Académique Documents
Professionnel Documents
Culture Documents
Installation de AD DS; Installation de AD DS en utilisant les options avances; Dploiement de contrleurs de domaine en lecture seule; Configuration des rles de contrleur de domaine des services de domaine AD;
excutant
Windows
Serveur
Configuration rseau
paramtres DNS client; Un serveur DNS prenant en charge les mises jour dynamiques doit tre configur sur le contrleur de domaine
rpliquer SYSVOL en lieu et place de FRS; Domaine Support du chiffrement AES 128 et AES 256 au niveau de la mthode
dauthentification Kerberos;
Cration de multiples stratgies de mots de passe et de verrouillage de comptes;
Fort
Evaluez les vnements en utilisant la MMC Services de domaine AD; Vrifiez la prsence du domaine pralablement cre, du DC , son type et le site en utilisant la MMC utilisateur et ordinateur AD;
Utilisez la MMC Sites et services AD pour afficher et dfinir les sites trangers et des ordinateurs trangers;
Le mode avanc est ncessaire pour: Crer une nouvelle arborescence de domaine;
1- Mise niveau vers les services de domaine AD de Windows 2008 serveur Domaine Windows 2000 ou 2003 serveur existant:
dcpromo
/answer:nom_fichier
1-Description et fonctionnalits du DC en lecture seule Il hberge les partitions en lecture seule de la base de donnes des services de domaine AD;
La rplication des services de domaine AD dans son ensemble utilise une connexion unidirectionnelle entre le DC disposant dune copie
Peuvent tre dploy sur des serveurs excutant Windows Serveur 2008 server core pour accroitre la scurit;
3-Installation du RODC
Slectionnez loption installation dun RODC dans lassistant Installation des services de domaine AD;
Choisissez loption dinstallation avance si vous souhaitez configurer la stratgie de rplication de mots de passe;
Pour installer un RODC sur une installation serveur core, utilisez un fichier dinstallation sans assistance avec la valeur ReplicaOrNewDomain = ReadOnlyReplica;
Crer au pralable le compte de lordinateur RODC dans le conteneur des contrleurs de domaine;
Options de configuration: Pas dinformations didentification mises en cache; Activer la mise en cache dinformation didentification sur un RODC pour des comptes spcifis;
Le GC est une rplique partielle (jeu limit dattributs pour chacun des objets de la fort) en lecture seule de toutes les partitions dannuaire de domaine dune fort.
Le serveur de catalogue global est un contrleur de domaine qui hberge galement le catalogue global;
(01) par fort; Effectue toutes les mises jour du schma AD;
(01) par fort; Gre lajout et la suppression de tous les domaines et partitions dannuaire; (01) par domaine; Alloue les blocs RID chaque DC dans le domaine; (01) par domaine; Rduit le delai de rplication en cas de modification des mots de passe; Synchronise lheure sur tous les DC dans le domaine; (01) par domaine; Actualise les rfrences dobjets dans son domaine qui pointent vers lobjet dans un autre domaine;
Maitre RID
Emulateur PDC
Matre dinfrastructure
MODULE 2
Prsentation de lintgration des services de domaine AD et de DNS; Configuration des zones intgres des services de domaine AD; Configuration des zones DNS en lecture seule ;
Il nest pas obligatoire dinstaller le service DNS sur un DC, nanmoins, il est recommand dinstaller le service DNS sur un DC
Le nom de la zone DNS qui hberge AD doit tre similaire celui de la fort;
La mise en uvre de AD ncessite au moins un serveur DNS, il est recommand de se doter dun second serveur DNS pour assurer la redondance. Si lorganisation dispose de nombreux sites, alors, il est recommand dinstaller un serveur DNS sur chaque site pour
Il est recommand dintgrer et de stocker les fichiers de zone DNS au sein dAD (scurit, configuration du transfert de zones);
Les enregistrements de ressource SRV permettent aux clients DNS de localiser et didentifier des ordinateurs qui hberge des services TCP/IP spcifiques (DC).
La cration du domaine DNS racine dune nouvelle fort AD base sur 2K8
engendre 02 zones DNS: Une zone DNS est ddie au domaine racine de la fort, elle stocke par dfaut, les donnes de zone DNS au sein de la partition dannuaire de domaine, il sensuit une rplication sur tous les DC du domaine ; Une zone DNS ddie au sous domaine _msdcs.ForestName, elle stocke par dfaut, les donnes de zone DNS ( uniquement les RR SRV) au sein
Redmarrez
Netlogon
(outils
dadministration
Services
Netlogon / Redmarrer); Revrifiez _tcp sous la zone DNS du domaine racine de la fort en
Nouveaux RR ;
Choisir SRV (telnet) + FQDN de la machine;
NetLogon: processus qui maintient un canal scuris entre un ordinateur et le DC pour authentifier les utilisateurs et les services; RPC: Remote Procedure Call, protocole rseau permettant de
Processus Les ordinateurs clients du domaine utilisent lAPI (DsGetDcName, implment par NetLogon) du localisateur pour localiser un DC en lanant une requte DNS; Le client recueille les informations qui sont ncessaires pour slectionner un DC et passe les informations au service NetLogon laide de lappel DsGetDcName;
Lors du dmarrage du service ouverture de session rseau , le service correspondant de chaque DC numre les objets du site dans le conteneur configuration. Le service ouverture de session rseau utilise les informations sur les sites pour crer une structure en mmoire qui permet de mapper les adresses IP vers les noms de
site.
