Vous êtes sur la page 1sur 20

Table des matières Page 1

Chapitre 1
Introduction aux services de domaine Active Directory
A. Rôle du service d'annuaire dans l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
B. Positionnement et innovations de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . 23
1. Version majeure de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2. Évolutions en matière de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3. Accès aux applications et mobilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4. Virtualisation des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
5. Nouveautés apportées par Windows Server 2008 et Windows Server 2008 R2 . . . . . 24
6. Innovations apportées à Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
a. AD DS: Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
b. AD DS: Gestion granulaire des stratégies de mot de passe . . . . . . . . . . . . . . . . 26
c. AD DS: Contrôleurs de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . 26
d. AD DS: Redémarrage des services de domaine Active Directory . . . . . . . . . . . . 26
e. AD DS: Aide à la récupération des données . . . . . . . . . . . . . . . . . . . . . . . . . . 26
f. AD DS: Améliorations de l’interface Active Directory . . . . . . . . . . . . . . . . . . . . . 26
C. Windows Server 2008 R2 : stratégie de Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
1. Intégration de l'innovation au sein de Windows Server . . . . . . . . . . . . . . . . . . . . . . 27
2. Le nouveau cycle de produits Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
a. Versions majeures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
b. Versions mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
c. Service Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
d. Feature Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3. Windows Server 2008 et Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . . . . . 29
D. Services fondamentaux et protocoles standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
E. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
F. Travaux pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
1. Installation de Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2. Configuration des paramètres généraux du serveur Windows Server 2008 R2. . . . . . 40
3. Configuration des paramètres TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4. Vérification des paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Chapitre 2
Ó Editions ENI - All rights reserved

DNS : concepts, architecture et administration


A. Introduction aux services de résolution de noms DNS . . . . . . . . . . . . . . . . . . . . . . . . . 48
1. Un peu d'histoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
2. Qu'est-ce que les services DNS ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3. Terminologie du système DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
a. L'espace de nom DNS (Domain Namespace) . . . . . . . . . . . . . . . . . . . . . . . . . 51
b. Hiérarchie DNS et espace de noms Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4. Le DNS : base de données distribuée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Examen 70-640
Page 2 Table des matières

B. Structure de l'espace DNS et hiérarchie des domaines. . . . . . . . . . . . . . . . . . . . . . . . 56


1. Le domaine racine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
2. Les domaines de premier et deuxième niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
C. Les enregistrements de ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
D. Domaines, zones et serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
1. Domaines DNS et zones DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
2. Zones et fichiers de zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
3. Noms de domaines DNS et noms de domaines Active Directory . . . . . . . . . . . . . . 66
4. Types de zones et serveurs de noms DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
a. Serveurs de noms et zones primaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
b. Serveurs de noms et zones secondaires. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
c. Types de transferts de zones DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
d. Serveurs de cache et serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5. Mise en œuvre des zones standard : bonnes pratiques . . . . . . . . . . . . . . . . . . . . . 75
6. Délégation des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
7. Utilisation des redirecteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
8. Zones de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
a. Contenu d'une zone de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
b. Avantages des zones de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
c. Mise à jour des zones de stub. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
d. Opérations sur les zones de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
9. Redirecteurs, zones de stub et délégation : bonnes pratiques . . . . . . . . . . . . . . . . 84
E. Gestion des noms multihôtes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
F. Vieillissement et nettoyage des enregistrements DNS . . . . . . . . . . . . . . . . . . . . . . . . . 86
G. Options de démarrage du serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
H. Récursivité des serveurs DNS et protection des serveurs . . . . . . . . . . . . . . . . . . . . . . . 91
1. Blocage des attaques de type Spoofing DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
2. Blocage des attaques de type Spoofing DNS sur les serveurs de type Internet . . . . . 91
I. Synthèse des rôles des serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
J. Commandes de gestion du service DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
1. La commande ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
a. Gestion du cache du client DNS et des enregistrements dynamiques . . . . . . . . 93
b. Renouvellement de l'inscription du client DNS. . . . . . . . . . . . . . . . . . . . . . . . . . 94
c. Nouvelles options de la commande ipconfig. . . . . . . . . . . . . . . . . . . . . . . . . . 96
2. La commande NSLookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
3. La commande DNSCmd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
4. La commande DNSLint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
5. La commande Netdiag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
K. Surveillance du service DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
1. Définition d'une base de référence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
2. Utilisation de la console Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . . 103
3. Utilisation des journaux d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory


Table des matières Page 3

4. Utilisation des journaux de débogage DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106


L. Restauration des paramètres par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
M. Interface NetBIOS et Configuration DNS du client Windows . . . . . . . . . . . . . . . . . . . . 107
1. À propos de l'interface NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
a. Interface NetBIOS et Configuration DNS du client Windows XP Professionnel . . . . 107
b. Types de noms à prendre en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
c. Positionnement de l'interface NetBIOS par rapport à TCP/IP . . . . . . . . . . . . . . . 108
2. Plate-forme Windows et interface Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
a. Services NetBIOS et codes de services Microsoft . . . . . . . . . . . . . . . . . . . . . . . 109
b. Résolution de noms NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
c. Ordre des résolutions NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
d. Ordre de résolution d'un poste de travail de type H-node . . . . . . . . . . . . . . . . 111
e. Interface et noms NetBIOS, résolutions WINS et domaines Active Directory. . . . . 114
3. Configuration d'un poste client Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 114
a. À propos des Clients Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
b. Postes de travail Windows XP et paramètres DNS nécessaires
aux environnements de domaines Active Directory . . . . . . . . . . . . . . . . . . . . . 119
4. Demandes de résolutions DNS et NetBIOS : Processus de sélection de la méthode 126
5. Test d'intégration de l'ordinateur dans le domaine Active Directory . . . . . . . . . . . . 127
N. Nouveautés des services DNS de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . 127
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
2. Chargement des zones en arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
3. Support des adresses IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
4. Support DNS des contrôleurs de domaine en lecture seule . . . . . . . . . . . . . . . . . 129
5. Support des zones de type GlobalNames . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
6. Évolutions de la partie Client DNS de Windows 7 et Windows Server 2008 R2 . . . . . 131
7. Sélection des contrôleurs de domaine avec Windows 7 et Windows Server 2008 R2131
O. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
P. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
1. Installation du service DNS en vue d'installer Active Directory. . . . . . . . . . . . . . . . . 137
2. Configuration du service DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
3. Configuration des zones DNS en mode dynamique. . . . . . . . . . . . . . . . . . . . . . . 138
4. Test de bon fonctionnement du service DNS à l'aide de Nslookup . . . . . . . . . . . . 139
5. Création des enregistrements de A et PTR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Ó Editions ENI - All rights reserved

