Vous êtes sur la page 1sur 289

Administration

Windows
Pr. Ahmed EL KHADIMI
Objectif de cours

• Installer Windows Server

• Configurer les rôles Windows Server et leurs


fonctionnalités

• Gérer les services avancés

2
Plan
1. Introduction
2. Installation ou mise à niveau de Windows
3. Configuration de l'environnement Windows
4. Service DNS
5. Service DHCP
6. Active Directory
7. Administration des comptes
8. Administration des groupes
9. Accès aux ressources
10. Stratégies de groupes
11. Accès distant
12. Gestion de l'accès aux ressources à l'aide de groupes
13. Gestion de données à l'aide du système de fichiers NTFS
9. Virtualisation

3
INTRODUCTION

Pourquoi ce cours?

4
INTRODUCTION

Client-serveur

5
Qu’est-ce qu’un serveur ?

• Un serveur est un logiciel qui fournit un service à


d’autres logiciels.

• On parle aussi de serveur pour désigner la machine


physique (ou virtuelle) dont le but principal est de faire
tourner un ou plusieurs logiciels serveurs

6
Quel service ?

7
Les caractéristiques d’un serveur
• Un serveur est généralement allumé 24h/24 et 7j/7.

• Il ne dispose ni d’écran, ni de clavier, ni d’équipements


multimédia (carte son, etc).

• Il est généralement entreposé dans une salle machine.

• Un serveur utilise généralement un système d’exploitation


spécialisé.

• Un serveur peut disposer de performances physiques plus


importantes qu’un poste client.

8
9
OS Desktop vs OS Serveur
• Comme les serveurs restent allumés en permanence, les OS ne sont
pas configurés avec des fonctions de mise en veille

• Les OS Serveur sont fournis avec peu de pilotes multimédia mais sont
plutôt configurés pour supporter le matériel qu’on trouve sur les
serveurs (support de composants matériels spécifiques, de grandes
quantités de RAM ou de nombreux processeurs)

• Les OS Serveur sont installés sans interface graphique pour les


systèmes Linux et avec une interface sans effets esthétiques pour les
systèmes Windows

• Le programme d’installation est pensé à destination des


professionnels avec une esthétique plus sobre et des choix plus
techniques

10
11
Windows server?

• Windows server fournit des services et des fonctions pour les


ordinateurs Windows clients

• Il permet de fournir plusieurs services: le partage de fichiers,


les services d’impression, les stratégies d’utilisateur, les droit
d’accès,…

• Plus de 90% des entreprises ayant un département


informatique utilisent Windows server

12
Historique

2019

13
Les éditions de Windows Server

• Windows Server 2016 Essentials : aux petites entreprises


et organisations jusqu’à 25 utilisateurs et 50 équipements.

• Windows Server 2016 Standard: toute entité n’ayant pas


de forts besoins de virtualisation ou à faible densité (peu de
serveurs).

• Windows Server 2016 Datacenter: vous pouvez créer


autant de machines virtuelles que vous le souhaitez sous
Windows Server. destiné aux entités ayant de forts besoins
de virtualisation (pour la mise en œuvre de centres de
données totalement gérés logiciellement).

14
Point fort du Windows Server 2016:

• La possibilité de gérer une plus grande quantité de mémoire


vive (jusqu’à 24 To par serveur pour la version Datacenter)

• La possibilité de gérer une plus grande quantité de processeurs


physiques (jusqu’à 512 par serveur)

• La prise en charge de machines virtuelles pouvant disposer de plus de


processeurs (jusqu’à 240 ).

15
Sécurité en Windows Server 2016
Les machines virtuelles protégées (Shielded VM) ;
CredentialGuard (qui permet de sécuriser les identifiants) ;
Device Guard (qui permet de sécuriser les équipements) ;
Une meilleure prise en charge du contrôle applicatif via AppLocker ;
WindowsDefender ;
La mise à jour automatisée d’un cluster de serveur ;
Une prise en charge avancée des services Unix/Linux ;
L’ajout/ suppression à chaud de CPU, RAM et réseau sur les machines virtuelles ;
La distribution Windows Nano Server ;
L’équilibrage de charge des machines virtuelles ;
La réplication du stockage ;
Le contrôle d’intégrité des données en temps réel ;
La prise en charge des conteneurs nativement (Windows et Linux) ;
Les conteneurs Hyper-V ;
La prise en charge de la configuration par état désiré au travers de PowerShell.
16
Qu’est ce que la virtualisation?

La virtualisation est une technologie permettant de


créer et d’exécuter une ou plusieurs représentations
virtuelles d’un ordinateur ou de ses différentes
ressources sur une même machine physique.

17
Qu’est ce que la virtualisation?

18
Rôle, fonctionnalité, service
un serveur Windows a dans une entreprise un /plusieurs rôle(s). Ce(s) rôle(s)
peu(ven)t être de fournir/héberger des fichiers, gérer un annuaire (AD DS), gérer
des certificats (AD CS), la configuration réseau (DHCP)... Chacun de ces rôles,
pour fonctionner, va s’appuyer sur des services. Pour être efficace, un rôle peut
avoir besoin de fonctionnalités

19
• Accès à distance ; • Services AD RMS ;
• Attestation d’intégrité de l’appareil ; • Services Bureau à distance ;
• Expérience Windows Server Essentials ; • Services d’activation en volume ;
• Hyper-V ; • Services d’impression et de numérisation
• MultiPoint Services ; de documents ;
• Serveur de télécopie ; • Services de certificats Active Directory ;
• Serveur DHCP ; • Services de déploiement Windows ;
• Serveur DNS ; • Services de fédération Active Directory
(AD FS) ;
• Serveur Web (IIS) ;
• Service de fichiers et de stockage ;
• Service Guardian hôte ;
• Service de stratégie et d’accès réseau ;
• Services AD DS ;
• Service WSUS (Windows Server Update
• Services AD LDS ; Services).

20
21
INSTALLATION DE
WINDOWS SERVEUR 2016

22
Installation de Windows serveur 2016

• Récupérer l’ISO de Windows Server 2016 Standard:


https://www.microsoft.com/fr-fr/evalcenter/evaluate-
windows-server-2016
• Récupérer VirtualBox;
• Créer une machine virtuelle :
• Spécifier une quantité d’espace mémoire (RAM) ;
• Créer un disque dur virtuel ;
• Démarrer la machine virtuelle ;
• Lancer l’installation de Windows Server 2016 Standard.

23
24
Lancer votre machine virtuelle

Créer une machine virtuelle… 25


26
27
Démarrer …choix de la version

Choisissez le 2ième choix (windows Server 2016


Standars Evaluation (Expérience utilisateur)) 28
Après avoir fait ce choix et validé les avis et conditions du contrat de
licence

Installer…Suivant..

29
Choisir un mot de passe.
30
C’est parti…

31
Windows server 2016

32
LES SERVICES DE BASES

Serveur DNS
33
Présentation

C’est à la demande du DARPA (Defense Advanced Research


Projects Agency) que John POSTEL et Paul MOCKAPETRIS ont
conçu le protocole du DNS, en 1983 et en ont effectué la
première réalisation concrète. Il s’agit essentiellement d’un
annuaire permettant de traduire les adresses réseau IP, propres
à Internet, en noms de domaine plus explicites.

34
Le rôle du DNS

• Effectuer la résolution de noms de domaine, consiste principalement à


trouver l’adresse IP qui lui est associée. Au sein de cet annuaire, les noms
de domaines peuvent être également associés à d’autres notions que des
adresses IP. On peut trouver des informations concernant la lutte contre le
spam, de sécurisation des informations DNS ou d’association de numéros
de téléphone vers des adresses de messagerie.

• Au départ, avec le modèle TCP/IP, comme les réseaux étaient très peu
développés, le nombre d’équipements connectés à ce type de réseau était
assez faible. En termes d’administration, il suffisait alors simplement de
créer des fichiers d’équivalence : {Adresse IP/Nom de machine}. Ces
fichiers servaient de table de conversion et sous des systèmes tels que
GNU/Linux ou Unix, il s’agissait de fichier hosts.

