M202 - Administrer Un Environnement Windows

OFPPT
Office de
et de du Travail
M202
Administrer un environnement
Windows
M.MANGAD
M.MANGAD 1
PLAN
1. Installation de Windows Server 2019
2. Console de gestion de serveur
3. Implémentation d’un serveur DHCP
4. Implémentation d’un serveur DNS
5. Service de domaine Active Directory
6. Gestion des objets Active Directory
7. Infrastructure de stratégies de groupe
8. Implémentation d’un serveur de fichier
9. Gestion du système de fichier DFS
10. Gestion de politique de sécurité
11. Implémentation du service de déploiement
M.MANGAD 2
I. Installation de Windows Server 2019
1. Introduction:
• Windows Server 2019 dispose de plusieurs versions pour répondre
aux entreprises. 4 versions se distinguent selon les usages et les
besoins.
• Essentiel : Pour les petites entreprises possédant jusqu’à 25 utilisateurs et
50 stations de travail maximum
• Standard : parfaite pour des serveurs physiques ou des architectures
possédant un nombre de machines virtuelles limité
• Datacenter : peut être utilisée dans les services Cloud ou avec une
architecture possédant un grand nombre de machines virtuelles. Elle
permet un nombre illimité de machines virtuelles sur l’hôte
• Hyper-V : pour les personnes souhaitant utiliser uniquement Hyper-V
M.MANGAD 3
1. A
2. Fonctionnalité Insights système

• Cette fonctionnalité ajoutée à Windows Server 2019 permet de fournir des
capacités d’analyse prédictive locale par l’intermédiaire du Machine Learning.
• Une analyse de données telles que le compteur de performances et le journal

d’évènements est faite, ceci afin de fournir des éléments de prédiction stable. La
fonctionnalité Insights système permet d’effectuer du Capacity Planning et de
fournir une solution de supervision et de remédiation fiables. Il est intéressant de
noter que les données sont stockées et analysées localement.
M.MANGAD 4
1. A

• L’administration de la fonctionnalité peut être effectuée par l’intermédiaire de
Windows Admin Center ou via PowerShell.
• Chaque capacité peut être gérée de manière individuelle. Cela inclut

évidemment la configuration de planification personnalisée de chaque capacité,
ainsi que l’ajout de script personnalisé afin de pouvoir corriger un problème
détecté par une capacité.
• Insights système est disponible sur Windows Server 2019. Il a la possibilité de

fonctionner sur des machines hôtes, invitées, sur n’importe quel hyperviseur ou
tous types de cloud.
M.MANGAD 5
1. A

Présentation des capacités
• Une capacité consiste en un modèle d’apprentissage machine ou un modèle

statique. Ces derniers permettent une analyse des données système.
• Un ensemble de capacités sont incluses par défaut dans la fonctionnalité.
• Suite à l’invocation d’une capacité, cette dernière fournit un résultat. Ce résultat
est composé d’un état et d’une description de l’état.
• OK : la capacité nous renvoie l’information que tout est OK.
• Avertissement : des avertissements ont été remontés et nécessitent votre
attention.
• Critique : une erreur critique est présente et nécessite une attention
particulière.
• Erreur : échec de la capacité causée par un problème inconnu.
• Aucun : aucune prédiction faite (exemple : manque de données)
M.MANGAD 6
1.
A

• Quatre capacités par défaut sont présentes dans Windows Server 2019 et axées
sur la prévision de capacité.
• Prévision de la capacité CPU : prévoit l’utilisation du CPU.
• Prévision de la capacité réseau : prévoit l’utilisation du réseau pour chaque

adaptateur réseau.
• Prévision de la capacité totale de stockage : prévoit la consommation totale

du stockage sur tous les disques locaux.
• Prévision de la consommation en volume : prévision de la consommation de

stockage pour chaque volume.
M.MANGAD 7
1.
A

Installaer Insights système
• Cette opération s’effectue à l’aide de la commande PowerShell suivante :
Add-WindowsFeature System-Insights -IncludeManagementTool
• Suite à l’installation, la fonctionnalité est accessible depuis Windows Admin

Center (cette fonctionnalité est traitée plus loin dans la compétence ).
M.MANGAD 8
1.
A

• En sélectionnant le nœud Insights système, les quatre capacité sont

accessibles.
• Il est ainsi possible d’invoquer cette capacité en cliquant sur le lien puis sur le
bouton Invoquer.
M.MANGAD 9
1.
2.
A
3. Prérequis pour windows server 2019:

