Vous êtes sur la page 1sur 152
MIT-Dakar Monsieur Karell BILONGO-MANENE

MIT-Dakar Monsieur Karell BILONGO-MANENE

 Installation de AD DS;  Installation avancées; de AD DS en utilisant les options 
  • Installation de AD DS;

  • Installation

avancées;

de

AD

DS

en

utilisant

les options

  • Déploiement de contrôleurs de domaine en lecture seule;

  • Configuration des rôles de contrôleur de domaine des services de domaine AD;

Configuration logicielle

Configuration réseau

Autorisations d’administrateur

Ordinateur exécutant Windows Serveur 2008 (Standard, Enterprise, Datacenter); Partition NTFS minimale de 10 Go;

TCP/ IP configuré, y compris les paramètres DNS client; Un serveur DNS prenant en charge les mises à jour dynamiques doit être configuré sur le contrôleur de domaine

Autorisations d’administrateur local pour installer le premier contrôleur de domaine dans une forêt; Autorisations d’administrateur de domaine pour installer des DC supplémentaires; Autorisations d’administrateur d’Entreprise pour installer d’autres domaines dans une forêt;

2-Les niveaux fonctionnels du domaine et de la forêt

Niveau fonctionnel

Description

 
 

Utilisation du protocole DFS-R pour

Domaine

répliquer SYSVOL en lieu et place de FRS; Support du chiffrement AES 128 et AES

256

au

niveau

de

la

méthode

d’authentification Kerberos; Création de multiples stratégies de mots de passe et de verrouillage de comptes;

Forêt

Rien de nouveau par rapport à 2003

3-Comment installer le rôle AD-DS?

Installation du rôle des services de domaine AD en utilisant le gestionnaire de serveur;

  • Gestionnaire de serveur, console MMC étendue qui vous permet de gérer pratiquement toutes les informations et tous les outils qui affectent la productivité de votre serveur;

  • SYSVOL (System Volume), répertoire partagé qui stocke la copie serveur des fichiers publics d’un domaine qui sont partagés pour un accès et une réplication dans tout le domaine (stratégie de groupe, scripts d’ouverture de session)

TP: Installer le rôle AD-DS

4-Vérification de l’installation de AD-DS

  • Evaluez les événements en utilisant la MMC Services de domaine AD;

  • Vérifiez la présence du domaine préalablement crée, du DC , son type et le site en utilisant la MMC utilisateur et ordinateur AD;

  • Utilisez la MMC Sites et services AD pour afficher et définir les sites étrangers et des ordinateurs étrangers;

  • Vérifiez la présence du fichier ndts.dit et du répertoire Sysvol;

 Sélectionnez: ◦ Le mode avancé dans l’assistant installation; ◦ dcpromo /adv;  Le mode avancé
  • Sélectionnez:

Le mode avancé dans l’assistant installation;

dcpromo /adv;

  • Le mode avancé est nécessaire pour:

Créer une nouvelle arborescence de domaine; Modifier le nom NETBIOS par défaut du domaine; Définir la stratégie de réplication du mot de passe pour un RODC; Sélectionner le DC source pour l’installation;

1- Mise à niveau vers les services de domaine AD de Windows 2008 serveur

Domaine Windows 2000 ou 2003 serveur existant:

Si le DC est le premier DC Windows 2K8 de la forêt Etendre le schéma sur le maitre d’opérations du schéma en exécutant adprep /forestprep; Si le DC est le premier DC Windows 2K8 d’un domaine Windows 2000 Serveur Exécutez adprep /domainprep /gpprep sur le maitre d’infrastructure ; Le commutateur gpprep ajoute des entrées de contrôle d’accès (ACE) héritables aux GPO situés dans SYSVOL; Si le DC est le premier DC 2K8 d’un domaine Windows 2003 Serveur Exécutez adprep /domainprep sur le maitre d’infrastructure;

Lien:http://www.labo-microsoft.org/articles/win/Replication-AD/3/

2-Installation de AD-DS sur un ordinateur serveur core

  • Pour installer AD-DS sur un ordinateur serveur core, effectuez une installation sans assistance à l’aide d’un fichier de réponse;

  • dcpromo

/answer:nom_fichier

1-Description et fonctionnalités du DC en lecture seule  Il héberge les partitions en lecture seule

1-Description et fonctionnalités du DC en lecture seule

  • Il héberge les partitions en lecture seule de la base de données des services de domaine AD;

  • La réplication des services de domaine AD dans son ensemble utilise une connexion unidirectionnelle entre le DC disposant d’une copie inscriptible de la base de données et le RODC;

  • Peuvent être déployé sur des serveurs exécutant Windows Serveur 2008 server core pour accroitre la sécurité;

  • Ne peuvent pas détenir de rôles de maitres d’opérations;

  • Mise en cache des informations d’identification;

  • DNS en lecture seule;

2-Préparation de l’installation du RODC

  • Définir le niveau fonctionnel du domaine et de la forêt

La

forêt et

le domaine doivent être au niveau fonctionnel Windows

serveur 2003;

  • Planifier la disponibilité du DC Windows serveur 2008

Vérifiez qu’un DC inscriptible exécutant Windows serveur 2008 est disponible pour répliquer la partition du domaine;

  • Préparer la forêt et le domaine

Exécutez

adprep

/rodcprep

pour permettre au RODC de

répliquer des partitions;

 

Exécutez

adprep

/domainprep

dans tous les domaines

si

le RODC est destiné à être un serveur de catalogue global;

3-Installation du RODC

  • Choisissez

l’option

domaine existant;

d’installation

d’un

DC

supplémentaire

dans

un

  • Sélectionnez l’option installation d’un RODC dans l’assistant Installation des services de domaine AD;

  • Choisissez l’option d’installation avancée si vous souhaitez configurer la stratégie de réplication de mots de passe;

  • Pour installer un RODC sur une installation serveur core, utilisez un fichier d’installation sans assistance avec la valeur ReplicaOrNewDomain = ReadOnlyReplica;

4-Délégation de l’installation d’un RODC

  • Créer au préalable le compte de l’ordinateur RODC dans le conteneur des contrôleurs de domaine;

  • Affectez un utilisateur ou un groupe avec l’autorisation d’installer le RODC;

  • Pour terminer une installation déléguée de RODC, exécutez

dcpromo

/UseExistingAccount:Attach ;

5-Description des stratégies de réplication des mots de passe

  • La stratégie de réplication des mots de passe détermine comment le RODC effectue la mise en cache des informations d’identification de l’utilisateur authentifié;

Par

défaut,

le

d’identification

ordinateurs;

RODC

ne

met

pas

en

cache

les

informations

d’utilisateur

ou

celles

d’identification

des

  • Options de configuration:

Pas d’informations d’identification mises en cache;

Activer

la mise en cache d’information d’identification sur un

RODC pour des comptes spécifiés; Ajouter des utilisateurs ou des groupes au groupe mot de passe autorisé de RODC afin que les informations d’identification soient mises en cache sur tous les RODC;

1-Description des serveurs de catalogue global  L e GC est une réplique partielle (jeu limité

1-Description des serveurs de catalogue global

  • Le GC est une réplique partielle (jeu limité d’attributs pour chacun des objets de la forêt) en lecture seule de toutes les partitions d’annuaire de domaine d’une forêt.