35
Le rôle du DNS

• Avec le développement et l’explosion de la taille des réseaux


TCP/IP, et de leur interconnexion, la demande en adresses a été
tellement grande qu’il a fallu imaginer un autre système
d’administration des adresses et des noms d’hôtes. Car, jusque-là
la gestion se faisait manuellement en éditant les fichiers (hosts),
lors de chaque ajout ou suppression de nouvelles adresses sur le
réseau. C’est pourquoi il a été imaginé le modèle hiérarchisé et
plus facilement administrable du Domain Name System.

• Exemple
www.monsite.com  192.168.0.10

36
Eléments constituants le service DNS

Le DNS propose les éléments suivants :


• Un espace de noms hiérarchique garantissant l’unicité d’un nom dans
sa structure arborescente (un peu à la façon dont est architecturé le
système de fichiers Unix/Linux.
• Un ensemble de serveurs distribués, permettant d’accéder à l’espace de
noms.
• Un ensemble de clients interconnectés, résolvant les noms de domaines
en interrogeant les serveurs, au travers de requêtes, afin de connaître
l’adresse IP d’un nom correspondant.

37
DNS
DNS peut représenter plusieurs notions simultanées :

■ Domain Name System : désigne l’ensemble des organismes de gestion


des noms de domaine.
■ Domain Name Service : désigne le protocole d’échange d’informations
concernant les domaines.
■ Domain Name Server : désigne l’hôte sur lequel fonctionne le logiciel
serveur comprenant à le protocole DNS permettant de répondre aux
requêtes concernant un domaine particulier.

38
Le protocole DNS

Le protocole DNS est associé au service du même nom. Pour le


transport, le protocole DNS s'appuie sur l'UDP pour les
requêtes standards, sur le port 53. En l'absence de retour d'état
du protocole UDP, il n'est pas recommandé de l'utiliser les
transferts de zones DNS, où l'on va préférer le transport via TCP.

39
Domaine
• Les noms de domaines sont organisés sous la forme d’une
arborescence
• les nœuds correspondent aux noms des domaines et les
feuilles aux noms des hôtes

40
Domaine

■ Chaque domaine appartient à un domaine de niveau supérieur


et peut contenir des sous-domaines
■ Au sommet de l’arbre se trouve le domaine racine
■ Au premier niveau se trouve les domaines de haut niveau (TLD
: Top Level Domain)
Les TLD sont de deux types :
– génériques (gTLD : generic Top Level Domains) tels que .com, .org,
.net, etc
– relatifs aux codes des pays (ccTLD : country code Top Level
Domains) tels que .ma, .fr, .ca, .uk, .us, etc
■ Au niveau Internet, les hôtes sont désignés par des noms de
domaine complètement qualifiés (FQDN : Fully qualified
domain name) 41
Organisation et structure

• La gestion de tous les domaines est organisée d’une manière


hiérarchique
• L’ICANN (Internet Corporation for Assigned Numbers and
Names) est l’organisme autoritaire du domaine racine
• Il existe un serveur DNS à chaque niveau de la hiérarchie de
délégation. Les serveurs DNS racines (root DNS) sont sous la
responsabilité de l’ICANN
• Ces serveurs doivent être connus par tous les serveurs DNS
publics car ils représentent le point de départ des opérations de
recherche
• Les serveurs DNS TLD sont gérés par des agences ou des
organismes accrédités

42
Résolution de noms
Les étapes suivantes décrivent le processus de résolution du nom de
domaine “www.exemple.com”
1.Le client DNS envoie la requête de résolution du nom de domaine
au serveur DNS local
2.Le serveur DNS local cherche l’information dans sa table locale
(cache)
3.La requête est envoyée vers un serveur racine qui renvoie l’adresse
d’un serveur TLD gérant le domaine “.com”
4.La requête est envoyée au serveur TLD “.com” qui renvoie l’adresse
du serveur DNS gérant le domaine “exemple.com”
5.La requête est envoyée au serveur DNS gérant “exemple.com” qui
envoie la réponse vers le client DNS

43
Résolution de noms

44
Fichiers de zone

• Les données relatives à un domaine sont formées d’un


ensemble d’enregistrements de ressources
• Ces enregistrements de ressources sont stockés dans des
fichiers de zone et contiennent:
• les données précisant le sommet de la zone et ses propriétés
(SOA - Start Of Authority record)
• les données autorité pour tous les nœuds ou hôtes de la
zone (A pour IPv4 et AAAA pour IPv6)
• les données décrivant les informations globales de la zone
(tel que MX pour le serveur de messagerie et NS pour les
serveurs DNS)

45
Windows Serveur

Installez le rôle Serveur DNS


46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
LES SERVICES DE BASES

Serveur DHCP
78
Introduction

• DHCP est l’abréviation de Dynamic Host Configuration


Protocol (en français : Protocole de Configuration Dynamique
d’Hôte).
• Un serveur DHCP est un serveur qui délivre des adresses IP
aux ordinateurs qui se connectent sur le réseau.
• Le DHCP permet de distribuer des adresses IP à des clients
pour une durée déterminée d’une façon dynamique.
• Numéros de port DHCP:
• Numéro de port serveur DHCP: UDP/67
• Numéro de port client DHCP: UDP/68

79
Fonctionnement

Le DHCP comprend trois mécanismes d’allocation d’adresses :


• Allocation manuelle : l’administrateur attribue une adresse IP
pré-allouée au client
• Allocation automatique : le protocole DHCP attribue une
adresse IP permanente à un périphérique
• Allocation dynamique : le protocole DHCP attribue une
adresse IP pour une durée limitée à un périphérique

80
Conversation client/serveur

81
Types de messages DHCP
• DHCPDISCOVER : Un broadcast de découverte des serveurs
DHCP
• DHCPOFFER : Réponse à un DHCPDISCOVER contenant une
offre de configuration
• DHCPREQUEST : Demande du client de conserver l’offre ou de
prolonger son bail
• DHCPDECLINE : Le client annonce que l’adresse IP est déjà
utilisée
• DHCPACK : Acquittement à une requête cliente
• DHCPNAK : Refus d’une requête cliente
• DHCPRELEASE : Le client libère son adresse IP

82
Le bail

• Une durée de vie : durée d’un bail DHCP; c’est une durée de
validité une adresse IP .
• Lorsque le bail arrive à environ la moitié de son temps de vie,
le client va essayer de renouveler ce bail, cette fois-ci en
s'adressant directement au serveur qui le lui a attribué.
• Si, au bout des 7/8e de la durée de vie du bail en cours, ce
dernier n'a pu être renouvelé, le client essayera d'obtenir un
nouveau bail auprès d'un DHCP quelconque qui voudra bien
lui répondre. Il pourra alors se faire que le client change
d'adresse IP en cours de session.

83
Windows Serveur

Installez le rôle Serveur DHCP

84
VirtualBox > Réseau > Réseau interne

Ce mode d'accès réseau permet de créer un réseau interne pour interconnecter


vos machines virtuelles entre elles.

Ce qui veut aussi dire que vos machines virtuelles n'auront pas accès à Internet et
elles ne recevront pas d'adresse IP non plus, car il n'y a pas de serveur DHCP
pour ce type de réseau.
Une adresse IP pour le serveur

86
Désactiver les pare-feu

Windows intègre un pare-feu qui permet de verrouiller les flux réseaux


entrants et sortants de votre serveur
87
Suivant…

88
Choisir Serveur DHCP

89
Suivant…

90
Suivant…

91
Suivant…

92
Installer…

93
Gestionnaire DHCP

94
IPv4… Nouvelle étendue

95
96
97
Plage d’adresse IP…

98
Exclure des adresses IP ou pas…

99
Exclure des adresses IP ou pas…

100
Définir la durée de bail…

101
Suivant…

102
103
Suivant…

104
Suivant…

105
106
Windows Client
Tester DHCP

107
108
109
110
Wireshark pour voir les paquets DHCP

111
112
Active Directory : théorique

113
4iirEn
Immeuble Rabat
PARTAGES
Clients
Fournisseurs
Stocks
……..

