Académique Documents
Professionnel Documents
Culture Documents
Jeanne SIMON
Sommaire :
Options d’installation :
Téléchargement :
https://www.microsoft.com/fr-fr/evalcenter/evaluate-windows-server-2016
•
Windows Server 2016
• L’onglet Serveur local, affiche les informations sur le serveurs. On peut modifier
certains paramètres comme le nom du serveur, sa configuration réseau,…
•
WORKGROUP VS
DOMAIN
WORKGROUP vs DOMAIN
DOMAIN ou domaine :
• Un domaine est plus difficile à créer qu’un groupe de travail, cependant il permet
une meilleure gestion et une meilleure évolutivité.
• On utilisera un domaine pour connecter un grand nombre d’ordinateurs entres
eux (une plus grande échelle qu’avec un groupe de travail)
• Un domaine permet de centraliser les comptes utilisateurs et configurer
globalement les ordinateurs joints au domaine : un utilisateur peut se connecter
sur n’importe quel ordinateur dans le domaine avec ses identifiants
• On a une administration et une gestion de la sécurité centralisé
•
WORKGROUP vs DOMAIN
Modifier le WORKGROUP :
•
WORKGROUP vs DOMAIN
Joindre le PC au domaine :
• C’est une entité logique qui permet de structurer l’organisation hiérarchique d’une entreprise
• Un domaine permet de fixer les limites administratives (compta, RH, … soit les différents pôles) d’une
entreprise
• Il permet de centraliser la gestion du parc informatique (pc, serveurs, imprimantes, …)
• L’Active Directory est un annuaire LDAP (Lightweight Directory Access Protocol) pour les systèmes
d’exploitation Windows
• Il permet de centraliser deux fonctionnalités essentielles : l’identification et l’authentification au sein
d’un système d’information
• Depuis Windows Server 2000, Active Directory évolue et prend de l’importance au sein des organisations
dans lesquelles il est mis en place. De ce fait, il est notamment utilisé pour le déploiement de stratégie
de groupe, la distribution des logiciels ou encore l’installation des mises à jour Windows.
•
DOMAINE, ARBORESCENCE
ET FORÊT
DOMAINE, ARBORESCENCE ET FORÊT
Un rôle de serveur est un ensemble de programmes logiciels qui, une fois installés et correctement
configurés, permettent à un ordinateur de remplir une fonction spécifique pour plusieurs
utilisateurs ou pour d’autres ordinateurs sur un réseau.
En règle générale, les rôles partagent les caractéristiques suivantes :
• Ils décrivent la fonction, l’utilisation ou le but principal d’un ordinateur. Un ordinateur spécifique peut
être consacré à un rôle unique très utilisé dans l’entreprise, ou bien remplir plusieurs rôles si chaque
rôle est uniquement peu utilisé dans l’entreprise.
• Ils fournissent aux utilisateurs d’une organisation un accès à des ressources gérées par d’autres
ordinateurs, tels que des sites Web, des imprimantes ou des fichiers stockés sur différents
ordinateurs.
• Ils incluent généralement leurs propres bases de données, qui peuvent placer des demandes
d’utilisateur ou d’ordinateur en file d’attente ou enregistrer des informations sur des utilisateurs ou
des ordinateurs réseau associés au rôle. Par exemple, Services de domaine Active Directory inclut
une base de données pour le stockage des noms et des relations hiérarchiques de tous les
ordinateurs d’un réseau.
Dès qu’ils sont installés et configurés correctement, les rôles fonctionnent automatiquement. Ceci permet
aux ordinateurs sur lesquels ils sont installés d’effectuer les tâches prescrites avec une supervision ou des
commandes utilisateur limitées
Rôles et fonctionnalités
Les fonctionnalités :
Les fonctionnalités sont des programmes logiciels qui, bien que ne faisant pas
directement partie des rôles, peuvent prendre en charge ou augmenter la fonctionnalité
d’un ou de plusieurs rôles, ou encore améliorer la fonctionnalité de la totalité du serveur,
quels que soient les rôles installés.
• Active Directory Domain Services (ADDS) : permet la mise en place des services de
domaine Active Directory, autrement dit la mise en œuvre d’un domaine et d’un annuaire Active
Directory.
• Active Directory Certificate Services (ADCS) : permet de gérer et de créer des clés ainsi
que des certificats
• Active Directory Federation Services (ADFS) : permet de simplifier l’accès à des
applications, que l’on se trouve ou non sur le même réseau. Permet l’intégration d’un mécanisme SSO
(Single Sign-On) c’est-à-dire l’authentification unique. On se connecte sur le portail ADFS avec ses
identifiants, et si l’authentification réussit on obtient directement l’accès à l’application cible sans
devoir se réauthentifier
• Active Directory Rights Management Services (ADRMS) : permet de gérer finement
les autorisations sur les fichiers des utilisateurs. Ce sont plutôt des droits comme : « J’autorise les
utilisateurs à sauvegarder le fichier, mais je n’autorise pas l’impression du fichier »
• Active Directory Lightweight Directory Services (ADLDS) : se rapproche du mode
ADDS classique à la différence qu’il n’implique pas la création d’un domaine. L’intérêt est de pouvoir
créer un annuaire autonome qui permettra de créer une base d’utilisateurs, pouvant être utilisé dans
le cadre d’un processus d’authentification auprès de l’annuaire LDAP
•
Rôles et fonctionnalités
Autres rôles principaux :
• Hyper-V
• Serveur DHCP
• Serveur DNS
• Serveur Web IIS (Internet Information Services)
• Services Bureau à distance
• Services d’impression et de numérisation
• Services de déploiement Windows
• Services WSUS ( Windows Server Update Services)
•
Rôles et fonctionnalités
Autres rôles principaux :
• Hyper-V
• Serveur DHCP
• Serveur DNS
• Serveur Web IIS (Internet Information Services)
• Services Bureau à distance
• Services d’impression et de numérisation
• Services de déploiement Windows
• Services WSUS ( Windows Server Update Services)
•
Rôles et fonctionnalités
Comment installer un rôle ou une fonctionnalité :
•
Rôles et fonctionnalités
Comment installer un rôle ou une fonctionnalité :
•
Rôles et fonctionnalités
Comment installer un rôle ou une fonctionnalité :
•
CRÉATION D’UN
DOMAINE AVEC ADDS
CRÉATION D’UN DOMAINE
Ajout du rôle ADDS :
• Pour créer un domaine on doit d’abord ajouter le rôle ADDS (Domain Services) :
fonctionnalités
requises :
CRÉATION D’UN DOMAINE
Ajout du rôle ADDS :
Pour créer le domaine il nous faut un serveur contrôleur de domaine. Nous allons
promouvoir le serveur et créer le domaine :
•
CRÉATION D’UN DOMAINE
Promouvoir le serveur en tant que
contrôleur de domaine :
Exemple : fr.wikipedia.org.
Le point symbolisant la
racine.
Il disparaît quand on saisit
l'URL dans un navigateur.
Ce point est important car
il signifie qu'il n'y a pas de
domaine au-dessus de org.
SERVEUR DNS
Hiérarchie des noms de domaines
• DNS primaire
– Maintient la base de données sur laquelle il a autorité administrative
• DNS secondaire
– Obtient les données du serveur de noms primaire par téléchargement périodique
et maintient une copie identique de la base de données
– Pour une zone, il y a toujours un primaire et souvent plusieurs secondaires (il est
préférable que ces derniers soient sur des réseaux IP différents)
– Un serveur de noms peut être primaire pour une zone et secondaire pour une
autre
• DNS cache
– Interroge les serveurs hiérarchiquement supérieurs
– Constitue un cache en mémoire des informations obtenues
• DNS redirecteur (« forwarder »)
– S’adresse toujours à un autre DNS pour obtenir l’information
SERVEUR DNS
Les résolveurs :
• Les enregistrements DNS se trouvent tout d’abord dans les fichiers de zone.
• Une zone représente un domaine organisé. Il est possible qu’un domaine ne soit
composé que d’une seule zone. Les domaines plus importants renferment cependant
plusieurs zones.
• Chaque serveur DNS est responsable d'une zone. Si un Client souhaite
interroger un domaine spécifique, le serveur DNS recherchera les enregistrements
correspondants dans les fichiers de zones, et procèdera successivement à des
recherches dans les serveurs de niveaux inférieurs jusqu’à ce qu’il atteigne la cible.
SERVEUR DNS
Gérer les fichiers de zones dans Windows Server :
• Gestionnaire DNS :
Enregistrements
DNS du fichier
de zone direct
SERVEUR DNS
Les principaux types d’enregistrements :
• CNAME → pour les alias Canonical-Name-Record (www, ftp, mail, news, etc.)
SERVEUR DNS
Créer un enregistrement DNS dans Windows
Server :
IP statique VS IP dynamique :
IP statique VS IP dynamique :
Lexique :
• Bail : Un bail est le temps pendant lequel un ordinateur client peut utiliser une adresse IP
affectée. Un bail devient inactif lorsqu’il arrive à expiration ou lorsqu’il est supprimé du
serveur. La durée d’un bail détermine sa date d’expiration et la fréquence avec laquelle le
client doit le renouveler auprès du serveur.
• Étendue : est la plage consécutive d'adresses IP d’un réseau. Les étendues désignent
généralement un sous-réseau physique unique de votre réseau.
• Plage d’exclusion : est une séquence limitée d’adresses IP dans une étendue, exclue
des offres de service DHCP. Les plages d’exclusion permettent de s’assurer que toutes les
adresses de ces plages ne sont pas offertes par le serveur aux clients DHCP de votre
réseau.
SERVEUR DHCP
Lexique :
• Pool d’adresses : Une fois que vous avez défini une étendue DHCP et appliqué des
plages d’exclusion, les adresses restantes forment le pool d’adresses disponible dans
l’étendue. Les adresses de pool peuvent faire l’objet d’une affectation dynamique par le
serveur aux clients DHCP de votre réseau.
• Réservation : Utilisez une réservation pour créer une affectation de bail d’adresse
permanente par le serveur DHCP. Les réservations permettent de s’assurer qu’un
périphérique matériel précis du sous-réseau peut toujours utiliser la même adresse IP.
→ On retrouve toutes ces informations dans le Gestionnaire DHCP sur Windows Server !
SERVEUR DHCP
On choisit le nom de la
nouvelle étendue
SERVEUR DHCP
Réseau 192.168.10.0/24
Voici quelques icones d’avertissement qu’on peut croiser pour le serveur DHCP :
Plus d’informations sur la documentation de Microsoft
SERVEUR DHCP
L’Active Directory :
• Un annuaire LDAP (Lightweight Directory Access Protocol) pour les systèmes d’exploitation
Windows, créé par Microsoft
• Il se nommait d’abord NTDS pour NT Directory Services → Windows NT (New Technology)
Administration
Unifier
centralisée et
l’authentification
simplifiée
• Administration centralisée et simplifiée : la gestion des objets, notamment des comptes utilisateurs
et ordinateurs est simplifiée, car tout est centralisé dans l’annuaire Active Directory. De plus, on peut
s’appuyer sur cet annuaire pour de nombreuses tâches annexes comme le déploiement de stratégies de
groupe sur ces objets .
• Unifier l’authentification : un utilisateur authentifié sur une machine, elle-même authentifiée, pourra
accéder aux ressources stockées sur d’autres serveurs ou ordinateurs enregistrés dans l’annuaire (à
condition d’avoir les autorisations nécessaires). Ainsi, une authentification permettra d’accéder à tout un
système d’information par la suite, surtout que de nombreuses applications sont capables de s’appuyer
sur l’Active Directory pour l’authentification. Un seul compte peut permettre un accès à tout le système
d’information, ce qui est fortement intéressant pour les collaborateurs.
• Identifier les objets sur le réseau : chaque objet enregistré dans l’annuaire est unique, ce qui permet
d’identifier facilement un objet sur le réseau et de le retrouver ensuite dans l’annuaire.
• Référencer les utilisateurs et les ordinateurs : l’annuaire s’apparente à une énorme base de données
qui référence les utilisateurs, les groupes et les ordinateurs d’une entreprise. On s’appuie sur cette base
de données pour réaliser de nombreuses opérations : authentification, identification, stratégie de groupe,
déploiement de logiciels, etc.
Annuaire Active Directory
Au sein de l’annuaire Active Directory, il y a différents types d’objets, comme par exemple les
utilisateurs, les ordinateurs, les serveurs, les unités d’organisation ou encore les groupes. En
fait, ces objets correspondent à des classes, c’est-à-dire des objets disposant des mêmes
attributs.
Par exemple : un objet ordinateur sera un objet de la classe « Ordinateur » avec des valeurs
(attributs) spécifique à ce type d’objet
Certains objets peuvent en contenir d’autres, comme les groupes qui peuvent contenir
plusieurs objets de types utilisateurs pour les regrouper et simplifier l’administration.
Les Unités d’Organisations permettent aussi d’organiser l’annuaire sur plusieurs niveau en
contenant des objets AD
Annuaire Active Directory
• Le schéma :
Pour accéder a la console schéma qui n’est pas disponible nativement, suivre ce tuto !
Annuaire Active Directory
La base de données Active Directory est divisée de façon logique en trois partitions de
répertoire (appelé « Naming Context ») :
• La partition de schéma : cette partition contient l'ensemble des définitions des
classes et attributs d’objets, qu’il est possible de créer au sein de l'annuaire Active
Directory. Cette partition est unique au sein d’une forêt.
• La partition de configuration : cette partition contient la topologie de la forêt
(informations sur les domaines, les liens entre les contrôleurs de domaines, les
sites, etc.). Cette partition est unique au sein d’une forêt.
• La partition de domaine : cette partition contient les informations de tous les
objets d'un domaine (ordinateur, groupe, utilisateur, etc.). Cette partition est unique
au sein d’un domaine, il y aura donc autant de partitions de domaine qu’il y a de
domaines.
Annuaire Active Directory
Nom Description
Utilisateur Comptes utilisateurs qui permettent de s’ authentifier sur
le domaine, et accéder aux ressources, aux ordinateurs
Ordinateur Les ordinateurs clients intégrés au domaine, mais aussi les
serveurs et les contrôleurs de domaine
Groupe Regrouper des objets au sein d’un groupe, notamment
pour simplifier l’administration (attribution de droits à un
service « informatique » qui correspond à un groupe
nommé « informatique », par exemple)
Imprimante Ressource de type « imprimante »
L’Unité d’Organisation :
Chaque objet dispose d’identifiants uniques qui sont ces deux attributs :
Chaque objet dispose d’identifiants uniques qui sont ces deux attributs :
• Le GUID :
• Le GUID (Globally Unique IDentifier) est un identificateur global unique qui
permet d’identifier un objet d’un annuaire Active Directory. Il correspond à
l’attribut « ObjectGUID » dans le schéma Active Directory.
• Il est attribué à l’objet dès sa création et ne change jamais, même si
l’objet est déplacé ou modifié. Le GUID suit un objet de la création
jusqu’à la suppression.
• Codé sur 128 bits, le GUID d’un objet est unique au sein d’une forêt et
il est généré par un algorithme qui garantit son unicité. Des informations
aléatoires, d’autres non, comme l’heure de création de l’objet .
Annuaire Active Directory
Icone de
l’annuaire
sur la
barre des
tâches
Annuaire Active Directory
Les groupes :
• L’étendue du groupe :
L’étendue d’un groupe correspond à sa portée au niveau de l’arborescence Active Directory,
les étendues peuvent aller d’une portée uniquement sur le domaine local, mais aussi
s’étendre sur la forêt entière
• Domaine local : groupe qui peut être utilisé uniquement dans le domaine dans
lequel il a été créé.
• Global : ce groupe pourra être utilisé dans le domaine local, mais aussi dans tous
les domaines approuvés par le domaine de base
• Universelle : ce groupe sera disponible sur l’ensemble de la forêt
Les groupes :
• Le type du groupe :
• Sécurité : Les groupes de sécurité sont les plus utilisés. Il permettent de gérer les
autorisations d’accès aux ressources. Un groupe de sécurité « transmet » ses
autorisations d’accès aux ressources à ses membres
Les groupes de sécurités auront donc besoin d’un identifiant de sécurité SID
• Distribution : utile pour créer des listes de distribution. Par exemple, pour créer
une liste de distribution d’adresses e-mail en ajoutant des contacts. Ces groupes
sont principalement utilisés par des applications de messageries comme Microsoft
Exchange.
Les groupes de distribution n’auront pas besoin d’un identifiant de sécurité SID
Étant donné que vous ne pouvez pas modifier l’appartenance à ces groupes, les groupes ne
sont pas répertoriés dans Utilisateurs et ordinateurs Active Directory
Créer un groupe :
Pour ajouter un poste client dans le domaine il faut respecter les prérequis suivants :
Lors de l’ajout d’un poste client dans le domaine on peut rencontrer ces erreurs :
Cette erreur indique que le poste client n’arrive pas à contacter notre serveur
contrôleur de domaine.
Pour trouver d’où vient le problème il faut procéder par étape avec le modèle OSI et
TCP/IP !
Ajouter un poste client dans le domaine
2. Couche Réseau :
On va vérifier notre configuration IP et
vérifier la communication avec le serveur
2. Couche Réseau :
ipconfig et ping !
Notre PC est bien sur le réseau local et communique bien avec le serveur
Ajouter un poste client dans le domaine
3. Couche Application :
On va vérifier la communication avec le
DNS et la résolution de nom
3. Couche Application :
3. Couche Application :
Une fois le poste client dans le domaine on peut se connecter avec n’importe quel utilisateur
de l’annuaire Active Directory
Ajouter un poste client dans le domaine
Une fois le poste client dans le domaine on peut se connecter avec n’importe quel utilisateur
de l’annuaire Active Directory
Ajouter un poste client dans le domaine
Même si l’ordinateur est dans le domaine, on peut toujours se connecter avec les utilisateurs
locaux.
Pour cela il faut cliquer sur Autre utilisateur et saisir son nom d’utilisateur précédé par le
nom de l’ordinateur.
Exemple : PC-01\Aston
Ajouter un poste client dans le domaine
Si un utilisateur oublie son mot de passe, il est possible de le réinitialiser depuis l’annuaire
Active Directory :
Pour finir il faudra supprimer l’objet AD de l’ordinateur enlever du domaine dans l’annuaire
Active Directory :
Le PC à été désactivé
GESTION DES STRATÉGIES
DE GROUPE
GPO
Les stratégies de groupes _ GPO
Qu’est-ce qu’une GPO ?
• Une stratégie de groupe ou GPO (Group Policy Object) est un ensemble d’outils
intégrés à Windows Server qui permet au service informatique de centraliser la gestion
de l’environnement utilisateur et la configuration des machines grâce à l’application de
politiques
• Chaque GPO dispose de ses propres paramètres, définis par l’administrateur système, et
qui seront appliqués à des postes de travail, des serveurs ou des utilisateurs
• Par exemple : une GPO qui applique le même fond d’écran sur tous les postes clients du
domaine, sans que l’utilisateur puisse modifier l’image du fond d’écran
• Les avantages :
• configuration homogène entre les différentes machines du parc informatique, mais
aussi au niveau de l'environnement utilisateur
• Gain de temps en réalisant une modification qui s’applique sur un ensemble de postes
• Flexibles car on peut changer facilement la configuration d’une GPO
Les stratégies de groupes _ GPO
GPO local VS GPO Active Directory :
• GPO local :
Il est possible de configurer des stratégies de groupes sur une machine (Windows 10 ou
Server) hors domaine (workgroup) mais ces stratégies ne s’appliquent que sur cette machine.
Les stratégies de groupes _ GPO
GPO local VS GPO Active Directory :
La forêt
Les domaines
Le domaine aston-
ecole.local
Les UO du domaine
aston-ecole.local
Arborescence Informations
de la forêt sur ce qu’on a
sélectionné
Les stratégies de groupes _ GPO
Présentation de la console Gestion des stratégies de groupe
L’onglet Paramètres,
affiche toutes les
stratégies et les
paramètres qui
composent la GPO
Les stratégies de groupes _ GPO
Présentation de la console Gestion des stratégies de groupe
Pour faire appliquer une GPO en priorité on va pouvoir utiliser l’option Appliqué.
Cette option est en réalité mal traduite → Enforced en anglais.
Une fois appliqué, la GPO aura un cadenas sur elle. Elle sera appliqué en priorité par
rapport aux autres GPO qui ne sont pas Enforced !
Les stratégies de groupes _ GPO
Créer une GPO :
• L’éditeur de GPO
Il faut faire clic-droit sur la GPO
Puis Modifier
Les stratégies de groupes _ GPO
Configurer une GPO :