http://Updates.

Crer une stratgie de scurit qui sera applicable tous les serveurs avec des paramtres de scurit supplmentaires en fonction du rle de ces serveurs, comme suit : Le compte Administrateur intgr chaque serveur membre sera renomm SRVAdmin. Les vnements de connexion aux comptes seront audits sur tous les serveurs. Lexcution dInternet Explorer sera interdite sur tous les serveurs. Les serveurs SQL empcheront toute installation dun dispositif amovible.

Implmentation dune infrastructure AD DS

12-35

3.

Configurer une stratgie de Bureau dentreprise comme suit : Aucun des utilisateurs du domaine naura accs aux paramtres des crans de veille. Les utilisateurs de Toronto et de Miami ne seront pas autoriss excuter Windows Messenger. Les utilisateurs du domaine ne seront pas autoriss ajouter de nouvelles imprimantes. Cette limitation ne sappliquera pas aux utilisateurs de lunit dorganisation Admin. Le chiffrement de fichiers hors connexion sera appliqu lunit dorganisation Executives. lexception des administrateurs du domaine, aucun utilisateur ne sera autoris accder au Panneau de configuration.

12-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Nom GPO

Paramtres

Li

Implmentation dune infrastructure AD DS

12-37

Exercice 2 : Implmentation de la stratgie de Bureau dentreprise


Scnario
Vous tes charg dimplmenter la stratgie de Bureau dentreprise pour le domaine de Woodgrove Bank. Vous devez crer et lier les objets de stratgie de groupe appropris. Les principales tches abordes dans cet exercice sont les suivantes : 1. 2. 3. 4. 5. Crer et lier la stratgie de Bureau du domaine. Crer et lier le GPO Empcher laccs au Panneau de configuration Crer et lier le GPO Chiffrement forc des fichiers hors connexion. Crer et lier le GPO Blocage de Windows Messenger. Crer et lier le GPO Autoriser lajout dimprimantes.

Tche 1 : Crer et lier la stratgie de Bureau du domaine.


1. 2. 3. Sur lordinateur virtuel NYC-DC1, ouvrez la console Gestion des stratgies de groupe. Crez un objet de stratgie de groupe nomm Stratgie de Bureau du domaine et liez-le au domaine WoodgroveBank.com. Modifiez comme suit la stratgie de Bureau du domaine : 4. 5. Dveloppez Configuration utilisateur, Stratgies, Modles dadministration et Panneau de configuration, puis dveloppez sur Imprimantes. Activez le paramtre Dsactiver lajout dimprimante.

Dans le Panneau de configuration, cliquez sur Affichage, puis activez le paramtre Masquer longlet cran de veille. Fermez lditeur de gestion des stratgies de groupe.

12-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Crer et lier le GPO Empcher laccs au Panneau de configuration.


1. 2. 3. 4. Dveloppez Configuration utilisateur, Stratgies, Modles dadministration, puis Panneau de configuration. Activez le paramtre Empcher laccs au Panneau de configuration. Fermez lditeur de gestion des stratgies de groupe. Double-cliquez sur le GPO Empcher laccs au Panneau de configuration, cliquez sur longlet Dlgation dans le volet dinformations, puis cliquez sur Avanc. Dans la bote de dialogue Proprits de scurit de Empcher laccs au Panneau de configuration, slectionnez Administrateurs du domaine, activez la case cocher pour Refuser lautorisation Appliquer la stratgie de groupe, puis cliquez sur OK. Cliquez sur Oui pour accuser rception du message. Ainsi, la stratgie ne sappliquera pas au groupe des administrateurs du domaine.

5.

6.

Tche 3 : Crer et lier le GPO Chiffrement forc des fichiers hors connexion.
1. 2. 3. 4. 5. 6. 7. Cliquez avec le bouton droit sur Unit dorganisation Executives, puis cliquez sur Crer un objet GPO dans ce domaine, et le lier ici. Dans la bote de dialogue Nouvel objet GPO, tapez Chiffrement forc des fichiers hors connexion dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur Chiffrement forc des fichiers hors connexion, puis cliquez sur Modifier. Dveloppez Configuration ordinateur, Stratgies, Modles dadministration et Rseau, puis cliquez sur Fichiers hors connexion. Dans le volet dinformations, double-cliquez sur Chiffrer le cache des fichiers hors connexion. Dans la bote de dialogue Proprits de Chiffrer le cache des fichiers hors connexion, cliquez sur Activ, puis sur OK. Fermez lditeur de gestion des stratgies de groupe.

Implmentation dune infrastructure AD DS

12-39

Tche 4 : Crer et lier le GPO Blocage de Windows Messenger.


1. 2. 3. 4. 5. 6. 7. 8. 9. Cliquez avec le bouton droit sur Unit dorganisation Miami, puis cliquez sur Crer un objet GPO dans ce domaine, et le lier ici. Dans la bote de dialogue Nouvel objet GPO, tapez Blocage de Windows Messenger dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur Blocage Windows Messenger, puis cliquez sur Modifier. Dveloppez Configuration utilisateur, Stratgies, Modles dadministration et Composants Windows, puis double-cliquez sur Windows Messenger. Dans le volet dinformations, double-cliquez sur Ne pas autoriser lexcution de Windows Messenger. Dans la bote de dialogue Proprits de Ne pas autoriser lexcution de Windows Messenger, cliquez sur Activ, puis sur OK. Fermez lditeur de gestion des stratgies de groupe. Cliquez avec le bouton droit sur Unit dorganisation Toronto, puis cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue de slection de GPO, cliquez sur Blocage de Windows Messenger, puis sur OK.

Tche 5 : Crer et lier le GPO Autoriser lajout dimprimantes.


1. 2. 3. 4. Cliquez avec le bouton droit sur Unit dorganisation IT Admins, puis cliquez sur Crer un objet GPO dans ce domaine, et le lier ici. Dans la bote de dialogue Nouvel objet GPO, tapez Autoriser lajout dimprimantes dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur Autoriser lajout dimprimantes, puis cliquez sur Modifier. Dveloppez Configuration utilisateur, Stratgies, Modles dadministration et Panneau de configuration, puis cliquez sur Imprimantes. Dans le volet dinformations, double-cliquez sur Dsactiver lajout dimprimante. Dans la bote de dialogue Proprits de Dsactiver lajout dimprimante, cliquez sur Dsactiv, puis sur OK.

5.

12-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

6. 7. 8.

Fermez lditeur de gestion des stratgies de groupe. Fermez la console GPMC. Arrtez tous les ordinateurs virtuels et supprimez les modifications.
Rsultat : au terme de cet exercice, vous aurez implment une stratgie de groupe.

Implmentation dune infrastructure AD DS

12-41

Rcapitulatif du module et objectifs

lments prendre en considration


Prenez les points suivants en compte lorsque vous mettez en uvre une infrastructure des services de domaine Active Directory : Vous pouvez utiliser des sites pour contrler ltendue du trafic de connexions. Lutilisation darborescences distinctes dans la fort permet de faire coexister plusieurs espaces de noms DNS.

12-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

valuation du cours

Votre valuation de ce cours permettra Microsoft de mesurer la qualit de votre apprentissage. Votre prestataire de formation vous montrera comment accder au formulaire dvaluation du cours. Votre valuation est strictement confidentielle et vos rponses cette enqute seront utilises dans le seul but damliorer la qualit des prochains cours Microsoft. Vos commentaires ouverts et honntes sont trs prcieux.

Atelier pratique : Implmentation de contrleurs de domaine en lecture seule et gestion des rles de contrleur de domaine

L1-1

Module 1 : Implmentation des services de domaine Active Directory

Atelier pratique : Implmentation de contrleurs de domaine en lecture seule et gestion des rles de contrleur de domaine
Exercice 1 : valuation de ltat de prparation de la fort et du serveur pour linstallation dun contrleur de domaine en lecture seule
Tche 1 : Dmarrer 6238A-NYC-DC1 et ouvrir une session en tant quAdministrateur.
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC2, cliquez sur Launch. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCSVR1, cliquez sur Launch. Ouvrez une session sur NYC-DC1 et NYC-DC2 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Ouvrez une session sur NYC-SVR1 en tant que AdminLocal avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4. 5. 6. 7.

L1-2

Module 1 : Implmentation des services de domaine Active Directory

Tche 2 : Vrifier que le niveau fonctionnel de la fort et du domaine est compatible avec le dploiement dun contrleur de domaine en lecture seule.
1. 2. 3. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de WoodgroveBank.com, vrifiez que le niveau fonctionnel du domaine et celui de la fort sont rgls Windows Server 2003. Cliquez sur Annuler.

4.

Tche 3 : Vrifier la disponibilit dun contrleur de domaine inscriptible excutant Windows Server 2008.
1. 2. 3. 4. Dans Utilisateurs et ordinateurs Active Directory, dveloppez WoodgroveBank.com et cliquez sur Domain Controllers. Cliquez avec le bouton droit sur NYC-DC1 et cliquez sur Proprits. Dans longlet Systme dexploitation, assurez-vous que le nom du systme dexploitation est Windows Server 2008 Entreprise. Cliquez sur OK, puis fermez Utilisateurs et ordinateurs Active Directory.

Tche 4 : Configurer les paramtres de compte dordinateur pour le contrleur de domaine en lecture seule.
1. 2. 3. 4. Sur NYC-SVR1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestionnaire de serveur. Dans le Gestionnaire de serveur, cliquez sur Modifier les proprits systme. Dans longlet Nom de lordinateur, cliquez sur Modifier. Dans le champ Nom de lordinateur, tapez TOR-DC1, puis cliquez sur OK.

Atelier pratique : Implmentation de contrleurs de domaine en lecture seule et gestion des rles de contrleur de domaine

L1-3

5. 6.

Dans la bote de dialogue Modification du nom ou du domaine de lordinateur, cliquez sur OK. Cliquez sur Fermer, puis sur Redmarrer maintenant.
Rsultat : au terme de cet exercice, vous aurez vrifi que le domaine et lordinateur sont prts pour linstallation dun contrleur de domaine en lecture seule.

Exercice 2 : Installation et configuration dun contrleur de domaine en lecture seule


Tche 1 : Prdfinir le compte dordinateur pour le contrleur de domaine en lecture seule.
1. 2. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Dveloppez WoodgroveBank.com, cliquez avec le bouton droit sur lunit dorganisation Contrleurs de domaine, puis cliquez sur Crer au pralable un compte de contrleur de domaine en lecture seule. Dans la page Assistant Installation des services de domaine Active Directory, activez la case cocher Utiliser linstallation en mode avanc, puis cliquez sur Suivant. Dans la page Compatibilit du systme dexploitation, cliquez sur Suivant. Dans la page Informations didentification rseau, assurez-vous que loption Mes informations didentification de connexion actuelles est slectionne, puis cliquez sur Suivant. Dans la page Spcifiez le nom de lordinateur, dans le champ Nom de lordinateur, tapez TOR-DC1, puis cliquez sur Suivant. Dans la page Slectionner un site, cliquez sur Suivant. Dans la page Options supplmentaires pour le contrleur de domaine, dsactivez la case cocher Catalogue global, puis cliquez sur Suivant. Dans la page Spcifier la stratgie de rplication de mot de passe, confirmez que tous les utilisateurs et groupes, lexception du Groupe de rplication dont le mot de passe RODC est autoris sont configurs pour refuser la mise en cache des informations didentification, puis cliquez sur Suivant.

3.

4. 5.

6. 7. 8. 9.

L1-4

Module 1 : Implmentation des services de domaine Active Directory

10. Dans la page Dlgation de linstallation en une administration du RODC, cliquez sur Dfinir. 11. Dans la bote de dialogue Slectionnez lutilisateur ou le groupe, dans la zone de texte Entrez le nom de lobjet slectionner, tapez Fabrice, cliquez sur OK, puis cliquez sur Suivant. 12. Dans la page Rsum, vrifiez vos slections, puis cliquez sur Suivant pour crer le compte du contrleur de domaine en lecture seule. 13. Dans la page Fin de lAssistant Installation des services de domaine Active Directory, cliquez sur Terminer.

Tche 2 : Sur TOR-DC1, ouvrir une session en tant que LAdminLocal.


Ouvrez une session en tant que AdminLocal avec le mot de passe Pa$$w0rd.

Tche 3 : Installer le contrleur de domaine en lecture seule laide du compte existant et utiliser WoodgroveBank\Fabrice en tant que compte avec informations didentification pour effectuer linstallation.
1. 2. 3. Ouvrez une invite de commandes. Tapez dcpromo /UseExistingAccount:Attach, puis appuyez sur Entre. Dans la page Assistant Installation des services de domaine Active Directory, activez la case cocher Utiliser linstallation en mode avanc, puis cliquez sur Suivant. Dans la page Informations didentification rseau, tapez WoodgroveBank.com. Sous Spcifiez les informations didentification de compte utiliser pour effectuer linstallation, cliquez sur Autres informations didentification, puis cliquez sur Dfinir. Dans la bote de dialogue Scurit Windows, tapez Fabrice pour le Nom dutilisateur et Pa$$w0rd pour le Mot de passe. Cliquez sur OK, puis sur Suivant.

4.

5.

Atelier pratique : Implmentation de contrleurs de domaine en lecture seule et gestion des rles de contrleur de domaine

L1-5

6.

Dans la page Slectionner un compte de contrleur de domaine, vrifiez que TOR-DC1 est slectionn, puis cliquez sur Suivant. Dans la bote de message Affectation IP statique, cliquez sur Oui, lordinateur utilisera une adresse IP affecte dynamiquement (non recommand). Remarque : Ce message se rapporte la carte IPv6 et ne concerne pas cet exercice. Dans la page Installation partir dun support, cliquez sur Suivant. Dans la page Contrleur de domaine source, cliquez sur Utiliser ce contrleur de domaine spcifique. Cliquez sur NYCDC1.WoodgroveBank.com, puis sur Suivant. Dans la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, cliquez sur Suivant.

7. 8.

9.

10. Dans la page Mot de passe administrateur de restauration des services dannuaire, tapez Pa$$w0rd dans les zones Mot de passe et Confirmer le mot de passe, puis cliquez sur Suivant. 11. Dans la page Rsum, vrifiez vos slections et cliquez sur Suivant pour installer les Services de domaine Active Directory. 12. Activez la case cocher Redmarrer la fin de lopration. Patientez jusqu la fin de linstallation et au redmarrage automatique du serveur.

Tche 4 : Vrifier le bon droulement de linstallation du contrleur de domaine.


1. 2. 3. Dmarrez TOR-DC1 et ouvrez une session en tant que Fabrice avec le mot de passe Pa$$w0rd. Dans le Gestionnaire de serveur, dveloppez Rles et vrifiez que le rle de serveur Services de domaine Active Directory est install. Cliquez sur Services de domaine Active Directory, affichez les informations relatives aux services systme dans le volet droit, puis vrifiez que les services suivants sont en cours dexcution : a. b. c. Services de domaine Active Directory Espace de noms DFS Rplication DFS

L1-6

Module 1 : Implmentation des services de domaine Active Directory

e. f. g. h. i. 4. 5.

Service de rplication de fichiers (FRS) Centre de distribution de cls Kerberos Accs rseau Service de temps Windows Station de travail

Dans le volet gauche, dveloppez Services de domaine Active Directory. Cliquez sur Utilisateurs et ordinateurs Active Directory, dveloppez WoodgroveBank.com, puis cliquez sur Domain Controllers. Vrifiez que TOR-DC1 est rpertori dans lunit dorganisation Contrleurs de domaine. Cliquez sur lunit dorganisation Toronto. Dans le volet Actions, cliquez sur Autres actions, puis vrifiez que vous navez pas lautorisation dajouter ou de supprimer des objets de domaine. Dans le volet gauche, dveloppez Sites et services Active Directory, dveloppez Sites, puis dveloppez Default-First-Site-Name. Cliquez sur Servers et vrifiez que TOR-DC1 est rpertori dans la liste Serveurs.

6. 7. 8. 9.

10. Double-cliquez sur TOR-DC1, et double-cliquez sur NTDS Settings. Dans le volet central, confirmez que les objets de connexion ont t crs. 11. Dans le conteneur Servers, double-cliquez sur NYC-DC1, puis double-cliquez sur NTDS Settings. Dans le volet du milieu, vrifiez quaucun objet de connexion na t cr partir de TOR-DC1, mais quune connexion au contrleur de domaine en lecture seule a t cre partir de NYC-DC1. 12. Fermez le Gestionnaire de serveur et fermez la session sur TOR-DC1.

Atelier pratique : Implmentation de contrleurs de domaine en lecture seule et gestion des rles de contrleur de domaine

L1-7

Tche 5 : Configurer une stratgie de rplication de mots de passe permettant la mise en cache des informations didentification pour tous les comptes dutilisateur Toronto.
1. 2. 3. 4. Sur NYC-DC1, cliquez sur Outils dadministration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Dveloppez lunit dorganisation des Contrleurs de domaine, cliquez avec le bouton droit sur TOR-DC1, puis cliquez sur Proprits. Dans longlet Stratgie de rplication de mot de passe, cliquez sur Ajouter. Dans la bote de dialogue Ajouter des groupes, des utilisateurs et des ordinateurs, cliquez sur Autoriser la rplication des mots de passe du compte sur ce contrleur de domaine en lecture seule, puis cliquez sur OK. Dans la bote de dialogue Slectionnez les utilisateurs, les ordinateurs ou les groupes, tapez Tor, puis cliquez sur Vrifier les noms. Maintenez la touche Ctrl enfonce, cliquez sur les 4 noms de groupes, puis cliquez deux fois sur OK. Dans longlet Stratgie de rplication de mot de passe, cliquez sur OK. Fermez Utilisateurs et ordinateurs Active Directory.
Rsultat : au terme de cet exercice, vous avez install un contrleur de domaine en lecture seule et configur sa stratgie de rplication de mot de passe.

5. 6. 7. 8.

Exercice 3 : Configuration des rles de contrleur de domaine des services de domaine Active Directory
Tche 1 : Utiliser Sites et services Active Directory pour configurer TOR-DC1 en tant que serveur de catalogue global.
1. 2. 3. 4. Sur NYC-DC1, ouvrez Sites et services Active Directory. Dveloppez Sites, dveloppez Default-First-Site-Name, dveloppez Servers, puis cliquez sur TOR-DC1. Dans le volet dinformations, cliquez avec le bouton droit sur NTDS Settings, puis cliquez sur Proprits. Activez la case cocher Catalogue global, puis cliquez sur OK.

L1-8

Module 1 : Implmentation des services de domaine Active Directory

Tche 2 : Configurer NYC-DC2 en tant que matre dinfrastructure et matre doprations des noms de domaine pour le domaine WoodgroveBank.com.
1. 2. Active Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory. Dans larborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Changer le contrleur de domaine. Sous Remplacer par, cliquez sur Ce contrleur de domaine ou cette instance AD LDS, cliquez sur NYC-DC2.WoodgroveBank.com, puis cliquez sur OK. Dans larborescence de la console, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Matre doprations. Dans longlet Infrastructure, assurez-vous que NYCDC1.WoodgroveBank.com est rpertori dans la zone Matre doprations, et que NYC-DC2.WoodgroveBank.com est indiqu comme tant le contrleur de domaine auquel le rle sera transfr. Cliquez sur Modifier, puis sur Oui. Cliquez sur OK pour confirmer la russite du transfert, puis cliquez sur Fermer. Sur NYC-DC2, ouvrez Domaines et approbations Active Directory. Dans larborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Changer le contrleur de domaine Active Directory. Sous Remplacer par, cliquez sur Ce contrleur de domaine ou cette instance AD LDS, cliquez sur NYC-DC2.WoodgroveBank.com, puis cliquez sur OK. Dans larborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Matre doprations.

3. 4. 5.

6. 7.

8. 9.

10. Dans la bote de dialogue Matre doprations, assurez-vous que NYCDC1.WoodgroveBank.com figure dans la zone Matre des oprations dattribution de noms de domaine, et que NYC-DC2.WoodgroveBank.com est indiqu comme tant le contrleur de domaine auquel le rle sera transfr. Cliquez sur Modifier, puis sur Oui. Cliquez sur OK pour confirmer la russite du transfert, puis cliquez sur Fermer.

Atelier pratique : Implmentation de contrleurs de domaine en lecture seule et gestion des rles de contrleur de domaine

L1-9

Tche 3 : Ajouter lattribut Service au catalogue global.


1. Sur NYC-DC1, cliquez sur Dmarrer, sur Excuter, tapez regsvr32 schmmgmt.dll, puis cliquez sur OK. Patientez jusqu ce que la dll soit enregistre, puis cliquez sur OK. Cliquez sur Dmarrer, sur Excuter, tapez mmc, puis appuyez sur Entre. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Dans la bote de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez surSchma Active Directory, puis cliquez sur Ajouter. Cliquez sur OK. Dans larborescence de la console, dveloppez Schma Active Directory, puis cliquez sur Attributs. Dans le volet dinformations, cliquez avec le bouton droit sur department, puis cliquez sur Proprits. Activez la case cocher Rpliquer cet attribut dans le catalogue global, puis cliquez sur OK. Fermez la fentre Console1 dans enregistrer les modifications.

2. 3. 4.

5. 6. 7. 8.

Tche 4 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la zone Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez configur un serveur de catalogue global et les rles de contrleur de domaine des services de domaine Active Directory.

Atelier pratique : Configuration de lintgration des services de domaine Active Directory et du systme DNS

L2-11

Module 2 : Configuration du service de noms de domaine des services de domaine Active Directory

Atelier pratique : Configuration de lintgration des services de domaine Active Directory et du systme DNS
Exercice 1 : Configuration des zones intgres Active Directory
Tche 1 : Dmarrer lordinateur NYC-DC1 et ouvrir une session en tant quAdministrateur
Dmarrez NYC-DC1 et ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd.

Tche 2 : Examiner les enregistrements SRV


1. Cliquez sur Dmarrer, pointez sur Outils dadministration, cliquez sur DNS, puis dveloppez Zones de recherche directes. Accdez _msdsc.woodgrovebank.com>GC>_TCP. Dveloppez le dossier DC>_TCP. Cliquez avec le bouton droit sur _msdsc.woodgrovebank.com, puis cliquez sur Proprits. Fermez la page des proprits.

2. 3. 4.

L2-12

Module 2 : Configuration du service de noms de domaine des services de domaine Active Directory

Tche 3 : Crer un enregistrement SRV pour prendre en charge le protocole Telnet sur lordinateur NYC-SRV2
1. 2. Cliquez avec le bouton droit sur _msdsc.woodgrovebank.com, puis cliquez sur Nouveaux enregistrements. Dans la section Choisissez un type denregistrement de ressource, slectionnez le type denregistrement Emplacement du service (SRV), puis cliquez sur Crer un enregistrement. Dans le champ Service, slectionnez _telnet dans la liste droulante. Dans le champ Hte offrant ce service, tapez NYCSRV2.woodgrovebank.com, cliquez sur OK, puis sur Termin.

3. 4.

Tche 4 : Crer deux zones partir des fichiers de zones pour Fabrikam et Contoso
1. Utilisez lExplorateur Windows pour copier les fichiers Contoso.com.dns et Fabrikam.com.dns du dossier D:\6238\Mod02\Labfiles vers C:\Windows\System32\DNS. Laissez lExplorateur Windows ouvert. Revenez la console Gestionnaire DNS, cliquez avec le bouton droit Zones de recherche directes, puis cliquez sur Nouvelle zone. Dans lAssistant Nouvelle zone, cliquez sur Suivant. Dans la page Type de zone, assurez-vous que Zone principale est slectionne, dsactivez la case cocher Enregistrer la zone dans Active Directory, puis cliquez sur Suivant. Dans la page Nom de la zone, tapez Contoso.com, puis cliquez sur Suivant. Dans la page Fichier zone, slectionnez Utiliser un fichier existant, assurezvous que Contoso.com.dns figure dans le champ, puis cliquez sur Suivant. Dans la page Mises jour dynamiques, assurez-vous que loption Ne pas autoriser les mises jour dynamiques est slectionne, cliquez sur Suivant, puis sur Terminer. Rptez les tapes 2 6 pour la zone Fabrikam.com.

2. 3.

4. 5. 6.

7.

Atelier pratique : Configuration de lintgration des services de domaine Active Directory et du systme DNS

L2-13

Tche 5 : Configurer les zones Contoso et Fabrikam pour les intgrer Active Directory et sassurer que les mises jour dynamiques ne sont pas autorises
1. 2. 3. 4. 5. Dans la console de gestion DNS, cliquez avec le bouton droit sur la zone Contoso.com, puis cliquez sur Proprits. Dans longlet Gnral, cliquez sur Modifier. Activez la case cocher Enregistrer la zone dans Active Directory, puis cliquez sur OK. Dans le message DNS, cliquez sur Oui, puis sur OK. Retournez dans lExplorateur Windows. Notez que le fichier de zone Contoso.com.dns nest plus dans le dossier DNS. Il est maintenant stock dans les Services de domaine Active Directory. Revenez la page de proprits de la zone Contoso.com et assurez-vous que les Mises jour dynamiques sont dfinies sur la valeur Aucune. Rptez les tapes 1 4 pour la zone Fabrikam.com.

6. 7.

Tche 6 : Configurer ltendue de rplication de la zone Contoso chelle de la fort, et celle de la zone Fabrikam chelle du domaine
1. 2. 3. Dans la console Gestion DNS, cliquez avec le bouton droit sur la zone Contoso.com, puis cliquez sur Proprits. Cliquez sur Modifier ct de Rplication. Dans la bote de dialogue Modifier ltendue de rplication de la zone, cliquez sur Vers tous les serveurs DNS de cette fort, puis cliquez deux fois sur OK. Ouvrez la page des proprits de Fabrikam.com. Vrifiez que ltendue de rplication pour la zone Fabrikam est Vers tous les serveurs DNS de ce domaine.

4. 5.

L2-14

Module 2 : Configuration du service de noms de domaine des services de domaine Active Directory

Tche 7 : Utiliser ADSI Edit.exe pour afficher les zones DNS intgres Active Directory
1. 2. 3. 4. 5. 6. 7. Dans le menu Dmarrer, pointez sur Excuter, puis lancez adsiedit.msc. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion. Dans la section Point de connexion, choisissez Slectionnez ou entrez un nom unique ou un contexte dattribution de noms. Tapez DC=DomainDNSZones,DC=WoodgroveBank,DC=Com, puis cliquez sur OK. Dveloppez le contexte dattribution de noms, dveloppez CN=MicrosoftDNS, cliquez sur DC=Woodgrovebank.com et examinez les enregistrements. Double-cliquez sur lenregistrement NYC-DC1. Fermez toutes les pages des proprits et la console de gestion ADSI.

Atelier pratique : Configuration de lintgration des services de domaine Active Directory et du systme DNS

L2-15

Exercice 2 : Configuration des zones DNS en lecture seule


Tche 1 : Dmarrer et ouvrir une session sur lordinateur MIA-RODC en tant quAdministrateur
Dmarrez et ouvrez une session sur lordinateur MIA-RODC en tant quAdministrateur avec le mot de passe Pa$$w0rd.

Tche 2 : Installer le service Serveur DNS


Dans la fentre dinvite de commandes, tapez Start /w Ocsetup DNS-ServerCore-Role et appuyez sur Entre.

Remarque : le nom du rle de serveur est sensible la casse.

Tche 3 : Configurer le serveur DNS pour prendre en charge toutes les zones lchelle du domaine et de la fort
1. Dans la fentre dinvite de commandes, tapez la commande suivante et appuyez sur Entre : Dnscmd /enlistdirectorypartition DomainDnsZones.woodgrovebank.com. Ensuite, tapez la commande suivante et appuyez sur Entre : Dnscmd /enlistdirectorypartition ForestDnsZones.woodgrovebank.com. Basculez vers NYC-DC1 et ouvrez la console de gestion DNS. Cliquez avec le bouton droit sur DNS, puis cliquez sur tablir une connexion au serveur DNS.

2. 3. 4.

L2-16

Module 2 : Configuration du service de noms de domaine des services de domaine Active Directory

5. 6.

Dans la bote de dialogue Connexion au serveur DNS, cliquez sur Lordinateur suivant, tapez MIA-RODC dans le champ, puis cliquez sur OK. Dveloppez MIA-RODC, Zones de recherche directes, et assurez-vous que toutes les zones DNS sont affiches.

Remarque : si les zones DNS ne sont pas affiches, ouvrez Sites et services Active Directory sur NYC-DC1. Dveloppez Sites, Default-First-Site-Name, Servers, MIARODC, puis cliquez sur NTDS Settings. Cliquez avec le bouton droit sur RODCConnection (FRS) et cliquez sur Rpliquer maintenant. Cliquez sur OK. Dans la console de gestion DNS, cliquez avec le bouton droit sur Zones de recherche directes et cliquez sur Actualiser. Vrifiez que les zones sont maintenant affiches. Si elles napparaissent toujours pas, patientez quelques minutes, puis cliquez de nouveau sur Actualiser.

Tche 4 : Arrter tous les ordinateurs virtuels et ignorer les changements


1. Sur lordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, puis sur Microsoft Virtual Server, puis cliquez sur Site Web dadministration de Virtual Server. Sous Navigation, cliquez sur tat rcapitulatif. Pour chaque ordinateur virtuel en cours dexcution, cliquez sur le nom de lordinateur virtuel, puis, dans le menu contextuel, cliquez sur Dsactiver lordinateur virtuel et ignorer les disques dannulations. Cliquez sur OK.

2.

Atelier pratique A : Configuration des objets Active Directory

L3-17

Module 3 : Configuration des objets et approbations Active Directory

Atelier pratique A : Configuration des objets Active Directory


Exercice 1 : Configuration des objets des services de domaine Active Directory
Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch.

2.

3. Dans lutilitaire de lancement de latelier pratique, en regard de 6238-NYC-CL1, cliquez sur Launch. 4. 5. 6. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Ouvrez une session sur NYC-CL1 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

Tche 2 : Crer des comptes dutilisateurs dans les services de domaine Active Directory
1. 2. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Dveloppez WoodgroveBank.com, cliquez avec le bouton droit sur lunit dorganisation ITAdmins, pointez sur Nouveau, puis cliquez sur Utilisateur.

L3-18

Module 3 : Configuration des objets et approbations Active Directory

3.

Dans la bote de dialogue Nouvel objet - Utilisateur, entrez les paramtres suivants : Prnom - Karl Nom - Fonteneau Nom complet - Karl Fonteneau Nom d'ouverture de session de lutilisateur - Karl

4. 5. 6.

Cliquez sur Suivant. Dans les champs Mot de passe et Confirmer le mot de passe, entrez Pa$$w0rd. Dsactivez la case cocher Lutilisateur doit changer le mot de passe la prochaine ouverture de session, cliquez sur Suivant, puis cliquez sur Terminer. Sur NYC-DC1, ouvrez une fentre dinvite de commandes. linvite, tapez la commande suivante et appuyez sur Entre. dsadd user "cn=Delphine Ribaute,ou=itadmins,dc=WoodgroveBank, dc=com" -samid Delphine -pwd Pa$$w0rd -desc Administrateur Un message indiquant que la commande dsadd a russi doit safficher.

7. 8.

9.

Dans Utilisateurs et ordinateurs Active Directory, vrifiez que le compte Delphine Ribaute a t ajoute lunit dorganisation IT Admins.

Tche 3 : Modifier des comptes dutilisateurs existants dans les services de domaine Active Directory
1. 2. 3. Ouvrez lExplorateur Windows, puis crez un nouveau dossier sur le lecteur D nomm HomeDirs. Cliquez avec le bouton droit sur HomeDirs, puis cliquez sur Partager. Dans la bote de dialogue Partage de fichiers, tapez Utilisateurs du domaine, puis cliquez sur Ajouter. Dans la colonne Niveau dautorisation, cliquez sur Collaborateur. Cliquez sur Partager, puis cliquez sur Termin. Dans le dossier HomeDirs, crez un dossier nomm Marketing. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Rechercher.

4. 5.

Atelier pratique A : Configuration des objets Active Directory

L3-19

6. 7.

Dans la bote de dialogue Rechercher Utilisateurs, contacts et groupes, dans la zone Nom, tapez Michel, puis cliquez sur Rechercher maintenant. Cliquez avec le bouton droit sur Michel Cordani, puis cliquez sur Proprits. Modifiez les proprits dutilisateur de la manire suivante : a. Sous longlet Gnral, dfinissez les champs suivants : b. c. Numro de tlphone - 555-555-0100 Bureau - Sige social E-mail - Michel@WoodgroveBank.com

Dans longlet Appel entrant, pour Autorisations daccs rseau choisissez Autoriser laccs. Dans longlet Compte, cliquez sur Horaires daccs. Configurez les horaires daccs autoriser entre 8h00 et 17h00, puis cliquez sur OK.

d. Sur longlet Profil, sous Accueil, cliquez sur Connecter. Slectionnez le lecteur H, et dans la zone , tapez \\NYC-DC1\HomeDirs\Marketing\%username% e. 8. 9. Cliquez sur OK.

Dans lExplorateur Windows, accdez D:\HomeDirs\Marketing. Vrifiez quun dossier nomm Michel a t cr dans le dossier. Fermez Windows Explorer.

10. Fermez la bote de dialogue Rechercher Utilisateurs, contacts et groupes, puis fermez Utilisateurs et ordinateurs Active Directory. 11. Sur NYC-CL1, fermez la session, puis ouvrez une session en tant que Michel avec le mot de passe Pa$$w0rd. 12. Ouvrez lExplorateur Windows et vrifiez que le lecteur H a t mapp au dossier \\NYC-DC1\HomeDirs\Marketing\Michel. Crez un nouveau document dans le dossier. 13. Fermez lExplorateur Windows.
Rsultat : au terme de cet exercice, vous aurez configur des objets des services de domaine Active Directory.