Bureau 1 Bureau 2 Bureau 3


Photocopieuse 1 Photocopieuse 2 Imprimante 1

Direction Comptabilité Support Logistique Vente


Aya Ahmed Ali Driss
PcF02 PcF03 PcF04 PcPor 02
D. Générale
Hind D. Commerciale
PcF01 Rim
PcPor 01

114
L’Active Directory c’est quoi?
• L’Active Directory est un annuaire pour les systèmes d’exploitation
Windows, le tout étant créé par Microsoft. Cet annuaire contient
différents objets, de différents types (utilisateurs, ordinateurs, etc.),
l’objectif étant de centraliser deux fonctionnalités essentielles :
l’identification et l’authentification au sein d’un système d’information.
• Depuis Windows Server 2000, le service d’annuaire Active Directory ne
cesse d’évoluer et de prendre de l’importance au sein des organisations
dans lesquelles il est mis en place. De ce fait, il est notamment utilisé pour
le déploiement de stratégie de groupe, la distribution des logiciels ou
encore l’installation des mises à jour Windows.
• l’Active Directory se nommait d’abord « NTDS » pour « NT
Directory Services » que l’on peut traduire littéralement par « Service
d’annuaire de NT », le tout à l’époque de Windows NT.

115
Présentation des services de l'AD

L'AD implémente les protocoles suivants


 LDAP(Lightweight Directory Access Protocol) pour les
services d'annuaire
 Kerberos v5 pour l'authentification
 TCP/IP et DNS pour les services réseau

116
Pourquoi L’AD?

Administration Administration centralisée et


Unifier
centralisée et simplifiée : la gestion des objets,
l’authentification
simplifiée
notamment des comptes
utilisateurs et ordinateurs est
simplifiée, car tout est centralisé
dans l’annuaire Active Directory.
Référencer les De plus, on peut s’appuyer sur cet
Identifier les annuaire pour de nombreuses
utilisateurs et
objets sur le tâches annexes comme le
les
réseau déploiement de stratégies de
ordinateurs
groupe sur ces objets .

117
Pourquoi L’AD?
Unifier l’authentification : un utilisateur
authentifié sur une machine, elle-même
Administration authentifiée sur le domaine, pourra
Unifier accéder aux ressources stockées sur
centralisée et
l’authentification d’autres serveurs ou ordinateurs
simplifiée
enregistrés dans l’annuaire (à condition
d’avoir les autorisations nécessaires). Ainsi,
une authentification permettra d’accéder à
tout un système d’information par la suite,
Référencer les surtout que de nombreuses applications
Identifier les
utilisateurs et sont capables de s’appuyer sur l’Active
objets sur le
les Directory pour l’authentification. Un seul
réseau
ordinateurs compte peut permettre un accès à tout le
système d’information, ce qui est
fortement intéressant pour les
collaborateurs.
118
Pourquoi L’AD?

Administration
Unifier
centralisée et Identifier les objets sur le
l’authentification
simplifiée réseau : chaque objet
enregistré dans l’annuaire
est unique, ce qui permet
d’identifier facilement un
Référencer les objet sur le réseau et de le
Identifier les
utilisateurs et retrouver ensuite dans
objets sur le
les l’annuaire.
réseau
ordinateurs

119
Pourquoi L’AD?

Référencer les utilisateurs et les


Administration ordinateurs : l’annuaire
Unifier s’apparente à une énorme base
centralisée et
l’authentification
simplifiée de données qui référence les
utilisateurs, les groupes et les
ordinateurs d’une entreprise. On
s’appuie sur cette base de
Référencer les données pour réaliser de
Identifier les
utilisateurs et nombreuses opérations :
objets sur le
les authentification, identification,
réseau
ordinateurs stratégie de groupe, déploiement
de logiciels, etc.

120
La structure de l’Active Directory

A. Les classes et les attributs


B.Le schéma
C.Les partitions d’annuaire

121
A. Les classes et les attributs

• Au sein de l’annuaire Active Directory, il y a différents types d’objets,


comme par exemple les utilisateurs, les ordinateurs, les serveurs, les
unités d’organisation ou encore les groupes. En fait, ces objets
correspondent à des classes, c’est-à-dire des objets disposant des mêmes
attributs.

• De ce fait, un objet ordinateur sera une instance d’un objet de la classe


« Ordinateur » avec des valeurs spécifiques à l’objet concerné.

122
A. Les classes et les attributs

123
B. Le schéma
• Par défaut, tout annuaire Active Directory dispose de classes
prédéfinies ayant chacune une liste d’attributs bien spécifique,
et propre à tout annuaire, cela est défini grâce à un schéma.

• Le schéma contient la définition de toutes les classes et de tous


les attributs disponibles et autorisés au sein de votre annuaire.
Il est à noter que le schéma est évolutif, le modèle de base n’est
pas figé et peut évoluer selon vos besoins, voir même pour
répondre aux prérequis de certaines applications.

124
B. Le schéma
• Les modifications du schéma doivent être réalisées avec
précaution, car l’impact est important et se ressentira sur toute la
classe d’objets concernée.

• Pour preuve, le schéma est protégé et les modifications


contrôlées, puisque seuls les membres du groupe «
Administrateurs du schéma » peuvent, par défaut, effectuer des
modifications.

125
B. Le schéma

126
C. Les partitions d’annuaire
La base de données Active Directory est divisée de façon logique en
trois partitions de répertoire (appelé « Naming Context »).
La partition de schéma : cette partition contient l'ensemble des
définitions des classes et attributs d’objets, qu’il est possible de
créer au sein de l'annuaire Active Directory. Cette partition est
unique au sein d’une forêt.
La partition de configuration : cette partition contient la
topologie de la forêt (informations sur les domaines, les liens
entre les contrôleurs de domaines, les sites, etc.). Cette partition
est unique au sein d’une forêt.
La partition de domaine : cette partition contient les
informations de tous les objets d'un domaine (ordinateur, groupe,
utilisateur, etc.). Cette partition est unique au sein d’un domaine,
il y aura donc autant de partitions de domaine qu’il y a de
domaines.
127
Contrôleur de domaine et domaine

• Du groupe de travail au domaine


• Modèle « Groupe de travail »
• Modèle « Domaine »
• Les contrôleurs de domaine
• Qu’est-ce qu’un contrôleur de domaine ?
• Le fichier de base de données NTDS.dit
• La réplication des contrôleurs de domaine

128
Du groupe de travail au domaine

• Pour rappel, toutes les machines sous Windows sont par défaut
dans un groupe de travail nommé « WORKGROUP », et qui
permet de mettre en relation des machines d’un même groupe
de travail, notamment pour le partage de fichiers, mais il n’y a
pas de notions d’annuaire, ni de centralisation avec ce mode de
fonctionnement.

129
Modèle « Groupe de travail »
•appelée « base SAM (Security Account
Une base d’utilisateurs Manager) », cette base est unique sur chaque
machine et non partagée, ainsi, chaque machine
par machine contient sa propre base d’utilisateurs
indépendante les unes des autres

Très vite inadapté dès que


• car cela devient lourd en administration et
le nombre de postes et
les besoins différents.
d’utilisateurs augmente

• car chaque utilisateur doit disposer d’un


Création des comptes
compte sur chaque machine, les comptes
utilisateurs en nombre
étant propres à chaque machine.

Simplicité de mise en
œuvre et ne nécessite pas • en comparaison à la gestion d’un annuaire
de compétences Active Directory.
particulières
130
Modèle « Domaine »
Base d’utilisateurs, de •Un seul compte utilisateur est nécessaire pour
groupes et d’ordinateurs accéder à l’ensemble des machines du domaine.
centralisée. •Administration et gestion de la sécurité centralisée

L’annuaire contient toutes •tout est centralisé sur le contrôleur de domaine, il


les informations relatives n’y a pas d’éparpillement sur les machines au
aux objets, niveau des comptes utilisateurs.