  • Le serveur de catalogue global est un contrôleur de domaine qui héberge également le catalogue global;

2-Description des rôles de maître d’opérations

Controleur de schema

(01) par forêt; Effectue toutes les mises à jour du schéma AD;

 

(01) par forêt;

Maitre d’attribution de noms de

Gère l’ajout et la suppression de

domaine

tous les domaines et partitions

d’annuaire;

Maitre RID

(01) par domaine; Alloue les blocs RID à chaque DC dans le domaine;

Emulateur PDC

(01) par domaine; Réduit le delai de réplication en cas de modification des mots de passe; Synchronise l’heure sur tous les DC dans le domaine;

Maître d’infrastructure

(01) par domaine; Actualise les références d’objets dans son domaine qui pointent vers

l’objet dans un autre domaine;

MODULE 2

MODULE 2  Présentation de l’intégration des services de domaine AD et de DNS;  Configuration
  • Présentation de l’intégration des services de domaine AD et de DNS;

  • Configuration des zones intégrées des services de domaine AD;

  • Configuration des zones DNS en lecture seule ;

1-Intégration des noms DNS services de domaine AD et de l’espace de  Il n’est pas
1-Intégration des
noms DNS
services
de domaine
AD
et
de
l’espace
de
Il
n’est
pas obligatoire
d’installer
le service
DNS
sur
un
DC,

néanmoins, il est recommandé d’installer le service DNS sur un DC

parce qu’il permettra d’intégrer les zones DNS à AD;

  • Le nom de la zone DNS qui héberge AD doit être similaire à celui de la forêt;

  • Les espaces de noms public et privé doivent être différents, pour y parvenir, on pourrait utiliser les concepts de sous-domaine, de délégation et de redirection;

  • La mise en œuvre de AD nécessite au moins un serveur DNS, il est recommandé de se doter d’un second serveur DNS pour assurer la redondance. Si l’organisation dispose de nombreux sites, alors, il est recommandé d’installer un serveur DNS sur chaque site pour résoudre les requêtes locales;

  • Il est recommandé d’intégrer et de stocker les fichiers de zone DNS au sein d’AD (sécurité, configuration du transfert de zones);

2-Enregistrement du localisateur de service (SRV)

  • Les enregistrements de ressource SRV permettent aux clients DNS de localiser et d’identifier des ordinateurs qui héberge des services TCP/IP spécifiques (DC).

  • La création du domaine DNS racine d’une nouvelle forêt AD basée sur 2K8 engendre 02 zones DNS:

Une zone DNS est dédiée au domaine racine de la forêt, elle stocke par défaut, les données de zone DNS au sein de la partition d’annuaire de domaine, il s’ensuit une réplication sur tous les DC du domaine ;

Une zone DNS dédiée au sous domaine _msdcs.ForestName, elle stocke par défaut, les données de zone DNS ( uniquement les RR SRV) au sein de la partition d’annuaire d’application DNS à l’echelle de la forêt (ForestDnsZones), il s’ensuit une réplication vers tous les DC hébergeant le service DNS au sein de la forêt. Le processus NetLogon génère dynamiquement les enregistrements SRV sur chaque DC;

3-Gestion des enregistrements de ressources SRV inscrits par

des DC AD-DS (Démo)

Utilisez la MMC DNS et supprimer les RR SRV au niveau de la zone DNS du domaine racine de la forêt (_tcp);

Redémarrez

Netlogon

(outils

Netlogon / Redémarrer);

d’administration

/

Services

/

Revérifiez _tcp sous la zone DNS du domaine racine de la forêt en lançant la MMC DNS;

Créer un RR SRV sur un DC

  • Clic droit sur _msdcs.Nomforêt;

  • Nouveaux RR ;

  • Choisir SRV (telnet) + FQDN de la machine;

4-Utilisation des enregistrements du localisateur de ressource de service

  • NetLogon: processus qui maintient un canal sécurisé

entre

un

ordinateur et le DC pour authentifier les utilisateurs et les services;

  • RPC: Remote Procedure Call, protocole réseau permettant de d’exécuter des appels de procédures sur un ordinateur distant à l’aide du serveur d’application.

  • Processus

Les ordinateurs clients du domaine utilisent l’API (DsGetDcName, implémenté par NetLogon) du localisateur pour localiser un DC en lançant une requête DNS;

Le

client

recueille

les informations qui sont nécessaires pour

sélectionner un DC et passe les informations au service NetLogon à l’aide de l’appel DsGetDcName;

  • Le service NetLogon sur le client utilise l’information recueillie pour rechercher un DC pour le domaine spécifié;

  • DsGetDcName appelle l’appel DnsQuery pour lire les enregistrements SRV et les enregistrements de ressources du serveur DNS;

  • Le service NetLogon envoie un datagramme UDP aux ordinateurs qui ont le nom.

  • Chaque DC disponible répond au datagramme pour indiquer qu’il est actuellement opérationnel et DsGetDcName.

renvoie

les

informations à

  • Le service NetLogon met en cache les informations du DC afin que les requêtes suivantes ne répètent pas le processus de découverte. La mise en cache de ces informations encourage l’utilisation cohérente du même DC ainsi qu’un affichage cohérent d’AD;

5-Intégration des enregistrements du localisateur de service et

des sites AD

  • Lors du démarrage

du service ouverture

de

session réseau

,

le

service correspondant de chaque DC énumère les objets du site

dans le conteneur configuration. Le service ouverture de session réseau utilise les informations sur les sites pour créer une structure en mémoire qui permet de mapper les adresses IP vers les noms de

site.

1- Les zones intégrées des services de domaine AD ◦ Les zones intégrées à des services

1- Les zones intégrées des services de domaine AD

Les zones intégrées à des services de domaine AD stockent les

données de zones DNS dans la domaine AD; Avantages:

base

de données de service

de

  • Réplication des informations de zone DNS à réplication des services de domaine AD;

l’aide

de

la

  • Prise en charge de plusieurs serveurs DNS maitres;

 
  • Sécurité renforcée (réplication des données chiffrées);

 
  • Prise

en

charge

du

vieillissement

et

du

nettoyage

 

des

enregistrements;

2-Partitions d’applications dans les services de domaine AD

La

base

de

données des services de

domaine

AD

est divisée

en

partitions d’annuaire, chaque partition étant répliquée sur des DC spécifiques:

  • La partition de schéma, réplique les informations de schéma sur la forêt entière;

  • La partition de configuration, réplique les informations de structure physique sur la forêt entière;

  • La partition de domaine, réplique les informations de domaine sur tous les DC dans un domaine.

Une zone DNS peut être stockée dans la partition de domaine ou dans la partition d’application;

DomainDNSZones et ForestDNSZones , sont des partitions d’application par défaut, qui stockent des données spécifiques au système DNS;

3-Options de configuration des partitions d’applications pour DNS

  • La partition de domaine, réplique les informations sur tous les DC dans le domaine des services de domaine AD;

  • La partition d’application DomainDNSZones, réplique les informations sur tous les DC qui sont des serveurs DNS dans le domaine des services de domaine AD;

  • La partition d’application ForestDNSZones, réplique les informations sur tous les DC qui sont des serveurs DNS dans la forêt des services de domaine AD;

  • La partition d’application personnalisée, réplique les informations sur tous les DC qui hébergent une partition d’application particulière;

4-Fonctionnement des mises à jour dynamiques

  • Les mises à jour dynamiques permettent aux ordinateurs clients DNS d’enregistrer et de mettre à jour dynamiquement leurs RR sur un serveur DNS chaque fois que des changements se produisent. Le client envoie une requête SOA;

Le serveur DNS envoie le nom de la zone et l’adresse IP du serveur; Le client vérifie l’inscription existante;

Le serveur DNS répond en indiquant que l’inscription n’existe pas; Le client envoie une mise à jour dynamique au serveur DNS.

5-Fonctionnement des mises à jour DNS dynamiques sécurisées

Les mises à jour dynamiques sécurisées fonctionnent comme les mises à jour dynamiques, avec l’exception suivante: le serveur de noms faisant autorité accepte uniquement les mises à jour provenant de clients et de serveurs qui sont authentifiés et joints au domaine AD dans lequel le serveur DNS se trouve;

Le client essai d’abord une mise à jour non sécurisée. Si cette tentative échoue, le client tente alors de négocier une mise à jour sécurisée. Si le client a été authentifié par les services de domaine AD, la mise à jour réussit.

