Preparation Pour 70-640

Voici tout ce qu’il vous faut savoir en vue d’un passage de la certification 70-640
Chapitre 1
- Microsoft Windows Server 2008 existe en version 32 ou 64 bits.

- La version Windows Server 2008 R2 est une version essentiellement en 64 bits.
- Pour installer la version complète de Windows Server 2008, il faut disposer au moins :
 512 Mo de RAM
 10 Go d’espace disque libre
 Un processeur x86 cadencé au minimum à 1 GHz
 Un processeur x64 cadencé au minimum à 1,4 GHz
- Active Directory n’est qu’une solution de gestion des identités et des accès (IDA,
Identity and Access).
- L’infrastructure IDA se charge de :
 Mémoriser les informations sur les utilisateurs, les groupes et les autres identités.
 Authentifier une identité (Authentification Kerberos dans un domaine).
 Contrôler les accès (Exemple : ACL).
 Fournir une trace d’audit.
- L’infrastructure IDA est composée de 5 technologies :
 AD FS : Active Directory Federation Services

 AD LDS : Active Directory Lightweight Directory Services
 AD DS : Active Directory Domain Services
 AD CS : Active Directory Certificate Services
 AD RMS : Active Directory Rights Management Services
- AD DS : Active Directory Domain Services : [ANNUAIRE]
 Ce composant de l’infrastructure IDA permet de fournir un service d’authentification

et d’autorisation dans un réseau et prend en charge la gestion des objets au moyen de
stratégies de groupes.
 Ce dernier fournit également une solution de gestion et de partage d’informations à
travers un annuaire et permet de trouver n’importe quel objets au sein d’un domaine
Active Directory (Serveurs, utilisateurs, imprimantes, groupes, etc.).
- AD LDS : Active Directory Lightweight Directory Services : [APPLICATIONS]
 Dans les versions précédentes de Windows Server, ce composant était appelé ADAM
(Active Directory Application Mode).
 Ce composant prend en charge les applications fonctionnant avec un annuaire.
 L’annuaire AD LDS ne stocke et ne réplique que les informations associés aux
applications.
 AD LDS permet de déployer un schéma personnalisé pour prendre en charge une
application sans modifier celui d’AD DS.
 Chaque application peut être déployée avec son propre schéma AD LDS.
 AD LDS ne dépend pas d’AD DS et peut être installé sur un environnement autonome
comme un groupe de travail.
- AD CS : Active Directory Certificate Services : [CERTIFICATS]
 Ce composant est l’équivalent d’une autorité de certification dans un domaine Active

Directory sous Windows Server 2003 par exemple.
 AD CS permet de fournir des certificats numériques dans le cadre d’une infrastructure
à clé publique (PKI : Public Key Infrastructure).
 Les certificats délivrés par AD CS pourront ainsi servir à authentifier des utilisateurs,
des ordinateurs, des entités sur le web, des cartes à puce, des connexions VPN ou sans
fils sécurisés, etc…
- AD RMS : Active Directory Rights Management Services : [INTEGRITE]
 Active Directory permet déjà de sécuriser l’accès à une ressource au moyen d’une
ACL mais rien ne contrôle ce qui arrive au document ou à son contenu une fois que
l’utilisateur l’a ouvert. AD RMS permet de contrôler l’intégrité des ressources au-delà
du contrôle d’accès standard.
 AD RMS permet ainsi de protéger l’information au moyen de stratégies qui
définissent les usages autorisés ou interdit sur une ressource.
 A l’aide d’une stratégie AD RMS, il est ainsi possible d’autoriser un utilisateur à lire
un document mais pas de l’imprimer, ni de copier son contenu.
 Pour l’utilisation de cette technologie, il faut disposer au minimum d’un domaine
Active Directory sous Windows 2000 Server SP3, IIS, un serveur de base de données
tel que Microsoft SQL, un navigateur web supportant RMS comme Internet Explorer
et le pack Microsoft Office.
 AD RMS peut être couplé à AD CS pour protéger les documents à l’aide de certificats.
- AD FS : Active Directory Federation Services : [APPROBATION]
 Ce composant de l’infrastructure IDA permet l’approbation des environnements

Windows et non Windows à l’aide de relations d’approbations.
 AD FS permet aux utilisateurs authentifiés dans un réseau d’accéder aux ressources
d’un autre réseau à l’aide d’un processus d’authentification unique (SSO : Single Sign
On)
 Dans un environnement fédéré, chaque organisation maintient et gère ses propres
identités mais peut également accepter celles d’autres organisations issues des
partenaires de confiance.
- Le schéma Active Directory :
 Le schéma permet de définir les différentes classes d’objets et attributs que peut
contenir un annuaire Active Directory.
 Un compte d’utilisateur dans un domaine Active Directory sera définit dans le schéma
à l’aide de la classe d’objet « User » et possèdera les attributs « Nom », « Prénom »,
« login », « mot de passe », etc…
- Le catalogue global :
 Cette partition d’Active Directory contient des informations sur tous les objets de
l’annuaire. Elle contient une réplique partielle d’objets de l’annuaire.
 C’est une sorte d’index qui permet de localiser des objets dans l’annuaire.
- Les services de réplication distribuent les données de l’annuaire à travers le réseau.
- LDAP : Lightweight Directory Access Protocol
 Ce protocole permet d’interroger et de modifier un service d’annuaire.

 Basé sur TCP/IP.
- La base de données Active Directory :
 Stocké dans un fichier sur un contrôleur de domaine à l’emplacement suivant :
« %SystemRoot%\Ntds\Ntds.dit »
 La base de données Active Directory est divisé en plusieurs partitions :

« Schéma », « Configuration », « Catalogue Global » et « le contexte de
nommage » (Le contexte de nommage contient les données sur les objets d’un
domaine tel que les utilisateurs, les groupes, les ordinateurs, etc…).
- Les contrôleurs de domaine :
 Egalement appelé DC, hébergent le rôle AD DS

 hébergent le service KDC (Key Distribution Center) de Kerberos
- Les domaines Active Directory :
 Un domaine est une unité administrative au sein de laquelle certaines fonctionnalités

et caractéristiques sont partagés.
 Un domaine représente un périmètre au sein duquel des stratégies sont définies.
- Une forêt :
 C’est un regroupement de plusieurs domaines Active Directory.

 Une forêt possède un seul schéma, une seule partition de configuration et un seul
catalogue global.
 Le premier domaine installé dans une forêt est appelé domaine racine de la forêt.
 Une forêt possède plusieurs arbres.
- Un arbre :
 C’est un ensemble de domaines situés sous une racine unique formant un espace de
nom DNS contigus.
 Plusieurs arbres dont l’espace de noms DNS n’est pas contigu constituent une forêt.
- Il existe trois niveaux fonctionnels de domaine sous Windows Server 2008 :
 Windows 2000 natif

 Windows Server 2003
- Il existe deux niveaux fonctionnels de forêt sous Windows Server 2008 :

- Une unité d’organisation (OU, Organizational Unit) :
 Les objets d’un domaine peuvent être contenus dans un conteneur nommé « unité
d’organisation » ou « OU ».
 Une OU permet d’organiser les objets d’un domaine afin de les gérer à l’aide d’objets
de stratégies de groupe.
- Un site :
 Un site Active Directory est un objet spécifique.

 L’objet « site » représente une portion de l’entreprise dans laquelle la connectivité
réseau est bonne.
 Un site crée une frontière de réplication et de l’utilisation des services.
- A l’identique de Windows Vista, l’installation de Windows Server 2008 est basé sur
une image au format « Install.wim » (Environnement WinPE).
- Il existe deux types d’installation de Microsoft Windows Server 2008 :
 Complète : Basé sur une interface graphique habituelle.

 Minimale : Aussi appelé « Core Server » et ne dispose d’aucune interface graphique.
- Il existe deux méthodes d’installation de Microsoft Windows Server 2008 :
 Manuelle : Appliquez « Install.wim » et utilisez le fichier « Unattend.xml » pour

personnaliser l’installation.
 Automatique : Installez, configurez, capturez et déployez en utilisant les outils
IMAGEX, Windows Deployment Services
- Pré requis d’installation d’un contrôleur de domaine (Ajout du rôle AD DS) :
 Il faut posséder le nom du domaine DNS / Netbios

 Avoir une idée du niveau fonctionnel du domaine Active Directory
 Avoir un adressage IP fixe
 Prévoir l’emplacement de la base de données (Ntds.dit) et le répertoire SYSVOL
- L’ajout de rôles s’effectue via la console « Gestionnaire de serveur ».
- Pour créer un contrôleur de domaine, il suffit d’ajouter le rôle « AD DS » puis de taper

la commande « dcpromo » pour configurer, initialiser et démarrer Active Directory.
- Après l’installation, la fenêtre « Tâches de configuration initiales » s’affiche afin de

configurer les informations de bases (Nom de l’ordinateur, mises à jours, rôles, etc). Pour
faire réapparaitre cette fenêtre, il suffit de taper « Oobe.exe ». Pour éviter l’ouverture de cette
fenêtre à chaque redémarrage, cochez la case suivante :
- La console « Gestionnaire de serveur » permet d’administrer Windows Server 2008.

C’est un regroupement des consoles « Gestion de l’ordinateur » et « Ajout suppression de
programmes ».
- Lorsqu’on exécute la commande « dcpromo » sur un contrôleur de domaine sur lequel

le rôle AD DS n’a pas été installé, la commande le fera automatiquement.
- Windows Server 2008 autorise la création d’un contrôleur de domaine en lecture seule
nommée « RODC » qui veut dire « Read-Only Domain Controller ».
- Le premier contrôleur de domaine d’une forêt devient le « Catalogue Globale » (GC,

Global Catalogue) et ne peut pas être un en lecture seule (RODC).
- Lors de l’installation d’Active Directory, il est recommandé de séparer l’emplacement

des composants suivants sur des partitions différentes : « Par défaut C:\Windows\NTDS » :
 Les journaux systèmes

 La base de données (Ntds.dit)
 Le volume système (SYSVOL)
- L’installation minimale de Windows ne possède pas d’interface graphique. Il n’est pas

possible d’y installer le framework .NET. Les sites web ne peuvent être que statiques. Si on
souhaite outre passer cette limitation technique, il faudra basculer vers un OS en Windows
Server 2008 R2.
- Pour installer la version minimale de Windows Server 2008, il faut disposer au moins :
 256 Mo de RAM
 3 Go d’espace disque libre
 Un processeur x86 cadencé au minimum à 1 GHz
 Un processeur x64 cadencé au minimum à 1,4 GHz
- L’installation minimale prend en charge « 9 rôles » et « 11 fonctionnalités ».
- Commandes de bases d’un « Server Core » :
 Modifier le mot de passe administrateur : Net user administrator *

 Définir une IP statique IPV4 : Netsh interface ipv4
 Joindre un domaine : Netdom
 Ajouter des rôles et des fonctionnalités : Ocsetup.exe
 Afficher les rôles et fonctionnalités installées : Oclist.exe
 Activer le bureau à distance : Cscript C:\windows\system32\scregedit.wsf /AR 0
 Promouvoir un contrôleur de domaine : Dcpromo.exe
 Configurer DNS : Dnscmd.exe
 Configurer DFS : Dfscmd.exe
Chapitre 2
- Une console « mmc » possède 4 modes différents :
 Mode auteur : Personnalisation complète

 Mode utilisateur – accès total : Possibilités de parcourir tous les composants
 Mode utilisateur accès limité, fenêtre multiple : Possibilité de configurer plusieurs
fenêtres correspondant à des composants spécifiques
 Mode utilisateur accès limité, fenêtre unique : Pas de personnalisation de
l’affichage ou de la console
- L’emplacement d’enregistrement par défaut d’une console « mmc » est situé à
l’emplacement suivant :
%profilutilisateur%\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Outils d’administration
- Le composant logiciel enfichable « Schéma Active Directory » n’est pas disponible

par défaut car il n’est pas enregistré. Pour l’ajouter, tapez la commande : « regsvr32
schmmgmt.dll »
- Dans les « Best Practices Microsoft », un administrateur doit toujours ouvrir une
session sur sa machine cliente avec un compte d’utilisateur standard, et démarrer les outils
d’administration en utilisant la commande « Exécuter en tant qu’administrateur ».
- RSAT (Remote Server Administration Tool) : C’est l’équivalent de l’Admin Pack

sous Windows XP. Ce composant permet d’installer les outils d’administration à distance sur
Windows Server 2008, Windows Vista ou Windows 7
- MMC (Microsoft Management Console) : C’est un composant de Windows Server qui
permet de centraliser les outils d’administration au sein d’une même console en rajoutant des
composants logiciels enfichable (Snap In). L’extension est au format « *.msc ».
- Pour créer une console d’administration personnalisée, il suffit de taper la commande

« mmc »
- Lors de la création d’une OU, on a désormais la possibilité de la protéger des

suppressions accidentelles en cochant une case :
- Lorsque l’on tente de supprimer une OU protégé par « la suppression accidentelle »,

on obtient un message d’erreur même si on est Administrateur du domaine :
- Pour supprimer une OU protégée contre « la suppression accidentelle », il suffit

d’activer les fonctionnalités avancés de la console « Utilisateurs et ordinateurs Active
Directory »…D’éditer les propriétés de l’OU et dans l’onglet « OBJET » et décocher la case
« Protéger l’objet des suppressions accidentelles » :
- Un suffixe UPN « User Principal Name » correspond au nom d’utilisateur dans un

domaine Active Directory auquel on rajoute un « @ » suivi du nom de domaine DNS.
Exemple : Si on a le login suivant « pduran » dans le domaine « contoso.com », le suffixe
UPN de cet utilisateur sera « pduran@contoso.com »
- Pour ouvrir le composant « Utilisateurs et Ordinateurs Active Directory », il suffit
de taper la commande « dsa.msc »
- « Les requêtes sauvegardées » : C’est une fonction introduite depuis Windows

Serveur 2003 qui permet de créer des requêtes de recherches personnalisée dans l’Active
Directory. Une requête est créée dans l’instance du composant logiciel enfichable. Pour
l’utiliser dans une autre instance ou la transmettre à un autre utilisateur, il suffit de l’exporter
au format *.xml.
- L’option « requêtes sauvegardée » n’apparait pas la console « Utilisateurs et

Ordinateurs Active Directory » présente dans la console « Gestionnaire de serveur ». Pour
avoir accès à cette option, il suffit de lancer « dsa.msc »
- La commande « DSQUERY » permet de trouver des objets dans l’Active Directory.
 DSquery user : permet de rechercher des utilisateurs

 DSquery computer : permet de rechercher des ordinateurs
 Dsquery group : permet de rechercher des groupes
Exemple : dsquery user –name James*
Cette commande recherchera tous les utilisateurs dont le nom commence par « James »
- DN (Distinguished Name) : Représente le chemin d’accès complet d’un objet dans

l’AD. Ce dernier est unique au sein du domaine.
Exemple : DN CN=James Fine,OU=Utilisateurs,DC=contoso,DC=com
- CN (Common Name) : Représente le nom commun d’un objet. Lorsqu’on créé un

objet dans un AD, le champ « Nom complet » permet de créer le CN de l’objet.
- RDN (Relative Distinguished Name) : Représente la portion du « DN » qui précède la

première « OU » ou le premier conteneur. Tous les RDN ne sont pas des « CN »
Exemple 1 : CN=James Fine,OU=Utilisateurs,DC=contoso,DC=com
Le RDN de cet objet utilisateur est « CN=James Fine »
Exemple 2 : OU=Utilisateurs,DC=contoso,DC=com
Le RDN de cet objet unité d’organisation est « OU=Utilisateurs »
- Dans Active Directory, la délégation de contrôle permet à une organisation d’assigner

des tâches administratives spécifiques aux équipes et aux individus appropriés.
- Les autorisations d’un objet sont appelés des entrées de contrôles d’accès (ACE,
Access Control Entries) et son affectés à des groupes ou des ordinateurs (appelés entités de
sécurité)
- Les ACE sont sauvegardés dans la liste de contrôle d’accès discrétionnaire (DACL,
Discretionary Access Control List).
- Pour accéder à l’ACL (Access Control List) d’un objet, il suffit d’afficher les
Fonctionnalités avancées de la console Utilisateurs et Ordinateurs Active Directory, d’afficher
les propriétés d’un objet et cliquer sur l’onglet « Sécurité ».
- Pour afficher la DACL d’un objet, il suffit de cliquer sur le bouton « Avancé » dans
l’onglet « Sécurité » d’un objet :
- La délégation est le résultat des autorisations, ou ACE, sur la DACL des objets AD.
- Une délégation est l’action d’attribuer à une personne ou un groupe, des droits
administratifs sur des objets de l’AD.
- Pour déléguer des tâches administratives, il est recommandé d’utiliser l’assistant de

délégation de contrôle plutôt que de modifier les ACL d’un objet.
- Pour vérifier avec efficacité les autorisations d’un objet, tapez la commande suivante :
Dsacls « OUe, DC=Contoso, DC=com »
- Pour réinitialiser les autorisations d’un objet, tapez la commande suivante :
Dsacls « OU=People, DC=Contoso, DC=com » /resetDefaultDACL
- Best Practice : Lorsqu’on conçoit une structure d’où dans un AD, il faut créer des OU
par type d’objet. Par exemple, une OU nommée « People » sera dédiée à héberger le compte
des utilisateurs et non des ordinateurs.
- Par défaut et pour des raisons de sécurité, un compte d’utilisateur standard n’a pas le
droit de se connecter sur un contrôleur de domaine. Pour l’autoriser temporaire à des fins de
tests, vous pouvez ajouter le compte de l’utilisateur dans le groupe « Opérateurs
d’impression ».
- Avec Windows Server 2008, il est possible d’ouvrir plusieurs session localement sur
un contrôleur de domaine afin de switcher entre les sessions ouvertes sont fermer les
programmes de l’utilisateur en cours.
Chapitre 3
- Pour automatiser la création de comptes d’utilisateurs, il est possible d’utiliser des

outils en ligne de commandes comme CSVDE (Coma Separated Value Data Exchange) ou
LDIFDE (LDAP Data Interchange Format Data Exchange)
- Lorsqu’on utilise les commandes CSVDE ou LDIFDE, il faut utiliser les paramètres
« -i » pour spécifier le mode « importation », « -f » pour spécifier le nom du fichier à importer
et « -k » pour spécifier que l’on souhaite exécuter la commande en ignorant les erreurs.
Exemple :
 Csvde -i -f [Nom du fichier] -k