6. Création d'un nouveau sous-domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141


7. Création d'un nouveau sous-domaine en tant que nouvelle zone. . . . . . . . . . . . . 141
8. Configuration d'une zone secondaire et du transfert de zones . . . . . . . . . . . . . . . 142
9. Création d'une nouvelle zone DNS mise en délégation . . . . . . . . . . . . . . . . . . . . 143
10. Création d'une nouvelle zone DNS de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
11 Création des indications de racines DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
12. Configuration des redirecteurs conditionnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
13. Affichage du cache du serveur DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

Examen 70-640
Page 4 Table des matières

Chapitre 3
Intégration des zones DNS dans Active Directory
A. Stockage des zones DNS et réplication Active Directory . . . . . . . . . . . . . . . . . . . . . . 148
1. Objets ordinateurs Active Directory et nommages . . . . . . . . . . . . . . . . . . . . . . . . 149
2. Avantages de l'intégration des zones DNS dans Active Directory . . . . . . . . . . . . . . 151
a. Mise à jour en mode multimaîtres (ou maîtres multiples) . . . . . . . . . . . . . . . . . 151
b. Sécurité avancée des contrôles d'accès sur la zone et les enregistrements . . . 151
3. Partitions par défaut disponibles sous Windows 2000 . . . . . . . . . . . . . . . . . . . . . . 153
4. Intégration des zones DNS dans Active Directory avec Windows 2000 . . . . . . . . . . 154
5. Intégration des zones DNS dans Active Directory avec Windows Server 2003
et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
a. ForestDnsZones.NomForêtDns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
b. DomainDnsZones.NomdeDomaineDns. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
c. Utilisation d'autres partitions de l'annuaire d'applications . . . . . . . . . . . . . . . . . 159
d. Création d'une partition dans l'annuaire d'applications Active Directory. . . . . . . 159
e. Réplication des partitions du répertoire d'applications et cas
des catalogues globaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
f. Stockage des zones, partitions d'applications et réplications . . . . . . . . . . . . . . 160
g. Zones DNS intégrées dans Active Directory et partitions d'annuaire ADAM . . . . . 160
h. Conditions nécessaires pour réaliser un changement de stockage . . . . . . . . . 163
i. Indications de racines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
j. Stockage des zones dans Active Directory et enregistrements dynamiques
des contrôleurs de domaines Windows 2000, Windows Server 2003
et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
6. Sécurisation des mises à jour dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
a. Configurer les mises à jour dynamiques sécurisées . . . . . . . . . . . . . . . . . . . . . 165
7. Mises à jour sécurisées et enregistrements DNS réalisés via DHCP . . . . . . . . . . . . . 167
a. Utilisation du groupe spécial DNSUpdateProxy pour réaliser les mises à jour
dynamiques des zones DNS sécurisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
b. Sécurisation des enregistrements lors de l'utilisation du groupe DnsUpdateProxy . 170
c. Sécurisation des zones DNS et pouvoir du service serveur DHCP
sur les contrôleurs de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . 170
d. Commande Netsh et déclaration de l'authentification du serveur DHCP . . . . . . 172
8. Conflits de gestion des autorisations sur les zones DNS . . . . . . . . . . . . . . . . . . . . . 172
B. Intégration des serveurs DNS Windows avec l'existant . . . . . . . . . . . . . . . . . . . . . . . . 173
1. À propos des RFC pris en charge par le service DNS de Windows Server 2003
et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
2. À propos des RFC 1034 et 1035 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
3. Consultation des RFC sur le Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
4. Interopérabilité des services DNS de Windows Server 2003 et 2008 R2 . . . . . . . . . . 174
5. Problème de compatibilité et recherches directe et inversée WINS . . . . . . . . . . . . 174
6. Spécificité du DNS de Windows 2000 Server, Windows Server 2003
et Windows Server 2008 R2 et intégration dynamique aux serveurs DHCP . . . . . . . 175

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory


Table des matières Page 5

7. Autorisations des transferts de zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175


C. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
D. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
1. Création des partitions de l'annuaire d'applications DNS par défaut . . . . . . . . . . . 177
2. Stockage d'une zone vers tous les serveurs DNS de la forêt . . . . . . . . . . . . . . . . . 178
3. Stockage d'une zone vers tous les serveurs DNS du domaine Active Directory . . . . 178
4. Stockage d'une zone vers tous les contrôleurs de domaine du domaine
Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
5. Stockage d'une zone dans une partition de répertoire
d'application spécifique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
6. Autorisations des mises à jour dynamiques sécurisées . . . . . . . . . . . . . . . . . . . . . 180
7. Activation des fonctions de vieillissement et de nettoyage sur le serveur DNS. . . . . 181

Chapitre 4
Localisation des services Active Directory et services DNS
A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
B. Service de Localisation DNS et sélection des contrôleurs de domaine. . . . . . . . . . . . 185
C. Structure DNS et intégration dans l'annuaire Active Directory. . . . . . . . . . . . . . . . . . . 188
D. Enregistrements DNS "Emplacement du service" des contrôleurs de domaine . . . . . . 190
1. Structure d'accueil de la zone DNS pour les enregistrements de ressources
de type SRV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
a. À propos de l'enregistrement de ressources DNS de type SRV . . . . . . . . . . . . . 191
b. Enregistrements SRV inscrits par le service "Ouverture de session réseau" . . . . . . 193
c. À propos de l'enregistrement DsaGuid._msdcs.NomdeForêt . . . . . . . . . . . . . . 195
d. Enregistrements de ressources pour les clients non compatibles
avec les enregistrements SRV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
2. Serveurs DNS non dynamiques et enregistrements dynamiques des contrôleurs
de domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
3. À propos de la zone DNS du domaine racine de la forêt. . . . . . . . . . . . . . . . . . . 196
E. Contraintes et problèmes potentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
F. Contrôle rapide des enregistrements de ressources . . . . . . . . . . . . . . . . . . . . . . . . . 197
1. Tests des enregistrements DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
G. Gestion du problème de la transition des contrôleurs de domaines NT
vers Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Ó Editions ENI - All rights reserved

H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202


I. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
1. Inscription manuelle des enregistrements SRV du service
Ouverture de session réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
2. Désenregistrements des enregistrements SRV. . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
3. Réinitialisation du cache de résolution client à l'aide de la commande ipconfig . . 206
4. Effacement du contenu du cache des noms de serveurs DNS . . . . . . . . . . . . . . . 206