L3-20

Module 3 : Configuration des objets et approbations Active Directory

Exercice 2 : Mise en uvre dune stratgie de groupe des services de domaine Active Directory
Tche 1 : Dmarrer LON-DC1 et ouvrir une session
1. 2. 3. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-LONDC1, cliquez sur Launch. Sur LON-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

Tche 2 : Consulter la documentation concernant les exigences lies aux groupes et crer une stratgie de mise en uvre de groupes
Voici un Tableau Planification des groupes globaux, avec des suggestions de rponses :
Groupe dorganisation Cadres possdant des comptes dans le domaine WoodgroveBank.com Cadres possdant des comptes dans le domaine EMEA.WoodgroveBank.com Cadres possdant des comptes dans le domaine Asia.WoodgroveBank.com Cadres provenant de tous les domaines Directeurs de la succursale de Miami Directeurs de la succursale de New York Directeurs de la succursale de Toronto Directeurs de la succursale de Londres Directeurs de la succursale de Tokyo Directeurs de succursales provenant de tous les domaines Nom du groupe Woodgrove_ExecutivesGG EMEA_ExecutivesGG ASIA_ExecutivesGG WGB_ExecutivesUG MIA_BranchManagersGG NYC_BranchManagersGG TOR_BranchManagersGG LON_BranchManagersGG TOK_BranchManagersGG WGB_BranchManagersUG

Atelier pratique A : Configuration des objets Active Directory

L3-21

Voici un Tableau Planification des groupes locaux, avec des suggestions de rponses :
Ressource ExecData\HeadOfficeReports ExecData\BranchReports\NYC ExecData\BranchReports\Toronto ExecData\BranchReports\Miami ExecData\BranchReports\London ExecData\BranchReports\Tokyo ExecData\Corp Conditions daccs Contrle total Contrle total Lecture seule Contrle total Lecture seule Contrle total Lecture seule Contrle total Lecture seule Contrle total Lecture seule Contrle total Noms des groupes EX_HOReports_FC EX_NYC_BranchReportsFC EX_NYC_BranchReportsRO EX_TOR_BranchReportsFC EX_TOR_BranchReportsRO EX_MIA_BranchReportsFC EX_MIA_BranchReportsRO EX_LON_BranchReportsFC EX_LON_BranchReportsRO EX_TOK_BranchReportsFC EX_TOK_BranchReportsRO EX_CorpFC

Voici un Tableau Planification dimbrication des groupes, avec des suggestions de rponses :
Nom du groupe local de domaine EX_HOReports_FC EX_NYC_BranchReportsFC EX_NYC_BranchReportsRO EX_TOR_BranchReportsFC EX_TOR_BranchReportsRO EX_MIA_BranchReportsFC EX_MIA_BranchReportsRO EX_LON_BranchReportsFC EX_LON_BranchReportsRO EX_TOK_BranchReportsFC EX_TOK_BranchReportsRO EX_CorpFC Groupes imbriqus WGB_ExecutivesUG NYC_BranchManagersGG WGB_ExecutivesUG TOR_BranchManagersGG WGB_ExecutivesUG MIA_BranchManagersGG WGB_ExecutivesUG LON_BranchManagersGG WGB_ExecutivesUG TOK_BranchManagersGG WGB_ExecutivesUG WGB_ExecutivesUG WGB_BranchManagersUG

L3-22

Module 3 : Configuration des objets et approbations Active Directory

Remarque : la manire la plus simple de configurer laccs au dossier ExecData consiste attribuer des autorisations Collaborateur au groupe universel des cadres et au groupe universel des directeurs dagence. Vous pouvez ensuite contrler les autorisations par sous-dossiers en utilisant les autorisations du systme de fichiers NTFS.

Tche 3 : Analyser la stratgie de mise en uvre des groupes


Prparez-vous apporter des suggestions sur la manire de mettre en uvre les groupes en fonction des besoins de lorganisation.

Tche 4 : Crer les groupes requis par la stratgie de mise en uvre des groupes
Remarque : Pour simplifier le processus de mise en uvre, il est possible que certains des groupes requis aient dj t crs. En outre, configurez les groupes requis uniquement pour les domaines WoodgroveBank.com et EMEA.WoodgroveBank.com.

1. 2.

Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory. Vrifiez que tous les groupes locaux devant attribuer des autorisations sont crs. Les groupes sont situs dans lunit dorganisation Executives, et dans lunit dorganisation BranchManagers de chaque unit dorganisation de site. Sur LON-DC1, ouvrez Utilisateurs et ordinateurs Active Directory. Vrifiez que tous les groupes locaux devant attribuer des autorisations sont crs. Les groupes sont situs dans lunit dorganisation Executives et dans lunit dorganisation BranchManagers. Sur NYC-DC1, crez les groupes universels requis en fonction de la stratgie de mise en uvre des groupes. Crez les groupes universels dans lunit dorganisation Executives. Pour crer un groupe : a. Cliquez avec le bouton droit sur lunit dorganisation approprie, pointez sur Nouveau, puis cliquez sur Groupe. Dans la zone de nom Groupe, tapez le nom du groupe que vous utilisez pour imbriquer les groupes globaux des cadres. Cliquez sur ltendu du groupe, puis cliquez sur OK.

3.

4.

b.

Atelier pratique A : Configuration des objets Active Directory

L3-23

5.

Crez les groupes locaux de domaine requis en fonction de la stratgie de mise en uvre des groupes. Utilisez le tableau suivant pour dterminer lemplacement de cration de chaque groupe.
Ressource ExecData\HeadOfficeReports ExecData\BranchReports\NYC ExecData\BranchReports\Toronto ExecData\BranchReports\Miami ExecData\BranchReports\London ExecData\Corp Emplacement du groupe Unit dorganisation Executives Unit dorganisation NYC\BranchManagers Unit dorganisation Toronto\BranchManagers Unit dorganisation Miami\BranchManagers Unit dorganisation Executives Unit dorganisation Executives

Tche 5 : Imbriquer les groupes requis par la stratgie de mise en uvre des groupes
1. 2. 3. Sur NYC-DC1, imbriquez les groupes requis pour rpondre la stratgie de mise en uvre des groupes. Pour imbriquer un groupe, cliquez avec le bouton droit sur le groupe imbriquer dans un autre groupe, puis cliquez sur Ajouter un groupe. Dans la bote de dialogue Slectionner un groupe, tapez le nom du groupe qui contiendra les autres groupes, puis cliquez sur OK.

Tche 6 : Fermer LON-DC2 et ignorer les disques dannulations


1. 2. Fermez la fentre VMRC 6238A-LON-DC1. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK.
Rsultat : au terme de cet exercice, vous aurez implment une stratgie de mise en uvre de groupes.

L3-24

Module 3 : Configuration des objets et approbations Active Directory

Exercice 3 : Automatisation de la gestion des objets des services de domaine Active Directory
Tche 1 : Modifier et utiliser le fichier Importusers.csv pour prparer limportation dun groupe dutilisateurs dans les services de domaine Active Directory
1. 2. 3. 4. 5. 6. 7. 8. 9. Sur NYC-DC1, ouvrez lExplorateur Windows, puis accdez D:\6238\Mod03\Labfiles\. Ouvrez ImportUsers.csv avec le Bloc-notes. Examinez les informations dentte requises pour crer des units dorganisation et des comptes dutilisateurs. Ouvrez ImportUsers.txt avec le Bloc-notes. Copiez le contenu du fichier Users.txt, puis collez le contenu dans le fichier ImportUsers.csv, en commenant par la deuxime ligue. Dans le menu Fichier, cliquez sur Enregistrer sous, puis tapez C:\import.csv. Dans la zone Type, slectionnez Tous les fichiers. Cliquez sur Enregistrer pour enregistrer le fichier. Ouvrez une invite de commandes. linvite de commandes, tapez CSVDE -I -F C:\import.csv, puis appuyez sur Entre. Dans Utilisateurs et ordinateurs Active Directory, accdez lunit dorganisation Houston. Vrifiez que cinq units dorganisation ont t cres, et que plusieurs comptes dutilisateur ont t crs dans chaque unit dorganisation.

Tche 2 : Modifier et excuter le script ActivateUser.vbs pour activer les comptes dutilisateurs imports et attribuer un mot de passe chaque compte
1. 2. Sur NYC-DC1, dans D:\6238\Mod03\Labfiles, cliquez avec le bouton droit sur Activateusers.vbs, puis cliquez sur Modifier. Modifiez la valeur de conteneur dans la deuxime ligne en OU=BranchManagers,OU=Houston,DC=WoodgroveBank,DC=com.

Atelier pratique A : Configuration des objets Active Directory

L3-25

3.

Modifiez les valeurs de conteneur dans les lignes supplmentaires la fin du script pour inclure les units dorganisations suivantes : OU=CustomerService,OU=Houston,DC=WoodgroveBank,DC=com OU=Executives,OU=Houston,DC=WoodgroveBank,DC=com OU=Investments,OU=Houston,DC=WoodgroveBank,DC=com OU=ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com

4. 5. 6. 7.

Dans le menu Fichier, cliquez sur Enregistrer sous, puis tapez C:\activateusers.vbs. Dans la zone Type, slectionnez Tous les fichiers. Cliquez sur Enregistrer pour enregistrer le fichier. Dans lExplorateur Windows, accdez au lecteur C:\. Double-cliquez sur Activateusers.vbs. Dans Utilisateurs et ordinateurs Active Directory, accdez lunit dorganisation Houston. Vrifiez que les comptes dutilisateurs de toutes les units dorganisation enfants sont activs.

Tche 3 : Modifier le fichier Modifyusers.ldf pour prparer la modification des proprits dun groupe dutilisateurs dans les services de domaine Active Directory
1. Sur NYC-DC1, linvite de commandes, tapez LDIFDE -f c:\Modifyusers.ldf -d "OU=Houston,DC=WoodgroveBank,DC=com" -r "objectClass=user" -l physicalDeliveryOfficeName et appuyez sur Entre. Cette commande exporte tous les comptes dutilisateurs dans lunit dorganisation Houston et les units dorganisation enfants. Comme lattribut Office est vide pour chaque objet, il nest pas export. 2. 3. 4. Utilisez le Bloc-notes pour ouvrir le fichier C:\Modifyusers.ldf. Dans le menu Edition, utilisez loption Remplacer pour remplacer toutes les instances de changetype: add par changetype: modify. Aprs chaque ligne changetype, ajoutez les lignes suivantes : replace: physicalDeliveryOfficeName physicalDeliveryOfficeName : Houston

L3-26

Module 3 : Configuration des objets et approbations Active Directory

5. 6.

la fin de lentre de chaque utilisateur, ajoutez un tiret (-) suivi dune ligne vide. Lorsque vous avez termin, lentre de chaque utilisateur doit tre similaire celle-ci : dn: CN=Martin Spona,OU=ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com changetype: modify replace: physicalDeliveryOfficeName physicalDeliveryOfficeName: Houston

7. 8. 9.

Enregistrez le fichier sous C:\Modifyusers.ldf. linvite de commandes, tapez ldifde -I -f c:\ Modifyusers.ldf, puis appuyez sur Entre. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que lattribut Bureau pour les comptes dutilisateurs dans Houston ont t mis jour avec lemplacement Houston.

Tche 4 : Modifier et excuter le script CreateMultipleUsers.ps1 pour ajouter de nouveaux utilisateurs aux services de domaine Active Directory
1. 2. 3. Sur NYC-DC1, dans D:\6238\Mod03\Labfiles, cliquez avec le bouton droit sur CreateMultipleUsers.ps1, puis cliquez sur Modifier. Dans la section Create an OU, changez $strOUName = OU=ADOUName en $strOUName = OU=R&D. Dans la section Assign the OU where the accounts will be created, changez $strOU=[ADSI]"LDAP://ou=AddOUName,dc=WoodgroveBank,dc=com" en $strOU=[ADSI]"LDAP://ou=R&D,dc=WoodgroveBank,dc=com". Dans la section Get the user information from the .csv file, changez Path to CSV file en D:\6238\ Mod03\Labfiles\Createusers.csv. Enregistrez les modifications apportes au fichier. Cliquez sur Dmarrer, cliquez sur Tous les programmes, cliquez sur Windows PowerShell 1.0, puis cliquez sur Windows PowerShell.

4. 5. 6.

Atelier pratique A : Configuration des objets Active Directory

L3-27

7. 8. 9.

linvite PS, tapez D:\6238 \Mod03\Labfiles\Createmultipleusers.ps1, puis appuyez sur Entre. la demande de mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que lunit dorganisation R&D a t cre, et quelle a t remplie avec les comptes dutilisateurs et les attributs appropris.
Rsultat : au terme de cet exercice, vous aurez tudi plusieurs options dautomatisation de gestion des objets utilisateur.

L3-28

Module 3 : Configuration des objets et approbations Active Directory

Atelier pratique B : Configuration des dlgations et approbations Active Directory


Exercice 1 : Dlgation du contrle des objets AD DS
Tche 1 : Attribuer le contrle total aux utilisateurs et groupes de lunit dorganisation Toronto
1. 2. 3. 4. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Toronto, puis cliquez sur Dlgation de contrle. Dans la page Bienvenue de lAssistant Dlgation de contrle, cliquez sur Suivant. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter. Dans la bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes, tapez Tor_BranchManagersGG, cliquez sur OK, puis cliquez sur Suivant. Dans la page Tches dlguer, activez les cases cocher Crer, supprimer et grer les comptes dutilisateurs et Crer, supprimer et grer les groupes. Cliquez sur Suivant, puis sur Terminer.

5. 6.

Tche 2 : Attribuer les droits pour rinitialiser les mots de passe et configurer les informations utilisateur prives dans lunit dorganisation Toronto
1. 2. 3. 4. Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Toronto, puis cliquez sur Dlgation de contrle. Dans la page Bienvenue de lAssistant Dlgation de contrle, cliquez sur Suivant. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter. Dans la bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes, tapez Tor_CustomerServiceGG, cliquez sur OK, puis sur Suivant.

Atelier pratique B : Configuration des dlgations et approbations Active Directory

L3-29

5.

Dans la page Tches dlguer, activez la case cocher Rinitialiser les mots de passe et forcer le changement de mot de passe la prochaine ouverture de session. Cliquez sur Suivant, puis sur Terminer. Cliquez avec le bouton droit sur Toronto, puis cliquez sur Dlgation de contrle. Dans la page Bienvenue de lAssistant Dlgation de contrle, cliquez sur Suivant. Dans la page Utilisateurs ou groupes, ajoutez Tor_CustomerServiceGG, cliquez sur OK, puis cliquez sur Suivant.

6. 7. 8. 9.

10. Dans la page Tches dlguer, cliquez sur Crer une tche personnalise dlguer, puis sur Suivant. 11. Dans la page Type dobjet Active Directory, cliquez sur Seulement des objets suivants dans le dossier, activez la case cocher Objets Utilisateur, puis cliquez sur Suivant. 12. Dans la page Autorisations, vrifiez que la case cocher Gnrales est active. 13. Sous Autorisations, activez la case cocher Lire et crire informations personnelles, cliquez sur Suivant, puis cliquez sur Terminer.

Tche 3 : Vrifier les autorisations effectives attribues lunit dorganisation Toronto


1. 2. 3. 4. 5. Sur lordinateur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, dans le menu Affichage, cliquez sur Fonctionnalits avances. Dveloppez WoodgroveBank.com, cliquez avec le bouton droit sur lunit dorganisation Toronto, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de Toronto, sous longlet Scurit, cliquez sur Avanc. Dans la bote de dialogue Paramtres de scurit avancs de Toronto, sous longlet Autorisations effectives, cliquez sur Slectionner. Dans la bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes, tapez David, puis cliquez sur OK. David Junca est membre du groupe Tor_BranchManagersGG.

L3-30

Module 3 : Configuration des objets et approbations Active Directory

6.

Consultez les autorisations effectives de David. Vrifiez quil dispose dautorisations pour crer et supprimer des comptes dutilisateurs et de groupes, cliquez sur Annuler, puis cliquez sur OK. Dveloppez lunit dorganisation Toronto, lunit dorganisation CustomerService, cliquez avec le bouton droit sur Laurent Penisson, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de Laurent Penisson, sous longlet Scurit, cliquez sur Avanc. Dans la bote de dialogue Paramtres de scurit avancs de Laurent Penisson, sous longlet Autorisations effectives, cliquez sur Slectionner.

7.

8. 9.

10. Dans la bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes, tapez Richard, puis cliquez sur OK. Richard Tupy est membre du groupe TOR_CustomerServiceGG. 11. Consultez les autorisations effectives de Richard. Vrifiez quil dispose des autorisations permettant de rinitialiser les mots de passe et dcrire des attributs personnels. Cliquez sur Annuler, puis cliquez sur OK.

Tche 4 : Activer le groupe Utilisateurs du domaine pour ouvrir une session sur les contrleurs de domaine
Remarque : cette tape a t intgre latelier pour vous aider tester les autorisations dlgues. En rgle gnrale, il est prfrable dinstaller les outils dadministration sur une station de travail Windows plutt que de permettre aux utilisateurs du domaine de se connecter aux contrleurs du domaine.

1. 2. 3.

Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestion de la stratgie de groupe. Si ncessaire, dveloppez Fort:WoodgroveBank.com, Domaines, WoodgroveBank.com, puis Contrleurs de domaine. Cliquez avec le bouton droit sur Stratgie Contrleurs de domaine par dfaut, puis cliquez sur Modifier.

Atelier pratique B : Configuration des dlgations et approbations Active Directory

L3-31

4.

Dans la fentre diteur de gestion des stratgies de groupe, dveloppez Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit, Stratgies locales, puis cliquez sur Attribution des droits utilisateur. Double-cliquez sur Permettre louverture dune session locale. Dans la bote de dialogue Proprits de Permettre louverture dune session locale, cliquez sur Ajouter un utilisateur ou un groupe. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, tapez Utilisateurs du domaine, puis cliquez deux fois sur OK. Fermez toutes les fentres. Ouvrez une invite de commandes, tapez GPUpdate /force, puis appuyez sur Entre. Attendez que lexcution de la commande soit termine, puis fermez la session.

5.

6.

7.

Tche 5 : Tester les autorisations dlgues pour lunit dorganisation Toronto


1. 2. 3. 4. Sur NYC-DC1, ouvrez une session en tant que David, avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Dans la bote de dialogue Contrle de compte dutilisateur, tapez Pa$$w0rd, puis cliquez sur OK. Cliquez avec le bouton droit sur lunit dorganisation Toronto, puis crez un nouvel utilisateur avec les proprits suivantes : Prnom : Test1 Nom douverture de session de lutilisateur : Test1 Mot de passe : Pa$$w0rd

Cette tche russira, car lautorisation de lexcuter a t dlgue David Junca. 5. Cliquez avec le bouton droit sur lunit dorganisation Toronto, puis crez un groupe nomm Groupe 1. Cette tche russira, car lautorisation de lexcuter a t dlgue David Junca.

L3-32

Module 3 : Configuration des objets et approbations Active Directory

6.

Cliquez avec le bouton droit sur lunit dorganisation ITAdmins et consultez les options de menu. Vrifiez que David dispose des autorisations pour crer des objets dans lunit dorganisation ITAdmins. Fermez la session, puis ouvrez une session sur NYC-DC1en tant que Richard avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Dans la bote de dialogue Contrle de compte dutilisateur, tapez Pa$$w0rd, puis cliquez sur OK.

7. 8. 9.

10. Cliquez avec le bouton droit sur lunit dorganisation Toronto et consultez les options de menu. Vrifiez que Richard dispose des autorisations pour crer des objets dans lunit dorganisation Toronto. 11. Dveloppez Toronto, CustomerService, cliquez avec le bouton droit sur Laurent Penisson, puis cliquez sur Rinitialiser le mot de passe. 12. Dans la bote de dialogue Rinitialiser le mot de passe, dans les zones Nouveau mot de passe et Confirmer le mot de passe, tapez Pa$$w0rd, puis cliquez deux fois sur OK. 13. Cliquez avec le bouton droit sur Laurent Penisson, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de Laurent Penisson, vrifiez que Richard a lautorisation de dfinir des proprits dutilisateur telles que Bureau et Numro de tlphone, mais pas des paramtres tels que Description et E-mail. 14. Fermez la console Utilisateurs et ordinateurs Active Directory, puis fermez la session.
Rsultat : au terme de cet exercice, vous aurez dlgu les tches administratives du bureau de Toronto.

Atelier pratique B : Configuration des dlgations et approbations Active Directory

L3-33

Exercice 2 : Configuration des approbations des services de domaine Active Directory


Tche 1 : Dmarrer lordinateur virtuel VAN-DC1, puis ouvrir une session
1. 2. 3. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-VANDC1, cliquez sur Launch. Sur VAN-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

Tche 2 : Configurer les paramtres rseau et DNS pour activer lapprobation de fort
1. 2. 3. Sur VAN-DC1, cliquez sur Dmarrer, pointez sur Panneau de configuration, sur Connexions rseau, puis cliquez sur Connexion au rseau local. Cliquez sur Proprits, sur Protocole Internet (TCP/IP), puis cliquez sur Proprits. Remplacez lAdresse IP par 10.10.0.110, la Passerelle par dfaut par 10.10.0.1 et le Serveur DNS prfr par 10.10.0.110. Cliquez sur OK et fermez les botes de dialogue ouvertes. Cliquez sur Dmarrer, puis sur Excuter. Dans la bote de dialogue Ouvrir, tapez cmd et appuyez sur Entre. linvite de commandes, tapez NET TIME \\10.10.0.10 /set /y et appuyez sur Entre. Cette commande synchronise lheure entre VAN-DC1 et NYC-DC1. Fermez linvite de commandes. Dmarrez la console DNS partir du dossier Outils dadministration. Dans la console Gestionnaire DNS, dveloppez VAN-DC1. Cliquez avec le bouton droit sur VAN-DC1 et cliquez sur Proprits. Sous longlet Redirecteurs, cliquez sur Nouveau. Dans le champ Domaine DNS, tapez Woodgrovebank.com, puis cliquez sur OK.

4. 5.

6. 7. 8. 9.

L3-34

Module 3 : Configuration des objets et approbations Active Directory

10. Dans le champ Liste dadresses IP du transmetteur de domaine slectionn, tapez 10.10.0.10, puis cliquez sur Ajouter. Cliquez sur OK et fermez la console Gestionnaire DNS. 11. Ouvrez Domaines et approbations Active Directory partir du dossier Outils dadministration. 12. Dans Domaines et approbations Active Directory, cliquez avec le bouton droit sur Fabrikam.com, puis cliquez sur Augmenter le niveau fonctionnel du domaine. 13. Slectionnez Windows Server 2003, cliquez sur Augmenter, puis cliquez deux fois sur OK. 14. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Augmenter le niveau fonctionnel de la fort. 15. Slectionnez Windows Server 2003, cliquez sur Augmenter, puis cliquez deux fois sur OK. 16. Sur NYC-DC1, ouvrez une session en tant quAdministrateur. 17. Dmarrez la console DNS partir du dossier Outils dadministration. 18. Dans la console Gestionnaire DNS, dveloppez NYC-DC1. 19. Sous NYC-DC1, cliquez avec le bouton droit sur Redirecteurs conditionnels, puis cliquez sur Nouveau redirecteur conditionnel. 20. Dans le champ Domaine DNS, tapez Fabrikam.com, cliquez sous Adresse IP, tapez 10.10.0.110, appuyez sur Entre, puis cliquez sur OK. 21. Fermez la console Gestionnaire DNS.

Tche 3 : Configurer une approbation de fort entre WoodgroveBank.com et Fabrikam.com


1. 2. 3. 4. Sur NYC-DC1, dmarrez Domaines et approbations Active Directory dans le dossier Outils dadministration. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Proprits. Sous longlet Approbations, cliquez sur Nouvelle approbation. Dans la page Assistant Nouvelle approbation, cliquez sur Suivant.

Atelier pratique B : Configuration des dlgations et approbations Active Directory

L3-35

5. 6. 7. 8. 9.

Dans la page Nom dapprobation, tapez Fabrikam.com, puis cliquez sur Suivant. Dans la page Type dapprobation, cliquez sur Approbation de fort, puis sur Suivant. Dans la page Direction de lapprobation, cliquez sur Bidirectionnel, puis cliquez sur Suivant. Dans la page Sens de lapprobation, cliquez sur Ce domaine et le domaine spcifi, puis cliquez sur Suivant. Dans la page Nom dutilisateur et mot de passe, tapez Administrateur@Fabrikam.com dans le champ Nom dutilisateur et Pa$$w0rd dans le champ Mot de passe, puis cliquez sur Suivant.

10. Dans la page Niveau dauthentification dapprobation sortantes- Fort locale, acceptez la valeur par dfaut Authentification pour toutes les ressources de la fort, puis cliquez sur Suivant. 11. Dans la page Niveau dauthentification dapprobation sortantes- Fort spcifie, acceptez la valeur par dfaut Authentification pour toutes les ressources de la fort, puis cliquez sur Suivant. 12. Dans la page Fin de la slection des approbations, cliquez sur Suivant. 13. Dans la page Fin de la cration de lapprobation, cliquez sur Suivant. 14. Dans la page Confirmer lapprobation sortante, cliquez sur Oui, confirmer lapprobation sortante, puis cliquez sur Suivant. 15. Dans la page Confirmer lapprobation entrante, cliquez sur Oui, confirmer lapprobation entrante, puis cliquez sur Suivant. 16. Dans la page Fin de lAssistant Nouvelle approbation, cliquez sur Terminer. 17. Lisez le message Active Directory, puis cliquez sur OK. 18. Cliquez sur OK pour fermer la bote de dialogue Proprits de WoodgroveBank.com.

L3-36

Module 3 : Configuration des objets et approbations Active Directory

Tche 4 : Configurer lauthentification slective pour lapprobation de fort afin dactiver laccs NYC-DC2 uniquement
1. 2. 3. 4. Dans Domaines et approbations Active Directory, cliquez sur WoodgroveBank.com, puis, dans le menu Action, cliquez sur Proprits. Dans la bote de dialogue Proprits de WoodgroveBank.com, cliquez sur longlet Approbations. Sous Domaines qui approuvent ce domaine (approbations entrantes), cliquez sur Fabrikam.com, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de Fabrikam.com, sous longlet Authentification, cliquez sur Authentification slective, cliquez deux fois sur OK, puis fermez Domaines et approbations Active Directory. Ouvrez Utilisateurs et ordinateurs Active Directory, et dans le menu Affichage, vrifiez que loption Fonctionnalits avances est slectionne. Dveloppez Contrleur de domaine. Cliquez sur NYC-DC2, et dans le menu Action, cliquez sur Proprits. Dans la bote de dialogue Proprits de NYC-DC2, cliquez sur longlet Scurit, puis cliquez sur Ajouter. Dans la bote de dialogue Slectionner utilisateurs, ordinateurs ou groupes, cliquez sur Emplacements, sur Fabrikam.com, puis sur OK.

5. 6. 7. 8. 9.

10. Dans la bote de dialogue Slectionnez utilisateurs, ordinateurs ou groupes, tapez MarketingGG, puis cliquez sur OK. 11. Dans la bote de dialogue Proprits de NYC-DC2, activez la case cocher Autorisation dauthentifier dans la colonne Autoriser. 12. Cliquez sur OK pour fermer la bote de dialogue Proprits de NYC-DC2. 13. Dveloppez Ordinateurs. 14. Cliquez sur NYC-CL1, et dans le menu Action, cliquez sur Proprits. 15. Dans la bote de dialogue Proprits de NYC-CL1, cliquez sur longlet Scurit, puis cliquez sur Ajouter. 16. Dans la bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes, cliquez sur Emplacements, sur Fabrikam.com, puis sur OK.

Atelier pratique B : Configuration des dlgations et approbations Active Directory

L3-37

17. Dans la bote de dialogue Slectionnez les utilisateurs, les ordinateurs ou les groupes, tapez MarketingGG, puis cliquez sur OK. 18. Dans la bote de dialogue Proprits de NYC-CL1, activez la case cocher Autorisation dauthentifier dans la colonne Autoriser. 19. Cliquez sur OK pour fermer la bote de dialogue Proprits de NYC-CL1.

Tche 5 : Tester lauthentification slective


1. Sur lordinateur virtuel NYC-CL1, ouvrez une session en tant que Adam@fabrikam.com avec le mot de passe Pa$$w0rd. Adam est membre du groupe MarketingGG Fabrikam. Il est en mesure de se connecter un ordinateur du domaine WoodgroveBank.com grce lapprobation entre les deux forts et parce quil a t autoris sauthentifier auprs de NYC-CL1. 2. Cliquez sur Dmarrer, sur Tous les programmes, sur Accessoires, sur Excuter, tapez \\NYC-DC2 \netlogon, puis appuyez sur Entre. Adam devrait pouvoir accder au dossier. Cliquez sur Dmarrer, sur Tous les programmes, sur Accessoires, sur Excuter, tapez \\NYC-DC1 \Netlogon, puis appuyez sur Entre. Adam ne devrait pas pouvoir accder au dossier car le serveur nest pas configur pour lauthentification slective.

3.

Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation
1. 2. 3. Fermez la fentre de contrle distance de chaque ordinateur virtuel en cours dexcution. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez configur des approbations en fonction dun modle de configuration dapprobation.

Atelier pratique : Configuration des sites Active Directory et de la rplication

L4-39

Module 4 : Configuration des sites de domaine Active Directory et de la rplication

Atelier pratique : Configuration des sites Active Directory et de la rplication


Exercice 1 : Configuration des sites et des sous-rseaux des services de domaine Active Directory
Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session.
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-LONDC1, cliquez sur Launch. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-MIARODC, cliquez sur Launch. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCRAS, cliquez sur Launch. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Sur LON-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Ouvrez une session sur MIA-RODC en tant quAdministrateur avec le mot de passe Pa$$w0rd. Ouvrez une session sur NYC-RAS en tant quAdministrateur avec le mot de passe Pa$$w0rd.

2. 3. 4. 5. 6. 7. 8. 9.

10. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

L4-40

Module 4 : Configuration des sites de domaine Active Directory et de la rplication

Tche 2 : Vrifier la configuration et la topologie de rplication actuelle du site.


1. 2. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Sites et services Active Directory. Dveloppez Sites, Default-First-Site-Name, Servers, puis NYC-DC1, cliquez sur NTDS Settings, cliquez avec le bouton droit sur NTDS Settings, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de NTDS Settings, dans longlet Connexions, notez les partenaires de rplication de votre ordinateur, puis cliquez sur Annuler. Dans le volet dinformations, cliquez avec le bouton droit sur lobjet de connexion de la liste, puis cliquez sur Proprits. Dans la bote de dialogue Proprits <gnr automatiquement>, sous longlet Gnral, notez le(s) Contexte(s) de noms rpliqus. Cliquez sur Modifier la planification, notez les horaires de rplication, puis cliquez sur Annuler deux fois. La planification dune fois par heure signifie que si un contrleur de domaine ne reoit aucune notification de modification du partenaire de rplication, il doit vrifier les mises jour toutes les heures. 7. 8. Dveloppez MIA-RODC, cliquez sur NTDS Settings, cliquez avec le bouton droit sur NTDS Settings, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de NTDS Settings, sous longlet Connexions, vrifiez que le contrleur de domaine en lecture seule (RODC) a des partenaires de rplication entrants (Rpliquer depuis) et aucun partenaire de rplication en sortie (Rpliquer sur). Cliquez sur Annuler.

3.

4. 5. 6.

Tche 3 : Crer les sites des services de domaine Active Directory.


1. 2. 3. 4. Dans Sites et services Active Directory, cliquez avec le bouton droit sur Default-First-Site-Name, puis cliquez sur Renommer. Type NewYork-Site, et appuyez sur Entre. Cliquez avec le bouton droit sur Sites, puis cliquez sur Nouveau site. Dans la bote de dialogue Nouvel objet-Site, dans le champ Nom, tapez Miami-Site, cliquez sur DEFAULTIPSITELINK, puis cliquez sur OK.

Atelier pratique : Configuration des sites Active Directory et de la rplication

L4-41

5. 6. 7. 8. 9.

Dans la bote de dialogue Services de domaine Active Directory, cliquez sur OK. Crez deux autres sites nomms Tokyo-Site et London-Site. Cliquez avec le bouton droit sur Subnets, puis cliquez sur Nouveau sousrseau. Dans la bote de dialogue Nouvel objet-Sous-rseau, dans la zone Prfixe, tapez 10.10.0.0/16. Cliquez sur NewYork-Site, puis sur OK. Crez trois autres sous-rseaux avec les attributs suivants : Prfixe : 10.20.0.0/16, Site : London-Site Prfixe : 10.30.0.0/16, Site : Miami-Site Prfixe : 10.40.0.0/16, Site : Tokyo-Site

10. Cliquez avec le bouton droit sur London-Site, puis cliquez sur Proprits. Vrifiez que le sous-rseau appropri est associ ce site, puis cliquez sur OK.
Rsultat : au terme de cet exercice, vous aurez configur des sites et des sous-rseaux de services de domaine Active Directory et li les sous-rseaux aux sites appropris.

