Vous êtes sur la page 1sur 45

1

•••• Active Directory : Voir Vidéo 1

••• Rappel : Voir Image 1

••• Introduction :

• Active Directory = Service d'annuaire

• AD = Base de données contenant des informations sur tous les objets (Ordinateur, Imprimante,
Utilisateur, Contact, Dossier partagé, ...) d'un réseau

• AD pour 2 rôles : Centraliser l'administration + Intégrer la sécurité

••• LDAP :

• Protocole de base de l'AD

• LDAP utilise le port udp sur 389

• LDAP permegt d'intérroger l'AD et/ou mettre à jour la base de données

• LDAP envoi des requêtes vers les services intégrés dans l'AD (DNS, SMTP, RPC, KERBEROS, ...)

• Fournit des DN (Distinguished Name) à chaque objet AD :

- Par exemple, le DN d'un utilisateur : [DN : "CN=KHALID KATKOUT,OU=Users,DC=UITS,DC=MA"] :

+ CN : Common Name

+ OU : Organizational Unit

+ DC : Domain Controller

••• Protocoles utilisés par l'AD :

• LDAP (LightWeight Directory Access Protocol) : Protocole de base de l'AD, il utilise le port UDP sur 389

• DNS (Domain Name System) : Protocole de résolution des noms, la dénomination, et la localisation des
objets. Il utilise les ports TCP et UDP sur 53 [Client<---TCP--->LOCAL_DNS<---UDP---
>EXTERNAL_DNS(RACINE)]

• SMTP (Simple Mail Transfer Protocol) : Protocole de transfert des emails des contacts (Utilisateur ou
Group). Il utilise le port TCP sur 25

• RPC (Remote Procedure Call) : Protocole de réplication AD. Il utilise le port TCP sur 135

• KERBEROS : Protocole d'authentification. Il utilise le port TCP sur 543


2

• IP (Internet Protocol) : Protocole de connexion pour la réplication AD

••• LAB-1 : Voir Image 2

••• Installation de l'AD :

•• Prérequis :

• Adresse IP Statique

• Mot de passe fort pour l'administrateur

• DNS bien installé

• Espace disk min : 250 Mo

• Ram min : 512 Mo (Nano) ou 2 Go (CORE) ou 4 Go (GUI)

• CPU min : 1.4 Ghz

•• AD DS :

• Active Directory Domain Services

• Stockent des informations des objets disponibles dans le réseau

• Rendent les informations des objets disponibles pour les utilisateurs et les administrateurs du réseau

• Gérent les accès à des ressources autorisés via des processus d'ouverture de session unique

•• Installation graphique :

• Gestionnaire de serveur -> Gérer -> Installer des rôles et des fonctionnalités -> Suivant -> Suivant ->
Suivant -> Cocher "AD DS" et "DNS" -> Ajouter des fonctionnalités -> Suivant -> Installer

•• Installation PS (PowerShell) :

> Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

•• Avant de promouvoir le serveur en DC, il faut configurer le DNS :

• D'ajouter l'adresse IP de DNS sur la carte réseau du serveur

• Créer des zones de recherches (Directe et Indirecte)


3

• Configurer les propriétés des zones (SOA, NS, ...)

• Connecter en tant qu'administrateur

• Taper la commande "net user Administrateur /passwordreq:yes" pour résoudre le problème lié au
message "Le compte administrateur local devient l'administrateur".

•• Promouvoir le serveur en DC (Domain Controller) :

• GUI :

Promouvoir ce serveur en DC -> Cocher "Nouvelle fôret" -> Nom du domaine : UITS.MA -> Suivant ->
Mot de passe de restauration des services AD : P@ssw0rd -> Suivant -> Nom Netbios : UITS -> Suivant ->
Suivant -> Suivant -> Installer

• PS :

> Install-ADDSDomainController -DomainName UITS.MA -InstallDns:$false -Credential (Get-Credential


"UITS\Administrateur")

SafeModeAdministratorPassword: ********

Confirmer SafeModeAdministratorPassword: ********

...

••• Schéma AD : Vidéo 2

•• Introduction :

• Contient des définitions sur tous les objets AD, ainsi que les classes et les attributs de chaque objet.

•• Accès au schéma AD :

• Ouvrir "CMD" en tant qu'admin et taper la commande "regsvr32 schmmgmt.dll"

• Lancer "Exécuter" et taper "MMC"

• Fichier -> Ajouter/Supprimer ... -> Selectionner "Schéma AD" -> OK

•• Classes et attributs :

• Classes : Ordinateur, Utilisateur, Contact, Groupe, OU, Imprimante, Dossier partagé, ...

• Attributs : Login, Mot de passe, DisplayName, Description, Address, UPN (UserPrincipalName), Infos, ...
4

•• Version de schéma AD :

• La version de schéma determine les fonctionnalités disponibles ou non pour l'AD

• Vérifier la de schéma AD :

PS C:\Users\Administrateur> dsquery.exe * CN=schema,CN=configuration,DC=UITS,DC=MA -scope base


-attr objectversion

objectversion

88

• Les versions de schéma selon l'OS :

- 13 : 2000

- 30 : 2003

- 31 : 2003 R2

- 44 : 2008

- 47 : 2008 R2

- 56 : 2012

- 69 : 2012 R2

- 87 : 2016

- 88 : 2019

••• Catalogue globale :

•• Introduction :

• Catalogue globale est un contrôleur de domaine centrale

• Il contient :

- Replication partielle pour tous les attributs les plus utilisés dans les domaines de toute la fôret

- Toutes les informations de chaque objet dans la forêt

•• Fonctions :
5

• Rechercher des objets dans la fôret

• Résolution des UPN (User Principal Name : katkout@uits.ma)

• Vérifications des références des objets inter-domaine

••• Objets et les structures AD : Vidéo 3

•• Voir Image 3

••• FSMO :

•• Introduction :

• FSMO = Flexible Single Master Operation

• Pour éviter les conflits lors des opérations sensibles dans l'AD, Microsoft a intégré le concept des rôles
FLSMO avec l'AD

•• Afficher les FSMO :

PS C:\Users\Administrateur> netdom.exe query fsmo

Contrôleur de schéma SRV1.UITS.MA

Maître des noms de domaine SRV1.UITS.MA

Contrôleur domaine princip. SRV1.UITS.MA

Gestionnaire du pool RID SRV1.UITS.MA

Maître d’infrastructure SRV1.UITS.MA

L’opération s’est bien déroulée.

•• Les 5 FSMO :

• Par fôret :

- Contrôleur de schéma (Schema) : Réplique les changements du schéma vers les autres contrôleurs du
domaine. Il est unique dans la fôret.

- Maître des nons de domaine (Name) : Attribute des noms uniques pour des différents domaines dans
l'AD. Il est unique dans la fôret.

• Par domaine :
6

- Contrôleur du domaine principale (PDC) : C'est le plus utilisé, et il est unique dans le domaine. C'est
pour plusieurs fonctions : Application et modification des GPO, Gestion des comptes, Changement des
mots de passe, ...