Examen 70-640
Page 6 Table des matières

Chapitre 5
Annuaires, opérations LDAP et services de domaine AD
A. À propos des annuaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
B. Un peu d'Histoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
C. LDAPv2 & LDAPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
D. Conformité LDAP de Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
E. Conformité LDAP de Windows Server 2003, Windows Server 2008
et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
F. Compatibilité LDAP et support de la classe inetOrgPerson . . . . . . . . . . . . . . . . . . . . 212
G. Objet RootDSE et extensions LDAPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
H. Authentifications LDAP et SASL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
I. Références LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
J. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
K. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
1. Affichage du RootDSE avec ADSI Edit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
2. Utilisation de Ldp pour vérifier le mode fonctionnel d'un domaine ou d'une forêt . . 223

Chapitre 6
Éléments de structure Active Directory
A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
B. Objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
1. Classes et attributs d'objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
2. Création d'un attribut LDAP et valeur du Nom LDAP affiché. . . . . . . . . . . . . . . . . . 233
3. Protection des classes et attributs SYSTEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
4. Désactivation d'une classe ou d'un attribut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
5. Objets, classes, attributs et intégration des applications . . . . . . . . . . . . . . . . . . . . 237
6. Outils d'administration en ligne de commande de Windows Server 2003
et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
C. Schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
1. Construction de l'annuaire Active Directory et chargement du schéma par défaut 240
2. Protection du schéma. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
D. Conventions de nommage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
1. Le nom unique relatif (RDN - Relative Distinguished Name) . . . . . . . . . . . . . . . . . . 244
2. Le nom unique (DN - Distinguished Name) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
3. Le nom canonique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
4. Le GUID de l'objet (Globally Unique Identifier) . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
5. Le SID de l'objet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
E. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
F. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
1. Rechargement du schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
2. Création d'un nouvel attribut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
3. Indexation d'un attribut dans les catalogues globaux Active Directory . . . . . . . . . . 251

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory


Table des matières Page 7

4. Ajout d'un attribut dans les catalogues globaux Active Directory . . . . . . . . . . . . . . 252
5. Gestion des comptes utilisateur à l'aide de la console MMC Utilisateurs
et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
6. Gestion des comptes d'ordinateur à l'aide de la console
MMC Utilisateurs et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 253
7. Gestion des comptes de groupe à l'aide de la console Utilisateurs
et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
8. Création d'une stratégie de mot de passe pour un domaine . . . . . . . . . . . . . . . . 256

Chapitre 7
Composants de la structure logique
A. Introduction aux composants de la structure logique . . . . . . . . . . . . . . . . . . . . . . . . 260
B. Les domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
1. Conteneur (container) au sein de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
2. Niveaux fonctionnels des domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
3. Gestion des stratégies au niveau des domaines . . . . . . . . . . . . . . . . . . . . . . . . . 266
4. Délégation de l'administration des domaines et contrôle
des paramètres spécifiques au domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
5. Utilisation du domaine comme unité de réplication élémentaire . . . . . . . . . . . . . 269
6. Limites du domaine Active Directory et délégation contrainte . . . . . . . . . . . . . . . 269
C. Contrôleurs de domaine et structure logique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
D. Les unités d'organisation (OU) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
E. Les arbres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
F. Les forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
1. Critères, rôle et bon usage des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
2. Configuration de la forêt et domaine racine . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
3. Activation des nouvelles fonctionnalités de forêt de Windows Server 2003,
Windows Server 2008 et de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . 289
4. Unités de réplication et rôle des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
5. Maîtres d'opérations FSMO de forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
6. La forêt et l'infrastructure physique Active Directory. . . . . . . . . . . . . . . . . . . . . . . . 295
7. Frontières de sécurité et rôle des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
8. Approbations au sein des forêts Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . 298
a. Bénéfices apportés par la transitivité des approbations . . . . . . . . . . . . . . . . . . 298
Ó Editions ENI - All rights reserved

b. Structure de la forêt et approbations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299


c. Approbations et objets TDO dans les forêts Active Directory . . . . . . . . . . . . . . . 300
d. Types d'approbation supportés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
e. Forêts Windows Server (2003, 2008 ou 2008 R2) et approbations de forêts . . . . 304
f. Routage des suffixes de noms et approbations de forêts . . . . . . . . . . . . . . . . 305
g. Utilisation de la commande Netdom pour créer et gérer les approbations . . . . 307
G. Réussir le processus de mise à niveau d’Active Directory vers les services
de domaine Active Directory de Windows Server 2008 (et R2) . . . . . . . . . . . . . . . . . 308
1. Vérifications et gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

Examen 70-640
Page 8 Table des matières

2. Préparation de l’infrastructure Active Directory pour Windows Server 2008


ou Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
3. Mise en œuvre d’un nouveau contrôleur Windows Server 2008
ou Windows Server 2008 R2 AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
4. Réaffectation des rôles FSMO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
5. Opérations de finalisation Post Migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
a. Modification des stratégies de sécurité des contrôleurs de domaine . . . . . . . . 312
b. Mise à jour des autorisations des objets GPO pour les domaines migrés
à partir de Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
I. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
1. Création du domaine racine de la forêt Active Directory . . . . . . . . . . . . . . . . . . . 318
2. Ajout d'un deuxième contrôleur de domaine dans le domaine racine . . . . . . . . . 319
3. Création d'un nouveau domaine enfant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
4. Création d'une nouvelle arborescence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
5. Désinstallation normale d'un contrôleur de domaine Active Directory . . . . . . . . . . 321
6. Désinstallation forcée d'un contrôleur de domaine Active Directory. . . . . . . . . . . . 322
7. Augmentation du niveau fonctionnel d'un domaine . . . . . . . . . . . . . . . . . . . . . . 323
8. Augmentation du niveau fonctionnel de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . 324
9. Recherche d'un objet à l'aide des Requêtes sauvegardées . . . . . . . . . . . . . . . . . 324
10. Création d'une Unité d'Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
11. Délégation du contrôle de l'administration sur une OU et modification
de l'ACL d'un objet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
12. Déplacement d'une OU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
13. Création des relations d'approbations externes . . . . . . . . . . . . . . . . . . . . . . . . . . 328
14. Création des relations d'approbations raccourcies. . . . . . . . . . . . . . . . . . . . . . . . 329
15. Création des relations d'approbations entre forêts . . . . . . . . . . . . . . . . . . . . . . . . 329
16. Gestion des suffixes UPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330

Chapitre 8
Groupes OUs et délégation
A. Usage des groupes en environnement Active Directory . . . . . . . . . . . . . . . . . . . . . . 334
1. Les différents types de groupes Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
a. Les groupes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
b. Les groupes de distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
2. Portée des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
a. Les groupes globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
b. Les groupes locaux de domaine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
c. Les groupes universels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
3. Règles générales concernant les objets groupes . . . . . . . . . . . . . . . . . . . . . . . . . 337
a. Bon usage des comptes de groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
b. Bon usage des groupes universels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory


Table des matières Page 9

B. Définition d'une structure d'unités d'organisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . 338


1. Rôle des objets unités d'organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
2. Utilisation des unités d'organisation et relation avec l'organisation de l'entreprise . . 339
3. Délégation de l'autorité d'administration et usage des unités d'organisation. . . . . . 340
a. Structure basée sur la nature des objets gérés . . . . . . . . . . . . . . . . . . . . . . . . 341
b. Structure basée sur les tâches d'administration . . . . . . . . . . . . . . . . . . . . . . . . 341
c. Facteurs à intégrer dans la définition d'une hiérarchie d'unités d'organisation . . 341
4. Usage des unités d'organisation pour les stratégies de groupe . . . . . . . . . . . . . . . 345
5. Règles générales et bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
C. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346

Chapitre 9
Composants de la structure physique
A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
B. Contrôleurs de domaine et structure physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
1. Catalogue global et ensemble partiel d'attributs . . . . . . . . . . . . . . . . . . . . . . . . . 354
2. Rôle des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
3. Fonctions principales des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . 356
4. Catalogues globaux et activation de l'appartenance aux groupes universels . . . . 357
C. Sites et services Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
1. Qu'est-ce qu'un site Active Directory ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
2. Pourquoi créer un site ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
3. Sites et services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
D. Réplication Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
1. Concept de la réplication intrasite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
2. Réplication intrasite avec des contrôleurs Windows 2000 Server,
Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2. . . . . . . . . 364
3. Concept de la réplication intersites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
4. Création des objets connexion en intrasite et anneaux de réplication . . . . . . . . . . 365
5. Réplication intersites à l'aide des liens de sites et ponts de liaisons . . . . . . . . . . . . 368
a. Les liens de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
b. Choix du transport Intersites : IP (avec RPC) ou SMTP . . . . . . . . . . . . . . . . . . . . 370
c. Service système Messagerie intersites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
d. Mise en œuvre du transport SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Ó Editions ENI - All rights reserved

6. Gestion des liens intersites et des coûts de réplication . . . . . . . . . . . . . . . . . . . . . 373


a. Détermination de la planification et des coûts des liens intersites . . . . . . . . . . . 373
b. Pourquoi désactiver le pontage par défaut de tous les liens de sites ? . . . . . . . 375
c. Effets de la désactivation de la transitivité sur le KCC et avantages
dans les grands réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
d. Effets de la désactivation de la transitivité sur la topologie DFS . . . . . . . . . . . . 376
e. À propos des algorithmes utilisés par le KCC/ISTG . . . . . . . . . . . . . . . . . . . . . . 376
f. Création d'un nouveau pont entre liens de sites . . . . . . . . . . . . . . . . . . . . . . . 377
g. Gestion des serveurs tête de pont . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377

Examen 70-640
Page 10 Table des matières

h. Définition du générateur de topologie intersites . . . . . . . . . . . . . . . . . . . . . . . 380


E. Résolution des problèmes de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
F. Contrôle des réplications urgentes en intersites . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
1. Événements pris en charge par les réplications urgentes . . . . . . . . . . . . . . . . . . . 381
2. Verrouillage des comptes utilisateur et réplication urgente . . . . . . . . . . . . . . . . . . 382
3. Changements de mots de passe et réplication Active Directory . . . . . . . . . . . . . . 383
4. Gestion des "Bad Passwords" et optimisation des trafics . . . . . . . . . . . . . . . . . . . . 384
5. Activation des messages de notification de modifications sur un objet lien de site. 384
6. Administration des mots de passe à l'aide de la DLL Acctinfo.dll. . . . . . . . . . . . . . 385
G. Critères d'architecture à considérer pour définir la topologie de réplication intersites. 387
H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
I. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
1. Recherche des serveurs maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
2. Transfert d'un rôle de maître d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
3. Prise de rôle d'un maître d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
4. Création d'un site Active Directory et déplacement d'un serveur . . . . . . . . . . . . . . 395
5. Création des sous-réseaux IP Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
6. Ajout d'un serveur de catalogue sur un site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
7. Activation de la mise en cache de l'appartenance
des groupes universels sur un site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
8. Création d'un objet de connexion intrasite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
9. Désactivation de la transitivité intersites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
10. Création d'un nouveau lien de sites et gestion de la réplication intersites . . . . . . . 400
11. Création d'un pont de liaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
12. Affectation des serveurs têtes de pont (BHS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
13. Forçage des réplications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
14. Utilisation de Repadmin et Replmon. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404

Chapitre 10
Services d'infrastructure Active Directory
A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
B. Recherches LDAP et catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
1. LDAP et la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
2. Comment utiliser la commande LDP pour rechercher un objet via LDAP . . . . . . . . 411
3. Récupération des syntaxes et attributs à l'aide de la console Utilisateurs
et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
4. Ajout, retrait de la fonction de catalogue global et ports TCP/IP . . . . . . . . . . . . . . 414
5. Ports réseaux utilisés par les contrôleurs de domaine catalogues globaux . . . . . . . 415
C. Positionnement des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
1. Authentifications et appartenance aux groupes universels de sécurité. . . . . . . . . . 416
2. Indisponibilité des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
3. Personnalisation des attributs présents dans les catalogues globaux . . . . . . . . . . . 417
4. Mise en cache de l'appartenance des groupes universels . . . . . . . . . . . . . . . . . . 418

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory


Table des matières Page 11

5. Bonnes pratiques pour déterminer le positionnement des catalogues globaux . . . 419


D. Planification et critères d'emplacement et d'affectation des contrôleurs de domaine 420
E. Planification et critères d'emplacement et d'affectation des catalogues globaux . . . 421
F. Planification et critères d'emplacement et d'affectation
des serveurs DNS Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
G. Positionnement des maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
1. Rôle des contrôleurs maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
2. Recommandations générales concernant l'emplacement
des maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
3. Emplacement du contrôleur maître de schéma . . . . . . . . . . . . . . . . . . . . . . . . . 427
4. Emplacement du contrôleur maître d'opérations de noms de domaines . . . . . . . 427
5. Emplacement du contrôleur maître d'opérations de PDC Emulator . . . . . . . . . . . . 428
6. Emplacement du maître d'opérations RID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
7. Emplacement du maître d'opérations d'infrastructure. . . . . . . . . . . . . . . . . . . . . . 429
8. Prise de contrôle forcée des maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . 429
9. Bonnes pratiques à respecter et emplacement des maîtres d'opérations . . . . . . . 430
H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
I. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
1. Contrôle des opérations du KCC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
2. Ajout et suppression d'un catalogue global. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
3. Vérification de la suppression des enregistrements SRV. . . . . . . . . . . . . . . . . . . . . 439