 Ldifde -i -f [Nom du fichier] -k
- Active Directory comporte plusieurs utilitaires intégré à l’OS et qui permettent

d’exécuter plusieurs tâches administratives en ligne de commande :
 Dsadd : Permet de créer un objet dans l’annuaire

 Dsget : Permet d’afficher les attributs d’un objet
 Dsmod : Permet de modifier les attributs d’un objet
 Dsmove : Permet de déplacer un objet d’une OU à une autre
 Dsrm : Permet de supprimer un objet ou une arborescence de l’annuaire
 Dsquery : Permet d’exécuter des requêtes basé sur des critères spécifiques dans l’AD
Exemple :
 Dsadd user »cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com »

 Dsrm user » cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com »
 Dsget user » cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com »
- CSVDE permet d’importer ou d’exporter des utilisateurs à l’aide d’un fichier au format
« txt » ou « csv ». Le fichier à importer est un fichier texte séparé par des virgules dans lequel
la première ligne définit les noms d’attributs importés par LDAP (Lightweight Directory
Access Protocol)
- LDIFDE permet d’importer ou d’exporter des utilisateurs
- En installant la fonctionnalité Windows PowerShell, il est possible de créer des

utilisateurs en ligne de commande.
- Il est également possible de créer des objets dans l’AD avec Vbscript.
Exemple :
Set objOU=GetObject(« LDAP://OU=People,DC=contoso,DC=com »)
set objUser=objOU.Create(« user », »CN=Mary North »)
objUser.Put « sAMAccountName », »mary.north »
objUser.SetInfo()
Chapitre 4
- Dans l’AD, il existe 7 types de groupes différents : Deux types de groupes de domaine
avec trois étendues chacun et des groupes de sécurité locaux.
- Un groupe AD possède, tout comme un compte d’utilisateur, un SID (Security

Identifier)
- Lorsqu’on créé des groupes dans AD, il faut s’assurer qu’on respecte une convention de
nommage définit à l’avance.
- Il existe deux types de groupe : Des groupes de sécurité et des groupes de
distribution.
- Il existe quatre types d’étendue : Domaine locaux, globaux, universelle, locale
- Un groupe possède plusieurs étendues : Locale ou Globale
- Les groupes de distributions sont essentiellement utilisés par les applications de

messagerie. La sécurité n’y est pas activée : Ils n’ont pas de SID (Security IDentifier) et ne
peuvent donc pas recevoir d’autorisations vers des ressources. Envoyer un message à un
groupe de distribution revient à l’envoyer à tous les membres de ce groupe.
- Les groupes de sécurité sont des entités de sécurité dotées d’identificateur de sécurité
(SID). En conséquence, ils peuvent faire office d’entrée d’autorisation dans des ACL pour
contrôler la sécurité de l’accès aux ressources. Les groupes de sécurité peuvent être utilisé
comme groupes de distribution par les applications de messagerie.
- Dans les best Practices, si vous avez un groupe qui ne sert que de liste de distribution,
il est recommandé de le créer en tant que groupe de distribution. Sinon le groupe reçoit un
SID qui est ajouté au jeton d’accès de sécurité de l’utilisateur ce qui peut conduire à un
problème d’augmentation des jetons (token bloat).
- Les groupes locaux ne servent qu’à gérer la sécurité des ressources sur un système et
sont créés uniquement dans la base de données SAM d’un serveur membre du domaine. Les
groupes locaux peuvent héberger tout types de ressource en provenance de n’importe quel
domaine approuvé.
- Les groupes de domaines locaux ne servent qu’à gérer des entités de sécurité dans le
domaine. Ils peuvent héberger tout type de ressource en provenance de n’importe quel
domaine approuvé et sont répliqués sur l’ensemble des contrôleurs de domaine.
- Les groupes globaux ne servent qu’à définir des collections d’objets des domaines
basés sur des rôles. Ces derniers ne peuvent héberger uniquement des ordinateurs, des
utilisateurs ou des groupes globaux du même domaine. Ils sont répliqués vers l’ensemble des
contrôleurs de domaine.
- Les groupes universels s’utilisent surtout dans les environnements multi-domaines.

Ces groupes accueillent des users, ordinateurs ou des groupes (Globaux ou universels) issue
de toute la forêt. Ces groupes peuvent servir à gérer des ressources dans des contextes multi-
domaines. Ils sont répliqués sur le Catalogue Global (CG).
- Une fois qu’un groupe est créé, il est possible de modifier sont étendue.
- Il est possible de modifier le type d’un groupe avec la commande dsmod :
dsmod group [DNgroup] -secgrp {yes | no} -scope {l | g | u}
- Lorsqu’on ajoute un utilisateur à un groupe, la modification n’est pas prise en compte

de suite. Il faut que l’utilisateur ferme sa session puis se reconnecte au domaine afin de
renouveler son jeton de sécurité avec le SID du groupe nouvellement ajouté.
- Un « Shadow Group » est un concept dans l’Active Directory qui consiste à créer un
groupe de sécurité qui contiendrait tous les utilisateurs d’une unité d’organisation afin d’y
gérer des droits d’accès sur des ressources.
- Les groupes par défaut sont des groupes qui existent à l’installation de l’OS ou de
l’AD. Exemple : Le groupe administrateur de l’entreprise, administrateur du domaine,
opérateur de serveur, opérateur de compte, opérateur d’impression etc.
- Une unité spéciale est un groupe particulier qui est gérer par le système d’exploitation.
Exemple : Groupe tout le monde, ouverture de session anonyme, interactif, réseau, etc.
- L’onglet « gérer par » d’un groupe AD permet de déléguer la gestion de

l’appartenance aux groupes.
- La commande « run as » permet d’exécuter des programmes avec d’autres
informations d’identification. Exemple : runas /user :aasimane cmd.exe
Chapitre 5
- Un compte d’ordinateur dans un domaine AD possède à l’identique d’un compte

d’utilisateur, un SID, un mot de passe, un nom d’ouverture de session. Le mot de passe est
gérer par le système et ce dernier est renouvelé en moyenne tous les 30 jours.
- Par défaut lorsqu’une machine rejoint un domaine, un objet « Ordinateur »

correspondant au nom de la machine est créé dans l’OU « Computers ». L’OU computer est
un objet prédéfini à l’installation d’AD DS. Il n’est pas possible d’y appliquer des GPO.
- Afin de rediriger le répertoire par défaut des ordinateurs qui joigne un domaine, il suffit
d’utiliser la commande « redircmp » : redircmp [DN pour les nouveaux objets ordinateurs]
- La commande « redirusr » permet de rediriger le répertoire des utilisateurs par défaut
- Il est recommandé de créer un compte d’ordinateur dans l’Active Directory avant de

joindre la machine au domaine.
- Par défaut, les utilisateurs peuvent joindre 10 machines au domaine avec leur compte.
Si on veut interdire la possibilité de joindre une machine au domaine pour un compte
standard, il suffit d’utiliser ADSI et de modifier l’attribut « ms-DS-MachineAccountQuota »
à 0.
- Lors de la création du premier contrôleur de domaine de la forêt, il faut penser à bien

architecture l’arborescence de ses OU. A savoir, il est recommandé de créer une OU par type
d’objet et les regrouper par site, par région, par Pays, par filiale afin de faciliter
l’administration et mieux se retrouver dans l’AD.
- Il est recommandé de nommé les comptes d’ordinateur de façon a pouvoir les identifier
rapidement dans l’AD ou même reconnaitre plus facilement la différence entre un portable et
un ordinateur fixe.
- Tout comme les objets utilisateurs, il est possible d’utiliser les commandes Powershell,
CSVDE, LDIFDE, NETDOM ou les commandes DS pour gérer, importer ou exporter les
comptes d’ordinateurs.
- Tout compte d’ordinateur d’un domaine possède un SID, un nom d’utilisateur

(sAMAccountName) et un mot de passe stocké sous la forme d’un secret LSA (Local Security
Authority) qui est changé tous les 30 jours.
- Pour recycler un ordinateur et l’utiliser à d’autres fins tout en gardant son appartenance
aux différents groupes de sécurité, il suffit juste de réinitialiser son mot de passe et joindre
une machine au domaine.
- La commande « nltest » permet de vérifier si le canal sécurisé entre l’ordinateur et le

domaine n’est pas rompue ou désynchronisé.
- Le service NETLOGON se charge d’authentifier la machine sur le domaine.
RAPPEL : Chaque objet Active Directory possède un GUID (Globally Unique IDentifier)
qui identifie de manière unique l’objet dans l’annuaire.
Chapitre 6
- Une stratégie de groupe (GPO, Group Policy Objet) est un objet qui permet
d’appliquer des paramètres personnalisés aux objets d’une OU.
- Pour éditer une GPO, il faut utiliser le composant « Gestion de Stratégie de groupe »
(GPMC, Group Policy Management Console)
- L’étendue d’une stratégie de groupe correspond à la collection d’objets qui

appliqueront le paramètre spécifié dans le GPO.
- Le jeu de stratégie résultant (RSoP, Resultant Set of Policy) permet de déterminer

l’ensemble des GPO qui s’appliquent à un objet utilisateur ou ordinateur.
- Les paramètres de stratégies s’appliquent à l’ouverture de session pour les utilisateurs

et au démarrage pour les ordinateurs. Ces paramètres s’appliquent à nouveau toutes les 90 à
120 min qui suivent.
- Pour forcer l’actualisation des stratégies de groupe, il suffit d’utiliser la commande

suivante :
 Gpupdate /target :computer ou Gpupdate /target :user
- La commande « Gpupdate » possède les commutateurs suivant :
 /force : pour forcer les stratégies à s’appliquer

 /logoff : pour forcer la fermeture de session après la mise à jour des GPO
 /boot : pour forcer le redémarrage de l’ordinateur après la mise à jour des GPO
- Il existe deux types de GPO :

 GPO locaux
 GPO du domaine
- Les GPO locaux sont stockés dans %SystemRoot%\System32\GroupPolicy. Par

défaut, seul les stratégies « Paramètres de sécurité » sont configuré.
- Les GPO basés sur le domaine sont stockés sur les contrôleurs de domaines.
- Le client de stratégie de groupe est un service qui se charge de télécharger les GPO qui
ne sont pas encore en cache. Une fois téléchargé, une série de processus appelé extension côté
client (CSE, Client-Side Extension) se chargent d’interpréter les paramètres du GPO.
- Un GPO de domaine contient deux composants :
 Un conteneur de stratégie de groupe (GPC, Group Policy Container).

 Un modèle de Stratégie de groupe (GPT, Group Policy Template).
- Le GPC est un objet Active Directory stocké dans le conteneur Objets de stratégie de
groupe. Ce dernier définit les attributs du GPO mais ne contient aucuns paramètres. Le GUID
de cet objet définira le nom de la collection de fichier (GUID GPO)
- Le GPT désigne les paramètres du GPO qui sont stockés dans une collection de fichiers
stockée dans le dossier SYSVOL des contrôleurs de domaine à l’emplacement suivant :
GPT de la GPO = %SystemRoot%\SYSVOL\Domain\Policies\GUID GPO
- Un GPO possède un numéro de version qui est incrémenté à chaque changement. Ce

numéro est stocké sous la forme d’un attribut du GPC dans le fichier « GPT.ini ».
Contenu du fichier « GPT.INI » :
NB : Il est recommandé d’activer le paramètre de stratégie « Toujours attendre le réseau lors

du démarrage de l’ordinateur et de l’ouverture de session ». Grâce à ce dernier, un utilisateur
ouvrira toujours une session après avoir télécharger les dernières stratégies du domaine.
Ce paramètre se trouve sous :
Configuration ordinateur\Stratégie\Modèles d’administration\Système\Ouverture de session
- GPSI (Group Policy Software Installation) est un élément de la stratégie de groupe qui
permet de gérer l’installation de logiciel.
- Le client de stratégie de groupe détecte aussi la vitesse de connexion à un domaine. Il

est donc possible de configurer un GPO afin d’empêcher l’application des paramètres
lorsqu’une liaison lente est détecté. Par défaut, une liaison est considérée comme lente lorsque
le débit est inférieur à 500 kilobits par seconde (kbps).
- Dans un domaine AD, les GPC sont répliqués par l’Agent de Réplication (DRA,
Directory Replication Agent) et les GPT sont répliqués via le service de réplication de
fichiers (FRS, File Replication Service). Si tous les contrôleurs de domaine exécutent
Windows Server 2008, il est possible de configurer la réplication du répertoire SYSVOL avec
DFS (DFS-R, Distributed File System Replication).
- Si la réplication des GPC et GPT n’est plus synchrone, il est possible d’utiliser l’outil
« gpotool.exe » afin de dépanner l’état des GPO.
- Les modèles d’administration sont une collection de paramètres stockés dans un fichier
« *.ADM / *.ADMX / *.ADML ». Lorsqu’on importe un de ces fichiers, l’éditeur de
stratégie de groupe (GPME, Group Policy Management Editor) les extraits depuis le poste
local.
- Le Magasin Central est un dossier unique dans SYSVOL qui permet de centraliser
l’importation des fichiers d’administration pour l’ensemble des contrôleurs de domaine.
- Windows Server 2008 offre la possibilité de filtrer les paramètres de Stratégie de

groupe d’un modèle d’administration afin de faciliter la recherche d’un paramètre spécifique.
- Un GPO Starter est une nouvelle fonctionnalité de Windows Server 2008. Elle
permet de créer un nouveau GPO pré peuplé des paramètres du GPO Starter.
- On dit qu’un paramètre de stratégie est « géré » lorsque ce dernier n’applique plus les
paramètres du GPO une fois désactivé, supprimé ou que l’ordinateur n’est plus dans l’étendue
du GPO.
- On dit qu’un paramètre de stratégie est « non géré » lorsque ce dernier s’applique
encore après que le GPO soit désactivé, supprimé ou que l’ordinateur n’est plus dans
l’étendue du GPO.
- Windows Server 2008 donne la possibilité d’attacher des commentaires aux GPO.
- Un GPO peut être lié à un Site, un domaine ou une OU.
- L’héritage des GPO fonctionne à l’aide d’un système de priorités. Un GPO avec une
priorité « 1 » prévaut sur les autres GPO. Par défaut, l’arborescence de l’AD contient des
niveaux de priorités différents (Un site AD étant le niveau le plus haut). Dans l’ordre de
priorité la plus élevé : Site, Domaine, OU
- Il est possible de bloquer l’héritage des droits administratifs sur une OU.
- L’option « Filtrage de Sécurité » d’un GPO permet de spécifier les utilisateurs
concernés par le GPO.
- L’option « Filtre WMI » permet de filtrer par rapport à des caractéristiques

« Ordinateur ». Les requêtes WMI sont écrites en langage WQL (WMI Query Language)
- L’option « Appliqué » du paramètre d’un GPO permet de définir une priorité de niveau
supérieur aux autres GPO.
- « Le traitement par boucle de rappel de la stratégie » oblige le système à modifier la

manière dont il applique les GPO selon deux modes :
 Fusionner : Une fois que les paramètres des GPO étendus à l’utilisateur sont
appliqués, le système applique les paramètres de stratégie de groupe étendus à
l’ordinateur.
 Remplacer : Les paramètres de la configuration utilisateur des GPO étendus à
l’utilisateur ne sont pas appliqués. En lieu et place, seuls les paramètres de la
configuration utilisateur des GPO étendus à l’ordinateur le sont.
- La GPMC possède un outil qui permet de générer des rapports du jeu de stratégie
résultant sur une machine distante ou locale. Les prés requis liés à cet outil sont les suivants :
 Il faut posséder des droits administratifs sur le système cible à auditer

 L’ordinateur cible doit être équiper au minimum de Windows XP
 Avoir accès à WMI sur le système cible qui doit être sous tension, accessible via le
réseau via les ports 135 et 445.
- Les rapports du jeu de stratégie résultant sont disponibles au format DHTML (HTML
Dynamique)
- La GPMC possède un outil qui permet de modéliser l’application des paramètres de
Stratégie de groupe. Grâce à cet outil, il est possible de simuler l’impacte des paramètres
d’une GPO sur un système avant de l’appliquer.
- L’équivalent des « rapports du jeu de stratégie résultant » est la commande

« gpresult.exe ». Cette commande possède les options suivantes :
 /s nomordinateur : Spécifie le nom ou l’adresse IP du système distant à auditer

 /scope [user |computer] : Affiche l’analyse du jeu de stratégie résultant pour les
paramètres de l’utilisateur ou de l’ordinateur
 /user nomutilisateur : Spécifie l’utilisateur pour lequel les données du jeu de stratégie
résultant sont affichées
 /r : Affiche un résumé des données du jeu de stratégie résultant
 /v : Affiche des données documentées sur le jeu de stratégie résultant
 /z : Affiche des données extrêmement détaillés (mode plus verbeu)
 /u domaine\utilisateur /p mot de passe : Fournit les informations d’identification
 [/x | /h] nom fichier : Enregistre le rapport au format XML ou HTML
- L’observateur d’évènement Windows permet de visualiser les journaux concernant les

stratégies de groupe. Un nouveau journal nommée « Operational », fournit des informations
détaillées sur le traitement de la stratégie de groupe.
Chapitre 7
- « La Stratégie des Groupes Restreints » permet de gérer l’appartenance des groupes

locaux d’une machine. Avec ce paramètre, il est possible de configurer dans un GPO les
groupes ou utilisateurs qui seront membre des groupes locaux d’un objet computer.
- Le nœud « Groupes Restreints » possède deux paramètres :

 Ce groupe est Membre de : Ce paramètre indique que le groupe spécifié par la
stratégie est membre d’un autre groupe. Lorsqu’il existe plusieurs GPO qui utilisent le
paramètre « Groupes restreints », chaque stratégie « Membre de » s’appliquent donc
se cumulent.
 Membres de ce groupe : Ce paramètre indique toute l’appartenance au groupe

spécifié par la stratégie. Tout membre non spécifié dans la stratégie est supprimé, y
compris les administrateurs du domaine. Le paramètre « Membres de ce groupe » est
une stratégie qui fait autorité. S’il existe plusieurs GPO avec des stratégies « Groupes
restreints » qui utilisent ce paramètre, c’est celui dont la priorité est la plus élevée qui
prévaut.
- Tous les serveurs Windows 2008 possède un GPO local qui peut être configuré via le
composant « Editeur d’objet de stratégie de groupe » ou via la console « Stratégie de
sécurité locale ». Les contrôleurs de domaine quant à eux ne disposent pas de GPO local mais
des paramètres de sécurités configurés au niveau des GPO de domaine nommé « Default
Domain Policy » et « Domain Controllers Policy »
- Les « Modèles de sécurité » permettent de définir des paramètres de sécurité stockées

dans un fichier « *.inf ». Ce dernier s’utilise via un composant logiciel enfichable :
- Pour déployer un modèle de sécurité, il suffit d’importer le fichier « *.inf » dans un

objet de stratégie de groupe au niveau du nœud « Paramètre de sécurité ». Il est également
possible de déployer un modèle de sécurité via le composant logiciel enfichable
« Configuration et analyse de la sécurité » ou l’utilitaire « Secedit.exe ».
- Lors de l’installation d’un contrôleur de domaine, un modèle de sécurité par défaut est
appliqué par Windows. Ce dernier est situé à l’emplacement suivant :
%SystemRoot%\Security\Templates\DC security.inf
- Le composant logiciel enfichable « Configuration et Analyse de la Sécurité » permet
d’appliquer un modèle de sécurité mais également d’analyser la configuration actuelle de la
sécurité d’un système et de la comparer à une base (fichier *.sdb) enregistrée sous forme de
modèle de sécurité.
- « Secedit.exe » est un utilitaire en ligne de commande qui permet d’effectuer les

mêmes opérations que le composant logiciel enfichable « Configuration et analyse de la
sécurité ». L’avantage de cet utilitaire est de pouvoir appliquer uniquement une partie d’un
modèle de sécurité à un ordinateur.
- « L’assistant Configuration de la sécurité » permet de configurer la sécurité d’un

serveur pas à pas afin de générer un fichier « *.xml » qui permettra de déployer la
configuration. Cet assistant est également disponible via la ligne de
commande « scwcmd.exe ».
- Par défaut, la base de données de configuration de la sécurité et l’ensemble des fichiers

« *.xml » qu’utilise « l’assistant Configuration de la sécurité » est situé dans :
« %SystemRoot%\Security\Msscw\Kbs ».
- Pour centraliser l’emplacement de la base de données de configuration de la sécurité, il

suffit de copier le contenu du répertoire « %SystemRoot%\Security\Msscw\Kbs » dans un
dossier préalablement partagé sur le réseau, puis d’exécuter la commande suivante :
« scw.exe /kb \\serveur01\scwkb »
- Une stratégie de sécurité créée à l’aide de « l’assistant Configuration de la sécurité »

ou l’utilitaire en ligne de commande « scwcmd.exe » peut être transformé en GPO.
Pour cela, il suffit d’utiliser la commande :

scwcmd.exe transform /p : »Sécurité DC Contoso.xml » /g : »GPO de sécurité DC
Contoso »
- GPSI (Group Policy Software Installation) permet de gérer l’installation de logiciels

via des GPO. Ce composant utilise Windows Installer pour installer, maintenir et supprimer
des logiciels. Il est possible de personnalisé des packages Windows Installer à l’aide de
fichiers de transformation au format « *.mst » ou des fichiers correctif au format « *.msp ».
- GPSI gère deux types de package : les fichiers « *.msi » et « *.zap »
- Lorsqu’on utilise des GPO pour installer des logiciels, il est possible d’attribuer ou
publier des applications
 Attribuer : Une application est dite « attribuée » lorsque celle-ci est installée sur
l’ordinateur lors du processus de démarrage. Une application peut être attribuée à un
utilisateur ou à un ordinateur.
 Publier : Une application est dite « publiée » lorsque celle-ci est rendue disponible à
l’utilisateur dans le menu « Ajout suppression de programmes » à l’ouverture de
session. L’utilisateur a le choix d’installer l’application en cliquant dessus dans le
panneau de configuration ou en cliquant sur un type de fichier associé à l’application.
Il n’est pas possible de publier une application pour un ordinateur mais seulement à un
utilisateur.
- Par défaut, GPSI test les performances du réseau avant d’appliquer le paramètre de
stratégie de groupe. Si une liaison lente est détecté (Moins de 500 Kbits/s), les paramètres lié
à GPSI ne seront pas traités. Il est possible de modifier la vitesse de connexion qui définie une
connexion lente en configurant un seuil plus bas via les modèles d’administration d’un GPO à
l’emplacement suivant :
Modèles d’administration\Système\Stratégie de groupe\

Editer les propriétés du paramètre : « Détection d’une liaison lente de stratégie de groupe »
- La stratégie d’audit configure un système pour qu’il audite des catégories d’activités.
Par défaut, tous les évènements d’échec ne sont pas audités. Il est important de définir à
l’avance ce que l’on souhaite auditer car manipuler les audites via les journaux d’évènement
peut se relever bien compliquer à évaluer.
- Pour configurer l’audit, il faut accomplir trois opérations :
 Spécifier les paramètres d’audit dans la SACL de l’objet (Fichier /Dossier)

 Activer la stratégie d’audit dans la stratégie (Locale ou de Domaine)
 Evaluer les évènements dans le journal de sécurité
- Auditer les évènements d’échec permet de contrôler les tentatives malveillantes d’accès
aux ressources pour lesquelles l’accès est refusé ou d’identifier les tentatives d’accès à un
fichier ou un dossier auquel l’utilisateur demande à accéder.
- Il ne faut pas abuser de l’audit Windows car les journaux ont tendance à grossir très
rapidement.
- Configurer les entrées d’audit sur un fichier ou un dossier n’active pas en soi l’audit.
L’audit doit être activé en définissant le paramètre « Auditer l’accès aux objets » dans un
GPO (Local ou de domaine étendu au serveur qui contient l’objet à auditer).
- Pour évaluer les évènements relatifs à l’activation de l’audit sur un serveur, il suffit
d’ouvrir les journaux de sécurité Windows depuis les outils d’administration.
- Windows Server 2008 introduit une nouvelle catégorie d’audit appelée « Modification
du service d’annuaire ». Cela permet d’avoir accès aux valeurs précédentes d’un objet audité
lorsque ces attribues sont modifiés. Cette catégorie n’est pas activé par défaut car il faut taper
la ligne de commande suivante pour :
Auditpol /set /subcategory : »directory service changes” /success:enable
- Il faut toujours modifier la liste SACL d’un objet pour spécifier les attributs à auditer.
Chapitre 8
- Une nouvelle notion dans Windows Server 2008, ce sont les contrôleurs de domaine
en lecture seul (RODC : Read Only Domain Controller)
- Par défaut, dans un domaine Windows Server 2008, les utilisateurs doivent changer
leur mot de passe tous les 42 jours. Ce mot de passe doit contenir au moins 7 caractères et
répondre à des exigences de complexité.
- La stratégie de mot de passe se configure dans l’objet de stratégie de groupe « Default

Domain Policy ».
- L’exigence de complexité requiert au moins trois des quatre types de caractères

suivants :
 Majuscule – Par exemple A à Z

 Minuscule – Par exemple a à z
 Numériques – 0 à 9
 Symboles non alphanumériques – Par exemple !, #, %, ou &
- La stratégie « Enregistrer les mots de passe en utilisant un cryptage réversible »

permet de stocker en clair le mot de passe des utilisateurs car certaines applications en ont
besoin. Dans les Bests Practices, il est recommandé de supprimer le plus possible ce type
d’applications car stocker un mot de passe en clair revient à créer une faille de sécurité.
- « Les stratégies de mot de passe à grain fin » permettent de configurer une stratégie
de mot de passe dont l’étendue sera un ou plusieurs groupes, ou un ou plusieurs utilisateurs.
Pour utiliser ces nouvelles stratégies, il faut être dans un niveau fonctionnel de domaine
Windows Server 2008. Les paramètres de cette nouvelle stratégie sont identiques aux
paramètres de stratégie de mot de passe du domaine, sauf qu’ils ne s’appliquent pas en tant
que GPO mais sont contenu dans une class d’objet spécifique qui maintient le paramétrage de
ces stratégies : PSO, Password Settings Objet
- Un PSO possède dispose d’un attribue qui défini sa priorité. Cette priorité est définie
par un nombre supérieur à 0. Le chiffre 1 indique que la priorité est la plus élevé.
- L’audit permet de journaliser des évènements qui concernent plusieurs types d’activités
qu’ils soient une réussite ou un échec.
- L’audit « Evènement de connexion au compte » consiste à journaliser la tentative de

connexion d’un utilisateur au domaine. Le contrôleur de domaine qui authentifie
l’utilisateur va générer un évènement de connexion au compte dans le journal de sécurité du
contrôleur de domaine.
- L’audit « Evènement de connexion » consiste à journaliser sur un poste client les

évènements d’authentification d’un utilisateur qui ont été relayé à un contrôleur de domaine.
Un poste client n’authentifie pas l’utilisateur mais transmet la connexion interactive à un
contrôleur de domaine pour validation. Cette action enregistre un évènement de connexion
dans le journal de sécurité du poste client.
- Un RODC (Read Only Domain Controller) permet d’authentifier des utilisateurs situés
dans une succursale d’une entreprise et qui contient une copie de tous les objets du domaine et
de tous les attributs à l’exception des données confidentielles comme les mots de passe. Pour
authentifier un utilisateur, un RODC transmet les requêtes d’authentification à contrôleur de
domaine principal (en écriture).
- Etant données que les mots de passes des utilisateurs ne sont pas stockées sur les
RODC, il est possible de configurer une stratégie de réplication des mots de passe appelé
PRP (Password Replication Policy).
- Pour déployer un RODC, il est impératif que le niveau fonctionnel de domaine soit au
minimum en Windows Server 2003 et qu’un contrôleur de domaine Windows Server 2008
en écriture soit accessible.
- Si la forêt possède certains domaines fonctionnant sous Windows Server 2003, il

faudra d’abord exécuter la commande suivante : Adprep /rodcprep
- Pour séparer les rôles d’administratif sur un RODC, il suffit de taper la commande
suivante : dsmgmt
Chapitre 9
- DNS (Domain Name System) est une composante essentielle des services AD DS. Sans
DNS il n’y aurait pas d’Internet car ce système permet de convertir une adresse IP en nom de
domaine plus commode à mémoriser.
- DNS fonctionne sur les protocoles IPv4 (32 bits) et IPv6 (128 bits)
- Lorsqu’un ordinateur démarre, le client commence par identifier les enregistrements

de ressources SRV (Service Location Records) d’un serveur DNS afin d’identifier le
contrôleur de domaine (DC) le plus proche. Une fois que la localisation DNS a été effectuée,
le processus d’identification entre l’ordinateur et le DC peut débuter. Sans serveurs DNS, il
n’y aurait pas d’authentification d’ordinateurs sur un domaine.
- DNS communique sur l’Internet ou le réseau interne via le port TCP/IP 53. Tous les
clients DNS sont configurés sur ce port pour localiser des informations sur les noms des
ordinateurs.
- IPv6 est intégré à Windows Server 2008, et les adresses IP sont composées de huit
sections de 16 bits pour créer une adresse en 128 bits généralement affiché au format
hexadécimal.
- Lorsqu’il n’y a pas de serveur DHCP (Dynamic Host Configuration Protocol) sur le
réseau, les cartes réseaux configurées avec le protocole IPv6 reçoivent l’adresse « FE80 :: »
qui est l’équivalent de l’adresse APIPA (Automatic Private IP Adressing).
- Dans l’adresse « FE80 :: », les deux doubles points représentent toutes les sections de
16 bits qui sont composés de zéros.
- Adresses de liaison locale (IPv6) : FE80 ::
 Attribué par défaut lorsqu’IPv6 est activé. C’est l’équivalent de l’adressage APIPA sur
IPv4 (169.254.0.0/16)
- Adresses de site local (IPv6) : FEC0 ::
 Ces adresses peuvent être routées localement uniquement. Il n’est pas possible de les
router vers Internet. C’est l’équivalent des adresses de classe A, B et C sous IPv4
(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
- Adresses de monodiffusion globales (IPv6) : Toutes les autres IP
 Ces adresses sont routables sur Internet et permettent une communication directe avec
tout type de périphérique. C’est l’équivalent des adresses IP publique sous IPv4.
L’avantage sous IPv6 est que l’attribution des adresses IP peut atteindre au totale 340
milliards de milliards de milliards de milliards – soit 2 puissance 128 adresses.
- Adresse de bouclage (IPv6) : ::1
 Permet à un nœud de s’envoyer des paquets à lui-même. C’est l’équivalent de

l’adresse de loopback 127.0.0.1 dans IPv4.
- Le protocole PNRP (Peer Name Resolution Protocol) est un système de résolution de
nom comme DNS sauf que la résolution s’effectue sur un système différent. C’est un système
de nommage distribué qui interroge les hôtes à proximité pour résoudre les noms de domaine.
- Le protocole PNRP peut s’étendre à des milliards de noms contrairement à DNS qui
n’héberge qu’un petit nombre de noms. Grâce à ce système distribué, PNRP est donc tolérant
aux pannes. La publication de noms est instantanée, gratuite et n’exige pas d’intervention
humaines.
- Les serveurs DNS dynamiques (DDNS, Dynamique Domain Name Server) autorisent
la mise à jour automatique des clients qui peuvent s’auto-inscrire sur le serveur DNS.
- Les serveurs DNS en lecture-écriture sont également nommés « serveur DNS

Principal » et autorise la mise à jour manuel via des opérateurs autorisés.
- Les serveurs DNS en lecture seule sont également nommés « serveur DNS
secondaire ». Les données ne peuvent pas être modifiées manuellement car la réplication est
unidirectionnelle du serveur principal. Ce type de serveur est également installé sur les
RODC.
- Le « split-brain » est le fait d’utiliser un nom de domaine Internet identique au nom de

domaine DNS du domaine Active Directory.
- Le « Whole-brain » est le fait d’utiliser un nom de domaine Internet différent que celui
du domaine Active Directory interne. Il est recommandé d’utiliser cette méthode.
- Processus de résolution de noms DNS :
 Un utilisateur demande la page web http://www.google.com/

 La requête est envoyée au serveur DNS local sur le réseau interne
 Le serveur DNS local envoyé une requête de redirection au serveur de nom « .com »
 La requête est envoyée au serveur DNS faisant autorité pour le nom « google.com »
 Le serveur DNS pour « google.com » envoi l’adresse IP correspondante au client
 Le traducteur de noms du client utilise l’adresse IP pour demander la page web
 La page web est envoyée à l’utilisateur et s’affiche sur l’écran
- Termes et concepts DNS :
 Zone DNS intégrée à Active Directory : C’est une zone qui est hébergé dans la base
de données des services AD DS (NTDS.Edit).
 Vieillissement : On donne cette appellation à un enregistrement DNS qui a expiré en
raison de sa durée de vie jugée trop vieux pour être considéré comme toujours actif.
 Partition d’annuaire d’application : C’est une partition personnalisée qui peut
héberger les données d’annuaire liés aux applications ou des données DNS liés au
domaine racine d’une forêt.
 DDNS : Ce service DNS peut être mis à jour automatiquement par les clients
possédant un compte AD DS. Par défaut, l’installation des services AD DS installent
le service DDNS.
 Notification DNS : Ce sont des alertes automatiques qui avertissent un serveur DNS
secondaire que des mises à jour sont disponibles afin de lancer le processus de
transfert de zone vers des serveurs en lecture seule.
 Zone DNS de domaine : C’est une zone qui contient les enregistrements d’un
domaine particulier qu’il soit issue d’un domaine racine, d’un domaine enfant ou au
sein d’une forêt AD DS.
 Zone DNS de forêt : C’est une zone qui contient les enregistrements qui se rapportent
à l’ensemble d’une forêt AD DS.
 Recherche directe : Ce mode de fonctionnement du serveur DNS à pour but de faire
correspondre les requêtes FQDN (transmise par un client) à une adresse IP
 Zone de recherche directe : C’est un conteneur DNS qui contient les
correspondances FQDN/IP pour les recherches directes
 Redirecteur : C’est un mécanisme qui permet aux serveurs DNS de transférer les
requêtes inconnues reçus des clients vers des serveurs DNS externes approuvé.
 Zones GlobalNames Zone : C’est une zone DNS qui a été conçu pour remplacer les
serveurs WINS sur un réseau Windows. Ces zones gèrent des noms NetBIOS.
 Zone de stub : C’est une zone spéciale qui n’héberge que les enregistrements des
autres serveurs DNS qui assurent la maintenance de la zone en cours.
 TTL (Time to Live) : C’est la valeur qui est attribué à un enregistrement et qui
détermine sa durée de vie avant de considérer l’enregistrement comme expiré.
 Recherche inversée : Ce mode de fonctionnement du serveur DNS à pour but de faire
correspondre les requêtes de résolution d’adresses IP en nom FQDN.
 Enregistrement SOA (Start of Authority) : C’est un enregistrement qui contient des
informations de domaine, comme la planification des mises à jour des enregistrements,
les intervalles utilisés par les autres serveurs pour vérifier les mises à jour et la date et
l’heure de la dernière mise à jour…
 Enregistrement SRV : Désigne l’emplacement d’un service dans un enregistrement
DNS qui comprend l’adresse IP du serveur et le port associé au service.
 Alias (CNAME) : C’est un enregistrement DNS utilisé pour indiqué un alias d’un
nom déjà spécifié comme étant un autre type d’enregistrement dans une zone
spécifique. On l’appel aussi enregistrement de nom canonique.
 Serveur de messagerie (MX) : Cet enregistrement désigne les noms des serveurs de
messagerie vers lesquels les messages électroniques d’un domaine doivent être
acheminés
- Le protocole WPAD (Web Proxy Automatic Discovery Protocol) est utilisé par les
navigateurs web pour rechercher automatiquement les paramètres de proxy.
- Le protocole ISATAP (Intrasite Automatic Tunnel Addressing Protocol) est utilisé

pour permettre aux protocoles IPv4 et IPv6 de cohabiter ensemble. Les paquets IPv6 sont
encapsulés au format IPv4 pour être transmis via des routeurs.
- Les listes rouges de requêtes globales permettent d’accroitre la sécurité des protocoles
WPAD et ISATAP en bloquant des plages d’adresses spécifiques.
- Par défaut, lors de l’installation du service DNS dans un environnement AD DS, une
zone de recherche directe sera créée pour toute la forêt et portera le nom suivant :
_msdcs.nomdomain
- Lorsqu’on installe un contrôleur de domaine, la zone de recherche directe est créée

automatiquement. Par contre, la zone de recherche indirecte doit être ajoutée manuellement
pour prendre en charge la recherche inversée.
- La configuration de l’option de « nettoyage des enregistrements » et « la suppression

automatique des enregistrements obsolètes » doit s’effectuer manuellement.
- L’attaque des serveurs DNS par déni de service (DoS, Denial-of-Service) est la plus
fréquente. Cette opération consiste à inonder de requête le service DNS jusqu’à ce qu’il ne
puisse plus répondre à des requêtes valides.
- L’attaque des serveurs DNS par encombrement du réseau consiste à modifier les
données d’un serveur afin de le rediriger vers un serveur DNS qui est sous le contrôle du
pirate.
- Chaque enregistrement de noms se voit attribuer un TTL. Lorsque cette valeur expire,
l’enregistrement doit être supprimé pour que les utilisateurs effectuant une recherche
n’obtiennent pas de résultats faussement positifs. C’est pourquoi il est important de
configurer le nettoyage de la zone pour tous les serveurs DNS.
- Les enregistrements SOA indique les divers intervalles et paramètres temporels des
enregistrements, l’intervalle d’actualisation et la durée de vie.
- Il est utile de créer des ZRI (Zone de Recherche Inversée) si vous possédez des
applications sur votre réseau qui nécessite d’utiliser la résolution d’une adresse IP en nom ou
si votre réseau dépasse les 500 ordinateurs.
- Les indications de racine permette à un serveur DNS d’interroger d’autres serveurs

DNS principaux en direct sur Internet. Un redirecteur permet de transférer une requête DNS
afin qu’un autre serveur exécute la recherche. Dans les réseaux sécurisés, les serveurs DNS
interne sont configurés pour utiliser un redirecteur qui renvois les requêtes DNS vers un autre
serveur DNS chargés de communiquer en direct avec Internet. Dans ce cas précis, il faut
désactiver la recherche via des indications de racine sur les DNS interne pour les interdire
d’accéder en direct sur Internet.
- Pour créer des enregistrements dans une Zone de recherche directe GlobalNames
(Fonction de remplacement du Wins), il faut d’abord activer la fonction via la commande
suivante :
Dnscmd /config /enableglobalnamessupport 1
- Une fois la ZRD GlobalNames activée, il faut ajouter des enregistrements de noms en
une seule partie via la commande suivante :
Dnscmd nomserveurdns /recordadd globalnames nomenuneseulepartie cname nomdns
- Pour modifier une liste rouge de requêtes globale, il faut exécuter la commande
suivante :
Dnscmd /config /globalqueryblocklist wpad isatap manufacturing

Chapitre 10
- Sous Windows Server 2003, les réplications AD étaient gérer via le système FRS (File
Replication Service). Avec Windows Server 2008, une nouvelle fonctionnalité visant à
remplacer FRS a été ajouté : DFS-R (Distributed File System Replication)
- Pour installer un contrôleur de domaine, il est possible d’utiliser « un fichier de

réponses » ou de remplir les informations nécessaires à la création du contrôleur de domaine
via une ligne de commande « dcpromo ».
- Pour créer un contrôleur de domaine via un fichier de réponse, il suffit de taper la ligne
de commande suivante :
Dcpromo /unattend : »chemin vers le fichier de réponse »
- Un fichier de réponse est enregistré dans le format suivant :
[DCINSTALL]
ReplicaOrNewDomain=domain
NewDomain=forest
NewDomainDNSName=Nom DNS complet
DomainNetBiosName=Nom NetBIOS du domaine
ForestLevel={0=Windows 2000 Server Native;
2=Windows Server 2003 Native;
3=Windows Server 2008 Native}
DomainLevel={0=Windows 2000 Server Native;

2=Windows Server 2003 Native;
3=Windows Server 2008 Native}
InstallDN S=yes
DatabasePath= »chemin vers un dossier d’un volume local »
LogPath= »chemin vers un dossier d’un volume local »
SYSVOLPath »chemin vers un dossier d’un volme local »
SafeModeAdminPassword=mot de passe
RebootOnCompletion=yes
- Il est possible d’inclure les options du fichier de réponses en ligne de commande :
Dcpromo /unattend /installDNS :yes /dnsOnNetwork:yes /replicaOrNewDomain:domain

/newDomain:forest /newDomainDNSName:contoso.com /DomainNetbiosName:contoso
/databasePath: »e:\ntds » /logPath: »f:\ntds.logs » /sysvolpath : »g:\sysvol »
/safeModeAdminPassword :motdepasse /forestLevel :3 /domainLevel :3
/rebootOnCompletion :yes
- Si on souhaite installer un contrôleur de domaine Windows Server 2008 dans une forêt
qui contient des serveurs Windows 2000 ou Windows 2003, il est important de préparer la
forêt afin de mettre à jour le schéma Active Directory existant avec les nouveaux objets de
l’AD 2008.
- Pour préparer une forêt Windows 2000 ou Windows 2003, il faut identifier le
contrôleur de domaine ayant le rôle FSMO « Contrôleur de schéma », puis copier le contenu
du répertoire « \Sources\Adprep » du DVD de Windows Server 2008. Ensuite, il faut ouvrir
une invite de commande en se positionnant dans le dossier « Adprep » pour taper la
commande suivante :
adprep /forestprep
Une fois la forêt préparée. Il faut identifier le contrôleur de domaine ayant le rôle FMSO
« Maître d’infrastructure » pour y copier le contenu du répertoire « \Sources\Adprep » du
DVD de Windows Server 2008. Ensuite, il faut ouvrir une invite de commande en se
positionnant dans le dossier « Adprep » pour taper la commande suivante :
adprep /domainprep /gpprep
- Pour installer un RODC dans un domaine de la forêt possédant des contrôleurs de

domaine avec Windows 2000 Server ou Windows Server 20003, il faut aussi préparer le
domaine avec la commande suivante :
Adprep /rodcprep
- Lorsqu’on installe un contrôleur de domaine supplémentaire via le mode « avancé » on

a la possibilité de choisir le contrôleur de domaine source pour la réplication des données ou
bien demander une installation à partir d’un support (équivalent d’une sauvegarde – IFM :
Install From Media).
- Pour organiser l’installation d’un contrôleur de domaine en lecture seule dans une
succursale qui ne dispose pas de personnel informatique, il est possible de créer le compte
d’ordinateur pour le RODC soit même dans l’OU « Domain Controller » :
Ensuite, il ne reste plus qu’à utiliser une ligne de commande sur le serveur RODC pour
joindre le domaine :
Dcpromo /useexistingaccount :attach
Ou
Dcpromo /useexistingaccount :attach /unattend : »c:\rodcanswer.txt »

- L’installation IFM correspond à l’installation d’un contrôleur de domaine à partir d’un
support. Pour créer ce support d’installation, il faut exécuter les commandes suivantes sur un
contrôleur de domaine Windows Server 2008 en écriture :
Exécuter Ntdsutil.exe dans une invite de commande et taper : activate instance ntds puis
ifm
Ensuite, il faut taper une des lignes de commande suivante pour créer le support :
 Create sysvol full [chemin] : Crée le support d’installation avec SYSVOL pour un
DC accessible en écriture dans le dossier spécifié par [chemin]
 Create full [chemin] : Crée le support d’installation sans SYSVOL pour un
contrôleur de domaine accessible en écriture ou une instance AD LDS (Active
Directory Lightweight Directory Services) dans le dossier spécifié par [chemin]
 Create sysvol rodc [chemin] : Crée un support d’installation avec SYSVOL pour un
contrôleur de domaine en lecture seule dans le dossier spécifié par [chemin]
 Create rodc [chemin] : Crée le support d’installation sans SYSVOL pour un
contrôleur de domaine en lecture seule dans le dossier spécifié par [chemin]
Quand le support est créé, il faut exécuter l’assistant Installation des services de domaine
Active Directory en cochant la case « Utiliser l’installation en mode avancé ». Choisir
ensuite « Répliquer les données à partir d’un support à l’emplacement suivant ».
- Pour supprimer un contrôleur de domaine, il faut utiliser la commande « dcpromo »
- Si le contrôleur de domaine à supprimer ne peut contacter le domaine, il faut utiliser la

commande « dcpromo /forceremoval »
- Les opérations à maître unique se nomment également :
 Maîtres d’opérations
 Rôles de maîtres d’opérations
 Rôles de maître unique
 Jetons d’opérations
 Rôles FSMO (Flexible Simple Master Operations)
- Il existe 5 rôles FSMO :
 Maître d’attribution des noms de domaines (Unique dans la forêt)

 Contrôleur de schéma (Unique dans la forêt)
 Maître RID (Unique dans un domaine)
 Maître d’infrastructure (Unique dans un domaine)
 Emulateur PDC (Unique dans un domaine)
- Le rôle de maître d’attribution de noms de domaine sert à ajouter ou à supprimer

des domaines dans la forêt. Lorsqu’on ajoute ou supprime un domaine, le maître d’attribution
des noms de domaine doit être accessible, sous peine que l’opération échoue.
- Le contrôleur de schéma est chargé d’apporter des changements au schéma de la

forêt. Tous les autres contrôleurs de domaine contiennent des réplicas en lecture seule du
schéma. Pour modifier le schéma ou installer une application qui modifie le schéma, il est
recommandé de le faire sur le contrôleur de schéma. Dans le cas contraire, les changements
demandés doivent être envoyés au contrôleur de schéma pour qu’il les inscrive dans le
schéma.
- Le maître RID (Relative Identifier) joue un rôle majeur dans la génération des SID
(Identificateur de sécurité) pour des entités de sécurité telles que les utilisateurs, les groupes et
les ordinateurs. Le SID d’une entité de sécurité doit être unique. Comme n’importe quel
contrôleur de domaine peut créer des comptes et donc des SID, il doit exister un mécanisme
qui garantisse que les SID générés par un contrôleur de domaine soient uniques. Les
contrôleurs de domaine Active Directory génèrent des SID en assignant un ID relatif (RID) au
SID du domaine pour chaque objet de l’annuaire. Le maître RID du domaine alloue des pools
de RID uniques à chaque contrôleur de domaine du domaine. Ainsi, chacun d’eux peut être
certains que les SID qu’il génère sont uniques.
NB : Le maître RID se comporte exactement un serveur DHCP pour les SID. Au lieu
d’affecter des adresses IP unique aux ordinateurs d’un réseau, le maître RID affectera des
pools RID aux contrôleurs de domaine pour la création des SID.
- Le maître d’infrastructure agit plus particulièrement dans des environnements multi

domaine afin de mettre à jour la liste des groupes qui hébergent des utilisateurs provenant
d’un autre domaine. C’est une sorte de dispositif de suivi pour les membres des groupes issus
d’autres domaines. Si ces membres sont renommés ou supprimés de l’autre domaine, le
maître d’infrastructure du domaine du groupe actualise l’attribut « member » du groupe
conséquent.
- Le maître d’émulateur PDC accomplit plusieurs fonctions cruciales dans un
domaine :
 Il émule un contrôleur principal de domaine pour la compatibilité ascendante

 Il participe à la gestion spéciale de l’actualisation des mots de passe du domaine
 Il gère l’actualisation des stratégies de groupe d’un domaine
 Il fournit une horloge principale au domaine
 Il agit comme un navigateur de maître de domaine
- Il est recommandé de placer les rôles « contrôleur de schéma » et « maître

d’attribution de noms de domaine » sur un même contrôleur de domaine qui fait office de
catalogue global.
- Il est recommandé de placer les rôles « maître RID » et « maître d’émulateur PDC »
sur le même contrôleur de domaine.
- Il est recommandé de placer les rôles « maître d’infrastructure » sur un contrôleur de

domaine qui n’est pas un serveur de catalogue global. Si tous les contrôleurs de domaine d’un
domaine sont des serveurs de catalogue globaux, il importe peu de savoir quel serveur tient le
rôle de maître d’infrastructure.
- Pour identifier les contrôleurs de domaine qui possèdent les « rôles de maître RID »,
« maître d’émulateur PDC » et « maître d’infrastructure », il suffit d’ouvrir le composant
logiciel enfichable « Utilisateur et ordinateurs Active Directory », de faire un clic droit sur
le domaine et de cliquer sur « Maîtres d’opérations » :
- Pour identifier le contrôleur de domaine qui héberge le rôle « maître d’attribution des
noms de domaines », il suffit d’ouvrir le composant logiciel enfichable « Domaines et
approbations Active Directory », de faire un clic droit sur le nœud racine et de cliquer sur
« Maîtres d’opérations » :
- Pour identifier le contrôleur de domaine qui héberge le rôle « contrôleur de schéma »,
il suffit d’ouvrir le composant logiciel enfichable « Schéma Active Directory », de faire un
clic droit sur le nœud racine et de cliquer sur « Maîtres d’opérations » :
- Pour identifier les maîtres d’opérations, il est possible d’utiliser les commandes
suivantes :
« ntdsutil », « dcdiag » ou « netdom »
 Ntdsutil roles connections connect to server « list roles for connected server »
 Dcdiag /test :knowsofroleholders /v
 Netdom query fsmo
- Pour transférer des rôles FSMO, il est possible d’utiliser les outils d’administration
correspondant à chaque rôle. En se connectant sur le contrôleur de domaine adéquat, il est
possible de transférer le rôle via le menu « Maître d’opérations » :
- Si un contrôleur de domaine crash alors qu’il héberge un rôle FSMO, il est possible de
prendre le rôle FMSO manquant et le dédier à un autre contrôleur de domaine en récupérant le
jeton des opérations.
- Lorsqu’on prend possession d’un des rôles suivant, il n’est pas possible de remettre
en ligne le contrôleur de domaine qui accomplissait le rôle :
 Maitre RID
 Contrôleur de schéma
 Maître d’attribution des noms de domaine
- Lorsqu’on prend possession d’un des rôles suivant, il est possible de remettre en ligne
le contrôleur de domaine qui accomplissait le rôle puis de lui transférer de nouveau le rôle à
sa reconnexion :
 Emulateur PDC
 Maître d’infrastructure
- Pour prendre possession d’un rôle, il faut utiliser la commande « ntdsutil » :
 Ntdsutil
 Roles
 Connections
 Connect to server [FQDN_DU_SERVEUR]
 Quit
 Seize role
o Contrôleur de schéma
o Maître de schema
o Maître d’attribution des noms de domaine
o Maître RID
o Emulateur PDC
o Maître d’infrastructure
- Dans les précédentes versions de Windows Server, le répertoire SYSVOL était répliqué
sur l’ensemble des contrôleurs de domaine via le service FRS (File Replication Service). Sous
Windows Server 2008, nous disposons désormais du service DFS-R (Distributed File
System – Replication) qui est plus fiable et plus robuste que le système FRS.
- Afin de répliquer le répertoire SYSVOL avec le nouveau système de réplication DFS-

R, il faut d’abord s’assurer que le niveau fonctionnel du domaine est Windows Server 2008.
- Pour migrer vers le système de réplication DSF-R, il faut utiliser la commande :
« dfsrmig.exe »
- La migration vers DFS-R est composée de 4 étapes :

 0 (start) : Etape par défaut du contrôleur de domaine. Seul FRS est utilisé pour
répliquer « SYSVOL » à cette étape.
 1 (prepared) : Une copie du répertoire « SYSVOL » est créée dans un dossier nommé
« SYSVOL_DFSR » puis ce dernier est ajouté au jeu de réplication existant. DFS-R
réplique ensuite le contenu des dossiers « SYSVOL_DFSR » vers tous les contrôleurs
de domaine. FRS continue toujours de répliquer les dossiers « SYSVOL » d’origine et
les clients continuent d’utiliser « SYSVO L » à cette étape.
 2 (redirected) : Le partage « SYSVOL\sysvol » est redirigé pour être désormais
« SYSVOL_DFSR\sysvol ». Les clients utilisent désormais le dossier
« SYSVOL_DFSR » pour obtenir les scripts d’ouverture de session et les modèles de
stratégies de groupe.
 3 (eliminated) : Le service de réplication FRS est interrompu, ce qui arrête
automatiquement la réplication du dossier « SYSVOL ».
- La commande « dsfrmig.exe » comporte 3 options :
 Setglobalstate [state] : Cette option configure l’état de la migration DFS-R globale

en cours qui s’applique à tous les contrôleurs de domaine. L’état est spécifié par le
paramètre [state], qui est compris entre 0 et 3. Chaque contrôleur de domaine sera
notifié du nouvel état de la migration DFS-R et migrera automatiquement vers cet
état.
 Getglobalstate : Cette option rapporte l’état de migration DFS-R globale en cours.
 Getmigrationstate : Cette option rapport l’état de migration en cours de chaque
contrôleur de domaine. L’option « gestmigrationstate » permet de surveiller
l’avancement des contrôleurs de domaine vers l’état de migration DFS-R global en
cours.
NB : En cas de problème lors du passage d’un état vers un autre, il est possible de revenir
aux états précédents en utilisant l’option « setglobalstate ». Toutefois, après avoir utilisé
l’option « setglobalstate » pour spécifier l’état 3 (eliminated), il est impossible de revenir aux
états précédents.
Chapitre 11
- Les sites Active Directory sont des objets de l’annuaire qui se trouvent dans le
conteneur « Configuration » : CN=Configuration,DC=domaine racine de la forêt
- Un site à pour objectif de gérer le trafic de réplication et faciliter la localisation des

services.
- Un réseau fortement connectée représente un site Active Directory dans lequel les
réplications des changements apportés à l’AD sont presque instantanées.
- Un réseau moins fortement connectés est représenté par des connexions lentes, moins
fiables ou coûteuses. Il n’est donc pas indispensable de répliquer les changements
immédiatement sur ce type de réseau afin d’optimiser les performances, réduire les coûts ou
économiser de la bande passante.
- La localisation de service permet à des clients d’un site de localiser le contrôleur de

domaine le plus proche ou un service à proximité du site.
- Les sites Active Directory aident à localiser les services, y compris ceux fournis par les
contrôleurs de domaine. A l’ouverture de session, les clients Windows sont automatiquement
dirigés vers un contrôleur de domaine de leur site. Si aucun DC n’est disponible dans le site,
ils sont redirigés vers le DC d’un autre site qui sera capable de les identifier.
- Certains documents indiquent qu’une liaison est lente lorsque son débit est inférieur à
512 Kbit/s. Il est donc recommandé de créer un site pour déterminer cette partie du réseau.
- Il est recommandé de créer un site pour une partie du réseau qui héberge au minimum
un contrôleur de domaine ou un service de ressource DFS répliquée.
- Pour définir un site, il faut créer un objet de classe « Site ». Cet objet est un conteneur
qui permet de gérer la réplication entre les contrôleurs de domaines.
- Il est recommandé de renommer le site par défaut afin de lui donner un nom plus
représentatif de la situation de l’entreprise.
- Un site est utile que lorsque les clients et les serveurs savent à quel site ils
appartiennent. Pour ce faire, l’adresse IP du système client doit être associée au site, et ce sont
les objets sous-réseau qui réalisent cette association. Il faut donc définir les sous réseaux :
- Un sous réseau est associé à un site. Lorsqu’un client se connectera au domaine, il sera
identifié avec son adresse IP afin d’être redirigé vers le contrôleur de domaine de son site.
- Il est important de définir chaque sous réseau IP en tant qu’objet sous-réseau Active
Directory (LAN, WAN, VPN). Si l’adresse IP d’un client n’est pas comprise dans la page
d’adresses d’un sous réseau, ce client sera incapable de déterminer à quel sous-réseau il
appartient et cela peut entrainer des problèmes de performance.
- Chaque serveur qui rejoint un domaine annonce ces services en créant des
enregistrements DNS « Emplacement de service » ou enregistrement SRV :
- Chaque contrôleur de domaine contient un réplica de plusieurs contextes de nommage.

Un contexte de nommage correspondant aux éléments suivants :
 Domaine : Contient tous les objets stockés dans un domaine (users, ordinateurs et
groupes et stratégies de groupes).
 Configuration : Contient les objets qui représentent la structure logique de la forêt –
les domaines – et la topologie physique – les sites, les sous-réseaux et les services.
 Schéma : Définit les classes d’objets et leurs attributs
- Un contrôleur de domaine ayant pour fonction d’être un catalogue global contient un

jeu d’attributs partiel ou PAS (Partial Attribute Set) de l’ensemble des domaines de la
forêt. Cela lui permet d’effectuer des recherches d’objet dans un domaine A et B avec plus
d’efficacité. Une application interroge un catalogue global en envoyé des requêtes LDAP sur
le port 3268.
- Un groupe universel peut contenir des objets provenant de tous les domaines de la
forêt. L’appartenance aux groupes universels est répliquée dans le catalogue global.
- Lorsqu’un utilisateur ouvre une session, son appartenance au groupe universel est
obtenue depuis un serveur de catalogue global. Si le serveur de catalogue global est
indisponible, l’appartenance au groupe universel l’est également. Pour empêcher un incident
de sécurité, Windows empêche un utilisateur appartenant à groupe universel de s’authentifier
sur le domaine lorsque le catalogue global est indisponible. Ce fonctionnement ne se produit
pas si tous les contrôleurs de domaine font office de catalogue global.
- Pour éviter un problème de compte bloqué appartenant à un groupe universel, il est

possible d’activer la mise en cache des membres des groupes universels à l’aide d’UGMC
(Universal Group Membership Caching). Lorsque « UGMC » est activé, un utilisateur
appartenant à un groupe universel qui ouvre une session sur le domaine aura ses informations
d’appartenance au groupe mise en cache indéfiniment sur le serveur de catalogue global et
actualisé toutes les 8 heures.
- Pour configurer UGMC, il faut ouvrir le composant logiciel enfichable « Sites et

service Active Directory », sélectionner le site dans l’arborescence de la console. Dans le
volet de détails, il faut cliquer droit sur « NTDS Site Settings » et sélectionner
« Propriétés » :
- Pour examiner les partitions d’annuaire d’application, il faut utiliser l’outil

« Modification ADSI », de cliquer sur « Connexion » puis de sélectionner « Configuration »
dans la liste déroulante du « contexte d’attribution de noms connu » :
- Lorsque l’on créé un contrôleur de domaine, ce dernier est ajouté automatiquement

dans la console « Site et Services Active Directory ». Le vérificateur de cohérence des
données également appelé KCC (Knowledge Consistency Checker) crée automatiquement un
objet connexion afin de créer les relations bidirectionnelle entre les contrôleurs de domaine.
Si un contrôleur de domaine est supprimé, les KCC mettent à jour les objets de connexion en
réorganisant dynamiquement la topologie de réplication.
- Il est également possible de créer des objets de connexion manuellement afin de

gérer soit même la topologie de réplication. Un objet de connexion créé manuellement ne sera
jamais supprimé par la gestion dynamique des KCC.
- Lorsqu’une modification est effectuée sur un contrôleur de domaine, ce dernier envoi

une notification de mise à jour à son premier partenaire de réplication 15 secondes après
(Délais de notification initiale). Une fois la notification envoyée, le contrôleur de domaine
attend 3 secondes (Délais de notification ultérieure) pour notifier ses autres partenaires de
réplication. Ces délais décalés de quelques secondes permettent de réduire le trafic réseau
causé par les réplications intrasite.
- A réception de la notification, le contrôleur de domaine demande à son partenaire de

réplication de lui envoyer l’attribut modifié via l’agent de réplication d’annuaire (DRA,
Directory Replication Agent).
- Dans une topologie de réplication, il ne peut y avoir plus de trois sauts. Cela permet
d’optimiser la réplication et limiter le trafic sur le réseau. Dans un réseau composé de 3 à 5
contrôleurs de domaine, à raison d’environs 15 secondes d’attente par saut, une modification
dans l’AD sera entièrement répliquée en moins d’une minute.
- Dans une topologie de réplication automatique, si un des contrôleurs de domaine n’est

pas disponible, certains partenaires de réplication ne pourront recevoir de notifications lors
d’une modification. C’est pourquoi il existe un processus de scrutation des modifications
également appelé « polling ». Ce processus permet de vérifier auprès de son partenaire de
réplication si une mise à jour a été effectuée (Par défaut la scrutation est effectuée toutes les
heures). Si le serveur interrogé ne répond pas, le partenaire de réplication lance le KCC afin
de vérifier la topologie qui sera reconstruite si le contrôleur de domaine est réellement
déconnecté.
- Les liens de sites permettent de définir les chemins que la réplication doit emprunter en
créant des objets « Liens de sites ». Un lien de site contient deux ou plusieurs sites. Le
générateur de topologie inter-sites (ITSTG, Intersite Topology Generator), un composant du
KCC, construit des objets connexion entre les serveurs de chacun des sites pour permettre la
réplication inter-sites.
- Par défaut lorsqu’on crée une forêt, l’objet lien de sites « DEFAULTIPSITELINK »
est créé dans le composant logiciel enfichable « Sites et services Active Directory ». Dans
une structure AD composé de plusieurs sites, il est recommandé de créer manuellement des
liens de sites qui reflètent la topologie physique du réseau.
- Les modifications sont répliquées entre contrôleurs de domaine au moyen de deux

protocoles :
 DS-RPC (Directory Service Remote Procedure Call) : DS-RPC apparaît dans le
composant logiciel enfichable Sites et services Active Directory sous la forme IP. IP
est utilisé pour toute réplication intrasite et est le protocole de prédilection par défaut
pour la réplication inter-sites
 ISM-SMTP (Inter-site Messaging – Simple Mail Transfert Protocol) : Ce protocole
n’est utilisé que lorsque les connexions réseaux entre sites ne sont pas fiables ou ne
sont pas toujours disponibles. SMTP ne peut pas être utilisé pour répliquer le contexte
de nommage du domaine. C’est pourquoi la réplication via STM vers le reste de
l’entreprise doit être un domaine séparé. Très peu d’organisation utilise SMTP pour la
réplication à cause de la charge administrative requise pour configurer et gérer une
autorité de certification (CA).
- Un serveur de tête de pont est un serveur responsable de toute la réplication d’une

partition, dans le site et hors du site. Ces derniers sont chargés de répliquer les modifications
d’une partition reçues des serveurs têtes de pont des autres sites.
- Chaque site peut être configuré pour disposer d’un serveur de tête de pont qui
répliquera les données vers un serveur de tête de pont d’un autre site :
- Les liens de sites sont transitifs par défaut, ce qui veut dire qu’ils sont reliés entre eux
pour augmenter la tolérance de panne lié à la réplication. Pour désactiver la transitivité des
liens de sites, il suffit de désactiver la case « Relier tous les liens de sites » dans les
propriétés du protocole « IP » :
- Les coûts de liens de site sont utilisés pour gérer le flux du trafic de réplication. Les
coûts les plus élevés sont utilisés pour les liens lents et les coûts les plus faibles pour les liens
rapides. Par défaut, tous les liens sont configurés avec un coût de « 100 » :
- Lorsque la transitivité des liens de sites à été désactivé, il est possible de créer soit
même des liens de sites via des « ponts de sites ».
- La réplication inter-site est basée sur la scrutation : Il n’y a pas de notification de
modification pour démarrer le processus de réplication. Par défaut, toutes les 3 heures
(180 minutes), un serveur de tête de pont va interroger ses partenaires de réplication pour
déterminer si des modifications sont disponibles. Il est possible de modifier cette valeur pour
réduire l’intervalle de scrutation sachant que la valeur minimale est de 15min.
- Afin de surveiller et gérer la réplication dans le but de la dépanner ou l’optimiser, il est

possible d’utiliser l’un de ces deux outils de reporting :
 Repadmin.exe : Outil de diagnostic de la réplication

 Dcdiag.exe : Outil de diagnostic des services d’annuaires
- « Repadmin.exe » est un outil en ligne de commande qui permet de connaître l’état de

la réplication sur chaque contrôleur de domaine. Il est possible d’utiliser « repadmin.exe »
pour créer la topologie de réplication et forcer la réplication entre contrôleurs de
domaine.
- Exemple de commandes « repadmin.exe » :
NB : Dans les exemples suivants, « DSA_LIST » représente un identifiant réseau (nom

DNS, NetBIOS ou adresse IP d’un contrôleur de domaine)
 Repadmin /showrepl DSA_LIST : Permet d’afficher les partenaires de réplication

d’un contrôleur de domaine
 Repadmin /showconn DSA_LIST : Permet d’afficher les objets connexion d’un
contrôleur de domaine
 Repadmin /showobjmeta DSA_LIST : Permet d’afficher les métadonnées sur un
objet, ses attributs et la réplication
 Repadmin /kcc : Force le KCC à recalculer la topologie de réplication entrante pour
le serveur
 Repadmin /replicate Destination_DSA_LIST
Source_DSA_Nom_Contexte_Nommage : Permet de forcer la réplication entre deux
partenaire
 Repadmin /syncall DSA /A /e : Permet de synchroniser un contrôleur de domaine
avec tous ces partenaires, y compris ceux des autres sites.
- « Dcdiag.exe » est un outil en ligne de commande qui permet de diagnostiquer l’état

des services d’annuaires. Cet outil effectue un certains nombre de tests et génère un rapport
sur la santé globale de la réplication et de la sécurité des services de domaine Active
Directory. Exécuté seul, « dcdiag.exe » exécute des tests récapitulatifs et affiche les résultats.
- Exemple de commandes « dcdiag.exe » :
 Dcdiag /c : exécute presque tous les tests

 Dcdiag /FrsEvent : Affiche toutes les erreurs de fonctionnement du service de
réplication de fichiers (FRS)
 Dcdiag /DFSREvent : Affiche toutes les erreurs de fonctionnement du service de
réplication de fichiers (DFS-R)
 Dcdiag /Intersite : Détecte les défaillances qui pourraient empêcher ou retarder la
réplication inter-sites
 Dcdiag /KccEvent : Identifie les erreurs du vérificateur de cohérence des données
 Dcdiag /Replications : Vérifie la ponctualité de la réplication entre contrôleurs de
domaine
 Dcdiag /Topology : Vérifie que la topologie de réplication est complètement
connectée pour tous les DSA
 Dcdiag /VerifyReplicas : Vérifie que toutes les partitions d’annuaire d’applications
sont complètements instanciées sur les DC hébergeant des réplicas
Chapitre 12
- Les niveaux fonctionnels de domaine apportent de nouvelles fonctionnalités au

domaine et permettent aussi de définir les systèmes d’exploitation autorisé sur les contrôleurs
de domaine.
- Il existe trois niveaux fonctionnels de domaine :
 Windows 2000 Natif : Autorise les systèmes d’exploitation suivant sur les serveurs :
Windows 2000 Server, Windows Server 2003 et Windows Server 2008
 Windows Server 2003 : Autorise les systèmes d’exploitation suivant sur les serveurs :
Windows Server 2003 et Windows Server 2008. Ce niveau fonctionnel apporte
plusieurs nouvelles fonctionnalités comme le renommage d’un contrôleur de domaine,
l’attribut « LastLogonTimestamp », l’attribut « userPassword », la redirection du
conteneur d’utilisateur et d’ordinateurs par défaut, la stratégie du gestionnaire
d’autorisation, la délégation contrainte et l’authentification sélective.
 Windows Server 2008 : Autorise uniquement les systèmes d’exploitation Windows
Server 2008. Ce niveau fonctionnel de domaine apporte de nouvelles fonctionnalités
au domaine comme la réplication DFS-R de SYSVOL, les services de chiffrement
avancé (AES 128 et AES256 pour Kerberos), l’enregistrement des dernières
informations d’ouverture de session interactive et la stratégie de mot de passe à grain
fin.
- Il existe trois niveaux fonctionnels de forêt :
 Windows 2000 : Dans ce niveau fonctionnel, les domaines peuvent s’exécuter dans
tous les niveaux fonctionnels de domaine pris en charge.
 Windows Server 2003 : Dans ce niveau fonctionnel, les domaines peuvent s’exécuter
dans les niveaux fonctionnels Windows Server 2003 et Windows Serveur 2008. Ce
niveau fonctionnel de forêt apporte de nouvelle fonctionnalité comme l’approbation de
forêt, le renommage de domaine, la réplication de valeurs liées, les algorithmes du
vérificateur de cohérences des données (KCC) améliorés, la conversion d’objets
inetOrgPerson en objet utilisateur, la prise en charge de la classe auxiliaire
dynamicObjet, la prise en charge des groupes d’applications et des groupes de
requêtes LDAP et les contrôleurs de domaine en lecture seul.
 Windows Server 2008 : Ce niveau fonctionnel de forêt autorise uniquement des
domaines s’exécutant dans un niveau fonctionnel de forêt Windows Serveur 2008 et
n’apporte aucunes nouvelles fonctionnalités.
- Pour augmenter le niveau fonctionnel d’un domaine, il faut ouvrir le composant logiciel
enfichable « Domaines et approbations Active Directory », de faire un clic droit sur le
domaine puis de choisir « Augmenter le niveau fonctionnel du domaine » :
- Pour augmenter le niveau fonctionnel d’une forêt, il faut ouvrir le composant logiciel
enfichable « Domaines et approbations Active Directory », de faire un clic droit sur la
racine et cliquer sur « Augmenter le niveau fonctionnel de la forêt » :
- Les domaines qui exécutent des niveaux fonctionnels de domaine inférieurs à Windows
Server 2008 ne peuvent prendre en charge qu’une seule stratégie de mot de passe et de
verrouillage des comptes. Seuls les domaines au niveau fonctionnel de domaine peuvent
utiliser les stratégies de mot de passe à grain fin.
- Dans un contexte multi domaine, un administrateur peut être amené à déplacer des
objets d’un domaine A vers un domaine B (Utilisateurs, ordinateurs, etc).
- Une migration intraforêt consiste à déplacer des objets issus de domaines Active
Directory de la même forêt.
- Une migration inter forêt consiste à déplacer des objets issus de domaines Active
Directory distinct. L’opération consiste à conserver le domaine source et cloner/copier des
comptes dans le domaine cible. Cette méthode permet de revenir en arrière en cas de
problèmes.
- Pour effectuer des migrations d’objets, il faut utiliser un outil tiers ou tout simplement
l’outil de migration Active Directory version 3 nommé ADMT v3 (Administration
Domain Migration Tools : Disponible sur Internet).
- Lors de la migration d’un objet dans un autre domaine, ce dernier est copié dans le
domaine cible, récupérant ainsi un nouveau SID. Du fait que l’objet récupère dans un
nouveau SID, il ne possède donc plus d’accès aux ressources du domaine source. Pour
contourner ce problème, il existe ce que l’on appel les sIDHistory qui sont des attributs de
l’objet contenant le SID de l’objet dans le domaine source. Cet astuce permet à un compte
d’utilisateur copié dans un nouveau domaine de pouvoir accéder aux mêmes ressources
malgré le fait que sont SID ai été recréé dans le nouveau domaine.
- Lorsqu’un utilisateur ouvre une session dans un domaine Active Directory, le jeton de
l’utilisateur est peuplé avec le SID principal et l’attribut sIDHistory du compte de
l’utilisateur et des groupes auxquels ce dernier appartient. Le processus système LSASS
utilise les SID de l’attribut de sIDHistory comme tout autre SID situé dans le jeton pour
maintenir l’accès de l’utilisateur vers des ressources du domaine source.
- Le processus qui consiste à remapper des ACL vers des comptes migrés dans le
domaine cible est également appelé re-ACLing. Il suffit d’utiliser l’utilitaire ADMT pour ce
type d’opérations.
- ADMT traduit les descripteurs de sécurité des objets :
 Des autorisations de fichier et de dossier

 Des autorisations d’imprimante
 Des autorisations de partage
 Des autorisations de Registre
 Des droits d’utilisateur
 Des profils locaux, qui impliquent des changements d’autorisations de fichier, de
dossier et de registre
 Des appartenances aux groupes
- Dans une migration AD inter forêts, il faut d’abord migrer les groupes du domaine
source vers le domaine cible car s’il s’agit de groupe Globaux, par défaut, ces derniers ne
peuvent accepter que des utilisateurs issue du même domaine, ce qui poserait un problème
pour la migration des utilisateurs. Ces groupes une fois migré maintiendront les SID des
groupes source dans leurs attributs sIDHistory, ce qui contribuera à conserver l’accès aux
ressources.
- Dans une migration AD intra forêts, un groupe global est créé dans le domaine cible en
tant que groupe universel afin de pouvoir contenir un utilisateur des domaines source et cible.
Le nouveau groupe obtient un nouveau SID et son attribut sIDHistory est peuplé avec le SID
du groupe global du domaine source. Une fois la migration terminée, le groupe universel est
converti en groupe global.
- ADMT permet également de migrer des mots de passe. Il est possible de conserver le
mot de passe du domaine source mais ADMT ne gère pas les stratégies de mot de passe du
domaine cible. Sinon il est possible de déterminer un mot de passe lors de la migration du
compte d’utilisateur.
- ADMT permet également d’automatiser l’actualisation des comptes de services qui

auront été migrés.
- ADMT à du mal à migrer les objets qui sont intégrés dans les groupes « Admins du
domaine » ou dans le groupe local « Administrateurs du domaine ». Il existe cependant
une option de contournement dans le mode d’emplois d’ADMT.
Chapitre 13
- Même si AD DS compacte régulièrement sa base de données (Ntds.dit), il est

recommandé de le faire manuellement.
- « AcctInfo.dll » permet de rajouter un onglet supplémentaire dans le composant

logiciel enfichable « Utilisateurs et ordinateurs Active Directory »
- Le bouton « Domain PW Info… » de l’onglet « Additional Account Info » affiche la

stratégie de mot de passe affecté au compte d’utilisateur :
- Le bouton « SID History » de l’onglet « Additional Account Info » permet d’afficher

l’attribut SID History d’un objet.
- Le bouton « Set PW On Site DC… » de l’onglet « Additional Account Info » permet

de modifier le mot de passe d’un compte d’utilisateur directement sur le contrôleur de
domaine pour éviter les délais de réplication.
- « Specops Gpudate » permet d’ajouter des fonctionnalités supplémentaires au

composant logiciel enfichable « Utilisateurs et ordinateur Active Directory » :
 Actualisation à distance des GPO d’un objet de l’annuaire

 Démarrage d’ordinateurs à distance avec Wake-on-LAN s’il est activé localement
 Redémarrage et arrêt à distance de l’ordinateur sélectionné
 Génération d’un rapport graphique sur les résultats de l’opération
NB : Il faut télécharger cet outil sur le site de l’éditeur « Specops Gpupdate » :

http://www.specopssoft.com/products/specops-gpupdate/specops-gpupdate-download
- Récapitulatif des outils d’administrations Windows :
 Domaines et approbations Active Directory : Administrer les relations d’approbations

 Schéma Active Directory : Modifier le schéma pour les annuaires AD DS ou AD LDS
 Sites et services Active Directory : Configurer et gérer les étendues de réplications
 Utilisateurs et ordinateurs Active Directory : Configurer et gérer les rôles FSMO
 Modifications ADSI : Interroger, visualiser et modifier les objets de l’annuaire
 CSVDE.exe : Importer des données dans les annuaires AD DS ou AD LDS
 DCDIAG.exe : Diagnostiquer les annuaires AD DS ou les instances AD LDS
 DCPROMO.exe : Ajouter ou supprimer des contrôleurs de domaine
 DFSRadmin.exe : Gère la réplication DFS
 Gestionnaire DNS : Assurer la maintenance générale des serveurs DNS
 DNSCMD.exe : Gérer les aspects des serveurs DNS
 DSACLS.exe : Gère les listes de contrôles d’accès aux objets
 DSADD.exe : Ajouter des types d’objets spécifiques (user/computer)
 DSAMAIN.exe : Monter des sauvegardes ou des clichés instantanés d’AD DS
 DSBUTIL.exe : Assurer la maintenance de la base de données AD DS
 DSGET.exe : Visualiser les propriétés d’un objet donnée (user/computer)
 DSMGMT.exe : Gérer les partitions d’applications et les rôles de maîtres d’opérations
 DSMOD.exe : Modifier un objet existant d’un type donnée (user/computer)
 DSMOVE.exe : Transférer un objet à un autre emplacement de l’annuaire
 DSQUERY.exe : Rechercher dans l’annuaire un type d’objet donné
 DSRM.exe : supprimer un objet dans l’annuaire
 Observateur d’évènements : Auditer les journaux d’évènements Windows
 GPfixup.exe : Répare les dépendances de noms de domaines dans les GPO
 Group Policy Diagnostic Best Practices Analyzer : Vérifier les GPO
 Console gestion dela Stratégiede groupe : Créer, gérer, sauvegarder les GPO
 Ipconfig : Afficher et modifier les détails de la configuration IP
 Ksetup.exe : Configurer un client pour utiliser un domaine Kerberos V5
 Ktpass.exe : Configurer un service Kerberos non Windows
 LDIFDE.exe : Importer des données dans les instances AD LDS
 Ldp.exe : Effectuer des opérations LDAP dans l’annuaire
 Movetree.exe : Transférer des objets entre des domaines d’une forêt
 Netdom.exe : Gérer les comptes d’utilisateurs, les domaines et les approbations
 Nltest.exe : Vérifier l’état de la réplication ou les relations d’approbations
 Nslookup.exe : Afficher les informations sur les serveurs DNS
 Ntdsutil.exe : Assurer la maintenance de la base de données AD DS
 Repadmin.exe : Diagnostiquer et dépanner la réplication FRS
 Gestionnaire de serveur : Gérer les domaines AD DS existants ou les instances AD
LDS
 Moniteur système : Créer des graphiques des performances d’un serveur
 Ultrasound.exe : Outil graphique pour diagnostiquer la réplication FRS avec WMI
 W32tm.exe : Visualiser les paramètres, gérer la configuration Windows Time
 Sauvegarde de Windows Server : Sauvegarder ou restaurer AD DS ou AD LDS
- Une base de données AD DS fonctionne comme toutes les bases de données. Lorsqu’un
enregistrement est inscrit dans la base, le système alloue de l’espace supplémentaire.
Lorsqu’un enregistrement est détruit, l’espace alloué n’est pas récupéré. C’est pourquoi il est
important d’effectuer des tâches d’administration visant à compacter la base de données.
- Contrairement aux autres versions de Windows, pour effectuer la maintenance des

services AD DS, il n’est pas utile de redémarrer le contrôleur de domaine en mode
« Restauration des services d’annuaire » mais il est possible d’utiliser la « Maintenance Hors
ligne ».
- Le service AD DS compacte automatiquement la base de données, mais ce compactage

ne récupère pas l’espace et se contente de réorganiser les données. Pour récupérer l’espace
perdu, il faut placer la base de données hors-ligne et exécuter une séquence de compactage et
de défragmentation.
- Dans Windows Server 2008, le service AD DS n’est qu’un service Windows qui peut
être arrêté et démarré comme n’importe quel service Windows. Pour mettre un contrôleur
de domaine hors ligne et exécuter une maintenance, il faut qu’il y ait au minimum deux DC
dans le domaine. Lorsqu’on arrête le service AD DS, le DC communique avec un autre DC
afin de vérifier qu’au moins un DC est disponible en permanence au moment de l’arrêt.
- Windows Server 2008 possède 4 fonctionnalités qui augmentent la sécurité des

données :
 Protection des objets contre une suppression accidentelle

 Audit de l’accès aux services AD DS, qui permet la journalisation des anciennes et
nouvelles valeurs et permet de retourner à la valeur d’origine lorsque les propriétés
d’un objet ont été modifiées.
 Le conteneur « tombstone » qui permet de stocker tous les objets supprimés de
l’annuaire. Un objet supprimé dispose d’une période de grâce durant laquelle il peut
encore être récupéré.
 Les fonctionnalités de sauvegarde et restauration prises en charge par l’utilitaire de
sauvegarde Windows Server.
- La protection des données contre les suppressions accident est activée par défaut pour
les objets unité d’organisation. Pour les autres objets, il faut activer cette option explicitement
via l’onglet « Objet » de l’objet sélectionné :
- L’audit des modifications de l’annuaire permet de journaliser toutes les modifications

apporter aux différents objets. Toutes les modifications sont enregistrées avec un ID
d’évènement unique dans le journal des modifications du service d’annuaire. Il est possible de
vérifier qu’elle était l’ancienne valeur et la nouvelle apporté à l’objet pour corriger les
modifications qui n’avaient pas lieu d’être.
- Lorsqu’un objet est supprimé de l’annuaire accidentellement, il est possible de le

récupérer via la commande « Ldp.exe » tant que la période de grâce n’a pas expiré. La
restauration d’un objet avec cet utilitaire récupère seulement l’objet et son SID mais ne
permet pas de récupérer le reste de ses attributs. Il faudra donc les spécifier à nouveau.
- L’utilitaire « Quest Object Restor for Active Directory » permet également de

restaurer des objets supprimés qui sont encore contenue dans le répertoire « Deleted
Objects,DC=contoso,DC=com ». Ce conteneur des objets supprimé s’appel « conteneur
tombstone ». La restauration d’un objet avec cet utilitaire récupère seulement l’objet et son
SID mais ne permet pas de récupérer le reste de ses attributs. Il faudra donc les spécifier à
nouveau.
- Tout objet supprimé de l’annuaire à un délai de grâce de 180 jours par défaut. Les
objets sont déplacé dans le répertoire « Deleted Objects ». Au-delà de cette période, les
objets sont définitivement supprimés de l’annuaire par les opérations de nettoyage de la base
de données.
- L’utilitaire de sauvegarde Windows permet de restaurer des objets supprimés tout en

conservant tous les attributs de l’objet. Windows Server 2008 possède un outil qui permet de
monter une base de données Active Directory à partir d’un jeu de sauvegarde afin de
visualiser le contenu avant l’opération de restauration. Lorsqu’on utilise l’utilitaire de
sauvegarde Windows, il est possible d’exécuter plusieurs opérations :
 Sauvegarder le serveur entier, y compris son système d’exploitation

 Ne sauvegarder que les données sur l’état du système, qui comprennent les données de
configuration du serveur et la base de données de l’annuaire, Ntds.dit.
 Restaurer les données ne faisant pas autorité, qui seront ajoutées au DC mais seront
actualisées par la réplication multi maître quand le DC sera reconnecté
 Effectuer des installations IFM (Install From Media) d’un DC qui s’appuient sur une
copie de Ntds.dit venant d’un autre DC pour réduire le volume de réplication
nécessaire pour créer le DC durant l’installation.
Les sauvegardes sont effectuées avec Windows Server Backup ou avec l’outil en ligne de
commande correspondant « Wbadmin.exe ». Ce sont des fonctionnalités qui doivent être
ajouté au serveur.
Il n’est pas possible de faire une sauvegarde sur un lecteur de bande ou des volumes
dynamique. Il faut des lecteurs réseau, des disques durs amovibles ou des DVD/CD.
- Si un serveur tombe en panne, il est possible d’utiliser WinRE (Windows Recovery

Environment) pour restaurer le système. WinRE peut être installé localement ou localisé sur
le support d’installation de Windows Server 2008.
- Pour utiliser la sauvegarde avec Wbadmin.exe, il suffit d’exécuter une ligne de

commande :
 Wbadmin start backup –allcritical –backuptarget :[chemin cible] –quiet
- Pour utiliser la sauvegarde avec Windows, il faut aller dans les outils d’administration
et démarrer « Sauvegarde de Windows Server » :
- Lorsque l’on sauvegarde l’état du système sur un serveur exécutant le rôle AD DS, les
données sauvegardées sont les suivantes :
 Le registre
 La base de données d’enregistrement de classes COM+
 Les fichiers de démarrage
 Les systèmes de fichiers protégés par WRP (Windows Resource Protection)
 La base de données des services de domaine Active Directory (Ntds.dit)
 Le répertoire SYSVOL (GPO du domaine / Scripts d’ouverture de session)
- La sauvegarde Windows Server prend en charge 3 modes de restauration :

 Restauration complète du serveur
 Restauration de l’état du système seulement
 Restauration d’un fichier ou d’un dossier seulement
- Pour créer une sauvegarde complète, il suffit de lancer l’utilitaire « Sauvegarde de

Windows Server » après avoir installé la « fonctionnalité de la sauvegarde Windows
Server ».
- Pour planifier une sauvegarde de Windows Server, il faut lancer l’utilitaire

« Sauvegarde de Windows Server » depuis les outils d’administration, puis de cliquer sur
« Planification de la sauvegarde » dans le menu « Actions » :
NB : Il n’est pas possible d’utiliser des lecteurs mappés avec « Sauvegarde de Windows
Server »
- pour planifier une sauvegarde avec l’utilitaire « wbadmin.exe », il faut exécuter les
lignes de commandes suivantes :
 Identifier l’identificateur du disque : wbadmin get disks > diskidentifers.txt

 Planifier : wbadmin enable backup –addtarget:IDdisque –schedule:heures –
include:disquessource
Exemple : wbadmin enable backup –addtarget:{f0e2788d-0000-0000-0000-

000000000000} –schedule:21:00,06:00 –include:C:
Cette commande planifie une sauvegarde du disque C:\ à 9h et à 18h sur le disque cible
désigné par le GUID spécifié.
NB : La cible sera formatée à chaque nouvelle exécution de la sauvegarde planifiée.
- Pour restaurer des données sur un DC, il n’est pas possible de le faire pendant le
système est en cours d’exécution. Il faut impérativement redémarrer le DC en mode DSRM
(Directory Services Restore Mode). Il suffit de redémarrer le serveur, d’appuyer sur la touche
F8 pendant le démarrage et de sélectionner « mode de restauration des services
d’annuaire ».
- DSRM restaure les données de l’annuaire, tandis que WinRE récupère le système
entier.
- Avec Windows Server 2008, il est possible de visualiser le contenu des données avant
d’entamer une restauration. Pour cela, il suffit de monter le jeu de données avec l’outil de
montage des clichés instantanées de la base de données.
- Pour créer un cliché instantané de la base de données, il faut taper la commande

suivante :
 Ntdsutil « activate instance NTDS » snapshot create quit quit
- Une fois le cliché instantané créé, il est possible de le monter et de le charger en tant
serveur LDAP pour en visualiser son contenu (Voir TP).
- Pour restaurer des données, il est donc possible d’utiliser soit l’utilitaire de
« Sauvegarde Windows Server », soit la ligne de commande « wbadmin ». Pour restaurer
les données de l’annuaire, il faut effectuer une restauration du système en utilisant les lignes
de commandes suivante en mode DSRM (Directory Services Restore Mode) :
 Redémarrer le DC en « Mode restauration des services d’annuaire » :
- Exécuter cette ligne de commande pour lister les sauvegardes disponibles :
 Wbadmin get versions –backuptarget :[lecteur] –machine:[nomserveur]
- Exécuter cette ligne de commande pour récupérer l’état du système à partir d’un
backup :
 Wbadmin start systemstaterecovery –version :[date] –backuptarget:[lecteur] –
machine:nomserveur –quiet
- Lorsque la restauration est terminée, il faut redémarrer le serveur en mode normal. AD

DS sait qu’il a été récupéré à partir d’une sauvegarde et vérifie l’intégrité de la base de
données.
- Pour exécuter une sauvegarde faisant autorité, il faut marquer les données en tant que
telles en tapant les commandes suivantes en mode DSRM :
 Ntdsutil « authoritative restore » “restore database” quit quit
NB : La commande « Restaure Database » marque toutes les données de la base de données

NTDS.dit du contrôleur de données comme faisant autorité. Pour restaurer une portion de
l’annuaire, il faut utiliser la commande restore dans ntdsutil :
 Restore subtree OU=OUname,DC=nomDC,DC=nomDC
- Pour la tolérance aux pannes, installer un DC sur une machine virtuelle est une bonne
pratique car en cas de crash, il suffit de revenir à une version précédente de la VM. Une fois
restauré, la réplication multi maître se charge du reste pour effectuer les mises à jour.
- Le service VSS (Volume Shadow Copy Service) sous Windows Server 2008, prend
des clichés instantanés du contenu d’un disque à intervalles réguliers. En cas de pertes de
données, il suffit d’utiliser les versions précédentes. Cette fonctionnalité est présente par
défaut dans Windows Server 2008 et Windows Vista. Chaque cliché VSS pèse 100 Mo, car
il ne capture que les pointeurs de disques et non la structure de disque entière. Il est possible
de stocker jusqu’à 512 clichés à la fois. Quand on atteint ce maximum, VSS écrase
automatiquement les clichés les plus anciens. C’est pourquoi il faut dimensionner les disques
en conséquence.
- Pour activer les clichés instantanés, il suffit d’ouvrir les propriétés d’un lecteur et de
cliquer sur l’onglet « clichés instantanées ». Pour configurer le service VSS, il faut cliquer
sur « Paramètres » puis sur le bouton « Activer » pour mettre en place les VSS :
- Il est également possible d’activer les clichés instantanés via une ligne de commande :
 Vssadmin add shadowstorage /for=d : /on=e: /maxsize=6000mb

 Vssadmin create shadow /for=d:
 Vssadmin list shadowstorage
 Vssadmin list shadows
- Les planifications de clichés instantanés sont des tâches planifiées. Pour contrôler une
tâche planifiée, il est possible d’utiliser la commande « Schtasks.exe » (Schedule Tasks) ou le
planificateur de tâches depuis la console de Gestion de l’ordinateur :
- Pour identifier les goulets d’étranglement, il est possible d’utiliser les outils suivants :
 Gestionnaire des tâches

 Observateur d’évènements
 Moniteur de fiabilité
 Analyseur de performances
 Gestionnaire de ressources système Windows (WSRM, Windows System
Manager)
- Dans l’onglet « Performances » du « Gestionnaire des tâches », il y a un bouton

« Moniteur des ressources » qui permet d’afficher des graphiques sur l’utilisation de l’UC,
du disque, du réseau et de la mémoire en une seule fenêtre :
- L’observateur d’évènements permet d’obtenir des informations essentielles sur l’état

de santé du système. Par défaut, l’observateur d’évènements maintient les journaux Windows
suivant :
 Application
 Sécurité
 Configuration
 Système
 Evènements transmis
- Les contrôleurs de domaine hébergent des journaux supplémentaires dédiés aux
services AD DS :
 Réplication DFS
 Service d’annuaire
 Serveur DNS
- Le moniteur de fiabilité est un outil qui permet d’identifier les problèmes potentiels.
Ce dernier conserve les traces des modifications apportées à un système (Modification
système, installations ou désinstallations de logiciels, défaillances des applications, pannes
matériels…)
- L’analyseur de performances est un outil qui permet de tracer des données de

performances sur un système.
- WSRM (Windows System Ressources Manager) est une nouvelle fonctionnalité de

Windows Server qui permet de profiler des applications afin de déterminer les ressources
nécessaires à une application. Cette fonctionnalité permet également de fonctionner en mode
de gestion des processus exécuté sur un serveur afin surveiller la charge de chaque processus,
utilisateurs ou sessions et bloquer l’un des processus qui aurait dépassé son seuil autorisé.
L’ensemble de ces règles de gestion ne s’applique pas si la charge totale du serveur n’excède
pas 70% du CPU.
Chapitre 14
- AD LDS (Active Directory Lightwey Directory Services) est un annuaire autonome

dédié aux applications. Certaines applications nécessitent de modifier le schéma Active
Directory pour fonctionner. Il est recommandé de modifier le moins possible le schéma. Pour
installer ce type d’applications, il est recommandé d’utiliser AD LDS qui est une portion de
l’annuaire AD DS dédié à l’installation des applications. Chaque application spécialisée peut
posséder sa propre instance AD LDS. Les modifications du schéma n’auront lieu que sur
l’instance AD LDS dédiée et pas sur le schéma AD DS.
- Les instances AD LDS sont basées sur le protocole LDAP.

- AD LDS n’est qu’une sorte d’application que l’on installe sur un serveur ou un poste
client.
- AD LDS ne supporte pas les stratégies de groupe.
- AD LDS peut être installé ou désinstallé sans redémarrage du système.
- AD LDS peut utiliser sur la réplication multi maître pour assurer la cohérence des
données.
- AD LDS peut être installé et configuré indifféremment sur des installations complètes
ou minimales de Windows Server 2008.
- Il faut autant que possible éviter d’installer AD LDS sur des contrôleurs de domaine.
La cohabitation avec le rôle AD DS fonctionne très bien mais il est recommandé de
considérer AD LDS comme un rôle spécial du réseau.
- Pour désinstaller AD LDS, il faut d’abord supprimer toutes les instances AD LDS
existante, puis employer le « Gestionnaire de server » pour enlever le rôle AD LDS.
- Pour installer AD LDS, il suffit de rajouter le rôle depuis le « Gestionnaire de

server ». Sur une installation minimale de Windows Server 2008, il faut procéder de la
manière suivante :
 Identifier le package à installer en tapant : oclist | more

 Installer le package : start /w ocsetup DirectoryServices-ADAM-ServerCore
NB : Lorsque l’on installe le package, il faut faire attention à la casse.
- L’installation d’AD LDS sur une installation complète va créer 20 fichiers et 2 sous-
dossiers dans le répertoire %SystemRoot%\ADAM
- L’installation d’AD LDS sur une installation minimale va créer 19 fichiers et 1 sous-
dossier dans le répertoire %SystemRoot%\ADAM
- Le répertoire %SystemRoot%\ADAM contient des fichiers « *.LDF » qui sont

utilisés pour peupler les instances d’AD LDS quand elles sont créés.
- Pour créer une instance AD LDS, les éléments suivant doivent être réunis :
 Un disque de données présent sur le serveur, distinct du système d’exploitation, qui

servira à héberger les bases de données de l’annuaire.
 Un nom significatif pour l’instance AD LDS qui servira à identifier l’application qui
sera attachée à l’instance.
 Définir les ports qui seront utilisés pour communiquer avec l’instance. Bien qu’il est
possible d’utiliser les mêmes ports que les services AD DS, il est toutefois
recommandé d’utiliser la plage 50 000.
 Définir le nom de la partition d’application qui sera utilisé avec l’instance.
 Un compte de service pour faire fonctionner l’instance. S’il existe plusieurs
instances, il est recommandé d’utiliser un compte de service nommé pour chaque
instance plutôt que d’utiliser le compte Service réseau par défaut. La bonne pratique
veut que l’on crée un compte de domaine portant le même nom que l’instance AD
LDS, et que ce compte bénéficie des droits « Ouvrir une session en tant que service »
dans la stratégie locale de chaque serveur qui hébergera l’instance.
 Définir un groupe qui contiendra les comptes d’utilisateurs qui administreront
l’instance.
 Déposer tous les fichiers LDIF supplémentaires dans le dossier
%SystemRoot%\ADAM. Il est également possible d’importer des fichiers LDIF par
la suite.
NB : Petit rappel sur les ports AD DS et AD LDS :
 Port LDAP : 389

 Port LDAP sur SSL / Secure LDAP : 636
 Port Catalogue Global : 3268
 Port Catalogue Global Sécurisé : 3269
- Les fichiers LDIF par défaut sont les suivants :
 MS-ADAM-Upgrade-1.ldf : Met le schéma d’AD LDS au niveau de la dernière

version
 MS-adamschemaw2k3.ldf : Pré requis pour synchroniser une instance avec Active
Directory sous Windows Server 2003
 MS-adamschema2K8.ldf : Pré requis pour synchroniser une instance avec Active
Directory sous Windows Server 2008
 MS-AdamSyncMetedata.ldf : Requis pour synchroniser les données entre la forêt
AD DS et une instance d’AD LDS via ADAMSync
 MS-ADLDS-DisplaySpecifiers.ldf : Requis pour le composant logiciel enfichable
Sites et services Active Directory
 MS-AZMan.ldf : Requis pour supporter le Gestionnaire d’autorisations Windows
 MS-InetOrgPerson.ldf : Requis pour créer les classes d’utilisateurs InetOrgPerson
 MS-User.ldf : Requis pour créer les classes d’utilisateurs et les attributs associés
 MS-UserProxy.ldf : Requis pour créer une classe userProxy élémentaire
 MS-UserProxyFull.ldf : Requis pour créer une classe userProxy complète
- Pour migrer une instance précédente de LDAP ou ADAM vers AD LDS, il faut
d’abord exporter les données au format « *.ldif » puis les importer à l’aide de la commande
LDIFDE.
- Pour exporter une instance avec LDIFDE, il faut taper la commande suivante :
 Ldifde –f [NomDeFichier] –s [NomDeServer:NuméroDePort] –m –b

[NomUtilisateur] [NomDomaine] [MotDePasse]
- Pour importer une instance avec LDIFDE dans AD LDS, il faut taper la commande
suivante :
 Ldifde –i [NomDeFichier] –s [NomDeServer:NuméroDePort] –m –b

[NomUtilisateur] [NomDomaine] [MotDePasse]
NB : Le commutateur « –h » permet d’importer les mots de passe de l’instance héritée. Ce

commutateur chiffrera tous les mots de passe en utilisant SASL (Simple Authentification
Security Layer).
- AD LDS crée des journaux pendant la création de l’instance. Ces fichiers sont localisés
dans le dossier %SystemRoot%\Debug et sont nommés ADAMSetup.log et
ADAMSetup_loader.log.
- Pour importer l’un des fichiers « *.ldif » présent dans le répertoire

%SystemRoot%\ADAM, il faut taper la commande suivante :
 Ldifde –i –f MS-ADLDS-DisplaySpecifiers.ldf –s [NomDeServer:NomDePort] –m

–a [NomUtilisateur] [NomDomain] [MotDePasse]
Chapitre 15
- Le rôle AD CS est basé sur une infrastructure à clé publique (PKI, Public Key
Infrastructure)
- AD CS peut fournir des services de certificat à l’intérieur et à l’extérieur du réseau
- AD CS comprend les composants suivants :
 Autorités de certification (CA) : Les CA (Certificate Authority) sont des serveurs

qui peuvent émettre et gérer des certificats. AD CS prend en charge les CA racine et
les CA secondaires, ou enfants.
 Inscription via le web : C’est une interface web à laquelle les clients peuvent se
connecter pour demander un certificat, utiliser des cartes à puce ou obtenir des listes
de révocation de certificat (CRL, Certification Revocation Lists).
 Répondeur en ligne : Permet de répondre à des requêtes de validation spécifique et
met en œuvre le protocole OCSP (Online Certificate Status Protocol). Ce système
évite de demander une liste de révocation des certificats complète et permet de
soumettre une demande de validation pour un certificat donné.
 Service d’inscription de périphérique réseau : permet d’affecter des certificats à des

équipements réseau tel que des routeurs, des switchs, ou firewall. Grâce aux services
d’inscription NDES (Network Device Enrollment Service) et SCEP (Simple
Certificate Enrollment Protocole), ces équipements qui exécutent des systèmes
d’exploitation de bas niveau peuvent aussi participer à une PKI gérée et maintenue par
une installation AD CS.
- AD CS prend en charge deux types de CA : CA Autonome et CA d’entreprise
- Une CA autonome n’est pas nécessairement intégré dans un service d’annuaire et peut
s’exécuter sur des postes de travail. Ce type de CA est souvent utilisé comme CA racine
interne et placées hors ligne pour des raisons de sécurité après qu’on les a utilisées pour
générer des certificats. Les CA autonomes peuvent s’exécuter sur Windows Serveur 2008
Standard Edition, Windows Server 2008 Enterprise Edition et Windows Server 2008
Datacenter Edition.
- Une CA d’entreprise est intégré à un service d’annuaire AD DS. Ce type de CA émet

des certificats aux utilisateurs finaux et aux autres d’extrémités. Comme ce type de CA est
intégré à AD DS, une CA d’entreprise peut émettre et approuvé des certificats
automatiquement en réponse aux requêtes des membres de l’annuaire. Les CA d’entreprises
peuvent s’exécuter sur Windows Server 2008 Enterprise Edition et Windows Server 2008
Datacenter Edition.
- Chaque fois qu’un certificat est présenté, ce dernier doit être validé par une CRL ou par
un répondeur en ligne.
- Pour accroitre la sécurité, il faut créer des hiérarchies de CA. Mais attention tout de
même car toute attaque d’une CA de haut niveau ou racine compromet l’ensemble des
certificats qui en dépendent. C’est pourquoi il faut sécuriser les CA racine autant que
possible.
- Il est recommandé de créer une CA racine et au moins une CA émettrice. La CA
racine donnera un certificat à la CA émettrice pour fonctionner. Une fois que la CA
émettrice est opérationnelle, il faudra mettra la CA racine hors ligne pour empêcher toute
attaque éventuelle.
- Exemple de hiérarchie à deux couches :
- Exemple d’architecture à trois couches dans un déploiement géographique :
NB : Il est conseillé de ne pas créer d’architecture de plus de trois couches. Plus on crée de
couches et plus l’administration deviendra complexe.
- Affectation des CA selon le type de modèle :
Type de CA Une couche Deux couches Trois couches

CA d’entreprise (en CA autonome (hors CA autonome (hors
CA racine ligne) ligne) ligne)
CA autonome (hors
CA intermediaire ligne)
CA d’entreprise (en CA d’entreprise (en
CA éméttrice ligne ligne)
NB : Il faut éviter les infrastructures monocouche car elles sont difficiles à protéger
NB : Les CA racines et les CA intermédiaires doivent être mise hors ligne pour plus de
sécurité
NB : Il n’est pas possible de transformer une CA autonome en CA d’entreprise et vice versa

une fois AD CS installé, tout comme il n’est pas possible de renommer un serveur par la suite.
Il faut donc prévoir les noms de serveurs en conséquence pour les conserver longtemps.
NB : Il faut éviter d’installer AD CS sur un contrôleur de domaine même si cela est possible.
- Les certificats générés contiennent généralement deux clés : Une clé privée et une clé
publique. Pour chiffrer les données ont utilise la clé privée. Pour déchiffrer les données il
faudra utiliser la clé publique. Ce jeu de clé à une durée de vie limité qui nécessite un
renouvellement de la clé après expiration du certificat afin de générer un nouveau jeu de clés.
- Les CA racines fonctionnent avec un certificat dont la durée doit être la plus longue
possible. Il y a ensuite les CA intermédiaires et les CA émettrices qui possèdent également
un certificat. Il est possible de fixer un intervalle de 10 ans pour chaque couche de
l’architecture.
- Dans une architecture à trois couches, il est recommandé de définir 30 ans pour la CA
racine, 20 ans pour les CA intermédiaires et 10 ans pour les CA émettrices. Ensuite, on
peut affecter un ou deux ans aux certificats que l’on émettra pour les utilisateurs.
- Lorsqu’un certificat de serveur expire, tous les certificats enfants expirent également.
C’est pourquoi il faut donner une durée de vie plus longue aux serveurs.
- Il y a révocation quand on doit annuler un certificat pour une raison donnée. La

révocation est la seule méthode pour invalider un certificat mal utilisé.
- La CPS (Certificate Practice Statement) est un document qui relate la politique de

gestion des certificats ainsi que la politique de révocation. Ce document doit être remis aux
utilisateurs sous quelconque forme sur Internet ou des intranets.
- Le rôle AD CS ne peut pas être installé sur Server Core et nécessite une installation
complète de Windows Serer 2008.
- AD CS ne peut être installé sur des serveurs basé sur Itanium.
- Il faut penser à sauvegarder chaque CA émettrice avec des sauvegardes :
- Pour restaurer une autorité de certification, il suffit d’opérer comme suit :

Chapitre 16
- AD RMS permet d’assurer l’intégrité des données. A l’image des DRM sur les
morceaux de musique, Windows Serveur 2008 améliore le service AD RMS de Windows
Server 2003 afin d’apporter une fonctionnalité de protection supplémentaire pour la propriété
intellectuelle.
- AD RMS s’intègre aux services AD DS et peut également avoir recours aux Services
de Certificat Active Directory. AD CS peut générer les certificats de l’infrastructure à clés
publiques (PKI) qu’AD RMS peut incorporer dans des documents.
- AD FS étend les stratégies AD RMS au-delà du pare-feu.
- AD RMS s’appuie sur une base de données SQL Server 2005 ou 2008 pour y stocker
la configuration et la journalisation d’AD RMS. Dans un environnement de test, il est
possible d’installer AD RMS sur une base de données locale WIS (Windows Internal
Database), qui ne prend pas en charge les connexions à distance.
- AD RMS fonctionne avec un client AD RMS. Ce client est déjà présent dans les
versions de Windows Vista, Windows 7 et Windows Server 2008.
- Les services Internet IIS (Internet Information Services) 7.0 offrent des services web
dont dépendent AD RMS.
- La première fois qu’on installe AD RMS, on créé un cluster racine AD RMS par
défaut. Ce cluster est conçu pour gérer les requêtes de certificat.
- AD RMS est administré via une « mmc ».

- Un serveur AD RMS s’auto-inscrit lors de la création. L’inscription crée un certificat
de licence serveur (SLC, Server Licensor Certificate), ce qui lui permet de s’exécuter
également sur des réseaux isolés sans accès Internet.
- AD RMS contient 4 rôles d’administration qui permettent de déléguer des tâches :
 Administrateur d’entreprise : Permet de gérer tous les aspects du service

 Administrateur de modèles : Permet de lister, créer, modifier et exporter des
modèles de stratégie de droits
 Auditeurs AD RMS : Permet de gérer des journaux et des rapports.
 Groupe de service AD RMS : Contient le compte de service lié à AD RMS
- Un modèle de stratégie de droits AD RMS est une définition des actions autorisé ou
refusé sur une ressource (Autorisation de lire, écrire, copier, imprimer ou coller).
- AD RMS n’est pas pris en charge et ne s’exécute pas dans les installations Server Core
de Windows Server 2008.
- AD RMS utilise des licences au format XrML (Extensible Rights Markup Language)
- Les prés requis pour l’installation d’AD RMS :
 Processeur : un Pentium 4,3 GHz (Recommandé : Deux processeurs Pentium 4,3

GHz)
 RAM : 512 Mo (Recommandé : 1024 Mo)
 Espace disque : 40 Go (Recommandé : 80 Go)
 OS : Windows Server 2008 sauf Web Edition et systems bases sur Itanium
(Recommandé : Windows Server Enterprise Edition ou Datacenter)
 Système de fichiers : FAT32 ou NTFS (Recommandé : NTFS)
 Messagerie : Message Queuing
 Service Web : IIS avec ASP.NET
- Les considérations d’AD RMS :
 URL du serveur Web : Réserver des URL qui ne changeront pas

 AD DS : Un domaine AD DS exécutant Windows 2000 SP3, Windows Server 2003
ou Windows Server 2003
 Emplacement de l’installation : AD RMS doit être installé sur le même domaine que
les utilisateurs
 Comptes d’utilisateur du domaine : Adresse de messagerie configurée dans AD DS
 Compte de service : Le compte doit être du domaine
 Serveurs de base de données : WID (Windows Internal Database) ou SQL Server
2005 avec SP2
 Certificat d’installation : Il faut un certificat SSL pour le cluster AD RMS.
 Protection de l a clé du cluster : Stockez la clé du cluster dans la base de données de
configuration AD RMS
 Configuration DNS : créez des enregistrements CNAME personnalité pour l’URL du
cluster racine et le serveur de base de données
 Client activé pour AD RMS : Un navigateur ou une application activée pour AD
RMS (Word, Outlook, PowerPoint, IE)
 Système d’exploitation client : Windows Vista, Windows 7 ou Windows XP avec
le client AD RMS
- Certificats AD RMS :
 Certificat de licence serveur : Certificat auto-signé et généré à l’installation (250

ans)
 Certificat de compte de droits : Transmis à des utilisateurs approuvés (certificat RM)
 Certificat de licence client : Généré lors du lancement d’une application protégé
 Certificat d’ordinateur : Est créé lors de l’activation d’une application pour RMS
 Licence de publication : Est créé lorsqu’un utilisateur enregistre du contenu protégé
 Licence d’utilisation : Attribué à un utilisateur qui ouvre un contenu protégé

Preparation Pour 70-640

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Preparation Pour 70-640

Transféré par

Droits d'auteur :

Formats disponibles

Voici tout ce qu’il vous faut savoir en vue d’un passage de la certification 70-640

- Microsoft Windows Server 2008 existe en version 32 ou 64 bits.

- L’infrastructure IDA se charge de :

- L’infrastructure IDA est composée de 5 technologies :

 AD FS : Active Directory Federation Services

- AD DS : Active Directory Domain Services : [ANNUAIRE]

 Ce composant de l’infrastructure IDA permet de fournir un service d’authentification

- AD LDS : Active Directory Lightweight Directory Services : [APPLICATIONS]

- AD CS : Active Directory Certificate Services : [CERTIFICATS]

 Ce composant est l’équivalent d’une autorité de certification dans un domaine Active

- AD RMS : Active Directory Rights Management Services : [INTEGRITE]

- AD FS : Active Directory Federation Services : [APPROBATION]

 Ce composant de l’infrastructure IDA permet l’approbation des environnements

- Le schéma Active Directory :

- Les services de réplication distribuent les données de l’annuaire à travers le réseau.

- LDAP : Lightweight Directory Access Protocol

 Ce protocole permet d’interroger et de modifier un service d’annuaire.

- La base de données Active Directory :

 Stocké dans un fichier sur un contrôleur de domaine à l’emplacement suivant :

 La base de données Active Directory est divisé en plusieurs partitions :

- Les contrôleurs de domaine :

 Egalement appelé DC, hébergent le rôle AD DS

 Un domaine est une unité administrative au sein de laquelle certaines fonctionnalités

 C’est un regroupement de plusieurs domaines Active Directory.

- Il existe trois niveaux fonctionnels de domaine sous Windows Server 2008 :

 Windows 2000 natif

- Il existe deux niveaux fonctionnels de forêt sous Windows Server 2008 :

 Windows Server 2003

- Une unité d’organisation (OU, Organizational Unit) :

 Un site Active Directory est un objet spécifique.

- Il existe deux types d’installation de Microsoft Windows Server 2008 :

 Complète : Basé sur une interface graphique habituelle.

- Il existe deux méthodes d’installation de Microsoft Windows Server 2008 :

 Manuelle : Appliquez « Install.wim » et utilisez le fichier « Unattend.xml » pour

- Pré requis d’installation d’un contrôleur de domaine (Ajout du rôle AD DS) :

 Il faut posséder le nom du domaine DNS / Netbios

- L’ajout de rôles s’effectue via la console « Gestionnaire de serveur ».

- Pour créer un contrôleur de domaine, il suffit d’ajouter le rôle « AD DS » puis de taper

- Après l’installation, la fenêtre « Tâches de configuration initiales » s’affiche afin de

- La console « Gestionnaire de serveur » permet d’administrer Windows Server 2008.

- Lorsqu’on exécute la commande « dcpromo » sur un contrôleur de domaine sur lequel

- Le premier contrôleur de domaine d’une forêt devient le « Catalogue Globale » (GC,

- Lors de l’installation d’Active Directory, il est recommandé de séparer l’emplacement

 Les journaux systèmes

- L’installation minimale de Windows ne possède pas d’interface graphique. Il n’est pas

- L’installation minimale prend en charge « 9 rôles » et « 11 fonctionnalités ».

- Commandes de bases d’un « Server Core » :

 Modifier le mot de passe administrateur : Net user administrator *

- Une console « mmc » possède 4 modes différents :

 Mode auteur : Personnalisation complète

- Le composant logiciel enfichable « Schéma Active Directory » n’est pas disponible

- RSAT (Remote Server Administration Tool) : C’est l’équivalent de l’Admin Pack

- Pour créer une console d’administration personnalisée, il suffit de taper la commande

- Lors de la création d’une OU, on a désormais la possibilité de la protéger des

- Lorsque l’on tente de supprimer une OU protégé par « la suppression accidentelle »,

- Pour supprimer une OU protégée contre « la suppression accidentelle », il suffit

- Un suffixe UPN « User Principal Name » correspond au nom d’utilisateur dans un

- « Les requêtes sauvegardées » : C’est une fonction introduite depuis Windows

- L’option « requêtes sauvegardée » n’apparait pas la console « Utilisateurs et

- La commande « DSQUERY » permet de trouver des objets dans l’Active Directory.

 DSquery user : permet de rechercher des utilisateurs

Exemple : dsquery user –name James*

- DN (Distinguished Name) : Représente le chemin d’accès complet d’un objet dans