- Gestaionnaire du pool RID (RID) : Est utilisé pour assigner des ID unique pour chaque objet AD dans le
domaine

- Maître d'infrastructure (Infr) : Pour gérer les références entre les objets AD dans le domaine avec la
création des objets ghosts qui permet de faire des changements et des modifications avec attention sur
l'AD

•• Afficher FSMO par FSMO :

PS C:\Users\Administrateur> dsquery.exe server -HasFSMO schema

"CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=UITS,DC=MA"

PS C:\Users\Administrateur> dsquery.exe server -HasFSMO Name

"CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=UITS,DC=MA"

PS C:\Users\Administrateur> dsquery.exe server -HasFSMO PDC

"CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=UITS,DC=MA"

PS C:\Users\Administrateur> dsquery.exe server -HasFSMO RID

"CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=UITS,DC=MA"

PS C:\Users\Administrateur> dsquery.exe server -HasFSMO Infr

"CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=UITS,DC=MA"

•• Déplacer les FSMO :

• Chaque FSMO à son propre numéro (ID) :

- PDC : 0

- RID : 1

- Infr : 2

- Schema : 3

- Name : 4

• Exemple : Voir Image 4


7

- Déplacer les maître RID et Name de DC1 vers DC2 :

PS C:\Users\Administrateur> Move-ADDirectoryServerOperationMasterRole -Identity "DC2.UITS.MA" -


OperationMasterRole 1,4

•• Afficher les maîtres d'opération au niveau du domaine & de schéma :

PS C:\Users\Administrateur> Get-ADDomain | Select-Object


InfrastructureMaster,RIDMaster,PDCEmulator

InfrastructureMaster RIDMaster PDCEmulator

-------------------- --------- -----------

SRV1.UITS.MA SRV1.UITS.MA SRV1.UITS.MA

PS C:\Users\Administrateur> Get-ADForest | Select-Object DomainNamingMaster,SchemaMaster

DomainNamingMaster SchemaMaster

------------------ ------------

SRV1.UITS.MA SRV1.UITS.MA

••• Contrôleur du domaine (Domaine Controller = DC) :

• Un DC est un serveur exécutant Windows Server où l'administrateur a déployé le service AD DS.

• Il y a plusieurs types de DC :

- DC en lecture et écriture (DC Principale)

- DC en lecture seule (RODC)

• Le DC peut avoir des fonctions :

- GC

- FSMO
8

••• Active Directory :

••• LAB : Voir Image 1

••• Activer la corbeille AD :

• Gestionnaire de serveur > Outils > Centre d'administration AD > Clic droite sur Domaine (UITS) >
Activer la corbeille

• Pour simplifier la restaurations des objets AD qui seront supprimé

••• Utilisateurs et Ordinateurs Active Directory :

•• Introduction :

• C'est la console AD la plus utilisée

• On peut l'utiliser pour déclarer la pluparts des objets AD (Utilisateur, Ordinateur, Groupe, Dossier
partager, Imprimante, Unité d'organisation, Contact, ...

•• Unité d'organisation :

• Est un objet conteneur pour organiser les objets AD (Selon le service, Selon le département, Selon le
type, ...)

• Est stocké dans "C:\Windows\NTDS"

• Création des OU (Organizational Unit) via GUI :

- Clic droite sur le nom du domaine ou autre emplacement > Nouveau > Unité d'organisation -> Nom : IT
> Cocher ou décocher "Protéger le conteneur contre une suppression accidentelle" > OK

• Création des OU (Organizational Unit) via CMD :

C:\Users\Administrateur>dsadd ou "ou=RH,DC=UITS,DC=MA" -Desc "Objet conteneur des utilisateurs et


des objets de département RH"

• Création des OU (Organizational Unit) via PS :

PS C:\Users\Administrateur> New-ADOrganizationalUnit VENTE


9

• Création des sous OU (Organizational Unit) via GUI :

- Clic droite sur un OU > Nouveau > Unité d'organisation -> Nom : NET-SEC > Cocher ou décocher
"Protéger le conteneur contre une suppression accidentelle" > OK

• Création des sous OU (Organizational Unit) via CMD :

C:\Users\Administrateur>dsadd ou "ou=FORMATION,ou=RH,DC=UITS,DC=MA"

C:\Users\Administrateur>dsadd ou "ou=ADMINISTRATION,ou=RH,DC=UITS,DC=MA"

• Création des sous OU (Organizational Unit) via PS :

PS C:\Users\Administrateur> New-ADOrganizationalUnit SOFTWARE -path


"OU=VENTE,DC=UITS,DC=MA"

PS C:\Users\Administrateur> New-ADOrganizationalUnit HARDWARE -path


"OU=VENTE,DC=UITS,DC=MA"

PS C:\Users\Administrateur> New-ADOrganizationalUnit SERVICES -path "OU=VENTE,DC=UITS,DC=MA"

• Suppression d'une OU via PS :

PS C:\Users\Administrateur> New-ADOrganizationalUnit TEST

PS C:\Users\Administrateur> Set-ADOrganizationalUnit "OU=TEST,DC=UITS,DC=MA" -


ProtectedFromAccidentalDeletion $false

PS C:\Users\Administrateur> Remove-ADOrganizationalUnit -Identity "OU=TEST,DC=UITS,DC=MA" -


Confirm

• Déplacement d'une OU via PS :

PS C:\Users\Administrateur> New-ADOrganizationalUnit COMPTA

PS C:\Users\Administrateur> Set-ADOrganizationalUnit "OU=COMPTA,DC=UITS,DC=MA" -


ProtectedFromAccidentalDeletion $false

PS C:\Users\Administrateur> Move-ADObject -Identity "OU=COMPTA,DC=UITS,DC=MA" -TargetPath


"OU=RH,DC=UITS,DC=MA"

PS C:\Users\Administrateur> Set-ADOrganizationalUnit "OU=COMPTA,OU=RH,DC=UITS,DC=MA" -


ProtectedFromAccidentalDeletion $true
10

• Afficher toutes les OU via PS :

PS C:\Users\Administrateur> Get-ADOrganizationalUnit -Filter *

• Compter le nombre des OU :

PS C:\Users\Administrateur> (Get-ADOrganizationalUnit -Filter *).count

• Afficher les commandes PS liées à des OU :

PS C:\Users\Administrateur> Get-Command -Module ActiveDirectory -Name *OrganizationalUnit*

CommandType Name Version Source

----------- ---- ------- ------

Cmdlet Get-ADOrganizationalUnit 1.0.1.0 ActiveDirectory

Cmdlet New-ADOrganizationalUnit 1.0.1.0 ActiveDirectory

Cmdlet Remove-ADOrganizationalUnit 1.0.1.0 ActiveDirectory

Cmdlet Set-ADOrganizationalUnit 1.0.1.0 ActiveDirectory

• Afficher les emplacements des OU :

PS C:\Users\Administrateur> Get-ADOrganizationalUnit -Filter * -Properties CanonicalName | Select-


Object -Property CanonicalName

CanonicalName

-------------

UITS.MA/Domain Controllers

UITS.MA/IT

UITS.MA/RH

UITS.MA/VENTE

UITS.MA/IT/NET-SEC

UITS.MA/IT/SYS-INFR

UITS.MA/RH/FORMATION
11

UITS.MA/RH/ADMINISTRATION

UITS.MA/VENTE/SOFTWARE

UITS.MA/VENTE/HARDWARE

UITS.MA/VENTE/SERVICES

UITS.MA/RH/COMPTA

• Afficher des informations sur des OU multiples :

PS C:\Users\Administrateur> Get-ADObject -Filter {ObjectClass -eq 'OrganizationalUnit'}

DistinguishedName Name ObjectClass ObjectGUID

----------------- ---- ----------- ----------

OU=Domain Controllers,DC=UITS,DC=MA Domain Controllers organizationalUnit ffe6265c-2f15-4112-


baa...