L4-42

Module 4 : Configuration des sites de domaine Active Directory et de la rplication

Exercice 2 : Configuration de la rplication des services de domaine Active Directory


Tche 1 : Crer des objets lien de sites.
1. 2. 3. 4. 5. Dans Sites et services Active Directory, dveloppez Inter-Site Transports, puis cliquez sur IP. Dans le volet dinformations, cliquez avec le bouton droit sur DEFAULTIPSITELINK, puis cliquez sur Renommer. Tapez NewYork-London-Site-Lien, puis appuyez sur Entre. Cliquez avec le bouton droit sur New York-London-Site-Lien et cliquez sur Proprits. Sous longlet Gnral, dans la liste Sites prsents dans ce lien de sites, cliquez sur Tokyo-Site, puis cliquez sur Supprimer. Cliquez sur Miami-Site, puis sur Supprimer. Dans la zone Rplication toutes les, tapez 30, puis cliquez sur OK. Cliquez avec le bouton droit sur IP, puis cliquez sur Lien vers un nouveau site. Dans la bote de dialogue Nouvel objet - Lien du site, tapez NewYork-TokyoSite-Lien. Dans la liste Sites absents de ce lien de sites, cliquez sur NewYork-Site, puis cliquez sur Ajouter. Cliquez sur Tokyo-Site, sur Ajouter, puis sur OK.

6. 7. 8. 9.

10. Cliquez avec le bouton droit sur NewYork-Tokyo-Site-Lien, puis cliquez sur Proprits. 11. Dans la zone Rplication toutes les, tapez 30, puis cliquez sur OK. 12. Crez un autre lien de sites nomm NewYork-Miami-Site-Lien. Ajoutez NewYork-Site et Miami-Site au lien de sites, puis cliquez sur OK. 13. Cliquez avec le bouton droit sur NewYork-Miami-Site-Lien et cliquez sur Proprits. 14. Sous longlet Gnral, cliquez sur Modifier la planification. 15. Dans la bote de dialogue Planification pour NewYork-Miami-Site-Lien, slectionnez lheure de 07h00 19h00, du lundi au vendredi, cliquez sur Rplication non disponible, puis cliquez sur OK deux reprises.

Atelier pratique : Configuration des sites Active Directory et de la rplication

L4-43

Tche 2 : Configurer le pontage de liens de site.


1. 2. 3. 4. 5. Dans Sites et services Active Directory, cliquez avec le bouton droit sur IP, puis cliquez sur Proprits. Dans la bote de dialogue Proprits IP, dsactivez la case cocher Relier tous les liens de sites, puis cliquez sur OK. Cliquez avec le bouton droit sur IP, puis cliquez sur Nouveau pont entre liens de sites. Dans la bote de dialogue Nouvel objet - Pont de la liaison du site, dans la zone Nom, tapez NewYork-London-Tokyo-Site-Lien-Pont. Appuyez sur la touche Ctrl, puis dans la liste Liens de sites absents de ce pont entre liens de sites, cliquez sur NewYork-London-Site-Lien et sur NewYork-Tokyo-Site-Lien, cliquez sur Ajouter, puis cliquez sur OK.

Tche 3 : Modifier la configuration dadresse IP du contrleur de domaine.


1. 2. 3. 4. Sur LON-DC1, dans la fentre Gestionnaire de serveur, cliquez sur Afficher les connexions rseau. Dans la fentre Connexions rseau, cliquez avec le bouton droit sur Connexion au rseau local, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de Connexion au rseau local, cliquez sur Protocole Internet version 4 (TCP/IPv4), puis sur Proprits. Dans la bote de dialogue Proprits de Protocole Internet version 4 (TCP/IPv4), remplacez ladresse IP par 10.20.0.110, la passerelle par dfaut par 10.20.0.1, cliquez sur OK, puis sur Fermer. Ouvrez une invite de commandes et tapez la commande Ping 10.20.0.110, puis appuyez sur Entre. Vrifiez que la commande ping a russi. linvite de commandes, tapez IPConfig /registerdns, puis appuyez sur Entre. Sur MIA-RODC, dans la fentre dinvite de commandes, tapez Netsh interface ipv4 show interfaces, puis appuyez sur Entre. Enregistrez la valeur Idx assigne la connexion au rseau local.

5. 6. 7.

L4-44

Module 4 : Configuration des sites de domaine Active Directory et de la rplication

8.

Tapez netsh interface ipv4 set address name="ID" source=static address=10.30.0.15 mask=255.255.0.0 gateway=10.30.0.1 (o ID est le numro IDx assign la connexion rseau local), puis appuyez sur Entre. Ouvrez une invite de commandes et tapez la commande Ping 10.30.0.15, puis appuyez sur Entre. Vrifiez que la commande ping a russi.

9.

10. linvite de commandes, tapez IPConfig /registerdns, puis appuyez sur Entre. 11. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur DNS. 12. Dveloppez NYC-DC1, puis Zones de recherche directes, puis cliquez sur WoodgroveBank.com. Vrifiez que ladresse IP de MIA-RODC a t mise jour. 13. Dveloppez WoodgroveBank.com, slectionnez et cliquez avec le bouton droit sur EMEA, puis cliquez sur Proprits. 14. Sous longlet Serveurs de noms, cliquez sur Modifier. 15. Dans la bote de dialogue Modifier lenregistrement de serveur de noms, cliquez sur 10.10.0.110, tapez 10.20.0.110, puis cliquez trois fois sur OK. 16. Fermez la console de gestion DNS.

Tche 4 : Dplacer les contrleurs de domaine vers les sites appropris.


1. 2. 3. 4. Sur NYC-DC1, dans Sites et services Active Directory sous New-York-Site, cliquez sur Servers. Dans le volet dinformations, cliquez avec le bouton droit sur LON-DC1, puis cliquez sur Dplacer. Dans la bote de dialogue Dplacer un serveur, cliquez sur London-Site, puis cliquez sur OK. Dplacez MIA-RODC vers Miami-Site.

Atelier pratique : Configuration des sites Active Directory et de la rplication

L4-45

Tche 5 : Configurer la mise en cache du catalogue global pour le site de Miami.


1. 2. 3. 4. Sur NYC-DC1, dans Sites et services Active Directory, cliquez sur Miami-Site. Dans le volet dinformations, cliquez avec le bouton droit sur NTDS Site Settings, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de NTDS Site Settings, activez la case cocher Activer la mise en cache de lappartenance au groupe universel. Dans la liste Actualiser le cache partir de, cliquez sur CN=NewYork-Site, puis cliquez sur OK.
Rsultat : au terme de cet exercice, vous aurez configur la rplication des services de domaine Active Directory.

L4-46

Module 4 : Configuration des sites de domaine Active Directory et de la rplication

Exercice 3 : Surveillance de la rplication des services de domaine Active Directory


Tche 1 : Vrifier que la topologie de rplication a t mise jour.
1. 2. 3. 4. Sur NYC-DC1, dans Sites et services Active Directory, si ncessaire, dveloppez NewYork-Site, puis Servers, puis NYC-DC1. Cliquez avec le bouton droit sur NTDS Settings, pointez sur Toutes les tches, puis cliquez sur Vrification de la topologie de rplication. Dans la bote de dialogue Vrification de la topologie de rplication, cliquez sur OK. Accdez aux NTDS Settings pour MIA-RODC sur Miami-Site et forcez-le vrifier la topologie de rplication. Lexcution de cette opration prend quelques minutes. Cliquez sur OK. Cliquez sur NewYork-Site et dans le volet dinformations, cliquez avec le bouton droit sur NTDS Site Settings, puis cliquez sur Proprits. Vrifiez que NYC-DC1 est configur en tant que gnrateur de topologie intersite (ISTG). Cliquez sur OK. Accdez aux NTDS Site Settings pour Miami-Site et vrifiez que MIA-RODC nest pas rpertori comme gnrateur de topologie intersite (ISTG). Dans la mesure o MIA-RODC est un contrleur de domaine en lecture seule, il ne peut pas fonctionner comme serveur tte de pont ou ISTG. Cliquez sur OK.

5. 6. 7.

Tche 2 : Vrifier que la rplication fonctionne entre les sites.


1. 2. 3. 4. 5. Sur NYC-DC1, dans Sites et services Active Directory, dveloppez NewYorkSite, Servers, puis NYC-DC1, puis cliquez sur NTDS Settings. Dans le volet dinformations, vrifiez quun objet de connexion a t cr entre NYC-DC1 et LON-DC1. Cliquez avec le bouton droit sur lobjet de connexion, puis cliquez sur Rpliquer maintenant. Lisez le message de Rpliquer maintenant, puis cliquez sur OK. Sur LON-DC1, ouvrez Sites et services Active Directory, dveloppez Sites, London-Site, Servers, LON-DC1, puis cliquez sur NTDS Settings.

Atelier pratique : Configuration des sites Active Directory et de la rplication

L4-47

6. 7. 8.

Cliquez avec le bouton droit sur lobjet de connexion configur sur LON-DC1 entre LON-DC1 et NYC-DC1, puis cliquez sur Rpliquer maintenant. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory et dveloppez WoodgroveBank.com. Cliquez avec le bouton droit sur le conteneur Utilisateurs, pointez sur Nouveau, puis cliquez sur Users. Crez un nouvel utilisateur avec un prnom et le nom douverture de session UtilisateurTest ainsi que le mot de passe Pa$$w0rd. Dans Sites et services Active Directory, cliquez sur Miami-Site, dveloppez MIA-RODC et cliquez sur NTDS Settings. Cliquez avec le bouton droit sur lobjet de connexion entre NYC-DC1 et MIA-RODC, puis cliquez sur Rpliquer maintenant. Cliquez sur OK pour fermer la bote de dialogue Rpliquer maintenant.

9.

Remarque : si vous recevez un message derreur lorsque la rplication est force sur lobjet de connexion, sous MIA-RODC, cliquez avec le bouton droit sur NTDS Settings, pointez sur Toutes les tches, puis cliquez sur Vrification de la topologie de rplication. Dveloppez NYC-DC1, cliquez avec le bouton droit sur NTDS Settings, pointez sur Toutes les tches, puis cliquez sur Vrification de la topologie de rplication. Attendez une minute, puis recommencez ltape 9.

10. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Changer de contrleur de domaine. 11. Dans la bote de dialogue Changer le serveur dannuaire, cliquez sur MIARODC.WoodgroveBank.com, puis cliquez sur OK. 12. Dans le message Services de domaine Active Directory, cliquez sur OK. 13. Dveloppez WoodgroveBank.com, puis dveloppez Users. Vrifiez que le compte TestUser a t rpliqu sur MIA-RODC. 14. Fermez Utilisateurs et ordinateurs Active Directory.

L4-48

Module 4 : Configuration des sites de domaine Active Directory et de la rplication

Tche 3 : Utiliser DCDiag pour vrifier la topologie de rplication.


1. 2. 3. Sur NYC-DC1, ouvrez une invite de commandes. linvite de commandes, tapez DCDiag /test:replications, puis appuyez sur Entre. Vrifiez que NYC-DC1 a russi le test de connectivit, mais prsente plusieurs erreurs de rplication. Des erreurs de rplication sont rpertories car la rplication a t tente alors que NYC-DC2 et TOK-DC1 ntaient pas en cours dexcution.

Tche 4 : Utiliser Repadmin pour vrifier que la rplication a russi.


1. Sur NYC-DC1, linvite de commandes, tapez repadmin /showrepl, puis appuyez sur Entre. Vrifiez que la rplication avec LON-DC1 a russi pendant la dernire mise jour de rplication. linvite de commandes, tapez repadmin /showrepl MIARODC.WoodgroveBank.com, puis appuyez sur Entre. Vrifiez que la mise jour de toutes les partitions dannuaire a russi pendant la dernire mise jour de rplication. linvite de commandes, tapez repadmin /bridgeheads, puis appuyez sur Entre. Vrifiez que NYC-DC1 et LON-DC1 sont rpertoris comme serveurs tte de pont pour leur site. linvite de commandes, tapez repadmin /replsummary, puis appuyez sur Entre. Examinez le rsum de la rplication et fermez linvite de commandes.

2.

3.

4. 5.

Atelier pratique : Configuration des sites Active Directory et de la rplication

L4-49

Tche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation.
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez vrifi le bon fonctionnement de la rplication des services de domaine Active Directory.

Atelier pratique : Cration et configuration dobjets Stratgie de groupe

L5-51

Module 5 : Cration et configuration dune stratgie de groupe

Atelier pratique : Cration et configuration dobjets Stratgie de groupe


Exercice 1 : Cration et configuration des objets de stratgie de groupe
Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4.

Tche 2 : Crer les stratgies de groupe


1. 2. 3. 4. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis lancer le composant Gestion des stratgies de groupe. Dveloppez la fort en cliquant sur WoodgroveBank.com, Domaines, WoodgroveBank.com et Objets de stratgie de groupe. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Nouveau. Dans la bote de dialogue Nouvel objet GPO, tapez Restreindre le Panneau de configuration dans le champ Nom, puis cliquez sur OK.

L5-52

Module 5 : Cration et configuration dune stratgie de groupe

5.

Rptez les tapes prcdentes pour crer les objets de stratgie de groupe suivants : Crez un objet de stratgie de groupe nomm Restreindre laffichage du Bureau. Crez un objet de stratgie de groupe nomm Restreindre la commande Excuter. Crez un objet de stratgie de groupe nomm Scurit de base. Crez un objet de stratgie de groupe nomm Scurit Vista et XP. Crez un objet de stratgie de groupe nomm Favoris Admin. Crez un objet de stratgie de groupe nomm Scurit des bornes informatiques.

6.

Laissez la fentre Console de gestion des stratgies de groupe ouverte pour effectuer la tche ci-aprs.

Tche 3 : Configurer les stratgies


1. Configurez la stratgie Scurit de base : a. Dans la Console de gestion des stratgies de groupe (GPMC), ouvrez le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur la stratgie Scurit de base, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit, Stratgies locales et Options de scurit, puis double-cliquez sur Ouverture de session interactive : Ne pas afficher le dernier nom d 'utilisateur. Activez la case cocher Dfinir ce paramtre de stratgie, cliquez sur Activ, puis sur OK.

b.

c.

d. Fermez lditeur de gestion des stratgies de groupe.

Atelier pratique : Cration et configuration dobjets Stratgie de groupe

L5-53

2.

Configurez la stratgie Favoris Admin : a. b. Dans le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur la stratgie Favoris Admin, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez Configuration utilisateur en cliquant sur Stratgies, Paramtres Windows, Maintenance de Internet Explorer et URL. Dans le volet dinformations, double-cliquez sur Favoris et liens. Dans la bote de dialogue Favoris et liens, cliquez sur Ajouter une URL. Dans la bote de dialogue Dtails, tapez Support technique dans le champ Nom, tapez http://support.microsoft.com dans le champ URL, puis cliquez deux fois sur OK.

c.

d. Fermez lditeur de gestion des stratgies de groupe. 3. Configurez la stratgie Restreindre laffichage du Bureau : a. Dans le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur la stratgie Restreindre laffichage du Bureau, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez Configuration utilisateur en cliquant sur Stratgies, Modles dadministration, Panneau de configuration et Affichage, puis doublecliquez sur Supprimer lapplication Affichage dans le Panneau de configuration. Dans la bote de dialogue Supprimer l'application Affichage dans le Panneau de configuration, cliquez sur Activ, puis sur OK.

b.

c.

d. Fermez lditeur de gestion des stratgies de groupe. 4. Configurez la stratgie Scurit des bornes informatiques : a. Dans le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur la stratgie Scurit des bornes informatiques, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez Configuration ordinateur en cliquant sur Stratgies, Modles dadministration, Systme et Stratgie de groupe, puis, dans le volet dinformations, double-cliquez sur le paramtre Mode de traitement par boucle de rappel de la stratgie de groupe utilisateur.

b.

L5-54

Module 5 : Cration et configuration dune stratgie de groupe

c.

Dans la bote de dialogue de proprits de Traitement en boucle, cliquez sur Activ, vrifiez que le mode est dfini sur Remplacer, puis cliquez sur OK.

d. Dveloppez Configuration utilisateur en cliquant sur Stratgies, Modles dadministration et Bureau. e. Double-cliquez sur Masquer et dsactiver tous les lments du Bureau. Dans la bote de dialogue Masquer et dsactiver tous les lments du Bureau, cliquez sur Activ, puis sur OK. Fermez lditeur de gestion des stratgies de groupe.

f. 5.

Configurez la stratgie Restreindre le Panneau de configuration : a. Dans le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur la stratgie Restreindre le Panneau de configuration, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez Configuration utilisateur en cliquant sur Stratgies, Modles dadministration et Panneau de configuration, puis double-cliquez sur Empcher laccs au Panneau de configuration. Dans la bote de dialogue Empcher laccs au Panneau de configuration, cliquez sur Activ, puis cliquez sur OK.

b.

c.

d. Fermez lditeur de gestion des stratgies de groupe. 6. Configurez la stratgie Restreindre la commande Excuter : a. Dans le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur la stratgie Restreindre la commande Excuter, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez Configuration utilisateur en cliquant sur Stratgies, Modles dadministration, Menu Dmarrer et Barre des tches, puis, dans le volet dinformations, double-cliquez sur Supprimer le menu Excuter du menu Dmarrer. Dans la bote de dialogue Supprimer le menu Excuter du menu Dmarrer, cliquez sur Activ, puis sur OK.

b.

c.

d. Fermez lditeur de gestion des stratgies de groupe.

Atelier pratique : Cration et configuration dobjets Stratgie de groupe

L5-55

7.

Configurez la stratgie Scurit Vista et XP : a. b. Dans le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur la stratgie Scurit Vista et XP, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez Configuration ordinateur en cliquant sur Stratgies, Modles dadministration, Systme et Ouverture de session, puis double-cliquez sur Toujours attendre le rseau lors du dmarrage de lordinateur. Dans la bote de dialogue Toujours attendre le rseau lors du dmarrage de lordinateur, cliquez sur Activ, puis cliquez sur OK.

c.

d. Fermez lditeur de gestion des stratgies de groupe. Laissez la Console de gestion des stratgies de groupe (GPMC) ouverte pour la tche suivante.

Tche 4 : Lier les objets de stratgie de groupe aux conteneurs appropris


1. Dans la console de gestion des stratgies de groupe (GPMC), cliquez avec le bouton droit sur le domaine WoodgroveBank.com, puis cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue Slectionner un objet GPO, cliquez sur lobjet de stratgie de groupe Scurit de base. Maintenez la touche Ctrl enfonce et slectionnez les objets de stratgie de groupe suivants : 3. 4. 5. 6. 7. Restreindre la commande Excuter Scurit Vista et XP Scurit des bornes informatiques

2.

Cliquez sur OK. Cliquez avec le bouton droit sur lunit dorganisation ITAdmins, puis cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue Slectionner un objet GPO, cliquez sur lobjet de stratgie de groupe Favoris Admin, puis cliquez sur OK. Cliquez avec le bouton droit sur lunit dorganisation Direction, puis cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue Slectionner un objet GPO, slectionnez lobjet de stratgie de groupe Restreindre laffichage du Bureau, puis cliquez sur OK.

L5-56

Module 5 : Cration et configuration dune stratgie de groupe

8.

Cliquez avec le bouton droit sur lunit dorganisation Miami, cliquez sur Lier un objet de stratgie de groupe existant, puis slectionnez la stratgie Restreindre le Panneau de configuration. Rptez ltape prcdente pour lier la stratgie Restreindre le Panneau de configuration aux units dorganisation Toronto et NYC.
Rsultat : au terme de cet exercice, vous serez en mesure de crer et de configurer des objets de stratgie de groupe.

9.

Atelier pratique : Cration et configuration dobjets Stratgie de groupe

L5-57

Exercice 2 : Gestion de ltendue de lapplication dun objet de stratgie de groupe


Tche 1 : Configurer la gestion de la stratgie de groupe pour le conteneur de domaine
1. 2. 3. 4. 5. 6. 7. 8. Dans la Console de gestion des stratgies de groupe (GPMC), dveloppez le domaine WoodgroveBank.com pour exposer les stratgies lies. Cliquez avec le bouton droit sur le lien Scurit de base, puis cliquez sur Appliqu. Cliquez sur le lien Scurit de base, dans le volet de droite, cliquez sur longlet Dtails. Dans la liste droulante tat GPO, slectionnez Paramtres de configuration utilisateurs dsactivs. Cliquez sur le lien Scurit des bornes informatiqueset, dans le volet de droite, cliquez sur longlet Dlgation. Sous longlet Dlgation, cliquez sur Avanc. Dans les proprits de Paramtres de scurit, cliquez sur le groupe Utilisateurs authentifis, puis cliquez sur Supprimer. Cliquez sur Ajouter, puis, dans la bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes, tapez bornes informatiques, puis cliquez sur OK. Attribuez les autorisations Lire et appliquer la stratgie de groupe au groupe Bornes informatiques, puis cliquez sur OK.

9.

Tche 2 : Configurer la gestion de la stratgie de groupe pour lunit dorganisation IT Admin


Cliquez avec le bouton droit sur lunit dorganisation ITAdmins, puis cliquez sur Bloquer lhritage.

L5-58

Module 5 : Cration et configuration dune stratgie de groupe

Tche 3 : Configurer la gestion de la stratgie de groupe pour les units dorganisation des succursales
1. Ouvrez le dossier Objets de stratgie de groupe et, dans le volet darborescence, cliquez sur la stratgie Restreindre le Panneau de configuration. Cliquez sur longlet Dlgation, puis sous longlet Dlgation, cliquez sur Avanc. Dans les proprits de Paramtres de scurit, cliquez sur Ajouter. Dans la bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes, tapez Mia_BranchManagersGG; NYC_BranchManagersGG; Tor_BranchManagersGG, puis cliquez sur OK. Refusez lautorisation Appliquer une stratgie de groupe pour ces groupes, puis cliquez sur OK. Cliquez sur Oui pour accuser rception du message davertissement.

2. 3. 4.

5. 6.

Tche 4 : Crer et appliquer un filtre WMI pour lobjet de stratgie de groupe Scurit du serveur
1. 2. 3. 4. Dans la Console de gestion des stratgies de groupe (GPMC), cliquez avec le bouton droit sur le dossier Filtres WMI, puis cliquez sur Nouveau. Dans le champ Nom, tapez Systme dexploitation Windows Vista ou XP. Dans la bote de dialogue Nouveau filtre WMI, cliquez sur Ajouter. Dans la bote de dialogue Requte WMI, tapez : Select * from Win32OperatingSystem where Caption = Microsoft Windows Vista Enterprise OR Caption = Microsoft Windows XP Professional. Cliquez sur OK, puis sur Enregistrer. Dans le dossier Objets de stratgie de groupe, cliquez sur la stratgie Scurit Vista et XP, puis cliquez sur longlet tendue.

5. 6.

Atelier pratique : Cration et configuration dobjets Stratgie de groupe

L5-59

7. 8.

Dans la section Filtrage WMI, slectionnez la requte Systme dexploitation Windows Vista et XP dans la liste droulante. Cliquez sur Oui pour confirmer lopration.
Rsultat : au terme de cet exercice, vous serez en mesure de configurer ltendue des paramtres de lobjet de stratgie de groupe.

L5-60

Module 5 : Cration et configuration dune stratgie de groupe

Exercice 3 : Vrification de lapplication des objets de stratgie de groupe


Tche 1 : Dmarrer lordinateur NYC-CL1
Sur NYC-CL1, ouvrez une session en tant quAntoine avec le mot de passe Pa$$w0rd.

Tche 2 : Vrifier quun utilisateur de la succursale de Miami reoit la stratgie correcte


1. 2. 3. 4. Ouvrez une session sur lordinateur virtuel NYC-CL1 en tant que Antoine avec le mot de passe Pa$$w0rd. Vrifiez quil nexiste aucun lien vers le menu Excuter dans le dossier Accessoires du menu Dmarrer. Vrifiez quil ny a aucun lien vers le Panneau de configuration du menu Dmarrer. Fermez la session.

Tche 3 : Vrifier quun directeur de la succursale de Miami reoit la stratgie correcte


1. 2. 3. 4. Ouvrez une session sur lordinateur NYC-CL1 en tant que Loig avec le mot de passe Pa$$w0rd. Vrifiez quil nexiste aucun lien vers le menu Excuter dans le dossier Accessoires du menu Dmarrer. Cliquez sur Dmarrer, et assurez-vous quun lien vers le Panneau de configuration saffiche dans le menu Dmarrer. Fermez la session.

Atelier pratique : Cration et configuration dobjets Stratgie de groupe

L5-61

Tche 4 : Vrifier quun utilisateur de lunit dorganisation IT Admin reoit la stratgie correcte
1. 2. 3. 4. 5. Ouvrez une session sur lordinateur virtuel NYC-CL1 en tant que Florence avec le mot de passe Pa$$w0rd. Vrifiez quun lien vers le menu Excuter saffiche dans le dossier Accessoires du menu Dmarrer. Vrifiez quun lien vers le Panneau de configuration saffiche dans le menu Dmarrer. Lancez Internet Explorer et ouvrez le dossier Favoris. Vrifiez que le lien vers le Support technique saffiche. Fermez la session.

Tche 5 : Vrifier quun utilisateur de lunit dorganisation Executive reoit la stratgie correcte
1. 2. 3. 4. Ouvrez une session sur lordinateur virtuel NYC-CL1 en tant que Laurent avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, pointez sur Accessoires, et vrifiez quil ny a pas de lien vers le menu Excuter dans le dossier Accessoires. Cliquez sur Dmarrer, et assurez-vous quun lien vers le Panneau de configuration saffiche dans le menu Dmarrer. Vrifiez quil ny a aucun accs vers les paramtres daffichage du bureau.

Conseil : lorsque vous tentez daccder aux paramtres daffichage, vous recevez un message vous informant que cette fonction a t dsactive.

5.

Fermez la session.

L5-62

Module 5 : Cration et configuration dune stratgie de groupe

Tche 6 : Vrifiez que le nom du dernier utilisateur qui a ouvert une session napparat pas
Vrifiez que le nom du dernier utilisateur qui a ouvert une session napparat pas.

Tche 7 : Utiliser loutil Modlisation de stratgie de groupe pour tester les paramtres de lordinateur borne
1. 2. Ouvrez une session sur lordinateur virtuel NYC-DC1 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Lancez la consoleGestion des stratgies de groupe (GPMC), cliquez avec le bouton droit sur le dossier Modlisation de stratgie de groupe, cliquez sur Assistant Modlisation de stratgie de groupe, puis deux fois sur Suivant. Dans la page Slection du contrleur de domaine, cliquez sur Suivant. Dans lcran Slection dordinateurs et dutilisateurs, cliquez sur Ordinateur, tapez Woodgrovebank\NYC-CL1, puis cliquez sur Suivant. Dans lcran Options de simulation avances, cliquez sur Suivant. Dans lcran Autres chemins daccs Active Directory, cliquez sur Suivant. Dans lcran Groupe de scurit ordinateur, cliquez sur Ajouter. Dans la bote de dialogue Slectionner des groupes, tapez Bornes informatiques, cliquez sur OK, puis sur Suivant. Dans la page Filtres WMI pour Ordinateurs, cliquez sur Suivant.

3. 4. 5. 6. 7. 8. 9.

10. Dans lcran Aperu des slections, cliquez sur Suivant, sur Terminer, puis affichez le rapport. Le traitement de cette opration prend quelques minutes.
Rsultat : au terme de cet exercice, vous serez en mesure de tester et de vrifier une application des objets de stratgie de groupe.

Atelier pratique : Cration et configuration dobjets Stratgie de groupe

L5-63

Exercice 4 : Gestion des objets de stratgie de groupe


Tche 1 : Sauvegarder une stratgie particulire
1. 2. 3. Dans la Console de gestion des stratgies de groupe (GPMC), ouvrez le dossier Objets de stratgie de groupe. Cliquez avec le bouton droit sur la stratgie Restreindre le Panneau de configuration, puis cliquez sur Sauvegarder. Dans la bote de dialogue Sauvegarder, accdez D:\6238\GPOBackup, cliquez sur Sauvegarder, puis sur OK une fois que la sauvegarde est effectue.

Tche 2 : Sauvegarder tous les objets de stratgie de groupe


1. 2. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Sauvegarder tout. Vrifiez que D:\6238\GPOBackup est lemplacement slectionn, cliquez sur Sauvegarder, puis cliquez sur OK lorsque la sauvegarde est effectue.

Tche 3 : Supprimer et restaurer un objet de stratgie de groupe individuel


1. Dans le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur la stratgie Favoris Admin, puis cliquez sur Supprimer. Cliquez sur Oui pour confirmer lopration, puis cliquez sur OK lorsque la suppression est effectue. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Grer les sauvegardes. Dans la bote de dialogue Grer les sauvegardes, slectionnez lobjet de stratgie de groupe Favoris Admin, puis cliquez sur Restaurer. Cliquez sur OK pour confirmer lopration. Cliquez sur OK lorsque la restauration est effectue, puis fermez la bote de dialogue Grer les sauvegardes. Vrifiez que la stratgie Favoris Admin saffiche dans le dossier Objets de stratgie de groupe.

2. 3.

4. 5.

L5-64

Module 5 : Cration et configuration dune stratgie de groupe

Tche 4 : Importer un objet de stratgie de groupe


1. 2. 3. 4. 5. 6. 7. 8. 9. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Nouveau. Nommez le nouvel objet de stratgie de groupe Import, puis cliquez sur OK. Cliquez avec le bouton droit sur lobjet de stratgie de groupe Import, puis cliquez sur Importer des paramtres. Dans lAssistant Importation des paramtres, cliquez sur Suivant. Dans la page Objet de stratgie de groupe de sauvegarde, cliquez sur Suivant. Vrifiez que lemplacement du dossier de sauvegarde est D:\6238\GPOBackup, puis cliquez sur Suivant. Dans lcran Objet de stratgie de groupe source, cliquez sur Restreindre le Panneau de configuration, puis sur Suivant. Dans lcran Analyse de la sauvegarde, cliquez sur Suivant, puis sur Terminer. Cliquez sur OK une fois que limportation est effectue.

10. Cliquez sur Import, sur longlet Paramtres, puis vrifiez que le paramtre Restreindre laccs au Panneau de configuration est activ.
Rsultat : au terme de cet exercice, vous serez en mesure de sauvegarder, de restaurer et dimporter des objets de stratgie de groupe.

Atelier pratique : Cration et configuration dobjets Stratgie de groupe

L5-65

Exercice 5 : Dlgation du contrle administratif des objets de stratgie de groupe


Tche 1 : Octroyer Florence lautorisation de crer des objets de stratgie de groupe dans le domaine
1. 2. Slectionnez le dossier Objets de stratgie de groupe, cliquez sur longlet Dlgation, puis sur Ajouter. Dans la bote de dialogue Slectionnez Utilisateurs, ordinateurs ou Groupe, tapez Florence dans le champ Entrez le nom de l'objet slectionner, puis cliquez sur OK.

Tche 2 : Dlguer lautorisation de modifier lobjet de stratgie de groupe Importer Florence


1. 2. Dans le dossier Objets de stratgie de groupe, slectionnez le dossier Import, cliquez sur longlet Dlgation, puis sur Ajouter. Dans la bote de dialogue Slectionnez Utilisateurs, Ordinateur ou Groupe, tapez Florence dans le champ Entrez le nom de lobjet slectionner puis cliquez sur OK. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, slectionnez Modifier les paramtres dans la liste droulante, puis cliquez sur OK.

3.

Tche 3 : Dlguer lautorisation de lier les objets de stratgie de groupe de lunit dorganisation Executives Florence
1. 2. Slectionnez le dossier Unit dorganisation Direction, cliquez sur longlet Dlgation, puis sur Ajouter. Dans la bote de dialogue Slectionnez Utilisateurs, Ordinateur ou Groupe, tapez Florence dans le champ Entrez un nom de lobjet slectionner, puis cliquez sur OK. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, slectionnez Ce conteneur seulement, puis cliquez sur OK.

3.

L5-66

Module 5 : Cration et configuration dune stratgie de groupe

Tche 4 : Activer le groupe Utilisateurs du domaine pour ouvrir une session sur les contrleurs de domaine
Remarque : cette tape a t intgre latelier pour vous aider tester les autorisations dlgues. En rgle gnrale, il est prfrable dinstaller les outils dadministration sur une station de travail Windows plutt que de permettre aux utilisateurs du domaine de se connecter aux contrleurs du domaine.

1. 2. 3. 4.

Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestion des stratgies de groupe. Si ncessaire, dveloppez Fort:WoodgroveBank.com, Domaines, WoodgroveBank.com, puis Domain Controllers. Cliquez avec le bouton droit sur Default Domain Controllers Policy, puis cliquez sur Modifier. Dans la fentre diteur de gestion des stratgies de groupe, dveloppez Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit et Stratgies locales, puis cliquez sur Attribution des droits utilisateur. Double-cliquez sur Permettre louverture dune session locale, puis, dans la bote de dialogue Proprits de Permettre louverture dune session locale, cliquez sur Ajouter un utilisateur ou un groupe. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, tapez Utilisateurs du domaine, puis cliquez deux fois sur OK. Close all open windows. Ouvrez une invite de commandes, tapez GPUpdate /force, puis appuyez sur Entre. Attendez que lexcution de la commande soit termine, puis fermez la session.

5.

6.

7.

Atelier pratique : Cration et configuration dobjets Stratgie de groupe

L5-67

Tche 5 : Tester la dlgation


1. 2. Ouvrez une session sur lordinateur virtuel NYC-DC1 en tant que Florence. Dans le menu Dmarrer, cliquez sur Rechercher, tapez MMC dans la zone Rechercher, puis appuyez sur Entre. Entrez Pa$$word lorsque le systme vous invite indiquer les informations didentification. Dans le menu droulant Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Slectionnez Console de gestion des stratgies de groupe (GPMC), cliquez sur Ajouter, puis sur OK. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Nouveau. Crez une nouvelle stratgie appele Test. Cette opration doit russir. Cliquez avec le bouton droit sur lobjet de stratgie de groupe Import, puis cliquez sur Modifier. Cette opration doit russir. Cliquez avec le bouton droit sur lunit dorganisation Direction, puis cliquez sur lobjet de stratgie de groupe Test. Cette opration doit russir. Cliquez avec le bouton droit sur la stratgie Favoris Admin et tentez de la modifier. Cette opration nest pas possible.