Ouverture de session •notamment pour l’accès aux ressources situées sur


unique par utilisateur, un autre ordinateur ou serveur.

Chaque contrôleur de •qui est maintenue à jour et qui permet d’assurer la


disponibilité du service et des données qu’il
domaine contient une contient. Les contrôleurs de domaine se répliquent
copie de l’annuaire entre eux pour assurer cela.
131
Les contrôleurs de domaine
Qu’est-ce qu’un contrôleur de domaine ?
• Lorsque l’on crée un domaine, le serveur depuis lequel on effectue cette
création est promu au rôle de « contrôleur de domaine » du domaine
créé. Il devient contrôleur du domaine créé, ce qui implique qu’il sera
au cœur des requêtes à destination de ce domaine. De ce fait, il devra
vérifier les identifications des objets, traiter les demandes
d’authentification, veiller à l’application des stratégies de groupe ou
encore stocker une copie de l’annuaire Active Directory.
• Un contrôleur de domaine est indispensable au bon fonctionnement du
domaine, si l’on éteint le contrôleur de domaine ou qu’il est corrompu,
le domaine devient inutilisable.
• De plus, lorsque vous créez le premier contrôleur de domaine dans
votre organisation, vous créez également le premier domaine, la
première forêt, ainsi que le premier site.

132
Les contrôleurs de domaine
Le fichier de base de données NTDS.dit

• Sur chaque contrôleur de domaine, on trouve une copie de la base de


données de l’annuaire Active Directory. Cette copie est symbolisée par
un fichier « NTDS.dit » qui contient l’ensemble des données de
l’annuaire.

• À noter qu’il est possible de réaliser des captures instantanées de ce


fichier afin de le consulter en mode « hors ligne » avec des outils
spécifiques.

133
Les contrôleurs de domaine
La réplication des contrôleurs de domaine
• On parle de réplication de données si les mêmes données sont dupliquées
sur plusieurs périphériques

• De nos jours, il est inévitable d’avoir au minimum deux contrôleurs de


domaine pour assurer la disponibilité et la continuité de service des
services d’annuaire (exp. mise à jour, sauvegarde, maintenance … qui
pourraient empêcher l’authentification des utilisateurs, ordinateur ou
autres ressources sur un réseau). De plus, cela permet d’assurer la
pérennité de la base d’annuaire qui est très précieuse. À partir du
moment où une entreprise crée un domaine, même si ce domaine est
unique, il est important de mettre en place au minimum deux
contrôleurs de domaine.

134
Les contrôleurs de domaine
La réplication des contrôleurs de domaine
• Sur les anciennes versions de Windows Server, notamment Windows
Server 2000 et Windows Server 2003, le mécanisme FRS (File
Replication Service) était utilisé pour la réplication. Depuis Windows
Server 2008, FRS est mis de côté pour laisser la place à DFSR
(Distributed File System Replication), qui est plus fiable et plus
performant.

• La réplication n'est pas à confondre avec une sauvegarde : les données


sauvegardées ne changent pas dans le temps, reflétant un état fixe des
données, tandis que les données répliquées évoluent sans cesse à mesure
que les données sources changent

135
Les contrôleurs de domaine
La réplication des contrôleurs de domaine
• Ainsi, les contrôleurs de domaine répliquent les informations entre eux à
intervalle régulier, afin de disposer d’un annuaire Active Directory identique.

Ici il y a deux contrôleurs de


domaine, présent au sein d’un
même domaine et qui réplique
entre eux des informations.
Des postes de travail client sont
également présents et intégrés
dans ce domaine, ils contactent
les contrôleurs de domaine pour
effectuer différentes actions
(authentification d’un utilisateur,
demande d’accès à une
ressource...).
Comme on peut le voir sur le
schéma, lorsqu’il y a plusieurs
contrôleurs de domaine, les
requêtes sont réparties.
136
Symbolisation d’un domaine
• Lorsque vous verrez des schémas d’architecture Active Directory, vous
verrez les domaines représentés par des triangles. Ainsi, notre domaine
« it-connect.local » pourrait être schématisé ainsi :

• Au sein du domaine schématisé ci-dessous, on retrouvera tout un


ensemble d’Unités d’Organisation remplies d’objets de différentes
classes : utilisateurs, ordinateurs, groupes, contrôleurs de domaine,
etc.

137
Symbolisation d’un domaine

Sur le cas suivant, les


domaines « paris.it-
connect.local » et «
londres.it-connect.local »
sont des sous-domaines
du domaine racine « it-
connect.local ». On appel
généralement ces
domaines, « des domaines
enfants ».

138
La notion d’arbre
• La notion d’arbre doit vous faire penser à un ensemble avec
différentes branches, si c’est le cas, vous êtes sur la bonne voie. En
effet, lorsqu’un domaine principal contient plusieurs sous-domaines
on parle alors d’arbre, où chaque sous-domaine au domaine racine
représente une branche de l’arbre.
• Un arbre est un regroupement hiérarchique de plusieurs domaines.
• Par exemple, la schématisation des domaines utilisés précédemment
représente un arbre

139
La notion d’arbre

Les domaines d’un


même arbre
partagent un espace
de nom contigu et
hiérarchique,
comme c’est le cas
avec l’exemple du
domaine « it-
connect.local »

140
La notion de forêt

• En effet, une forêt est un regroupement d’une ou plusieurs


arborescences de domaine, autrement dit d’un ou plusieurs
arbres. Ces arborescences de domaine sont indépendantes et
distinctes bien qu’elles soient dans la même forêt.

• L’exemple que nous utilisons jusqu’à maintenant avec le


domaine principal et les deux sous domaines représente une
forêt. Seulement, cette forêt ne contient qu’un seul arbre.

141
La notion de forêt

142
La notion de forêt

• Pour simplifier l’administration, les accès et unifier le système


d’information, on peut décider de créer cet arbre « Learn-Online »
dans la même forêt que celle où se situe l’arbre « IT-Connect ».

• On peut alors affirmer que les différentes arborescences d’une forêt


ne partagent pas le même espace de nom et la même structure.

• Ainsi, on obtiendra une jolie forêt :

143
La notion de forêt

144
Mais alors, une forêt pour quoi faire ?

Tous les arbres d’une forêt partagent un schéma d’annuaire


commun.
Tous les domaines d’une forêt partagent un « Catalogue Global »
Les domaines d’une forêt fonctionnent de façon indépendante,
mais la forêt facilite les communications entre les domaines dans
toute l’architecture.
Création de relations entre les différents domaines de la forêt
Simplification de l’administration et flexibilité.

145
Le niveau fonctionnel
• Le niveau fonctionnel est une notion également à connaître lors de la
mise en œuvre d’une infrastructure Active Directory.

• À la création d’un domaine, un niveau fonctionnel est défini et il


correspond généralement à la version du système d’exploitation
depuis lequel on crée le domaine. Par exemple, si l’on effectue la
création du domaine depuis un serveur sous Windows Server 2016, le
niveau fonctionnel sera « Windows Server 2016 ».

• Dans un environnement existant, on est souvent amené à faire


évoluer notre infrastructure, notamment les systèmes d’exploitation,
ce qui implique le déclenchement d’un processus de migration. Une
étape incontournable lors de la migration d’un Active Directory vers
une version plus récente et le changement du niveau fonctionnel.
Ainsi, il est important de savoir à quoi il correspond et les
conséquences de l’augmentation du niveau.
146
Un niveau fonctionnel, c’est quoi ?

• Un niveau fonctionnel détermine les fonctionnalités des


services de domaine Active Directory qui sont disponibles
dans un domaine ou une forêt.