OU=IT,DC=UITS,DC=MA IT organizationalUnit 1d6cbe1e-9670-457d-88e...

OU=RH,DC=UITS,DC=MA RH organizationalUnit d1b5da2a-789d-4390-895...

OU=VENTE,DC=UITS,DC=MA VENTE organizationalUnit 084ddc65-6562-4c13-80a...

OU=NET-SEC,OU=IT,DC=UITS,DC=MA NET-SEC organizationalUnit 78430fad-a0e7-408a-b2f...

OU=SYS-INFR,OU=IT,DC=UITS,DC=MA SYS-INFR organizationalUnit 5f87cb46-3f00-4041-9ef...

OU=FORMATION,OU=RH,DC=UITS,DC=MA FORMATION organizationalUnit bd4deb80-7a9e-


4128-864...

OU=ADMINISTRATION,OU=RH,DC=UITS,DC=MA ADMINISTRATION organizationalUnit 55cdb827-326c-


4960-983...

OU=SOFTWARE,OU=VENTE,DC=UITS,DC=MA SOFTWARE organizationalUnit a467e2bc-d86d-


4cba-bea...

OU=HARDWARE,OU=VENTE,DC=UITS,DC=MA HARDWARE organizationalUnit 9303f353-e5ec-


4afc-87b...

OU=SERVICES,OU=VENTE,DC=UITS,DC=MA SERVICES organizationalUnit 1bd0b5f3-9a06-4276-


975...

OU=COMPTA,OU=RH,DC=UITS,DC=MA COMPTA organizationalUnit dc7e5eb6-018e-4956-


b04...
12

•• Utilisateurs :

• Types des utilisateurs :

- Local

- Domain

- Virtuel

• Création des utilisateurs via GUI :

- Clic droite sur un OU > Nouveau > Utilisateur > Prénom : KHALID > Nom : KATKOUT > Nom d'ouverture
de session de l'utilisateur : K.KATKOUT > Suivant > Taper et confirmer le mot de passe : P@ssw0rd >
Cocher "L'utilisateur doit changer le mot de passee à la prochaine ouverture de session" > Terminer

• Création des utilisateurs via CMD :

C:\Users\Administrateur>dsadd user "CN=ALI KATKOUT,OU=SYS-INFR,OU=IT,DC=UITS,DC=MA" -Desc


"Responsable de l'infrastructure et de système" -upn A.KATKOUT@UITS.MA -pwd P@ssw0rd -
mustchpwd yes -canchpwd yes -fn ALI -ln KATKOUT -dept SYS-INFR -company UITS -disabled no

dsadd réussite:CN=ALI KATKOUT,OU=SYS-INFR,OU=IT,DC=UITS,DC=MA

• Création des utilisateurs via PS :

PS C:\Users\Administrateur> New-ADUser -Name "NOUR" -Path


"OU=COMPTA,OU=RH,DC=UITS,DC=MA" -GivenName "Nour El Houda" -Surname "KATKOUT" -Company
"UITS" -Department "RH\COMPTA" -Enabled $True -UserPrincipalName NEL.KATKOUT@UITS.MA -
AccountPassword(Read-Host -AsSecureString "Taper le mot de passe") -ChangePasswordAtLogon $true

Taper le mot de passe: ********

• Créer plusieurs utilisateurs à la fois avec CMD :

C:\Users\Administrateur>for %i in (Yousouf,Sofiane,Rida,Ayoub,Sara) do dsadd user "CN=


%i,OU=SERVICES,OU=VENTE,DC=UITS,DC=MA" -Desc "Profils des services (VENTES)" -upn %i@UITS.MA -
pwd P@ssw0rd -mustchpwd yes -canchpwd yes -fn %i -dept UITS\SERVICES -company UITS -disabled no

• Créer plusieurs utilisateurs à la fois avec PS (Script) :

- Prérequis : Excel + PS + Listes des utilisateurs


13

- Créer un fichier Excel contenant les utilisateurs AD (Voir le fichier "USERS" et enregistrer le dans le
bureau sous format CSV (Voir le fichier CSV.csv)

- Préparer le script sur un fichier texte (Voir le fichier texte "SCRIPT") et enregistrer le sous le nom
"CSV.ps1" (le fichier PS "CSV.ps1")

$ADUsers = Import-csv C:\Users\Administrateur\Desktop\CSV.csv -Delimiter ";"

foreach ($User in $ADUsers)

$Username = $User.USERNAME

$Password = $User.PASSWORD

$Firstname = $User.FIRSTNAME

$Lastname = $User.LASTNAME

$Department = $User.DEPARTMENT

$OU = $User.OU

if (Get-ADUser -F {SamAccountName -eq $Username})

Write-Warning "L'utilisateur $Username existe déjà dans l'Active Directory"

else

New-ADUser `

-SamAccountName $USERNAME `

-UserPrincipalName "$Username@UITS.MA" `

-Name "$FIRSTNAME $LASTNAME" `

-GivenName $FIRSTNAME `

-Surname $LASTNAME `

-Enabled $True `

-ChangePasswordAtLogon $True `

-DisplayName "$LASTNAME, $FIRSTNAME" `


14

-Department $DEPARTMENT `

-Path $OU `

-AccountPassword (convertto-securestring $Password -AsPlainText -Force)

- Exécuter le script via PS (En tant qu'administrateur) :

PS C:\Users\Administrateur> cd .\Desktop

PS C:\Users\Administrateur\Desktop> .\CSV.ps1

• Afficher les utilisateurs AD :

- Tous les utilisateurs :

PS C:\Users\Administrateur\Desktop> Get-ADUser -Properties *

- Compter le nombre de tous les utilisateurs AD :

PS C:\Users\Administrateur\Desktop> (Get-ADUser -Properties *).count

- Afficher des information sur un utilisateur spécifique (On se basant sur SamAccountName) :

PS C:\Users\Administrateur\Desktop> Get-ADUser -Properties * -Identity Administarteur

PS C:\Users\Administrateur\Desktop> Get-ADUser -Properties * -Identity O-IMZIL

- Afficher les dates de création des utilisateurs :

PS C:\Users\Administrateur\Desktop> Get-ADUser -Filter * -Properties WhenCreated | Select-Object


Name, WhenCreated

PS C:\Users\Administrateur\Desktop> Get-ADUser -Filter * -Properties WhenCreated | Select-Object


Name, WhenCreated | out-file "USER-WhenCreated.txt"

- Afficher les utilisateurs désactivés :

PS C:\Users\Administrateur\Desktop> Get-ADUser -Filter {enabled -eq "False"} | Format-table


SamAccountName, Name
15

- Afficher tous les utilisateurs dont le mot de passe n'expire jamais, et aussi dont le mot de passe déjà
changé :