6-

Démo:

configuration

domaine AD

des

zones

intégrées

des

services

de

7-Fonctionnement du chargement de zone à l’arrière plan

  • Lorsqu’un DC avec des zones DNS intégrées à AD démarre:

Il énumère toutes les zones à charger;

Il

charge

les

indications de racine

à

partir

des

fichiers ou

des

serveurs de services de domaine AD; Il charge toutes les zones stockées dans des fichiers plutôt que dans des services de domaine AD;

Il commence à répondre aux requêtes et aux appels RPC; Il démarre une ou plusieurs threads pour charger les zones stockées dans des services de domaine AD;

1-Les zones DNS en lecture seule ◦ Fonctionnalité prise en charge sur les DC accessible en

1-Les zones DNS en lecture seule

Fonctionnalité prise en charge sur les DC accessible en lecture seule; Toutes les partitions d’application contenant des informations DNS sont répliquées vers le RODC; Avantages:

  • Les informations DNS requises pour la résolution de noms AD sont disponibles pour les clients se trouvant sur le même site que le RODC;

  • Les modifications ne sont pas autorisées sur les zones DNS en lecture seule, ce qui renforce la sécurité;

2-Fonctionnement du DNS en lecture seule

  • Le système DNS en lecture seule est installé sur un RODC lorsque les services de domaine AD sont installés et l’option DNS est sélectionnée;

  • Les données de zones DNS en lecture seule peuvent être affichées, mais pas mises à jour;

  • Les clients

DNS

dynamiques mis à

jour

à

l’aide

du

RODC sont

référencés sur un serveur DNS avec une copie des zones accessible en

écriture;

  • Les enregistrements ne peuvent pas être ajoutés manuellement à la zone en lecture seule;

Configuration des objets AD; Stratégies d’utilisation des groupes; Automatisation de la gestion des objets des service

Configuration des objets AD;

Stratégies d’utilisation des groupes;

Automatisation de la gestion des objets des service de domaine

AD.

Délégation de l’accès administratif aux objets des services de

domaine AD Configuration des approbations des services de domaine AD

1- Les types d’objets des services de domaine AD  Les comptes d’utilisateur ◦ Active une

1-Les types d’objets des services de domaine AD

  • Les comptes d’utilisateur Active une ouverture de session unique pour un utilisateur; Offre un accès aux ressources;

  • Les comptes d’ordinateur

Active l’authentification et l’audit de l’accès d’un ordinateur aux ressources;

  • Les comptes de groupe Aide à simplifier l’administration ;

  • InetOrgPerson Semblable à un compte d’utilisateur Sert à la compatibilité avec les autres services d’annuaire;

  • Unité d’organisation Regroupe les objets similaires pour l’administration

  • Imprimantes & dossiers partagés

Simplifient

le

processus de

localisation et de

imprimantes & dossiers partagés;

connexion des

2-Les types de groupe des services de domaine AD

  • Groupes de distribution Utilisé uniquement avec les applications de messagerie; Sans sécurité activée;

  • Groupes de sécurité

Servant

à

affecter

des

droits

et

des

autorisations

aux

groupes

d’utilisateurs et d’ordinateurs; Utilisés de manière optimale lorsqu’ils sont imbriqués;

3-Etendues de groupes de services de domaine AD

Etendue du groupe

Les membres des groupes peuvent inclure

Autorisations

 

Groupes

universels,

domaine local

globaux, de domaine locaux appartenant à son propre domaine Des comptes de n’importe quel domaine approuvé

Dans le même domaine

Globale

Utilisateurs, groupes et

Dans n’importe quel

ordinateurs appartenant à son propre domaine

domaine approuvé

Universelle

Utilisateurs, groupes et des ordinateurs en tant que

Dans n’importe quel

membres d’un domaine approuvé

domaine approuvé

locale

Utilisateurs,

groupes

et

ordinateurs

en

tant

que

Sur l’ordinateur local

membres

de

domaine

é

4-Groupes par défaut des AD-DS

  • Conçus pour gérer des ressources partagées et déléguer des rôles administratifs de domaine spécifique;

Opérateurs de sauvegarde

Sauvegarde, restauration des fichiers sur

un ordinateur.

 

Opérateurs de chiffrement

Autorisés à réaliser chiffrement.

des opérations de

 

Apporte

des

modifications

aux

Opérateurs de configuration réseau

paramètres TCP/IP, libère et renouvelle

des adresses IP;

 

Utilisateurs du bureau à distance

Se connecte à distance à l’ordinateur

 

Replicateur

Gère les fonctions de réplication

 

Utilisateurs du journal de performance

Surveillent les compteurs de performance d’un ordinateur.

 

Création, suppression et modification des

Opérateurs de compte

comptes d’utilisateur, ordinateur

groupe

&

 

Connexion

interactive,

création

et

suppression

des

ressources

partagées,

Opérateurs de serveur

sauvegarde

et

restauration,

arrêt

du

serveur

5-Identités spéciales

  • Conçus pour fournir l’accès aux ressources sans interaction de la part de l’administrateur ou de l’utilisateur;

Ouverture de session anonyme

Utilisateurs authentifiés

Tâche

Groupe créateur

Créateur / Propriétaire

Tout le monde

Interactif

Utilisateurs Terminal serveur

Utilisateurs ou services accédant aux ressources par l’intermédiaire du réseau sans utiliser de mot de passe, de compte

Tous les utilisateurs actuels du réseau, y compris les invités

Tous les utilisateurs actuellement connectés

à un ordinateur particulier

6-utilisation des groupes par défaut et des identités spéciales

7- Démo: Configuration des comptes de groupes AD-DS

1- Options d’affectation d’accès aux ressources  Les options: ◦ Ajout des comptes d’utilisateurs à la

1-Options d’affectation d’accès aux ressources

  • Les options:

Ajout des comptes d’utilisateurs

à

la

liste de contrôle

d’accès de

la

ressource. Cette option est destinée aux petites organisations. Ajout des comptes d’utilisateurs aux groupes et ajout des groupes à la liste de contrôle d’accès de la ressource; cette option requiert un seul niveau de groupe et convient à des organisations ayant un seul domaine.

Ajout des comptes d’utilisateurs aux comptes de groupes, ajout des comptes de groupes aux groupes de ressources et ajout des groupes de ressources à la liste de contrôle d’accès de la ressource; cette option peut être utilisée pour gérer les ressources dans un environnement à domaine multiple.

2-Avantages & inconvénients de l’utilisation des comptes de groupe

  • Avantages

En stockant les comptes d’utilisateurs dans des groupes, on facilite la gestion des ressources;

En plaçant les utilisateurs qui ont les mêmes profils dans un groupe, vous en faciliter l’attribution du même ensemble d’autorisations;

En utilisant des groupes globaux ou universels,

vous obtenez des

comptes de groupes qui peuvent être ajoutés aux listes de contrôle

d’accès des domaines approuvés

  • Inconvénients

Si

vous utilisez

le

compte de groupe dans des environnements à

plusieurs domaines, modifier les exigences d’autorisation pour la ressource partagée peut créer des complications dans la gestion des ACL. Un grand nombre d’entrées dans un ACL, complique sa gestion.

  • Inconvénients

On a besoin d’ajouter tous les groupes à la liste de contrôle d’accès d’une ressource, ce processus nécessite la même quantité d’effort que l’ajout de comptes d’utilisateur à l’ACL de ladite ressource. Si il y a une modification des autorisations pour la ressource partagée, vous devez analyser les autorisations attribuées à chaque groupe;

Si vous utilisez les comptes de groupe dans des environnements à plusieurs domaines, modifier les exigences d’autorisation pour les ressources partagées , peut créer des complications dans la liste de contrôle d’accès.