Une zone DNS peut tre stocke dans la partition de domaine ou dans la partition dapplication; DomainDNSZones et ForestDNSZones , sont des partitions dapplication par dfaut, qui stockent des donnes spcifiques au systme DNS;
La partition de domaine, rplique les informations sur tous les DC dans le domaine des services de domaine AD;
La partition dapplication DomainDNSZones, rplique les informations sur tous les DC qui sont des serveurs DNS dans le domaine des services de domaine AD;
La partition dapplication ForestDNSZones, rplique les informations sur tous les DC qui sont des serveurs DNS dans la fort des services de domaine AD;
La partition dapplication personnalise, rplique les informations sur tous les DC qui hbergent une partition dapplication particulire;
Les mises jour dynamiques permettent aux ordinateurs clients DNS denregistrer et de mettre jour dynamiquement leurs RR sur un serveur DNS chaque fois que des changements se produisent. Le client envoie une requte SOA; Le serveur DNS envoie le nom de la zone et ladresse IP du serveur; Le client vrifie linscription existante; Le serveur DNS rpond en indiquant que linscription nexiste pas; Le client envoie une mise jour dynamique au serveur DNS.
Lorsquun DC avec des zones DNS intgres AD dmarre: Il numre toutes les zones charger; Il charge les indications de racine partir des fichiers ou des serveurs de services de domaine AD; Il charge toutes les zones stockes dans des fichiers plutt que dans des services de domaine AD; Il commence rpondre aux requtes et aux appels RPC; Il dmarre une ou plusieurs threads pour charger les zones stockes dans des services de domaine AD;
Avantages:
Les informations DNS requises pour la rsolution de noms AD sont disponibles pour les clients se trouvant sur le mme site que le
RODC;
Les modifications ne sont pas autorises sur les zones DNS en lecture seule, ce qui renforce la scurit;
Le systme DNS en lecture seule est install sur un RODC lorsque les services de domaine AD sont installs et loption DNS est slectionne;
Les donnes de zones DNS en lecture seule peuvent tre affiches, mais pas mises jour;
Les clients DNS dynamiques mis jour laide du RODC sont rfrencs sur un serveur DNS avec une copie des zones accessible en criture;
Les enregistrements ne peuvent pas tre ajouts manuellement la zone en lecture seule;
Configuration des objets AD; Stratgies dutilisation des groupes; Automatisation de la gestion des objets des service de domaine AD. Dlgation de laccs administratif aux objets des services de domaine AD Configuration des approbations des services de domaine AD
1-Les types dobjets des services de domaine AD Les comptes dutilisateur Active une ouverture de session unique pour un utilisateur; Offre un accs aux ressources; Les comptes dordinateur Active lauthentification et laudit de laccs dun ordinateur aux ressources; Les comptes de groupe Aide simplifier ladministration ; InetOrgPerson Semblable un compte dutilisateur Sert la compatibilit avec les autres services dannuaire; Unit dorganisation Regroupe les objets similaires pour ladministration Imprimantes & dossiers partags Simplifient le processus de localisation et de connexion des imprimantes & dossiers partags;
Groupes de distribution Utilis uniquement avec les applications de messagerie; Sans scurit active;
Groupes de scurit Servant affecter des droits et des autorisations aux groupes dutilisateurs et dordinateurs; Utiliss de manire optimale lorsquils sont imbriqus;
Autorisations
domaine local
Globale
Utilisateurs,
groupes
et
ordinateurs appartenant son propre domaine Utilisateurs, groupes et des ordinateurs en tant que membres dun domaine approuv Utilisateurs, groupes et ordinateurs en tant que membres de domaine
Universelle
locale
Conus pour grer des ressources partages et dlguer des rles administratifs de domaine spcifique;
Oprateurs de sauvegarde
Oprateurs de chiffrement
Oprateurs de compte
Oprateurs de serveur
5-Identits spciales
Conus pour fournir laccs aux ressources sans interaction de la part de ladministrateur ou de lutilisateur;
Ouverture de session anonyme Utilisateurs authentifis Tche Groupe crateur Crateur / Propritaire Tout le monde Tous les utilisateurs actuels du rseau, y compris les invits Utilisateurs ou services accdant aux ressources par lintermdiaire du rseau sans utiliser de mot de passe, de compte
Interactif
Utilisateurs Terminal serveur
Les options: Ajout des comptes dutilisateurs la liste de contrle daccs de la ressource. Cette option est destine aux petites organisations. Ajout des comptes dutilisateurs aux groupes et ajout des groupes la liste de contrle daccs de la ressource; cette option requiert un seul niveau de groupe et convient des organisations ayant un seul domaine. Ajout des comptes dutilisateurs aux comptes de groupes, ajout des comptes de groupes aux groupes de ressources et ajout des groupes de ressources la liste de contrle daccs de la ressource; cette option peut tre utilise pour grer les ressources dans un environnement domaine multiple.
Avantages
En stockant les comptes dutilisateurs dans des groupes, on facilite la gestion des ressources; En plaant les utilisateurs qui ont les mmes profils dans un groupe, vous en faciliter lattribution du mme ensemble dautorisations; En utilisant des groupes globaux ou universels, daccs des domaines approuvs vous obtenez des comptes de groupes qui peuvent tre ajouts aux listes de contrle Inconvnients Si vous utilisez le compte de groupe dans des environnements
Inconvnients On a besoin dajouter tous les groupes la liste de contrle daccs dune ressource, ce processus ncessite la mme quantit deffort que lajout de comptes dutilisateur lACL de ladite ressource. Si il y a une modification des autorisations pour la ressource partage, vous devez analyser les autorisations attribues chaque groupe;
Si vous utilisez les comptes de groupe dans des environnements plusieurs domaines, modifier les exigences dautorisation pour les ressources partages , peut crer des complications dans la liste de contrle daccs.
