Académique Documents
Professionnel Documents
Culture Documents
L2 GTR Admsrv SC3
L2 GTR Admsrv SC3
1
Chapitre 3 : Gestion des objets du domaine AD
Les services de domaine Active Directory (AD DS) peuvent aider à gérer le réseau plus
efficacement de plusieurs manières. Par exemple, ils permettent de gérer les comptes
d'utilisateurs et d'ordinateurs dans le cadre de groupes au lieu de gérer un compte à la fois. Ils
fournissent également des moyens de déléguer des tâches administratives à diverses personnes
afin de répartir efficacement les charges de travail.
La gestion des identités des appareils devient de plus en plus complexe à mesure que de plus
en plus d'employés apportent leurs propres appareils sur le lieu de travail tel que BYOD (Bring
Your Own Device), vous gérerez les identités des appareils pour de nombreux types d'appareils
personnels et les différents systèmes d'exploitation qu'ils exécutent. AD DS possède de
nombreuses fonctionnalités qui peuvent vous faciliter la tâche.
requête. Utilisez pour interroger AD DS pour les objets qui correspondent aux critères
3
que vous fournissez
dsrm. Utilisez pour supprimer des objets
3.1.2 – Création de comptes utilisateurs
Dans AD DS, tout utilisateur devant accéder aux ressources réseau doit disposer d’un compte
d'utilisateur. Avec ce compte d'utilisateur, les utilisateurs peuvent s'authentifier auprès du
domaine AD DS et accéder aux ressources réseau.
Dans Windows Server 2012, un compte d'utilisateur est un objet qui contient toutes les
informations qui définissent un utilisateur. Un compte d'utilisateur comprend le nom
d'utilisateur, le mot de passe utilisateur et les appartenances aux groupes. Un compte
d'utilisateur contient également de nombreux autres paramètres que vous pouvez configurer en
fonction de vos besoins organisationnels.
Avec un compte utilisateur, vous pouvez :
Autoriser ou refuser aux utilisateurs l'autorisation de se connecter à un ordinateur en
fonction de l'identité de leur compte d'utilisateur.
Accordez aux utilisateurs l'accès aux processus et services pour un contexte de sécurité
spécifique.
Gérez l'accès des utilisateurs aux ressources telles que les objets AD DS et leurs
propriétés, les dossiers partagés, les fichiers, les répertoires et les files d'attente
d'imprimantes.
Un compte d'utilisateur permet à un utilisateur de se connecter aux ordinateurs et aux
domaines avec une identité que le domaine peut authentifier. Lorsque vous créez un compte
d'utilisateur, vous devez fournir un nom de connexion d'utilisateur, qui doit être unique dans le
domaine et la forêt dans lesquels le compte d'utilisateur est créé. Pour maximiser la sécurité,
vous devez éviter que plusieurs utilisateurs partagent un même compte et vous assurer que
chaque utilisateur qui se connecte au réseau possède un compte utilisateur et un mot de passe
uniques.
3.1.3 – Configuration des attributs du compte utilisateur
Lors de la création d’un compte d'utilisateur dans AD DS, il est nécessaire de configurer
toutes les propriétés ou attributs de compte associés. Lors de la création d’un nouvel objet
utilisateur, vous devez définir les attributs qui permettent à l'utilisateur de se connecter en
utilisant le compte en plus de quelques autres attributs. Étant donné que vous pouvez associer
un objet utilisateur à de nombreux attributs, il est important que vous compreniez ce que sont
ces attributs et comment vous pouvez les utiliser dans votre organisation.