3-Les options d’utilisation pour les groupes de ressource

comptes de

groupe et

les

  • Vous pouvez ajouter des comptes d’utilisateurs dans des groupes globaux, ajouter les groupes globaux dans des groupes locaux de domaine, puis attribuer des autorisations dans le domaine du groupe local de domaine. Utilisez cette option pour créer des groupes globaux dans des environnements à domaine multiple, puis ajouter ces domaines à un groupe de domaine local ou se trouve la ressource;

  • Vous pouvez ajouter des comptes d’utilisateurs à des groupes universels, ajouter les groupes universels à des groupes locaux de domaine, puis attribuer des autorisations dans le domaine des groupes locaux.

L’utilisation de cette option nécessite la

publication de la

liste des

membres des groupes universels dans le catalogue global;

Cette

option

permet

également

d’ajouter

des

comptes

issus

de

plusieurs domaines dans des comptes de groupe;

Comptes

d’utilisateur

 Vous pouvez ajouter des comptes d’utilisateurs à des groupes universels , ajouter les groupes universels

Groupe universel

 Vous pouvez ajouter des comptes d’utilisateurs à des groupes universels , ajouter les groupes universels

Groupe local de domaine

  • Vous pouvez ajouter des comptes d’utilisateur dans des groupes globaux, ajouter les groupes globaux dans des groupes universels. Ajouter les groupes universels dans des groupes locaux de domaine et affecter les permissions aux groupes locaux de domaine. Cette option réduis les réplications du catalogue global, crée une autre couche d’emboitement de groupes qui complique la conception et la gestion.

Comptes

d’utilisateur

 Vous pouvez ajouter des comptes d’utilisateur dans des groupes globaux, ajouter les groupes globaux dans
Groupe Global
Groupe
Global
 Vous pouvez ajouter des comptes d’utilisateur dans des groupes globaux, ajouter les groupes globaux dans
Groupe Universel
Groupe
Universel
Groupe Local de domaine
Groupe
Local de
domaine
  • Avantages

Vous pouvez ajouter des comptes de groupe ressources qui ont les autorisations appropriées;

dans

des groupes de

Vous

pouvez

placer

les

comptes de

groupe

dans

les

groupes de

ressource des domaines approuvés;

3-affectation des groupes dans les environnements à domaine simple ou multiple

  • Le groupe local de domaine vous aide uniquement à affecter les autorisations sur les ressources appartenant au domaine dans lequel a été crée le groupe de domaine local;

  • Les comptes d’utilisateurs devraient être stockés dans des groupes globaux pour leur permettre d’avoir accès aux ressources de l’arborescence de domaines de la forêt;

  • La consolidation des groupes globaux nécessite, l’utilisation des groupes universels;

  • Le fait de stocker des comptes d’utilisateur dans un domaine global et d’affecter des permissions à une ressource située dans un autre domaine pour permettre au groupe global d’y accéder n’est pas recommandé;

  • Le groupe de domaine local peut se voir affecter des permissions pour accéder à n’importe quel objet du domaine dans lequel il se trouve;

  • Le groupe de domaine local ne peut pas être placé au sein d’un groupe universel;

  • Dans les environnements à domaine unique, il est recommandé de stocker un groupe global dans un autre groupe global pour consolider de nombreux groupes globaux;

1-Outils d’automatisation de la gestion des objets des services de domaine AD  Outils du service

1-Outils d’automatisation de la gestion des objets des services de domaine AD

  • Outils du service d’annuaire dsadd, dsmod, dsrm, dsmove, dsget et dsquery

  • Windows PowerShell Interface ligne de commande et un langage de script développé par Microsoft pour créer, modifier et supprimer des objets AD;

  • csvde Outil en ligne de commande qui utilise un fichier texte pour ajouter des objets AD (comptes d’utilisateur, …); Il ne peut pas être utilisé pour modifier ou supprimer des objets AD;

  • ldifde Crée, modifie et supprime des objets AD stockés dans un fichier ldif;

2-Les fonctionnalités de Windows Powershell

   

cmdlets

Fichiers exécutables écrits en C # ou tout autre langage compatible .Net;

Alias

Les alias sont stockés dans le profil par défaut de l’utilisateur;

Variables

Les variables recevant des valeurs sont acceptées ($date, $servername)

 

Connecte les commandes à l’aide

de

Le traitement en pipeline

l’opérateur

(

|

).

La sortie

de chaque

commande est utilisée comme entrée de

la suivante;

La prise en charge des scripts

Stocke une séries de commandes qui dans un script (.ps1) afin de les utiliser dans des tâches répétitives;

L’accès à toutes les commandes cmd.exe

 
1-Autorisations sur les objets AD  Les autorisations sur les objets AD sécurisent les ressources en

1-Autorisations sur les objets AD

  • Les autorisations sur les objets AD sécurisent les ressources en permettant de définir les administrateurs ou les utilisateurs qui peuvent accéder à des objets ou des attributs d’objet particulier;

  • 02 catégories d’autorisations:

Les autorisations standards, ce sont les paramètres de sécurité par défaut appliqués à un objet dès sa création par le système;

Les

autorisations

spéciales,

ce

détaillées que les précédentes.

sont

des

autorisations

un

peu

plus

  • Les options d’autorisations

Attribuer ou refuser une autorisation;

Une

autorisation

non

attribuée

formellement

est

implicitement

refusée; Une autorisation peut être refusée au sous ensemble d’un groupe, alors que le groupe bénéficie de cette dernière;

  • Héritage des autorisations

Vous n’avez pas besoin d’attribuer des autorisations aux objets enfant lors de leur création; Les autorisations attribuées aux objets parents sont toujours héritées par les objets enfant;

Pour

modifier

les autorisations attribuées à

tous

les

objets

d’un

conteneur, il suffirait de modifier les autorisations attribuées à l’objet parent et par la suite, les objets du conteneur hériteront de la dite modification;

2- Les autorisations effectives

  • Les autorisations effectives résultent de la combinaison des plus hautes autorisations accordées à l’utilisateur et de tous les groupes dont l’utilisateur est membre;

  • L’outil autorisations effectives calcule les autorisations octroyées à un utilisateur ou un groupe spécifié. Le calcule tient compte des autorisations résultant de l’appartenance à un groupe , ainsi que des autorisations héritées de l’objet parent.

3-Description de la délégation du contrôle

  • C’est la possibilité de confier à un autre utilisateur ou un groupe, la responsabilité de la gestion des objets AD;

  • La délégation de contrôle administratif permet:

Accorder des autorisations pour créer ou modifier tous les objets dans une unité d’organisation ou dans un domaine; Accorder des autorisations pour créer ou modifier un certain nombre d’objets dans une OU spécifique ou au niveau du domaine; Accorder des autorisations pour créer ou modifier un objet spécifique dans une OU spécifique ou au niveau du domaine; Accorder des autorisations pour modifier l’attribut spécifique d’un objet dans une OU spécifiée ou au niveau d’un domaine;

4-Démo: Configuration de la délégation du contrôle

6-Personnalisation des outils d’administration

1-Description des approbations des services de domaine AD  Les approbations autorisent les entités de sécurité

1-Description des approbations des services de domaine AD

  • Les approbations autorisent les entités de sécurité à transmettre leurs informations d’identification d’un domaine à un autre et sont nécessaires pour autoriser l’accès aux ressources entre les domaines.