PS C:\Users\Administrateur\Desktop> Get-ADUser -Filter * -Properties Name, PasswordLastSet,


PasswordNeverExpires | Select Name, PasswordLastSet, PasswordNeverExpires | Sort PasswordLastSet -
Descending

- Forcer le changement de mot de passe à la prochaines ouverture de session :

PS C:\Users\Administrateur\Desktop> Get-ADUser -Filter * -SearchBase


"OU=SERVICES,OU=VENTE,DC=UITS,DC=MA" | Set-ADUser -PasswordNeverExpires $False

PS C:\Users\Administrateur\Desktop> Get-ADUser -Filter * -SearchBase


"OU=SERVICES,OU=VENTE,DC=UITS,DC=MA" | Set-ADUser -CannotChangePassword $False

PS C:\Users\Administrateur\Desktop> Get-ADUser -Filter * -SearchBase


"OU=SERVICES,OU=VENTE,DC=UITS,DC=MA" | Set-ADUser -ChangePasswordAtLogon $True

• Exporter le contenu AD via LDIFDE (Voir le fichier UITS.ldf) :

C:\Users\Administrateur\Desktop> ldifde -f UITS.ldf -d "DC=UITS,DC=MA"

• Importer le contenu AD via LDIFDE :

C:\Users\Administrateur\Desktop> ldifde -i -f UITS.ldf -d "DC=UITS,DC=MA"

• Exporter le contenu AD via CSVDE :

C:\Users\Administrateur\Desktop>csvde -d "OU=SERVICES,OU=VENTE,DC=UITS,DC=MA" -f
"SERVICES.csv"

• Convertir le fichier exporté en fichier lisible (Voir le fichier SERVICES) :

- Ouvrir le fichier > Sélectionne une colonne > Données > Convertir > Délimité > Suivant > Séparateurs :
Tabulation & Virgules > Suivant > Terminer

•• Jointure d'un ordinateur au domaine AD :

• Jointure en ligne :
16

- GUI : Voir Image 2

- PS : Voir Image 3

• Jointure hors ligne :

- Offline AD Join est un nouveau processus afin que les ordinateurs exécutant windows 10/7 ou 2008 R2
peuvent joindre le domaine sans contacer directement le DC ou dont un problème de jointure/contact
avec le DC.

- Cela permet d'adhérer les ordinateurs, qui ont pas de connectivité au réseau d'entreprise (DC), à un
domaine AD via l'outil "Djoin.exe"

- Etape 1 : au niveau du serveur -> CMD

C:\Users\Administrateur>cd .\desktop

C:\Users\Administrateur\Desktop>djoin /provision /domain UITS.MA /machine CL2 /savefile CL2.txt

- Etape 2 : au niveau du client (Avant de taper la commande suivante, il faut copier le fichier "CL2.txt"
depuis le serveur vers le client (C:\Windows\System32)) -> CMD

C:\Windows\system32>djoin /requestODJ /loadfile C:\Windows\System32\CL2.txt /Windowspath


%systemroot% /localOS

- Etape 3 : Redémarrer l'ordinateur et taper le nom de l'utilisateur


17

•••• Active Directory :

••• LAB : Voir Image 1

••• Groupes :

•• Introduction :

• Un groupe est un objet AD permettant de regrouper des utilisateurs pour simplifier et centraliser la
gestion (Partage, Autorisation, ...)

• Il y a 2 types de groupe :

- Sécurité : Autorise et gère les accès aux ressources

- Distribution : Est utilisé par des protocoles de messagerie (SMTP) lors de la réplication

• Il y a aussi 3 étendues de groupe :

- Locale : Visible est disponible uniquement pour les utilisateurs du domaine local

- Globale : Visible est disponible pour les utilisateurs du domaine local et les domaines approuvés

- Universelle : Visible est disponible pour tous les utilisateurs de la fôret

•• Utilisation des groupes :

• Voir Image 2

•• Création des groupes :

• GUI :

- Clic droite sur domaine/OU/... > Nouveau > Groupe > Nom : IT-ADMIN > Etendue : Global > Type :
Sécurité

• PS :

PS C:\Users\Administrateur> New-ADGroup RH -GroupCategory Security -GroupScope DomainLocal -


Path "OU=RH,DC=UITS,DC=MA" -Description "Groupe des responsables RH"

• CMD :
18

C:\Users\Administrateur>dsadd group "cn=VENTE,OU=VENTE,DC=UITS,DC=MA" -Secgrp yes -scope l

-Secgrp : Security Group (Yes) ou Destribution Group (No) -> Par defaut (No)

-Scope : Domain Local (l) ou Global (g) ou Universel (u) -> Par defaut (g)

•• Ajouter des membres des groupes :

• GUI :

- Double Clic sur le groupe > Membre > Ajouter > Taper les utilisateurs > OK

• PS :

PS C:\Users\Administrateur> Add-ADGroupMember -Identity "CN=RH,OU=RH,DC=UITS,DC=MA" -


Members A-LEBBAR

PS C:\Users\Administrateur> Add-ADGroupMember -Identity "CN=RH,OU=RH,DC=UITS,DC=MA" -


Members NOUR

Ou :

PS C:\Users\Administrateur> Add-ADGroupMember -Identity "CN=RH,OU=RH,DC=UITS,DC=MA" -


Members A-LEBBAR,NOUR

• CMD :

C:\Users\Administrateur>dsmod group "cn=VENTE,OU=VENTE,DC=UITS,DC=MA" -addmbr "CN=R-


MAGRI,OU=HARDWARE,OU=VENTE,DC=UITS,DC=MA"

•• Afficher les utilisateurs des groupes et aussi des informations sur des groupes :

• GUI :

- Double Clic sur le groupe > ...

• PS :

- Compter le nombre total des groupes :

PS C:\Users\Administrateur> (Get-ADGroup -Filter *).count


19

- Afficher tous les groupes :

PS C:\Users\Administrateur> Get-ADGroup -Filter *

- Afficher les groupes avec un affichage plus lisible :

PS C:\Users\Administrateur> Get-ADGroup -Filter * | Format-Table Name, DistinguishedName

- Afficher les membres d'un groupe :

PS C:\Users\Administrateur> Get-ADGroupMember -Identity "CN=IT-ADMIN,OU=IT,DC=UITS,DC=MA"

- Afficher toutes les informations sur un groupe :

PS C:\Users\Administrateur> Get-ADGroup -Identity "CN=IT-ADMIN,OU=IT,DC=UITS,DC=MA" -Properties


*

- Compter le nombres des membres d'un groupe :

PS C:\Users\Administrateur> (Get-ADGroupMember -Identity "CN=IT-


ADMIN,OU=IT,DC=UITS,DC=MA").count

•• Il est possible de change l'étendue et le type du groupe :

• On peut changer le type sans aucun problème, mais pour changer l'étendue il faut respecter :

- Local > Universel

- Global > Universel

- Universel > Local ou Global

••• Stratégie de groupe :

•• Introduction :

• GPO = Group POlicy

• GPO sont des fonctionnalités Windows pour centraliser la gestion des objets réseaux

• GPO permettent de gérer les utilisateurs et les ordinateurs AD

• Les entreprises utilisent les GPO pour :


20

- Appliquer des paramètres de sécurité

- Limiter les risques potentielles

- Gérer et partamètrer les applications bureau

- Déployer l=des applications logiciels

- Gérer la redirection des dossiers

- Configurer les paramètres réseaux

- ...