Chapitre 11
Principes fondamentaux des stratégies de groupe
A. Technologie IntelliMirror . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
2. Apports pour l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
3. Évolutions apportées aux GPO par les clients Windows 7 . . . . . . . . . . . . . . . . . . . 444
a. Amélioration de la détection réseau (Network Location Awareness) . . . . . . . . . 444
b. Multiples stratégies locales (LGPO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
c. Meilleure gestion des messages d'événements . . . . . . . . . . . . . . . . . . . . . . . 446
d. Anciens ADM et nouveaux ADMX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
e. Windows Vista prend en charge de nombreuses nouvelles catégories . . . . . . . 447
4. Nouveautés apportées aux postes clients grâce aux évolutions des stratégies
Ó Editions ENI - All rights reserved

de groupe de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448


a. La gestion centralisée des paramètres de gestion de l'alimentation . . . . . . . . . 448
b. Améliorations apportées aux paramètres de sécurité . . . . . . . . . . . . . . . . . . . 449
c. Meilleure gestion des paramètres liés à Internet Explorer . . . . . . . . . . . . . . . . . 450
d. Assignement des imprimantes en fonction du site Active Directory . . . . . . . . . . 450
e. Délégation de l'installation des pilotes d'impression via les GPO . . . . . . . . . . . . 450
f. Nouveaux objets "GPO Starter". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
g. Paramètres du protocole NAP - Network Access Protection . . . . . . . . . . . . . . . 452

Examen 70-640
Page 12 Table des matières

5. Nouvelles préférences des stratégies de groupe de Windows Server 2008 R2 . . . . 453


a. Préférences ou stratégies de groupe ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
b. Déploiement et prise en charge des Préférences de stratégies de groupe . . . . 454
c. Familles de paramètres pris en charge par les Préférences de stratégies
de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
d. Opérations et Actions sur les Eléments des Préférences . . . . . . . . . . . . . . . . . . 459
e. Arrêter le traitement des éléments de cette extension si une erreur survient. . . . 460
f. Exécuter dans le contexte de sécurité de l'utilisateur connecté (option
de stratégie utilisateur) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
g. Supprimer l'élément lorsqu'il n'est plus appliqué . . . . . . . . . . . . . . . . . . . . . . . 460
h. Appliquer une fois et ne pas réappliquer . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
i. Ciblage au niveau de l'élément de Préférences. . . . . . . . . . . . . . . . . . . . . . . 461
j. Utilisation des variables au sein de l'éditeur de cibles . . . . . . . . . . . . . . . . . . . 462
k. Suivi de l'exécution des Préférences des stratégies de groupe . . . . . . . . . . . . . 462
B. Création et configuration d'objets stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . 464
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
2. Stratégies de groupe et relation avec les technologies . . . . . . . . . . . . . . . . . . . . 464
3. Que contient une stratégie de groupe ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
a. Modèles administratifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
b. Règles de sécurité pour les ordinateurs et modèles de sécurité . . . . . . . . . . . . 467
c. Gestion des applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
d. Gestion de l'exécution des scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
e. Gestion des services d'installation à distance RIS. . . . . . . . . . . . . . . . . . . . . . . 475
f. Gestion des paramètres de configuration et de sécurité d'Internet Explorer. . . . 476
g. Redirection des dossiers utilisateurs (dossiers spéciaux) . . . . . . . . . . . . . . . . . . 478
h. Qu'est-ce qu'une stratégie de groupe ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
i. Qu'est-ce qu'une stratégie locale ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
4. Structure physique d'une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
a. Objet Conteneur de Stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
b. Modèle de la stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
c. Composants d'une stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
d. Modèles de stratégie de groupe ADMX pour Windows Vista et Windows 7 . . . . 486
e. Création du "Central Store" au sein du SYSVOL . . . . . . . . . . . . . . . . . . . . . . . . 490
f. Recommandations sur l'administration des GPO en environnement
Windows Vista/Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
5. Application des stratégies de groupe dans l'environnement Active Directory . . . . . 492
a. Application à l'aide du modèle S,D,OU et ordre de traitement. . . . . . . . . . . . . 492
b. Domaines Active Directory et domaines NT : L, S, D, OU et 4, L, S, D, OU . . . . . 494
c. Liaisons des stratégies de groupe sur les objets Sites, Domaine
et Unités d'organisation et de l'héritage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
d. Liaisons et attribut gPLink . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
e. Sélection du contrôleur de domaine préféré . . . . . . . . . . . . . . . . . . . . . . . . . 496

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory


Table des matières Page 13

6. Création d'une stratégie de groupe avec les outils Active Directory. . . . . . . . . . . . 498
a. Utilisation de la console de gestion MMC Utilisateurs et ordinateurs
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
b. Utilisation de la console de gestion MMC "Sites et services Active Directory" . . . 499
7. Création d'une stratégie de groupe avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . 499
a. Création d'une stratégie de groupe non liée . . . . . . . . . . . . . . . . . . . . . . . . . 500
b. Création d'une stratégie de groupe liée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
c. Gestion des liens de stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
d. Suppression d'une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
e. Désactivation d'une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
8. Administration du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
a. Gestion des conflits de traitement des stratégies de groupe . . . . . . . . . . . . . . 501
b. Gestion du filtrage du déploiement des stratégies de groupe . . . . . . . . . . . . . 503
c. Points importants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
d. Définition de filtres WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
C. Configuration des paramètres d'actualisation des stratégies de groupe . . . . . . . . . . 508
1. Rafraîchissement des stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
a. Rafraîchissement des stratégies en tâche de fond . . . . . . . . . . . . . . . . . . . . . 508
b. Cycle de rafraîchissement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
c. Rafraîchissement à la demande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
2. Configuration de la fréquence de rafraîchissement des stratégies de groupe . . . . 509
3. Rafraîchissement à l'aide de Gpupdate.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510
4. Traitement des composants des stratégies de groupe sur les liaisons lentes . . . . . . 511
a. Traitement des paramètres de stratégie de groupe non modifiés . . . . . . . . . . 511
b. Activation de la détection de liens lents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
c. Forçage de l'application des paramètres de stratégie même lorsqu'ils
n'ont pas changé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
5. Interdiction du rafraîchissement pour les utilisateurs . . . . . . . . . . . . . . . . . . . . . . . 514
6. Traitement par boucle de rappel (Loopback) . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
D. Gestion des stratégies de groupe à l'aide de la GPMC . . . . . . . . . . . . . . . . . . . . . . 516
1. Opération de sauvegarde et restauration des stratégies de groupe . . . . . . . . . . . 516
2. Opération de copie de stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
3. Opération d'importation des paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
a. Pourquoi utiliser la fonctionnalité d'importation de la GPMC ? . . . . . . . . . . . . . 519
Ó Editions ENI - All rights reserved

b. Utilisation d'une table de correspondances entres les objets


de différents domaines ou forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
E. Vérification et résolution des problèmes liés aux stratégies de groupe avec RsoP . . . 520
F. Délégation du contrôle administratif sur les stratégies de groupe . . . . . . . . . . . . . . . 520
1. Accorder une délégation via le groupe "Propriétaires créateurs
de la stratégie de groupe" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
2. Accorder une délégation à l'aide de la console de gestion GPMC . . . . . . . . . . . 522
a. Accorder une délégation de liaison des stratégie de groupe . . . . . . . . . . . . . 522
b. Accorder une délégation de modélisation des stratégie de groupe. . . . . . . . . 523