Catégories d'attributs
Les attributs d'un objet utilisateur se répartissent en plusieurs grandes catégories. Ces catégories
apparaissent dans le volet de navigation de la boîte de dialogue Propriétés de l'utilisateur dans
le Centre d'administration Active Directory et incluent les éléments suivants :
Compte. Outre les propriétés de nom de l'utilisateur (prénom, initiale du deuxième
prénom, nom, nom complet) et les différents noms de connexion de l'utilisateur, vous
pouvez configurer les propriétés supplémentaires suivantes:
o Connectez-vous aux heures. Cette propriété définit quand le compte peut être
4
utilisé pour accéder aux ordinateurs du domaine. Vous pouvez utiliser la vue de
style de calendrier hebdomadaire pour définir les heures d'ouverture de session
autorisées et les heures d'ouverture de session refusées.
o Connectez-vous à. Utilisez cette propriété pour définir les ordinateurs qu'un
utilisateur peut utiliser pour se connecter au domaine. Spécifiez le nom de
l'ordinateur et ajoutez-le à une liste d'ordinateurs autorisés.
o Le compte expire. Cette valeur est utile lorsque vous souhaitez créer des comptes
d'utilisateurs temporaires. Par exemple, vous souhaiterez peut-être créer des
comptes d'utilisateurs pour les stagiaires qui seront dans votre entreprise pendant
un an seulement. Vous pouvez définir la date d'expiration du compte à l'avance.
Le compte ne peut pas être utilisé après la date d'expiration tant qu'il n'est pas
reconfiguré manuellement par un administrateur.
o L'utilisateur doit changer de mot de passe à la prochaine connexion. Cette
propriété vous permet de forcer les utilisateurs à réinitialiser leur propre mot de
passe lors de leur prochaine connexion. C'est généralement quelque chose que
vous pouvez activer après avoir réinitialisé le mot de passe d'un utilisateur.
o Une carte à puce est requise pour une connexion interactive. Cette valeur
réinitialise le mot de passe de l'utilisateur en une séquence complexe et aléatoire
de caractères et définit une propriété qui requiert que l'utilisateur utilise une carte
à puce pour s'authentifier lors de la connexion.
o Le mot de passe n'expire jamais. Il s'agit d'une propriété que vous utilisez
normalement avec les comptes de service; c'est-à-dire les comptes qui ne sont
pas utilisés par des utilisateurs réguliers mais par des services. En définissant
cette valeur, vous devez vous rappeler de mettre à jour le mot de passe
manuellement sur une base périodique. Cependant, vous n'êtes pas obligé de le
faire à un intervalle prédéterminé. Par conséquent, le compte ne peut jamais être
verrouillé en raison de l'expiration du mot de passe, une fonctionnalité
particulièrement importante pour les comptes de service.
o L'utilisateur ne peut pas changer le mot de passe. Cette option est généralement
utilisée pour les comptes de service.
o Stockez le mot de passe en utilisant un cryptage réversible. Cette stratégie prend
en charge les programmes qui utilisent des protocoles qui nécessitent la
connaissance du mot de passe de l'utilisateur à des fins d'authentification. Le
stockage des mots de passe à l'aide du chiffrement réversible est essentiellement
le même que le stockage des versions en texte brut des mots de passe. Pour cette
raison, vous ne devez jamais activer cette stratégie à moins que les exigences du
programme ne l'emportent sur la nécessité de protéger les informations de mot
de passe. Cette stratégie est requise lorsque vous utilisez l'authentification
CHAP (Challenge Handshake Authentication Protocol) via l'accès à distance ou
le service d'authentification Internet (IAS). Il est également requis lors de
l'utilisation de l'authentification Digest dans les services Internet (IIS).
o Le compte est approuvé pour la délégation. Vous pouvez utiliser cette propriété
pour autoriser un compte de service à emprunter l'identité d'un utilisateur
standard pour accéder aux ressources réseau au nom d'un utilisateur.
Organisation. Cela inclut des propriétés telles que le nom d'affichage de l'utilisateur, le
5
bureau, l'adresse e-mail, divers numéros de téléphone de contact, la structure de gestion,
les noms de service et de société, les adresses et autres propriétés.
Membre de. Cette section vous permet de définir les appartenances aux groupes pour
l'utilisateur.
Paramètres de mot de passe. Cette section comprend des paramètres de mot de passe
qui sont appliqués directement à l'utilisateur.