• Le niveau fonctionnel permet de limiter les fonctionnalités


de l’annuaire au niveau actuel afin d’assurer la
compatibilité avec les plus anciennes versions des
contrôleurs de domaine.

147
Pourquoi augmenter le niveau fonctionnel ?

• Plus le niveau fonctionnel est haut, plus vous pourrez


bénéficier des dernières nouveautés liées à l’Active Directory
et à sa structure. Ce qui rejoint la réponse à la question
précédente.

• Par ailleurs, vous serez obligé d’augmenter le niveau


fonctionnel pour ajouter la prise en charge des derniers
systèmes d’exploitation Windows pour les contrôleurs de
domaine. Par exemple, si le niveau fonctionnel est « Windows
Server 2003 », vous ne pourrez pas ajouter un nouveau
contrôleur de domaine sous Windows Server 2012 et les
versions plus récentes.

148
Pourquoi augmenter le niveau fonctionnel ?

• Ce phénomène implique qu’il est bien souvent inévitable


d’augmenter le niveau fonctionnel lorsque l’on effectue une
migration, afin de pouvoir supporter les nouveaux OS utilisés.

• À l’inverse, si le niveau fonctionnel est « Windows Server 2016 », il


sera impossible d’intégrer de nouveaux contrôleurs de domaine
qui utilisent un système d’exploitation plus ancien que Windows
Server 2016.

• De plus, vous ne pouvez pas avoir un niveau fonctionnel plus haut


que la version de votre contrôleur de domaine le plus récent.

149
Pourquoi augmenter le niveau fonctionnel ?

150
Quel est la portée d’un niveau fonctionnel?

• Il y a deux niveaux fonctionnels différents, un qui


s’applique au niveau du domaine et un autre qui s’applique
au niveau de la forêt.
• Le plus critique étant le niveau fonctionnel de la forêt, car
il doit correspondre au niveau minimum actuel sur
l’ensemble des domaines de la forêt.
• De ce fait, il est obligatoire d’augmenter le niveau
fonctionnel des domaines avant de pouvoir augmenter le
niveau fonctionnel de la forêt.

151
Un catalogue global, c’est quoi ? Pour quoi ?

Le catalogue global est un contrôleur de domaine qui dispose


d’une version étendue de l’annuaire Active Directory. En fait,
comme tout contrôleur de domaine, il dispose d’une copie
complète de l’annuaire Active Directory de son domaine, mais
en supplément il dispose de :

• Un répliqua partiel pour tous les attributs contenus dans tous


les domaines de la forêt
• Toutes les informations sur les objets de la forêt

152
Un catalogue global, c’est quoi ? Pour quoi ?
• Le catalogue global est un annuaire qui regroupe des éléments
provenant de l’ensemble de la forêt, c’est en quelque sorte un
annuaire central.

• On le différencie d’un contrôleur de domaine standard, car en


temps normal, chaque contrôleur de domaine contient une copie de
l’annuaire de son domaine. Quant au catalogue global, il contient
une copie des attributs principaux de tous les domaines de la
forêt.

• Ainsi, un contrôleur de domaine « catalogue global » sera capable


de localiser des objets dans l’ensemble de la forêt, car il a une vue
d’ensemble sur tous les objets. Les contrôleurs de domaine
classique s’appuieront sur lui pour justement localiser des objets
dans une forêt.
153
Un catalogue global, c’est quoi ? Pour quoi ?
Exemple :
• Il y a trois domaines : Domaine A, Domaine B, Domaine C.
• Deux contrôleurs de domaine se trouvent au sein du domaine A, un
contrôleur de domaine « standard » et un second qui dispose du rôle de «
catalogue global ».

• Conclusion :
• Le contrôleur de domaine standard disposera de la partition d’annuaire du
domaine A
• Le contrôleur de domaine catalogue global dispose des partitions d’annuaire du
domaine A, mais aussi du domaine B et du domaine C

154
Qui est catalogue global ? Est-il tout seul ?

• Le premier contrôleur de domaine créé au sein d’une forêt est


automatiquement catalogue global. Autrement dit, lorsque vous montez
un Active Directory, vous créez automatiquement un nouveau domaine
dans une nouvelle forêt, ce qui implique que le contrôleur de domaine
soit catalogue global.

• Par ailleurs, il est fortement recommandé de définir au minimum deux


contrôleurs en tant que catalogue global. Tout simplement pour assurer
la disponibilité du rôle et répartir la charge au niveau des requêtes.

155
Les quatre fonctions clés du catalogue global

• Le catalogue global assure quatre fonctions clés auprès du système


Active Directory et pour « venir en aide » aux autres contrôleurs de
domaine de la forêt, à savoir :

156
Au cœur de l’annuaire AD

• On va continuer notre découverte de l'Active Directory en rentrant un


peu plus dans le cœur du sujet, notamment regarde ce qui le constitue
et les protocoles qu'ils utilisent pour fonctionner.

• Dans cette partie, on parlera de LDAP, DNS, Kerberos

157
Qu’est-ce que le protocole LDAP ?
• Le protocole LDAP (Lightweight Directory Access Protocol) est un
protocole qui permet de gérer des annuaires, notamment grâce à des
requêtes d’interrogations et de modification de la base d’informations.
En fait, l’Active Directory est un annuaire LDAP.

• Les communications LDAP s’effectuent sur le port 389, en TCP, du


contrôleur de domaine cible.

• Il existe une déclinaison du protocole LDAP appelée LDAPS (LDAP


over SSL) est qui apporte une couche de sécurité supplémentaire avec
du chiffrement.

158
Que contient l’annuaire LDAP ?

• L’annuaire LDAP correspond directement à l’Active Directory, il


contient donc un ensemble d’unités d’organisation qui forment
l’arborescence générale. Ensuite, on trouve tous les différents
types d’objets classiques : utilisateurs, ordinateurs, groupes,
contrôleurs de domaine, voir même serveurs et imprimantes.

• Pour chaque classe d’objets, il stocke les attributs correspondants


et les différentes valeurs de ces attributs pour chaque instance
d’un objet. Par exemple, il va stocker toutes les informations
relatives à un utilisateur (nom, prénom, description, mot de passe,
adresse e-mail, etc.).

159
Comment est structuré l’annuaire LDAP ?
• Un annuaire est un ensemble d’entrées, ces entrées étant elles-mêmes
constituées de plusieurs attributs. De son côté, un attribut est bien
spécifique et dispose d’un nom qui lui est propre, d’un type et d’une
ou plusieurs valeurs.

• Chaque entrée dispose d’un identifiant unique qui permet de


l’identifier rapidement, de la même manière que l’on utilise les
identifiants dans les bases de données pour identifier rapidement une
ligne.

• L’identifiant unique d’un objet est appelé GUID qui est «


l’identificateur unique global ». Par ailleurs, un nom unique (DN –
Distinguished Name) est attribué à chaque objet, et il se compose du
nom de domaine auquel appartient l’objet ainsi que du chemin
complet pour accéder à cet objet dans l’annuaire (le chemin à suivre
dans l’arborescence d’unités d’organisation pour arriver jusqu’à cet
objet).
160
Comment est structuré l’annuaire LDAP ?

• Par exemple, le chemin d’accès suivant, correspondant à un objet «


utilisateur » nommé « Florian », du domaine « it-connect.local » et
étant stocké dans une unité d’organisation (OU) nommée «
informatique » contenant elle-même une OU nommée « system » : it-
connect.local, informatique, system, Florian se traduira en chemin
LDAP par :
cn=Florian,ou=system,ou=informatique,dc=it-connect,dc=local

• Ainsi, la chaîne ci-dessus correspondra au Distinguished Name


(unique) de l’objet.
• Dans un chemin LDAP vers un objet, on trouve toujours la présence
du domaine sous la forme « dc=it-connect,dc=local », correspondant à
« it-connect.local » dans cet exemple.