3-Les options dutilisation pour les comptes de groupe et les groupes de ressource
Comptes dutilisateur
Groupe universel
Comptes dutilisateur
Groupe Global
Groupe Universel
Avantages
Vous pouvez ajouter des comptes de groupe dans des groupes de ressources qui ont les autorisations appropries; Vous pouvez placer les comptes de groupe dans les groupes de ressource des domaines approuvs;
Le groupe local de domaine vous aide uniquement affecter les autorisations sur les ressources appartenant au domaine dans lequel a t cre le groupe de domaine local;
Le groupe de domaine local ne peut pas tre plac au sein dun groupe universel;
Dans les environnements domaine unique, il est recommand de stocker un groupe global dans un autre groupe global pour consolider de nombreux groupes globaux;
csvde Outil en ligne de commande qui utilise un fichier texte pour ajouter des
ldifde
cmdlets
autre langage compatible .Net; Les alias sont stocks dans le profil par dfaut de lutilisateur;
Les variables recevant des valeurs sont acceptes ($date, $servername) Connecte les commandes laide de loprateur ( | ). La sortie de chaque commande est utilise comme entre de la suivante; Stocke une sries de commandes qui dans un script (.ps1) afin de les utiliser dans des tches rptitives;
Les autorisations sur les objets AD scurisent les ressources en permettant de dfinir les administrateurs ou les utilisateurs qui peuvent accder des objets ou des attributs dobjet particulier;
02 catgories dautorisations: Les autorisations standards, ce sont les paramtres de scurit par dfaut appliqus un objet ds sa cration par le systme; Les autorisations spciales, ce sont des autorisations un peu plus dtailles que les prcdentes.
Hritage des autorisations Vous navez pas besoin dattribuer des autorisations aux objets enfant lors de leur cration; Les autorisations attribues aux objets parents sont toujours hrites par les objets enfant;
Les autorisations effectives rsultent de la combinaison des plus hautes autorisations accordes lutilisateur et de tous les groupes dont lutilisateur est membre;
Loutil autorisations effectives calcule les autorisations octroyes un utilisateur ou un groupe spcifi. Le calcule tient compte des autorisations rsultant de lappartenance un groupe , ainsi que des autorisations hrites de lobjet parent.
Cest la possibilit de confier un autre utilisateur ou un groupe, la responsabilit de la gestion des objets AD;
La dlgation de contrle administratif permet: Accorder des autorisations pour crer ou modifier tous les objets dans une unit dorganisation ou dans un domaine; Accorder des autorisations pour crer ou modifier un certain nombre dobjets dans une OU spcifique ou au niveau du domaine; Accorder des autorisations pour crer ou modifier un objet spcifique dans une OU spcifique ou au niveau du domaine; Accorder des autorisations pour modifier lattribut spcifique dun objet dans une OU spcifie ou au niveau dun domaine;
Les approbations autorisent les entits de scurit transmettre leurs informations didentification dun domaine un autre et sont ncessaires pour autoriser laccs aux ressources entre les domaines.
Caractristiques des approbations Transitive ou non transitive, la relation dapprobation stend au-del dune relation 02 domaines pour inclure dautres domaines approuvs; Direction de lapprobation, dfinit le domaine des comptes et le domaine des ressources;
Direction de laccs
Direction de lapprobation
Directions dapprobation:
Unidirectionnelle entrante,
Unidirectionnelle sortante; Bidirectionnelle Protocole dauthentification, protocole que vous utilisez pour tablir et conserver lapprobation (Kerberos ou NT Lan Manager);
Parent / Enfant
nouveau
protocole
domaine
utilis.
Racine darborescence Transitif Deux sens Etablie cration arborescence lors de la
une
fort
existante.
Kerberos protocole
dauthentification
utilis.
TYPE DAPPROBATION
TRANSITIVITE
DIRECTION
DESCRIPTION
dapprobation entre un domaine Kerberos non Domaine Kerberos Transitif ou NonTransitif Sens unique ou deux sens
Windows
2008. Le
et
Windows
protocole
TYPE DAPPROBATION
TRANSITIVITE
DIRECTION
DESCRIPTION
serveur 2003;
Kerberos pour lauthentification;
Amliore
les
ouvertures de session entre deux domaines au Raccourcie Transitif ou NonTransitif Sens unique ou deux sens sein de la mme fort.
Kerberos;
Les objets de domaine approuv (TDO, Trusted Domaine Object) sont des objets reprsentant chaque relation dapprobation dans un domaine particulier. Chaque fois quune relation dapprobation est tablie, un TDO unique est cre et stock (dans le conteur systme) de son domaine. Les attributs tels que la transitivit et le
Lorsquun utilisateur tente daccder une ressource dans un autre domaine, le protocole dauthentification Kerberos V5 doit dterminer si le domaine approuver possde une relation dapprobation avec le domaine approuv;
Pour dterminer cette relation, le protocole Kerberos V5 suit le chemin dapprobation en utilisant le TDO afin dobtenir une rfrence au DC du domaine cible. Le DC cible met un ticket de service pour le service demand;
un
dossier partag de la fort contoso.com . Lordinateur de lutilisateur contacte le KDC dun DC du domaine EMEA.woodgrovebank.com et demande un ticket de service en utilisant le SPN (nom DNS dun hte ou dun domaine)de lordinateur
Les ressources ne sont pas localises sur EMEA.woodgrovebank.com, le DC de EMEA.woodgrovebank.com demande donc au catalogue global de voir si elles se trouvent dans un autre domaine de la fort. Il ne trouve pas le SPN, il recherche alors dans sa base de donnes des informations relatives des approbations de fort qui ont t tablies avec sa fort. Si il en trouve une, il compare les suffixes de noms rpertoris dans le TDO de lapprobation de fort par rapport au suffixe du SPN cible. Sil trouve une correspondance, le catalogue global fournit les informations de routage relatives la manire de localiser les ressources au DC
1. 2. 3.