  • Caractéristiques des approbations

◦ Transitive ou non transitive, la relation d’approbation s’étend au-delà d’une relation à 02 domaines pour
◦ Transitive ou non transitive, la relation d’approbation s’étend au-delà
d’une relation à 02 domaines pour inclure d’autres domaines approuvés;
◦ Direction de l’approbation, définit le domaine des comptes et le domaine
des ressources;
Direction de l’accès
Domaine
Domaine
autorisé à
approuvé
approuver
Direction de
(compte))
(ressources)
l’approbation

Directions d’approbation:

Unidirectionnelle entrante,

Unidirectionnelle sortante; Bidirectionnelle

Protocole d’authentification, protocole que vous utilisez pour établir et conserver l’approbation (Kerberos ou NT Lan Manager);

2- Les types d’approbation Le système génère 02 approbations par défaut

TYPE D’APPROBATION

TRANSITIVITE

DIRECTION

 

DESCRIPTION

 
 

Transitif

Deux sens

Etablie par défaut lors

Parent / Enfant

de

l’ajout d’un

nouveau

domaine

enfant. Kerberos est le

protocole

 

d’authentification

 

utilisé.

 

Racine d’arborescence

Transitif

Deux sens

Etablie lors de la

création

 

d’une

arborescence

dans

une

forêt

existante.

Kerberos

est

le

protocole

 

d’authentification

 

utilisé.

 

TYPE D’APPROBATION

TRANSITIVITE

DIRECTION

DESCRIPTION

Externe

Domaine Kerberos

Non-Transitif

Sens unique ou deux sens

Permet d’accéder à des ressources situées dans

un

domaine

Windows

NT 4.0 ou dans un

domaine

se

trouvant

dans

une

autre

forêt,

non

liée

par

une

approbation de forêt. Le

protocole

NTLM

est

utilisé.

 

Crée une

relation

d’approbation entre un domaine Kerberos non

Transitif ou Non- Transitif

Sens unique ou deux sens

Windows et Windows

2008.

Le

protocole

d’authentification

Kerberos est utilisé.

TYPE D’APPROBATION

TRANSITIVITE

DIRECTION

DESCRIPTION

Forêt

Raccourcie

Transitif ou Non

transitif

Sens unique ou deux sens

Transitif ou Non-

Sens unique ou deux

Transitif

sens

Permet de partager des

ressources

entre

deux

forêts

à

condition

d’avoir

le

niveau

fonctionnel

Windows

serveur 2003; Kerberos est utilisé pour l’authentification;

Améliore

les

ouvertures de session entre deux domaines au sein de la même forêt.

Kerberos;

3-Fonctionnement des approbations dans une forêt

  • Les objets de domaine approuvé (TDO, Trusted Domaine Object) sont des objets représentant chaque relation d’approbation dans un domaine particulier. Chaque fois qu’une relation d’approbation est établie, un TDO unique est crée et stocké (dans le conteur système) de son domaine. Les attributs tels que la transitivité et le type d’approbation sont représentés dans le TDO;

  • Lorsqu’un utilisateur tente d’accéder à une ressource dans un autre domaine, le protocole d’authentification Kerberos V5 doit déterminer si le domaine à approuver possède une relation d’approbation avec le domaine approuvé;

  • Pour déterminer cette relation, le protocole Kerberos

V5

suit

le

chemin

d’approbation en utilisant le TDO afin d’obtenir une référence au DC du domaine

cible. Le DC cible émet un ticket de service pour le service demandé;

4-Fonctionnement des approbations entre les forêts

  • 1. Un utilisateur du domaine EMEA.woodgrovebank.com tente d’accéder à un dossier partagé de la forêt contoso.com . L’ordinateur de l’utilisateur contacte le KDC d’un DC du domaine EMEA.woodgrovebank.com et demande un ticket de service en utilisant le SPN (nom DNS d’un hôte ou d’un domaine)de l’ordinateur sur lequel réside la ressource;

  • 2. Les ressources ne sont pas localisées sur EMEA.woodgrovebank.com, le DC de EMEA.woodgrovebank.com demande donc au catalogue global de voir si elles se trouvent dans un autre domaine de la forêt. Il ne trouve pas le SPN, il recherche alors dans sa base de données des informations relatives à des approbations de forêt qui ont été établies avec sa forêt. Si il en trouve une, il compare les suffixes de noms répertoriés dans le TDO de l’approbation de forêt par rapport au suffixe du SPN cible. S’il trouve une correspondance, le catalogue global fournit les informations de routage relatives à la manière de localiser les ressources au DC

1. Présentation de la réplication des services de domaine AD; 2. Configuration des sites et des
  • 1. Présentation de la réplication des services de domaine AD;

  • 2. Configuration des sites et des liens de sites des services de domaine AD;

  • 3. Gestion de la réplication des services de domaine AD;

PRESENTATION DE LA REPLICATION DES SERVICES DE DOMAINE AD

1-Fonctionnement de la réplication AD DS

La réplication AD :

  • Utilise un modèle multi maitre à l’exception des RODC;

  • Utilise la réplication par réception;

Les changements qui déclenchent la réplication:

  • Ajout d’un objet au service de domaine AD;

  • Modification des valeurs d’attribut d’un objet;

  • Suppression d’un objet de l’annuaire;

  • La suppression d’un objet de l’annuaire génère la création d’un objet tombstone. L’objet tombstone est en réalité, l’objet d’origine avec un attribut défini pour indiquer que l’objet a été supprimé.

  • Les attributs (GUID, SID, USN et nom unique) sont nécessaires à l’identification de l’objet et seront conservés dans l’objet tombstone.

  • La durée de vie d’un objet tombstone est de 60 jours, au terme de ce délai, chaque DC supprimera l’objet tombstone de sa copie de la base de données.

2-Fonctionnement de la réplication des services de domaine AD au sein d’un site.

  • Au sein du même site, le processus de réplication est lancé par une notification du DC émetteur;

  • Les DC avertissent les partenaires appliquées;

de réplication lorsque des mises

à

jour sont

  • Pour les mises à jour normales, la notification de changement se produit 15 secondes après l’application de la modification;

  • La modification des attributs sensibles à la sécurité dans Active Directory , oblige le DC source à générer une notification immédiate des partenaires de réplication via une réplication urgente;

  • Les mises

à

jour de réplication

génère un trafic

de réplication

qui

n’est pas

compressé parce qu’il y a une connexion réseau rapide pour relier tous les

ordinateurs du site.

Un

trafic

de

réplication

non

compressé

préserve

les

performances du serveur;

  • Les conflits de réplication peuvent survenir lorsque:

Le même attribut est modifié simultanément sur deux DC;

Un objet est déplacé ou ajouté à un conteneur supprimé sur un autre DC;

 

Deux

objets

portant le

même

nom unique relatif

sont

ajoutés

au

même

conteneur sur deux DC différents;

  • Pour résoudre les conflits de réplications, AD DS utilisent un timbre unique attaché à chaque valeur de l’attribut répliqué. Ce timbre contient:

Le numéro de version; Horodatage

GUID du serveur

3-Description des partitions d’annuaire

  • La base

de

données des services de

domaine AD est repartie

partition d’annuaire:

logiquement en

La partition de schéma,

  • Défini tous les objets et attributs au sein du service d’annuaire;

  • Contient les règles de création et de manipulation des objets et des attributs; La partition de configuration,

    • Contient des informations sur la structure (Forêt, domaines et sites) Active Directory;

La partition de domaine,

  • Stockée au sein de chaque DC d’un domaine;

  • Contient des informations sur les objets spécifiques au domaine;

4-Description de la topologie de réplication

  • La topologie de réplication est l’itinéraire suivi par les données de la réplication à travers un réseau.