•• L'accès au GPO :

• Gestionnaire de serveur > Outils > Gestion des stratégies de groupe

•• Aperçu sur les GPO :

• Console : Voir Image 3

- Pour créer les GPO

- Pour appliquer les GPO

- Configurer l'héritage

• Editeur : Voir Image 4

- Pour paramètrer et configurer les règles GPO (Autorisation, Limitaion, Partage, Accès, Installation, ...)

•• GPO par défaut :

• Default Domain Controllers Policy :

- Attribution des droits utilisateurs

- Options de sécurité

• Default Domain Policy :

- Stratégie de mot de passe

- Stratégie de verrouillage du compte

- Stratégie Kerberos
21

- Options de sécurité

- Système de fichiers de chiffrement

•• Hiérarchie des GPOs :

• Les GPO sont appliqué selon l'ordre suivant :

- 1 : GPO locaux sont appliqués

- 2 : GPO locaux liés aux sites sont appliqués

- 3 : GPO liés au domaine sont appliqués

- 4 : GPO liés au OU sont appliqués

•• Stockage des GPO :

• GPO est un objet virtuel identifié par un GUID unique

• GPO est stocké sur 2 emplacements : GPC et GPT

- GPC (Group Policy Container) est conteneur AD contenant les propriétés de GPO, tel que les
informations, les versions, l'état de GPO, les liens, et autres paramètres.

- GPT (Group Policy Template) est un dossier contenant la GPO et situé sur le dossier SYSVOL

•• Héritage :

• Est un paramètre GPO qui fait le transfert d'application des GPO entre des parents et des enfants

• Il peut être bloqué ou appliqué pour contrôler les GPO à chaque niveau

• Par défaut est appliqué

•• Filtres WMI :

• WMI = Windows Management Instrumentation

• Outils de ciblage de la GPMC (Editeur de la stratégie de groupe)

• Sont très puissant et permmettent de cibler les postes clients d'une GPO avec précision

•• Création des GPOs :


22

• Gestion de stratégie de groupe > Domaines > UITS.MA > Objets de stratégie de groupe > Clic Droite >
Nouveau > Nom : UITS > OK

•• Configuration des GPOs :

• Gestion de stratégie de groupe > Domaines > UITS.MA > Objets de stratégie de groupe > Clic Droite sur
"UITS" > Modifier

• Interdire l'accès au panneau de configuration :

- Configuration Utilisateur > Strétégie > Modèle d'administration > Panneau de Configuration > Interdire
l'accès au panneau de configuration ... > Activé > OK

• Désactiver le redémarrage forcé du système :

- Configuration Ordinateur > Strétégie > Modèle d'administration > Composants Windows > Windows
Installer > PInterdire les installations par des utilisateurs > Activé > OK

• Désactiver l'installation des logiciels :

- Configuration Ordinateur > Strétégie > Modèle d'administration > Composants Windows > Windows
Update > Pas de redémarrage automatique avec des utilisateurs connectés ... > Activé > OK

• Désactiver les disques amovibles :

- Configuration Utilisateur > Strétégie > Modèle d'administration > Système > Accès au stockage
amovible > Toutes les classes de stockage amovible : Refuser tous les accès > Activé > OK

• Désactiver l'accès à la configuration de TCP/IP :

- Configuration Utilisateur > Strétégie > Modèle d'administration > Réseau > Connexion Réseau >
Interdire la configuration avancée de TCP/IP > Activé > OK

• Installer un logiciel via GPO :

- Besoin d'un logiciel avec un extension MSI, sinon, vous pouvez utiliser "ExetomsiSetup" pour convertir
un fichier EXE.

- Il faut copier le package MSI dans le dossier "C:\Windows\SYSVOL\sysvol\Applications"


23

- Configuration Ordinateur > Strétégie > Paramètres du logiciel > Installation du logiciel > Nouveau >
Choisir le logiciel > Suivant > OK

••• Service DNS :

••• Topologie de travail : Voir Image 1


••• Introduction :
• DNS = Domain Name System (Protocol)
• DNS = Domain Name Server (Service)
• DNS permet de résoudre des noms d'hôte ou FQDN (Fully Qualified
Domain Name, par exemple : SRV1.UITS.MA) en des adresses IP ou bien
le contraîre
• DNS utilise des noms qui peuvent aller jusqu'à 256 caractères
• DNS utilise le port 53 sur :
- TCP pour les résolution récursive
- UDP pour les résolution itérative

••• FQDN : Voir Image 2


• Système de noms DNS
• Fully Qualified Domain Name
• Est une base de données dédié pour la résolution directe (Nom >
Adresse IP)
• C'est une hiérarchie DNS sous forme de niveaux :
- Root : C'est le maître DNS, en total il y a 13 ROOT standards.
24

- TLD (Top Level Domain) : C'est le domaine de niveau supérieur, il y a


224 TLD standards déjà dévisés sur plusieurs types.
- Domaine : Nom ou nom du domaine de l'entreprise.
- Sous Domaine (Optionnel) : Utilisé pour créer des dévisions ou bien
des sites de l'entreprise mère (Par exemple : la société mère
"google.com" utilise des sous domaines comme "plus.google.com",
"drive.google.com", "gmail.google.com", ...)
- Alias : est un enregistrement ou hôte comme "www"
• FQDN = Résolution directe

••• ARPA :
• Système de noms DNS
• Address And Routing Parameters Area
• Est une base de données dédié pour la résolution indirecte (Adresse
IP > Nom)
• ARPA = Résolution inversée/indirecte

••• TLD Types :


• GTLD (Generic TLD) : .com, .net, ...
• CCTLD (Code Country TLD) : .ma, .fr, .us, ...
• ITLD (Infrastructured TLD) : .org, .gov, ...
• STLD (Sponsorized TLD) : Special and Particular TLD
25

••• Enregsitrements DNS (DNS Records) :


• Les enregistrements DNS cartoghraphient des fichiers ou des
systèmes qui indiquent à un serveur DNS l'adresse associé à un
domaine particulier.
• Ils indiquement aussi aux serveurs DBS comment traiter les demandes
envoyés à chaque domaine.
• Les enregistrements se trouvent tout d'abord sur les fichiers des
zones qui représentes un domaine organisé

• On générale les enregistrements DNS respectent une


structure/syntaxe simple : <NAME> <TTL> <CLASS> <TYPE>
>RDLENGHT> <RADATA>
- NAME : le nom du domaine correspond à hôte (Ou l'internaute qu'on
peut taper sur la navigateur)
- TTL (Time To Live) : Désigne la durée en secondes pendant laquelle
l'enregistrement DNS peut être conservé dans les caches
- CLASS : Théoriquement, les enregistrements DNS sont réparties en
plusieurs classes. Mais dans la réalitén la plupart des enregistrements
DNS relèvent de la classe INTERNET (IN). Cette information est
facultative.
- TYPE : Type d'enregistrement (On va voir les types après)
- RDLENGHT : C'est un champ facultatif, il précise la taille en octets du
champs de données suivant
- RADATA : Les données de ressources sont les informations à partir
desquelles on va résoudre le nom du domaine, par exemple son @IP
- Un exemple : "www.uits.ma. 12879 IN A 93.24.226.32"
26