Ajout dun objet au service de domaine AD; Modification des valeurs dattribut dun objet; Suppression dun objet de lannuaire; La suppression dun objet de lannuaire gnre la cration dun objet tombstone. Lobjet tombstone est en ralit, lobjet dorigine avec un attribut dfini pour indiquer que lobjet a t supprim.
Les attributs (GUID, SID, USN et nom unique) sont ncessaires lidentification de
La dure de vie dun objet tombstone est de 60 jours, au terme de ce dlai, chaque DC supprimera lobjet tombstone de sa copie de la base de donnes.
Au sein du mme site, le processus de rplication est lanc par une notification du DC metteur;
Les DC avertissent les partenaires de rplication lorsque des mises jour sont appliques;
La modification des attributs sensibles la scurit dans Active Directory , oblige le DC source gnrer une notification immdiate des partenaires de rplication via une rplication urgente;
Les mises jour de rplication gnre un trafic de rplication qui nest pas compress parce quil y a une connexion rseau rapide pour relier tous les ordinateurs du site. Un trafic de rplication non compress prserve les
performances du serveur;
Les conflits de rplication peuvent survenir lorsque: Le mme attribut est modifi simultanment sur deux DC;
Pour rsoudre les conflits de rplications, AD DS utilisent un timbre unique attach chaque valeur de lattribut rpliqu. Ce timbre contient: Le numro de version; Horodatage
GUID du serveur
La base de donnes des services de domaine AD est repartie logiquement en partition dannuaire: La partition de schma, Dfini tous les objets et attributs au sein du service dannuaire; Contient les rgles de cration et de manipulation des objets et des attributs;
La partition de configuration,
Contient des informations sur la structure (Fort, domaines et sites) Active Directory; La partition de domaine, Stocke au sein de chaque DC dun domaine; Contient des informations sur les objets spcifiques au domaine;
La topologie de rplication est litinraire suivi par les donnes de la rplication travers un rseau.
AD DS cre une topologie de rplication en se basant sur linformation contenue au sein de AD DS. La topologie de rplication peut diffrer en fonction des partitions
Les partenaires de rplication sont des DC qui sont lis par des objets de connexion. Un objet de connexion est un chemin de rplication unidirectionnel entre deux objets de serveur (DC source et destination). Les objets de connexion
Sur un site, la topologie de rplication est redondante et tolrante aux pannes. En effet, si le site contient plus de 02 DC, chaque DC aura au moins 02 partenaires de rplication pour chaque partition AD DS;
La rplication des partitions de schma et de configuration sur tous les DC ; La rplication de la partition de domaine se fait par tous les DC du mme domaine; La partition dapplication est galement rplique vers les DC du domaine;
Lajout de DC un site, conduit AD DS utiliser le vrificateur de cohrence de connaissances (KCC) pour tablir un chemin de rplication entre les DC;
KCC est un processus intgr qui sexcute sur chaque DC et gnre la topologie de rplication pour toutes les partitions dannuaire contenues au sein dun DC;
KCC sexcute toutes les 15 minutes et gnre le chemin de rplication entre les
Lorsque vous ajoutez un nouveau DC un site, KCC cre les objets de connexion ncessaires de manire intgrer les DC dans la topologie de rplication. Pour crer les objets de connexion, KCC configure chaque DC avec 02 partenaires de rplication directs pour la partition dannuaire.
Chaque objet de connexion est un chemin de rplication unidirectionnelle. KCC cre 02 objets de connexion sens unique entre 02 DC, puis KCC utilise chaque
Les sites permettent de contrler le trafic de rplication, de connexion et les requtes des machines clientes vers le serveur de catalogue global. Les sites permettent de dfinir la structure physique du rseau. Les sous rseaux disposant de plages dadresses TCP/IP qui dfinit un groupe de
Les sites disposent dobjets serveur, qui contiennent des objets de connexion pour grer la rplication; Les objets sous-rseaux identifient les adresses qui mappent des ordinateurs aux
sites;
AD DS cre un site par dfaut lorsquon installe le premier DC dans une fort (Default-First-Site-Name), qui y sera dailleurs plac; Un lien de site runie 02 sites pour leur permettre dchanger des donnes de
rplication. Cest aussi un chemin logique utilis par KCC pour tablir la rplication
entre les sites. La cration du premier domaine gnre un lien de site par dfaut (DEFAULTIPSITELINK)
Il faut sassurer que chaque site dispose dun serveur de catalogue global pour permettre lauthentification des utilisateurs;
Il est possible de dplacer un DC dun site vers un autre, condition de modifier les
La cration de multiple sites et liens de sites entre les DC, permet dviter la congestion des donnes de rplication;
La rplication des services de domaine AD peut garantir une utilisation optimale du rseau dans une fort contenant plusieurs sites.