Examen 70-640
Page 14 Table des matières

c. Accorder une délégation de création des filtres WMI . . . . . . . . . . . . . . . . . . . 523


G. Recommandations pour la définition d'une stratégie de groupe pour l'entreprise . . . 524
H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
I. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
1. Création des stratégies de groupe à l'aide des outils d'administration standards . . 533
2. Modification d'un objet stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
3. Création d'une stratégie liée à un site, un domaine ou une OU . . . . . . . . . . . . . . 535
4. Installation de la Console de Gestion des Stratégies de groupe et autres outils . . . 535
5. Création, liaison et suppression d'une stratégie de groupe
dans le conteneur de stratégie avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . 537
6. Modification d'une stratégie de groupe avec la GPMC . . . . . . . . . . . . . . . . . . . . 537
7. Délégation de la création d'un objet stratégie de groupe avec la GPMC . . . . . . . 538
8. Délégation de la création des scripts WMI avec la GPMC . . . . . . . . . . . . . . . . . . 538
9. Ajout/suppression des liaisons sur les objets sites, domaine et OU avec la GPMC . . 538
10. Créer un filtrage à l'aide du droit AGP avec la GPMC . . . . . . . . . . . . . . . . . . . . . 539
11. Créer un filtrage à l'aide d'un filtre WMI avec la GPMC . . . . . . . . . . . . . . . . . . . . 539
12. Exemples, modèles de filtres WMI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
13. Blocage de l'héritage sur les objets sites, domaines et OU avec la GPMC . . . . . . . 541
14. Utilisation de l'option "Appliqué" avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . 541
15. Rafraîchissement manuel des stratégies sur les postes Windows 2000 . . . . . . . . . . 542
16. Rafraîchissement des stratégies sur les postes Windows XP, Windows
Server 2003, Windows Vista, Windows 7, Windows Server 2008 et R2 . . . . . . . . . . . 542
17. Utilisation du mode Résultats de stratégie de groupe
à l'aide du protocole RSoP avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
18. Utilisation du mode Modélisation de stratégie de groupe
à l'aide du protocole RSoP avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
19. Utilisation de la commande Gpotool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
20. Utilisation de la commande Gpresult . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
21. Procédure de sauvegarde des stratégies avec la GPMC . . . . . . . . . . . . . . . . . . . 546
22. Procédure de restauration des stratégies avec la GPMC . . . . . . . . . . . . . . . . . . . 546
23. Automatisation des sauvegardes à l'aide d'un script livré avec la GPMC . . . . . . . . 547
24. Copie des stratégies de groupe avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . 548
25. Création d'une stratégie de groupe pour configurer l'environnement utilisateur . . . 548
26. Configuration des mises à jour automatiques pour des clients réseau
via une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
27. Création d'une stratégie de groupe pour configurer les paramètres ordinateurs . . . 557

Chapitre 12
Déploiement et gestion des logiciels à l'aide des stratégies de groupe
A. Introduction à la gestion des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
1. IntelliMirror et la gestion des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
2. Le cycle de vie du logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory


Table des matières Page 15

B. Déploiement de logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568


1. Les différentes étapes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
a. Disposer d'un package MSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
b. Déployer le logiciel : Distribution et Ciblage . . . . . . . . . . . . . . . . . . . . . . . . . . 569
c. Assurer la maintenance du logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
d. Supprimer le logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
2. Technologie Windows Installer et types de Packages . . . . . . . . . . . . . . . . . . . . . . 572
a. Logiciels au format Microsoft Windows Installer . . . . . . . . . . . . . . . . . . . . . . . . 572
b. Applications repackagées en format MSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
c. Fichiers .Zap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
d. Remarques générales concernant les différents types de formats d'installation . 576
C. Configuration du déploiement des logiciels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
1. Création d'un nouveau déploiement d'applications. . . . . . . . . . . . . . . . . . . . . . . 577
a. Création ou modification d'une stratégie de groupe. . . . . . . . . . . . . . . . . . . . 577
b. Configuration des options de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . 580
c. Association des extensions de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
d. Création des catégories des applications publiées . . . . . . . . . . . . . . . . . . . . . 582
D. Maintenance des logiciels déployés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
1. Mise à niveau des applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
2. Déploiement des Services Packs et mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . 585
3. Suppression des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586
E. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
F. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
1. Publication d'une application à l'aide des stratégies de groupe . . . . . . . . . . . . . . 589
2. Affectation (Attribution) d'une application à l'aide des stratégies de groupe. . . . . . 590
3. Passage des patchs et redéploiement d'une application. . . . . . . . . . . . . . . . . . . 591
4. Configuration d'un point de distribution DFS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592
5. Suppression d'une application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593
6. Activation des diagnostics avancés de Windows Installer . . . . . . . . . . . . . . . . . . . 593

Chapitre 13
Maintenance d'une infrastructure Active Directory
A. Maintenance Active Directory avec Windows Server 2008 et 2008 R2 . . . . . . . . . . . . 598
Ó Editions ENI - All rights reserved

B. Introduction à la maintenance Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599


1. À propos du moteur de base de données ESE . . . . . . . . . . . . . . . . . . . . . . . . . . 600
a. Mise en cache et points importants. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600
b. Fichiers utilisés par ESE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
c. Nouvelle structure de fichiers Active Directory de Windows Server 2008
et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
C. Opérations de maintenance Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
2. Pourquoi est-il nécessaire de défragmenter ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 604