  • AD DS crée une topologie de réplication en se basant sur l’information contenue au sein de AD DS. La topologie de réplication peut différer en fonction des partitions d’annuaire de schéma, de configuration, de domaine et d’application parce que chaque partition d’annuaire est répliqué sur des DC différents au sein d’un site. Pour optimiser le trafic de réplication, peut disposer de plusieurs partenaires de réplication pour différentes partitions;

  • Les partenaires de réplication

sont des

DC

qui

sont

liés

par

des objets

de

connexion. Un objet de connexion est un chemin de réplication unidirectionnel entre deux objets de serveur (DC source et destination). Les objets de connexion

sont

crées sur chaque

DC

et

identifient un

autre DC

pour les

informations de

réplication;

  • Sur un site, la topologie de réplication est redondante et tolérante aux pannes. En effet, si le site contient plus de 02 DC, chaque DC aura au moins 02 partenaires de réplication pour chaque partition AD DS;

  • La réplication des partitions de schéma et de configuration sur tous les DC ;

  • La réplication de la partition de domaine se fait par tous les DC du même domaine;

  • La partition d’application est également répliquée vers les DC du domaine;

5-Génération de la topologie de réplication

  • L’ajout de DC à un site, conduit AD DS à utiliser le vérificateur de cohérence de connaissances (KCC) pour établir un chemin de réplication entre les DC;

  • KCC est un processus intégré qui s’exécute sur chaque DC et génère la topologie de réplication pour toutes les partitions d’annuaire contenues au sein d’un DC;

  • KCC s’exécute toutes les 15 minutes et génère le chemin de réplication entre les DC fondée sur le lien disponible;

  • Lorsque vous ajoutez un nouveau DC à un site, KCC crée les objets de connexion nécessaires de manière à intégrer les DC dans la topologie de réplication. Pour créer les objets de connexion, KCC configure chaque DC avec 02 partenaires de réplication directs pour la partition d’annuaire.

  • Chaque objet de connexion est un chemin de réplication unidirectionnelle. KCC crée 02 objets de connexion à sens unique entre 02 DC, puis KCC utilise chaque objet de connexion pour répliquer les partitions de l’annuaire.

1-Description des sites AD-DS  Les sites permettent de contrôler le trafic de réplication, de connexion

1-Description des sites AD-DS

  • Les sites permettent de contrôler le trafic de réplication, de connexion et les requêtes des machines clientes vers le serveur de catalogue global.

  • Les sites permettent de définir la structure physique du réseau.

Les sous réseaux disposant de plages d’adresses TCP/IP qui définit un groupe de DC qui sont interconnectés via des connexion rapides et fiables;

  • Les sites disposent d’objets serveur, qui contiennent des objets de connexion pour gérer la réplication;

  • Les objets sous-réseaux identifient les adresses qui mappent des ordinateurs aux sites;

  • AD DS crée un site par défaut lorsqu’on installe le premier DC dans une forêt (Default-First-Site-Name), qui y sera d’ailleurs placé;

Un

lien

de

site

réunie 02 sites pour leur permettre d’échanger des données de

réplication. C’est aussi un chemin logique utilisé par KCC pour établir la réplication entre les sites. La création du premier domaine génère un lien de site par défaut (DEFAULTIPSITELINK)

2-Besoins pour l’implémentation de sites supplémentaires

  • Un sous réseau TCP/IP est associé à un seul et unique site;

  • Pour s’assurer qu’un DC local authentifiera les utilisateurs, vous devriez créer un conteneur site associé à un objet sous-réseau pour chaque branche, par la suite, déplacer le DC au sein du site conteneur.

  • Il faut s’assurer que chaque site dispose d’un serveur de catalogue global pour permettre l’authentification des utilisateurs;

  • Il est possible de déplacer un DC d’un site vers un autre, à condition de modifier les paramètres IP dudit DC;

  • La création

de multiple sites

et

liens

de

sites entre

les

DC,

permet d’éviter la

congestion des données de réplication;

3-Configuration des sites AD DS

  • Démo

4-Fonctionnement de la réplication entre site

  • La réplication des services de domaine AD peut garantir une utilisation optimale du réseau dans une forêt contenant plusieurs sites.

  • Les chemins de réplication réseau entre sites permettent d’acheminer le trafic de réplication

des services

de

domaine AD,

il

est

possible de

les configurer en

configurant le cout du lien de site. Le cout du lien de site est un numéro que l’on peut affecter à un lien, il est basé sur la vitesse relative et la fiabilité du réseau; un cout de lien de site bas et une priorité de lien élevé rendra un chemin de réplication privilégié et utilisable par AD DS;

  • Il est possible de configurer la planification et la fréquence de la réplication. La valeur par défaut de la fréquence de réplication est de 180 minutes. Cette valeur doit être comprise entre (15 minutes et 1 semaine);

  • La réplication vers les RODC est unidirectionnelle, elle garantit que les modifications apportées à un RODC ne sont jamais répliquées vers aucun autre DC;

5-Configuration des liens de sites des services de domaine AD

  • Démo

6-Fonctionnement du générateur de topologie inter site

  • Le KCC d’un DC du site est désigné comme générateur de topologie inter site (ISTG) du site. L’ISTG:

Calcule la topologie idéale de réplication du site;

Il existe un seul générateur de topologie inter site par site et ce, quelque soit le nombre de domaines ou de partitions d’annuaire que comporte le site;

il désigne le serveur tête de pont du site

 
  • Le serveur tête

de

pont est

un DC unique, responsable

de l’échange des

données répliquées avec

d’autres sites.

Le

serveur tête

de

pont

du

site

d’origine collecte toutes les modifications de réplication

de

son

site

et

les

envoie au serveur tête de pont du site destinataire, qui réplique les

modifications sur tous les DC de son domaine;

  • Le générateur de topologie inter site identifie un DC dans chaque site en tant que serveur tête de pont pour chaque lien de sites;

1-Description du serveur tête de pont  Les raisons justifiant une configuration manuelle du serveur tête

1-Description du serveur tête de pont

  • Les raisons justifiant une configuration manuelle du serveur tête de pont:

Remplacement

d’un serveur tête de pont surexploité et aux capacités limitées,

par un autre , plus puissant;

L’existence de firewall entre les sites, pourraient conduire à fixer des règles

visant

à

autoriser le trafic

préalablement identifiés;

de réplication

entre

02

serveurs

tête

de

pont

  • Les points à considérer lors de la configuration manuelle des serveurs tête de pont:

Un serveur tête de pont doit être désigné pour chaque domaine du site;

 

Vous pouvez

spécifier

une

liste

de

serveur tête

de

pont préférés, en

cas

d’indisponibilité d’un des serveurs, le second sur la liste préférée sera promu;

2-Description du pontage de liens de sites

  • Tous les liens de sites des services de domaine AD sont transitifs ou de type pont. Si le site A possède un lien de sites commun avec le site B, le site B possède également un lien de sites commun avec le site C et les deux liens de site sont reliés par un pont (pont entre lien de sites). Les DC du site A peuvent répliquer directement avec les DC du site C, même si , il n’existe aucun lien de sites entre les sites A et C;

  • Vous pouvez modifier la configuration de pontage des liens de site par défaut en désactivant le pontage de liens de sites, puis en le configurant uniquement pour les liens qui doivent être transitifs;

  • Le pontage de liens de sites peut être utilisé pour configurer la réplication pour une organisation qui dispose de nombreux petits sites connectés à un backbone rapide, via des liaisons réseaux lentes;

3-Comment configurer la réplication AD DS Démo

  • Configuration de la stratégie de groupe

  • Configuration de l’étendue des objets de stratégie de groupe

  • Evaluation de l’application des objets de stratégie de groupe

  • Gestion des objets de stratégie de groupe

1- Qu’est ce que la stratégie de groupe?  Technologie Microsoft qui prend en charge la

1-Qu’est ce que la stratégie de groupe?

  • Technologie Microsoft

qui prend

en charge

la gestion

des ordinateurs

et

des

utilisateurs de type un-à-plusieurs dans un environnement AD.