Les chemins de rplication rseau entre sites permettent dacheminer le trafic de rplication des services de domaine AD, il est possible de les configurer en configurant le cout du lien de site. Le cout du lien de site est un numro que lon
peut affecter un lien, il est bas sur la vitesse relative et la fiabilit du rseau; un
cout de lien de site bas et une priorit de lien lev rendra un chemin de rplication privilgi et utilisable par AD DS;
Il est possible de configurer la planification et la frquence de la rplication. La valeur par dfaut de la frquence de rplication est de 180 minutes. Cette valeur doit tre comprise entre (15 minutes et 1 semaine);
La rplication vers les RODC est unidirectionnelle, elle garantit que les modifications
Le KCC dun DC du site est dsign comme gnrateur de topologie inter site (ISTG) du site. LISTG: Calcule la topologie idale de rplication du site; Il existe un seul gnrateur de topologie inter site par site et ce, quelque soit le nombre de domaines ou de partitions dannuaire que comporte le site;
Les points considrer lors de la configuration manuelle des serveurs tte de pont: Un serveur tte de pont doit tre dsign pour chaque domaine du site;
Vous pouvez spcifier une liste de serveur tte de pont prfrs, en cas
dindisponibilit dun des serveurs, le second sur la liste prfre sera promu;
Tous les liens de sites des services de domaine AD sont transitifs ou de type pont. Si le site A possde un lien de sites commun avec le site B, le site B possde galement un lien de sites commun avec le site C et les deux liens de site sont relis par un pont (pont entre lien de sites). Les DC du site A peuvent rpliquer directement avec
les DC du site C, mme si , il nexiste aucun lien de sites entre les sites A et C;
Vous pouvez modifier la configuration de pontage des liens de site par dfaut en dsactivant le pontage de liens de sites, puis en le configurant uniquement pour les liens qui doivent tre transitifs;
Le pontage de liens de sites peut tre utilis pour configurer la rplication pour une organisation qui dispose de nombreux petits sites connects un backbone rapide, via des liaisons rseaux lentes;
Configuration de la stratgie de groupe Configuration de ltendue des objets de stratgie de groupe Evaluation de lapplication des objets de stratgie de groupe
Un objet de stratgie de groupe dsigne la collection de paramtres qui sont appliqus des utilisateurs et des ordinateurs slectionns;
Les
paramtres
de
stratgie
de Logiciels
Windows Scurit Bureau
Au dmarrage de lordinateur: Obtention dune liste de GPO pour lordinateur depuis AD Application des paramtres de lordinateur; Excution des scripts de dmarrage;
Les stratgies de groupe sont actualises toutes les 90 minutes , auxquelles, il faut ajouter un intervalle de 0-30 minutes, soit finalement 120 minutes;
Pour les liaisons lentes (500kbits/s), certaines extensions ct client ne sont pas traites;
Fichiers modles de stratgie de groupe utiliss par les stratgies de groupe Les fichiers ADM Copis dans chaque objet de stratgies de groupe du rpertoire SYSVOL; Difficils personnaliser; Chaque nouveau GPO cre occupe 4Mo sur le DC;
Les fichiers ADMX Nouveau format daffichage des paramtres de stratgie bass sur le registre; Utilisent un langage neutre;
Il offre un rfrentiel central pour les fichiers ADMX et ADML; Il est stock dans le rpertoire SYSVOL; Il doit tre cre manuellement; Il est dtect automatiquement par Windows serveur 2008 ou Windows Vista
6-Dmo
Domain
Unit dorganisation Unit dorganisation enfant
Blocage de lhritage
Par dfaut, les objets enfants hritent des objets de stratgie de groupe des
objets parents. Il est possible de bloquer lhritage des stratgies pour un domaine ou une unit dorganisation;
Filtrage laide des groupes de scurit Permet de slectionner un groupe de scurit qui nhritera pas des paramtres lis une stratgie de groupe ou un groupe de scurit qui hritera exclusivement des paramtres dune stratgie de groupe donne;
Filtrage en utilisant des filtres WMI Un filtre WMI (Windows Management Instrumentation) peut tre ajout un GPO; Le filtre WMI permet de spcifier des critres qui doivent tre remplis pour que le GPO li soit appliqu un ordinateur; Le traitement en boucle Par dfaut, si un utilisateur se connecte sur un ordinateur appartenant une OU sur laquelle est dfinie un GPO (lutilisateur nappartenant pas cette OU), la configuration ordinateur de cette stratgie sapplique cumule la configuration utilisateur du GPO dfinie sur lOU laquelle appartient lutilisateur. Il est possible de ne pas prendre en compte la stratgie de lutilisateur en activant le traitement en boucle: Le mode fusion (par dfaut), qui va appliquer la configuration de lutilisateur et celle du poste sur lequel lutilisateur se connecte; Le mode remplacement, qui va permettre de ne prendre en compte que les
Les rapports de stratgie de groupe permettent de planifier et rsoudre les problmes de stratgie de groupe. GPResult.exe Gpresult /R; Affiche le jeu de stratgie rsultant (RSOP, Resultant Set Of Policy) pour un utilisateur ou un ordinateur; Fournit des informations sur la dernire fois ou les stratgies ont t appliques; Les stratgies de groupe qui ont t appliques ainsi que lordre dans lequel,
elles lont t;
Les stratgies de groupe qui nont pas t appliques; Les groupes de scurit auxquels appartiennent lutilisateur et lordinateur concern;
La console de GPMC Clic droit sur Rsultat de la stratgie de groupe de la console GPMC; Affiche les rsultats dtaills des stratgies de groupe appliqus aux utilisateurs
ou aux ordinateurs;
Vous pouvez imprimer ou sauvegarder ces rapports au format HTML ; Elle renvoi les paramtres qui sont rellement appliqus ,incluant les paramtres de stratgie de groupe locaux; Prrequis lutilisation de la GPMC Il faut quun utilisateur se soit prcdemment authentifi sur un ordinateur donn, pour tester un ensemble de paramtres inhrents ce dernier; Le port RPC doit tre ouvert sur les machines distantes;
Lassistant modlisation de stratgie de groupe calcule leffet net simul des objets de stratgie de groupe.
Lappartenance au site;
Lappartenance au groupe de scurit; Les filtres WMI; Les liaisons lentes; Le traitement en boucle; Les effets du dplacement des objets utilisateur ou ordinateur vers un autre conteneur AD;
Lassistant modlisation de stratgie de groupe tourne sur un DC et nest jamais utilis pour interroger une machine cliente;
Ils
stockent
une
collection
de
paramtres
de
la
stratgie
de
modles
Il peut tre export dans des fichiers .cab; Peut tre import dans dautres zones de lentreprise;
Configuration des paramtres de stratgie de groupe; Configuration de scripts et redirection de dossiers laide dune stratgie de groupe; Configuration des modles dadministration; Configuration des prfrences de stratgie de groupe;
Pour quun paramtre de stratgie de groupe ait un effet, vous devez le configurer. La plupart des paramtres de stratgie de groupe ont 03 tats , savoir: Activ; Dsactiv;
Non configur;
Vous devez galement configurer les valeurs de certains paramtres de stratgie de groupe.