Examen 70-640
Page 16 Table des matières

3. Comment défragmenter ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604


a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604
b. Pourquoi effectuer une défragmentation hors connexion ? . . . . . . . . . . . . . . . 604
c. Procédure de défragmentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604
4. Pourquoi déplacer la base de données et les fichiers journaux ? . . . . . . . . . . . . . 606
5. Comment déplacer la base de données ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606
D. Sauvegarde de l'annuaire Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
2. Pourquoi est-il vital de réaliser une sauvegarde ?. . . . . . . . . . . . . . . . . . . . . . . . . 607
3. État du système (System State) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
4. Procédure de sauvegarde de l'Active Directory avec Windows Server 2003 . . . . . . 609
E. Restauration de l'annuaire Active Directory avec Windows Server 2003 . . . . . . . . . . . 610
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
2. Méthodes de restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
a. Importance de la durée de vie des objets de désactivation . . . . . . . . . . . . . . 612
3. Comment exécuter une restauration en mode principal
pour Windows Server 2003 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
4. Comment exécuter une restauration normale pour Windows Server 2003 . . . . . . . 613
5. Comment exécuter une restauration forcée avec Windows Server 2003 ? . . . . . . . 614
F. Outils et méthodes de Sauvegarde de Windows Server 2008 et 2008 R2 . . . . . . . . . . 614
1. Opérations prises en charge par l'outil Sauvegarde de Windows Server . . . . . . . . . 615
2. À propos des droits de sauvegarde et restauration et de NTBackup 2003 . . . . . . . 615
3. Nouvelles fonctionnalités de Sauvegarde de Windows Server . . . . . . . . . . . . . . . . 615
4. Différences entre NTBackup et Sauvegarde de Windows Server. . . . . . . . . . . . . . . 616
5. Installation de l'outil Sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . . . . . 617
6. Nouvelles fonctionnalités de l'outil Sauvegarde de Windows Server . . . . . . . . . . . . 619
a. Composants Windows et opérations de sauvegardes . . . . . . . . . . . . . . . . . . . 619
b. Outil Sauvegarde de Windows Server, support de VSS et performances . . . . . . 619
c. Sauvegardes locales et clichés instantanés du support de sauvegarde VHD. . . 620
d. Sauvegarde sur le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
e. Sauvegardes sur DVD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
f. Sauvegardes de type Etat du système en ligne de commande . . . . . . . . . . . 622
g. Sauvegarde d'un serveur via la console MMC . . . . . . . . . . . . . . . . . . . . . . . . 624
h. Sauvegarde d'un serveur en ligne de commande . . . . . . . . . . . . . . . . . . . . . 626
G. Opérations de sauvegarde et restauration Active Directory
avec Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . 627
1. Récupération complète du système d'exploitation Windows Server 2008 . . . . . . . . 627
a. Restauration à l'aide de l'environnement de récupération WinRE . . . . . . . . . . . 627
2. Récupération de l'état système d'un contrôleur de domaine
Windows Server 2008 ou 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
a. Clichés instantanés de la base Active Directory et consultation des données
via l'outil Active Directory Database Mounting Tool - DMT . . . . . . . . . . . . . . . . . 632
H. Sauvegarde et restauration AD DS - Bonne pratiques . . . . . . . . . . . . . . . . . . . . . . . . 634

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory


Table des matières Page 17

I. Nouveaux paramètres de GPO pour les opérations de sauvegarde


de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
J. Maintenance de l'annuaire Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636
1. Définir une politique de surveillance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636
2. Outils utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637
a. L'observateur d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637
b. L'analyseur de performances et le moniteur de fiabilité et de performances . . 639
c. Journaux de surveillance et de traçage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644
3. Événements à auditer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
a. Événements réseaux des contrôleurs de domaine . . . . . . . . . . . . . . . . . . . . . 645
b. Événements de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
c. Événements d'authentification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
4. Compteurs de performance à contrôler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
a. Compteurs de performance pour le contrôle de la quantité de données
répliquées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
b. Compteurs de performance pour le contrôle des fonctions
et services principaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
c. Compteurs de performance de contrôle des volumes de sécurité principaux . 647
d. Compteurs de performance pour le contrôle des principaux indicateurs
du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647
5. Usage des bonnes pratiques pour surveiller Active Directory . . . . . . . . . . . . . . . . . 648
K. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
L. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
1. Déplacement des fichiers de base de données Active Directory
de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
2. Réalisation d'une défragmentation hors ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
3. Vérification de l'intégrité de la base de données Active Directory
de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
4. Modification du mot de passe du compte Administrateur
de réparation d'urgence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
5. Sauvegarde System State régulière de l'Active Directory . . . . . . . . . . . . . . . . . . . . 656
6. Restauration forcée de la base Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . 656
7. Surveillance des réplications Active Directory et FRS . . . . . . . . . . . . . . . . . . . . . . . 657
8. Installation des fonctionnalités de Sauvegarde
de Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . 659
Ó Editions ENI - All rights reserved

9. Installation des fonctionnalités de Sauvegarde de Windows Server 2008


ou Windows Server 2008 R2 à l'aide de la ligne de commande . . . . . . . . . . . . . . 659
10. Sauvegarde des volumes critiques à l'aide de l'outil Sauvegarde
de Windows Server 2008 ou Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . 660
11. Sauvegarde de type Etat du système d'un contrôleur de domaine
à l'aide de la ligne de commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
12. Sauvegarde complète d'un contrôleur de domaine via l'interface graphique . . . . 661
13. Sauvegarde complète d'un contrôleur de domaine via la ligne de commande . . 662

Examen 70-640
Page 18 Table des matières

14. Récupération complète d'un contrôleur de domaine via l'environnement


WinRE de Windows Server 2008 ou Windows Server 2008 R2 . . . . . . . . . . . . . . . . . 663
15. Récupération complète d'un contrôleur de domaine via la ligne
de commande de Windows Server 2008 ou Windows Server 2008 R2 . . . . . . . . . . 664
16. Gestion des clichés instantanés sur la base de données Active Directory . . . . . . . 665
17. Planification d'un cliché instantané automatique . . . . . . . . . . . . . . . . . . . . . . . . . 666
18. Montage d'un cliché instantané en dynamique via DSAMAIN . . . . . . . . . . . . . . . . 666
19. Accès aux données Active Directory stockées dans un cliché instantané . . . . . . . 667