Profil. Cette section vous permet de configurer un emplacement pour les données
personnelles de l'utilisateur et de définir un emplacement dans lequel enregistrer le
profil du bureau de l'utilisateur lorsqu'il se déconnecte.
Extensions. Cette section expose de nombreuses propriétés utilisateur supplémentaires,
dont la plupart ne nécessite une configuration manuelle....
3.1.4 – Création de profil utilisateurs
Lorsque les utilisateurs se déconnectent, leurs paramètres de bureau et d'application sont
enregistrés dans un sous-dossier du dossier C:\Users sur le disque dur local qui correspond à
leur nom d'utilisateur. Ce dossier contient leur profil utilisateur.
Les sous-dossiers de ce dossier contiennent des documents et des paramètres qui
représentent le profil de l'utilisateur, y compris des documents, des vidéos, des images et des
téléchargements.
Si un utilisateur est susceptible de se connecter de manière interactive sur plusieurs postes
de travail clients, il est préférable que ces paramètres et documents soient disponibles sur ces
autres postes de travail clients. Il existe plusieurs façons de garantir que les utilisateurs peuvent
accéder à leurs profils à partir de plusieurs postes de travail.
Configuration des propriétés du compte utilisateur pour gérer les profils
Les propriétés suivantes du profil de bureau d'un utilisateur peuvent être configurées en utilisant
les paramètres de compte d'utilisateur dans le Centre d'administration Active Directory :
Chemin du profil. Ce chemin est soit un chemin local, soit plus généralement un chemin
UNC (Universal Naming Convention). Les paramètres du bureau de l'utilisateur sont
stockés dans le profil. Si un profil utilisateur a un chemin UNC, l'utilisateur aura accès
à ses paramètres de bureau quel que soit l'ordinateur de domaine auquel il se connecte.
Il s'agit d'un profil itinérant.
Script de connexion. Il s'agit d'un fichier batch qui contient des commandes qui
s'exécutent lorsque l'utilisateur se connecte. En règle générale, vous utilisez ces
commandes pour créer des mappages de lecteur. Plutôt que d'utiliser un fichier de
commandes de script d'ouverture de session, vous implémentez généralement des scripts
d'ouverture de session à l'aide des GPO ou des préférences de stratégie de groupe. Si
vous utilisez un script de connexion, le nom du script doit être un nom de fichier (avec
extension) uniquement. Les scripts doivent être stockés dans le dossier C: \ Windows \
SYSVOL \ domain \ scripts sur tous les contrôleurs de domaine.
Dossier d'accueil. Il s'agit d'une zone de stockage dans laquelle les utilisateurs peuvent
enregistrer leurs documents personnels. Vous pouvez spécifier un chemin local ou, plus
généralement, un chemin UNC vers le dossier de l'utilisateur. Vous devez également
spécifier une lettre de lecteur utilisée pour mapper un lecteur réseau sur le chemin UNC
spécifié. Vous pouvez ensuite configurer les documents personnels d'un utilisateur dans
6
ce dossier d'accueil redirigé.
Utilisation de la stratégie de groupe pour gérer les profils
Au lieu d'utiliser les paramètres de compte d'utilisateur individuel, vous pouvez utiliser des
objets de stratégie de groupe pour gérer ces paramètres. Vous pouvez configurer les paramètres
de redirection de dossiers en utilisant l'Éditeur de gestion des stratégies de groupe pour ouvrir
un objet de stratégie de groupe pour modification, puis en accédant au nœud Configuration
utilisateur \ Stratégies \ Paramètres Windows.