  • Un objet de stratégie de groupe désigne la collection de paramètres qui sont appliqués à des utilisateurs et des ordinateurs sélectionnés;

2-Les paramètres de stratégies de groupe

Les paramètres de stratégie de

Logiciels

groupe pour les utilisateurs contrôlent

Windows

les paramètres ci-après

Sécurité

Bureau

Les paramètres de stratégie

de groupe

Logiciels Windows

pour

les

ordinateurs

contrôlent

les

paramètres suivants:

Sécurité

 

Système d’exploitation

3-Application de la stratégie de groupe

  • Au démarrage de l’ordinateur:

Obtention d’une liste de GPO pour l’ordinateur depuis AD Application des paramètres de l’ordinateur;

Exécution des scripts de démarrage;

  • Ouverture de session par l’utilisateur Application des paramètres de l’utilisateur Exécution des scripts d’ouverture de session

  • Les stratégies de groupe sont actualisées toutes les 90 minutes , auxquelles, il faut ajouter un intervalle de 0-30 minutes, soit finalement 120 minutes;

  • Pour les liaisons lentes (500kbits/s), certaines extensions côté client ne sont pas traitées;

4-Les fichiers ADM et ADMX

  • Fichiers modèles de stratégie de groupe utilisés par les stratégies de groupe

  • Les fichiers ADM Copiés dans chaque objet de stratégies de groupe du répertoire SYSVOL; Difficils à personnaliser; Chaque nouveau GPO crée occupe 4Mo sur le DC;

  • Les fichiers ADMX Nouveau format d’affichage des paramètres de stratégie basés sur le registre; Utilisent un langage neutre; Ils ne sont pas stockés dans les objets de stratégie de groupe Ils sont extensibles par le biais du langage XML;

5-Description du magasin central

  • Il offre un référentiel central pour les fichiers ADMX et ADML;

  • Il est stocké dans le répertoire SYSVOL;

  • Il doit être crée manuellement;

  • Il est détecté automatiquement par Windows serveur 2008 ou Windows Vista

6-Démo

1-Ordre de traitement de la stratégie de groupe ◦ Groupe local; ◦ Site ◦ Domain ◦

1-Ordre de traitement de la stratégie de groupe Groupe local;

Site

Domain

Unité d’organisation

Unité d’organisation enfant

2-Options de modification du traitement de la stratégie de groupe

  • Blocage de l’héritage

Par défaut, les objets enfants héritent des objets de stratégie de groupe des objets parents. Il est possible de bloquer l’héritage des stratégies pour un domaine ou une unité d’organisation;

  • Filtrage à l’aide des groupes de sécurité

Permet de sélectionner un groupe de sécurité qui n’héritera pas des paramètres liés à une stratégie de groupe ou un groupe de sécurité qui héritera exclusivement des paramètres d’une stratégie de groupe donnée;

  • Désactivation des stratégies de groupe

Vous

pouvez

bloquer

l’application

du

GPO

d’un

site

d’un

domaine en

, désactivant l’ensemble des paramètres, ou les paramètres de la configuration ordinateur ..

  • Filtrage en utilisant des filtres WMI Un filtre WMI (Windows Management Instrumentation) peut être ajouté à un GPO;

Le filtre WMI permet de spécifier des critères qui doivent être remplis pour que le GPO lié soit appliqué à un ordinateur;

  • Le traitement en boucle

Par défaut, si un utilisateur se connecte sur un ordinateur appartenant à une OU sur laquelle est définie un GPO (l’utilisateur n’appartenant pas à cette OU), la configuration ordinateur de cette stratégie s’applique cumulée à la configuration utilisateur du GPO définie sur l’OU à laquelle appartient l’utilisateur. Il est possible de ne pas prendre en compte la stratégie de l’utilisateur en activant le traitement en boucle:

  • Le mode fusion (par défaut), qui va appliquer la configuration de l’utilisateur et celle du poste sur lequel l’utilisateur se connecte;

  • Le mode remplacement, qui va permettre de ne prendre en compte que les paramètres de configuration ordinateur du poste sur lequel l’utilisateur se connecte et empêcher l’éxécution de la stratégie de l’utilisateur;

1-Description des rapports de stratégie de groupe  Les rapports de stratégie de groupe permettent de

1-Description des rapports de stratégie de groupe

  • Les rapports de stratégie de groupe permettent de planifier et résoudre les problèmes de stratégie de groupe.

GPResult.exe

  • Gpresult /R;

  • Affiche le jeu de stratégie résultant (RSOP, utilisateur ou un ordinateur;

Resultant Set Of Policy) pour un

Fournit

des

appliquées;

informations

sur

la

dernière fois

ou

les stratégies

ont

été

  • Les stratégies de groupe qui ont été appliquées ainsi que l’ordre dans lequel, elles l’ont été;

  • Les stratégies de groupe qui n’ont pas été appliquées;

  • Les groupes de sécurité auxquels appartiennent l’utilisateur et l’ordinateur concerné;

  • La console de GPMC Clic droit sur Résultat de la stratégie de groupe de la console GPMC;

Affiche les résultats détaillés des stratégies de groupe appliqués aux utilisateurs ou aux ordinateurs;

Vous pouvez imprimer ou sauvegarder ces rapports au format HTML ; Elle renvoi les paramètres qui sont réellement appliqués ,incluant les paramètres de stratégie de groupe locaux;

  • Prérequis à l’utilisation de la GPMC

    • Il faut qu’un utilisateur se soit précédemment authentifié sur un ordinateur donné, pour tester un ensemble de paramètres inhérents à ce dernier;

    • Le port RPC doit être ouvert sur les machines distantes;

2-Description de la modélisation de stratégie de groupe

  • L’assistant modélisation de stratégie de groupe calcule l’effet net simulé des objets de stratégie de groupe.

  • Il modélise les modifications de l’environnement avant qu’elles ne soient réellement effectuées;

  • L’assistant modélisation de stratégie de groupe simule:

L’appartenance au site; L’appartenance au groupe de sécurité;

Les filtres WMI;

Les liaisons lentes;

Le traitement en boucle;

Les effets du déplacement des objets utilisateur ou ordinateur vers un autre conteneur AD;

  • L’assistant modélisation de stratégie de groupe tourne sur un DC et n’est jamais utilisé pour interroger une machine cliente;

1-Tâches de gestion des objets de stratégie de groupe  Sauvegarde des objets de stratégie de

1-Tâches de gestion des objets de stratégie de groupe

  • Sauvegarde des objets de stratégie de groupe

  • Restauration des GPO;

  • Copie des GPO;

  • Importation des paramètres des GPO;

2-Description de l’objet de stratégie de groupe starter

  • Ils stockent

une

collection

de

paramètres

de

d’administration dans un seul objet;

la

stratégie

de

  • Il peut être exporté dans des fichiers .cab;

modèles

  • Peut être importé dans d’autres zones de l’entreprise;

 Configuration des paramètres de stratégie de groupe;  Configuration de scripts et redirection de dossiers
  • Configuration des paramètres de stratégie de groupe;

  • Configuration de scripts et redirection de dossiers à l’aide d’une stratégie de groupe;

  • Configuration des modèles d’administration;

  • Configuration des préférences de stratégie de groupe;

1-Options de configuration des paramètres de stratégie de groupe  Pour qu’un paramètre de stratégie de

1-Options de configuration des paramètres de stratégie de groupe

  • Pour qu’un paramètre de stratégie de groupe ait un effet, vous devez le configurer. La plupart des paramètres de stratégie de groupe ont 03 états , à savoir:

Activé; Désactivé; Non configuré;

  • Vous devez également configurer les valeurs de certains paramètres de stratégie de groupe.