Les scripts peuvent tre utiliss pour effectuer diffrentes tches (suppression du contenu temporaire) au dmarrage ou larrt dun ordinateur, lorsquun utilisateur se connecte ou se dconnecte; Les stratgies de groupe affectent des scripts aux ordinateurs et aux utilisateurs Scripts de dmarrage et darrt de lordinateur
Les scripts douverture et de fermeture de session Les scripts douverture et de fermeture de session sont pris en charge par la configuration des utilisateurs; Lors de la connexion, la stratgie de lutilisateur est applique suivi du traitements des scripts douverture de session; Par dfaut, les scripts douverture de session bass sur les stratgies de groupe
En redirigeant les dossiers, vous changez leur emplacement sur le disque dur local de lordinateur de lutilisateur par un dossier partag sur un serveur de fichiers du rseau.
La fonction de redirection de dossiers facilite ladministration et la sauvegarde des donnes. En redirigeant les dossiers, vous garantissez laccs de lutilisateur aux donnes indpendamment de lordinateur sur lequel il ouvre une session.
Bureau;
Menu Dmarrer
Si vous devez crer manuellement un dossier rseau partag pour y stocker les dossiers redirigs, la fonction de redirection des dossiers peut crer pour vous les dossiers redirigs par les utilisateurs. Dans ce cas, les autorisations appropries sont automatiquement configures. Si vous crez manuellement les dossiers, vous devez connaitre les autorisations appropries:
Crateur / Propritaire Administrateur Groupe de scurit des utilisateurs qui placent des donnes sur partage System local
Crateur/Propritaire Groupes de scurit des utilisateurs qui placent des donnes sur partage
Les modles dadministration vous permettent de contrler lenvironnement du systme dexploitation et lexprience de lutilisateur;
Les modles dadministration sont le principal moyen de configurer les paramtres de registre (HKEY_LOCAL_MACHINE & HKEY_CURRENT_USER) de lordinateur client via les stratgies de groupe;
Les sections des modles destines aux utilisateurs Composants Windows; Menu Dmarrer et barre des tches; Bureau; dadministration
Les sections des modles dadministration destines aux ordinateurs Composants Windows; Systme; Rseau Imprimantes
Panneau de configuration;
Dossiers partags; Rseau; Systme;
Les fichiers ADMX : Sont extensibles; Peuvent tre dits dans nimporte quel diteur de texte; De nouveaux fichiers ADMX peuvent tre joints au dossier dfinitions de stratgies ou au magasin central;
Ils ne sont pas mis en uvre; Permettent aux informaticiens de configurer, de dployer et de grer des paramtres de systme dexploitation et dapplication qui ne pouvaient pas tre grs laide dune stratgie de groupe;
Paramtres de stratgie de groupe Prfrences de stratgie de groupe Sont crites aux emplacements normaux du registre utiliss par la fonctionnalit de lapplication ou du systme dexploitation pour stocker le paramtre; nentrainent pas la fonctionnalit de lapplication ou du systme dexploitation dsactiver linterface utilisateur pour les paramtres configurs actualisent les prfrences laide du mme intervalle que les paramtres de stratgie de groupe par dfaut.
Mettent strictement en uvre des paramtres de stratgie en les crivant dans les zones du registre que les utilisateurs standard ne peuvent pas modifier ; En dsactivant gnralement linterface utilisateur pour les paramtres utiliss par la stratgie de groupe
Les stratgies de scurit sont des rgles qui servent protger des ressources sur les ordinateurs et les rseaux. La stratgie de groupe permet de configurer un grand nombre de ces rgles comme paramtres de stratgie de groupe; Stratgies de comptes Stratgies locales Journal des vnements Groupes restreints Stratgies de mot de passe, verrouillage de comptes et stratgies Kerberos; Stratgies daudit, attribution des droits utilisateurs et les options de scurit Dure, mthode, taille et accs aux journaux de scurit, systme et application Utilisateurs particuliers; bnficiant de privilges
Services systme
Registre
Systme de fichiers
Fournit des stratgies de compte pour le domaine; les autres paramtres ne sont pas configurs par dfaut;
Utilis pour fournir des paramtres de scurit qui affectent tout le domaine;
Stratgies
Description
Appliquer lhistorique des mots de passe; Antriorit maximale du mot de passe; Antriorit minimale du mot de passe; Longueur minimale du mot de passe; Mots de passe complexe; Dure de verrouillage; Seuil de verrouillage Rinitialiser le compteur de verrouillage de compte aprs;
Mot de passe
Verrouillage de comptes
Les stratgies locales dterminent les options de scurit pour un utilisateur compte de service;
ou
Chaque ordinateur excutant Windows 2000 et versions ultrieures dune stratgie de scurit locale faisant partie de groupe locale;
Dans un groupe de travail, vous devez configurer des stratgies de scurit locales
pour fournir la scurit;
La stratgie de domaine prsance sur les stratgies locales en cas de conflit; Vous pouvez affecter des droits locaux via des stratgies de groupes locales; Les options de scurit contrlent de nombreux aspects de la scurit dun ordinateur;
5-Description de la stratgie par dfaut du contrleur de domaine Lie lunit dorganisation Domain Controlers. Affecte les contrleurs de domaine et les objets AD DS; Laudit permettra didentifier les utilisateurs responsables de modifications portant sur les rpertoires, les dates de modification Permettent de renforcer la scurit du DC et du rseau;
Stratgies daudit
Options de scurit
Les stratgies de mots de passe affines: Autorisent lexistence de plusieurs stratgies de mot de passe dans le mme domaine; Employes pour appliquer diffrentes restrictions pour les stratgies de verrouillage de compte et de mots de passe diffrent groupe dutilisateur dun domaine;
Le stockage de stratgies de mots de passe affins par Windows 2008 serveur inclut 02 nouvelles classes dobjet dans le schma AD: Conteneur de paramtres de mot de passe (PSC); Cre par dfaut dans le conteneur systme du domaine qui stocke les objets paramtres de mot de passe dans ce domaine; Vous ne pouvez pas renommer ce conteneur, ni le dplacer ou le supprimer; Objet paramtre de mot de passe (PSO); Stratgies de mot de passe;
1ere tape: Cration des groupes de scurit globales mapps sur les OU (groupes intermdiaires )concerns et ajout des utilisateurs appropris ces groupes, parce que les PSO ne sappliquent pas aux OU;
2 me tape: Cration des objets paramtres de mot de passe pour toutes les stratgies de mot de passe dfinies. Chaque PSO cre contiendra une seule
3 me tape : Application des objets paramtres de mot de passe aux utilisateurs ou aux groupes de scurit globale appropris;
Le PSO directement li un objet utilisateur est prioritaire sur les PSO lis aux objets groupe; Si plusieurs objets PSO sont lis un utilisateur ou un groupe, lobjet PSO rsultant qui est appliqu est dtermin de la manire suivante : Un objet PSO qui est li directement lobjet utilisateur est lobjet PSO rsultant. Si
aucun objet PSO nest li lobjet utilisateur, les appartenances aux groupes de
scurit globaux de lutilisateur (et tous les objets PSO applicables lutilisateur en fonction de ces appartenances aux groupes globaux) sont compares. Lobjet PSO avec la plus petite valeur msDS-PasswordSettingsPrecedence est lobjet PSO
rsultant.
Si aucun objet PSO nest obtenu partir des conditions prcdentes, la stratgie de domaine par dfaut est applique.
Les groupes restreints: groupes pour lesquels, la scurit est un facteur sensible;
La stratgie de groupe restreint Dfinir les utilisateurs qui appartiennent ou non au groupe restreint ; Dfinir les groupes dont font parti le groupe restreint;
3-Description de la stratgie de restriction logicielle Mcanisme fond sur une stratgie pour identifier et contrler le logiciel sur un ordinateur client; Mcanisme restreignant linstallation de logiciels et les virus; Autorise par dfaut tous les logiciels sexcuter sur un ordinateur, mais ncessite la configuration de rgles supplmentaires pour bloquer des applications spcifiques. Redmarrer lordinateur si le GPO Non restreint sapplique la configuration ordinateur; Redmarrer la session, si le GPO sapplique la configuration utilisateur;
Utilisateur standard
utilis pour autoriser lexcution dune application par un utilisateur qui ne dispose pas de droit administrateur;
Rejet
Utilis dans des environnements de trs haute scurit. Chaque application ncessite une rgle spcifique pour sexcuter sur un ordinateur, par un utilisateur disposant des autorisations
Les stratgies de restriction logicielle utilisent des rgles pour dterminer si une application est autorise tre excute. Pour crer une rgle:
Identifier
lapplication;
Contrle le mode daccs aux zones Internet; Sutilise dans les environnements haute scurit pour contrler laccs aux applications web;
1-Description des modles de scurit Le modle de scurit est un ensemble de paramtres de scurit configurs. Utilisez le composant logiciel enfichable Modles de scurit pour crer ou personnaliser des modles;
Cre au cours de linstallation de lordinateur. Contient les paramtres de scurit par dfaut et peut tre utilis sur les serveurs et les ordinateurs clients. Automatiquement cre lorsquun ordinateur est promu DC. Contient tous les paramtres par dfaut des rpertoires, fichiers, registres et autres services systme
Dc security.inf
compatws
Contient les autorisations par dfaut initialement accordes aux groupes locaux administrateurs, utilisateurs avec pouvoir et utilisateurs;
Secure.inf
Hisec.inf
cryptage renforc et la signature pour les donnes de canaux scuriss qui tablissent des relations de confiance de domaine membre de domaine.
Lobservateur dvnement vous permet dafficher des vnements provenant de lordinateur local ou dun ordinateur distant;
Windows server 2008 a la capacit de collecter des copies dvnements sur plusieurs ordinateurs distants pour les stocker en local. Pour cela, il suffit de crer un abonnement aux vnements pour spcifier les vnements collecter.
La fonction de collecte dvnements, ncessite la configuration simultane de lordinateur qui transfre et celui qui collecte les vnements: Cette fonctionnalit dpend du service de Gestion distance de Windows (WinRM) et du service de Collecteur dvnements de Windows (Wecsvc); Ces deux services doivent tre excuts sur les ordinateurs participant aux processus de transfert et de collecte.
Lanalyseur de fiabilit et de performances vous permet deffectuer les oprations suivantes: Effectuer une surveillance en temps rel; Collecter des donnes;
de lutilisation du processeur, du disque, du rseau et de la mmoire; Fournit un affichage visuel des compteurs
Analyseur de performance
de
performance
Windows
intgrs,
en
donnes en lments rutilisables pour les utiliser dans diffrents scnarios danalyse de performances.
Rapports de diagnostics
Lanalyse des services de domaine AD permet de conserver la cohrence des donnes dannuaire, ainsi que le niveau de service requis dans la fort.