161
Les identifiants uniques

Le Distinguished Name
• Cet identifiant unique également appelé « DN » représente
le chemin LDAP qui permet de trouver l’objet dans
l’annuaire Active Directory. Lors de l’étude du protocole
LDAP, nous avions déjà vu un exemple de DN.
• Voici un autre exemple :
• Domaine : it-connect.local
• Unité d’organisation où se trouve l’objet :
informatique
• Nom de l’objet : Florian
• Le DN de cet objet utilisateur sera :
cn=Florian,ou=informatique,dc=it-connect,dc=local
162
Les identifiants uniques

Le Distinguished Name
Dans ce DN, on trouve un chemin qui permet de retrouver l’objet, différents
éléments sont utilisés :

163
Les identifiants uniques
Le GUID
• (Globally Unique IDentifier) est un identificateur global unique qui
permet d’identifier un objet d’un annuaire Active Directory. Il
correspond à l’attribut « ObjectGUID » dans le schéma Active
Directory.

• Il est attribué à l’objet dès sa création et ne change jamais, même si


l’objet est déplacé ou modifié. Le GUID suit un objet de la création
jusqu’à la suppression.

• Codé sur 128 bits, le GUID d’un objet est unique au sein d’une forêt
et il est généré par un algorithme qui garantit son unicité. Des
informations aléatoires, d’autres non, comme l’heure de création de
l’objet .

164
Le protocole DNS

• Le protocole DNS est utilisé pour la résolution des noms, ce


qui permet aux postes clients de localiser les contrôleurs de
domaine au sein de votre système d’information.
• Le serveur DNS crée une zone correspondante à votre
domaine et enregistre de nombreux enregistrements. Il y a
bien sûr un enregistrement (de type A) pour chaque
contrôleur de domaine, mais il existe une multitude
d’enregistrements annexes, indispensable au bon
fonctionnement de l’Active Directory :

165
Le protocole DNS
• Enregistrement pour localiser le « Primary Domain Controller » :
correspondant au contrôleur de domaine qui dispose du rôle FSMO «
Émulateur PDC ».
• Enregistrement pour localiser un contrôleur de domaine qui est
catalogue global.
• Enregistrement pour localiser les KDC du domaine
• Enregistrement pour localiser les contrôleurs de domaine du domaine
cible.
• Enregistrer simplement la correspondance nom/adresse IP des
différents contrôleurs de domaine. Il est également possible de créer
un second enregistrement avec les adresses IPv6.
• Enregistrer les contrôleurs de domaine via le GUID pour assurer la
localisation dans toute la forêt.

166
Le protocole Kerberos
• Le protocole Kerberos est l’acteur principal de l’authentification au sein
d’un domaine, il n’intervient ni dans l’annuaire ni dans la résolution de
noms.

• Le protocole Kerberos est un protocole mature, qui est aujourd’hui en


version 5. Il assure l’authentification de manière sécurisée avec un
mécanisme de distribution de clés.

167
Comment fonctionne le protocole Kerberos ?

• Chaque contrôleur de domaine dispose d’un service de


distribution de clés de sécurité, appelé « Centre de distribution
de clés (KDC) » et qui réalise deux services :
• Un service d’authentification (Authentication Service – AS)
• Un service d’émission de tickets (Ticket-Granting Service - TGS)
• Les deux services décrits précédemment ont chacun des tâches
et un processus précis. Ce mécanisme d’authentification est
inévitable pour accéder aux ressources d’un domaine. Sans
Kerberos, il n’y aura plus d’authentification, ce qui
déclenchera des problèmes d’authentifications et d’accès

168
De quoi est composé un ticket Kerberos ?
• Le ticket Kerberos distribué contient de nombreuses
informations qui permettent d’identifier l’élément auquel est
attribué ce ticket. Par exemple, pour un utilisateur, il sera
possible de savoir son nom, son mot de passe, l’identité du
poste initial ainsi que la durée de validité du ticket et sa date
d’expiration.

• Par ailleurs, les tickets TGS et TGT contiennent une clé de


session qui permet de chiffrer les communications suivantes
afin de sécuriser les échanges.

169
LDAP, DNS et Kerberos en bref

170
Active Directory : pratique

171
172
173
174
175
176
177
Suivant…suivant…

178
179
180
181
182
183
184
185
Suivant…suivant…

186
187
188
Après redémarrage…

189
190
191
192
193
194
Intégration du poste client dans le domaine…

195
Intégration du poste client dans le domaine…Modifier

196
Intégration du poste client dans le domaine…

197
198
199
Déclaration des
ressources dans l’AD

200
Unités d'organisations

• Organisation logique à l'intérieur d'un domaine


• Contient des objet active directory
• Permet
– De déléguer des pouvoirs
– De simplifier la sécurité
– D'appliquer une stratégie à des ordinateurs ou utilisateurs
● Rend obsolète la construction usuelle domaine de compte/domaine
de ressources

201
202
203
Créer une Unité d’organisation

204
Le nom de l’UO

205
206
207
208
209
Options d'ouverture de session

210
Procédure d'activation et de désactivation des comptes
d'utilisateurs et des comptes d'ordinateurs

211
Configuration des postes client

212
213
214
Administration des
groupes

215
Description des groupes

Les groupes simplifient l'administration par l'attribution


d'autorisations d'accès aux ressources

Groupe
Les groupes se caractérisent par l'étendue et le type
 L'étendue d'un groupe détermine si le groupe couvre plusieurs
domaines ou s'il est limité à un seul domaine
 Les trois étendues de groupe sont global, domaine local et universel
Type de groupe Description
Utilisée pour attribuer des droits et des autorisations
Sécurité d'utilisateur Utilisable uniquement sous forme
de liste de distribution de courrier électronique
Utilisable uniquement avec les applications
Distribution de messagerie électronique. Ne peut pas
être utilisée pour attribuer des autorisations
Description des groupes globaux
Règles des groupes globaux
Mode mixte : Comptes d'utilisateurs et comptes
d'ordinateurs du même domaine
Membres
Mode natif : Comptes d'utilisateurs, comptes
d'ordinateurs et groupes globaux du même domaine
Mode mixte : Groupes de domaine local
Appartenance Mode natif : Groupes universel et de domaine local dans
un domaine quelconque et groupes globaux dans
le même domaine
Tous les domaines de la forêt et tous les domaines qui
Étendue
approuvent
Tous les domaines de la forêt et tous les domaines qui
Autorisations
approuvent
Description des groupes universels
Règles des groupes universels
Mode mixte : Sans objet
Membres Mode natif : Comptes d'utilisateurs, comptes
d‘ordinateurs, groupes globaux et autres groupes
universels de n'importe quel domaine de la forêt
Mode mixte : Sans objet
Appartenance Mode natif : Groupes de domaine local et universels
de n'importe quel domaine
Visible dans tous les domaines d'une forêt et dans les
Étendue
domaines qui approuvent
Autorisations Tous les domaines d'une forêt
Description des groupes de domaine local
Règles des groupes de domaine local
Mode mixte : Comptes d'utilisateurs, comptes d'ordinateurs
et groupes globaux de n’importe quel domaine
Membres Mode natif : Comptes d'utilisateurs, comptes d'ordinateurs,
groupes globaux et groupes universels de n'importe quel
domaine de la forêt ainsi que groupes de domaine local du
même domaine
Mode mixte : Aucun
Appartenance
Mode natif : Groupes de domaine local du même domaine
Étendue Visible uniquement dans son propre domaine
Autorisations Domaine auquel appartient le groupe de domaine local
Description des groupes locaux

Règles des groupes locaux


Comptes d'utilisateurs locaux provenant de l'ordinateur,
Membre
des comptes de domaines et des groupes de domaines

Appartenance Aucun
Emplacement de création des groupes
• Vous pouvez créer des groupes dans le domaine racine de la
forêt, dans un autre domaine de la forêt ou dans une unité
d'organisation
• Choisissez le domaine ou l'unité d'organisation dans lequel vous
voulez créer le groupe en fonction des conditions
d'administration associées au groupe
• Par exemple :
• Si votre annuaire possède plusieurs unités
d'organisation dont chacune possède
un administrateur différent, vous pouvez y créer
des groupes globaux
Instructions d'attribution de noms aux
groupes