Ces paramètres contiennent les sous-nœuds du tableau suivant :
Sous-nœuds dans le nœud Paramètres Windows
AppData (Roaming) Pictures Downloads
Desktop Music Links
Start Menu Videos Searches
Document Favorites Saved Games
Contacts
Les groupes de sécurité sont activés pour la sécurité et sont utilisés pour attribuer des
7
autorisations à diverses ressources. Les groupes de sécurité ont des SID, avec un attribut
groupType Active Directory de 0x80000002 (ACCOUNT_GROUP |
SECURITY_ENABLED). Vous pouvez donc utiliser ces groupes dans les entrées
d'autorisation des listes de contrôle d'accès (ACL) pour contrôler la sécurité de l'accès aux
ressources. Parce qu'ils incluent également le type de groupe de comptes, vous pouvez
également utiliser des groupes de sécurité comme moyen de distribution pour les applications
de messagerie. Si vous souhaitez utiliser un groupe pour gérer la sécurité, il doit s'agir d'un
groupe de sécurité.
Étant donné que vous pouvez utiliser des groupes de sécurité pour l'accès aux ressources et
la distribution des e-mails, de nombreuses organisations utilisent uniquement des groupes de
sécurité. Toutefois, il est recommandé de créer le groupe en tant que groupe de distribution si
vous utilisez un groupe uniquement pour la distribution des e-mails. Sinon, le groupe se voit
attribuer un SID et le SID est ajouté au jeton d'accès de sécurité de l'utilisateur, ce qui peut
rendre le jeton inutilement volumineux.
Un groupe de sécurité peut être converti à tout moment en groupe de distribution; lorsque
vous procédez ainsi, l'attribut groupType passe de 0x80000002 (ACCOUNT_GROUP |
SECURITY_ENABLED) à 0x2 (ACCOUNT_GROUP). Un groupe de sécurité qui a été
converti en groupe de distribution perd donc toutes les autorisations qui lui sont attribuées,
même si les ACL contiennent toujours le SID. Lorsqu'un groupe de distribution est converti en
groupe de sécurité, l'inverse se produit, l'attribut groupType passe de 0x2
(ACCOUNT_GROUP) à 0x80000002 (ACCOUNT_GROUP | SECURITY_ENABLED). Si le
groupe de distribution était un groupe de sécurité précédemment converti, vous pouvez par
inadvertance accorder aux utilisateurs l'accès aux droits et autorisations qui avaient été attribués
au groupe lorsqu'il était auparavant un groupe de sécurité.
3.2.2 – Portée d’un groupe
Windows Server 2012 prend en charge la portée de groupe. La portée d'un groupe détermine
à la fois la plage de capacités ou d'autorisations d'un groupe et l'appartenance au groupe. Il
existe quatre étendues de groupe :
Local. Vous utilisez ce type de groupe pour des serveurs ou des postes de travail
autonomes, sur des serveurs membres de domaine qui ne sont pas des contrôleurs de
domaine ou sur des postes de travail membres de domaine. Les groupes locaux sont
vraiment locaux, ce qui signifie qu'ils ne sont disponibles que sur l'ordinateur où ils
existent. Les caractéristiques importantes d'un groupe local sont :
o Vous pouvez attribuer des capacités et des autorisations sur les ressources
locales uniquement, c'est-à-dire sur l'ordinateur local.
o Les membres peuvent provenir de n'importe où dans la forêt AD DS et peuvent
inclure :
Tous les principaux de sécurité du domaine : utilisateurs, ordinateurs,
groupes globaux ou groupes locaux de domaine.
Utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine
de la forêt.
Utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine
approuvé.
De plus, le groupe Opérateurs de compte est, comme les autres groupes administratifs, un
11
groupe protégé.
Les groupes protégés
Les groupes protégés sont définis par le système d'exploitation et ne peuvent pas être non
protégés. Les membres d'un groupe protégé deviennent protégés par association et n'héritent
plus des autorisations (ACL) de leur unité d'organisation, mais reçoivent plutôt une copie d'une
ACL du groupe protégé. Ce groupe protégé ACL offre une protection considérable aux
membres. Par exemple, si vous ajoutez Jeff Ford au groupe Opérateurs de compte, son compte
est protégé et le service d'assistance, qui peut réinitialiser tous les autres mots de passe
utilisateur dans l'unité d'organisation Employés, ne peut pas réinitialiser le mot de passe de Jeff
Ford.