Lanalyseur de performance est un outil de visualisation permettant de visualiser les donnes de performance en temps rel et des fichiers journaux;
Nombre total doctets reus par le biais de la rplication; NTDS \ Nombre total doctets DRA entrants /s Nombre total doctets de donnes compress et non compress; Si, il nindique pas lactivit au fil du
Nombre
dobjets
provenant
de
DC
rpliqus voisins;
Nombre
Labsence
total
doctets
sur
de
ce
donnes
compteur
compress et non compress; NTDS \ Nombre total doctets DRA sortants /s dactivit indique gnralement que le matriel du
serveur
ou
des
problmes
rseau
ralentissent la rplication;
Nombre de synchronisations d'annuaire qui sont en attente pour ce serveur et non NTDS \ Nombre de synchronisations de rplication DRA en attente encore traites. Ce compteur vous aide dterminer les retards de rplication. Plus la valeur est
domaine.
Nombre actuel de threads utilises par le NTDS \ Nombre de threads du service d'annuaire utilises service d'annuaire. Labsence de fonctionnement indique des problmes rseaux qui perturbent les
Lensemble des collecteurs de donnes reprsente une nouvelle fonctionnalit de lanalyseur de performance et de fiabilit, il regroupe dans un composant unique plusieurs points de collecte de donnes qui peuvent tre utiliss pour examiner ou journaliser les performances; ils peuvent tre configurs de manire gnrer des alertes quand les seuils sont atteints;
Les ensembles de collecteurs de donnes peuvent contenir les types de collecteurs de donnes suivants: Compteurs de performance; Donnes de suivi dvnements; Informations de configuration du systme (valeurs de clef de registre);
1-Description de laudit
Laudit est processus qui surveille les objets spcifis et enregistrent les modifications dans des fichiers journaux; La Liste de contrle daccs systme (SACL) , est la partie du descripteur de scurit dun objet qui spcifie les oprations qui doivent tre audites pour une entit de scurit. Elle constitue toujours lautorit ultime pour dterminer si une vrification daccs doit ou non tre audite. La stratgie daudit AD DS est divise en 04 sous catgories: Accs au service dannuaire ( dfinie pour le succs par dfaut, concerne les objets) Modification du service dannuaire ( modification des attributs AD DS); Rplication du service dannuaire( information sur la rplication);
Utilisez loutil de ligne de commande Auditpol.exe pour afficher ou dfinir des souscatgories de stratgie daudit;
2- Les types dvnements auditer Cration dun nouvel objet au sein du service dannuaire; Modification avec succs dun attribut au sein de AD DS; Dplacement dun objet au sein du domaine AD DS; Restauration dun objet au sein du service dannuaire; ID de lvnement 4662 4722 4726 4738 5136 5137 Catgorie Accs AD DS Evnement Opration effectue sur un objet AD DS
Activation utilisateur
Suppression utilisateur Modification utilisateur
dun
dun dun
compte
compte compte
5138
Suppression objet AD DS
annule
dun
fichier
temporaire qui stocke des informations sur les transactions en cours. Contient galement les pages qui sont tires de Ntds.dit pendant le compactage.
Ebdres00001.jrs
La dfragmentation rorganise les donnes stockes dans la base de donnes AD: La dfragmentation hors connexion, permet de rorganiser des pages dans la base de donnes AD et de crer une version compresse du fichier de base de donnes (ntds.dit).
Vous pouvez interrompre les services de domaine Active Directory (AD DS) pour effectuer certaines tches telles que la dfragmentation hors connexion de la base de donnes AD DS, sans avoir redmarrer le contrleur de domaine. Considrations relatives lutilisation du redmarrage des services de domaine Active Directory (AD DS) Bien que vous ne puissiez pas dmarrer un contrleur qui excute Windows Server 2008 alors quil est en tat Arrt des services de domaine Active Directory, vous pouvez le faire en mode de restauration de services dannuaire(DSRM). Si le contrleur de domaine est un serveur DNS (Domain Name System), il ne rpondra aucune requte de zones intgres Active Directory tant que les services de domaine Active Directory seront arrts. Les services qui ne dpendent pas des services de domaine Active Directory
continuent fonctionner lorsque ces derniers sont arrts. En revanche, les services
(Rplication de fichiers, Centre de distribution de cls Kerbela et Messagerie intersite. ) qui en dpendent prennent fin avant larrt des services de domaine Active Directory.
Un contrleur de domaine qui excute Windows Server 2008 peut tre dans trois tats : tat Dmarr des services de domaine Active Directory; AD DS fonctionne normalement; tat Arrt des services de domaine Active Directory Serveur membre; AD DS est temporairement arrt, en attendant un redmarrage; Mode de restauration des services dannuaire.
Serveur membre;
AD DS ne peut pas redmarrer; Sauvegarde et restauration de AD autorise;
2-Les fonctionnalits de sauvegarde de Windows serveur Le service Sauvegarde de Windows Server ou loutil Wbadmin.exe; Stocker les sauvegardes planifies sur un disque physique local qui nheberge pas les volumes critiques. Le volume sauvegard doit tre stock sur un emplacement tendance effectuer diffrent du volume source; La sauvegarde planifie Sauvegarde planifie formater le lecteur cible; Vous ne pouvez pas une
CD & DVD; Impossible faire sur bande & disque dynamique; Aprs avoir configur un disque pour la sauvegarde planifie, Windows gre automatiquement lutilisation du disque (suppression des anciennes sauvegardes pour les remplacer par de nouvelles et rutilisation de lespace, affichage des sauvegardes disponibles et des informations disponibles);
sauvegarde
manuelle
ou
la
demande
peut
tre
initie
par
les
3-Comment Sauvegarder AD DS ?
1-Fonctionnement des travaux de restauration AD DS Restaure ltat du service dannuaire au moment ou la sauvegarde a t cre; Restauration normale Les donnes sont alors mise jour en utilisant le processus normal de rplication;
des donnes.
Initie lorsque:
Perte de donnes au sein de AD DS; Donnes endommages;