3. 4. 5. 6. 7. 8. 9.

10. Fermez la console GPMC.

Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulations
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous serez en mesure de sauvegarder, de restaurer et dimporter des objets de stratgie de groupe.

Atelier pratique : Configuration des environnements utilisateur laide dune stratgie de groupe

L6-69

Module 6 : Configuration des environnements utilisateur laide dune stratgie de groupe

Atelier pratique : Configuration des environnements utilisateur laide dune stratgie de groupe
Exercice 1 : Configuration de scripts et redirection de dossiers
Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4.

Tche 2 : Crer un script douverture de session pour mapper vers le dossier partag de donnes (Data)
1. 2. 3. Cliquez sur Dmarrer, sur Rechercher, tapez Notepad dans la zone de recherche, puis appuyez sur Entre. Dans le Bloc-notes, tapez Net Use J: \\NYC-DC1\Data. Fermez le Bloc-notes et enregistrez le fichier sous C:\Map.bat. Vrifiez que le champ Type contient Tous les fichiers.

L6-70

Module 6 : Configuration des environnements utilisateur laide dune stratgie de groupe

Tche 3 : Copier le script dans le partage NetLogon et lattribuer aux units dorganisation Miami, Toronto et New York
1. 2. 3. Cliquez sur Dmarrer, puis sur Ordinateur. Dans le volet droit, double-cliquez sur Disque local (C:). Cliquez avec le bouton droit sur le script Map.bat, cliquez sur Copier pour copier le script dans le Presse-papiers, puis fermez la fentre de lExplorateur Windows. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestion des stratgies de groupe. Dveloppez Fort, Domaines et WoodgroveBank.com, cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Nouveau. Dans la bote de dialogue Nouvel objet GPO, tapez Script d'ouverture de session dans le champ Nom, puis cliquez sur OK. Dveloppez Objets de stratgie de groupe, cliquez avec le bouton droit sur la stratgie Script douverture de session et cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez successivement Configuration utilisateur, Stratgies et Paramtres Windows, puis cliquez sur Scripts (ouverture/fermeture de session). Dans le volet Dtails, cliquez avec le bouton droit sur Ouverture de session, puis cliquez sur Proprits.

4. 5. 6. 7. 8.

9.

10. Dans la bote de dialogue Proprits de Ouverture de session, cliquez sur Afficher les fichiers. 11. Dans le volet Dtails, cliquez avec le bouton droit sur Coller pour copier le script enregistr dans le Presse-papiers dans le dossier des scripts, puis fermez lExplorateur Windows. 12. Dans la bote de dialogue Proprits de Ouverture de session, cliquez sur Ajouter. 13. Dans la bote de dialogue Ajout dun Script, cliquez sur Parcourir. 14. Dans la bote de dialogue Parcourir, slectionnez le fichier Map.bat, cliquez sur Ouvrir, puis deux fois sur OK. Fermez lditeur de gestion des stratgies de groupe.

Atelier pratique : Configuration des environnements utilisateur laide dune stratgie de groupe

L6-71

15. Dans la Console de gestion des stratgies de groupe (GPMC), cliquez avec le bouton droit sur lunit dorganisation Miami, puis cliquez sur Lier un objet de stratgie de groupe existant. 16. Dans la bote de dialogue Slectionner un objet GPO, slectionnez lobjet de stratgie de groupe Script douverture de session et cliquez sur OK. 17. Rptez les tapes 15 et 16 pour lier lobjet de stratgie de groupe Script douverture de session aux units dorganisation Toronto et New York. 18. Rduisez la console GPMC dans la barre des tches.

Tche 4 : Partager et scuriser un dossier pour le groupe Executives


1. 2. Cliquez sur Dmarrer, sur Ordinateur, puis naviguez jusqu' D:\6238. Cliquez avec le bouton droit sur le dossier ExecData, puis cliquez sur Proprits.

3. Dans la bote de dialogue Proprits de ExecData, cliquez sur longlet Partage, puis sur Partage avanc. 4. 5. 6. 7. 8. 9. Activez la case cocher Partager ce dossier, puis cliquez sur Autorisations. Cliquez sur Supprimer pour supprimer le groupe Tout le monde. Cliquez sur Ajouter, dans le champ Entrez les noms des objets slectionner, tapez Executives_WoodgroveGG et cliquez sur OK. Activez la case cocher pour accorder lautorisation Contrle total, puis cliquez deux fois sur OK. Cliquez sur l'onglet Scurit, puis sur Avanc. Sous longlet Autorisations, cliquez sur Modifier, puis dsactivez la case cocher Inclure les autorisations pouvant tre hrites du parent de cet objet.

10. Dans la bote de dialogue Scurit de Windows, cliquez sur Copier. 11. Supprimez tous les utilisateurs et les groupes, lexception de Crateur propritaire et System. 12. Cliquez sur Ajouter, dans le champ Entrez le nom de l'objet slectionner, tapez Executives_WoodgroveGG et cliquez sur OK.

L6-72

Module 6 : Configuration des environnements utilisateur laide dune stratgie de groupe

13. Changez le champ Appliquer par Ce dossier seulement, activez les cases cocher pour attribuer les autorisations Liste du dossier/lecture de donnes et Cration de dossiers/ajout de donnes au groupe Executives_WoodgroveGG, puis cliquez sur OK. 14. Cliquez deux fois sur OK, cliquez sur Fermer pour fermer la bote de dialogue Proprits de ExecData, puis fermez lExplorateur Windows.

Tche 5 : Rediriger le dossier Documents pour le groupe Executives


1. Restaurez la console GPMC partir de la barre des tches, cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Nouveau. Dans la bote de dialogue Nouvel objet GPO, tapez Redirection des cadres dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur lobjet de stratgie de groupe Redirection des cadres, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, sous Configuration utilisateur, dveloppez successivement Stratgies, Paramtres Windows et Redirection de dossiers, cliquez avec le bouton droit sur Documents, puis cliquez sur Proprits. Sous longlet Cible, rglez le paramtre sur De base - Rediriger les dossiers de tout le monde vers le mme emplacement. Laissez le paramtrage par dfaut pour lemplacement du dossier cible, puis tapez \\NYC-DC1\ExecData dans le champ Chemin daccs de la racine. Cliquez sur longlet Paramtres, examinez les paramtres actuels, puis cliquez sur OK. Cliquez sur Oui pour accuser rception du message Avertissement, puis fermez lditeur de gestion des stratgies de groupe. Cliquez avec le bouton droit sur lunit dorganisation Executives, puis cliquez sur Lier un objet de stratgie de groupe existant. Slectionnez lobjet de stratgie de groupe Redirection des cadres, puis cliquez sur OK.
Rsultat : au terme de cet exercice, vous aurez configur des scripts et la redirection de dossiers.

2. 3. 4.

5. 6. 7.

8.

Atelier pratique : Configuration des environnements utilisateur laide dune stratgie de groupe

L6-73

Exercice 2 : Configuration des modles dadministration


Tche 1 : Modifier la stratgie de domaine par dfaut pour contenir les paramtres de tous les ordinateurs
1. Dans la Console de gestion des stratgies de groupe (GPMC), cliquez sur le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur Default Domain Policy et cliquez sur Modifier. Sous Configuration ordinateur, dveloppez successivement Stratgies, Modles dadministration, Rseau, Connexions rseau et Pare-feu Windows, puis cliquez sur Profil du domaine. Dans le volet dinformations, double-cliquez sur Pare-feu Windows : autoriser lexception dadministration distance entrante. Dans la bote de dialogue Pare-feu Windows: autoriser lexception dadministration distance entrante, cliquez sur Activ, tapez localsubnet dans la zone de texte Autoriser les messages entrants non sollicits provenant des adresses IP suivantes, puis cliquez sur OK. Sous Modles dadministration, dveloppez Systme, puis cliquez sur Stratgie de groupe. Dans le volet dinformations, double-cliquez sur Dtection d'une liaison lente de stratgie de groupe. Dans la bote de dialogue Proprits, cliquez sur Activ, tapez 800 dans le champ Vitesse de connexion (Kbits/s), puis cliquez sur OK. Fermez lditeur de gestion des stratgies de groupe.

2.

3.

4.

5. 6.

Tche 2 : Crer et attribuer un objet de stratgie de groupe pour empcher linstallation de priphriques amovibles
1. 2. 3. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Nouveau. Dans la bote de dialogue Nouvel objet GPO, tapez Empcher les priphriques amovibles dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur lobjet de stratgie de groupe Empcher les priphriques amovibles, puis cliquez sur Modifier.

L6-74

Module 6 : Configuration des environnements utilisateur laide dune stratgie de groupe

4.

Pour modifier la stratgie, dveloppez successivement Configuration ordinateur, Stratgies, Modles dadministration, Systme, et Installation de priphriques, puis cliquez sur Restrictions dinstallation de priphriques. Double-cliquez sur Empcher linstallation de priphriques amovibles, cliquez sur Activ, puis sur OK. Fermez lditeur de gestion des stratgies de groupe. Cliquez avec le bouton droit sur lunit dorganisation Miami, cliquez sur Lier un objet de stratgie de groupe existant, slectionnez lobjet de stratgie de groupe Empcher les priphriques amovibles, puis cliquez sur OK. Rptez ltape prcdente pour lier lobjet de stratgie de groupe Empcher les priphriques amovibles aux units dorganisation Toronto et New York.

5. 6.

7.

Tche 3 : Crer et attribuer un objet de stratgie de groupe pour chiffrer les fichiers hors connexion
1. 2. 3. 4. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Nouveau. Dans la bote de dialogue Nouvel objet GPO, tapez Chiffrer les donnes hors connexion dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur lobjet de stratgie de groupe Chiffrer les donnes hors connexion, puis cliquez sur Modifier. Sous Configuration ordinateur, dveloppez successivement Stratgies, Modles dadministration et Rseau, puis cliquez sur Fichiers hors connexion. Dans le volet dinformations, double-cliquez sur Chiffrer le cache des fichiers hors connexion, cliquez sur Activ, puis sur OK. Fermez lditeur de gestion des stratgies de groupe. Cliquez avec le bouton droit sur lunit dorganisation Executives, cliquez sur Lier un objet de stratgie de groupe existant, slectionnez lobjet de stratgie de groupe Chiffrer les donnes hors connexion, puis cliquez sur OK.

5. 6.

Atelier pratique : Configuration des environnements utilisateur laide dune stratgie de groupe

L6-75

Tche 4 : Crer et attribuer un objet de stratgie de groupe au niveau du domaine pour tous les utilisateurs du domaine
1. 2. 3. 4. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Nouveau. Dans la bote de dialogue Nouvel objet GPO, tapez Stratgie Tous les utilisateurs dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur lobjet de stratgie de groupe Stratgie Tous les utilisateurs, puis cliquez sur Modifier. Sous Configuration utilisateur, dveloppez successivement Stratgies et Modles dadministration, puis cliquez sur Systme. Dans le volet dinformations, double-cliquez sur le paramtre Empcher laccs aux outils de modification du Registre, cliquez sur Activ, puis sur OK. Cliquez sur Menu Dmarrer et barre des tches. Dans le volet dinformations, double-cliquez sur Supprimer lhorloge de la zone de notification systme, cliquez sur Activ, puis sur OK. Fermez lditeur de gestion des stratgies de groupe. Cliquez avec le bouton droit sur le domaine WoodgroveBank.com , cliquez sur Lier un objet de stratgie de groupe existant, slectionnez lobjet de stratgie de groupe Stratgie Tous les utilisateurs et cliquez sur OK.

5.

6. 7.

Tche 5 : Crer et attribuer un objet de stratgie de groupe pour les utilisateurs de la succursale
1. 2. 3. 4. 5. Cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe, puis cliquez sur Nouveau. Dans la bote de dialogue Nouvel objet GPO, tapez Stratgie Utilisateurs de la succursale dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur lobjet de stratgie de groupe Stratgie Utilisateurs de la succursale, puis cliquez sur Modifier. Sous Configuration utilisateur, dveloppez successivement Stratgies, Modles dadministration et Systme, puis cliquez sur Profil des utilisateurs. Dans le volet dinformations, double-cliquez sur Limiter la taille du profil, cliquez sur Activ, tapez 1000000 dans le champ de taille, puis cliquez sur OK.

L6-76

Module 6 : Configuration des environnements utilisateur laide dune stratgie de groupe

6.

Sous Modles dadministration, dveloppez Composants Windows, puis cliquez sur Volet Windows.

7. Dans le volet dinformations, double-cliquez sur Dsactiver le Volet Windows, cliquez sur Activ, puis sur OK. 8. 9. Fermez lditeur de gestion des stratgies de groupe. Cliquez avec le bouton droit sur lunit dorganisation Miami, cliquez sur Lier un objet de stratgie de groupe existant, slectionnez lobjet de stratgie de groupe Stratgie Utilisateurs de la succursale, puis cliquez sur OK.

10. Rptez ltape prcdente pour lier lobjet de stratgie de groupe Stratgie Utilisateurs de la succursale aux units dorganisation Toronto et New York. 11. Rduisez la Console de gestion des stratgies de groupe.
Rsultat : au terme de cet exercice, vous aurez configur des modles dadministration.

Atelier pratique : Configuration des environnements utilisateur laide dune stratgie de groupe

L6-77

Exercice 3 : Configuration des prfrences


Tche 1 : Ajouter un raccourci vers Notepad.exe sur le Bureau de NYCDC1
1. Dans la console GPMC, cliquez sur le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur Default Domain Policy et cliquez sur Modifier. Dveloppez successivement Configuration ordinateur, Prfrences et Paramtres Windows, cliquez avec le bouton droit sur Raccourcis, pointez sur Nouveau, puis cliquez sur Raccourci. Dans la bote de dialogue Nouveau raccourci, slectionnez Crer dans la liste droulante Actions. Dans le champ Nom, tapez Bloc-notes. Dans le champ Emplacement, cliquez sur la flche droulante, puis slectionnez Bureau du profil Tous les utilisateurs. Dans le champ Chemin d'accs cible, tapez C:\Windows\System32\ Notepad.exe. Cliquez sur l'onglet Commun, activez la case cocher Ciblage au niveau de llment, puis cliquez sur Ciblage. Dans la bote de dialogue diteur cible, cliquez sur Nouvel lment, puis sur Nom de lordinateur. Dans le champ Nom de lordinateur, tapez NYC-DC1, puis cliquez deux fois sur OK.

2.

3. 4. 5. 6. 7. 8. 9.

Task 2 : Crer un nouveau dossier appel Reports sur le lecteur C: de tous les ordinateurs excutant Windows Server 2008
1. 2. 3. Sous Paramtres Windows, cliquez avec le bouton droit sur Dossiers, pointez sur Nouveau, puis cliquez sur Dossier. Dans la bote de dialogue Nouveau dossier, slectionnez Crer dans la liste droulante Action. Dans le champ Chemin d'accs, tapez C:\Reports.

L6-78

Module 6 : Configuration des environnements utilisateur laide dune stratgie de groupe

4. 5. 6.

Cliquez sur l'onglet Commun, activez la case cocher Ciblage au niveau de l'lment, puis cliquez sur Ciblage. Dans la bote de dialogue diteur cible, cliquez sur Nouvel lment, puis sur Systme dexploitation. Dans la liste Produit, cliquez sur Windows Server 2008, puis cliquez deux fois sur OK.

Tche 3 : Configurer le menu Dmarrer


1. Sous Configuration utilisateur, dveloppez successivement Prfrences, Paramtres du Panneau de configuration, cliquez avec le bouton droit sur Menu Dmarrer, pointez sur Nouveau, puis cliquez sur Menu Dmarrer (Windows Vista). Dans la bote de dialogue Proprits de Nouveau Menu Dmarrer (Windows Vista), sous Jeux, cliquez sur Ne pas afficher cet lment. Sous Outils dadministration systme, cliquez sur Afficher sur le menu Tous les programmes, puis cliquez sur OK. Fermez lditeur de gestion des stratgies de groupe et la Console de gestion des stratgies de groupe.
Rsultat : au terme de cet exercice, vous aurez configur les prfrences.

2. 3. 4.

Atelier pratique : Configuration des environnements utilisateur laide dune stratgie de groupe

L6-79

Exercice 4 : Vrification de lapplication des objets de stratgie de groupe


Tche 1 : Vrifier que les prfrences ont t appliques
1. 2. 3. 4. Sur NYC-DC1, fermez la session, puis ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd. Sur le Bureau, vrifiez quun raccourci a bien t cr pour le Bloc-notes. Ouvrez lExplorateur Windows et accdez au lecteur C:. Vrifiez quun dossier nomm Rapports a t cr sur le lecteur C:. Cliquez sur Dmarrer, puis sur Tous les programmes. Vrifiez que le menu Outils dadministration est propos dans le menu Dmarrer et que le dossier Jeux napparat pas. Les prfrences affectes aux ordinateurs Windows Vista sont galement appliques aux ordinateurs Windows Server 2008. Fermez toutes les fentres.

5.

Remarque : pour appliquer des prfrences de stratgie de groupe aux ordinateurs Windows Vista, vous devez tlcharger et installer les extensions ct client des prfrences de stratgie de groupe pour Windows Vista (KB943729).

Tche 2 : Dmarrer lordinateur virtuel 6238A-NYC-CL1, ouvrir une session en tant quAdministrateur et observer les paramtres de la stratgie de groupe
1. 2. Ouvrez Virtual Server Remote Control Client et double-cliquez sur 6238ANYC-CL1. Ouvrez une session sur NYC-CL1 en tant que Woodgrovebank\ Administrateur avec le mot de passe Pa$$w0rd. Fermez la session, puis ouvrez une nouvelle session en tant quadministrateur.

Remarque : deux ouvertures de session sont ncessaires en raison des informations didentification mises en cache.

L6-80

Module 6 : Configuration des environnements utilisateur laide dune stratgie de groupe

3. 4.

Vrifiez que lhorloge nest pas affiche dans la zone de notification. Cliquez avec le bouton droit sur la Barre des tches, cliquez sur Proprits, puis sur longlet Zone de notification. Vrifiez que vous navez pas la possibilit dafficher lhorloge, puis cliquez sur OK. Fermez la session sur NYC-CL1.

5.

Tche 3 : Ouvrir une session en tant quutilisateur de lunit dorganisation Executives et observer les paramtres appliqus
1. 2. 3. Ouvrez une session sur NYC-CL1 en tant que Ariane en utilisant le mot de passe Pa$$w0rd. Fermez lAccueil Windows. Vrifiez que lhorloge nest pas affiche dans la zone de notification. Cliquez sur Dmarrer, cliquez avec le bouton droit sur le dossier Documents, puis cliquez sur Proprits. Vrifiez que lemplacement est \\nyc-dc1\ execdata\ariane. Cliquez sur Dmarrer , cliquez sur Rechercher, tapez Regedt32 dans la zone Rechercher, puis appuyez sur Entre. Assurez-vous que la modification du Registre a t dsactive. Vrifiez que le Volet Windows nest pas affich. Fermez la session sur NYC-CL1.

4.

5. 6.

Tche 4 : Ouvrir une session en tant quutilisateur dune succursale et observer les paramtres appliqus
1. Sur lordinateur virtuel NYC-CL1, ouvrez une session en tant que Loig avec le mot de passe Pa$$w0rd. Vrifiez que lhorloge nest pas affiche dans la zone de notification. Cliquez sur Dmarrer, cliquez avec le bouton droit sur le dossier Documents, puis cliquez sur Proprits. Vrifiez que lemplacement est C:\Users\Loig. Cliquez sur Dmarrer , cliquez sur Rechercher, tapez Regedt32 dans la zone de recherche, puis appuyez sur Entre. Assurez-vous que la modification du Registre a t dsactive.

2. 3.

Atelier pratique : Configuration des environnements utilisateur laide dune stratgie de groupe

L6-81

4. 5. 6.

Vrifiez que le Volet Windows nest pas affich. Cliquez sur Dmarrer, puis sur Ordinateur. Vrifiez que le lecteur J: est mapp sur le partage des donnes. Fermez la session sur NYC-CL1.

Tche 5 : Utiliser la Console de gestion des stratgies de groupe pour vrifier les rsultats de la stratgie de groupe
1. On Sur NYC-DC1, cliquez successivement sur Dmarrer, Tous les programmes et Outils dadministration, puis cliquez sur Gestion des stratgies de groupe. Cliquez avec le bouton droit sur Rsultats de stratgie de groupe, puis cliquez sur Assistant Rsultats de stratgie de groupe. Cliquez sur Suivant. Dans la page Slection de lordinateur, cliquez sur Autre ordinateur, tapez WoodgroveBank\NYC-CL1 et cliquez sur Suivant. Dans lcran Slection de lutilisateur, slectionnez WOODGROVEBANK\ Ariane, puis cliquez sur Suivant. Dans la page Aperu des slections, cliquez sur Suivant, puis sur Terminer. Dans la bote de dialogue Internet Explorer, cliquez sur Ajouter, cliquez de nouveau sur Ajouter, puis sur Fermer. Dans le rapport Rsultats de stratgie de groupe, cliquez sur Objets de stratgie de groupe sous Rsum de la configuration ordinateur. En regard de Objets GPO appliqus, cliquez sur afficher. Question : quelles stratgies sont appliques lordinateur ? Rponse : uniquement la stratgie de domaine par dfaut. 9. Dans le rapport Rsultats de stratgie de groupe, cliquez sur Objets de stratgie de groupe sous Rsum de la configuration utilisateur.

2. 3. 4. 5. 6. 7. 8.

10. En regard de Objets GPO appliqus, cliquez sur afficher. Question : quelles stratgies sont appliques lutilisateur ? Rponse : Stratgie tous les utilisateurs, Stratgie du domaine par dfaut, Redirection des cadres

L6-82

Module 6 : Configuration des environnements utilisateur laide dune stratgie de groupe

11. Cliquez sur longlet Paramtres. Sous Configuration ordinateur, cliquez sur Modles dadministration. Dveloppez chaque paramtre. Question : quels paramtres ont t fournis lordinateur ? Rponse : Pare-feu Windows : Autoriser lexception dadministration distance entrante, dtection de liaison lente dfinie sur 800 kbits/s. 12. Sous Configuration utilisateur, dveloppez chaque paramtre. Question : quels paramtres ont t fournis lutilisateur ? Rponse : la stratgie Redirection des cadres fournit les paramtres de redirection de dossiers. La Stratgie tous les utilisateurs fournit les paramtres pour supprimer lhorloge et dsactiver les outils de modification du Registre.

Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la zone Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez vrifi lapplication dun objet de stratgie de groupe.

Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe

L7-83

Module 7 : Implmentation de la scurit laide dune stratgie de groupe

Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe


Exercice 1 : Configuration des paramtres de stratgie de compte et de scurit
Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4.

Tche 2 : Crer une stratgie de compte pour le domaine


1. 2. 3. 4. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestion des stratgies de groupe. Dveloppez Fort, cliquez sur Domaines, sur WoodgroveBank.com, puis cliquez sur le dossier Objets Stratgie de groupe. Dans le volet dinformations, cliquez avec le bouton droit sur Default Domain Policy, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez successivement Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit, Stratgies de comptes, puis cliquez sur Stratgie de mot de passe.

L7-84

Module 7 : Implmentation de la scurit laide dune stratgie de groupe

5. 6. 7. 8. 9.

Dans le volet dinformations, double-cliquez sur Longueur maximale du mot de passe, dfinissez la valeur 8 caractres, puis cliquez sur OK. Double-cliquez sur le paramtre Dure de vie minimale du mot de passe, rglez la valeur 19 jours, puis cliquez sur OK. Double-cliquez sur le paramtre Dure de vie maximale du mot de passe, rglez la valeur 20 jours, puis cliquez sur OK. Dans le volet de gauche, cliquez sur Stratgie de verrouillage de compte. Dans le volet dinformations, double-cliquez sur le paramtre Seuil de verrouillage du compte, dfinissez la valeur 5 tentatives douverture de session non valides, puis cliquez sur OK.

10. Dans la bote de dialogue Modifications suggres pour les valeurs, cliquez sur OK pour accepter des valeurs de 30 minutes, puis cliquez sur OK. 11. Fermez lditeur de gestion des stratgies de groupe, et laissez GPMC ouvert.

Tche 3 : Configurer les paramtres de stratgie locale pour un client Windows Vista
1. 2. 3. 4. Dmarrez NYC-CL1 et ouvrez une session en tant que WoodgroveBank\administrateur avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, puis tapez MMC dans la zone Rechercher. Appuyez sur Entre pour ouvrir une nouvelle console de gestion Microsoft. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable. Dans la bote de dialogue Ajouter ou supprimer des composants logiciels enfichables, slectionnez lditeur dobjets de stratgie de groupe, cliquez sur Ajouter, sur Terminer, puis sur OK. Dveloppez successivement Stratgie de lordinateur local, Configuration ordinateur, Paramtres Windows, Paramtres de scurit, Stratgies locales, puis cliquez sur Options de scurit. Dans le volet dinformations, double-cliquez sur Comptes : statut du compte Administrateur, cliquez sur Activ, puis cliquez sur OK. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

5.

6.

Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe

L7-85

7.

Dans la bote de dialogue Ajouter ou supprimer des composants logiciels enfichables, slectionnez lditeur dobjets de stratgie de groupe, cliquez sur Ajouter, puis sur Parcourir. Dans la bote de dialogue Rechercher un objet Stratgie de groupe, cliquez sur longlet Utilisateurs, slectionnez le groupe Non-administrateurs, cliquez sur OK, sur Terminer, puis sur OK. Dveloppez Ordinateur local\Stratgie de non-administrateurs, Configuration utilisateur, Modles dadministration, cliquez sur Menu Dmarrer et barre des tches, double-cliquez sur Supprimer le menu Excuter du menu Dmarrer, cliquez sur Activ, puis cliquez sur OK.

8.

9.

10. Fermez la console MMC sans enregistrer les modifications.

Tche 4 : Crer une stratgie de rseau sans fil pour les clients Windows Vista
1. 2. Basculez vers NYC-DC1. Dans la console de gestion des stratgies de groupe (GPMC, Group Policy Management Console), cliquez avec le bouton droit sur le dossier Objet de Stratgie de groupe, puis cliquez sur Nouveau. Dans la bote de dialogue Nouvel objet GPO, tapez Vista sans fil dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur la stratgie Vista sans fil, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit, cliquez avec le bouton droit sur Stratgies de rseau sans fil (IEEE 802.11), puis cliquez sur Crer une stratgie de rseau sans fil Vista. Dans la bote de dialogue Nouvelle stratgie de rseau sans fil Vista, dans longlet Gnral, cliquez sur Ajouter, puis cliquez sur Infrastructure. Dans la bote de dialogue Proprits de Nouveau profil, tapez Entreprise dans le champ Nom de profil. Dans le champ Nom rseau (SSID), tapez Entr, puis cliquez sur Ajouter. Cliquez sur longlet Scurit, rglez lauthentification sur Ouvert avec 802.1X, puis cliquez sur OK.

3. 4. 5.

6. 7. 8. 9.

10. Cliquez sur longlet Autorisations rseau, puis sur Ajouter.

L7-86

Module 7 : Implmentation de la scurit laide dune stratgie de groupe

11. Dans la bote de dialogue Nouvelle entre dautorisation, tapez Recherche dans le champ Nom rseau (SSID) : dfinissez lautorisation sur Refuser, puis cliquez deux fois sur OK. 12. Fermez lditeur de gestion des stratgies de groupe. 13. Cliquez avec le bouton droit sur le conteneur Domaine Woodgrovebank.com, puis cliquez sur Lier un objet de stratgie de groupe existant. 14. Dans la bote de dialogue Slectionner un objet GPO, slectionnez lobjet de stratgie de groupe Vista sans fil et cliquez sur OK.

Tche 5 : Configurer une stratgie qui interdit un service sur tous les contrleurs de domaine
1. Dans la console GPMC, ouvrez le dossier Objet Stratgie de groupe, cliquez avec le bouton droit sur la Default Domain Controller Policy, puis cliquez sur Modifier. Dveloppez successivement Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit, puis cliquez sur Services systme. Dans le volet dinformations, double-cliquez sur Registre distance, activez la case cocher Dfinir ce paramtre de stratgie, cliquez sur Dsactiv, puis cliquez sur OK. Fermez lditeur de gestion des stratgies de groupe, puis laissez la console GPMC ouverte.
Rsultat : au terme de cet exercice, vous aurez configur les paramtres de stratgie de compte et de scurit.

2.

3.

4.

Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe

L7-87

Exercice 2 : Implmentation de stratgies de mot de passe affines


Tche 1 : Crer un objet de stratgie de groupe laide dADSI edit
1. 2. 3. 4. Sur NYC-DC1, cliquez sur Dmarrer, cliquez sur Excuter, tapez adsiedit.msc, puis cliquez sur OK. Dans la console Modification ADSI, cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion. Dans la bote de dialogue Paramtres de connexion, cliquez sur OK. Dveloppez Contexte d'attribution de noms par dfaut, DC=woodgrovebank, DC=com, CN=System, cliquez avec le bouton droit sur CN=Password Settings Container, pointez sur Nouveau, puis cliquez sur Objet.

5. Dans la bote de dialogue Crer un objet, cliquez sur msDS-PasswordSettings, puis sur Suivant. 6. 7. 8. 9. Dans Valeur, tapez ITAdmin, puis cliquez sur Suivant. Dans la valeur msDS-PasswordSettingsPrecedence, tapez 10, puis cliquez sur Suivant. Dans la valeur msDS-PasswordReversibleEncryptionEnabled, tapez FALSE, puis cliquez sur Suivant. Dans la valeur msDS-PasswordHistoryLength, tapez 30, puis cliquez sur Suivant.

10. Dans la valeur msDS-PasswordComplexityEnabled, tapez TRUE, puis cliquez sur Suivant. 11. Dans la valeur msDS-MinimumPasswordLength, tapez 10, puis cliquez sur Suivant. 12. Dans la valeur msDS-MinimumPasswordAge, tapez -5184000000000, puis cliquez sur Suivant. 13. Dans la valeur msDS-MaximumPasswordAge, tapez -6040000000000, puis cliquez sur Suivant.

L7-88

Module 7 : Implmentation de la scurit laide dune stratgie de groupe

14. Dans la valeur msDS-LockoutThreshold, tapez 3, puis cliquez sur Suivant. 15. Dans la valeur msDS-LockoutObservationWindow, tapez -18000000000, puis cliquez sur Suivant. 16. Dans la valeur msDS-LockoutDuration, tapez -18000000000, cliquez sur Suivant, puis cliquez sur Terminer. 17. Fermez la console MMC ADSI Edit sans enregistrer les modifications.

Tche 2 : Attribuer une stratgie de mot de passe ITAdmin au groupe global Administrateurs informatiques
1. 2. 3. Cliquez sur Dmarrer, sur Outils dadministration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Cliquez sur Affichage, puis sur Fonctionnalits avances. Dveloppez woodgrovebank.com, System, puis cliquez sur Password Settings Container. Dans le volet dinformations, cliquez avec le bouton droit sur lobjet de stratgie de groupe ITAdmin, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de ITAdmin, cliquez sur longlet diteur dattributs. Faites dfiler la liste, slectionnez lattribut msDS-PSOAppliesTo, puis cliquez sur Modifier. Dans la bote de dialogue diteur valeurs multiples de noms uniques avec entits de scurit, cliquez sur Ajouter un compte Windows. Tapez ITAdmins_WoodgroveGG, puis cliquez sur OK trois reprises. Fermez Utilisateurs et ordinateurs Active Directory.
Rsultat : au terme de cet exercice, vous aurez implment des stratgies de mot de passe affines.

4.

5. 6. 7.

Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe

L7-89

Exercice 3 : Configuration des groupes restreints et des stratgies de restriction logicielle


Tche 1 : Configurer des groupes restreints pour le groupe local Administrateurs
1. 2. 3. 4. Si ncessaire, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestion des stratgies de groupe. Dveloppez Fort, cliquez sur Domaines, cliquez sur WoodgroveBank.com, puis cliquez sur le dossier Objets Stratgie de groupe. Dans le volet dinformations, cliquez avec le bouton droit sur Default Domain Policy, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit, cliquez sur Groupes restreints, cliquez avec le bouton droit sur Groupes restreints puis cliquez sur Ajouter un groupe. Dans la bote de dialogue Ajouter un groupe, tapez Administrateurs, puis cliquez sur OK. Dans la bote de dialogue Proprits de Administrateurs, cliquez sur Ajouter. Dans la bote de dialogue Ajouter des membres, tapez : Woodgrovebank\ITAdmins_WoodgroveGG, puis cliquez sur OK. Dans la bote de dialogue Administrateurs Proprits, cliquez sur Ajouter. Dans la bote de dialogue Ajouter un membre, tapez Woodgrovebank\Admins du domaine, puis cliquez deux fois sur OK.

5. 6. 7. 8. 9.