• Les principaux types des enregistrements :


- SOA (Start OF Autority = Début de l'autorité) : Contien des
informations de la zone, il est important pour le transfert de la zone et
la réplication entre des serveurs DNS
- NS (Nameserver) : Permet d'indiquer au serveur DNS s'il est
compétent pour la requête, c'est à dire en charge de la zone, ou bien
s'il doit transférer la requête
- A : résolution d'un nom à une adresse IPv4
- AAAA : résolution d'un nom à une adresse IPv6
- PTR (Pointer) : résolution d'une adresse IPv4 ou IPv6 vers un nom
d'hôte
- CNAME (Canonical Name) : Est un alias, c'est à dire un autre nom
applicable à un domaine
- MX (Mail Exchange) : enregistre un ou plusieurs serveur de
messagerie appartenant au domaine correspondant.
- SRV (Service) : informer le serveur DNS d'autres services, c'est dire
inscrire un service disponible ainsi que son numéro de port
- TXT (Texte) : permet d'ajouter des textes non structurés qui
pemettenet à un administrateur de renfermer des détails qui relèvent
de l'entreprise responsable du domaine (Description)

••• Zones DNS :


27

•• Un zone DNS correspond à un nom de domaine ou à un nom de sous


domaine que le serveur va connaitres pour répondre aux requêtes qu'il
va recevoir.

•• Selon la recheche, il y a 2 zones :


• Zone de recherche directe : résolution des noms vers des adresses IP
• Zone de recherche inversé : résolution des adresses IP vers des noms

•• Selon le type, il y a 3 types de zone :


• Principale : est une zone en lecture et écriture, elle est importante
pour le serveur DNS principal.
• Secondaire : est une copie de la zone principale (d'un autre serveur)
en lecture seule pour le serveur secondaire.
• Stub : Est une mixte entre la zone secondaire et le redirecteur
conditionnel. C'est une zone accessible seulement en lecture et qui va
contenir les enregistrement NS et SOA. Quand le serveur DNS reçoit
une demande concernant une zone stub, il utilise les enregsitrement NS
pour localiser les serveurs de noms et envoyer les requêtes

••• Un redirecteur conditionnel :


• Permet d'indiquer le ou les serveurs DNS à contacter pour résoudre
un nom du domaine précis.
• Il peut être mis en place dans un environement multi-domaine
(Domain Parent-Enfant)
28

••• Mises à jour DNS dynamiques :


• Permet aux clients de mettre à jours ses informations dans les zones
DNS
• C'est très important pour enregistrer les clients DHCP
automatiquement dans la base de données DNS

••• Installation de DNS :


•• GUI :
• Gestionnaire de serveur > Gérer > Ajouter des rôles et des
fonctionnalités > Suivant > Suivant > Suivant > Cocher "DNS" > Ajouter
des fonctionnalités > Suivant > Suivant > Suivant > Suivant > Installer

•• PS :
• PS C:\Users\Administrateur> Install-WindowsFeature DNS -
IncludeManagementTools

••• Créer des zones principales :


•• Zone de recherche directe :
• GUI : DNS > SRV1 > Zone de recherche directe > Clic droit > Nouvelle
zone > Suivant > Type : Zone principale > Suivant > Nom : UITS.MA >
Suivant > Cocher "Autoriser à la fois les mises à jour ..." > Suivant >
Terminer
29

• PS : PS C:\Users\Administrateur> Add-DnsServerPrimaryZone -Name


UITS.MA -ZoneFile UITS.MA.zone -DynamicUpdate
NonsecureAndSecure

•• Zone de recherche inversé :


• GUI : DNS > SRV1 > Zone de recherche inversée > Clic droit > Nouvelle
zone > Suivant > Type : Zone principale > Suivant > Cocher "Zone de
recherche inversée IPv4 > Suivant > ID réseau : 192.168.X > Suivant >
Cocher "Autoriser à la fois les mises à jour ..." > Suivant > Terminer

• PS : PS C:\Users\Administrateur> Add-DnsServerPrimaryZone -
NetworkId 192.168.50.0/24 -ZoneFile 50.168.192.in-addr.arpa.dns -
DynamicUpdate NonsecureAndSecure

••• Créer des zones secondaires :


•• Autoriser le transfert de zone sur le serveur primaire : Voir Image 3
& Image 4

•• Ajouter l'adresse IP du serveur secondaire (Sur le serveur primaire et


le serveur secondaire) : Voir Image 5

•• Installer le DNS sur le serveur secondaire, et commencer à créer des


zones secondaires :
30

• PS : PS C:\Users\Administrateur> Add-DnsServerSecondaryZone -
Name UITS.MA -MasterServers 192.168.100.254 -ZoneFile UITS.MA.dns
-Confirm

• Zone de recherche inversée :


PS C:\Users\Administrateur> Add-DnsServerSecondaryZone -NetworkId
192.168.100.0/24 -ZoneFile 100.168.192.in-addr.arpa.dns -
MasterServers 192.168.100.254 -Confirm

••• Créer un zone inversée (IPv6) :


•• PS :
PS C:\Users\Administrateur> Add-DnsServerPrimaryZone -NetworkId
2000:30::/64 -ZoneFile 0.0.0.0.0.0.0.0.0.0.3.0.0.0.0.0.ip6.arpa -
DynamicUpdate NonsecureAndSecure

••• Créer des enregistrements :


•• A :
• GUI : Voir Image 6

• PS : PS C:\Users\Administrateur> Add-DnsServerResourceRecordA -
ZoneName UITS.MA -Name PC-3 -IPv4Address 192.168.30.11 -CreatePtr

•• AAAA :
• GUI : Voir Image 7
31

• PS : PS C:\Users\Administrateur> Add-
DnsServerResourceRecordAAAA -ZoneName UITS.MA -Name PC-3 -
IPv6Address 2000:30::11 -CreatePtr

•• MX : PS C:\Users\Administrateur> Add-
DnsServerResourceRecordMX -ZoneName UITS.MA -Name '.' -
MailExchange mail.uits.ma -Preference 10

••• Afficher et tester :


• Les zones DNS :
PS C:\Users\Administrateur> Get-DnsServerZone

• Les enregistrements DNS :


PS C:\Users\Administrateur> Get-DnsServerResourceRecord -
ZoneName UITS.MA

C:\Users\K.KATKOUT>nslookup
Serveur par dÚfaut : SRV1.UITS.MA
Address: 192.168.100.254
> 192.168.100.200
Serveur : SRV1.UITS.MA
Address: 192.168.100.254
32

Nom : CL1.UITS.MA
Address: 192.168.100.200

C:\Users\K.KATKOUT>nslookup CL1.UITS.MA
Serveur : SRV1.UITS.MA
Address: 192.168.100.254
Nom : CL1.UITS.MA
Addresses: 2000:100::15d8:11b9:8f35:20c6
2000:100::af26:8dca:33c1:d316
192.168.100.200

• Statistiques DNS :
PS C:\Users\Administrateur> Get-DnsServerStatistics

• Cache DNS :
- Afficher le contenu de la cache : PS C:\Users\Administrateur> Get-
DnsServerStatistics
- Vider la cache : PS C:\Users\Administrateur> Clear-DnsServerCache

••• Requêtes récursives & Requêtes itératives :


•• Les requêtes : Voir Image 8
33

•• Les indicateurs de racine (DNS Root) :


• Il y a 13 indicateurs standards dédié pour le DNS
• Les indicateurs de racine résolvent les requêtes concernant des zones
qui n'existent pas sur les serveurs DNS local.

••• Sauvegarde et restauration de DNS :


• Emplacement par défaut de DNS : C:\Windows\System32\dns

• Emplacement par défaut de la sauvegarde DNS : C:\Windows\


System32\dns\backup

• Sauvegarder les zones :


PS C:\Users\Administrateur> dnscmd.exe SRV1 /zoneexport UITS.MA
backup\UITS.MA.BACKUP
PS C:\Users\Administrateur> dnscmd.exe SRV1 /zoneexport
100.168.192.in-addr.arpa backup\100.168.192.in-addr.arpa.BACKUP

• Restaurer les zones :


- PS C:\Users\Administrateur> Copy-Item -Path C:\Windows\System32\
dns\backup\UITS.MA.BACKUP C:\Windows\System32\dns\
UITS.MA.BACKUP
- PS C:\Users\Administrateur> Rename-Item -Path C:\Windows\
System32\dns\backup\UITS.MA.BACKUP C:\Windows\System32\dns\
UITS.MA.dns
34

- PS C:\Users\Administrateur> dnscmd.exe /zoneload UITS.MA /Primary


/file UITS.MA.dns /load

••• Service DHCP :

••• Introduction :
• La communication entre des noeuds (Machines) se fait via des adresses IP.
• Il est possible de configurer/affecter une adresse IP d'une façon statique
(Manuelle) ou dynamique (Via un service)
• La configuration manuelle peut poser plusieurs problème et notamment si on a
plusieurs machines dans un parc :
- Erreurs de la saisie (Au lieu de taper 192 il est possible de taper 129)
- Perte du temps
- Surcharge administrative
• La solution proposée est d'utiliser un protocole/service permettant de
configurer dynamiquement les cartes réseaux (TCP/IP) comme le DHCP.

••• DHCP :
• DHCP = Dynamic Host Configuration Protocol
• Protocol de la couche application
35

• Permet de configurer dynamiquement le TCP/IP (Fourniture de : Adresse IP,


Masque, Passrelle, DNS primaire, DNS Auxiliaire, Nom du domaine, et autres
options).
• DHCP permet d'affecter jusqu'à 255 options : IP, WINS, NETBIOS, BOOT,
DOMAIN, ...
• DHCP est très importants dans les LAN pour plusieurs utilisations : Adressage IP,
Installation des OS via WDS, TOIP, Enregistrement des hôtes dans la base de
données DNS, ...

••• Opérations DHCP : Voir Image 1

••• Ports DHCP :


• 67 / UDP : Pour le serveur
• 68 / UDP : Pour le client

••• Messages DHCP :


• DHCPDiscover : Le client envoi ce message pour découvrir les serveurs DHCP
disponibles
• DHCPOffer : Une répone d'un serveur DHCP, offrant des paramètres de
configuration TCP/IP
• DHCPRequest : Requête d'un client à un ou plusieurs serveur DHCP pour
effectuer l'une des opérations suivantes :
- Confirmation de l'offre
- Prolonger une bail d'une adresse IP
- Demander des informations d'un serveur
• DHCPDecline : Indique que l'adresse IP est déjà utilisé
• DHCPAck : Message d'accusé de réception positif
36

• DHCPNak : Message d'accusé de réception négatif, envoyé par le serveur au


client indiquant que les clients doivent comprendre que l'adresse réseau est
incorrecte (Si le client est déplacé, ou le bail a expiré, ...)
• DHCPRelease : Message de client vers le serveur pour libérer les informations
TCP/IP envoé par le serveur
• DHCPInform : Message d'un client vers le serveur indiquant que le client est
situé dans un réseau externe (Dans un autre LAN/VLAN)

••• Il est possible de configurer un serveur DHCP dans :


• Machine exécutant Windows Server (2000, 2003, 2003 R2, 2008, 2008 R2, 2012,
2012 R2, 2016, 2019, 2022)
• Machine exécutant une distribution Linux (Redhat, Centos, Fedora, Suse,
Debian, Ubuntu, ...)
• Routeur
• Firewall
• Point d'accès
• Commutateur Niveau 3
• Contrôleur WIFI
• Call Manager
• ...

••• Agent de relais DHCP :


• Comme les clients contactent les serveurs DHCP à l'aide d'une diffusion, dans un
inter-réseau, on doit théoriquement installer un serveur DHCP par sous réseau. Et
ça va augmenter le coût.
37

• La solution est de configurer un routeur comme une AGENT DE RELAIS DHCP qui
va rlayer les diffusions des demandes externes des adresses IP vers le serveur
DHCP spécifié.

•• Installer le service DHCP :

• PS :
- Installer le rôle DHCP :
> Install-WindowsFeature DHCP -IncludeManagementTools

- Créer les groupes de sécurité DHCP :


> Add-DhcpServerSecurityGroup
> netsh dhcp add securitygroups m/'

- Autoriser DHCP dans l'AD :


> Add-DhcpServerInDC -DnsName SRV2.UITS.MA -IPAddress 192.168.100.253

- Si vous avez reçu une alerte "POST-INSTALLATION : Terminer la configuration


DHCP" :
> Set-ItemProperty -Path registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ServerManager\Roles\12 -Name ConfigurationState -Value 2

- Redémarrer le service DHCP :


> Restart-Service dhcpserver
38

•• Des étendues DHCP :


• Une étendue DHCP est une plage des adresses IP valides et disponibles à
attribuer pour les clients DHCP.
• Une étendue DHCP contient toutes les options et les paramètres à attribuer
pour les clients DHCP.

•• Etendue globale :
• C'est une fonctionnalitée Windows permettant de regrouper plusieurs étendues
dans une seule entité administrative afin de simplifier la gestion et la
configuration.

•• Etendue Multidiffusion :
• C'est une étendue des plages d'adresses IP Multicast (224.0.0.1 à
239.255.255.255) permettant d'envoyer un trafic réseau à un groupe des
équipements terminaux.
• Elle utilise le protocole MADCAP (Multicast Address Dynamic Client Allocation
Protocol)
• Plus utilisé pour les équiepements terminaux, la vidéoconférence, le
streaming, ...

•• Créer une étendue :

• PS :
- Nouvelle étendue :
39

> Add-DhcpServerv4Scope -Name IT -StartRange 192.168.100.101 -EndRange


192.168.100.200 -SubnetMask 255.255.255.0 -State Active -LeaseDuration
0.8:00:00 -Description "Plage des adresses IP du réseau IT" -Type Both

- Exclusion :
> Add-DhcpServerv4ExclusionRange -ScopeId 192.168.100.0 -StartRange
192.168.100.150 -EndRange 192.168.100.150

- Passerelle :
> Set-DhcpServerv4OptionValue -ScopeId 192.168.100.0 -Router 192.168.100.1

- Nom du domaine :
> Set-DhcpServerv4OptionValue -ScopeId 192.168.100.0 -DnsDomain UITS.MA

- Serveurs DNS :
> Set-DhcpServerv4OptionValue -ScopeId 192.168.100.0 -DnsServer
192.168.100.254,192.168.100.253

•• Test :
• Configurer une machine cliente afin de prendre la configuration TCP/IP d'une
façon automatique

•• En cas d'absence du serveur DHCP :


• Le client DHCP envoi des messages en broadcast pour avoir une @IP
automatique, mais en cas d'absence de ce dernier, le client va surcharger le
réseau.
40

• LA solution est de limiter les messages DHCP en broadcast on se basant sur une
Adresse IP Privé Automatique (APIPA = Automatic Private IP Address) :
169.254.0.0/16

•• Agent De Relais DHCP :


R1(config)#int range gi 0/1 - 3
R1(config-if-range)#ip helper-address 192.168.100.254
R1(config-if-range)#exit
R1(config)#do wr

•• Afficher la configuration de TCP/IP d'une façon détaillée :


C:\Users\K.KATKOUT>ipconfig /all
•• Libérer une configuration automatique :
C:\Users\K.KATKOUT>ipconfig /release

•• Renouveller une configuration automatique :


C:\Users\K.KATKOUT>ipconfig /renew

•• Afficher les serveurs DHCP dans le domaine :


PS C:\Users\Administrateur> Get-DhcpServerInDC

•• Afficher les étendues DHCP :


PS C:\Users\Administrateur> Get-DhcpServerv4Scope

PS C:\Users\Administrateur> Get-DhcpServerv4Scope -ComputerName SRV2


41

•• Afficher des statistiques sur des étendues :


PS C:\Users\Administrateur> Get-DhcpServerv4ScopeStatistics
•• Afficher les clients DHCP :
PS C:\Users\Administrateur> Get-DhcpServerv4Lease -ScopeId 192.168.100.0

•• Réserver une Adresse IP :


• Une réservation est une fonctionnalitée DHCP permettant de fixer une adresse
IP à un client on se basant sur son adresse MAC.
• Réserver une adresse IP par PS :
PS C:\Users\Administrateur> Add-DhcpServerv4Reservation -ScopeId
192.168.100.0 -ClientId 00-0c-29-f2-ae-f1 -IPAddress 192.168.100.200

•• Arrêter/Démarrer le service DHCP :


PS C:\Users\Administrateur> Stop-Service DHCPServer
PS C:\Users\Administrateur> Start-Service DHCPServer

•• Options DHCP :
• Etendues : S'appliquent uniquement sur les clients de l'étendueb
• Serveurs : S'appliquent sur tous les clients de toutes les étendues

••• Filtres DHCP :


•• Introduction :
• Le filtrage DHCP assure la sécurité en filtrant les clients DHCP non fiables.
42

• Le client DHCP non fiable est une machine qui envoie une DHCPDiscover depuis
un réseau externe ou inconnu.
• Le filtrage DHCP permet d'autoriser ou de refuser les requêtes DHCP des clients
non fiables on se basant sur des adresses MAC.

•• Activer les filtres DHCP :


• PS :
- Serveur local :
PS C:\Users\Administrateur> Set-DhcpServerv4FilterList -Allow 1
PS C:\Users\Administrateur> Set-DhcpServerv4FilterList -Deny 1

- Serveur Distant : 6
PS C:\Users\Administrateur> Set-DhcpServerv4FilterList -ComputerName SRV2 -
Allow 1
PS C:\Users\Administrateur> Set-DhcpServerv4FilterList -ComputerName SRV2 -
Deny 1

•• Autoriser ou Interdire des clients :


• PS :
PS C:\Users\Administrateur> Get-DhcpServerv4lease 192.168.100.0
PS C:\Users\Administrateur> Add-DhcpServerv4Filter -List Deny -MacAddress 00-
50-56-c0-00-02 -Description "Untrusted Client"

• Test :
PS C:\Users\Administrateur> Get-DhcpServerv4Filter
••• DHCPv6 :
43

•• Introduction :
• DHCPv6 = Dynamic Host Configuration Protocol Version 6
• Attribution de la configuration dynamique de TCP/IPv6
• Protocol de la couche application
• Utilise 2 numéros de port :
- 546/udp & 546/tcp pour les clients
- 547/udp & 547/tcp pour les serveurs

• Test :
C:\Users\K.KATKOUT>ipconfig
Configuration IP de Windows
Carte Ethernet Ethernet0 2 :
Suffixe DNS propre à la connexion. . . : UITS.MA
Adresse IPv6. . . . . . . . . . . . . .: 2000:100::15d8:11b9:8f35:20c6
Adresse IPv6 temporaire . . . . . . . .: 2000:100::504e:d19c:4846:17e1
Adresse IPv6 de liaison locale. . . . .: fe80::15d8:11b9:8f35:20c6%10
Adresse IPv4. . . . . . . . . . . . . .: 192.168.100.200
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . : fe80::ec3:f3ff:fea3:ca00%10
192.168.100.1

•• Créer un étendue DHCPv6 :


PS C:\Users\Administrateur> Add-DhcpServerv6Scope -ComputerName SRV1 -
Prefix 2000:10:: -Name LAN2 -State Active -ValidLifeTime 0.12:00:00 -
PreferredLifetime 0.8:00:00
44

•• Ajouter une exclusion :


PS C:\Users\Administrateur> Add-DhcpServerv6ExclusionRange -Prefix 2000:10:: -
StartRange 2000:10::1 -EndRange 2000:10::300
PS C:\Users\Administrateur> Add-DhcpServerv6ExclusionRange -Prefix 2000:20:: -
StartRange 2000:20::1 -EndRange 2000:20::300

•• Libérer/Renouveler la configuration TCP/IPv6 :


C:\Users\K.KATKOUT>ipconfig /release6

• Renouveler :
C:\Users\K.KATKOUT>ipconfig /renew6

••• Sauvegarder/Restaurer le DHCP :


•• Les emplacements par défaut :
• DHCP : C:\Windows\System32\dhcp
• Sauvegarde de DHCP : C:\Windows\System32\dhcp\backup

•• Sauvegarde :
• PS :
PS C:\Users\Administrateur> Backup-DhcpServer -Path C:\Windows\System32\
dhcp\backup\13-11-2021

• CMD :
45

C:\Users\Administrateur>netsh dhcp server backup C:\Windows\System32\dhcp\


backup\13-11-2021

• Sauvegarder le DHCP sur un serveur distant :


PS C:\Users\Administrateur> Backup-DhcpServer -Path C:\Windows\System32\
dhcp\backup\13-11-2021 -ComputerName SRV2.UITS.MA

•• Restauration :
• PS :
PS C:\Users\Administrateur> Restore-DhcpServer -Path C:\Windows\System32\
dhcp\backup\13-11-2021

••• DHCP Spoofing : Voir Image 8


• Consiste à utiliser un DHCP pirate dans un réseau privé, permettant d'attribuer
des adresses IP afin de faire rediriger des requêtes des clients vers des serveurs
erronés pour voler des informations confidentielles.

••• DHCP Snooping : Voir Image 9


• Consiste à sécuriser le DHCP contre les attaques de type DHCP Spoofing.

Vous aimerez peut-être aussi