Pour les groupes de sécurité :


Incorporez l'étendue à la convention d'attribution de nom pour le nom du
groupe
Le nom doit refléter l'appartenance (nom de la division ou de l'équipe)
Placez les noms ou abréviations de domaine au début du nom
du groupe
Utilisez un descripteur pour identifier les autorisations maximales possibles
pour un groupe, comme DL IT London OU Admins

Pour les groupes de distribution :


Choisissez un alias court
N'incluez pas l'alias d'un utilisateur dans le nom d'affichage
Attribuez au maximum cinq copropriétaires d'un même groupe
de distribution
Application pratique : Création de groupes

Dans cette application pratique, vous


effectuerez les tâches suivantes :
• créer des groupes à l'aide de la console Utilisateurs et
ordinateurs Active Directory
• créer des groupes à l'aide de la ligne
de commandes
224
225
Propriétés Membres et Membre de

Groupe ou équipe Groupe global Groupe de domaine local

Tom, Jo et Kim Denver


Denver Admins
Admins Denver OU Admins

Membres Membre de Membres Membre de Membres Membre de


Sans Denver Admins Tom, Jo, Denver OU Admins Denver Admins, Sans objet
objet Jo,
KimKim Vancouver
Admins

Sam, Scott et Amy Vancouver Admins

Membres Membre de Membres Membre de


Sans Vancouver Admins Sam, Denver OU
objet Scott, Amy Admins
Discussion de cours : Utilisation des groupes
dans un seul domaine
Northwind Traders possède
souhaiteunréagir
seulplus rapidement
domaine situé àaux
Parisdemandes
en France.duLes
marché. L'entreprise
directeurs de NorthwindveutTraders
que lesont
données
besoincomptables
d'accéder àsoient
la base de
accessibles à l'ensemble du personnel du service Accounting. Northwind
données Inventory
Traders désire créerpour effectuer
la structure deleur travail.
groupes Quetoute
pour faites-vous pour
la division
permettre
Accountingauxquidirecteurs
comprendd'accéder à laAccounts
les services base de Payable
donnéeset? Accounts
Receivable. Que faites-vous pour que les directeurs disposent des accès
nécessaires et réduire au minimum les tâches d'administration ?
Northwind Traders possède un seul domaine situé à
Placez tous les responsables dans un groupe global.
Paris en France. Les directeurs de Northwind Traders
Créez untroisgroupe
groupesde globaux
domainenommés Accounting
local pour les accès Division,
à la baseAccounts
de données
ontInventaire.
besoin
Payable d'accéder
et Accounts à la base de données Inventory
Receivable.
pour effectuer
Placer
Placez
leur Accounting
le groupe global travail. Que faites-vous
Division
dans le groupe dans le groupe
de domaine
pour
local et de domaine
accordez les
permettre
autorisations aux
local pour que cedirecteurs
à les utilisateurs
dernier d'accéder
pourpuissent
les accéder
accès àaux
ladedonnées
à la base base decomptables.
données données ?
Inventaire.
Créer le groupe de domaine local Accounting Data. Octroyez à ce groupe
l'autorisation appropriée pour accéder au fichier des ressources
comptables. Vérifier que le réseau fonctionne en mode natif.
Rappelons que:
• Si vous prévoyez des groupes contenant des membres issus de votre
domaine, on parle alors de groupe de type domaine local.
• Si vous prévoyez d’ajouter de nouveau domaine alors utilisez des
groupes Globaux. Ce type de groupe permet de gérer des ressources issues
de différents domaines disposant d’une relation d’approbation.
• Lorsque vos ressources peuvent être issues de tous les domaines au sein
d’une forêt, vous utiliserez des groupes Universels. Ce troisième type de
groupe autorise des membres issus de n’importe quels domaines d’une
forêt.
• Il est possible de créer des groupes de sécurité, dont l’objectif est de gérer
des droits d’accès, ou des groupes de distribution. Ce dernier type de
groupe est principalement utilisé en lien avec le système de
messagerie Exchange de Microsoft, afin de créer des listes de contacts dans
le cadre d’une liste de diffusion.

228
En résumé
• Les groupes sont des objets particuliers de votre annuaire qui vont
permettre d’identifier rapidement des objets ressources,
• Les groupes permettent de structurer un annuaire
• Les groupes ont une portée en lien avec la structure d’un annuaire
• Il est plus simple d’affecter des droits en regroupant les membres d’un
même type
• Il existe 3 grands types de groupes :
• Les groupes de type domaine local, ces groupes portent sur des objets se trouvant
au sein d’un même domaine
• Les groupes de type globaux, ces groupes portent sur des objets se trouvant dans
des domaines disposant d’une relation d’approbation
• Enfin, les groupes de type universels. Ce dernier type porte sur toute la forêt

229
Stratégie de groupe

230
Qu'est-ce qu'une stratégie de groupe ?

• Une stratégie de groupe, appelée GPO pour Group Policy Object, est
un ensemble d'outils intégrés à Windows Server qui permet au service
informatique de centraliser la gestion de l'environnement utilisateur et
la configuration des machines grâce à l'application de politiques.
• Chaque stratégie dispose de ses propres paramètres, définis par
l'administrateur système, et qui seront appliqués ensuite à des postes de
travail, des serveurs ou des utilisateurs.
• Par exemple : nous pouvons décider de forcer une image de fond
d'écran sur l'ensemble des machines du domaine Active Directory, sans
que l'utilisateur puisse modifier l'image.

231
Qu'est-ce qu'une stratégie de groupe ?

232
Stratégie de groupe locale
• Il existe la possibilité d'appliquer des paramètres GPO directement en local
sur un poste, notamment s'il est hors domaine.
• Depuis Windows XP, toutes les versions de Windows intègrent les
paramètres de configuration avec une organisation similaire et accessible
localement au travers d'une console MMC.
• Ces paramètres restent stockés en local, "Stratégie de groupe locale" ou
"Local Group Policy", il n'y a rien de centralisé : le paramétrage s'effectue
machine par machine, à la main.
• Pour configurer la stratégie de groupe locale de votre PC : ouvrez la
console gpedit.msc.
• La stratégie de groupe locale est une possibilité intéressante pour tester une
nouvelle configuration afin de préconfigurer et sécuriser au mieux vos
équipements.

233
234
Stratégie de groupe Active Directory

• À l'aide d'une console unique, vous allez pouvoir gérer


différentes stratégies de groupe (GPO) à appliquer sur vos
machines et vos utilisateurs. Voici, votre solution pour la
gestion centralisée.
• La GPO peut s'appliquer à différents niveaux : au niveau du
site, du domaine ou d'une unité d'organisation

235
Stratégie de groupe au niveau du site
• La console "Sites et services Active Directory" regroupe vos différents sites
(généralement géographiques) afin d'y associer vos sous-réseaux et vos
contrôleurs de domaine. Sur chaque site que vous créez, il est possible
d'associer une stratégie de groupe afin d'appliquer des paramètres en fonction
du site où se situe actuellement la machine ou l'utilisateur.
Stratégie de groupe au niveau du domaine
• Si vous envisagez d'appliquer une stratégie de groupe à l'ensemble de vos
postes de travail ou de vos utilisateurs, il est tout à fait approprié de lier une
stratégie de groupe directement au niveau du domaine. Quand je dis cela,
j'entends lier la GPO à la racine du domaine afin qu'elle s'applique sur
l'ensemble des objets puisqu'elle sera au niveau le plus haut.
Stratégie de groupe au niveau d'une unité d'organisation
• Votre annuaire Active Directory contiendra probablement de nombreuses
unités d'organisation, afin d'organiser vos utilisateurs et machines dans ces
containers très utiles. Vous allez probablement créer plusieurs OU et former
une hiérarchie, par exemple, une OU "Utilisateurs" avec une sous-OU
"Direction". Dans le même esprit que l'on pourrait créer un dossier et des sous-
dossiers sur un serveur de fichiers.
236
La règle LSDOU

• La GPO locale s'applique en premier lieu, ensuite viennent s'appliquer


les GPO au niveau du site et du domaine. Enfin, les GPO liées sur les
unités d'organisation s'appliquent.