10. Fermez lditeur de gestion des stratgies de groupe.

L7-90

Module 7 : Implmentation de la scurit laide dune stratgie de groupe

Tche 2 : Empcher lexcution dInternet Explorer et de scripts VBS sur les contrleurs de domaine
1. Dans la console de gestion des stratgies de groupe, dans le volet dinformations, cliquez avec le bouton droit sur Default Domain Controllers Policy, puis cliquez sur Modifier. Dans lditeur de gestion des stratgies de groupe, dveloppez Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit, puis cliquez sur Stratgies de restriction logicielle. Cliquez avec le bouton droit sur Stratgies de restriction logicielle, puis cliquez sur Nouvelles stratgies de restriction logicielles. Dans le volet dinformations, cliquez avec le bouton droit sur Rgles supplmentaires, puis cliquez sur Nouvelle rgle de hachage. Dans la bote de dialogue Nouvelle rgle de hachage, cliquez sur Parcourir, naviguez jusqu C:\Programmes\Internet Explorer\iexplore.exe, puis cliquez sur Ouvrir. Vrifiez que le niveau de scurit est Rejet, puis cliquez sur OK. Cliquez avec le bouton droit sur Rgles supplmentaires, puis cliquez sur Nouvelle rgle de chemin daccs. Dans le champ Chemin daccs, tapez *.vbs, puis cliquez sur OK. Fermez lditeur de gestion des stratgies de groupe.
Rsultat : au terme de cet exercice, vous aurez configur des groupes restreints et des stratgies de restriction logicielle.

2.

3. 4. 5.

6. 7. 8. 9.

Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe

L7-91

Exercice 4 : Configuration des modles de scurit


Tche 1 : Crer un modle de scurit pour les serveurs de fichiers et dimpression
1. 2. 3. Cliquez sur Dmarrer, tapez MMC dans la zone Rechercher, puis appuyez sur Entre. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable. Dans la bote de dialogue Ajouter ou supprimer des composants logiciels enfichables, faites dfiler la liste vers le bas, cliquez sur Modles de scurit, sur Ajouter, puis sur OK. Dveloppez Modles de scurit, cliquez avec le bouton droit sur C:\Users\Administrateur\Documents\Security\Templates, puis cliquez sur Nouveau modle. Dans la bote de dialogue C:\Users\Administrateur\Documents\Security\Templates , tapez FPSecurity dans le champ Nom du modle, puis cliquez sur OK. Dveloppez FPSecurity, Stratgies locales, puis cliquez sur Options de scurit. Dans le volet dinformations, double-cliquez sur Comptes : renommer le compte administrateur, activez la case cocher pour dfinir ce paramtre de stratgie dans le modle, tapez FPAdmin dans le champ Dfinir ce paramtre de stratgie dans le modle, puis cliquez sur OK. Dans le volet dinformations, double-cliquez sur Ouverture de session interactive : Ne pas afficher le dernier nom dutilisateur, activez la case cocher Dfinir ce paramtre de stratgie dans le modle, cliquez sur Activ, puis sur OK. Dans le volet Dossier, cliquez avec le bouton droit sur FPSecurity, puis cliquez sur Enregistrer.

4.

5.

6. 7.

8.

9.

10. Fermez la console MMC sans enregistrer les modifications.

L7-92

Module 7 : Implmentation de la scurit laide dune stratgie de groupe

Tche 2 : Dmarrer NYC-SVR1, joindre le domaine et dsactiver le Pare-feu Windows


1. 2. 3. 4. 5. 6. 7. 8. 9. Dmarrez NYC-SVR1. Ouvrez une session en tant que LocalAdmin avec un mot le mot de passe Pa$$w0rd. Si ncessaire, ouvrez Gestionnaires de serveur. Cliquez sur Modifier les proprits systme. Dans longlet Nom de lordinateur, cliquez sur Modifier. Dans la section Membre de, cliquez sur Domaine, tapez WoodgroveBank.com dans le champ, puis cliquez sur OK. Entrez les informations didentification de lAdministrateur et Pa$$w0rd, puis cliquez sur OK. Cliquez sur OK pour redmarrer lordinateur. Ouvrez une session en tant que Woodgrovebank\Administrateur avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, cliquez sur Panneau de configuration, double-cliquez sur Pare-feu Windows, puis cliquez sur Modifier les paramtres. Dans la bote de dialogue Paramtres du Pare-feu Windows, cliquez sur Dsactiv, puis cliquez sur OK pour dsactiver le Pare-feu Windows.

Remarque : ltape suivante a pour but de simplifier latelier, mais ne constitue pas une pratique recommande.

10. Fermez le Pare-feu Windows, puis le Panneau de configuration.

Tche 3 : Excuter lAssistant Configuration de la scurit et importer le modle FPSecurity


1. 2. 3. 4. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestionnaire de serveur. Dans lcran daccueil, cliquez sur Suivant. Dans lcran Action de configuration, cliquez sur Suivant. Dans lcran Slectionnez un serveur, tapez NYC-SVR1. woodgrovebank.com, puis cliquez sur Suivant.

Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe

L7-93

5. 6. 7. 8. 9.

Une fois le traitement des bases de donnes de configuration termin, cliquez sur Suivant. Dans lcran Configuration des services selon les rles, cliquez sur Suivant. Dans lcran Slectionnez des rles de serveurs, dsactivez la case cocher Serveur DNS. Activez la case cocher Serveur de fichiers. Activez la case cocher Serveur dimpression, puis cliquez sur Suivant.

10. Dans la fentre Slectionnez des fonctionnalits client, cliquez sur Suivant. 11. Dans lcran Slectionnez des options dadministration et dautres options, cliquez sur Suivant. 12. Dans lcran Slectionnez des services supplmentaires, cliquez sur Suivant. 13. Dans lcran Gestion des services non spcifis, cliquez sur Suivant. 14. Dans lcran Confirmer les modifications de services, examinez les modifications, puis cliquez sur Suivant. 15. Dans lcran Scurit du rseau, cliquez sur Suivant. 16. Dans lcran Rgles de scurit rseau, cliquez sur Suivant. 17. Dans lcran Paramtres de Registre, cliquez sur Suivant. 18. Dans lcran Exiger les signatures de scurit SMB, cliquez sur Suivant. 19. Dans lcran Mthodes dauthentification sortante, cliquez sur Suivant. 20. Dans lcran Authentification sortante utilisant les comptes de domaines, activez la case cocher Horloges synchronises avec celle du serveur slectionn, puis cliquez sur Suivant. 21. Dans lcran Mthodes dauthentification entrante, cliquez sur Suivant. 22. .Dans lcran Paramtres de Registre, cliquez sur Suivant. 23. Dans lcran Stratgie daudit, cliquez sur Suivant. 24. Dans lcran Stratgie daudit systme, cliquez sur Suivant 25. Dans lcran Rsum de stratgie daudit, cliquez sur Suivant. 26. Dans lcran Enregistrer la stratgie de scurit, cliquez sur Suivant. 27. Dans lcran Nom du fichier de stratgie de scurit, tapez FPPolicy la fin du chemin daccs C:\Windows\security\msscw\policies\, puis cliquez sur Inclure les modles de scurit.

L7-94

Module 7 : Implmentation de la scurit laide dune stratgie de groupe

28. Dans la bote de dialogue Inclure les modles de scurit, cliquez sur Ajouter. 29. Naviguez jusqu Documents\Security\Templates\FPSecurity, cliquez sur Ouvrir, sur OK, puis sur Suivant. 30. Dans lcran Appliquer la stratgie de scurit, cliquez sur Appliquer maintenant, puis cliquez sur Suivant. 31. Dans lcran Application de la stratgie de scurit, cliquez sur Suivant, puis sur Terminer.

Tche 4 : Transformer FPPolicy en objet de stratgie de groupe


1. 2. Sur NYC-DC1, cliquez sur Dmarrer, puis sur Invite de commandes. linvite de commandes des administrateurs, tapez scwcmd transform /p:C:\Windows\security\msscw\Policies\FPpolicy.xml /g:FileServerSecurity, puis appuyez sur Entre. Ouvrez la Console de gestion des stratgies de groupes (GPMC) si ncessaire, puis ouvrez le dossier Objet Stratgie de groupe. Double-cliquez sur lobjet de stratgie de groupe FilesServerSecurity, puis cliquez sur longlet Paramtres. Dans la bote de dialogue Internet Explorer, cliquez sur Ajouter, cliquez de nouveau sur Ajouter, puis sur Fermer. Examinez les paramtres de stratgie de groupe. Fermez la Console de gestion des stratgies de groupe et fermez la session NYC-DC1.
Rsultat : au terme de cet exercice, vous aurez configur des modles de scurit.

3.

4.

5.

Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe

L7-95

Exercice 5 : Vrification de la configuration de la scurit


Tche 1 : Ouvrir une session en tant quAdministrateur local de lordinateur Windows Vista et vrifier lappartenance du groupe Administrateurs local
1. 2. 3. 4. 5. Ouvrez une session sur NYC-CL1 en tant que NYC-CL1\administrateur avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, cliquez sur Rechercher, tapez CMD dans la zone Rechercher, puis appuyez sur Entre. linvite de commandes, tapez GPupdate /force, puis appuyez sur Entre. Cliquez sur Dmarrer, sur Tous les programmes puis sur Accessoires. Vrifiez que le menu Excuter apparat. Cliquez sur Dmarrer, sur Panneau de configuration, sur Comptes dutilisateurs, nouveau sur Comptes dutilisateurs, sur Grer les comptes dutilisateurs, sur longlet Avanc, sur Avanc, sur Groupes, puis doublecliquez sur Administrateurs. Assurez-vous que les groupes globaux Administrateurs de domaine et Administrateurs informatiques existent. Redmarrez NYC-CL1.

6.

Tche 2 : Ouvrir une session sur lordinateur Windows Vista comme utilisateur ordinaire et tester la stratgie de compte
1. 2. 3. 4. 5. Ouvrez une session sur NYC-CL1 en tant que Woodgrovebank\Loig, avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, sur Tous les programmes, puis sur Accessoires. Vrifiez que le menu Excuter napparat pas. Appuyez sur Droite-Alt+Suppr, puis cliquez sur Modifier le mot de passe. Dans le champ Ancien mot de passe, tapez Pa$$w0rd. Dans les champs Nouveau mot de passe et Confirmer le mot de passe, tapez w0rdPa$$. Vous ne pouvez pas mettre jour le mot de passe car la dure minimale du mot de passe nest pas arrive expiration. Fermez la session sur NYC-CL1.

6.

L7-96

Module 7 : Implmentation de la scurit laide dune stratgie de groupe

Tche 3 : Ouvrir une session sur le contrleur de domaine comme administrateur de domaine et tester les restrictions logicielles et les services
1. 2. 3. 4. Ouvrez une session sur NYC-DC1 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, puis sur Invite de commandes. linvite de commandes, tapez gpupdate /force, puis appuyez sur Entre. Cliquez sur Dmarrer, sur Internet Explorer, lisez le message derreur, puis cliquez sur OK. Cliquez sur Dmarrer, sur Ordinateur, naviguez jusqu D:\6238\mod07\ labfiles, puis double-cliquez sur Hello.vbs. Lisez le message derreur, puis cliquez sur OK. Cliquez sur Dmarrer, sur Outils dadministration, puis sur Services. Dans le volet dinformations, faites dfiler la liste vers le bas jusquau service Accs distance au Registre, et vrifiez quil est dsactiv.

5.

Tche 4 : Utiliser la modlisation des stratgies de groupe pour tester les paramtres sur le serveur de fichiers et dimpression
1. Ouvrez la console GPMC, cliquez avec le bouton droit sur Modlisation de stratgie de groupe, puis cliquez sur Assistant Modlisation de stratgie de groupe. Dans lcran daccueil, cliquez sur Suivant. Dans la page Slection du contrleur de domaine, cliquez sur Suivant.

2. 3.

4. Dans lcran Slection dordinateurs et dutilisateurs, cliquez sur Ordinateur, tapez Woodgrovebank\NYC-SVR1, puis cliquez sur Suivant. 5. 6. 7. 8. 9. Dans la page Options de simulation avances, cliquez sur Suivant. Dans lcran Autres chemins daccs Active Directory, cliquez sur Suivant. Dans lcran Groupes de scurit ordinateur, cliquez sur Suivant. Dans lcran Filtres WMI pour Ordinateurs, cliquez sur Suivant. Dans lcran Aperu des slections, cliquez sur Suivant, puis sur Terminer. Examinez les paramtres de stratgie.

Atelier pratique : Implmentation de la scurit laide dune stratgie de groupe

L7-97

Tche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez vrifi la configuration de la scurit.

Atelier pratique : Analyse des services de domaine Active Directory

L8-99

Module 8 : Mise en uvre dun plan de contrle de services de domaine Active Directory

Atelier pratique : Analyse des services de domaine Active Directory


Exercice 1 : Analyse des services de domaine Active Directory laide de lObservateur dvnements
Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC2, cliquez sur Launch. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Sur NYC-DC2, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4. 5. 6.

Tche 2 : Crer une vue personnalise pour capturer les vnements appropris
1. 2. 3. Dmarrez NYC-DC1 et ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, sur Outils dadministration, puis sur Observateur dvnements. Cliquez avec le bouton droit sur Affichages personnalises, puis cliquez sur Crer une vue personnalise.

L8-100

Module 8 : Mise en uvre dun plan de contrle de services de domaine Active Directory

4. 5.

Dans la bote de dialogue Crer une vue personnalise, activez les trois cases cocher Critique, Avertissement et Erreur. Cliquez sur la flche droulante Journaux dvnements, dveloppez Journaux des applications et des services, activez les cases cocher Service dannuaire et Serveur DNS, puis cliquez sur OK. Dans la bote de dialogue Enregistrer le filtre dans une vue personnalise, tapez Service dannuaire dans le champ Nom, puis cliquez sur OK.

6.

Tche 3 : Exporter la vue personnalise


1. 2. Cliquez avec le bouton droit sur la vue personnalise Service dannuaire, puis cliquez sur Exporter la vue personnalise. Dans la bote de dialogue Enregistrer sous, naviguez jusqu D:\6238\data, tapez Active Directory dans le champ Nom du fichier, puis cliquez sur Enregistrer.

Tche 4 : Importer la vue personnalise


1. 2. 3. 4. 5. Ouvrez une session sur NYC-DC2 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, cliquez sur Outils dadministration, puis sur Observateur dvnements. Cliquez avec le bouton droit sur Affichages personnalises, puis cliquez sur Importer une vue personnalise. Dans la bote de dialogue Importer une vue personnalise, tapez \\NYCDC1\Data\Active Directory.xml, puis cliquez sur Ouvrir. Dans la bote de dialogue Importer le fichier de vue personnalise, cliquez sur OK.

Tche 5 : Configurer les ordinateurs pour transmettre et collecter les vnements


1. 2. Sur lordinateur collecteur NYC-DC1, cliquez sur Dmarrer, puis sur Invite de commandes. Dans la fentre dinvite de commandes, tapez wecutil qc, appuyez sur Entre, tapez O, puis appuyez sur Entre pour effectuer les modifications.

Atelier pratique : Analyse des services de domaine Active Directory

L8-101

3. 4. 5. 6. 7.

Fermez linvite de commandes. Basculez sur NYC-DC2 (ordinateur source). Cliquez sur Dmarrer, puis sur Invite de commandes. Dans la fentre dinvite de commandes, tapez winrm quickconfig, appuyez sur Entre, tapez O, puis appuyez sur Entre pour effectuer les modifications. Fermez linvite de commandes.

Tche 6 : Crer un abonnement pour transmettre les vnements systme NYC-DC1


1. 2. Sur NYC-DC1, dans lObservateur dvnements, cliquez avec le bouton droit sur Abonnements, puis cliquez sur Crer un abonnement. Dans la bote de dialogue Proprits de labonnement, tapez vnements du service dans le champ Nom de labonnement, cliquez sur Initialisation par le collecteur, puis cliquez sur Slectionner des ordinateurs. Dans la bote de dialogue Ordinateurs, cliquez sur Ajouter des ordinateurs du domaine. Dans la bote de dialogue Slectionnez des ordinateurs, tapez NYC-DC2, puis cliquez deux fois sur OK. Cliquez sur Slectionner des vnements, puis dans la bote de dialogue Filtre de requte, activez la case cocher Information. Cliquez sur la flche droulante Journaux dvnements, dveloppez Journaux Windows, puis activez la case cocher Systme. Dans le champ ID de lvnement, tapez 7036, puis cliquez sur OK. Cliquez sur Avanc, sur Utilisateur spcifique, puis sur Utilisateur et mot de passe. Dans Informations didentification de la source de labonnement, vrifiez que le nom d'utilisateur est Woodgrovebank\Administrateur, entrez le mot de passe Pa$$w0rd, puis cliquez sur OK.

3. 4. 5. 6. 7. 8. 9.

10. Cliquez sur Minimiser la latence, puis cliquez deux fois sur OK. Cliquez sur Oui en rponse aux messages de lObservateur dvnements. 11. Dans le volet des dossiers, cliquez sur le dossier Abonnements, et assurezvous que ltat dabonnement des vnements du service est Actif.

L8-102

Module 8 : Mise en uvre dun plan de contrle de services de domaine Active Directory

12. Sur NYC-DC2, cliquez sur Dmarrer, puis sur Invite de commandes. 13. linvite de commandes, tapez Net Stop DNS, puis appuyez sur Entre. 14. Tapez Net Start DNS, puis appuyez sur Entre. 15. Sur NYC-DC1, dans Journaux Windows, cliquez sur le journal vnements transmis. Examinez les vnements dinformation.

Remarque : les vnements rels peuvent prendre quelques minutes pour apparatre dans le journal des vnements transmis. Dmarrez et arrtez le service DNS nouveau si ncessaire.

Tche 7 : Joindre une tche un journal des vnements et un vnement


1. Sur NYC-DC1, dveloppez les journaux Windows, cliquez avec le bouton droit sur le journal Configuration, puis cliquez sur Joindre une tche ce journal. Dans lAssistant Crer une tche de base, cliquez sur Suivant. Sur lcran Lors de lenregistrement dun vnement spcifique, cliquez sur Suivant. Sur lcran Action, cliquez sur Envoyer un courrier lectronique, puis cliquez sur Suivant. Sur lcran Envoyer un courrier lectronique, tapez Observateur dvnements dans le champ De. Tapez Administrateur@woodgrovebank.com dans le champ . Tapez Installation dapplication dans le champ Objet. Tapez Mail.Woodgrovebank.com dans le champ Serveur SMTP, puis cliquez sur Suivant. Dans la page Rsum, cliquez sur Terminer. Dans la zone de message Observateur dvnements, cliquez sur OK.

2. 3. 4. 5. 6. 7. 8. 9.

10. Cliquez sur le journal vnements transmis pour louvrir. 11. Cliquez avec le bouton droit sur lun des vnements 7036, puis cliquez sur Joindre une tche cet vnement.

Atelier pratique : Analyse des services de domaine Active Directory

L8-103

12. Sur lcran Crer une tche de base, cliquez sur Suivant. 13. Sur lcran Lors de lenregistrement dun vnement spcifique, cliquez sur Suivant. 14. Sur lcran Action, cliquez sur Afficher un message, puis cliquez sur Suivant. 15. Sur lcran Afficher un message, tapez vnement de service dans le champ Titre, tapez Un service arrt ou dmarr dans le champ Message. Cliquez sur Suivant, puis sur Terminer. Cliquez sur OK pour accuser rception du message de lObservateur dvnements. 16. Basculez sur NYC-DC2, puis rptez les tapes pour arrter et dmarrer le service DNS. La zone de message apparat, affichant votre message. Cliquez sur OK pour accuser rception du message.

Remarque : la bote de message peut tre masque par la fentre de lObservateur dvnements. Cherchez-la dans la barre des tches.

17. Fermez toutes les fentres.


Rsultat : au terme de cet exercice, vous aurez analys les services de domaine Active Directory laide de lObservateur dvnements.

L8-104

Module 8 : Mise en uvre dun plan de contrle de services de domaine Active Directory

Exercice 2 : Surveiller les services de domaine Active Directory l'aide de l'Analyseur de fiabilit et de performances
Tche 1 : Configurer lanalyseur de fiabilit et de performances afin de contrler les services de domaine Active Directory
1. Sur NYC-DC1, cliquez sur Dmarrer, sur Outils dadministration, sur Moniteur de fiabilit et de performances, puis sur Analyseur de performances. Cliquez sur le signe Plus vert de la barre doutils pour ajouter des objets et des compteurs. Dans la bote de dialogue Ajouter des compteurs, dveloppez lobjet Services dannuaire, slectionnez le compteur Nb total doctets DRA entrants/s, puis cliquez sur Ajouter. Rptez ltape prcdente pour ajouter les compteurs suivants : 5. 6. Nb total doctets DRA sortants/s Nb de threads Active Directory utiliss Lectures Active Directory/s critures Active Directory/s

2. 3.

4.

Dveloppez Statistiques de scurit au niveau du systme, puis ajoutez le compteur Authentifications Kerberos. Dveloppez DNS, ajoutez le compteur Requtes UDP reues, puis cliquez sur OK.

Atelier pratique : Analyse des services de domaine Active Directory

L8-105

Tche 2 : Crer un ensemble de collecteurs de donnes


1. Dans le volet Dossier, cliquez avec le bouton droit sur Analyseur de performances, cliquez sur Nouveau, puis sur Ensemble de collecteurs de donnes. Dans la bote de dialogue Crer un nouvel ensemble de collecteurs de donnes, tapez Active Directory dans le champ Nom, puis cliquez sur Suivant. Laissez le rpertoire racine comme chemin daccs par dfaut, cliquez sur Suivant, puis sur Terminer. Dveloppez Ensembles de collecteurs de donnes, Dfini par lutilisateur, cliquez avec le bouton droit sur lensemble de collecteurs de donnes Active Directory, puis cliquez sur Dmarrer. Dveloppez successivement Rapports, Dfini par lutilisateur, Active Directory, puis cliquez sur System Monitor Log.blg. Le statut du rapport montre que le journal est en train de collecter des donnes. Dveloppez Ensembles de collecteurs de donnes, cliquez avec le bouton droit sur lensemble de collecteurs de donnes Active Directory, puis cliquez sur Dmarrer. Cliquez sur System Monitor Log.blg. Le graphique correspondant au journal saffiche dans le volet dinformations.
Rsultat : Au terme de cet exercice, vous aurez analys les services de domaine Active Directory laide de lanalyseur de fiabilit et de performances.

2.

3. 4.

5.

6.

7.

L8-106

Module 8 : Mise en uvre dun plan de contrle de services de domaine Active Directory

Exercice 3 : Configurer laudit des services de domaine Active Directory


Tche 1 : Examiner ltat actuel de la stratgie daudit
1. 2. 3. Sur NYC-DC1, cliquez sur Dmarrer, puis sur Invite de commandes. Dans la fentre dinvite de commandes, tapez Auditpol.exe /get /category:*, appuyez sur Entre et examinez les paramtres de stratgie daudit par dfaut. Rduisez la fentre dinvite en icne.

Tche 2 : Activer loption Auditer laccs au service dannuaire sur les contrleurs de domaine
1. 2. 3. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestion des stratgies de groupe. Ouvrez le dossier Objets Stratgie de groupe, cliquez avec le bouton droit sur Stratgie Contrleurs de domaine par dfaut, puis cliquez sur Modifier. Dveloppez successivement Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit, Stratgie locale, puis cliquez sur Stratgie daudit. Notez que tous les paramtres de stratgie ont pour valeur Non dfini. Double-cliquez sur Auditer laccs au service dannuaire, activez la case cocher Dfinir ces paramtres de stratgie, puis les deux cases cocher Essais ayant russi et Essais ayant chou, et enfin OK. Fermez lditeur de gestion des stratgies de groupe, puis la Console de gestion des stratgies de groupe. Restaurez linvite de commandes, puis tapez Gpupdate et appuyez sur Entre. Lorsque la mise jour est termine, excutez de nouveau la commande Auditpol.exe /get /category:*, puis examinez la stratgie daudit. Fermez linvite de commandes.

4.

5. 6. 7. 8.

Atelier pratique : Analyse des services de domaine Active Directory

L8-107

Tche 3 : Dfinir la liste de contrle daccs systme (SACL) pour le domaine


1. 2. 3. 4. 5. 6. Cliquez sur Dmarrer, Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory. Cliquez sur le menu Afficher, puis sur Fonctionnalits avances. Cliquez avec le bouton droit sur woodgrovebank.com, puis cliquez sur Proprits. Dans la bote de dialogue Proprits, cliquez sur longlet Scurit, sur Avancs, cliquez sur longlet Audit, puis sur Ajouter. Dans la bote de dialogue Slectionnez Utilisateurs, Ordinateurs ou Groupes, tapez Tout le monde, puis cliquez sur OK. Dans la bote de dialogue Audit de lentre pour Woodgrovebank, activez les cases cocher Russite et chec pour crire toutes les proprits, puis cliquez sur OK trois fois.

Tche 4 : Tester la stratgie


1. 2. 3. 4. 5. 6. 7. Cliquez avec le bouton droit sur lunit dorganisation Toronto, cliquez sur Renommer, puis renommez lunit dorganisation en GTA. Ouvrez lObservateur dvnements, dveloppez Journaux Windows, puis cliquez sur Scurit. Ouvrez lvnement 4662, et examinez-le. Revenez Utilisateurs et ordinateurs Active Directory, et modifiez nimporte quel compte dutilisateur pour en changer le numro de tlphone. Revenez lObservateur dvnements, et examinez les vnements rsultant des modifications du service dannuaire. Fermez toutes les fentres. Arrtez tous les ordinateurs virtuels sans enregistrer les modifications.

L8-108

Module 8 : Mise en uvre dun plan de contrle de services de domaine Active Directory

Tche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : Au terme de cet exercice, vous aurez configur lAudit de service dannuaire Active Directory.

Atelier pratique : Implmentation dun plan de maintenance des services de domaine Active Directory

L9-109

Module 9 : Implmentation dun plan de maintenance des services de domaine Active Directory

Atelier pratique : Implmentation dun plan de maintenance des services de domaine Active Directory
Exercice 1 : Gestion des contrleurs de domaine des services de domaine Active Directory
Tche 1 : Dmarrer lordinateur virtuel et ouvrir une session
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4.

Tche 2 : Utiliser lAssistant Configuration de la scurit pour verrouiller les services et configurer le pare-feu sur NYC-DC1
1. 2. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestionnaire de serveur. Dans la fentre Gestionnaire de serveur, dans la section Informations de scurit, cliquez sur Excuter lAssistant Configuration de la scurit. LAssistant Configuration de la scurit saffiche. Dans la page Assistant Configuration de la scurit, cliquez sur Suivant.

3.

L9-110

Module 9 : Implmentation dun plan de maintenance des services de domaine Active Directory

4. 5. 6.

Dans la page Action, vrifiez que laction Crer une nouvelle stratgie de scurit est slectionne, puis cliquez sur Suivant. Dans la page Slectionner un serveur, cliquez sur Suivant. Dans la page Traitement de la base de donnes de configuration de la scurit, cliquez sur Afficher la base de donnes de configuration. Dans la bote de dialogue Internet Explorer, cliquez sur Oui. Dans la fentre Visionneuse SCW, dveloppez Rles de serveurs, puis Contrleur de domaine (Active Directory). Dveloppez Fonctionnalits de clients, puis dveloppez Client DNS. Dveloppez successivement Pare-feu Windows, Rgles de pare-feu, puis Contrleur de domaine Active Directory - LDAP de catalogue global (TCPIn).

7. 8. 9.

10. Fermez la fentre Visionneuse SCW, puis cliquez sur Suivant. 11. Dans la page Configuration de service selon le rle, cliquez sur Suivant. 12. Dans la page Slectionnez des rles de serveurs, vrifier que la case cocher Contrleur de domaine (Active Directory) est active, puis cliquez sur Suivant. 13. Dans la page Slectionnez des fonctionnalits de clients, cliquez sur Suivant. 14. Dans la page Slectionnez des options dadministration et dautres options, activez la case cocher Active Directory - Mode de planification RSoP. Laissez toutes les autres options actives, puis cliquez sur Suivant. 15. Dans la page Slectionnez des services supplmentaires, cliquez sur Suivant. 16. Dans la page Gestion des services non spcifis, assurez-vous que loption Ne pas modifier le mode de dmarrage du service est slectionne, puis cliquez sur Suivant. 17. Dans la page Confirmer les modifications de services, examinez les configurations de service qui seront modifies et cliquez sur Suivant. 18. Dans la page Scurit du rseau, cliquez sur Suivant. 19. Dans la page Rgles de scurit rseau, examinez les rgles de pare-feu qui seront configures sur le serveur, puis cliquez sur Suivant.

Atelier pratique : Implmentation dun plan de maintenance des services de domaine Active Directory

L9-111

20. Dans la page Paramtres du Registre, cliquez sur Suivant. 21. Dans la page Exiger les signatures de scurit SMB, cliquez sur Suivant. 22. Dans la page Exiger la signature LDAP, activez la case cocher Windows 2000 avec Service Pack 3 ou version ultrieure, puis cliquez sur Suivant. 23. Dans la page Mthodes dauthentification sortante, cliquez sur Suivant. 24. Dans la page Authentification sortante utilisant les comptes de domaines, vrifiez que les cases cocher Systmes dexploitation Windows NT 4.0 Service Pack 6a ou ultrieurs et Horloges synchronises avec celle du serveur slectionn sont actives, puis cliquez sur Suivant. 25. Dans la page Mthodes dauthentification entrante, dsactivez les cases cocher Ordinateurs exigeant lauthentification LAN Manager et Ordinateurs qui nont pas t configurs pour utiliser lauthentification NTLMv2, puis cliquez sur Suivant. 26. Dans la page Rsum des paramtres du Registre, examinez les modifications, puis cliquez sur Suivant. 27. Dans la page Stratgie daudit, cliquez sur Suivant. 28. Dans la page Stratgie daudit systme, slectionnez Effectuer un audit des activits excutes avec ou sans chec, puis cliquez sur Suivant. 29. Dans la page Rsum de stratgie daudit, cliquez sur Suivant. 30. Dans la page Enregistrer la stratgie de scurit, cliquez sur Suivant. 31. Dans la page Nom du fichier de stratgie de scurit, tapez c:\windows\security\msscw\policies\NYC-DC1.xml comme nom de fichier de stratgie, puis cliquez sur Suivant. 32. Dans la bote de dialogue davertissement sur la configuration de la scurit, cliquez sur OK. 33. Dans la page Appliquer la stratgie de scurit, vrifiez que loption Appliquer ultrieurement est slectionne, puis cliquez sur Suivant. 34. Cliquez sur Terminer pour fermer lAssistant Configuration de la scurit.

L9-112

Module 9 : Implmentation dun plan de maintenance des services de domaine Active Directory

Tche 3 : Effectuer une dfragmentation en mode hors connexion de la base de donnes des services de domaine Active Directory
1. 2. 3. 4. 5. 6. 7. 8. Cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur Services. Cliquez avec le bouton droit sur Services de domaine Active Directory, puis cliquez sur Arrter. Dans la bote de dialogue Arrter les autres services, cliquez sur Oui. Cliquez sur Dmarrer, puis sur Invite de commandes. Tapez ntdstuil, puis appuyez sur Entre. linvite ntdsutil, tapez Activate Instance NTDS, puis appuyez sur Entre. Tapez files, puis appuyez sur Entre. linvite file maintenance, tapez compact to C:\temp, puis appuyez sur Entre. Une nouvelle base de donnes Ntds.dit est cre lemplacement spcifi. linvite de la commande file maintenance, tapez integrity, puis appuyez sur Entre.

9.

10. Tapez quit, puis appuyez sur Entre. 11. Tapez quit, puis appuyez de nouveau sur Entre pour revenir linvite de commandes. 12. Tapez copy c:\temp\ntds.dit c:\Windows\NTDS\ntds.dit, puis appuyez sur Entre. 13. Tapez y, puis appuyez sur Entre. 14. Supprimez tous les fichiers journaux dans le rpertoire du journal en tapant la commande ci-dessous, puis en appuyant sur Entre : del C:\Windows\ NTDS\*.log.

Atelier pratique : Implmentation dun plan de maintenance des services de domaine Active Directory

L9-113

Tche 4 : Dplacer la base de donnes des services de domaine Active Directory


1. 2. 3. 4. 5. 6. 7. 8. linvite de commandes, tapez ntdsutil, puis appuyez sur Entre. linvite ntdsutil, tapez activate instance ntds, puis appuyez sur Entre. Tapez files, puis appuyez sur Entre. linvite de la commande file maintenance, tapez move db to C:\DSData, puis appuyez sur Entre. Lorsque le dplacement est termin, tapez quit, puis appuyez sur Entre. Tapez quit, puis appuyez de nouveau sur Entre pour revenir linvite de commandes. linvite de commandes, tapez net start Active Directory Domain Services, puis appuyez sur Entre. Fermez linvite de commandes, ainsi que toutes les fentres ouvertes.
Rsultat : au terme de cet exercice, vous aurez excut lAssistant Configuration de la scurit pour verrouiller les services sur un contrleur de domaine des services de domaine Active Directory et effectu des tches de maintenance de base de donnes des services de domaine Active Directory.

L9-114

Module 9 : Implmentation dun plan de maintenance des services de domaine Active Directory

Exercice 2 : Sauvegarde des services de domaine Active Directory


Tche 1 : Installer les fonctionnalits de sauvegarde de Windows Server
1. 2. 3. Depuis les Outils dadministration, dmarrez le Gestionnaire de serveur. Dans le Gestionnaire de serveur, cliquez sur Fonctionnalits, puis sur Ajouter des fonctionnalits. Dans la page Slectionnez des fonctionnalits, dveloppez Fonctionnalits de sauvegarde de Windows Server, puis activez les cases cocher Sauvegarde de Windows Server et Outils de ligne de commande. Cliquez sur Suivant, puis sur Installer. Une fois linstallation termine, cliquez sur Fermer.

4. 5.

Tche 2 : Crer une sauvegarde planifie


1. 2. 3. 4. 5. 6. 7. 8. 9. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Sauvegarde de Windows Server. Dans le volet Actions, cliquez sur Planification de sauvegarde. Dans la page Mise en route, cliquez sur Suivant. Dans la bote de dialogue Sauvegarde de Windows Server, cliquez sur Oui. Dans la page Slectionner la configuration de la sauvegarde, cliquez sur Personnalis, puis sur Suivant. Dans la page Slectionner les lments de sauvegarde , dsactivez la case cocher Tous les fichiers (D:) , puis cliquez sur Suivant. Dans la page Spcifiez heure de la sauvegarde, sous Une fois un jour, dans la liste Slectionner une heure, cliquez sur 12h00, puis sur Suivant. Dans la page Slectionner le disque de destination, cliquez sur Afficher tous les disques disponibles. Dans la bote de dialogue Afficher tous les disques disponibles, activez la case cocher Disque 1, puis cliquez sur OK.

Atelier pratique : Implmentation dun plan de maintenance des services de domaine Active Directory

L9-115

10. Dans la page Slectionner le disque de destination, activez la case cocher Disque 1, puis cliquez sur Suivant. 11. Dans la bote de dialogue Sauvegarde de Windows Server, cliquez sur Oui pour continuer, puis sur Suivant. 12. Dans la page Nommer le disque de destination, activez la case cocher Disque 1, puis cliquez sur Suivant. 13. Dans la page Confirmation, cliquez sur Annuler pour viter le formatage du lecteur D:. 14. Fermez lutilitaire Sauvegarde de Windows Server.

Tche 3 : Effectuer une sauvegarde la demande


1. 2. 3. 4. Dans la fentre de loutil de sauvegarde de Windows Server, dans le volet Actions, cliquez sur Sauvegarde unique. Dans la page Sauvegarde, vrifiez que loption Diffrentes options est slectionne, puis cliquez sur Suivant. Dans la page Slectionner la configuration de la sauvegarde, cliquez sur Personnalis, puis sur Suivant. Dans la page Slectionner les lments de sauvegarde, vrifiez que la case cocher Activer la rcupration du systme est slectionne, puis cliquez sur Suivant. Dans la page Spcifier le type de destination, cliquez sur Suivant. Dans la page Slectionner la destination de sauvegarde, cliquez sur Suivant. Dans la page Spcifier une option avance, cliquez sur Sauvegarde complte VSS, puis sur Suivant. Dans la page Confirmation, cliquez sur Sauvegarde. La sauvegarde prend approximativement 10 15 minutes. Quand la sauvegarde est termine, fermez lutilitaire de sauvegarde de Windows Server.
Rsultat : au terme de cet exercice, vous aurez install la fonctionnalit Sauvegarde de Windows Server, vous laurez utilise pour planifier une sauvegarde des informations des services de domaine Active Directory et effectu une sauvegarde la demande.

5. 6. 7. 8.

L9-116

Module 9 : Implmentation dun plan de maintenance des services de domaine Active Directory

Exercice 3 : Ralisation dune restauration faisant autorit dans la base de donnes des services de domaine Active Directory
Tche 1 : Supprimer lunit dorganisation Toronto
1. 2. 3. 4. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory. Dveloppez WoodgroveBank.com, cliquez avec le bouton droit sur Toronto, puis cliquez sur Supprimer. Dans la bote de dialogue Services de domaine Active Directory, cliquez sur Oui. Dans la bote de dialogue Confirmer la suppression de la sous-arborescence, cliquez sur Oui.

Tche 2 : Redmarrer lordinateur NYC-DC1 en mode Restauration des services dannuaire


1. Sur lordinateur NYC-DC1, cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. Tapez bcdedit /set safeboot dsrepair, puis appuyez sur Entre.

2.

Tche 3 : Restaurer les donnes sur ltat du systme


1. 2. Tapez shutdown -t 0 -r, puis appuyez sur Entre. Lordinateur redmarre. Aprs le redmarrage du serveur, appuyez sur Alt Gr et Suppr. Dans lcran douverture de session, cliquez sur Changer dutilisateur, puis cliquez sur Autre utilisateur. Ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. linvite de commandes, tapez wbadmin get versions -backuptarget:D: machine:NYC-DC1, puis appuyez sur Entre. Notez les informations de version.

3. 4. 5.

Atelier pratique : Implmentation dun plan de maintenance des services de domaine Active Directory

L9-117

6. 7.

Tapez wbadmin start systemstaterecovery -version:version, (o version est le numro enregistr lors de ltape prcdente), puis appuyez sur Entre. Tapez Y, puis appuyez sur Entre. La restauration prend de 30 35 minutes environ.

Remarque : Lorsque vous entrez le numro de version, nincluez pas la barre oblique du dbut (/). Le format de la commande de rcupration sera semblable wbadmin start systemstaterecovery -version:04/27/2008-15:49.

Tche 4 : Marquer les informations restaures comme faisant autorit et redmarrer le serveur
1. 2. 3. 4. 5. 6. linvite de commandes, tapez ntdsutil, puis appuyez sur Entre. linvite ntdsutil:, tapez Activate instance ntds, puis appuyez sur Entre. Tapez authoritative restore, puis appuyez sur Entre. Tapez restore subtree OU=Toronto,DC=Woodgrovebank,DC=com , appuyez sur Entre, puis cliquez sur Oui. Tapez quit, puis appuyez sur Entre. Tapez quit, puis appuyez de nouveau sur Entre.

Tche 5 : Vrifier que les donnes supprimes ont t restaures


1. 2. 3. 4. Pour redmarrer le serveur normalement aprs avoir effectu lopration de restauration, tapez bcdedit /deletevalue safeboot, puis appuyez sur Entre. Tapez shutdown -t 0 -r, puis appuyez sur Entre. Aprs le redmarrage du serveur, ouvrez une session en tant quAdministrateur. Ouvrez Utilisateurs et ordinateurs Active Directory et vrifiez que lUO Toronto a t restaure.

L9-118

Module 9 : Implmentation dun plan de maintenance des services de domaine Active Directory

Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la zone Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez effectu une restauration faisant autorit des informations des services de domaine Active Directory.

Atelier pratique : Implmentation dun plan de maintenance des services de domaine Active Directory

L9-119

Exercice 4 : Restauration des donnes laide de loutil de montage de base de donnes des services de domaine Active Directory (facultatif)
Tche 1 : Dmarrer lordinateur virtuel et ouvrir une session
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch. Sur NYC-DC1, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4.

Tche 2 : Crer et monter un instantan des informations des services de domaine Active Directory
1. Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, dans lUO ITAdmins, cliquez avec le bouton droit sur Fabrice Canel, puis cliquez sur Proprits. Ajoutez les informations ci-dessous dans les proprits du compte dutilisateur, puis cliquez sur OK : 2. 3. 4. 5. 6. Description : administrateur informatique Bureau : sige social Numro de tlphone : 555-5555

Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. linvite de commandes, tapez ntdsutil, puis appuyez sur Entre. linvite de commandes ntdsutil, tapez snapshot, puis appuyez sur Entre. linvite de commandes snapshot, tapez activate instance ntds, puis appuyez sur Entre. linvite de commandes snapshot, tapez create, puis appuyez sur Entre. La commande renvoie la sortie suivante : Lensemble dinstantans {GUID} a bien t gnr.

L9-120

Module 9 : Implmentation dun plan de maintenance des services de domaine Active Directory

7.

linvite snapshot, tapez mount numro, puis appuyez sur Entre. numro est le GUID affich dans la commande prcdente. Linstantan mont saffiche dans le systme de fichiers. Tapez Quit, puis appuyez sur Entre. Tapez Quit, puis appuyez de nouveau sur Entre. Laissez linvite de commandes ouverte.

8. 9.

Tche 3 : Supprimer un compte dutilisateur dans les services de domaine Active Directory
Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Fabrice Canel et cliquez sur Supprimer, puis sur Oui.

Tche 4 : Utiliser LDP pour restaurer le compte dutilisateur supprim


1. linvite de commandes, tapez la commande ci-dessous et appuyez sur Entre : Dsamain -dbpath <chemin daccs linstantan ntds.dit> -ldapport 51389. Le chemin daccs au fichier dinstantan ntds.dit apparaissait dans la commande mount. Ajoutez windows\ntds\ntds.dit au chemin daccs.

Remarque : le chemin daccs au fichier dinstantan ntds.dit sapparente C:\$SNAP_200804270943_VolumeC$\windows\ntds\ntds.dit.

Un message indique que le dmarrage des services de domaine Active Directory est termin. Laissez Dsamain.exe en cours dexcution. Ne fermez pas linvite de commandes. 2. 3. 4. 5. 6. 7. Cliquez sur Dmarrer, Excuter, tapez LDP, puis cliquez sur OK. Dans le menu Connexion, cliquez sur Connexion, puis sur OK. Dans le menu Connexion, cliquez sur Liaison, puis sur OK. Dans le menu Options, cliquez sur Contrles. Dans la liste Chargement prdfini, cliquez sur Return Deleted Objects, puis sur OK. Dans le menu Affichage, cliquez sur Arborescence, puis sur OK.

Atelier pratique : Implmentation dun plan de maintenance des services de domaine Active Directory

L9-121

8. 9.

Dveloppez DC=Woodgrove Bank,DC=com, puis cliquez sur CN=lments supprims,DC=Woodgrove Bank,DC=com. Cliquez avec le bouton droit sur CN=Fabrice Canel, puis cliquez sur Modifier.

10. Dans la zone Attribut, tapez isDeleted. Sous Opration, cliquez sur Supprimer, puis cliquez sur Entre. 11. Dans la zone Attribut, tapez distinguishedName. 12. Dans la zone Valeurs, tapez CN=Fabrice Canel,ou=ITAdmins, dc=woodgrovebank,dc=com. 13. Sous Opration, cliquez sur Remplacer, puis cliquez sur Entre. 14. Activez la case cocher tendue, puis cliquez sur Excuter. 15. Cliquez sur Fermer, puis fermez LDP. 16. Ouvrez Utilisateurs et ordinateurs Active Directory et vrifiez que le compte de Fabrice Canel a t restaur dans lUO ITAdmins et que le compte est dsactiv.

Tche 5 : Afficher les informations pour le compte dutilisateur supprim de linstantan mont
1. 2. 3. 4. 5. 6. 7. 8. Cliquez sur Dmarrer, Excuter, tapez LDP, puis cliquez sur OK. Dans le menu Connexion, cliquez sur Connexion. Dans Serveur, tapez localhost et dans Port, tapez 51389, puis cliquez sur OK. Dans le menu Connexion, cliquez sur Lier. Dans Lier, vrifiez que Liaison en tant quutilisateur actuellement connect est slectionne, puis cliquez sur OK. Dans le menu Affichage, cliquez sur Arborescence. Dans BaseDN, tapez dc=woodgrovebank,dc=com, puis cliquez sur OK. Recherchez lUO ITAdmins et double-cliquez sur CN=Fabrice Canel. Affichez les attributs Description, physicalDeliveryOfficeName et Numro de tlphone. Vous pouvez maintenant ajouter ces informations dattributs dans lobjet utilisateur dans Utilisateurs et ordinateurs Active Directory.

L9-122

Module 9 : Implmentation dun plan de maintenance des services de domaine Active Directory

9.

Fermez LDP.exe.

10. Dans linvite de commandes, arrtez Dsamain.exe en appuyant sur Ctrl+C. 11. Fermez linvite de commandes.

Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la zone Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez restaur un compte dutilisateur supprim et affich les proprits de lutilisateur restaur laide de loutil dexploration de base de donnes des services de domaine Active Directory.

Atelier pratique : Rsolution des problmes lis Active Directory, au systme DNS et la rplication

L10-123

Module 10 : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

Atelier pratique : Rsolution des problmes lis Active Directory, au systme DNS et la rplication
Exercice 1 : Rsolution des erreurs lies lauthentification et lautorisation
Tche 1 : Dmarrer les serveurs virtuels
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes, sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch. Ouvrez une session sur NYC-DC1 en tant quAdministrateur avec le mot de passe Pa$$w0rd. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC2, cliquez sur Launch. Sur NYC-DC2, ouvrez une session en tant quAdministrateur, avec le mot de passe Pa$$w0rd. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCCL1, cliquez sur Launch. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4. 5. 6. 7.

Tche 2 : Excuter le fichier Lab10_Prep.bat


1. 2. Sur NYC-DC1, ouvrez lExplorateur Windows et accdez d:\6238\Mod10\Labfiles. Double-cliquez sur Lab10_Prep.bat.

L10-124

Module 10 : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

Tche 3 : Rsoudre les tickets dincident


Ticket dincident n 1 : une utilisatrice appele Sabine Royant rencontre des difficults pour se connecter sur son ordinateur avec le systme dexploitation Windows Vista. Elle tait dtache pour une mission de recherche depuis plusieurs mois et maintenant elle doit accder au rseau pour prparer son rapport pour la direction. Son ordinateur de bureau a t dsactiv pendant son absence. Le problme vous a t signal. 1. Tentez douvrir une session sur NYC-CL1 avec le nom dutilisateur Sabine et le mot de passe Pa$$w0rd. Question : Louverture de session a-t-elle russi ? Rponse : Non. Notez le message derreur suivant : La relation dapprobation entre cette station de travail et le domaine principal a chou. 2. Sur lordinateur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory, puis cliquez sur Ordinateurs. Vrifiez que le compte dordinateur NYC-CL1 existe toujours dans les services de domaine Active Directory. Question : Selon vous, quel peut tre le problme ? Comment allez-vous le rsoudre ? Rponse : Le compte dordinateur pour NYC-CL1 a t rinitialis. Par consquent, vous devez joindre nouveau lordinateur au domaine. 3. 4. 5. 6. 7. 8. Ouvrez une session sur NYC-CL1 avec le nom dutilisateur NYCCL1\AdminLocal et le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Ordinateur, puis cliquez sur Proprits. Dans la fentre Systme, cliquez sur Paramtres systme avancs. Dans la bote de dialogue Contrle de compte dutilisateur, cliquez sur Continuer. Dans longlet Nom de lordinateur, cliquez sur Modifier. Dans la bote de dialogue Modification du nom ou du domaine de lordinateur, cliquez sur Groupe de travail, tapez Groupe de travail dans le champ Groupe de travail, puis cliquez sur OK. Dans la bote de dialogue Modification du nom ou du domaine de lordinateur, tapez Administrateur comme nom dutilisateur et Pa$$w0rd comme mot de passe, puis cliquez sur OK.

9.

Atelier pratique : Rsolution des problmes lis Active Directory, au systme DNS et la rplication

L10-125

10. Dans la bote de dialogue Modification du nom ou du domaine de lordinateur, cliquez deux fois sur OK, puis cliquez sur Fermer. 11. Dans le message Microsoft Windows, cliquez sur Redmarrer ultrieurement. 12. Dans la fentre Systme, cliquez sur Paramtres systme avancs. 13. Dans la bote de dialogue Contrle de compte dutilisateur, cliquez sur Continuer. 14. Dans longlet Nom de lordinateur, cliquez sur Modifier. 15. Dans la bote de dialogue Modification du nom ou du domaine de lordinateur, cliquez sur Domaine, tapez WoodgroveBank.com dans le champ Domaine, puis cliquez sur OK. 16. Dans la bote de dialogue Modification du nom ou du domaine de lordinateur, tapez Administrateur comme nom dutilisateur et Pa$$w0rd comme mot de passe, puis cliquez deux fois sur OK. 17. Dans la bote de dialogue Modification du nom ou du domaine de lordinateur, cliquez deux fois sur OK, puis cliquez sur Fermer. 18. Dans le message Microsoft Windows, cliquez sur Redmarrer maintenant. 19. Une fois lordinateur redmarr, essayez douvrir une session sur NYC-CL1 avec le nom dutilisateur Sabine et le mot de passe Pa$$w0rd. Question : Louverture de session a-t-elle russi ? Rponse : Oui. 20. Fermez la session sur NYC-CL1. Ticket dincident n 2 : un membre du personnel de support appel Karim Manar doit ajouter les nouveaux employs dans lunit dorganisation NYC BranchManagers du domaine Woodgrovebank.com. Karim est membre du groupe global de support. Tous les membres du groupe de support doivent pouvoir grer les comptes dutilisateurs partir des stations de travail clientes laide du Bureau distance. Toutefois, lorsque Karim tente dajouter de nouveaux employs, il choue. Le problme vous a t signal. 1. 2. Ouvrez une session sur NYC-CL1 avec le nom dutilisateur Karim et le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, sur Tous les programmes, sur Accessoires et sur Connexion Bureau distance.

L10-126

Module 10 : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

3.

Dans la zone Connexion Bureau distance, tapez NYC-DC1, puis cliquez sur Se connecter. Question : Avez-vous russi vous connecter lordinateur distant ? Quels sont les messages derreur, le cas chant, que vous avez reus ? Rponse : Non. Le message derreur indique que lordinateur ne peut pas se connecter lordinateur distant. Question : Daprs vous, quelle est la cause du problme ? Rponse : Il est ncessaire de sassurer que le Bureau distance est activ sur NYC-DC1.

4. 5. 6.

Sur lordinateur NYC-DC1, ouvrez le Gestionnaire de serveur. Dans la section Informations sur lordinateur, cliquez sur Configurer le Bureau distance. Dans la bote de dialogue Proprits systme, cliquez sur Nautoriser que la connexion des ordinateurs excutant Bureau distance avec authentification NLA (plus sr). Dans la bote de dialogue Bureau distance, cliquez sur OK. Cliquez sur Slectionnez des utilisateurs. Dans la bote de dialogue Utilisateurs du Bureau distance, cliquez sur Ajouter, tapez Support technique, puis cliquez trois fois sur OK. Sur lordinateur NYC-CL1, dans la bote de dialogue Connexion Bureau distance, cliquez sur Se connecter.

7. 8.

9.

10. Dans la bote de dialogue Scurit Windows, tapez WoodgroveBank\Karim comme nom dutilisateur et Pa$$w0rd comme mot de passe, puis cliquez sur OK. Question : Avez-vous russi ? Quels sont les messages derreur, le cas chant, que vous avez reus ? Rponse : Non. Le message derreur indique que lutilisateur ne dispose pas du droit douverture de session par les services Terminal Server. Question : Comment allez-vous rsoudre ce problme ? Rponse : Vous devez accorder lutilisateur les droits dutilisation des services Terminal Server sur NYC-DC1. 11. Fermez la fentre Bureau distance.

Atelier pratique : Rsolution des problmes lis Active Directory, au systme DNS et la rplication

L10-127

12. Sur NYC-DC1, cliquez sur Dmarrer, sur Outils dadministration, puis sur Gestion des stratgies de groupe. 13. Dveloppez Fort:WoodgroveBank.com, Domaines, WoodgroveBank.com, cliquez sur Objets de stratgie de groupe, cliquez avec le bouton droit sur Stratgie Contrleurs de domaine par dfaut, puis cliquez sur Modifier. 14. Dveloppez successivement Configuration de lordinateur, Stratgies, Paramtres Windows, Paramtres de scurit et Stratgies locales, puis cliquez sur Attribution des droits utilisateur. 15. Double-cliquez sur Proprits de Autoriser louverture de session par les services Terminal Server, activez la case cocher Dfinir ces paramtres de stratgie, puis cliquez sur Ajouter un utilisateur ou un groupe. 16. Tapez Support, puis cliquez deux fois sur OK. 17. Ouvrez une invite de commandes, tapez gpupdate /force, puis appuyez sur Entre. 18. Sur lordinateur NYC-CL1, dans la bote de dialogue Connexion Bureau distance, cliquez sur Se connecter. 19. Dans la bote de dialogue Scurit Windows, tapez WoodgroveBank\Karim comme nom dutilisateur et Pa$$w0rd comme mot de passe, puis cliquez sur OK. Question : Avez-vous russi ? Quels sont les messages derreur, le cas chant, que vous avez reus ? Rponse : Oui. Aucun message derreur ne sest affich. 20. Dans la fentre Bureau distance, ouvrez Utilisateurs et ordinateurs Active Directory. 21. Dans la bote de dialogue Contrle de compte dutilisateur, tapez Pa$$w0rd, puis cliquez sur OK. Question : Quel message derreur obtenez-vous ? Rponse : Le message derreur indique que le type douverture de session demand sur cet ordinateur nest pas accord lutilisateur. Question : Selon vous, pourquoi obtenez-vous ce message derreur ? Rponse : Lutilisateur a besoin du droit douvrir une session de manire interactive pour excuter un outil dadministration via le Bureau distance. 22. Cliquez sur Annuler, puis fermez la session Bureau distance.

L10-128

Module 10 : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

23. Sur NYC-DC1, dans lditeur de gestion des stratgies de groupe, doublecliquez sur le paramtre Permettre louverture dune session locale. 24. Cliquez sur Ajouter un utilisateur ou un groupe, tapez Support, puis cliquez deux fois sur OK. 25. Dans une fentre dinvite de commandes, tapez gpupdate /force, puis appuyez sur Entre. 26. Sur NYC-CL1, ouvrez Connexion Bureau distance, puis cliquez sur Se connecter. 27. Dans la bote de dialogue Scurit Windows, tapez le mot de passe Pa$$w0rd, puis cliquez sur OK. 28. Dans la fentre Bureau distance, ouvrez Utilisateurs et ordinateurs Active Directory. 29. Dans la bote de dialogue Contrle de compte dutilisateur, tapez Pa$$w0rd, puis cliquez sur OK. 30. Dveloppez WoodgroveBank.com, cliquez sur NYC, cliquez sur BranchManagers, puis double-cliquez sur lunit dorganisation BranchManagers. Question : Pouvez-vous ouvrir lunit dorganisation (UO) ? Quels sont les messages derreur, le cas chant, que vous avez reus ? Rponse : Non. Le message derreur indique que lobjet ne peut pas tre affich. Question : Quelles tapes supplmentaires, le cas chant, estimez-vous ncessaires ? Rponse : Karim ou le groupe Support technique ne doit certainement pas disposer des autorisations appropries sur lunit dorganisation BranchManagers. Vous devez les vrifier.

Atelier pratique : Rsolution des problmes lis Active Directory, au systme DNS et la rplication

L10-129

31. Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, dans le menu Affichage, cliquez sur Fonctionnalits avances. 32. Dveloppez NYC, cliquez avec le bouton droit sur BranchManagers, puis cliquez sur Proprits. 33. Sous longlet Scurit, cliquez sur Avanc. 34. Vrifiez les autorisations attribues au groupe Support technique. Vrifiez que le groupe dispose des autorisations permettant de crer et supprimer des comptes dutilisateurs et de groupes. 35. Vrifiez les autorisations attribues Karim. Vrifiez que les autorisations sur lunit dorganisation lui ont t refuses. Cliquez sur lentre qui refuse lautorisation, cliquez sur Supprimer, puis cliquez deux fois sur OK. 36. Sur NYC-CL1, dans la fentre Utilisateurs et ordinateurs Active Directory, cliquez sur Actualiser. Vrifiez que Karim a dsormais accs lunit dorganisation BranchManagers. 37. Essayez de crer un utilisateur test dans lunit dorganisation Branch Managers. Question : Avez-vous russi ? Rponse : Oui. 38. Sur NYC-CL1, fermez la session Bureau distance, puis dconnectez-vous de NYC-CL1.
Rsultat : au terme de cet exercice, vous aurez rsolu deux tickets dincident portant sur des problmes dauthentification et dautorisation.

L10-130

Module 10 : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

Exercice 2 : Rsolution des problmes lis lintgration du systme DNS et des services de domaine Active Directory
Tche 1 : Rsoudre un ticket dincident
Ticket dincident n 3 : certains utilisateurs de WoodgroveBank.com se plaignent de problmes pour accder aux ressources rseau. Le support a dj tabli que tous les ordinateurs clients qui prsentent le problme utilisent NYC-DC2 comme serveur DNS prfr. Vous allez utiliser NYC-CL1 pour tester toutes les solutions et vous assurer que les utilisateurs peuvent ouvrir une session sur le domaine en utilisant NYC-DC1 et NYC-DC2 comme serveurs DNS principaux. Question : Quel peut tre le problme ? Rponse : DNS n'est sans doute pas correctement configur. 1. 2. 3. 4. 5. Ouvrez une session sur NYC-CL1 en tant que Woodgrovebank\Administrateur avec le mot de passe Pa$$w0rd. Ouvrez linvite de commandes, tapez NSLookup, puis appuyez sur Entre. Tapez server 10.10.0.10, puis appuyez sur Entre. Tapez Set type=SOA, puis appuyez sur Entre. Tapez WoodgroveBank.com, puis appuyez sur Entre. Vrifiez que lenregistrement SOA existe et quil fait rfrence NYCDC1.WoodgroveBank.com. Tapez set type=SRV, puis appuyez sur Entre. Tapez _ldap._tcp.woodgrovebank.com, puis appuyez sur Entre. Vrifiez que les enregistrements SRV pour NYC-DC1 et NYC-DC2 sont rpertoris. Tapez _gc._tcp.woodgrovebank.com, puis appuyez sur Entre. Vrifiez que les enregistrements SRV pour NYC-DC1 et NYC-DC2 sont rpertoris. Tapez server 10.10.0.11, puis appuyez sur Entre.

6. 7. 8. 9.

10. Tapez Set type=SOA, puis appuyez sur Entre.

Atelier pratique : Rsolution des problmes lis Active Directory, au systme DNS et la rplication

L10-131

11. Tapez WoodgroveBank.com, puis appuyez sur Entre. Vrifiez quaucun rsultat nest renvoy. Question : Quelle est la procdure pour rsoudre ce problme ? Rponse : Sassurer de la prsence de la connectivit de base entre les deux contrleurs de domaine. Sur NYC-DC1, vrifiez que le service DNS est en cours dexcution, et dterminez si la zone sest rplique. Dterminez quels sont les types de zones en cours dexcution sur les deux serveurs DNS. Assurez-vous que NYC-DC1 autorise les transferts de zone vers NYC-DC2, et que le transfert de la zone seffectue correctement. 12. Sur NYC-DC2, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Services. 13. Dans la console Services, vrifiez que le service DNS est Dmarr. 14. Dmarrez la console de gestion DNS dans Outils dadministration. 15. Dveloppez Zones de recherche directes, puis cliquez sur WoodgroveBank.com. Question : Quel message derreur obtenez-vous ? Rponse : Zone non charge par le serveur DNS. 16. Dveloppez NYC-DC2 et Zones de recherche directes, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Proprits. Question : De quel type est la zone WoodgroveBank.com ? Vrifiez les paramtres de zone. Rponse : WoodgroveBank.com est une zone secondaire, configure pour utiliser 10.10.0.10 comme serveur matre. 17. Sur NYC-DC1, dmarrez la console de gestion DNS dans Outils dadministration. 18. Dveloppez NYC-DC1 et Zones de recherche directes, cliquez avec le bouton droit sur WoodgroveBank.com aprs lavoir slectionn, puis cliquez sur Proprits. Question : De quel type est la zone WoodgroveBank.com ? Rponse : WoodgroveBank.com est une zone principale. 19. Dans longlet Transferts de zone, activez la case cocher Autoriser les transferts de zone. 20. Cliquez sur Vers nimporte quel serveur, puis cliquez sur OK.

L10-132

Module 10 : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

21. Rptez les tapes prcdentes pour activer les zones de transfert de la zone _msdcs.woodgrovebank.com. 22. Sur NYC-DC2, dans le Gestionnaire DNS, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Rechargement partir du matre. Appuyez sur F5 pour vrifier si les informations de zone ont t transfres.

Remarque : si la zone nest pas transfre immdiatement, patientez une minute, puis appuyez de nouveau sur F5.

23. Cliquez avec le bouton droit sur _msdcs.Woodgrovebank.com aprs lavoir slectionn, puis cliquez sur Rechargement partir du matre. Appuyez sur F5 pour vrifier si les informations de zone ont t transfres. 24. Sur NYC-CL1, dans la fentre dinvite de commandes, tapez WoodgroveBank.com, puis appuyez sur Entre. Vrifiez que lenregistrement SOA existe et quil fait rfrence NYC-DC1.WoodgroveBank.com. 25. Tapez set type=SRV, puis appuyez sur Entre. 26. Tapez _ldap._tcp.woodgrovebank.com, puis appuyez sur Entre. Vrifiez que les enregistrements SRV pour NYC-DC1 et NYC-DC2 sont rpertoris. 27. Tapez _gc._tcp.woodgrovebank.com, puis appuyez sur Entre. Vrifiez que les enregistrements SRV pour NYC-DC1 et NYC-DC2 sont rpertoris. Question : Quel tait le problme et comment lavez-vous rsolu ? Rponse : NYC-DC1 nautorisait pas les transferts de zone. NYC-DC2 ne possdait pas de copie de la zone. La correction de tous ces problmes a permis NYC-DC2 de demander une copie de la zone.
Rsultat : au terme de cet exercice, vous aurez rsolu un ticket dincident portant sur des problmes lis lintgration du systme DNS et aux services de domaine Active Directory.

Atelier pratique : Rsolution des problmes lis Active Directory, au systme DNS et la rplication

L10-133

Exercice 3 : Rsolution des problmes lis la rplication des services de domaine Active Directory
Tche 1 : Rsoudre les tickets dincident
Ticket dincident n 4 : le support est charg de crer des comptes dutilisateurs pour les nouveaux employs. Comme les nouveaux employs vont se dplacer entre les succursales, il est essentiel quils puissent ouvrir une session partir de nimporte quel emplacement. Le support a remarqu que la rplication entre NYCDC1 et NYC-DC2 ne fonctionne pas. Lorsquun membre de lquipe cre un compte dutilisateur sur le contrleur de domaine NYC-DC1, le compte dutilisateur ne saffiche pas sur le contrleur de domaine NYC-DC2. Le problme vous a t signal. 1. 2. 3. 4. 5. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory dans Outils dadministration. Dans lunit dorganisation NYC, cliquez sur Branch Managers. Vrifiez que le compte dutilisateur test que vous avez cr dans lexercice 1 est affich. Sur NYC-DC2, ouvrez Utilisateurs et ordinateurs Active Directory dans Outils dadministration. Dans lunit dorganisation NYC, cliquez sur Branch Managers. Vrifiez que le compte dutilisateur test que vous avez cr dans lexercice 1 nest pas affich. Sur NYC-DC2, ouvrez Sites et services Active Directory dans Outils dadministration. Dveloppez successivement Sites, Premier-site-par dfaut, Serveurs et NYC-DC2, puis cliquez sur Paramtres NTDS. Cliquez avec le bouton droit sur lobjet de connexion avec NYC-DC1, puis cliquez sur Rpliquer maintenant. Question : La rplication a-t-elle abouti et, si ce nest pas le cas, quel message derreur avez-vous reu ? Rponse : La rplication a chou. Le message derreur signalait que le serveur RPC nest pas disponible.

6.

L10-134

Module 10 : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

Question : Selon vous, quel peut tre le problme ? Rponse : Il est possible quil y ait un problme rseau entre les deux contrleurs de domaine, notamment avec les rgles de pare-feu. Les enregistrements DNS de lun des contrleurs de domaine sont peut-tre manquants. Il est possible que les services de domaine Active Directory ne soient pas en cours dexcution sur lun ou sur les deux contrleurs de domaine. 7. 8. 9. Sur NYC-DC2, ouvrez une invite de commandes. Tapez repadmin / replsummary, puis appuyez sur Entre. Examinez le rsum de la rplication. Dans linvite de commandes, tapez ping NYC-DC1, puis appuyez sur Entre. Question : La commande Ping a-t-elle russi ? Rponse : Oui. 10. Dans linvite de commandes, tapez ping NYC-DC2, puis appuyez sur Entre. Question : La commande Ping a-t-elle russi ? Rponse : Oui, mais la commande Ping a utilis ladresse IPv6. 11. Dans linvite de commandes, tapez NSLookup, puis appuyez sur Entre. 12. Tapez server 10.10.0.10, puis appuyez sur Entre. 13. Tapez NYC-DC2.Woodgrovebank.com, puis appuyez sur Entre. Vrifiez que ladresse de NYC-DC2 qui est affiche est la suivante : 10.11.0.11. Tapez Exit et appuyez sur Entre. 14. Sur NYC-DC1, ouvrez le Gestionnaire DNS, puis supprimez lenregistrement pour NYC-DC2 dans le domaine WoodgroveBank.com. 15. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Proprits. 16. Dans le champ Mises jour dynamiques, cliquez sur Scurises et non scurises, puis sur OK. 17. Sur NYC-DC2, dans linvite de commandes, tapez Ipconfig /registerdns, puis appuyez sur Entre. 18. Tapez net stop netlogon & net start netlogon, puis appuyez sur Entre. 19. Sur NYC-DC1, dans le Gestionnaire DNS, actualisez laffichage, puis vrifiez que lenregistrement NYC-DC2 a t ajout avec une adresse IP de 10.10.0.11.

Atelier pratique : Rsolution des problmes lis Active Directory, au systme DNS et la rplication

L10-135

20. Sur NYC-DC1, dans linvite de commandes, tapez dnscmd /clearcache, puis appuyez sur Entre. 21. Dans linvite de commandes, tapez IPConfig /flushdns, puis appuyez sur Entre. 22. Ouvrez le composant Sites et services Active Directory. Dveloppez Sites, Premier-Site-par-dfaut, Serveurs, NYC-DC2, puis cliquez sur Paramtres NTDS. 23. Cliquez avec le bouton droit sur lobjet de connexion avec NYC-DC1, puis cliquez sur Rpliquer maintenant. Question : La rplication a-t-elle russi ? Quel message derreur avez-vous reu ? Rponse : Oui, la rplication a russi. Non, aucun message derreur ne sest affich. 24. Sur NYC-DC2, dans Utilisateurs et ordinateurs Active Directory, sous NYC, dans lunit dorganisation Branch Managers, vrifiez que le compte dutilisateur test que vous avez cr dans lexercice 1 saffiche correctement. Ticket dincident n 5 : le support a remarqu que lorsque certains utilisateurs de la succursale de New York du domaine Woodgrovebank.com ouvrent une session, ils nobtiennent pas automatiquement les mappages de lecteur attendus. Tous les utilisateurs doivent obtenir un mappage de lecteur qui mappe le lecteur H: vers \\NYC-DC1\data. Le support a confirm que lobjet Stratgie de groupe est configur correctement. Le script douverture de session est appel MapDataDir.bat et doit se trouver dans le partage Netlogon. Question : Selon vous, quel peut tre le problme ? Rponse : Si la stratgie est bien configure, il est possible que la stratgie ou le script nait pas t rpliqu correctement entre les contrleurs de domaine. Puisque la rplication fonctionne bien entre NYC-DC1 et NYC-DC2, vous devez vrifier que le script douverture de session a t rpliqu entre les contrleurs de domaine.

L10-136

Module 10 : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

Question : Quelle procdure allez-vous suivre pour rsoudre le problme ? Rponse : Vrifiez les partages Netlogon sur NYC-DC1 et sur NYC-DC2 pour vous assurer que le fichier MapDataDir.bat se trouve aux deux emplacements. Dans la ngative, il vous faudra dterminer la raison de lchec de la rplication. Commencez par vous assurer que les services FRS et DFSR sont en cours dexcution sur les deux contrleurs de domaine dans lapplet Services du Panneau de configuration. Si cest le cas, il vous faut rsoudre les problmes rseau entre les deux contrleurs de domaine. 1. Sur NYC-DC1, ouvrez lExplorateur Windows, puis accdez C:\Windows\SYSVOL\sysvol\WoodgroveBank.com\Scripts. Vrifiez que le fichier MapDataDir.bat se trouve dans le dossier. Cliquez sur Dmarrer, sur Rechercher, puis dans la zone de recherche, tapez \\NYC-DC2\Netlogon et appuyez sur Entre. Question : Le dossier contient-il le fichier MapDataDir.bat ? Rponse : Non. 3. Ouvrez une invite de commandes, tapez ntfrsutl forcerepl nyc-dc2 /p NYCDC1.woodgrovebank.com, puis appuyez sur Entre. Question : La rplication a-t-elle russi ? Dans la ngative, quel message derreur avez-vous obtenu ? Rponse : Non, la rplication a chou. Le message derreur indique que laccs est refus. 4. Sur NYC-DC1, ouvrez la console Services dans Outils dadministration. Question : Le service de rplication de fichiers et le service de rplication DFS sont-ils en cours dexcution ? Dmarrez les services, si ncessaire, et configurez-les pour quils dmarrent automatiquement. Rponse : Oui, les services sexcutent et sont configurs pour dmarrer automatiquement. 5. Sur NYC-DC2, ouvrez la console Services dans Outils dadministration. Question : Le service de rplication de fichiers et le service de rplication DFS sont-ils en cours dexcution ? Dmarrez les services, si ncessaire, et configurez-les pour quils dmarrent automatiquement. Rponse : Non, les services doivent tre dmarrs. Ltat de dmarrage des services tant dsactiv, les services doivent tre dfinis pour dmarrer tout dabord automatiquement, puis pour tre ensuite dmarrs.

2.

Atelier pratique : Rsolution des problmes lis Active Directory, au systme DNS et la rplication

L10-137

6.

Sur NYC-DC2, dans linvite de commandes, tapez ntfrsutl forcerepl nyc-dc2 /p NYC-DC1.woodgrovebank.com, puis appuyez sur Entre. Question : La rplication a-t-elle russi ? Dans la ngative, quel message derreur avez-vous obtenu ? Rponse : Oui, la rplication a russi et aucun message derreur na t reu.

7.

Cliquez sur Dmarrer, puis dans la zone de recherche, tapez \\NYCDC2\Netlogon et appuyez sur Entre. Question : Le dossier contient-il le fichier MapDataDir.bat ? Rponse : Non, le fichier nest pas dans le dossier.

8. 9.

Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Pare-feu Windows avec scurit avance. Cliquez sur Rgles dentre, cliquez avec le bouton droit sur Rplication de fichiers (RPC), puis cliquez sur Activer la rgle.

10. Cliquez avec le bouton droit sur Rplication de fichiers (RPC-EPMAP), puis cliquez sur Activer la rgle. 11. Dans l'invite de commandes, tapez ntfrsutl forcerepl nyc-dc2 /p NYCDC1.woodgrovebank.com, puis appuyez sur Entre. Question : La rplication a-t-elle russi ? Dans la ngative, quel message derreur avez-vous obtenu ? Rponse : Oui, la rplication a russi et aucun message derreur na t reu. 12. Cliquez sur Dmarrer, sur Rechercher, puis dans la zone de recherche, tapez \\NYC-DC2\Netlogon et appuyez sur Entre. Question : Le dossier contient-il le fichier MapDataDir.bat ? Rponse : Oui, le fichier est dans le dossier.

Remarque : si le fichier ne figure pas dans le dossier, patientez une minute avant dactualiser laffichage. Sil ne figure toujours pas, redmarrez le service de rplication de fichiers sur NYC-DC2.

L10-138

Module 10 : Rsolution des problmes lis aux services de domaine Active Directory (AD DS), au systme DNS et la rplication

Question : Quel tait le problme et comment lavez-vous rsolu ? Rponse : Le service de rplication de fichiers et le service de rplication DFS sur NYC-DC2 taient arrts. Le Pare-feu Windows sur NYC-DC1 bloquait galement le trafic de rplication des fichiers.

Tche 2 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulations
1. 2. 3. Fermez la fentre de contrle distance de chaque ordinateur virtuel en cours dexcution. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.
Rsultat : au terme de cet exercice, vous aurez rsolu un ticket dincident portant sur des problmes lis la rplication des services Active Directory.

Atelier pratique : Rsolution des problmes de stratgie de groupe

L11-139

Module 11 : Rsolution des problmes de stratgie de groupe

Atelier pratique : Rsolution des problmes de stratgie de groupe


Exercice 1 : Rsolution des problmes lis aux scripts de stratgie de groupe
Tche 1 : Dmarrer lordinateur virtuel 6238A-NYC-DC1 et ouvrir une session en tant quAdministrateur
1. 2. Ouvrez Virtual Server Remote Control Client et double-cliquez sur 6238ANYC-DC1. Ouvrez une session sur NYC-DC1 en tant quAdministrateur avec le mot de passe Pa$$w0rd.

Tche 2 : Crer et lier une stratgie de Bureau au niveau du domaine


1. 2. Cliquez sur Dmarrer, Outils d'administration, puis sur Gestion des stratgies de groupe. Dans la console GPMC, dveloppez successivement Fort : WoodgroveBank.com et Domaines, cliquez avec le bouton droit sur le domaine WoodgroveBank.com, puis cliquez sur Crer un objet GPO dans ce domaine, et le lier ici. Nommez le nouveau dossier Bureau, puis cliquez sur OK. Cliquez avec le bouton droit sur la stratgie Bureau, puis cliquez sur Modifier. Dveloppez successivement Configuration ordinateur, Stratgies, Modles dadministration et Systme, puis cliquez sur Ouverture de session. Dans le volet dinformations, double-cliquez sur Toujours attendre le rseau lors du dmarrage de lordinateur et de louverture de session, cliquez sur Activ, puis sur OK. Dans le volet gauche, dveloppez successivement Rseau, Connexions rseau et Pare-feu Windows, puis cliquez sur Profil du domaine. Dans le volet dinformations, double-cliquez sur Pare-feu Windows : autoriser lexception dadministration distance entrante.

3. 4.

5.

L11-140

Module 11 : Rsolution des problmes de stratgie de groupe

6.

Dans la bote de dialogue Pare-feu Windows : autoriser lexception dadministration distance entrante, cliquez sur Activ, tapez localsubnet, puis cliquez sur OK. Dveloppez successivement Configuration utilisateur, Stratgies, Paramtres Windows et Internet Explorer Maintenance, puis cliquez sur URL. Dans le volet dinformations, double-cliquez sur Adresses URL importantes. Dans la bote de dialogue URL principales, activez la case cocher Personnaliser lURL de la page de dmarrage, tapez http://WoodgroveBank.com., puis cliquez sur OK. Dveloppez Modles dadministration, cliquez sur Menu Dmarrer et barre des tches, double-cliquez sur Forcer le menu Dmarrer classique, cliquez sur Activ, puis sur OK.

7.

8.

9.

10. Fermez lditeur de gestion des stratgies de groupe.

Tche 3 : Restaurer lobjet de stratgie de groupe Lab11A


1. Dans la Console de gestion des stratgies de groupe (GPMC), dveloppez WoodgroveBank.com, cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe (GPO), puis cliquez sur Grer les sauvegardes. Dans la bote de dialogue Grer les sauvegardes, tapez D:\6238\GPOBackup dans le champ Emplacement de sauvegarde. Slectionnez lobjet de stratgie de groupe Lab 11A, cliquez sur Restaurer, puis cliquez deux fois sur OK. Fermez la bote de dialogue Grer les sauvegardes.

2. 3. 4.

Tche 4 : Lier lobjet de stratgie de groupe Lab11A au domaine


1. Dans la console GPMC, cliquez avec le bouton droit sur le domaine WoodgroveBank.com, puis cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue Slectionner un objet GPO, slectionnez lobjet de stratgie de groupe Lab 11A et cliquez sur OK.

2.

Atelier pratique : Rsolution des problmes de stratgie de groupe

L11-141

Tche 5 : Dmarrer NYC-CL1 et ouvrir une session en tant quAdministrateur


Dmarrez NYC-CL1 et ouvrez une session en tant que WoodgroveBank\ Administrateur avec le mot de passe Pa$$w0rd.

Tche 6 : Tester lobjet de stratgie de groupe


1. Sur NYC-CL1, fermez la session, puis ouvrez une nouvelle session en tant quAdministrateur.

Remarque : deux ouvertures de session sont ncessaires pour afficher les paramtres de stratgie de groupe car ladministrateur ouvre une session laide des informations didentification mises en cache.

2. 3.

Cliquez sur le menu Dmarrer et vrifiez que le menu Dmarrer classique est visible. Double-cliquez sur Internet Explorer et cliquez sur le X rouge pour arrter la tentative de connexion la page de dmarrage par dfaut. Cliquez sur le symbole Dmarrage dans la barre doutils et vrifiez que http://WoodgroveBank.com est la page daccueil.

Conseil : regardez la barre dtat tout en bas.

4. 5. 6. 7. 8.

Fermez Internet Explorer. Double-cliquez sur Ordinateur sur le Bureau, vrifiez quun lecteur est mapp sur le dossier partag Donnes, puis fermez la session. Ouvrez une session sur NYC-CL1 en tant que Loig avec le mot de passe Pa$$w0rd. Fermez lAccueil Windows. Cliquez sur le menu Dmarrer et vrifiez que Loig voit le menu Dmarrer classique.

L11-142

Module 11 : Rsolution des problmes de stratgie de groupe

9.

Sur le Bureau, double-cliquez sur Internet Explorer, puis cliquez sur licne Dmarrage de la barre doutils pour vrifier que http://WoodgroveBank.com est la page daccueil.

10. Fermez Internet Explorer. 11. Sur le Bureau, double-cliquez sur Ordinateur et recherchez le lecteur mapp sur le dossier partag Donnes. 12. Fermez la session sur NYC-CL1.

Tche 7 : Rsoudre les problmes lis lobjet de stratgie de groupe


1. 2. Revenez NYC-DC1. Dans la console GPMC, cliquez avec le bouton droit sur Rsultats de la stratgie de groupe, puis cliquez sur Assistant Rsultats de la stratgie de groupe. Dans l'Assistant Rsultats de la stratgie de groupe, cliquez sur suivant. Dans la page Slection de lordinateur, cliquez sur Autre ordinateur, tapez NYC-CL1 dans le champ et cliquez sur Suivant. Dans lcran Slection de lutilisateur, slectionnez WoodgroveBank\Loig, puis cliquez sur Suivant. Dans lcran Aperu des slections, cliquez sur Suivant, puis sur Terminer. Dans la bote de dialogue Internet Explorer, cliquez sur Ajouter, sur Ajouter une seconde fois, puis sur Fermer. Dans la section Rsum de la configuration utilisateur, cliquez sur Objets de stratgie de groupe, puis sur Objets de stratgie de groupe appliqus. Cliquez sur longlet Paramtres.

3. 4. 5. 6. 7. 8. 9.

10. Dveloppez Paramtres Windows, Scripts et Ouverture de session. 11. Basculez vers NYC-CL1 et ouvrez une session en tant que Loig. 12. Testez lautorisation de Loig sur lemplacement des scripts : ouvrez une commande Excuter, tapez \\nan-cd1\scripts et appuyez sur Entre. 13. Cliquez sur OK pour fermer la bote de dialogue derreur.

Atelier pratique : Rsolution des problmes de stratgie de groupe

L11-143

14. Fermez la session en tant que Loig.

Remarque : si vous disposez de suffisamment de temps, vous pouvez afficher le journal oprationnel de stratgie de groupe en tant quAdministrateur sur NYC-CL1. Si vous filtrez laffichage pour afficher les vnements que gnre Loig, vous devez constater que le journal ne dtecte pas les erreurs ou les avertissements pour cet utilisateur. Cela est d au fait que lobjet de stratgie de groupe dfinit uniquement une valeur de Registre qui spcifie lemplacement du dossier des scripts. La stratgie de groupe ne sait pas si lutilisateur a accs lemplacement. Lcriture dans le Registre a t effectue avec succs. Par consquent, le journal de stratgie de groupe ne voit pas derreurs. Pour dterminer les problmes daccs, vous devez auditer Accs lobjet pour le dossier des scripts.

Tche 8 : Rsoudre le problme et tester la rsolution


1. 2. 3. 4. 5. 6. 7. Basculez vers NYC-DC1, cliquez sur Dmarrer, puis sur Ordinateur. Accdez au dossier D:\6238\scripts et cliquez dessus avec le bouton droit, puis cliquez sur Partager. Dans la bote de dialogue Partage de fichiers, cliquez sur Modification des paramtres systme. Dans le champ Entrez les noms des objets slectionner, tapez Utilisateurs authentifis, cliquez sur Ajouter, sur Partage, puis sur Termin. Basculez vers NYC-CL1 et ouvrez une session en tant que Loig. Sur le Bureau, double-cliquez sur Ordinateur. Vrifiez que le mappage de lecteur existe. Fermez la session.

Remarque : une autre mthode de rsolution du problme consisterait dplacer le script vers le partage Netlogon.

L11-144

Module 11 : Rsolution des problmes de stratgie de groupe

Rsultat : au terme de cet exercice, vous aurez rsolu un problme de scripts de stratgie de groupe.

Exercice 2 : Rsolution des problmes lis lobjet de stratgie de groupe Lab11B


Tche 1 : Restaurer lobjet de stratgie de groupe Lab11B
1. 2. 3. 4. Sur NYC-DC1, dans la console GPMC, cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe et cliquez sur Grer les sauvegardes. Dans la bote de dialogue Grer les sauvegardes, dans le champ Emplacement de sauvegarde, tapez D:\6238\GPOBackup. Slectionnez lobjet de stratgie de groupe Lab 11B, cliquez sur Restaurer, puis cliquez deux fois sur OK. Fermez la bote de dialogue Grer les sauvegardes.

Tche 2 : Lier lobjet de stratgie de groupe Lab11B lunit dorganisation Miami


1. 2. Dans la console GPMC, cliquez avec le bouton droit sur lunit dorganisation Miami et cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue Slectionner un objet GPO, slectionnez lobjet de stratgie de groupe Lab 11B et cliquez sur OK.

Tche 3 : Tester lobjet de stratgie de groupe


1. 2. 3. 4. Ouvrez une session sur NYC-CL1 en tant que Etienne avec le mot de passe Pa$$w0rd. Vrifiez que les paramtres de lobjet de stratgie de groupe Bureau sont appliqus. Assurez-vous que licne du Panneau de configuration napparat pas sur le Bureau ni dans le menu Dmarrer. Fermez la session.

Atelier pratique : Rsolution des problmes de stratgie de groupe

L11-145

5. 6.

Ouvrez une session sur NYC-CL1 en tant que Loig. Licne du Panneau de configuration apparat-elle sur le Bureau ? Fermez la session.

Tche 4 : Rsoudre les problmes lis lobjet de stratgie de groupe


1. 2. Revenez NYC-DC1. Dans la console GPMC, cliquez avec le bouton droit sur Rsultats de la stratgie de groupe, puis cliquez sur Assistant Rsultats de la stratgie de groupe. Dans l'Assistant Rsultats de la stratgie de groupe, cliquez sur suivant. Dans lcran Slection de lordinateur, cliquez sur Autre ordinateur, tapez NYC-CL1 dans le champ Nom et cliquez sur Suivant. Dans lcran Slection de lutilisateur, slectionnez WoodgroveBank\ Etienne P., puis cliquez sur Suivant. Dans lcran Aperu des slections, cliquez sur Suivant, puis sur Terminer. Dans la section Rsum de la configuration utilisateur, cliquez sur Objets de stratgie de groupe, puis sur Objets de stratgie de groupe appliqus. Cliquez sur longlet Paramtres, dveloppez Paramtres Windows, puis Panneau de configuration. Cliquez avec le bouton droit sur Rsultats de la stratgie de groupe, envoyez une requte Loig sur NYC-CL1 dans le volet de gauche et cliquez sur Relancer la requte.

3. 4. 5. 6. 7. 8. 9.

10. Dans la section Rsum de la configuration utilisateur, cliquez sur Objets de stratgie de groupe, puis sur Objets de stratgie de groupe appliqus. 11. Cliquez sur Objets de stratgie de groupe refuss.

Tche 5 : Rsoudre le problme et tester la rsolution


1. Dans la console GPMC, dveloppez le dossier Objets Stratgie de groupe, cliquez sur lobjet de stratgie de groupe Lab 11B, cliquez sur longlet Dlgation puis sur Avance. Dans longlet Scurit, cliquez sur Miami_BranchManagersGG.

2.

L11-146

Module 11 : Rsolution des problmes de stratgie de groupe

3. 4.

Cliquez sur Supprimer pour supprimer Miami_BranchManagersGG de la liste dautorisations, puis cliquez sur OK. Basculez vers NYC-CL1 et rouvrez une session en tant que Loig.
Rsultat : au terme de cet exercice, vous aurez rsolu un problme dobjets de stratgie de groupe.

Atelier pratique : Rsolution des problmes de stratgie de groupe

L11-147

Exercice 3 : Rsolution des problmes lis lobjet de stratgie de groupe Lab11C.Tche 1 : Restaurer lobjet de stratgie de groupe Lab11C
1. 2. 3. 4. Sur NYC-DC1, dans la console GPMC, cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe et cliquez sur Grer les sauvegardes. Dans la bote de dialogue Grer les sauvegardes, tapez D:\6238\GPOBackup dans le champ Emplacement de sauvegarde. Slectionnez lobjet de stratgie de groupe Lab 11C, cliquez sur Restaurer, puis cliquez deux fois sur OK. Fermez la bote de dialogue Grer les sauvegardes.

Tche 2 : Lier lobjet de stratgie de groupe Lab11C lunit dorganisation Miami


1. 2. Dans la console GPMC, cliquez avec le bouton droit sur lunit dorganisation Miami et cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue Slectionner un objet GPO, slectionnez lobjet stratgie de groupe Lab 11C et cliquez sur OK.

Tche 3 : Tester lobjet de stratgie de groupe


1. 2. Ouvrez une session sur NYC-CL1 en tant que Loig. La commande Excuter apparat dans le menu Dmarrer. Elle ne doit pas apparatre l. Fermez la session.

Tche 4 : Rsoudre les problmes lis lobjet de stratgie de groupe


1. 2. Basculez vers NYC-DC1. Dans la console GPMC, cliquez avec le bouton droit sur Rsultats de la stratgie de groupe, envoyez une requte Loig sur NYC-CL1 dans le volet de gauche et cliquez sur Relancer la requte. Dans la section Rsum de la configuration utilisateur, cliquez sur Objets de stratgie de groupe, puis sur Objets de stratgie de groupe appliqus.

3.

L11-148

Module 11 : Rsolution des problmes de stratgie de groupe

4. 5.

Cliquez sur longlet Paramtres. Dans la section Configuration utilisateur, dveloppez Modles dadministration et cliquez sur Menu Dmarrer et barre des tches.

Tche 5 : Rsoudre le problme et tester la rsolution


1. 2. 3. 4. 5. 6. 7. Dveloppez le dossier Objets de stratgie de groupe, cliquez avec le bouton droit sur lobjet de stratgie de groupe Lab 11C et cliquez sur Modifier. Dans la section Configuration utilisateur, dveloppez Stratgies et Modles dadministration, puis cliquez sur Menu Dmarrer et barre des tches. Double-cliquez sur le paramtre Ajouter la commande Excuter au menu Dmarrer, cliquez sur Non configur, puis sur OK. Recherchez Supprimer le menu Excuter du menu Dmarrer et doublecliquez dessus, cliquez sur Activ, puis sur OK. Fermez lditeur dobjets de stratgie de groupe. Ouvrez une session sur NYC-CL1 en tant que Loig. La commande Excuter apparat dans le menu Dmarrer. Elle ne doit pas apparatre l. Ne fermez pas la session.
Rsultat : au terme de cet exercice, vous aurez rsolu un problme dobjets de stratgie de groupe.

Atelier pratique : Rsolution des problmes de stratgie de groupe

L11-149

Exercice 4 : Rsolution des problmes lis lobjet de stratgie de groupe Lab11D


Tche 1 : Crer une unit dorganisation appele Loopback
1. Ouvrez Utilisateurs et ordinateurs Active Directory dans Outils dadministration, cliquez avec le bouton droit sur le domaine WoodgroveBank, puis cliquez sur Nouveau et sur Unit dorganisation. Dans la bote de dialogue Nouvel objet, tapez Loopback dans le champ Nom, puis cliquez sur OK.

2.

Tche 2 : Restaurer lobjet de stratgie de groupe Lab11D


1. 2. 3. 4. Sur NYC-DC1, dans la console GPMC, cliquez avec le bouton droit sur le dossier Objets de stratgie de groupe et cliquez sur Grer les sauvegardes. Dans la bote de dialogue Grer les sauvegardes, dans le champ Emplacement de sauvegarde, tapez D:\6238\GPOBackup. Slectionnez lobjet de stratgie de groupe Lab 11D, cliquez sur Restaurer, puis cliquez deux fois sur OK. Fermez la bote de dialogue Grer les sauvegardes.

Tche 3 : Lier lobjet de stratgie de groupe Lab11D lunit dorganisation Loopback


1. Dans la console GPMC, dans le menu Action, cliquez sur Actualiser, cliquez avec le bouton droit sur lunit dorganisation Loopback, puis cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue Slectionner un objet GPO, slectionnez lobjet de stratgie de groupe Lab 11D et cliquez sur OK.

2.

L11-150

Module 11 : Rsolution des problmes de stratgie de groupe

Tche 4 : Dplacer lordinateur virtuel NYC-CL1 vers lunit dorganisation Loopback


1. 2. 3. 4. Revenez dans Utilisateurs et ordinateurs Active Directory. Dveloppez le domaine WoodgroveBank.com, puis cliquez sur le conteneur Ordinateurs. Cliquez avec le bouton droit sur le compte dordinateur NYC-CL1, puis cliquez sur Dplacer. Slectionnez lunit dorganisation Loopback, puis cliquez sur OK.

Tche 5 : Tester lobjet de stratgie de groupe


1. 2. 3. 4. 5. Basculez vers NYC-CL1 et redmarrez lordinateur. Ouvrez une session en tant que WoodgroveBank\Loig avec le mot de passe Pa$$w0rd. Fermez lAccueil Windows. Cliquez sur Dmarrer. Loig a dsormais accs la commande Excuter et licne du Panneau de configuration apparat sur le Bureau. Double-cliquez sur Internet Explorer. Internet Explorer ne se lance pas.

Tche 6 : Rsoudre les problmes lis lobjet de stratgie de groupe


1. 2. Revenez NYC-DC1. Dans la console GPMC, cliquez avec le bouton droit sur Rsultats de la stratgie de groupe, puis cliquez sur Assistant Rsultats de la stratgie de groupe. Dans l'Assistant Rsultats de la stratgie de groupe, cliquez sur suivant. Dans lcran Slection de lordinateur, cliquez sur Autre ordinateur, tapez NYC-CL1 dans le champ et cliquez sur Suivant. Dans lcran Slection de lutilisateur, slectionnez WoodgroveBank\Loig, puis cliquez sur Suivant.

3. 4. 5.

Atelier pratique : Rsolution des problmes de stratgie de groupe

L11-151

6. 7. 8.

Dans lcran Aperu des slections, cliquez sur Suivant, puis sur Terminer. Dans la section Rsum de la configuration ordinateur, cliquez sur Objets de stratgie de groupe, puis sur Objets de stratgie de groupe appliqus. Dans longlet Paramtres, dans la section Configuration de lordinateur, cliquez sur Modles dadministration, puis sur Systme/Stratgie de groupe.

Tche 7 : Rsoudre le problme et tester la rsolution


1. Dans la console GPMC, cliquez sur lunit dorganisation Loopback, puis dsactivez le lien vers lobjet de stratgie de groupe Lab 11D en cliquant avec le bouton droit sur ce mme objet, puis en cliquant sur Lien activ pour dsactiver la case cocher. Redmarrez lordinateur NYC-CL1 et ouvrez une session en tant que Loig. Les restrictions sur la commande Excuter et licne du Panneau de configuration sont leves et Internet Explorer se lance prsent correctement.

2.

Atelier pratique A : Dploiement des services de domaine Active Directory

L12-153

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

Atelier pratique A : Dploiement des services de domaine Active Directory


Remarque : certaines des tches de cet atelier pratique sont conues pour illustrer les techniques de dploiement et de gestion Active Directory ; elles ne respectent pas toujours les meilleures pratiques.

Exercice 1 : Installation dun contrleur de domaine en lecture seule sur un serveur Core
Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session
1. Sur votre ordinateur hte, cliquez sur Dmarrer, pointez sur Tous les programmes et sur Microsoft Learning, puis cliquez sur 6238A. Lutilitaire de lancement de latelier pratique dmarre. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC2, cliquez sur Launch. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCSVR2, cliquez sur Launch. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCRAS, cliquez sur Launch. Ouvrez une session sur tous les ordinateurs en tant quAdministrateur avec le mot de passe Pa$$w0rd. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

2. 3. 4. 5. 6. 7.

L12-154

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

Tche 2 : Copier le fichier sans assistance et remplacer le nom NYC-SVR2 par NYC-DC3
1. 2. Sur NYC-SVR2, linvite de commandes, tapez copy \\10.10.0.10\D$\6425\ Mod12\Labfiles\NYC-Rodc.txt C:\ et appuyez sur Entre. Tapez Netdom renamecomputer %nomordinateur% /nouveaunom:NYCDC3 /force /reboot:5, puis appuyez sur Entre. Lordinateur redmarre automatiquement au bout de 5 secondes. Aprs le redmarrage du serveur, ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd.

3.

Tche 3 : Affecter ladresse IP 10.30.0.10 lordinateur virtuel NYC-SVR2


1. Sur NYC-SVR2, linvite de commandes, tapez netsh interface ipv4 show interfaces et appuyez sur Entre. Notez le numro Idx de linterface de connexion au rseau local. Tapez netsh interface ipv4 set address name="Numro Idx de linterface LAN" source=static address=10.30.0.10 mask=255.255.0.0 gateway=10.30.0.1, puis appuyez sur Entre. Le numro Idx est le numro attribu la Connexion au rseau local. Tapez IPconfig /all, puis appuyez sur Entre et vrifiez que les informations dadresse IP sont correctes. Vrifiez galement que le serveur DNS est bien 10.10.0.10.

2.

3.

Tche 4 : Crer le site NYC-Branch-Office et renommer le site par dfaut


1. 2. 3. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Sites et services Active Directory. Dveloppez Sites, cliquez avec le bouton droit sur Sites, puis cliquez sur Nouveau site. Dans la bote de dialogue Nouvel objet Site, tapez NYC-Branch-Office dans le champ Nom. Slectionnez DefaultIPSiteLink, puis cliquez sur OK. Cliquez sur OK de nouveau pour accuser rception du message.

Atelier pratique A : Dploiement des services de domaine Active Directory

L12-155

4. 5.

Cliquez avec le bouton droit sur Nom-Premier-Site-Par dfaut, puis cliquez sur Renommer. Tapez NYC-Head-Office et appuyez sur Entre.

Tche 5 : Crer les objets de sous-rseau des sites du sige et de lagence de New York
1. 2. Cliquez avec le bouton droit sur Sous-rseaux, puis cliquez sur Nouveau sous-rseau. Dans la bote de dialogue Nouvel objet - Sous-rseau, dans le champPrfixe, tapez 10.10.0.0/16, slectionnez le site NYC-Head-Office, puis cliquez sur OK. Cliquez avec le bouton droit sur Sous-rseaux, puis cliquez sur Nouveau sous-rseau. Dans la bote de dialogue Nouvel objet - Sous-rseau, dans le champPrfixe, tapez 10.30.0.0/16, slectionnez le site NYC-Branch-Office, puis cliquez sur OK.

3. 4.

Tche 6 : Configurer la planification de la rplication


1. 2. 3. Dveloppez Transports inter-sites, cliquez sur IP, puis double-cliquez sur DEFAULTIPSITELINK. Tapez 30 dans le champ Rplication toutes les, puis cliquez sur OK. Fermez la console Sites et services Active Directory.

Tche 7 : Crer une unit dorganisation pour les utilisateurs de lagence


1. 2. 3. Cliquez sur Dmarrer, Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory. Cliquez avec le bouton droit sur le domaine WoodgroveBank.com, cliquez sur Nouveau, puis sur Unit dorganisation. Dans la bote de dialogue Nouvel objet Unit dorganisation, tapez NYC Branch Office, puis cliquez sur OK.

L12-156

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

Tche 8 : Crer des utilisateurs et des groupes pour lagence


1. 2. Cliquez avec le bouton droit sur lunit dorganisation NYC Branch Office, cliquez sur Nouveau, puis sur Utilisateur. Crez un utilisateur selon les paramtres suivants : 3. 4. 5. 6. 7. 8. Nom : Branch Manager Nom douverture de session : branchmanager Dsactivez la case cocher Lutilisateur doit changer le mot de passe la prochaine ouverture de session Activez la case cocher Le mot de passe nexpire jamais Mot de passe : Pa$$w0rd

Crez un second utilisateur selon les paramtres suivants : Nom : Branch User Nom douverture de session : branchuser Dsactivez la case cocher Lutilisateur doit changer le mot de passe la prochaine ouverture de session Activez la case cocher Le mot de passe nexpire jamais Mot de passe : Pa$$w0rd

Cliquez avec le bouton droit sur lunit dorganisation NYC Branch Office cliquez sur Nouveau, puis sur Groupe. Dans la bote de dialogue Nouvel objet - Groupe, tapez BranchUsersGG. Vrifiez que vous crez un groupe de scurit global, puis cliquez sur OK. Appuyez sur la touche Ctrl, puis cliquez pour slectionner la fois les comptes Branch Manager et Branch User. Cliquez avec le bouton droit sur les comptes slectionns, puis cliquez sur Ajouter un groupe. Dans la bote de dialogue Slection de groupes, tapez BranchUsersGG, puis cliquez deux fois sur OK.

Atelier pratique A : Dploiement des services de domaine Active Directory

L12-157

Tche 9 : Configurer le service DNS sur NYC-DC1 de faon autoriser les transferts de zone
1. Sur NYC-DC1, cliquez sur Dmarrer, sur Rechercher, tapez DNSmgmt.msc dans la zone de recherche, puis appuyez sur Entre pour lancer la console de gestion DNS. Dveloppez NYC-DC1 et Zones de recherche directes, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de WoodgroveBank.com, cliquez sur longlet Transferts de zone. Activez la case cocher Autoriser les transferts de zone, puis cliquez sur OK. Fermez le Gestionnaire DNS.

2. 3. 4. 5.

Tche 10 : Prdfinir le compte dordinateur pour le contrleur de domaine en lecture seule


1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur lunit dorganisation Contrleurs de domaine, puis cliquez sur Crer au pralable un compte de contrleur de domaine en lecture seule. Dans la page Assistant Installation des services de domaine Active Directory, activez la case cocher Utiliser linstallation en mode avanc, puis cliquez sur Suivant. Dans la page Compatibilit du systme dexploitation, cliquez sur Suivant. Dans la page Informations didentification rseau, vrifiez que loption Mes informations didentification de connexion actuelles est slectionne, puis cliquez sur Suivant. Dans la page Spcifiez le nom de lordinateur, dans le champ Nom de lordinateur, tapez NYC-DC3, puis cliquez sur Suivant. Dans la page Slectionner un site, cliquez sur NYC-Branch-Office, puis sur Suivant. Dans la page Options supplmentaires pour le contrleur de domaine, acceptez les valeurs par dfaut, puis cliquez sur Suivant.

2.

3. 4.

5. 6. 7.

L12-158

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

8.

Dans la page Spcifier la stratgie de rplication de mot de passe, cliquez sur Ajouter, cliquez sur Autoriser la rplication des mots de passe du compte sur ce contrleur de domaine en lecture seule (RODC), puis cliquez sur OK. Tapez BranchUsersGG, cliquez sur OK, puis surSuivant.

9.

10. Dans la page Dlgation de linstallation en une administration du RODC, cliquez sur Dfinir. Dans la bote de dialogue Slectionnez utilisateur ou groupe, tapez BranchManager, cliquez sur OK, puis sur Suivant. 11. Sur la page Rsum, vrifiez vos slections, cliquez sur Suivant, puis sur Terminer pour crer le compte du contrleur de domaine en lecture seule. Notez que le compte dordinateur NYC-DC3 est rpertori dans Active Directory, mais que le type de contrleur de domaine est Compte de contrleur de domaine inoccup.

Tche 11 : Installer le rle DNS sur NYC-DC3


1. 2. Sur NYC-DC3, tapez Oclist pour afficher les rles actuellement installs. Notez quaucun rle nest actuellement install. Tapez start /w ocsetup DNS-Server-Core-Role, puis appuyez sur Entre pour installer le serveur DNS. Le nom de rle du Server Core est sensible la casse.

Tche 12 : Installer le contrleur de domaine en lecture seule sur lordinateur virtuel NYC-DC3 et vrifier le rsultat
1. Tapez dcpromo.exe /UseExistingAccount:Attach /unattend:C:\nyc-rodc.txt. Lexcution de la promotion prend plusieurs minutes et se termine par un redmarrage automatique de lordinateur. 2. Ouvrez une session sur NYC-DC3 en tant que BranchManager avec le mot de passe Pa$$w0rd.

Remarque : si vous recevez un message derreur louverture de session, attendez une minute, puis essayez nouveau.

Atelier pratique A : Dploiement des services de domaine Active Directory

L12-159

3.

Sur NYC-DC1, actualisez laffichage de lunit dorganisation des contrleurs de domaine. Notez que le type de contrleur de domaine de lordinateur virtuel NYC-DC3 est maintenant dfini sur Contrleur de domaine en lecture seule. Ouvrez Sites et services Active Directory et examinez le site NYC-BranchOffice. Notez que lordinateur virtuel NYC-DC3 est maintenant rpertori dans le conteneur Serveurs. Ouvrez le Gestionnaire DNS, cliquez avec le bouton droit sur DNS, puis cliquez sur Connexion au serveur DNS. Dans la bote de dialogue Connexion au serveur DNS, cliquez sur Le serveur suivant, tapez NYC-DC3 dans le champ, puis cliquez sur OK.

4.

5. 6.

Remarque : si le serveur nest pas disponible, attendez quelques instants et ressayez.

7.

Dveloppez NYC-DC3 et Zones de recherche directes, puis cliquez sur WoodgroveBank.com. Vrifiez que NYC-DC3 hberge une copie de la zone WoodgroveBank.com. Fermez la console DNS.

8.

Tche 13 : Fermer lordinateur virtuel NYC-SVR2 et supprimer les disques dannulations


1. 2. Fermez la fentre VMRC de lordinateur virtuel 6238A-NYC-SVR2. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK.
Rsultat : au terme de cet exercice, vous aurez cr un RODC sur un ordinateur Server Core.

L12-160

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

Exercice 2 : Cration du domaine et du site Contoso


Tche 1 : Dmarrer lordinateur virtuel NYC-SVR1
1. 2. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCDC1, cliquez sur Launch. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

Tche 2 : Crer et configurer un nouveau lien de sites pour la rplication


1. 2. 3. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Sites et services Active Directory. Cliquez avec le bouton droit sur Sites, puis cliquez sur Nouveau site. Dans la bote de dialogue Nouvel objet Site, tapez Contoso dans le champ Nom. Slectionnez DefaultIPSiteLink, puis cliquez sur OK. Cliquez sur OK pour accuser rception du message.

Tche 3 : Crer le sous-rseau du site Contoso


1. 2. Cliquez avec le bouton droit sur Sous-rseaux, puis cliquez sur Nouveau sous-rseau. Dans la bote de dialogue Nouvel objet - Sous-rseau, dans le champPrfixe, tapez 192.168.0.0/24, slectionnez le site Contoso, puis cliquez sur OK.

Tche 4 : Crer et configurer un nouveau lien de sites pour la rplication


1. 2. 3. Dveloppez Transports inter-sites, cliquez avec le bouton droit sur IP, puis cliquez sur Lien vers un nouveau site. Dans la bote de dialogue Nouvel objet Lien de sites, tapez Contoso-NYCHO dans le champ Nom. Dans la zone Sites absents de ce lien de sites, maintenez la touche Ctrl enfonce et cliquez sur les deux sites Contoso et NYC-Head-Office pour les slectionner, cliquez sur Ajouter, puis sur OK.

Atelier pratique A : Dploiement des services de domaine Active Directory

L12-161

4. 5. 6. 7.

Cliquez sur IP, cliquez avec le bouton droit sur le lien de site Contoso-NYCHO, puis cliquez sur Proprits. Sur longlet Gnral, tapez 240 dans le champ Rplication toutes les. Cliquez sur Modifier la planification. Dans la bote de dialogue Planification pour Contoso-NYC-HO, slectionnez par glisser-dplacer lintervalle 6h00 18h00, Lundi Vendredi, cliquez sur Rplication non disponible, puis cliquez deux fois sur OK. Double-cliquez sur DefaultIPSiteLink, puis dans la zone Sites prsents dans ce lien de sites, cliquez sur Contoso, sur Supprimer, puis sur OK. Fermez la console Sites et services Active Directory.

8. 9.

Tche 5 : Renommer le serveur NYC-SRV1 en ContosoDC


1. 2. 3. 4. 5. 6. Sur NYC-SVR1, ouvrez une session en tant que AdminLocal avec le mot de passe Pa$$w0rd. Cliquez surDmarrer, cliquez avec le bouton droit surOrdinateur, puis cliquez sur Proprits. Dans Proprits systme, cliquez sur Paramtres systme avancs. Cliquez sur longlet Nom dordinateur, puis sur Modifier. Tapez ContosoDC dans le champ Nom dordinateur, puis cliquez sur OK. Cliquez sur OK pour accuser rception du message, cliquez sur Fermer, puis sur Redmarrer maintenant pour redmarrer lordinateur.

Tche 6 : Modifier ladresse IP de ContosoDC


1. 2. 3. Ouvrez une session sur ContosoDC en tant que AdminLocal avec le mot de passe Pa$$w0rd. Le Gestionnaire de serveur est lanc automatiquement. Dans le Gestionnaire de serveur, dans le volet Rsum serveur, cliquez sur Afficher les connexions rseau. Cliquez avec le bouton droit sur Connexion au rseau local, puis cliquez sur Proprits.

L12-162

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

4. 5.

Dans la bote de dialogue Proprits de Connexion au rseau local, cliquez sur Protocole Internet version 4 (TCP/IPv4), puis sur Proprits. Configurez ladresse IP comme suit : Adresse IP : 192.168.0.10 Masque de sous-rseau : 255.255.255.0 Passerelle par dfaut : 192.168.0.1 DNS : 10.10.0.10

6.

Cliquez sur OK, sur Fermer, puis fermez la fentre Connexions rseau.

Tche 7 : Configurer le service DNS sur NYC-DC1 pour autoriser les transferts de zone (si vous avez effectu lexercice 1, vous avez dj appliqu cette tape)
1. 2. Basculez vers NYC-DC1. Cliquez sur Dmarrer, cliquez sur Recherche, tapez DNSmgmt.msc dans la zone de recherche, puis appuyez sur Entre pour lancer la console de gestion DNS. Dveloppez NYC-DC1, puis Zones de recherche directes, cliquez sur WoodgroveBank.com, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de WoodgroveBank.com, cliquez sur longlet Transferts de zone. Activez la case cocher Autoriser les transferts de zone, puis cliquez sur OK. Fermez le Gestionnaire DNS.

3.

4. 5. 6.

Tche 8 : Installer le service DNS sur ContosoDC


1. 2. Sur ContosoDC, dans le Gestionnaire de serveur, dans le volet de gauche, cliquez avec le bouton droit sur Rles puis cliquez sur Ajouter des rles. Dans la page Avant de commencer, cliquez sur Suivant, activez la case cocher Serveur DNS, puis cliquez Suivant.

Atelier pratique A : Dploiement des services de domaine Active Directory

L12-163

3. 4.

Sur la page Serveur DNS, cliquez sur Suivant, puis cliquez sur Installer. Une fois linstallation termine, cliquez sur Fermer. Laissez le Gestionnaire de serveur ouvert.

Tche 9 : Configurer le service DNS sur ContosoDC


1. Cliquez sur Dmarrer, cliquez sur Recherche, tapez DNSmgmt.msc dans la zone de recherche, puis appuyez sur Entre pour lancer la console de gestion DNS. Cliquez sur ContosoDC pour le slectionner, cliquez avec le bouton droit sur ContosoDC, puis cliquez sur Nouvelle zone. Dans l'Assistant Nouvelle zone, cliquez sur Suivant. Dans la page Type de zone, cliquez sur Zone secondaire, puis sur Suivant. Dans la page Zone de recherche directe ou inverse, vrifiez que loption Zone de recherche directe est slectionne, puis cliquez sur Suivant. Dans la page Nom de la zone, tapez WoodgroveBank.com, puis cliquez sur Suivant. Dans la page Serveurs DNS matres, tapez 10.10.0.10, appuyez sur Entre, cliquez sur Suivant, puis sur Terminer. Dveloppez Zones de recherche directes, puis cliquez sur WoodgroveBank.com. Attendez que le transfert de zone se termine. Vous devez actualiser la console pour voir les modifications. Dveloppez les journaux globaux, puis cliquez sur vnements DNS. Examinez les vnements qui dcrivent le transfert de zone. Question : Quelle version de la zone WoodgroveBank.com a-t-elle t transfre ? Rponse : Les rponses varient. 10. Fermez le Gestionnaire DNS.

2. 3. 4. 5. 6. 7. 8.

9.

L12-164

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

Tche 10 : Promouvoir le serveur au rle de contrleur du domaine Contoso


1. 2. 3. 4. 5. Dans le Gestionnaire de serveur, cliquez avec le bouton droit sur Rles, puis cliquez sur Ajouter des rles. Dans lAssistant Ajout de rles, cliquez sur Suivant, activez la case cocher Services de domaine Active Directory, puis cliquez sur Suivant. Dans la page Services de domaine Active Directory, cliquez sur Suivant, puis sur Installer. Une fois linstallation termine, cliquez sur Fermer. Cliquez sur Dmarrer, cliquez sur Recherche, tapez DCPromo dans la zone de recherche, puis appuyez sur Entre. Dans lAssistant Installation des services de domaine Active Directory, activez la case cocher Utiliser linstallation en mode avanc, puis cliquez sur Suivant. Dans la page Compatibilit du systme dexploitation, cliquez sur Suivant. Dans la page Choisissez une configuration de dploiement, cliquez sur Fort existante, cliquez sur Crer un nouveau domaine dans une fort existante, activez la case cocher Crer une nouvelle racine darborescence de domaine au lieu dun nouveau domaine enfant, puis cliquez sur Suivant. Dans la fentre Informations didentification rseau, tapez WoodgroveBank.com, puis cliquez surDfinir. Dans la bote de dialogue Scurit Windows, tapez administrateur avec le mot de passe Pa$$w0rd, cliquez sur OK, puis sur Suivant. Dans lcran Nommez la nouvelle racine darborescence de domaine, tapez Contoso.com, puis cliquez sur Suivant.

6. 7.

8.

9.

10. Dans lcran Nom de domaine NetBIOS, cliquez sur Suivant. 11. Dans lcran Dfinir le niveau fonctionnel du domaine, slectionnez Windows Server 2008 dans la liste droulante, puis cliquez sur Suivant. 12. Dans lcran Slectionner un site, vrifiez que Contoso est slectionn, puis cliquez sur Suivant.

Atelier pratique A : Dploiement des services de domaine Active Directory

L12-165

13. Dans lcran Options supplmentaires pour le contrleur de domaine, activez la case cocher Catalogue global, puis cliquez sur Suivant. 14. Dans la bote de message Attribution IP statique, cliquez sur Oui, lordinateur utilisera une adresse IP attribue dynamiquement (non recommand).

Remarque : ce message fait rfrence linterface IPV6, dont ladresse est attribue dynamiquement.

15. Dans la zone de message, cliquez sur Oui pour continuer. 16. Dans lcran Contrleur de domaine source, cliquez sur Suivant. 17. Dans lcran Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, cliquez sur Suivant. 18. Dans lcran Mot de passe administrateur de restauration des services dannuaire, tapez Pa$$w0rd dans les champs, puis cliquez sur Suivant. 19. Dans lcran Rsum, cliquez sur Suivant, puis activez la case cocher Redmarrer la fin de lopration. Linstallation du contrleur de domaine va sachever avec le redmarrage de lordinateur. 20. Ouvrez une session sur CDContoso en tant que Contoso\LocalAdmin avec le mot de passe Pa$$w0rd. 21. Ouvrez la console de gestion DNS. Examinez les Zones de recherche directes. Notez que Contoso.com est hberg sur lordinateur local. 22. Ouvrez une invite de commandes, tapez IPConfig /all, puis appuyez sur Entre. Notez que CDContoso utilise 127.0.0.1 en tant que serveur DNS prfr.

L12-166

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

Tche 11 : Fermer les ordinateurs virtuels NYC-SVR1 et NYC-DC2, et supprimer les disques dannulations
1. 2. 3. 4. Fermez la fentre VMRC de lordinateur virtuel 6238A-NYC-SVR1. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez la fentre VMRC de 6238A-NYC-DC2. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK.
Rsultat : au terme de cet exercice, vous aurez cr un domaine et un site.

Atelier pratique B : Configuration de la relation dapprobation de fort

L12-167

Atelier pratique B : Configuration de la relation dapprobation de fort


Exercice : Mise niveau du domaine Fabrikam et cration dune approbation de fort avec Woodgrove Bank
Tche 1 : Dmarrer les ordinateurs virtuels VAN-DC1 et NYC-SVR1
1. 2. 3. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-VANDC1, cliquez sur Launch. Dans lutilitaire de lancement de latelier pratique, en regard de 6238A-NYCSVR1, cliquez sur Launch. Rduisez la fentre de lutilitaire de lancement de latelier pratique.

Tche 2 : Prparer la fort et le domaine Fabrikam.Com


1. 2. 3. 4. Sur VAN-DC1, ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Cliquez avec le bouton droit sur Fabrikam.com, puis cliquez sur Augmenter le niveau fonctionnel du domaine. Dans la bote de dialogue Augmenter le niveau fonctionnel du domaine, slectionnez Windows Server 2003 dans la liste droulante, puis cliquez sur Augmenter. Cliquez sur OK pour confirmer laction, puis sur OK pour confirmer le succs de lopration. Fermez Utilisateurs et ordinateurs Active Directory. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Domaines et approbations Active Directory. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Augmenter le niveau fonctionnel de la fort.

5. 6. 7.

L12-168

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

8.

Dans la bote de dialogue Augmenter le nouveau fonctionnel de la fort, slectionnez Windows Server 2003 dans la liste droulante, puis cliquez sur Augmenter. Cliquez sur OK pour confirmer laction, puis sur OK pour confirmer le succs de lopration. Fermez Domaines et approbations Active Directory.

9.

10. Ouvrez une invite de commandes. 11. Tapez xcopy \\10.10.0.10\D$\6238\Mod12\Adprep\*.* c:\Adprep\ /E, puis appuyez sur Entre. 12. Dans la fentre dinvite de commandes, tapez C: \Adprep\adprep /forestprep, puis appuyez sur Entre. 13. Lisez le message davertissement, tapez C, puis appuyez sur Entre. Lexcution de Forestprep prend quelques instants. 14. Dans la fentre dinvite de commandes, tapez C:\ Adprep\adprep /domainprep, puis appuyez sur Entre. 15. Fermez linvite de commandes.

Tche 3 : Configurer des transferts de zone DNS rciproques en utilisant des zones de stub
1. 2. 3. 4. 5. 6. 7. Sur VAN-DC1, cliquez sur Dmarrer, sur Excuter, tapez DNSmgmt.msc dans lcran Excuter, puis appuyez sur Entre. Dveloppez VAN-DC1, puis Zones de recherche directes, puis cliquez sur Fabrikam.com. Cliquez avec le bouton droit sur Fabrikam.com, puis cliquez sur Proprits. Dans la page Proprits de Fabrikam.com, cliquez sur longlet Transferts de zone. Activez la case cocher Autoriser les transferts de zone, puis cliquez sur OK. Basculez vers NYC-DC1. Cliquez sur Dmarrer, cliquez sur Recherche, tapez DNSmgmt.msc dans le champ Recherche, puis appuyez sur Entre pour lancer la console de gestion DNS. Cliquez avec le bouton droit sur Zones de recherche directes, puis cliquez sur Nouvelle zone.

8.

Atelier pratique B : Configuration de la relation dapprobation de fort

L12-169

9.

Dans l'Assistant Nouvelle zone, cliquez sur Suivant.

10. Dans lcran Type de zone, cliquez sur Zone de stub, puis sur Suivant. 11. Dans lcran tendue de la zone de rplication de Active Directory, cliquez sur Suivant. 12. Dans lcran Nom de la zone, tapez Fabrikam.com, puis cliquez sur Suivant. 13. Dans lcran Serveurs DNS matres, tapez 10.20.0.10, appuyez sur Entre, cliquez sur Suivant, puis sur Terminer. 14. Cliquez sur Fabrikam.com. Un certain temps peut tre ncessaire pour le transfert de zone. Vous devez actualiser la console pour voir les modifications. 15. Fermez le Gestionnaire DNS. 16. Revenez VAN-DC1. 17. Cliquez avec le bouton droit sur Zones de recherche directes, puis cliquez sur Nouvelle zone. 18. Dans l'Assistant Nouvelle zone, cliquez sur Suivant. 19. Dans lcran Type de zone, cliquez sur Zone de stub, puis sur Suivant. 20. Dans lcran tendue de la zone de rplication de Active Directory, cliquez sur Suivant. 21. Dans lcran Nom de la zone, tapez WoodgroveBank.com, puis cliquez sur Suivant. 22. Dans lcran Serveurs DNS matres, tapez 10.10.0.10, cliquez sur Ajouter, sur Suivant, puis sur Terminer. 23. Cliquez sur WoodgroveBank.com. Un certain temps peut tre ncessaire pour le transfert de zone. Vous devez actualiser la console pour voir les modifications. 24. Fermez le Gestionnaire DNS.

Tche 4 : Donner NYC-SRV1 le nom VAN-DC2


1. 2. 3. Sur NYC-SRV1, ouvrez une session en tant quAdminLocal avec le mot de passe Pa$$w0rd. Dans le Gestionnaire de serveur, cliquez sur Afficher les connexions rseau. Cliquez avec le bouton droit sur Connexion au rseau local, puis cliquez sur Proprits.

L12-170

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

4. 5.

Cliquez sur Protocole Internet version 4 (TCP/IPv4), puis sur Proprits. Modifiez la configuration des adresses IP de la faon suivante : a. b. c. Adresse IP : 10.20.0.11 Masque de sous-rseau : 255.255.0.0 Passerelle par dfaut : 10.20.0.1

d. Serveur DNS prfr : 10.20.0.10 6. 7. 8. 9. Cliquez sur OK, sur Fermer, puis fermez la fentre Connexions rseau. Dans le Gestionnaire de serveur, cliquez sur Modifier les proprits systme. Dans la bote de dialogue Proprits systme, sous longlet Nom de lordinateur, cliquez sur Modifier. Tapez VAN-DC2 dans le champ Nom dordinateur, puis cliquez sur OK.

10. Cliquez sur OK pour accuser rception du message, cliquez sur Fermer, puis sur Redmarrer maintenant.

Tche 5 : Affecter au serveur Windows Server 2008 le rle de contrleur du domaine Fabrikam
1. 2. 3. 4. 5. 6. 7. Sur lordinateur virtuel VAN-DC2, ouvrez une session en tant que AdminLocal avec le mot de passe Pa$$w0rd. Dans le Gestionnaire de serveur, cliquez avec le bouton droit sur Rles, puis cliquez sur Ajouter des rles. Dans lAssistant Ajout de rles, cliquez sur Suivant, activez la case cocher Services de domaine Active Directory, puis cliquez sur Suivant. Dans lcran Services de domaine Active Directory, cliquez sur Suivant, puis sur Installer. Une fois linstallation termine, cliquez sur Fermer. Cliquez sur Dmarrer, cliquez sur Recherche, tapez DCPromo dans la zone de recherche, puis appuyez sur Entre. Dans lAssistant Installation des services de domaine Active Directory, cliquez sur Suivant. Dans la page Compatibilit du systme dexploitation, cliquez sur Suivant.

Atelier pratique B : Configuration de la relation dapprobation de fort

L12-171

8.

Dans la page Choisissez une configuration de dploiement, cliquez sur Fort existante et conservez le choix par dfaut : Ajouter un contrleur de domaine un domaine existant, puis cliquez sur Suivant. Dans la page Informations didentification rseau, tapez Fabrikam.com, cliquez sur Dfinir, dans la bote de dialogue Scurit Windows, tapez administrateur avec le mot de passe Pa$$w0rd, cliquez sur OK, puis sur Suivant.

9.

10. Dans la page Slectionner un domaine, cliquez sur Fabrikam.com, cliquez sur Suivant, puis sur Oui pour accuser rception du message concernant les contrleurs de domaine en lecture seule. 11. Dans la page Slectionner un site, cliquez sur Suivant. 12. Dans la page Options supplmentaires pour le contrleur de domaine, dsactivez les cases cocher Serveur DNS et Catalogue global, puis cliquez sur Suivant. 13. Dans la page Conflit de configuration du matre dinfrastructure, cliquez sur Transfrer le rle de matre dinfrastructure vers ce contrleur de domaine. 14. Dans la page Emplacement de la base de donnes, Fichiers journaux et SYSVOL, cliquez sur Suivant. 15. Dans la page Mot de passe administrateur de restauration des services dannuaire, tapez Pa$$w0rd dans les champs, puis cliquez sur Suivant. 16. Dans la page Rsum, cliquez sur Suivant, puis activez la case cocher Redmarrer la fin de lopration.

Tche 6 : Configurer une approbation de fort entre WoodgroveBank.com et Fabrikam.com pour une authentification slective
1. 2. 3. 4. 5. Basculez vers NYC-DC1. Cliquez sur Dmarrer, sur Outils dadministration, puis sur Domaines et approbations Active Directory. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de WoodgroveBank.com, cliquez sur longlet Approbations, puis cliquez sur Nouvelle approbation. Dans lAssistant Nouvelle approbation, cliquez sur Suivant.

L12-172

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

6. 7. 8. 9.

Dans la page Nom dapprobation, tapez Fabrikam.com dans le champ Nom, puis cliquez sur Suivant. Dans la page Type dapprobation, cliquez sur Approbation de la fort, puis sur Suivant. Dans la page Direction de lapprobation, slectionnez Sens unique : en entre, puis cliquez sur Suivant. Dans la page Sens de lapprobation, slectionnez Ce domaine et le domaine spcifi, puis cliquez sur Suivant.

10. Dans la page Nom dutilisateur et mot de passe, tapez Administrateur dans le champ Nom dutilisateur et Pa$$word dans le champ mot de passe. 11. Dans la page Niveau dauthentification dapprobations sortantes - Fort spcifie, cliquez sur Authentification slective, puis cliquez sur Suivant. 12. Dans la page Fin de la slection des approbations, cliquez sur Suivant. 13. Dans la page Suffixes de noms routs - Fort locale, cliquez sur Suivant. 14. Dans la page Fin de la cration des approbations, cliquez sur Suivant. 15. Dans la page Confirmer lapprobation entrante, cliquez sur Suivant, sur Terminer, puis sur OK.

Tche 7 : Configurer lauthentification slective pour le groupe Administrateurs du domaine WoodgroveBank


1. 2. 3. 4. 5. 6. 7. Basculez vers VAN-DC1. Cliquez sur Dmarrer, Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory. Dans le menu Affichage, cliquez sur Fonctionnalits avances. Dveloppez Fabrikam.com, cliquez sur Contrleurs de domaine, cliquez avec le bouton droit sur VAN-DC1, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de VAN-DC1, cliquez sur longlet Scurit, puis sur Ajouter. Dans la bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes, cliquez sur Sites. Dans la bote de dialogue Emplacements, cliquez sur WoodgroveBank.com, puis sur OK.

Atelier pratique B : Configuration de la relation dapprobation de fort

L12-173

8. 9.

Tapez Admins du domaine, puis cliquez sur OK. Cliquez sur le groupe Admins du domaine dans le domaine WoodgroveBank.com, puis cliquez sur OK.

10. Activez la case cocher Autoriser en regard de Autorisation dauthentifier, puis cliquez sur OK.

Tche 8 : Fermer les ordinateurs virtuels NYC-SVR1, NYC-RAS et VAN-DC1, et supprimer les disques dannulations
1. 2. 3. 4. 5. 6. Fermez la fentre VMRC de lordinateur virtuel 6238A-NYC-SVR1. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez la fentre VMRC de lordinateur virtuel 6238A-NYC-RAS. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez la fentre VMRC de lordinateur virtuel 6238A-VAN-DC1. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK.
Rsultat : au terme de cet exercice, vous aurez mis niveau le domaine Fabrikam et cr une approbation de fort avec Woodgrove Bank.

L12-174

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

Atelier C : Conception dune stratgie de groupe


Exercice 1 : Planification dune stratgie de groupe
Rponse propose pour la structure dunits dorganisation

WoodgroveBank.com

Executives

IT Admins

Miami

NYC

Toronto

Serveurs membres Serveurs Web

Serveurs de fichiers et dimpression

Serveurs SQL

Atelier C : Conception dune stratgie de groupe

L12-175

Rponse propose pour la configuration des objets de stratgie de groupe :


Nom de lobjet de stratgie de groupe Stratgie de Bureau du domaine Paramtres Li Domaine WoodgroveBank

Interdire laccs longlet cran


de veille

Empcher les utilisateurs


dajouter des imprimantes Stratgie des ordinateurs du domaine

Renommer le compte
Administrateur local en AdminSRV

Domaine WoodgroveBank

Ajouter ITAdminGG au groupe


Administrateurs local

Configurer Windows Update pour


utiliser ladresse intranet Http://Updates Empcher laccs au Panneau de configuration (scurit filtre pour exempter le groupe Admins du domaine) Stratgie de scurit de serveur membre (la stratgie sera applique)

Empcher laccs au Panneau de


configuration

Domaine WoodgroveBank

Auditer les connexions aux


comptes

Unit dorganisation Serveurs membres

Empcher lexcution dInternet


Explorer

Renommer le compte
Administrateur local en AdminSRV Scurit SQL (la stratgie sera applique) Chiffrement forc des fichiers hors connexion (la stratgie sera applique)

Empcher linstallation des


priphriques amovibles

Unit dorganisation SQL Servers

Chiffrement forc des fichiers


hors connexion

Unit dorganisation Executives

L12-176

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

(suite)
Nom de lobjet de stratgie de groupe Blocage de Windows Messenger Paramtres Li Unit dorganisation Toronto Unit dorganisation Miami Autoriser lajout dimprimantes

Empcher lexcution de
Windows Messenger

Autoriser lajout dimprimantes

Unit dorganisation IT Admins

Atelier C : Conception dune stratgie de groupe

L12-177

Exercice 2 : Implmentation de la stratgie de Bureau dentreprise


Tche 1 : Crer et lier la stratgie de Bureau du domaine
1. 2. Sur NYC-DC1, cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestion des stratgies de groupe. Si ncessaire, dveloppez Domaines, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Crer un objet GPO dans ce domaine, et le lier ici. Dans la bote de dialogue Nouvel objet GPO, tapez Stratgie de Bureau du domaine dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur Stratgie de Bureau du domaine, puis cliquez sur Modifier. Dveloppez Configuration utilisateur, Stratgies, Modles dadministration et Panneau de configuration, puis cliquez sur Imprimantes. Dans le volet dinformations, double-cliquez sur Dsactiver lajout dimprimante. Dans la bote de dialogue Proprits de Dsactiver lajout dimprimante, cliquez sur Dsactiv, puis sur OK. Dans le volet de gauche, cliquez sur Afficher, puis double-cliquez sur Masquer longlet cran de veille. Dans la bote de dialogue Proprits de Masquer longlet cran de veille, cliquez sur Activ, puis cliquez sur OK. Fermez lditeur de gestion des stratgies de groupe.

3. 4. 5.

6. 7. 8. 9.

Tche 2 : Crer et lier le GPO Empcher laccs au Panneau de configuration


1. 2. 3. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Crer un objet GPO dans ce domaine, et le lier ici. Dans la bote de dialogue Nouvel objet GPO, tapez Empcher laccs au Panneau de configuration dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur Empcher laccs au Panneau de configuration, puis cliquez sur Modifier.

L12-178

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

4.

Dveloppez Configuration de lutilisateur, Stratgies et Modles dadministration, cliquez sur Panneau de configuration, puis double-cliquez sur Empcher laccs au Panneau de configuration. Dans la bote de dialogue Proprits de Empcher laccs au Panneau de configuration, cliquez sur Activ, puis sur OK. Fermez lditeur de gestion des stratgies de groupe. Double-cliquez sur le GPO Empcher laccs au Panneau de configuration, cliquez sur longlet Dlgation dans le volet dinformations, puis cliquez sur Avanc. Dans la bote de dialogue Paramtres de Empcher laccs au Panneau de configuration, slectionnez Admins du domaine, activez la case cocher Refuser lautorisation Appliquer la stratgie de groupe, puis cliquez sur OK. Cliquez sur Oui pour accuser rception du message. Ainsi, la stratgie ne sappliquera pas au groupe des administrateurs du domaine.

5. 6. 7.

8.

Tche 3 : Crer et lier le GPO Chiffrement forc des fichiers hors connexion
1. 2. 3. 4. 5. 6. 7. Cliquez avec le bouton droit sur lunit dorganisation Executives, puis cliquez sur Crer un objet GPO dans ce domaine, et le lier ici. Dans la bote de dialogue Nouvel objet GPO, tapez Chiffrement forc des fichiers hors connexion dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur Chiffrement forc des fichiers hors connexion, puis cliquez sur Modifier. Dveloppez Configuration ordinateur, Stratgies, Modles dadministration et Rseau, puis cliquez sur Fichiers hors connexion. Dans le volet dinformations, double-cliquez sur Chiffrer le cache des fichiers hors connexion. Dans la bote de dialogue Proprits de Chiffrer le cache des fichiers hors connexion, cliquez sur Activ, puis sur OK. Fermez lditeur de gestion des stratgies de groupe.

Atelier C : Conception dune stratgie de groupe

L12-179

Tche 4 : Crer et lier le GPO Blocage de Windows Messenger


1. 2. 3. 4. 5. 6. 7. 8. 9. Cliquez avec le bouton droit sur lunit dorganisation Miami, puis cliquez sur Crer un objet GPO dans ce domaine, et le lier ici. Dans la bote de dialogue Nouvel objet GPO, tapez Blocage de Windows Messenger dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur Blocage de Windows Messenger, puis cliquez sur Modifier. Dveloppez Configuration utilisateur, Stratgies, Modles dadministration et Composants Windows, puis double-cliquez sur Windows Messenger. Dans le volet dinformations, double-cliquez sur Ne pas autoriser lexcution de Windows Messenger. Dans la bote de dialogue Proprits de Ne pas autoriser lexcution de Windows Messenger, cliquez sur Activ, puis sur OK. Fermez lditeur de gestion des stratgies de groupe. Cliquez avec le bouton droit sur lunit dorganisation Toronto, puis cliquez sur Lier un objet de stratgie de groupe existant. Dans la bote de dialogue Slectionner un objet GPO, cliquez sur Blocage de Windows Messenger, puis sur OK.

Tche 5 : Crer et lier le GPO Autoriser lajout dimprimantes


1. 2. 3. 4. Cliquez avec le bouton droit sur lunit dorganisation IT Admins, puis cliquez sur Crer un objet GPO dans ce domaine, et le lier ici. Dans la bote de dialogue Nouvel objet GPO, tapez Autoriser lajout dimprimantes dans le champ Nom, puis cliquez sur OK. Cliquez avec le bouton droit sur Autoriser lajout dimprimantes, puis cliquez sur Modifier. Dveloppez Configuration utilisateur, Stratgies, Modles dadministration et Panneau de configuration, puis cliquez sur Imprimantes. Dans le volet dinformations, double-cliquez sur Dsactiver lajout dimprimante. Dans la bote de dialogue Proprits de Dsactiver lajout dimprimante, cliquez sur Dsactiv, puis cliquez sur OK. Fermez lditeur de gestion des stratgies de groupe. Fermez la console Gestion de stratgie de groupe.

5. 6. 7.

L12-180

Module 12 : Implmentation dune infrastructure de services de domaine Active Directory

Tche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques dannulation
1. 2. 3. Pour chaque ordinateur virtuel en cours dexcution, fermez la fentre VMRC. Dans la bote de dialogue Fermer, slectionnez Dsactiver lordinateur virtuel et ignorer les disques dannulations, puis cliquez sur OK. Fermez lutilitaire de lancement de latelier pratique 6238A.