Les groupes personalisés
Il est déconseillé d’ajouter des utilisateurs aux groupes qui n’ont pas de membres par
défaut (opérateurs de compte, opérateurs de sauvegarde, opérateurs de serveur et opérateurs
d’impression).
Il est recommandé de créer des groupes personnalisés auxquels sont attribuées des
autorisations et des droits d'utilisateur qui répondent aux besoins commerciaux et
administratifs.
Par exemple, si Scott Mitchell doit être en mesure d'effectuer des opérations de sauvegarde
sur un contrôleur de domaine, mais ne doit pas être en mesure d'effectuer des opérations de
restauration qui pourraient entraîner une restauration ou une corruption de la base de données,
et ne doit pas être en mesure d'arrêter un contrôleur de domaine, ne le faites pas. placez Scott
dans le groupe Opérateurs de sauvegarde. Au lieu de cela, créez un groupe et attribuez-lui
uniquement le droit d'utilisateur Sauvegarder les fichiers et les répertoires, puis ajoutez Scott
en tant que membre.
Groupes Identités spéciales
Windows et AD DS prennent également en charge les identités spéciales, qui sont des
groupes dont l'appartenance est contrôlée par le système d'exploitation. Vous ne pouvez pas
afficher les groupes dans aucune liste (dans Utilisateurs et ordinateurs Active Directory, par
exemple), vous ne pouvez pas afficher ou modifier l'appartenance de ces identités spéciales et
vous ne pouvez pas les ajouter à d'autres groupes. Vous pouvez cependant utiliser ces groupes
pour attribuer des droits et des autorisations.
Les identités spéciales les plus importantes - souvent appelées groupes (pour plus de
commodité) - sont décrites dans la liste suivante :
Ouverture de session anonyme (anonymous logon). Cette identité représente les
connexions à un ordinateur et ses ressources qui sont effectuées sans fournir de nom
d'utilisateur et de mot de passe. Avant Windows Server 2003, ce groupe était membre
du groupe Tout le monde. À partir de Windows Server 2003, ce groupe n'est plus un
membre par défaut du groupe Tout le monde.
Utilisateurs authentifiés. Cela représente des identités authentifiées. Ce groupe n'inclut
pas Guest, même si le compte Guest a un mot de passe.
Tout le monde. Cette identité inclut les utilisateurs authentifiés et le compte Invité. (Sur
12
les ordinateurs qui exécutent des versions du système d'exploitation Windows Server
qui précèdent Windows Server 2003, ce groupe comprend la connexion anonyme.)
Interactif. Cela représente les utilisateurs qui accèdent à une ressource lorsqu'ils sont
connectés localement à l'ordinateur qui héberge la ressource, par opposition à l'accès à
la ressource sur le réseau. Quand un utilisateur accède à une ressource donnée sur un
ordinateur auquel l'utilisateur est connecté localement, l'utilisateur est ajouté
automatiquement au groupe interactif pour cette ressource. Interactive inclut également
les utilisateurs qui se connectent via une connexion Bureau à distance.
Réseau. Cela représente les utilisateurs qui accèdent à une ressource sur le réseau, par
opposition aux utilisateurs qui sont connectés localement sur l'ordinateur qui héberge la
ressource. Lorsqu'un utilisateur accède à une ressource donnée sur le réseau, l'utilisateur
est automatiquement ajouté au groupe Réseau pour cette ressource.
Propriétaire créateur. Cela représente le principal de sécurité qui a créé un objet.
L'importance de ces identités spéciales est que vous pouvez les utiliser pour fournir un accès
aux ressources en fonction du type d'authentification ou de connexion, plutôt que du compte
d'utilisateur. Par exemple, vous pouvez créer un dossier sur un système qui permet aux
utilisateurs d'afficher son contenu lorsqu'ils sont connectés localement au système, mais cela ne
permet pas aux mêmes utilisateurs d'afficher le contenu d'un lecteur mappé sur le réseau. Vous
pouvez y parvenir en attribuant des autorisations à l'identité spéciale interactive.