237
Prenons un exemple, nous avons le domaine "it-connect.local", qui
contient plusieurs unités d'organisation et 3 stratégies de groupe :
GPO n°1, GPO n°2 et GPO n°3 (GPO: configurer le fond d'écran
dans les sessions des utilisateurs. Il y a seulement une image
différente utilisée à chaque fois).

238
• Cas n°1 : un utilisateur dont l'objet se situe dans l'OU "Secretariat" va hériter
de l'image de fond d'écran défini dans la GPO n°2.
• Cas n°2 : un utilisateur dont l'objet se situe dans l'OU "Direction" va hériter
de l'image de fond d'écran défini dans la GPO n°3.
• Cas n°3 : un utilisateur qui est situé dans une autre OU que "Utilisateurs" (et
donc "Secretariat" et "Direction") va hériter de l'image définie dans la GPO
n°1.
=> les stratégies de groupe Active Directory ont plus de poids que la stratégie
de groupe locale. Ensuite, au niveau Active Directory, c'est la GPO la plus
proche qui l'emporte, donc s'il y a une GPO appliquée sur l'OU qui contient
l'objet 239
Partie pratique

240
Bouton droit -> Nouveau -> GPO_U_FondEcran -
> OK

241
Bouton droit ->
Modifier

242
Il y a deux types de configurations

243
244
245
246
• Dans Configuration utilisateur-> Modèles d’administration ->
Bureau….choisir papier peint du Bureau

247
Choisissez activé et spécifiez le chemin de l’image, vous
pouvez ajouter un commentaire

248
Cliquer sur Ok

Déplacer votre stratégies dans l’objet (UO ou autre)


que vous vous lui appliquer cette stratégie 249
250
Vérifier que la GPO est bien appliqué

251
gpresult /R pour vérifier

252
Bloquer l’héritage

253
Exercice:

Comment planifier une stratégie de groupe?

254
• Dans outils de stratégie de groupe, après avoir créer votre GPO
-> bouton droit -> Modifier

Dans préférence->…..-> tâches planifies

255
256
257
258
259
260
261
262
263
264
265
266
Optimisation des services
de fichiers (FSRM)

267
Compréhension des défis en matière de
gestion de la capacité
• La gestion de la capacité présente les défis suivants :
• Détermination de l'utilisation du stockage existant
• Établissement et application de l'utilisation du stockage à l'aide de
stratégies
• Anticipation des besoins futurs

• Les réponses à ces difficultés de gestion de la capacité sont :


• Analyse du mode d'utilisation du stockage
• Définition de stratégies de gestion des ressources de stockage
• Implémentation de stratégies pour gérer l'augmentation du stockage
• Implémentation d'un système permettant la création de rapports et la
surveillance
Qu'est-ce que FSRM ?
• Le Gestionnaire de ressources du serveur de
fichiers active les fonctionnalités suivantes :
• Gestion du quota de stockage
• Gestion du filtrage de fichiers
• Gestion des rapports de stockage
• Gestion de la classification
• Tâches de gestion de fichiers
Utilisation de FSRM pour gérer les quotas, les filtres de
fichiers et les rapports de stockage

• Qu'est-ce que la gestion de quota ?


• Que sont les modèles de quotas ?
• Analyse du rapport d'utilisation des quotas
• Qu'est-ce que la gestion du filtrage de fichiers ?
• Que sont les groupes de fichiers ?
• Que sont les modèles de filtres de fichiers et les exceptions
de filtres de fichiers ?
• Que sont les rapports de stockage ?
• Qu'est-ce qu'une tâche de création de rapport ?
• Démonstration : Utilisation de FSRM pour gérer des quotas
et des filtres de fichiers et pour générer des rapports de
stockage à la demande
Qu'est-ce que la gestion de quota ?

Utilisez la gestion de quota pour limiter l'utilisation


de l'espace disque et fournir des notifications
quand les seuils sont atteints

• Les notifications de quota permettent d'effectuer


les opérations suivantes :
• Envoyer des notifications par courrier électronique
• Consigner un événement dans l'Observateur
d'événements
• Exécuter une commande ou un script
• Générer des rapports de stockage
Que sont les modèles de quotas ?

• Un modèle de quota définit :


• Une limite d'espace
• Le type de quota (inconditionnel ou conditionnel)
• Un ensemble de notifications à générer lorsque la limite
de quota est proche

Le Gestionnaire de ressources du serveur de


fichiers (FSRM) fournit un ensemble de modèles
de quotas par défaut dans le nœud Modèles de
quotas
Analyse du rapport d'utilisation des quotas

• Vous pouvez analyser l'utilisation des quotas en :


• Affichant les informations relatives au quota dans la console
FSRM
• Générant un rapport d'utilisation du quota
• Créant des quotas conditionnels
• Utilisant l'applet de commande Windows PowerShell
Get-FSRMQuota
Qu'est-ce que la gestion du filtrage de
fichiers ?

La gestion des filtres de fichiers fournit une


méthode pour contrôler les types de fichiers qui
peuvent être enregistrés sur les serveurs de
fichiers

• La gestion des filtres de fichiers comprend :


• Création de filtres de fichiers
• Définition des modèles de filtres de fichiers
• Création d'exceptions de filtres de fichiers
• Création de groupes de fichiers
Que sont les groupes de fichiers ?
Les groupes de fichiers permettent de définir un
espace de noms pour un filtre de fichiers, une
exception de filtre de fichiers ou un rapport de
stockage

• Un groupe de fichiers est composé d'un ensemble


de modèles de noms de fichiers, regroupés selon
les catégories suivantes :
• Fichiers à inclure
• Fichiers à exclure
Que sont les modèles de filtres de fichiers
et les exceptions de filtres de fichiers ?
• Modèles de filtres de fichiers :
• Fournissent une définition pour les nouveaux filtres de
fichiers créés
• Activent le contrôle des filtres de fichiers créés à partir
de modèles

• Exceptions de filtres de fichiers


• Permettent de remplacer des filtres de fichiers pour un
emplacement ou un groupe de fichiers spécifique
Que sont les rapports de stockage ?
Les rapports de stockage fournissent des informations
sur l'utilisation des fichiers sur un serveur de fichiers

• Les types de rapports de stockage sont les suivants :


• Fichiers dupliqués
• Vérification du filtrage des fichiers
• Fichiers par groupe de fichiers, propriétaire ou propriété
• Dossiers par propriété
• Fichiers volumineux
• Fichiers ouverts le moins et le plus récemment
• Utilisation du quota
Qu'est-ce qu'une tâche de création de
rapport ?
• Vous pouvez planifier des rapports en créant une
tâche de création de rapport qui indique :
• Les volumes et dossiers sur lesquels porte le rapport
• Les types de rapports à générer
• Les paramètres à utiliser
• La fréquence de génération des rapports
• Les formats de fichiers sous lesquels enregistrer les
rapports
Démonstration : Utilisation de FSRM pour gérer des quotas et des filtres de
fichiers et pour générer des rapports de stockage à la demande

• Dans cette démonstration, vous allez apprendre à :


• Créer un quota
• Tester un quota
• Créer un filtre de fichiers
• Tester un filtre de fichiers
• Générer un rapport de stockage
Installation du rôle FSRM

280
Mise en place des quotas : Création d’un modèle de
quota

281
Mise en place des quotas : Création d’un modèle de
quota

282
283
Mise en place des quotas : Création d’un quota

284
Mise en place des quotas : Création d’un quota

285
Filtrage FSRM

286
287
288
289

Vous aimerez peut-être aussi