1- Description des sites de stratégie de groupe  Les scripts peuvent être utilisés pour effectuer

1-Description des sites de stratégie de groupe

  • Les scripts peuvent être utilisés pour effectuer différentes tâches (suppression du contenu temporaire) au démarrage ou à l’arrêt d’un ordinateur, lorsqu’un utilisateur se connecte ou se déconnecte;

  • Les stratégies de groupe affectent des scripts aux ordinateurs et aux utilisateurs Scripts de démarrage et d’arrêt de l’ordinateur

    • Au démarrage de

l’ordinateur;

l’ordinateur, il

y

a une application

de

la stratégie

de

  • Démarrage des scripts, les uns à la suite des autres;

  • Le délai d’attente pour le lancement d’un script est de 600 secondes;

  • Les scripts s’exécutent de manière synchrone;

  • Aucune interface graphique n’est lancée pendant le chargement des stratégies de l’ordinateur;

Les scripts d’ouverture et de fermeture de session

  • Les scripts d’ouverture et de fermeture de session sont pris en charge par la configuration des utilisateurs;

  • Lors de la connexion, la stratégie de l’utilisateur est appliquée suivi du traitements des scripts d’ouverture de session;

  • Par défaut, les scripts d’ouverture de session basés sur les stratégies de groupe sont cachés et s’exécutent de façon asynchrone;

2-Description de la redirection de dossiers

  • En redirigeant les dossiers, vous changez leur emplacement sur le disque dur local de l’ordinateur de l’utilisateur par un dossier partagé sur un serveur de fichiers du réseau.

  • La fonction de redirection de dossiers facilite l’administration et la sauvegarde des données. En redirigeant les dossiers, vous garantissez l’accès de l’utilisateur aux données indépendamment de l’ordinateur sur lequel il ouvre une session.

  • Les dossiers pouvant être redirigés

Mes Documents;

Application Data;

Bureau;

Menu Démarrer

3-Options de sécurisation des dossiers redirigés

  • Si vous devez créer manuellement un dossier réseau partagé pour y stocker les dossiers redirigés, la fonction de redirection des dossiers peut créer pour vous les dossiers redirigés par les utilisateurs. Dans ce cas, les autorisations appropriées sont automatiquement configurées. Si vous créez manuellement les dossiers, vous devez connaitre les autorisations appropriées:

  • Autorisations NTFS pour le dossier racine

Créateur / Propriétaire

Contrôle total sous dossier s et fichiers seulement

Administrateur

Aucun

Groupe de sécurité des utilisateurs qui placent

Liste du dossier/lecture de données, Création de dossiers/Ajout de données-Ce dossier seulement

des données sur partage

 

System local

Contrôle total

Autorisations de partage pour le dossier racine

Créateur/Propriétaire

contrôle total-sous dossiers et fichier sseulement

Groupes

de

sécurité

Contrôle total

des

utilisateurs

qui

 

placent

des

données

sur partage

Autorisations NTFS pour le dossier redirigé de chaque utilisateur

Créateur / Propriétaire

Contrôle total sous dossiers et fichiers seulement

%nom_utilisateur%

Contrôle total, propriétaire du dossier

Administrateurs

Aucun

Système local

Contrôle total

 Les modèles d’administration vous permettent de contrôler l’environnement du système d’exploitation et l’expérience de l’utilisateur
  • Les modèles d’administration vous permettent de contrôler l’environnement du système d’exploitation et l’expérience de l’utilisateur;

  • Les modèles d’administration sont le principal moyen de configurer les paramètres de registre (HKEY_LOCAL_MACHINE & HKEY_CURRENT_USER) de l’ordinateur client via les stratégies de groupe;

Les sections des modèles d’administration destinées aux utilisateurs

Composants Windows;

Menu Démarrer et barre des tâches;

Bureau;

Panneau de configuration;

Dossiers partagés;

Réseau;

Système;

Les sections des modèles d’administration destinées aux ordinateurs

Composants Windows;

Système;

Réseau

Imprimantes

2-Modification des modèles d’administration

  • Les fichiers ADMX :

Sont extensibles;

Peuvent être édités dans n’importe quel éditeur de texte;

De

nouveaux

fichiers

ADMX peuvent être joints

stratégies ou au magasin central;

au dossier définitions

de

1 -Description des préférences de stratégie de groupe  Les préférences de stratégie de groupe étendent

1-Description des préférences de stratégie de groupe

  • Les préférences de stratégie de groupe étendent la gamme des paramètres configurables au sein d’un objet de stratégie de groupe;

  • Ils ne sont pas mis en œuvre;

  • Permettent aux informaticiens de configurer, de déployer et de gérer des paramètres de système d’exploitation et d’application qui ne pouvaient pas être gérés à l’aide d’une stratégie de groupe;

Paramètres de stratégie de groupe

Préférences de stratégie de groupe

Mettent strictement en œuvre des paramètres de stratégie en les écrivant dans les zones du registre que les utilisateurs standard ne peuvent pas modifier ;

Sont

écrites

aux

emplacements

normaux

du

registre utilisés par la fonctionnalité de l’application ou du système d’exploitation pour stocker le paramètre;

En désactivant généralement l’interface utilisateur pour les paramètres utilisés par la stratégie de groupe

n’entrainent pas la fonctionnalité de l’application ou du système d’exploitation à désactiver

l’interface utilisateur configurés

pour

les paramètres

Actualisent les paramètres de stratégie à intervalle régulier

actualisent les préférences

à

l’aide

du

même

intervalle que les paramètres de stratégie de

groupe par défaut.

  • Configuration des stratégies de sécurité;

  • Implémentation des stratégie de mots de passe affinés;

  • Restriction de l’appartenance à des groupes et de l’accès aux logiciels;

  • Gestion de la sécurité à l’aide de modèles de sécurité

1-Description des stratégies de sécurité

  • Les stratégies de sécurité sont des règles qui servent à protéger des ressources sur les ordinateurs et les réseaux. La stratégie de groupe permet de configurer un grand nombre de ces règles comme paramètres de stratégie de groupe;

Stratégies de comptes

Stratégies de mot de passe, verrouillage de comptes et stratégies Kerberos;

Stratégies locales

Stratégies d’audit, attribution des droits utilisateurs et les options de sécurité

Journal des événements

Durée,

méthode,

taille

et

accès

aux

journaux de sécurité, système et application

Groupes restreints

Utilisateurs

bénéficiant

de

privilèges

particuliers;

Services système

Permissions

de

démarrage

des

services

Registre

système; Permissions pour les clefs de registre

 

Système de fichiers

Permissions

sur

les

répertoires

et

les

fichiers;

2-Description de la stratégie de sécurité de domaine par défaut

  • Fournit des stratégies de compte pour le domaine; les autres paramètres ne sont pas configurés par défaut;

  • Utilisé pour fournir des paramètres de sécurité qui affectent tout le domaine;

3-Description des stratégies de compte

  • Les stratégies de compte comptes;

atténuent la menace de détection

de mots

de passe

de

Stratégies

Description

 

Mot de passe

Appliquer l’historique des mots de passe; Antériorité maximale du mot de passe; Antériorité minimale du mot de passe; Longueur minimale du mot de passe; Mots de passe complexe;

 

Verrouillage de comptes

Durée de verrouillage; Seuil de verrouillage Réinitialiser le compteur de verrouillage de compte après;

 

Ne peut être appliqué qu’au niveau du domaine

Kerberos

4-Déscription des stratégies locales

  • Les stratégies locales déterminent les options de sécurité pour un utilisateur ou compte de service;

  • Chaque ordinateur exécutant Windows 2000 et versions ultérieures d’une stratégie de sécurité locale faisant partie de groupe locale;

  • Dans un groupe de travail, vous devez configurer des stratégies de sécurité locales pour fournir la sécurité;

  • La stratégie de domaine à préséance sur les stratégies locales en cas de conflit;

  • Vous pouvez affecter des droits locaux via des stratégies de groupes locales;

Les

options

de

ordinateur;