Chapitre 14
Configuration des rôles de serveurs avec les services AD
A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
1. Services d'annuaire de Windows 2000 Server et services associés . . . . . . . . . . . . . 671
2. Services d'annuaire de Windows Server 2003 et services associés . . . . . . . . . . . . . 672
3. Services d'annuaire de Windows Server 2003 R2 et services associés. . . . . . . . . . . 674
4. Services d'annuaire de Windows Server 2008 R2 et services associés. . . . . . . . . . . 675
B. Nouvelles fonctionnalités des services de domaine AD DS
de Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . 676
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
2. Rôle contrôleur de domaine et mode Server Core . . . . . . . . . . . . . . . . . . . . . . . 676
a. À propos du mode Server Core. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
b. Limitations d'une installation en mode Server Core . . . . . . . . . . . . . . . . . . . . . 678
c. Server Core et rôles Windows Server 2008 ou Windows Server 2008 R2 . . . . . . . 678
d. Installation de Windows Server 2008 en mode Server Core . . . . . . . . . . . . . . . 679
e. Installation d'un contrôleur RODC en mode Server Core . . . . . . . . . . . . . . . . . 684
3. Rôle de contrôleur de domaine en mode lecture seule . . . . . . . . . . . . . . . . . . . 686
a. Sécurisation des mots de passe sur les contrôleurs RODC . . . . . . . . . . . . . . . . 687
b. Réplication des mots de passe sur les contrôleurs RODC. . . . . . . . . . . . . . . . . 689
c. Pré-remplissage des mots de passe sur un contrôleur en lecture seule . . . . . . . 691
d. Conditions requises pour déployer un contrôleur en mode lecture seule
(RODC) et limitations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
4. Pourquoi et comment évoluer vers le niveau fonctionnel de domaine
Windows Server 2008 et 2008 R2 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
5. Gestion des stratégies de mot de passe granulaires . . . . . . . . . . . . . . . . . . . . . . 695
6. Service d'audit Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
7. Protection des objets Active Directory contre l'effacement . . . . . . . . . . . . . . . . . . 703
C. Active Directory Certificate Services (AD CS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
1. Introduction aux infrastructures à clés publiques (PKI) . . . . . . . . . . . . . . . . . . . . . . 705
2. Les différents types de certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
b. Nature et contenu d'un certificat numérique . . . . . . . . . . . . . . . . . . . . . . . . . 709
c. Certificats X.509 version 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
d. Certificats X.509 version 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory


Table des matières Page 19

e. Certificats X.509 version 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713


3. Les certificats et l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
a. Relation entre les certificats et les authentifications . . . . . . . . . . . . . . . . . . . . . 721
b. Cadre d'utilisation des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722
c. Utilisation des certificats numériques en entreprise . . . . . . . . . . . . . . . . . . . . . 728
d. Certificats Utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729
e. Certificats pour les Ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
f. Certificats pour les Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
4. Stockage des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
b. Stockage des certificats et interface CryptoAPI . . . . . . . . . . . . . . . . . . . . . . . . 732
c. Affichage des certificats : Magasin logique et magasin physique . . . . . . . . . . 733
d. Archivage local des certificats expirés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734
e. Structure de rangement du magasin de certificats logique . . . . . . . . . . . . . . . 734
f. Origine des certificats stockés dans les magasins . . . . . . . . . . . . . . . . . . . . . . 736
g. Protection et Stockage des Clés Privées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736
5. Console de gestion MMC des certificats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
6. Nouvelle interfaces cryptographiques de Windows 7 et Windows Server 2008 R2 . . 738
a. Interface CNG (Cryptographic API Next Generation) . . . . . . . . . . . . . . . . . . . . 738
7. Services de certificats de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . 739
a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
b. Pourquoi utiliser une PKI Microsoft Windows Server plutôt qu'une autre ? . . . . . . 740
c. Importance de l'Architecture d'une infrastructure à clés publiques . . . . . . . . . . 742
8. Nouveautés apportées par les Autorités Windows Server 2008 et 2008 R2 . . . . . . . 742
a. Nouveau composant MMC PKI d'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . 743
b. Enrôlement pour les périphériques réseau à l'aide du protocole MSCEP . . . . . . 744
c. Évolution des méthodes d'enrôlement Web avec AD CS . . . . . . . . . . . . . . . . . 750
d. OCSP et paramètres de validation du chemin d'accès. . . . . . . . . . . . . . . . . . 753
9. Nouveautés apportées par les Autorités de certification Windows Server 2008 R2 . . 761
a. Amélioration des bases de données des autorités de certification
devant gérer de grands volumes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761
b. Nouveau service Web Inscription de certificats . . . . . . . . . . . . . . . . . . . . . . . . 762
c. Support de l’enrôlement des certificats entre les forêts . . . . . . . . . . . . . . . . . . 762
D. Active Directory Federation Services (AD FS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763
Ó Editions ENI - All rights reserved

1. Concepts fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763


2. AD FS : Nouveautés apportées par Windows Server 2008
et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765
3. Installation du rôle AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765
4. Références pour AD FS avec Windows Server 2008 et Windows Server 2008 R2 . . . 768
5. À propos des différentes versions d'AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768
E. Active Directory Lightweight Directory Services (AD LDS) . . . . . . . . . . . . . . . . . . . . . . 768
1. Concepts fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768
2. AD LDS : Nouveautés apportées par Windows Server 2008 et 2008 R2. . . . . . . . . . 769

Examen 70-640
Page 20 Table des matières

3. Installation du rôle AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770


4. Références pour AD LDS avec Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . 780
5. Nouveautés apportées pour Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . 780
F. Active Directory Rights Management Services (AD RMS) . . . . . . . . . . . . . . . . . . . . . . 780
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
2. Concepts fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
3. AD RMS : Nouveautés apportées par Windows Server 2008 . . . . . . . . . . . . . . . . . 782
4. Installation du rôle AD RMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783
5. Validation du bon fonctionnement de la plate-forme RMS . . . . . . . . . . . . . . . . . . 791
6. Références pour AD RMS avec Windows Server 2008 et Windows Server 2008 R2 . . 797
7. Nouveautés de Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
G. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
H. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
1. Affichage du certificat local d'un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
2. Exportation d'un certificat local avec sa clé privée . . . . . . . . . . . . . . . . . . . . . . . 804
3. Exportation d'un certificat stocké dans Active Directory. . . . . . . . . . . . . . . . . . . . . 805
4. Étapes de configuration de l'inscription automatique . . . . . . . . . . . . . . . . . . . . . . 805
5. Création d'une autorité racine d'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806
6. Activation de l'inscription automatique des certificats ordinateur . . . . . . . . . . . . . . 806
7. Activation de l'inscription automatique des certificats utilisateur . . . . . . . . . . . . . . 807
8. Mise en place de l'authentification par carte à puce (Modèles V2) . . . . . . . . . . . 807
9. Mise en place de l'authentification par carte à puce
pour Windows Vista ou Windows 7 à l'aide des modèle V3 . . . . . . . . . . . . . . . . . . 809
10. Déploiement d'un contrôleur de domaine RODC . . . . . . . . . . . . . . . . . . . . . . . . 810
11. Déploiement d'une stratégie de mot de passe affinée et
d'une configuration du verrouillage des comptes via la console ADS Edit . . . . . . . 811
12. Déploiement d'une stratégie de mot de passe affinée
et d'une configuration du verrouillage des comptes via LDIFDE. . . . . . . . . . . . . . . 813
13. Application d'une stratégie de mot de passe affinée sur des utilisateurs
et des groupes globaux de sécurité à l'aide de la commande LDIFDE . . . . . . . . . 814
14. Activation des fonctionnalités d'audit de Windows Server 2008
ou Windows Server 2008 R2 via les Stratégies d'audit granulaire
(GAP - Granular Audit Policy) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814

Tableau des objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817


Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory