Vous êtes sur la page 1sur 78

02/02/2015

System
Center
Orchestrator
2012
Table des matières

I. Introduction ..................................................................................................................................... 3
A. Généralités .................................................................................................................................. 3
B. Nouveautés par rapport à Opalis ................................................................................................ 8
C. Positionnement d’Orchestrator par rapport à la concurrence ................................................... 8
D. Fonctions d'Orchestrator............................................................................................................. 9
II. Objectifs......................................................................................................................................... 12
III. Architecture et Composants Orchestrator 2012 ........................................................................... 24
A. Architecture ............................................................................................................................... 24
B. Façon dont Orchestrator traite un Runbook ............................................................................. 26
C. Autorisations ............................................................................................................................. 27
D. Automatisation à l'aide de Runbook ......................................................................................... 27
E. Exemple d’architecture ............................................................................................................. 28
A. Les comptes et les groupes de services..................................................................................... 30
a. Compte Orchestrator Management Service ......................................................................... 30
b. Compte de service Orchestrator Runbook Server Monitor .................................................. 32
c. Compte Orchestrator Runbook Service................................................................................. 32
d. Groupe d'utilisateurs Orchestrator ....................................................................................... 34
B. Sécurité de base de données Orchestration ............................................................................. 35
a. Rôles de la base de données ................................................................................................. 35
b. Sécurisation des connexions à SQL Server ............................................................................ 36
c. Clés de chiffrement ............................................................................................................... 36
C. Sécurité des Runbook ................................................................................................................ 38
D. Service Web Orchestrator et sécurité de la console Orchestration.......................................... 38
E. Utilisation du pare-feu Windows avec Orchestrator ................................................................ 39
Configuration d'ordinateurs Orchestrator ........................................................................................ 39
F. Chiffrement des données Orchestrator .................................................................................... 42
a. Pratiques recommandées pour les variables chiffrées ......................................................... 42
b. Quelles données sont chiffrées et déchiffrées dans Orchestrator ? ..................................... 43
c. Comment les données chiffrées sont-elles gérées dans Orchestrator ?............................... 44
d. Comment les données chiffrées peuvent-elles être déplacées d'une instance Orchestrator
vers une autre ? ............................................................................................................................. 46
V. Planification du déploiement ........................................................................................................ 47

1
A. Configuration requise ................................................................................................................ 47
a. Matériel ................................................................................................................................. 47
b. Système d’exploitation .......................................................................................................... 48
c. Prérequis logiciels .................................................................................................................. 48
d. Installer Orchestrator dans une machine virtuelle ............................................................... 50
B. Comment installer Orchestrator sur un seul ordinateur........................................................... 51
Pour activer la détection du réseau pour Runbook Designer ........................................................... 55
Pour installer le Orchestrator service web ........................................................................................ 56
VI. Runbook Design............................................................................................................................. 59
A. Préparation scénarios Runbook ................................................................................................ 59
B. Faire un scenario d’automatisation........................................................................................... 62
VII. Premier runbook : ......................................................................................................................... 66
VIII. Intégration Pack pour Active Directory ......................................................................................... 72
A. Introduction : ............................................................................................................................. 72
B. Nouvel Utilisateur dans l’Active Directory ................................................................................ 73
C. Ajout d’utilisateurs dans un groupe Active Directory ............................................................... 74

2
I. Introduction

A. Généralités

Microsoft System Center 2012 est la solution de Microsoft pour le cloud et


la gestion de centre de données ainsi que la gestion et la sécurité de la
machine cliente.

Depuis ses origines il y a près de 20 ans la solution était utilisé


principalement pour de la gestion de bureau,

System Center a évolué pour devenir une entreprise leader solution de


gestion à l'échelle, et l'infrastructure de cloud physiques, virtuels y compris
les dispositifs applications et services.

System Center 2012 est composé d'une suite de composants, chacun axé sur
une partie de la gestion du cycle de vie des infrastructures comme
l'approvisionnement, la surveillance, sauvegarde,…

3
System Center Virtual Machine Manager

System Center Virtual Machine Manager (SCVMM) permet l’administration


centralisée d’une infrastructure virtuelle (Hyper-V, Virtual Server et
Vmware), accroît le taux d’utilisation d’un serveur physique, et facilite
l’ajout rapide de nouveaux systèmes virtuels par l’administrateur et les
utilisateurs : créer, configurer et déployer de nouvelles machines virtuelles,
et gérer de manière centralisée les infrastructures virtuelles.

Le serveur SCVMM permet de gérer le parc des serveurs hôtes au sein d’une
entreprise, cette application prend un sens lorsque le parc de serveurs
hôtes est supérieur à 25 machines pour des raisons de coût et de mise en
place. Grâce à SCVMM il est bien plus simple d’administrer cet ensemble de
serveurs en y installant un simple agent sur l’ensemble des serveurs. Celui-
ci assure un lien entre l’hôte et SCVMM en passant par l’intermédiaire du
contrôleur de domaine. Il est possible d’administrer SCVMM par la console
d’administration locale ou distante, qui nécessite une installation en dur sur
la machine et qui prend comme paramètre de connexion le nom du serveur
SCVMM ou son adresse IP. On peut aussi passer directement par une
interface web, qui impose la mise en place d’un serveur IIS.

System Center Operation Manager

System Center
o Adaptation OperationetManager
aux organisations aux processus
o Délégation d’administration
o Connecteurs vers systèmes tiers 4
o Supervision de bout en bout
o Matériels
o Environnements de virtualisation
System Center 2012 – Operations Manager fournit une analyse de
l'infrastructure à la fois flexible et économique, contribue à assurer la
disponibilité et les performances prévisibles des applications critiques, et
offre une analyse complète pour votre centre de données et cloud, à la fois
privés et publics.

System Center Service Manager

Service Manager offre une plateforme intégrée dédiée à l'automatisation et


à l'adaptation des meilleures pratiques de gestion des services
informatiques de votre entreprise, telles que celles disponibles dans
Microsoft Operations Framework (MOF) et la bibliothèque Information
Technology Infrastructure Library (ITIL). Cette solution intègre des
processus de résolution des incidents et des problèmes, de contrôle des
modifications et de gestion du cycle de vie des ressources.

System Center Configuration Manager

Configuration Manager est un membre de la famille System Center de


Microsoft. Il est donc nommé le plus souvent SCCM, et la version 2012 est
donc naturellement appelée SCCM12, ou ConfigMgr12. Cette version est le
digne héritier de la lignée mais présente des évolutions significatives vis-à-
vis de la version 2007.

ConfigMgr permet de collecter des informations sur les ressources d’une


organisation (inventaires) et d’effectuer des actions telles que
télédistribution de logiciel ou prise de main à distance. La solution est de
type client-serveur : elle repose sur un client déployé sur les systèmes à

5
gérer et sur un ou plusieurs serveurs formant dans ce dernier cas une
hiérarchie. Les informations collectées sont enregistrées dans une base de
données SQL.

- Elle utilise l’architecture et plusieurs informations de l’Active Directory.

- Les services de télédistribution et de télé-inventaire impliquent


l’utilisation du réseau.

- La sécurité de la solution utilise Kerberos et peut être encore renforcée


en utilisant les mécanismes de PKI et d’authentification forte.

Très discipliné, le monde de Configuration Manager repose sur deux


principes simples :

- les ordres partent d’en haut (le serveur) et descendent vers les clients
- les informations remontent des clients vers le serveur
Dans tous les échanges, c’est systématiquement le client qui demande au
serveur s’il y a du « nouveau » le concernant. Le serveur ne contacte jamais
le client.

La plupart des fonctionnalités offertes sont optionnelles, et plusieurs


pilotent d’autres fonctionnalités de Windows (NAP, IIS, WSUS, PKI, WDS,
etc.). Sans même parler de SQL, autant dire que travailler sur ce produit,
loin de nous enfermer dans une technologie, nous ouvre sur une multitude
d’autres.

6
System Center Orchesrator 2012

System Center Orchestrator est un ordonnanceur de tâches. Il va ainsi faciliter l’exécution de processus récurrents ou
complexes. Vous pouvez choisir de programmer des tâches et de les exécuter automatiquement. On peut par exemple
imaginer le provisionnement automatique d'une machine virtuelle ou d'un poste de travail par le biais de runbooks
offerts par le produit.

Automatisation
Concepts cles
Activités Runbooks Bus de données Integration Packs

Ensemble de taches Workflow exécutant une Utilisé pour publier, consommerEnsemble de taches permettant
permettant de réaliser des série d’activités liées à des des informations telles que de réaliser une grande variété
actions génériques actions l’état des activités d’actions spécifiques

Invoke Web Services Run .Net


Send e-mail Compare Values
Script Create Recovery Point
Create Create Start Maint Shut Down Get Server ID from Get Data
Incident Checkpoint Mode VM DPM Sources

Clone Linux Return Data Check Schedule Query


VM Database

E-mail on Update on
error success

7
B. Nouveautés par rapport à Opalis

La première nouveauté notable est le changement de nom. En effet,


Opalis n’est plus et System Center Orchestrator est né. Il est intégré dans la
suite System Center 2012. Nous continuons dans le changement avec un
vocabulaire différent pour définir les composants d’Orchestrator. Voici les
changements majeurs à ce niveau : le terme policies devient runbook,
l’Opalis Console devient Runbook Designer Console.

Une nouveauté intéressante est l’apparition d’un service Web


donnant accès aux données et à des méthodes. Il y a de nombreuses
utilisation des services Web comme : génération de rapport,
démarrer/stopper des runbook ou encore attaquer le service via une
application tierce. De plus, Microsoft a redéveloppé la console web Java en
Silverlight.

Enfin, de nombreux « Integration Pack » sont apparus, principalement


pour les outils Microsoft mais bien entendu pour des produits très utilisé
dans les SI (VMware, HP, IBM).

C. Positionnement d’Orchestrator par rapport à la


concurrence

Les autres solutions d’orchestration sont :

· Atrium Orchestrator de BMC

· Process Automation de CA

· Workflow Studio de Citrix

· Operations Orchestrator de HP

· vCloud Orchestrator de VMware

L’orchestration est, en ce moment, concentré sur le Cloud privé. Il faut


donc savoir automatiser le processus de création de VM, d’ajout de
ressources en fonction d’alerte,... Un concurrent d’Orchestrator est VMware
vCloud Orchestrator. Il se concentre uniquement sur ces aspects.
Orchestrator peut faire tout aussi bien via les Integration Packs VMware.

8
Orchestrator peut améliorer le Système d’information en intégrant
une notion ITIL avec une communication avec les outils de gestion
d’incidents.

La force d’Orchestrator est ses Integration Packs qui permettent


d’ajouter de la fonctionnalité.

Ils permettent de répondre au mieux aux besoins en s’intégrant avec


les outils du SI existant.

D. Fonctions d'Orchestrator

Les administrateurs informatiques effectuent de nombreuses tâches et


procédures pour conserver l'intégrité de leur environnement informatique
à jour et maintenir l'activité. Ces tâches peuvent englober les activités
suivantes, par exemple, la configuration de comptes et de ressources pour
de nouveaux employés, l'intégration d'un système provenant d'un autre
fournisseur à la suite d'un rachat d'activité et l'approvisionnement en
nouveau matériel. Ces tâches et leurs sous-tâches sont automatisées, mais
en règle générale, l'ensemble du processus ne l'est pas. En outre, les
administrateurs doivent maintenir les niveaux de qualité et l'efficacité du
système. System Center 2012 - Orchestrator peut relier des tâches et
procédures disparates en utilisant l'interface utilisateur de Runbook
Designer pour créer des solutions de bout en bout fiables, souples et
efficaces dans l'environnement informatique.

Grâce à Orchestrator, vous pouvez effectuer les tâches suivantes :

- Automatiser les traitements dans votre centre de données, quel que


soit le matériel ou la plate-forme.
- Automatiser vos opérations informatiques et normaliser les pratiques
recommandées pour améliorer l'efficacité opérationnelle.
- Connecter différents systèmes provenant de différents fournisseurs
sans savoir utiliser des scripts et des langages de programmation.

Automatisation personnalisée

Orchestrator fournit des outils permettant de générer, tester, déboguer,


déployer et gérer l'automatisation dans votre environnement. Ces
procédures automatisées, appelées Runbook, peuvent fonctionner de façon
indépendante ou démarrer d'autres Runbook. Les activités standard
définies dans chaque installation d'Orchestrator fournissent divers
moniteurs, tâches et contrôles de Runbook qui vous permettent d'intégrer

9
une large gamme de traitements système. Chaque activité d'un Runbook
publie des données qui sont disponibles pour les activités suivantes dans ce
Runbook. Vous utilisez ces données publiées pour fournir des fonctions
dynamiques de prise de décision, qui peuvent inclure la création de courrier
électronique, d'alertes, de fichiers journaux, de comptes, etc.

Votre organisation informatique peut utiliser Orchestrator pour améliorer


son efficacité et réduire ses coûts opérationnels afin de gérer des objectifs
inter-services.

Orchestrator propose un environnement doté d'un accès partagé aux


données communes. Grâce à Orchestrator, vous pouvez faire évoluer et
automatiser les traitements clés entre les groupes et consolider les tâches
manuelles répétitives. Vous pouvez automatiser les traitements d'équipe
inter fonctionnelle et mettre en œuvre les pratiques recommandées pour la
gestion des incidents, des modifications et des services en créant des
Runbook personnalisés selon vos besoins. Par le biais de l'automatisation,
les tâches se répétant régulièrement réduisent le nombre d'activités
manuelles et susceptibles d'engendrer des erreurs au sein de votre
environnement. Orchestrator vous aide à augmenter la fiabilité et le
caractère prévisible de vos procédures informatiques.

Intégration entre plates-formes

Orchestrator s'intègre dans System Center, dans d'autres produits


Microsoft et dans des produits non Microsoft afin d'activer
l'interopérabilité à travers le système de données. Orchestrator améliore
l'efficacité dans plusieurs outils, systèmes et services en éliminant ou en
croisant la technologie et les structures de traitements organisationnels.
Vous pouvez étendre les fonctions d'Orchestrator grâce aux packs
d'intégration qui comprennent des fonctionnalités supplémentaires pour
les produits et technologies Microsoft et non Microsoft. Les activités et
packs d'intégration d'Orchestrator abaissent le nombre d'erreurs non
anticipées et réduisent le délai de livraison d'un service en automatisant les
tâches communes associés à d'autres outils et produits au sein de
l'entreprise.

Orchestration de bout en bout

Orchestration est le nom collectif pour la disposition, la coordination et la


gestion automatisées des systèmes, logiciels et pratiques. Elle permet la
gestion de traitements inter domaines complexes. Orchestrator fournit les
outils permettant à Orchestration d'associer logiciel, matériel et traitements

10
manuels au sein d'un système transparent. Ces outils vous permettent de
relier et d'automatiser les flux de travail.

Tout comme les entreprises de fabrication disposent de tâches


automatisées communes et répétables provenant de leurs processus de
production, vous pouvez adopter la même efficacité dans l'environnement
informatique en utilisant Orchestrator pour effectuer et suivre en toute
transparence vos traitements informatiques. Orchestrator peut gérer des
tâches de routine, la mise en œuvre de traitement et la fiabilité afin de
répondre aux demandes des plus entreprises les plus grandes. Orchestrator
s'intègre en toute transparence dans d'autres produits System Center pour
l'intégration de tâches administrative informatiques du début à la fin.

Structure extensible

Si vous possédez une solution interne personnalisée, Orchestrator fournit


une intégration extensible à tout système grâce à Orchestrator Integration
Toolkit.

Vous pouvez créer des intégrations personnalisées qui permettent à


Orchestrator de se connecter à tous les environnements.

Orchestrator utilise un service Web REST qui peut exécuter des traitements
tels que démarrer et arrêter des tâches de Runbook et obtenir des
informations de rapports au format OData (Open Data). Le service Web
permet de développer des applications qui utilisent des données
dynamiques provenant d'Orchestrator

11
II. Objectifs

Orchestrator dans System Center


Virtual Machine Manager

Operations Manager
Cloud public
CONFIGURATION
DÉPLOIEMENT

Libre- MODÈLE DE Fourniture des


SERVICE services et
Propriétaire service Cloud
automatisation Admin.
de l'appli CONTRÔLE
privé data
EXPLOITATION

Virtuel

App Controller Orchestrator Configuration Manager

Service Manager Service Manager Data Protection Manager


Physique

ADMINISTRATION DES APPLICATIONS FOURNITURE DES SERVICES ET ADMINISTRATION DE L’INFRASTRUCTURE


AUTOMATISATION

12
En application: Evolution de notre travail

Processus de
Modéliser
l’entreprise Industrialiser

13
Piloter la transformation

Identifier processus
IT Processus Gains en
IT productivité €
Indices : Consommateurs temps
« Je n’ai pas le temps »
« Ca ne marche pas »
« Ca ne va pas assez vite » Générateurs incidents

ORCHESTRATOR
Générateur délais
Processus
Accroissement
Métiers
Métier de la qualité
s
14
Exemples
Opérations régulières maintenance /
Exploitation métier – Lecture Logs - …
exploitation Vérifier comportement applications
Arrêt & redémarrage de serveurs / composants
Provisionning machines / ressources
Opérations à la demande Opérations de changement
Interfaçage avec catalogue de services

Identification Alerte (Scom / Nagios / Patrol, HP OV / …)


Gestion incident
Remédiation automatique

Standardisation des processus intégration des Support ServiceDesk (mot de passe, quotas, …)
outils Migration et interopérabilité de solutions

Scénarii fonctionnels
Arrivée & sortie collaborateurs
Transferts / Intégrations de fichiers & données

15
Interaction des services
RunBook
Designer

Processus Orchestrator Web


techniques Console
Admins

Service
Processus IT / Manager
Utilisateurs sédentaires
Métier

Tablette
Processus IT /
Utilisateurs mobiles
Métier

16
Deploiement de serveurs a la demande
Périmètre Objectifs
• Mise en production de serveur • Stabiliser processus mise en production
• Gestion des workflow d’approbation • Assurer qualité du process
• Configuration fonction usage (datastore, • Capacité réaction délais réduit:
cluster, …) solution de secours en cas de panne
• Intégration des outils de gestion: supervision, sur un bateau
sauvegarde, client SCCM, …
• Intégration des outils Métiers: applications en
fonction des besoins

Mise en œuvre Gains


• Intermédiaire: Intégration dans infra • Standardisation du process de livraison
existante sous VMWare • Standardisation des configs machines
• Optimisation des choix en fonction des • Mise en place d’une solution de secours
usages: cluster, type de stockage, specs en qq heures contre 2/3 J auparavant
machines, … • Disparition des erreurs humaines liées
• SCSM pour gestion des aspects au stress, charge de travail, etc.
collaboratifs • Gestion complète des demandes

17
Operations de config / change distribuees

Périmètre Objectifs
• 5000 serveurs répartis dans le monde • Réduire délais de réalisation des
• Opérations trimestrielles à minima changements
• Plages de maintenance spécifiques à chaque • Assurer contrôle des opérations
site réalisées
• Opérations manuelles • Réduire charge de travail
• Pb délais, contrôles, charge travail • Avoir vision du réalisé / reste à faire

Mise en œuvre Gains

• Evoluée: Mise en place d’une • Réduction de la charge d’une opération


infrastructure distribuée de 60 jours à 1 jours (98% de gain)
• Gestion redondance et équilibrage de • Réalisation sous 24H au lieu de 6
charge semaines
• Contrôle systématique de chaque
opération
• Reporting avancement en quasi temps
réel

18
Remediation processus metier

Périmètre Objectifs

• Surveillance du processus d’intégration des Superviser les processus d’un point de vue métier
commandes restaurants • Identifier blocages
• Assurer continuité et fluidité du processus de • Relancer les opérations
commande • Alerter
• Identifier blocages (non visibles)

Mise en œuvre Gains

• Rapide • Evite incidents livraison


• Analyse processus existants et identification • Contrôle des opérations toutes les 15 mns
des points de contrôles • Alerte si impossibilité à résoudre
• Modélisation des processus de contrôle / • Evite blocages impactant précédemment 50 à
relance / alerte 100 restaurants

19
Gestion vie collaborateur dans SI
Périmètre Objectifs
• Gestion cycle de vie collaborateurs dans le SI • Standardiser la gestion des collaborateurs &
• Entrées / Evolutions / Sorties droits
• Accès aux ERPs et ressources en fonction du • Réduction délais de réalisation
profil de poste • Gestion unifiées, quelque soit agences et pays
• Présence dans 48 pays
• 120 000 + utilisateurs
• Spécificités par agence

Mise en œuvre Gains


• Complexe: Spécificités nombreuses en fonction • Automatisation à 100 % - contre 30mn - 2H de
des agences, pays et usages charge par collaborateur auparavant
• Cartographies processus et règles en amont de • Gestion standardisées des droits dans le SI
la mise en œuvre technique • Gestion maîtrisée des évolutions des
• Développements d’interfaces ERPs dédiées collaborateurs dans le SI

20
Gestion vie collaborateur dans SI
Périmètre Objectifs
• Gestion cycle de vie collaborateurs dans le SI • Standardiser la gestion des collaborateurs &
• Entrées / Evolutions / Sorties droits
• Accès aux ERPs et ressources en fonction du • Réduction délais de réalisation
profil de poste • Gestion unifiées, quelque soit agences et pays
• Présence dans 48 pays
• 120 000 + utilisateurs
• Spécificités par agence

Mise en œuvre Gains


• Complexe: Spécificités nombreuses en fonction • Automatisation à 100 % - contre 30mn - 2H de
des agences, pays et usages charge par collaborateur auparavant
• Cartographies processus et règles en amont de • Gestion standardisées des droits dans le SI
la mise en œuvre technique • Gestion maîtrisée des évolutions des
• Développements d’interfaces ERPs dédiées collaborateurs dans le SI

21
Process metier: Gestion de commandes
Périmètre Objectifs

• 30 000 commandes en 3 jours


• Gain de productivité sur les temps de
• Gestion des commandes issues du réseau de
traitement des commandes
5000 fleuristes en France

Mise en œuvre Gains

• Process réception / OCR • Réduction de 15 mn à 45 secondes de temps de


• Intégration dans le système de gestion avec traitement moyen (gain de 99,6%)
pré-qualification • Réduction de 100 mois/homme pour la période
• Gestion des réceptions / envois • 100% des commandes issues du réseau sont
automatisées

25

22
Gestion de donnees

Périmètre Objectifs

• Intégration de flux de données en continue


• Améliorer la productivité des consultants
• Mise à jour d’indices automatique
• Accélération mise à disposition information
• Mise à jour en flux tendu
• Etendre plage de travail
• Productivité passage d’ordres

Mise en œuvre Gains

• Mise à disposition des informations de trading à


• Modélisation échanges d’information partir de 8h du matin contre 12h auparavant
• Intégration automatique des données • Gain de 2h/J par consultant sur les passages
• Automatisation passages d’ordre d’ordres
• +10Mds d’euros de transactions par jour

23
III. Architecture et Composants Orchestrator 2012

A. Architecture

L’infrastructure System Center Orchestrator regroupe les composants


suivants :

· Management server: est la couche de communication entre le


runbook designer et la base de données Orchestrator.

· Runbook Server: est l'endroit où l'instance d'un runbook s'exécute, on


peut déployer plusieurs serveurs de runbook pour avoir de la
redondance et de la répartition de charges.

· Base de données Orchestrator: C'est la base de données SQL


Server 2008 R2 qui contient tous les runbooks déployés, le status
des runbooks en cours d’exécution, les logs etc.
· Runbook designer: est un outil qui permet de créer, modifier et
gérer les runbooks.
· Runbook tester: est un outil pour tester les runbooks développés.
· Console orchestrator: cette console permet de démarrer /
arrêter les runbooks et de voir leur état en temps réel.

· Orchestrator web service: permet d’exploiter les données


d’orchestrator via un Web Service pour de la génération de rapports ou
créer une extension permettant d’assurer l’exécution automatique de
runbooks lors de la commande d’une machine virtuelle par exemple.

Ces différents rôles et services proposés par Orchestrator peuvent


s'installer sur les systèmes d’exploitation suivants:
24
- Windows Server 2008 R2 pour les fonctionnalités Management server,
runbook server et orchestrator web service.

- Windows Server 2008 R2 ou Windows 7 pour les fonctionnalités


Runbook Designer et Runbook tester.

La base de données Orchestration est le centre de l'installation


d'Orchestrator qui contient tous les Runbook, paramètres de
configuration et journaux. Le serveur management est requis comme
couche de communication entre Runbook Designer et la base de données
Orchestration.

Un ou plusieurs serveurs Runbook communiquent directement avec la


base de données pour récupérer les Runbook à exécuter et pour stocker
25
des informations concernant les tâches créées à partir des Runbook. Le
service Web communique également directement avec la base de
données Orchestration et fournit une connexion au navigateur Web pour
la console Orchestration.

B. Façon dont Orchestrator traite un Runbook

Une fois que vous avez créé un Runbook, vous le validez dans la base de
données Orchestration en l'enregistrant. Vous pouvez ensuite faire appel
soit à Runbook Designer soit à la console Orchestration pour démarrer et
arrêter le Runbook.

Une demande d'exécution d'un Runbook crée une tâche qui est stockée
dans la base de données Orchestration. Chaque Runbook peut définir un
serveur Runbook principal et un ou plusieurs serveurs secondaires qui
traitent le Runbook si le serveur principal n'est pas disponible. Un service
sur chaque serveur Runbook surveille en permanence la base de données
Orchestration et les tâches qu'elle peut traiter. Lorsqu'un serveur
Runbook détecte une tâche, il enregistre qu'il travaille sur la tâche, copie
le Runbook en local, enregistre qu'il exécute une instance du Runbook,
puis commence à traiter le Runbook. Pour tout Runbook ne contenant
pas de moniteur, vous pouvez créer plusieurs demandes de Runbook, ce
qui signifie qu'un seul Runbook peut avoir plusieurs tâches.

Lorsqu'un serveur Runbook traite une tâche, il crée une instance du


Runbook en faisant une copie locale, puis en effectuant les actions
définies dans le Runbook selon la logique de flux de travail incluse. Les
informations d'état, les résultats de l'activité et les données sont
enregistrées dans la base de données Orchestration afin que vous
puissiez surveiller l'état en temps réel et historique du Runbook.

26
C. Autorisations

L'accès à Orchestrator est assuré par l'ajout de comptes d'utilisateurs à


un groupe de sécurité créé pendant l'installation. Ce groupe peut être un
groupe de domaine ou un groupe local sur le serveur management. Les
utilisateurs de ce groupe ont un accès complet à Runbook Designer pour
créer et modifier des Runbook et à Deployment Manager pour déployer
un nouveau Runbook Designer et de nouveaux serveurs Runbook. Les
opérateurs qui doivent démarrer et arrêter des Runbook mais pas les
créer peuvent se voir accorder cette autorisation sur des Runbook
individuels, puis utiliser la console Orchestration.

D. Automatisation à l'aide de Runbook

Pour automatiser une tâche ou un traitement dans Orchestrator, vous


faites appel à Runbook Designer pour créer un Runbook. Vous ajoutez
des activités au Runbook en les faisant glisser depuis le volet Activités,
puis en reliant les activités dans l'ordre de votre choix pour créer un flux
de travail.

L'illustration suivante présente un Runbook simple.

27
Ce Runbook surveille un journal des événements. Lorsqu'il détecte
l'événement spécifié, le Runbook vérifie l'état d'un traitement particulier
dans Windows sur un ordinateur spécifique. Si le processus est en cours
d'exécution, il est arrêté. Le Runbook démarre ensuite le traitement et
envoie un courrier électronique pour avertir de la modification de l'état
du processus.

Chaque activité du Runbook prend fin avant la suivante, et certaines


activités fournissent une logique complexe exigeant que plusieurs
activités soient effectuées avant que le Runbook poursuive. En utilisant
une combinaison de logique sur les activités et des liaisons intelligentes,
vous pouvez implémenter la logique dont a besoin votre scénario
d'automatisation particulier.

E. Exemple d’architecture

Voici un exemple d’architecture Orchestrator 2012.

La gestion de la disponibilité des Runbook Servers se configure au niveau


des paramètres de chaque Runbook. Afin de répartir la charge des
Runbooks, la première moitié aura pour runbook principale (Runbook
28
Server 1) et en standby (Runbook Server 2), l’autre moitié aura en
principale (Runbook Server 3) et en standby (Runbook Server 4).

Il est préférable d’installer la console Runbook Designer directement sur


un poste d’administrateur ou bien sur un serveur d’exploitation.

29
IV. Planification de la sécurité d’Orchestrator
Cette section décrit la configuration requise en termes de compte de
service et de compte d'utilisateur, ainsi que les considérations en matière
de sécurité pour votre déploiement d'System Center 2012 - Orchestrator.
Consultez cette rubrique, créez les comptes et groupes nécessaires et
déterminez si vous avez d'autres besoins en termes de sécurité avant de
lancer l'installation d'Orchestrator.

A. Les comptes et les groupes de services


a. Compte Orchestrator Management Service

Des comptes de service sont requis pour les services répertoriés dans le
tableau suivant. Vous devez créer ces comptes avant d'installer les
fonctionnalités qui les utilisent. Vous trouverez ci-dessous des
informations liées à chaque compte.

Serveur Service

Orchestrator Management Service


Serveur management
Service Orchestrator Runbook Server Monitor
Serveur Runbook Orchestrator Runbook Service

Orchestrator Management Service est installé sur le serveur


management.

Son compte de service est spécifié pendant l'installation d'Orchestrator.

30
Si vous avez installé le serveur management et le serveur Runbook sur le
même ordinateur simultanément, il s'agit du même compte que celui
utilisé par Management Server Service et Runbook Server Service.

Si vous avez installé le serveur Runbook après avoir installé le serveur


management, ou si vous avez installé le serveur Runbook sur un autre
ordinateur, vous pouvez utiliser des comptes différents.

Orchestrator Management Service est responsable de la gestion de la


base de données Orchestration, de la communication avec les Runbook
Designer et avec Deployment Manager.

Le compte utilisé pour Orchestrator Management Service peut être un


compte local sur un serveur management si la base de données est
installée en local ou si vous utilisez l'authentification SQL Server pour
communiquer avec la base de données (même si cela n'est pas
recommandé).

Toutefois, cette configuration peut ne pas permettre d'accéder à d'autres


ressources réseau.

Si la base de données est hébergée sur un autre serveur, soit le compte


doit être joint au domaine Active Directory pour qu'il puisse accéder au
serveur de base de données, soit vous devez utiliser l'authentification
SQL Server. Utilisez cette dernière option si votre serveur de base de
données se trouve dans un autre domaine que le serveur management.

Ce compte de service n'a pas besoin d'être un compte d'administrateur


ou un compte d'administrateur de domaine. Notez cependant que
Deployment Manager nécessite des privilèges d'administrateur.

Le compte de service pour Management Server Service doit disposer des


autorisations suivantes :

31
 Autorisation d'ouvrir une session sur le serveur management en
tant que service. Cette autorisation est accordée automatiquement
pendant l'installation.

 Membre du rôle Microsoft.SystemCenter.Orchestrator.Admins dans


la base de données Orchestration. Le compte est automatiquement
ajouté à ce rôle pendant l'installation.

b. Compte de service Orchestrator Runbook Server


Monitor

Runbook Server Monitor est installé sur le serveur management ; il est


responsable de la surveillance de l'intégrité des serveurs Runbook. Il
utilise le même compte qu'Orchestrator Management Service et nécessite
les mêmes autorisations.

c. Compte Orchestrator Runbook Service

Runbook Server Service est installé sur chaque serveur Runbook. Si vous
avez installé le serveur management et le serveur Runbook sur le même
ordinateur simultanément, il s'agit du même compte que celui utilisé par
Management Server Service et Runbook Server Service sur chaque
ordinateur pour accéder aux ressources système. Si vous avez installé le
serveur Runbook après avoir installé le serveur management, ou si vous
avez installé le serveur Runbook sur un autre ordinateur, vous pouvez
32
utiliser des comptes différents. Le service est responsable de l'exécution
des Runbook et de la communication avec la base de données
Orchestration.

Par défaut, toutes les activités d'un Runbook s'exécutent sous le compte
de service du serveur Runbook sur lequel elles s'exécutent. Certaines
activités peuvent spécifier des informations d'identification différentes à
utiliser pour des actions individuelles selon les besoins. Les activités de
Runbook accédant souvent à des ressources situées sur d'autres
ordinateurs, il est recommandé que le compte utilisé pour Orchestrator
Runbook Service soit un compte de domaine Active Directory pour qu'il
puisse se voir accorder l'accès à des ressources externes.

Le compte pour Orchestrator Runbook Service doit disposer des


autorisations suivantes :

 Autorisation d'ouvrir une session sur le serveur Runbook en tant


que service.

 Selon les ressources auxquelles accèdent les activités dans vos


Runbook, le compte de service peut nécessiter des informations
d'identification supplémentaires sur des ordinateurs distants. Il est
également possible de configurer des activités spécifiques avec
d'autres informations d'identification si le compte de service n'a
pas accès à des ressources particulières.

33
d. Groupe d'utilisateurs Orchestrator

Les utilisateurs ont accès à Orchestrator via l'appartenance au groupe


d'utilisateurs Orchestrator. Tout compte d'utilisateur ajouté à ce groupe
est autorisé à utiliser les outils de Runbook Designer et Deployment
Manager. Par défaut, les utilisateurs de ce groupe ont l'autorité
d'effectuer les actions suivantes :

 Créer de nouveaux Runbook. Afficher, modifier et exécuter des


Runbook existants.

 Déployer de nouveaux serveurs Runbook

 Déployer de nouveaux Runbook Designer

 Enregistrer et déployer des packs d'intégration

 Afficher et modifier les paramètres globaux pour un serveur


management

Le groupe d'utilisateurs Orchestrator dispose des autorisations suivantes


dans le composant DCOM du serveur management :

 Local & lancement à distance

 Local & activation à distance

 Local & accès à distance

Si vous activez l'accès à distance pour le groupe d'utilisateurs (en


sélectionnant Autorisations à distance pendant l'installation), ce groupe
d'utilisateurs est ajouté aux limites de l'ordinateur – Lancement local et à
distance, activation et accès.

34
Vous spécifiez le groupe d'utilisateurs Orchestrator pendant le processus
d'installation d'Orchestrator. Le service Web Orchestrator utilisant le
même groupe pour l'autorisation, vous devez recourir à un groupe de
domaine dans Active Directory si la console Orchestration n'est pas
installée sur le serveur management. Si la console Orchestration est
installée sur le serveur management, le groupe peut être un groupe local
sur le serveur management.

La décision concernant quel groupe utiliser dépend de l'emplacement à


partir duquel vous souhaitez gérer les utilisateurs du groupe. En règle
générale, l'utilisation d'un groupe Active Directory permet un meilleur
accès centralisé au groupe que sa gestion locale sur le serveur
management.

Remarque
Un membre du groupe d'utilisateurs Orchestrator peut accorder l'accès à
d'autres utilisateurs pour afficher et exécuter des Runbook à partir de la
console Orchestration sans besoin d'ajouter ces utilisateurs au groupe.
Ceux qui utilisent uniquement la console Orchestration sont appelés des
opérateurs. Ils ont généralement besoin d'exécuter des Runbook, mais
pas de les créer.

B. Sécurité de base de données Orchestration

Les sections suivantes fournissent des informations sur la sécurisation de


la base de données Orchestration dans Orchestrator

a. Rôles de la base de données

La sécurité de la base de données d'orchestration est mise en oeuvre par


l'intermédiaire de rôles de base de données dans les versions prises en
35
charge de Microsoft SQL Server. Le tableau ci-dessous répertorie les rôles
qui sont créés dans la base de données Orchestration et les autorisations
accordées à chacun. Ces rôles étant configurés et renseignés avec les
membres requis pendant l'installation, il n'y a généralement aucun
besoin de travailler directement avec eux. Les informations fournies ici
ont pour objectif d'aider l'administrateur à mieux comprendre la sécurité
sous-jacente de la configuration et de se préparer à d'éventuels scénarios
personnalisés.

b. Sécurisation des connexions à SQL Server

Les connexions à SQL Server dans un déploiement par défaut


d'Orchestrator ne sont pas sécurisées. L'exception à cette règle survient
lorsqu'Orchestrator stocke ou extrait des données sensibles. Dans ce cas,
Orchestrator crée une connexion sécurisée à SQL Server avec un certificat
auto-signé. Ce certificat ne fournissant pas de sécurité renforcée, il est
vulnérable aux attaques de type « attaque de l'intercepteur » (« man-in-
the-middle »).

c. Clés de chiffrement

Dans le cadre de la planification de votre sécurité, vous devez planifier la


rotation de vos clés de chiffrement à intervalle régulier. Le National
Institute of Standards et Technology (NSIT) recommande que les clés
tournent au moins une fois tous les deux ans
Pour faire tourner les clés de chiffrement

1. À partir de Runbook Designer, exportez tous vos Runbook,


paramètres globaux, variables, calendriers, etc.

Vous devez fournir un mot de passe pour l'exportation.


36
Pendant l'exportation, toutes les données chiffrées sont déchiffrées,
puis re-chiffrées, grâce à une nouvelle clé créée par le mot de passe.

2. Si vous le souhaitez, modifiez la clé de la base de données master de


SQL Server.

Orchestrator chiffre les données à l'aide de la clé de la base de


données master de SQL Server et de la clé de la base de données
master de la base de données Orchestration.

3. Réinstallez le serveur management et créez une nouvelle base de


données :

Ne vous connectez pas à la base de données existante. Une nouvelle


clé de chiffrement est générée lorsqu'une nouvelle base de données
est créée.

4. Dans Runbook Designer, réimportez les Runbook et autres données


que vous avez exportées.

Fournissez le mot de passe utilisé pour l'exportation. Les données


contenues dans le fichier d'exportation sont déchiffrées à l'aide du
mot de passe, puis chiffrées lors de leur importation dans la base de
données à l'aide de la nouvelle clé de base de données master
Orchestrator.

37
C. Sécurité des Runbook

Tous les éléments d'un Runbook sont accessibles à tous les Runbook
Designer, ainsi qu'à tous les serveurs Runbook de votre environnement.
Vous pouvez modifier les autorisations pour les éléments de Runbook
(par exemple, un dossier), mais les autorisations que vous définissez ne
sont pas appliquées.

D. Service Web Orchestrator et sécurité de la


console Orchestration

Si vous prévoyez d'installer le service Web Orchestrator et la console


Orchestration, choisissez un protocole sécurisé tel que HTTPS pour
sécuriser la communication et prévenir les requêtes mal formées
provenant d'une « attaque de l'intercepteur » (« man-in-the-middle »).

Dans la configuration par défaut d'un déploiement Orchestrator, les


appels du service Web ne sont pas journalisés. Cela concerne les
demandes faites avec la console Orchestration, ainsi qu'avec
Orchestration Integration Toolkit (OIT). Il en résulte qu'un utilisateur
peut démarrer une tâche et transmettre des paramètres dans un
Runbook sans qu'aucun enregistrement concernant la personne ayant
démarré la tâche n'existe.

Pour enregistrer toutes les demandes sur votre service Web


Orchestrator, vous devez activer la journalisation de la piste d'audit grâce
à atlc.exe. Pour plus d'informations sur la journalisation à l'aide
d'atlc.exe

38
E. Utilisation du pare-feu Windows avec
Orchestrator

L'option Pare-feu Windows avec fonctions avancées de sécurité est


activée par défaut sur tous les ordinateurs Windows 2008 R2. Elle bloque
tout le trafic entrant sauf s'il s'agit d'une demande de la part de l'hôte ou
s'il est spécifiquement autorisé par une règle de pare-feu autorisant le
trafic. Vous pouvez explicitement autoriser le trafic en spécifiant un
numéro de port, un nom d'application, un nom de service ou d'autres
critères en configurant le pare-feu Windows avec des paramètres avancés
de sécurité.

Lorsque vous configurez Runbook Designer ou un serveur Runbook en-


dehors d'un pare-feu, vous devez activer certaines règles sur l'ordinateur
serveur management afin d'autoriser Runbook eesigner et le serveur
Runbook à communiquer avec le serveur management. En outre, pour
certaines activités telles que les activités de surveillance, si l'ordinateur
cible est situé en dehors du pare-feu, vous devez activer certaines règles
de pare-feu pour autoriser la communication WMI.

Configuration d'ordinateurs Orchestrator

Lorsque Runbook Designer ou un serveur Runbook est installé derrière


un pare-feu, des règles de pare-feu spécifiques sont nécessaires entre le
serveur management et les ordinateurs distants.

Activez les règles suivantes qui s'appliquent à votre configuration.

Pour activer l'accès à votre serveur SQL

39
1. Sur l'ordinateur distant où est installé Runbook Designer ou un
serveur Runbook, ouvrez un port pour vous connecter à votre
serveur SQL. Le port SQL par défaut est TCP:1433.

Pour activer l'accès entre Runbook Designer et le serveur management

1. Sur l'ordinateur exécutant Management Server Service, ajoutez une


règle de pare-feu pour autoriser Runbook Designer ou un serveur
Runbook à accéder à ManagementService.exe.

Emplacement d'Orchestrator Management Service

Système
Règle de pare-feu
d'exploitation

%Program Files (x86)%\Microsoft System


64 bits Center 2012\Orchestrator\Management
Server\ManagementService.exe

Pour accorder un privilège au compte Runbook Server Service

1. Sur l'ordinateur serveur Runbook distant, confirmez que le compte


Runbook Server Service dispose du privilège Logon as service.

Pour permettre des déploiements à distance avec Deployment Manager

40
1. Sur l'ordinateur distant où vous avez déployé le serveur Runbook
ou Runbook Designer, ajoutez une règle pour autoriser Deployment
Manager à accéder à Orchestrator Remoting Service.

Emplacement d'Orchestrator Remoting Service

Système
Emplacement du fichier
d'exploitation

64 bits %RacineSystème%\SysWOW64\OrchestratorRemotingService.exe
32 bits %RacineSystème%\System32\OrchestratorRemotingService.exe

Règles de pare-feu pour les activités

Toutes les activités qui utilisent la communication WMI, telles que les
activités de surveillance, nécessitent certaines règles de pare-feu
Windows pour fonctionner correctement.

Pour Windows Server 2008 R2, activez les règles suivantes pour
permettre à toute activité qui utilise WMI de fonctionner correctement :

 Windows Management Instrumentation (Async-In)

 Windows Management Instrumentation (DCOM-In)

 Windows Management Instrumentation (WMI-In)

41
F. Chiffrement des données Orchestrator
Les sections suivantes fournissent des informations sur le chiffrement des données dans
Orchestrator.

a. Pratiques recommandées pour les variables chiffrées

Introduites dans System Center 2012, les variables chiffrées


d'Orchestrator permettent d'utiliser de façon plus sécurisée des variables
pour fournir des données sensibles aux activités de Runbook. Les
variables chiffrées s'utilisent exactement comme des variables globales
standard, à savoir, au moyen d'un abonnement. Si vous vous abonnez à
ces variables dans des champs d'activité qui sont publiés à nouveau, le
contenu de ces variables peut être affiché sur le bus de données. Par
conséquent, l'abonnement aux variables chiffrées doit se faire
uniquement dans les champs qui ne sont pas publiés à nouveau. Cette
pratique recommandée n'est pas appliquée par Orchestrator, mais elle
doit faire partie de votre processus de planification.

Cependant, si vous devez publier des données chiffrées sur le bus de


données pour les envoyer à un autre système (par exemple, un produit
s'exécutant sur un serveur différent), vous devez vous assurer que le
canal vers ce produit est sécurisé. Par exemple, BMC Remedy prend en
charge un mode sécurisé pour la connexion et les produits dotés
d'interfaces Web permettent généralement d'avoir recours à une
connexion Secure Sockets Layer (en utilisant le protocole HTTPS).

42
b. Quelles données sont chiffrées et déchiffrées dans
Orchestrator ?

Orchestrator fournit un jeu de codes de services de chiffrement et de


déchiffrement qui sont utilisés pour générer des données chiffrées par la
plate-forme Orchestrator. Ces services permettent de sécuriser des
données signalées pour le chiffrement dans la base de données
Orchestrator et de déchiffrer les données en texte brut pour qu'elles
puissent être utilisées en tant que partie d'un Runbook. Ces services de
chiffrement de base sont gérés par le serveur de base de données et le
serveur management Orchestrator. Les droits d'accès à ces services sont
accordés sous condition d'appartenir au groupe d'utilisateurs
Orchestrator ou au groupe système Orchestrator.

Remarque

Les Runbook Orchestrator peuvent contenir des données chiffrées par un


service de chiffrement externe et utilisées en tant que données publiées
de Runbook. Orchestrator ne gère pas les données provenant d'un
système extérieur différemment de tout autre élément de données.

Orchestrator utilise le chiffrement dans les domaines de fonctionnalités


de produit suivants :

Domaine de
Description
fonctionnalités

43
Toute propriété masquée lorsqu'un des types dans le
Activités de champ est une propriété chiffrée. Cela inclut les mots
Runbook de passe dans l'onglet Informations d'identification
de sécurité mais peut aussi inclure d'autres propriétés.
Le menu Options permet de stocker des informations
d'identification et d'autres informations utilisées pour
Menu Options configurer des packs d'intégration. Les propriétés des
paramètres de connexion peuvent contenir des
propriétés chiffrées.
Les variables dont la case Variable chiffrée est activée seront
Variables
chiffrées.
Remarque

Les variables chiffrées sont destinés à être utilisées via un abonnement


dans les propriétés nécessitant une valeur chiffrée telle qu'un mot de
passe utilisé dans une activité de Runbook. Si vous vous abonnez à une
variable chiffrée dans un champ non chiffré, la valeur chiffrée sera
fournie. La valeur de texte brut n'est disponible que lorsqu'elle est
utilisée dans une propriété chiffrée.

c. Comment les données chiffrées sont-elles gérées dans


Orchestrator ?

Orchestrator possède un service de chiffrement de base dont la


conception est basée sur AES et qui utilise le chiffrement de niveau de
cellules de SQL Server. Le chiffrement et le déchiffrement sont donc
effectués de manière centralisée par SQL Server. Les clés de chiffrement
sont gérées centralement par SQL Server. La clé principale du Service SQL

44
Server et la clé principale de la base de données Orchestrator sont toutes
deux requises pour chiffrer et déchiffrer des données.

Orchestrator utilise le chiffrement au moment de l'exécution et au


moment de la conception. Les auteurs de Runbook interagissent avec les
activités de Runbook dans Runbook Designer et souvent ces activités
interagissent avec des systèmes extérieurs pour « découvrir » des grilles
de propriétés, des valeurs de liste et d'autres propriétés. De la même
façon, lorsqu'un Runbook est testé dans Runbook Tester, les données
chiffrées fournies dans les champs protégés doivent être déchiffrées pour
être transmises au système cible. Enfin, les serveurs Runbook doivent
être en mesure de déchiffrer des données chiffrées pour permettre aux
Runbook d'interagir avec des systèmes extérieurs. Par conséquent, les
services de chiffrement de base de données doivent être accessibles à
partir des serveurs Runbook, de Runbook Designer et de Runbook Tester.

Les services de chiffrement de base résidant dans la base de données


Orchestrator, l'accès à la base de données définit principalement l'accès
aux données non chiffrées.

 Les serveurs Runbook accèdent directement à la base de données.


Ils accèdent donc directement aux services de chiffrement fournis
par SQL Server. L'accès au moment de l'exécution aux services de
chiffrement fournis par SQL Server est limité aux membres du
groupe système Orchestrator.

 Runbook Designer et Runbook Tester accèdent indirectement à la


base de données via le serveur management. Ce dernier propose un
nouveau service qui sert les demandes de
chiffrement/déchiffrement à partir de Runbook Designer et
Runbook Tester. Le serveur management passe par le contexte de
sécurité de l'auteur de Runbook et ces informations d'identification
sont utilisées pour accéder aux services de chiffrement. L'accès au

45
moment de la conception aux services de chiffrement fournis par
SQL Server est limité aux membres du groupe d'utilisateurs
Orchestrator.

L'accès aux données chiffrées à partir d'Orchestrator est géré par le


groupe d'utilisateurs Orchestrator et le groupe système Orchestrator. Les
membres de ces deux groupes de sécurité disposent essentiellement d'un
accès administratif riche à Orchestrator, notamment des droits d'accès
aux services de chiffrement de base et de chiffrement des données
stockées chiffrées dans la base de données.

d. Comment les données chiffrées peuvent-elles être


déplacées d'une instance Orchestrator vers une autre ?

Lorsque la base de données Orchestrator est installée, une clé de


chiffrement principale de base de données est créée. Cette clé principale
de base de données est utilisée conjointement avec la clé principale de
SQL Server pour chiffrer et déchiffrer les données stockées dans la base
de données Orchestrator. Cela signifie que les données chiffrées sont
essentiellement « saisies » dans l'instance de SQL Server 2008 R2 dans
laquelle les données ont été chiffrées. Par exemple, il est impossible de
« copier »une chaîne chiffrée d'une colonne d'une instance de SQL
Server 2008 R2 et de «coller » la valeur dans une autre instance d'une
base de données Orchestrator et de déchiffrer les données si la clé
principale de la base de données et la clé principale du serveur ne
correspondent pas à celle du système dans lequel les données ont été
chiffrées.

Par conséquent, le déplacement de données chiffrées d'une instance


d'Orchestrator vers une autre implique l'un des deux scénarios suivants :

46
- La clé principale du service SQL Server et la clé principale de la
base de données Orchestrator doivent être les mêmes que les clés
du système dans lequel les données ont été chiffrées au départ.
- Vous exportez les Runbook et les données chiffrées connexes puis
vous les importez dans le nouveau système.

La fonctionnalité d'exportation crée principalement un fichier


d'exportation dont les données ont été chiffrées grâce à un mot de passe
fourni par l'utilisateur pendant l'exportation. Ce fichier d'exportation
contient des données chiffrées pouvant être déchiffrées grâce au même
mot de passe lors de l'importation. Les données sont chiffrées et stockées
dans la base de données grâce aux clés de chiffrage pour la nouvelle base
de données.

V. Planification du déploiement
A. Configuration requise
a. Matériel

47
La configuration matérielle minimale suivante est nécessaire pour une
installation complète d’Orchestrator :

 Minimum 1 gigabyte (GB) of RAM, 2 GB or more recommended

 200 megabyte (MB) of available hard disk space

 Dual-core Intel microprocessor, 2.1 gigahertz (GHz) or better

b. Système d’exploitation

Le tableau suivant répertorie les systèmes d' exploitation pris en charge


pour une installation complète d’Orchestrator sur un seul ordinateur.

Fonctionnalités Système d’exploitation

Management server

Orchestrator web
service Windows Server 2008 R2, Windows Server 2012,
Windows Server 2012 R2
Runbook Designer

Runbook server

c. Prérequis logiciels

Les logiciels suivants sont requis pour une installation complète


d’Orchestrator sur un seul ordinateur :

48
Microsoft SQL Server 2008 R2 or Microsoft SQL Server 2012–
Orchestrator nécessite uniquement les fonctionnalités de base SQL
Server trouvés dans la fonction Database Engine.

Pas de fonctionnalités supplémentaires sont nécessaires

Orchestrator supporte SQL_Latin1_General_CP1_CI_AS for collation.


L'assistant d'installation utilise SQL_Latin1_General_CP1_CI_AS (le
classement par défaut) pour créer la base de données d'orchestration

Note

Les serveurs de gestion et les serveurs de Runbook installés sur le


même ordinateur doivent utiliser la même base de données. Le
serveur de gestion doit fonctionner comme une application 32 bits.

Microsoft Internet Information Services (IIS) - Orchestrator Setup permet


IIS s’il n’est pas activé.

Microsoft .NET Framework 3.5 Service Pack 1 - Doit être installé


manuellement avant d'exécuter le programme d'installation

 Microsoft .NET Framework 4.5 (which further requires WCF HTTP


Activation)

Installation .NET Framework 4.5 and HTTP Activation on Windows


Server 2012

1. On the Windows Start screen, click the Server Manager tile.

49
2. On the Manage menu in the Server Manager console, click Add
Roles and Features.
3. Go through the wizard until you reach the Features page.
4. Expand .NET Framework 4.5 Features.
5. Select .NET Framework 4.5 if it isn’t already selected.
6. Expand WCF Services.
7. Select HTTP Activation if it isn’t already selected.
8. Click Next and follow the prompts to finish the installation. If you
have problems, check the issues covered in Troubleshoot Your
Orchestrator Installation.

Nous vous recommandons le logiciel suivant pour une installation


complète d’Orchestrator sur un seul ordinateur :

 Joindre le serveur au domaine

Note

Lors de la première utilisation de la console Orchestrator, vous êtes invité


à installer Microsoft Silverlight 4 sur l'ordinateur s’il n’est pas déjà
installé.

d. Installer Orchestrator dans une machine virtuelle

La configuration requise pour une installation R2 System Center


Orchestrator 2012 dans une machine virtuelle sont les mêmes que pour
les serveurs Orchestrator installés sur un ordinateur physique.
Orchestrator ne nécessite pas un contrôleur de domaine pour être
déployé.

50
B. Comment installer Orchestrator sur un seul
ordinateur

Appliquez la procédure suivante pour installer toutes les fonctionnalités


de System Center 2012 - Orchestrator sur un seul ordinateur.

Pour installer Orchestrator sur un seul ordinateur

1. Pour démarrer l'Assistant Installation de System Center 2012 -


Orchestrator sur le serveur où vous voulez installer Orchestrator,
double-cliquez sur SetupOrchestrator.exe.

Important
Avant de commencer l'installation, fermez tous les programmes
ouverts et assurez-vous qu'aucun redémarrage n'est en attente sur
l'ordinateur. Par exemple, si vous avez installé un rôle de serveur à
l'aide du Service Manager ou si vous avez appliqué une mise à jour
de sécurité, vous devrez peut-être redémarrer l'ordinateur, puis
ouvrir une session sur l'ordinateur avec le même compte
d'utilisateur pour terminer l'installation du rôle de serveur ou la
mise à jour de sécurité.
Remarque
Si le contrôle de compte d'utilisateur est activé, vous êtes invité à
vérifier que vous souhaitez autoriser l'exécution du programme
d'installation. La raison en est que vous devez disposer d'un accès
administratif pour apporter des modifications au système.

2. Dans la page d'installation principale, cliquez sur Installer.

Avertissement
Si Microsoft.NET Framework 3.5 Service Pack 1 n'est pas installé
sur votre ordinateur, une boîte de dialogue s'affiche vous
51
demandant si vous souhaitez installer.NET Framework 3.5 SP1.
Cliquez sur Oui pour poursuivre l'installation.

3. Dans la page Inscription du produit, saisissez le nom et la société


pour l'inscription du produit, puis cliquez sur Suivant.

Remarque
Aucune clé de produit n'est nécessaire pour cette version
d'évaluation.

4. Dans la page Sélectionner les fonctionnalités à installer, vérifiez


que toutes les fonctionnalités sont sélectionnées, puis cliquez sur
Suivant.

Remarque
Vous pouvez décider de supprimer des fonctionnalités
individuelles. Le serveur management étant obligatoire, il est
sélectionné par défaut. Les cases à cocher correspondant aux autres
fonctionnalités peuvent être désactivées selon vos besoins.

5. La présence du matériel et des logiciels requis est vérifiée sur votre


ordinateur. Si votre ordinateur répond à la configuration requise, la
page Tous les composants requis sont installés s'affiche. Cliquez
sur Suivant et passez à l'étape suivante.

Si une condition préalable n'est pas remplie, une page affiche des
informations sur le composant requis introuvable et sur la façon de
résoudre le problème. Appliquez la procédure suivante pour corriger une
vérification de configuration requise en échec :

1. Passez en revue les éléments qui ont échoué lors de la


vérification de la configuration requise. Pour certaines
conditions, telles que Microsoft.NET Framework 4, vous
52
pouvez utiliser le lien fourni dans l'Assistant Installation pour
installer le composant manquant. L'Assistant Installation
peut installer ou configurer d'autres composants requis, tels
que le rôle Internet Information Services (IIS).

Avertissement
Si vous activez des composants requis pendant l'installation,
tels que Microsoft.NET Framework 4, votre ordinateur peut
nécessiter un redémarrage. Si vous redémarrez votre
ordinateur, vous devez exécuter à nouveau le programme
d'installation à partir du début.

2. Après avoir ajouté les composants requis manquants, cliquez


sur Vérifier de nouveau les composants requis.

6. Dans la page Configurer le compte de service, saisissez le nom


d'utilisateur et le mot de passe du compte Orchestrator Management
Service. Cliquez sur Test pour vérifier les informations d'identification
de compte. Si ces informations sont acceptées, cliquez sur Suivant.

1.

Important

Le compte Orchestrator Management Service doit être créé avant


cette étape. Pour plus d'informations sur le compte Orchestrator
Management Service.

2. Dans la page Configurer le serveur de base de données, saisissez


le nom du serveur ainsi que le nom de l'instance et le numéro de
53
port du serveur Microsoft SQL Server que vous souhaitez utiliser
pour Orchestrator. Vous pouvez également spécifier si vous
souhaitez utiliser l'authentification Windows ou SQL Server et si
vous souhaitez créer une nouvelle base de données ou utiliser une
base de données existante.
3. Cliquez sur Tester la connexion à la base de données pour
vérifier les informations d'identification de compte. Si ces
informations sont acceptées, cliquez sur Suivant.
4. Dans la page Configurer la base de données, sélectionnez une
base de données existante ou précisez le nom d'une nouvelle base
de données, puis cliquez sur Suivant.
5. Dans la page Configurer le groupe d'administration
d'Orchestrator, acceptez la configuration par défaut ou saisissez le
nom du groupe d'utilisateurs pour gérer les autorisations
Orchestrator, puis cliquez sur Suivant.

6. Dans la page Configurer le port pour le service Web, vérifiez les


numéros de port pour le service Web Orchestrator et la console
Orchestration, puis cliquez sur Suivant.

7. Dans la page Sélectionner l'emplacement d'installation, vérifiez


l'emplacement d'installation d'Orchestrator, puis cliquez sur
Suivant.
8. Dans la page Microsoft Update, indiquez éventuellement si vous
souhaitez utiliser les services de Microsoft Update pour vérifier la
disponibilité de mises à jour, puis cliquez sur Suivant.

Remarque

54
Si vous avez précédemment accepté Microsoft Update sur cet
ordinateur, cette page est ignorée.

9. Dans la page Participer à l'amélioration de Microsoft System


Center Orchestrator, indiquez éventuellement si vous souhaitez
participer au Programme d'amélioration de l'expérience
utilisateur ou au Rapport d'erreurs, puis cliquez sur Suivant.

10. Consultez la page Résumé de l'Installation, puis cliquez sur


Installer.

La page Installation des fonctionnalités s'ouvre et affiche la


progression de l'installation.

11. Dans la page L'installation s'est terminée correctement,


indiquez éventuellement si vous souhaitez redémarrer Runbook
Designer, puis cliquez sur Fermer pour terminer l'installation.

Pour activer la détection du réseau pour Runbook Designer

1. Sur le bureau de l'ordinateur qui exécute Windows Server, cliquez


sur Démarrer, sur Panneau de configuration, sur Réseau et
Internet, sur Centre réseau et partage, sur Choisir les options
de groupe résidentiel et de partage, puis sur Modifier les
paramètres de partage avancés.
2. Pour le profil Domaine, cliquez le cas échéant sur l'icône de Flèche
pour développer les options de la section.
55
3. Sélectionnez Activer la découverte de réseau, puis cliquez sur
Enregistrer les modifications.

Si vous êtes invité à fournir pour un mot de passe administrateur


ou une confirmation, tapez le mot de passe ou confirmez.

Pour installer le Orchestrator service web

1. Sur le serveur où vous souhaitez installer le Orchestrator web


service, démarrez le System Center 2012 – Orchestrator
Assistant Installation.

Pour démarrer le System Center 2012 – Orchestrator Assistant


Installation, sur votre partage réseau ou le support produit, double-
cliquez surSetupOrchestrator.exe.

Le principal System Center 2012 – Orchestrator Assistant


Installation page, cliquez sur installation.

Si Microsoft.NET Framework 3.5 Service Pack 1 n'est pas installé sur


votre ordinateur, une boîte de dialogue s'affiche vous demande si vous
souhaitez installer.NET Framework 3.5 SP1. Cliquez sur Oui pour
continuer l'installation.

Sur le l'enregistrement du produit page, fournir le nom et la société


pour l'inscription du produit, puis cliquez sur suivant.

1. Votre ordinateur est vérifié pour les logiciels et le matériel requis.


Si votre ordinateur répond à toutes les exigences, le tous les
composants requis sont installés page s'affiche. Cliquez
sur suivant et passez à l'étape suivante.

56
Si une condition préalable n'est pas remplie, une page affiche des
informations sur les composants requis qui n'a pas été remplie et
comment résoudre le problème. Utilisez les étapes suivantes pour
résoudre la vérification préalable a échoué :

a. Passez en revue les éléments qui n'a pas réussi la vérification


préalable. Pour certaines conditions, telles que Microsoft.NET
Framework 4, vous pouvez utiliser le lien fourni dans
l'Assistant Installation pour installer la spécification
manquante. L'Assistant d'installation peut installer ou
configurer d'autres composants requis, tels que le rôle d’
Internet Information Services (IIS).

Après avoir résolu les composants requis manquants, cliquez


sur conditions préalables de vérifier à nouveau.

b. Cliquez sur suivant pour continuer.

2. Sur le configurer le compte de service page, entrez le nom


d'utilisateur et le mot de passe pour la Orchestrator compte de
service. Cliquez sur Test pour vérifier les informations
d'identification du compte. Si les informations d'identification sont
acceptées, cliquez sur suivant.
3. Sur le configurer le serveur de base de données page, entrez le
nom du serveur de base de données associé à votre Orchestrator le
serveur de gestion. Vous pouvez également spécifier s'il faut
utiliser l'authentification Windows ou l'authentification SQL Server
et créer une nouvelle base de données ou utiliser une base de
données existante. Cliquez sur Tester la connexion de base de
données pour vérifier les informations d'identification du compte.
57
Si les informations d'identification sont acceptées, cliquez
sur suivant.
4. Sur le configurer la base de données page, sélectionnez le
Orchestrator base de données pour votre déploiement, puis cliquez
sur suivant.
5. configurer le port pour le service web, vérifiez les numéros de
port pour le Orchestrator le service web et l'Orchestration de la
console, puis cliquez suivant.
6. Sur le Sélectionner l'emplacement d'installation page, vérifiez
que l'emplacement d'installation de Orchestrator, puis cliquez
sur suivant.
7. Sur le Mise à jour de Microsoft page, vous pouvez également
indiquer si vous souhaitez utiliser les services Microsoft Update
pour vérifier les mises à jour, puis cliquez sur suivant.
8. Sur le aider à améliorer Microsoft System Center
Orchestrator page, vous pouvez également indiquer si vous
souhaitez participer à la Customer Experience Improvement
Program ou Le rapport d'erreurs, puis cliquez sur suivant.
9. Révision du Résumé de l'Installation page, puis cliquez
sur installation.

Les fonctionnalités de l'installation page apparaît et affiche la


progression de l'installation.

10. Sur le programme d'installation s'est terminée


correctement page, vous pouvez également indiquer si vous
souhaitez démarrer le Concepteur de procédure opérationnelle,
puis cliquez sur Fermer pour terminer l'installation.

58
VI. Runbook Design

A. Préparation scénarios Runbook

Passer de processus manuels pour l'automatisation conduit aux


questions suivantes.

Microsoft System Center Orchestrator 2012 () automatisation est mise en


œuvre avec ce qui est connu sous le nom « les Runbooks ».
« les Runbooks » nous aident à mettre en œuvre les tâches manuelles en
utilisant une approche de flux de travail.

59
Cette méthode fournit des exemples d’étapes pour identifier les candidats
pour l’automatisation de tâches

La clé d'une conversion réussie d'un processus manuel à un procédé semi


ou entièrement automatisé est une compréhension claire de ce que vous
essayez d'automatiser.
Une méthode reconnue pour décrire le processus manuel est l'utilisation
des histoires les plus connues comme des scénarios.

Scénarios impliquent généralement une ou plusieurs parties prenantes


responsables de la propriété et de l'exécution du processus.

Vous devez planifier et faire participer toutes les parties prenantes des
scénarios que vous prévoyez pour automatiser. Au minimum, vous devez
impliquer le propriétaire du processus.

Comment faire

La figure suivante fournit un résumé visuel et l'ordre des tâches que vous
devez effectuer pour compléter cette recette

Voici un exemple des étapes que vous devez effectuer pour la préparation
de l’implémentation des Runbooks :

60
Créez une liste de tâches manuelles répétitives demandées ou identifiés.

2. Pour chaque tâche, demandez et documenter les réponses aux


questions suivantes :
- Qui est le propriétaire de la tâche ?
- Comment la tâche est accomplie aujourd'hui?
- Qui est responsable de l'exécution de cette tâche?
- Combien de temps faut-il pour effectuer la tâche ?
- La tâche est sensible aux erreurs / omissions ?
- le résultat recherché est cohérent ?
- Est-ce que le début de cette tâche dépend d’une autre tâche ?
- Identifier et documenter tous les utilisateurs et les systèmes
impliqués dans la tâche manuelle actuelle.
- Discuter et s’entendre sur les tâches à automatisés basés sur les
informations fournies dans le document.

Comment ça marche

L’ordonnancement de tâches vous oblige à identifier les bons candidats


de tâches manuelles en fonction des besoins réels et du type de votre
entreprise.

Un exemple d'un mauvais candidat est un scénario similaire :

La tâche que vous prévoyez pour automatiser prend un effort manuel


d'une personne de 30 minutes par semaine. Cela équivaut à 26 heures
par an (0,5 x 52 semaines). Si l'effort de créer un Runbook pour
automatiser cette tâche prend 80 heures à construire, ce scénario n’est
61
pas un bon candidat car il faudrait plus de 3 ans pour obtenir un retour
sur investissement (ROI).

Un bon candidat pour SCORCH est la suivante:

Vous envisagez d'automatiser 8 tâches manuelles qui prennent 15


minutes chacune et chaque semaine. Si l'effort de faire un runbook pour
automatiser cette tâche prend 5 heures alors c’est un bon candidat à
l’automatisation, car elle offrirait un retour sur investissement au bout de
2,5 mois.

B. Faire un scenario d’automatisation

Cette méthode fournit les étapes nécessaires pour préparer un processus


manuel pour l'automatisation.

Effectuez les étapes suivantes pour préparer chaque scénario pour


l'automatisation :

1. Créez un organigramme des étapes à exécuter


2. Identifier les étapes de tâches qui peuvent être effectuées sans
nécessiter l'approbation.
3. Identifier les tâches qui nécessitent l'approbation et classer en deux
sections:
- d'approbation préalable par le demandeur autorisé : La demande
initiale est d'une source ou d'une personne autorisée à approuver
- Approbation requise lors de l'exécution : Une étape nécessite
l'approbation avant de procéder à l'exécution

62
4. Décomposer chaque tâche manuelle dans le scénario en mini tâches
interdépendantes.
6. Ranger les mini- tâches dans l'ordre dans lequel le scénario global est
exécuté.

Exemple de mise en place de scénario

Nous allons utiliser le scénario suivant pour discuter des étapes de ce


processus

Scénario : Vous avez un besoin d’automatiser la création de nouveaux


comptes d'utilisateur employé dans l’Active Directory. Effectuer les
étapes suivantes pour documenter la conception pour le scénario :

1. Utilisez une table pour intégrer les entrées, les sorties et les
autorisations

Scenario artifact Value Additional notes

63
Input Human resources This can be a single user request or
multiple requests using a text file.
Authorization Standard domain account so
request Implied in the
and approval authorization is in the request.
System/Technol Permission right to create a user
request Active
ogy for task account.
execution
Output Directory User account must be created with a
flag to change password on first
Output format Enabled user account logon.
with initial random Print out details and provide to
password authorized new user.
Print out of details

2. Créer un organigramme pour représenter le runbook


souhaité afin de mettre en œuvre les étapes manuelles .Le but
de l'organigramme est de capturer trois domaines essentiels
et de mettre en évidence les dépendances comme indiqué
dans la figure suivante (entrées , le traitement et sorties):

64
3. En utilisant notre exemple de scénario et la figure précédente
nous obtenons les aspects suivants :

- entrées: Fournir des détails de l'utilisateur nécessaires à la console


d'orchestration (Initailize Data) ou fournir un fichier avec une liste
des détails de l'utilisateur formatés dans un emplacement réseau
accessible.

- traitement: série de tâche permettant la création de l'utilisateur en


plusieurs étapes (créer utilisateur, mot de passe défini, et l’activer).

- sorties: Envoi d’un mail d’un mail de confirmation

65
VII. Premier runbook :

Cet exemple montre comment faire un simple runbook qui surveille un


dossier pour les nouveaux fichiers de texte.
Quand un fichier est détecté, le runbook envoie un message du journal
des événements, puis démarre un autre runbook.

In the Runbook Designer


Connections pane, right-
click the Runbooks folder
to select New, and then
click Runbook.

66
Right-click the New
Runbook tab to select
Rename.

 In the Activities
pane, click File
Management to
expand the category,
and then drag the
Monitor Folder
activity into the
Runbook Designer
Design workspace.

 In the Activities
pane, click
Notification to expand
the category, and then
drag the Send Event
Log Message activity
into the Runbook
Designer Design
workspace, to the right
of the Monitor Folder
activity.

67
 In the Runbook
Designer Design
workspace, move your
pointer over the right
side of the Monitor
Folder activity to
display the smart link
arrow.

 Click the smart link


arrow, and then drag it
to the Send Event Log
Message activity.

In the Activities pane,


click Runbook Control to
expand the category, and
then drag the Invoke
Runbook activity into the
Runbook Designer
Design workspace, to the
right of the Send Event
Log Message activity.
 In the Runbook
Designer Design
workspace, move your
pointer over the right
side of the Send Event
Log Message activity
to display the smart
link arrow.

 Click the smart link


arrow, and then drag it
to the Invoke
Runbook activity.

68
 In the Runbook
Designer Design
workspace, double-
click the Monitor
Folder activity.

 In the Monitor
Folder Properties
dialog box, click the
General tab.

 In the Name box,


change the name of the
activity to something
informative, for
example Monitor
C:\Monitor Folder.

 Click the Details tab.

 On the Details tab,


in the Path box, type
the path of the folder
you want to monitor,
for example
C:\Monitor.

69
 Below the File
Filters list, click Add.
In the Filter Settings
dialog box, set the
following:

In the Name list box,


select File Name.

In the Relation list


box, select Matches
pattern.

In the Value box, type


*.txt

Click OK..

 Select the Triggers


tab.

 Select the Number


of files is option, set
the value in the list to
greater than, and then
type 0 in the edit box.

Click Finish.

70
 In the Runbook
Designer Design
workspace, double-
click the Send Event
Log Message.

 In the Send Event


Log Message
Properties dialog box,
on the Details tab, in
the Properties section,
set the following:

In the Computer box,


type the name of the
computer to receive the
Event message.

This is typically the


computer where you
are running Runbook
Designer.

71
VIII. Intégration Pack pour Active Directory

Dans ce chapitre, nous fournirons les informations sur la fâçon de gérer


les tâches Active Directory communes utilisant Runbooks dans Microsoft
System Center Orchestrator 2012 :

A. Creating new users in Active Directory


B. Adding users to groups in Active Directory
C. Maintaining the organizational structure – moving accounts
to new OUs
D. Disabling user accounts in Active Directory
E. Using SCORCH to remove obsolete user accounts

A. Introduction :

La gestion des objets dans Microsoft Active Directory est une activité
quotidienne répétitive dans les IT.
Ces tâches répétitives offrent un potentiel élevé d'automatisation.
Les exigences pour automatiser les tâches sont une définition du
processus de gestion des utilisateurs (ou processus de gestion de
l'identité).
Le processus de gestion des utilisateurs décrit dans ce chapitre portera
sur les scénarios suivants :

- Créer de nouveaux utilisateurs dans Active Directory


C’est une demande typique tous les jours.

- Ajout d'utilisateurs à des groupes dans Active Directory


C’est une demande quotidienne (pour l'accès aux ressources ; par
exemple, part, d'application ou des imprimantes).

72
- Maintien des OU – Déplacer des utilisateurs dans une
autre OU
- Désactiver des comptes utilisateurs
- Supprimer les comptes obsolètes

Pré-requis :

1. Installation et déploiement du kit « Intégration Pack for


Active Directory »
2. Ajouter un compte ayant les droits pour ajouter, supprimer,
modifier, déplacer un compte utilisateur.

B. Nouvel Utilisateur dans l’Active Directory

Faire un nouvel utilisateur dans l’Active Directory est une tâche


répétitive. Ce processus de gestion des utilisateurs est courant et est
souvent déclenché par un nouvel employé qui rejoint la société.

Le schéma suivant illustre le processus de management d’un nouvel


utilisateur.

73
Comment faire

Voir le Lab : Nouvel utilisateur pour l’active Directory

C. Ajout d’utilisateurs dans un groupe Active Directory


Les groupes Active Directory sont généralement utilisés pour accorder
l'accès aux ressources ou la délégation d'autorisation.
Une activité quotidienne est l'ajout d'utilisateurs aux groupes Active
Directory.
Les utilisateurs des ressources pourraient avoir besoin d'autorisations
pour ou accéder à peut-être :

- Accès à un dossier partagé


- Accès une application
- Accès et connexion à une imprimante
- Accès à différents types d’infrastructure réseau comme
les groupes VPN

Le schéma suivant illustre le processus de management d’ajout d’un


utilisateur dans un groupe Active Directory.

74
Comment faire

Voir le Lab : Ajout d’un utilisateur dans un groupe Active Directory

D. Suppression d’un utilisateur d'un groupe dans


Active Directory

Pour supprimer un utilisateur d'un groupe Active Directory, vous pouvez


utiliser l'activité suppression d’un utilisateur d’un groupe à partir du
pack Active Directory intégration. Les paramètres et les informations
requises sont les mêmes que dans le Ajout d'un utilisateur.

Comment faire

Voir Lab : Suppression d’un utilisateur d’un groupe Active Directory

E. Déplacement d’un compte dans une nouvelle OU

Au sein de l’Active Directory, les comptes d'utilisateurs sont


généralement déplacés vers une nouvelle ou existante OU
Cela se produit généralement si les employés se déplacent départements
business ou de lieux physiques.
75
Cette tâche peut être automatisée au sein d’une infrastructure SCORH.

Le schéma suivant illustre le processus de management de déplacement


d’un utilisateur Active Directory dans une OU.

Comment faire

Voir le Lab : Déplacement d’un utilisateur Active Directory dans une


nouvelle OU

Désactiver un compte utilisateur dans l’Active Directory

Il est important de désactiver les comptes obsolètes. Ceci permettra


d’accroitre la sécurité et de ne permettre à un employé qui a quitté la
société de réutiliser ses crédentials.

Au lieu d'utiliser une activité « initialiser les données » au début de la


Runbook nous allons utiliser une approche différente pour automatiser le
processus.

Le processus de gestion pour désactiver les comptes d'utilisateurs dans


Active Directory est décrite dans le schéma suivant.
76
77

Vous aimerez peut-être aussi