• Avant de procéder à l’installation de Windows Server 2019 sur le poste physique,
il est nécessaire de s’assurer de respecter les prérequis d système d’exploitation.
• Processeur : 1,4 GHz minimum et architecture 64 bits.
• Mémoire RAM : 2 Go de mémoire RAM est le strict minimum. Afin de

pouvoir virtualiser des machines virtuelles, 8 Go sont recommandés.
• Espace disque : une installation de base avec aucun rôle nécessite un

espace disque de 15 Go. Il faut prévoir un espace plus ou moins conséquent
en fonction du rôle du serveur.
M.MANGAD 10
1.
2.
3.
A
4. Types d’installation windows server 2019:

Depuis Windows server 2008, deux types d’installation sont proposés.
• Une installation complète : une interface graphique est installée et permet

l’administration du serveur de manière graphique ou en ligne de commande.
• Une installation minimale (core) : le système d’exploitation est installé mais

aucune interface graphique n’est installée.
Seule une invite de commandes est présente : les installations des rôles et
fonctionnalités, ou l’administration quotidienne, se font en ligne de commande. Il
est néanmoins possible d’administrer les différents rôles à distance en installant
les fichiers RSAT (Remote Server Administration Tools) sur un poste distant.
M.MANGAD 11
II. Service DHCP
1. Introduction:
• Le protocole DHCP gère l’attribution et la libération des données de
configuration IP en louant la configuration IP au client.
• La durée de bail DHCP spécifie la durée pendant laquelle le client

peut utiliser les données de configuration IP avant de les restituer au
serveur DHCP, puis de les renouveler.
• Les avantages de dhcp sont:

– Eviter les erreurs de configuration
– Eviter de configurer des adresses ip en double
– Gagner le temps de configuration
M.MANGAD 12
II. Service DHCP
2. Processus de création d’un bail DHCP
• Le serveur est capable d’effectuer une distribution de configuration IPv4 ou IPv6.

• L’opération d’affectation d’une adresse IP passe par l’échange de plusieurs trames
entre le client et le serveur.
– La machine envoie à l’aide d’une diffusion (envoi d’un broadcast), un datagramme
(DHCP Discover) sur le port 67.
– Tout serveur qui reçoit ce datagramme diffuse une offre DHCP au client (DHCP Offer).
Le port utilisé pour l’offre est le 68.
– Le client retient la première offre qu’il reçoit et diffuse sur le réseau un datagramme
(DHCP Request), il contient l’adresse IP du serveur et celle qui vient d’être proposée
au client. Le serveur retenu reçoit une demande d’assignation de l’adresse alors que
les autres serveurs sont avertis qu’ils n’ont pas été retenus.
– Le serveur envoie un datagramme d’accusé de réception (DHCP ACK -
Acknowledgement) qui assigne au client l’adresse IP et son masque de sous-réseau
ainsi que la durée du bail et éventuellement d’autres paramètres (passerelle, DNS…).
M.MANGAD 13
II. Service DHCP
2. Processus de création d’un bail DHCP
• Le protocole DHCP utilise un processus en quatre étapes pour louer des informations
d’adressage IP aux clients DHCP. Ces quatre étapes sont nommées en fonction des types de
paquets DHCP.
– 1. Découverte DHCP
– 2. Offre DHCP
– 3. Requête DHCP
– 4. Accusé de réception DHCP ou accusé de réception DHCP négatif
M.MANGAD 14
II. Service DHCP
3. Processus de renouvellement d’un bail DHCP
• Le processus de renouvellement d’un bail DHCP est le processus permettant au
client DHCP de renouveler ou de mettre à jour ses données de configuration
d’adresse IP à l’aide du serveur DHCP.
• La commande qui permet de libérer un bail DHCP est:
Ipconfig /release
• La commande qui permet de renouveler un bail DHCP est:
Ipconfig /renew
M.MANGAD 15
II. Service DHCP
4. Installer un serveur DHCP
M.MANGAD 16
II. Service DHCP
4. Installer un serveur DHCP
M.MANGAD 17
II. Service DHCP
5. Créer une étendue DHCP
o Une étendue est une plage d’adresses IP valides disponibles pour les baux ou l’attribution
à des ordinateurs clients sur un sous-réseau spécifique.
o Vous configurez une étendue sur le serveur DHCP pour déterminer le pool d’adresses IP
que le serveur peut attribuer aux clients DHCP.
o Chaque sous-réseau possède une étendue DHCP unique contenant une plage d’adresses
IP unique et permanente. Des adresses ou des groupes d’adresses spécifiques peuvent
être exclus de la plage spécifiée par l’étendue DHCP.
M.MANGAD 18
II. Service DHCP
M.MANGAD 19
II. Service DHCP
M.MANGAD 20
II. Service DHCP
M.MANGAD 21
II. Service DHCP
Myriem.lan
M.MANGAD 22
II. Service DHCP
M.MANGAD 23
II. Service DHCP
6. Créer une Réservation DHCP
• Les réservations DHCP permettent de s’assurer qu’un client

configuré pour recevoir un bail DHCP aura systématiquement la même
configuration ; très utile pour les imprimantes réseau que l’on souhaite
garder en adressage dynamique.
• La création d’une réservation nécessite la saisie de plusieurs

informations :
– Le nom de la réservation : ce champ contient généralement le nom du poste ou de
l’imprimante concerné par cette réservation.
– L’adresse IP : indique l’adresse qui doit être distribuée au client.
– L’adresse MAC : adresse MAC de l’interface réseau qui fait la demande.
M.MANGAD 24
II. Service DHCP
6. Créer une Réservation DHCP
M.MANGAD 25
II. Service DHCP
7. Base de données DHCP
• La base de données utilisée par le service DHCP peut stocker un nombre
important d’enregistrements et le nombre de clients DHCP va influer sur la
taille de la base.
•
• Cette dernière fonctionne avec un moteur Exchange Server JET. Lors de

l’installation du rôle, les fichiers ci-dessous nécessaires au fonctionnement
du service sont stockés dans Windows\System32\Dhcp.
•
– Dhcp.mdb : base de données du service DHCP.

– J50.log : permet la journalisation des transactions.
–
– Lors de l’attribution d’un bail, la base de données est mise à jour et une entrée
est inscrite dans la base de registre.
M.MANGAD 26
II. Service DHCP
7. Base de données DHCP
Sauvegarde et restauration de la base de données
• Dans la console DHCP, effectuez un clic droit sur le serveur puis
sélectionnez Sauvegarder.
• Créez un nouveau dossier appelé SauvDHCP dans C:
• Cliquez sur l’étendue présente dans le serveur DHCP et sélectionnez
Supprimer.
• Validez les messages d’avertissement en cliquant deux fois sur Oui.
• Il va maintenant être nécessaire d’effectuer une restauration.
• Dans la console DHCP, effectuez un clic droit sur le serveur puis sélectionnez
Restaurer.
• Sélectionnez le répertoire créé pendant la sauvegarde puis cliquez sur OK.
M.MANGAD 27
II. Service DHCP
8. Gestion de dhcp en PowerShell
1. Installer le rôle dhcp:
• Pour installer le rôle DHCP, utiliser la commande :
Install-WindowsFeature -Name DHCP –IncludeManagementTools
2. Autoriser dhcp dans AD:
• Une fois installée, il faut l’autoriser dans Active Directory. Pour cela, la commande ci-
dessous doit être exécutée.
Add-DhcpServerInDC -DnsName NomServeurDHCP -IPAddress AdresseIpServeur
3. Supprimer la notification dans le gestionnaire du serveur:

• Pour supprimer cette notification à l’aide de PowerShell, exécutez la commande:
Set-ItemProperty -Path
registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManager\Roles\12 -Name
ConfigurationState -Value 2
M.MANGAD 28
II. Service DHCP
4. Créer une étendue dhcp:
La création s’opère à l’aide de plusieurs cmdlets :
• Add-DhcpServer4Scope pour effectuer la création de l’étendue.
• Add-DhcpServer4ExclusionRange permet l’exclusion de plusieurs adresses

dans une étendue.
• Set-DhcpServer4OptionDefinition assure la configuration des options

souhaitées.
• Get-DhcpServer4Scope donne la liste des étendues DHCP présentes dans le

serveur interrogé.
• La plage d’adresses sera de 172.16.3.160 à 172.16.3.200. Masque /24
M.MANGAD 29
II. Service DHCP
• Créer l’étendu
Add-DhcpServerv4Scope -Name "Formation" -StartRange 172.16.3.160 -EndRange 172.16.3.200

-SubnetMask 255.255.255.0
• Exclure La plage d’adresses IP allant de 172.16.3.195 à 172.16.3.200:
Add-DHCPServerV4ExclusionRange -ScopeId 172.16.3.0 -StartRange 172.16.3.195 -EndRange

172.16.3.200
• Configurer la passerelle 172.16.1.254:
Set-DhcpServerv4OptionValue -OptionId 3 -Value 172.16.1.254 -Scope 172.16.3.0
Configurer les paramètres:
• Les options portant l’ID 6 (Serveurs DNS) et 15 (Suffixe DNS) peuvent maintenant être configurées.
Set-DhcpServerv4OptionValue -OptionId 6 -Value 172.16.3.1 -Scope 172.16.3.0

Set-DhcpServerv4OptionValue -OptionId 15 -Value Formation.local -ScopeID 172.16.3
M.MANGAD 30
II. Service DHCP
• Activer l’étendue:
Set-DhcpServerv4Scope -ScopeId 172.16.3.0 -Name"Formation" -StateActive
• Remarque:
On peut configurer la passerelle, le serveur dns et le suffixe dns avec la commande
suivante:
Set-DhcpServerv4OptionValue -DNSServer « adresse_dns » -DNSDomain
« nom_domaine » -Router « passerelle »
M.MANGAD 31
III. Service DNS
1. Introduction:
• DNS (Domain Name System) est un service qui permet de traduire un nom de
domaine en adresse IP.
• Il permet de repérer des ordinateurs et des services en utilisant des noms au

lieu des adresses IP.
M.MANGAD 32
III. Service DNS
2. Espace de noms de domaine:
• La structuration du système DNS s'appuie sur une structure arborescente dans
laquelle sont définis des domaines de niveau supérieurs (TLD, pour Top Level
Domains), rattachés à un nœud racine représenté par un point.
• La combinaison de l’espace de noms DNS et du nom d’hôte constitue le nom

de domaine pleinement qualifié (FQDN, fully qualified domain name).
M.MANGAD 33
III. Service DNS
2. Espace de noms de domaine:
Espace de noms de domaine
L’espace de noms de domaine est une arborescence hiérarchisée de noms

utilisée par DNS pour identifier et trouver un hôte donné dans un domaine
donné, par rapport à la racine de l’arborescence.
L’arborescence doit être conforme à la convention suivante : pour chaque

domaine, un point (.) est utilisé pour séparer chaque sous-domaine de son
domaine parent, de bas en haut dans l’arborescence.
Domaine
Dans le système DNS, on appelle domaine toute arborescence ou sous

arborescence se trouvant dans l’espace de noms de domaine.
M.MANGAD 34
III. Service DNS
3. FQDN:
Le FQDN « Nom de domaine pleinement qualifié » est un nom de
domaine DNS qui a été défini de façon unique pour indiquer son
emplacement dans un espace de noms de domaine.
M.MANGAD 35
III. Service DNS
4. Requête DNS:
• Une requête est une demande de résolution de noms envoyée à un serveur DNS. Il
existe deux types de requêtes : requêtes récursives et requêtes itératives.
Requêtes itératives
• Une requête itérative est une requête envoyée à un serveur DNS dans laquelle le
client DNS demande la meilleure réponse que peut fournir le serveur DNS.
• Le résultat d’une requête itérative est souvent une référence à un autre serveur
DNS situé plus bas dans l’arborescence DNS.
• Le serveur DNS interroge alors sa propre base de données ou s’adresse à d’autres
serveurs DNS, afin de trouver le serveur DNS qui fait autorité pour la requête
d’origine.
• La réponse à une requête itérative peut être : une réponse positive; une réponse
négative ; ou une référence à un autre serveur.
M.MANGAD 36
III. Service DNS
4. Requête DNS:
Requête récursive:
• Une requête récursive est une requête envoyée à un serveur DNS dans laquelle le
client DNS demande au serveur de fournir une réponse complète.
• Une requête récursive ne peut pas être redirigée vers un autre serveur DNS sauf
au Redirecteur.
• Dans une requête récursive, le serveur DNS interrogé est sommé de renvoyer l’une
des trois réponses suivantes :
– Les données informatiques demandées.
– Un message d’erreur indiquant que les données du type demandé n’existent
pas.
– Un message indiquant que le nom de domaine spécifié n’existe pas.
M.MANGAD 37
III. Service DNS
4. Requête DNS:
M.MANGAD 38
III. Service DNS
5. Zones DNS:
• Une zone DNS correspond à un nom domaine ou à un sous-domaine que le
serveur DNS va connaitre pour répondre aux requêtes qu’il va recevoir.
• C’est l’emplacement qui va contenir le mappage de nom d’hôte à adresse IP.
• Il existe 3 types de zone:
– Principale : Une zone principale est la zone où les enregistrements de
ressources sont créés et gérés.
– Secondaire : Cette zone est une copie d’une zone principale, elle n’est pas
accessible en écriture
– Stub: C’est une zone accessible seulement en lecture et qui va contenir les
enregistrements SOA et NS.
M.MANGAD 39
III. Service DNS
5. Zones DNS:
Zone de recherche directe
• Une recherche directe est un processus d’interrogation qui recherche le
nom d’un ordinateur hôte pour trouver son adresse IP.
• Les zones de recherche directe contiennent généralement des
enregistrements de ressources de type A ou AAAA.
Zone de recherche inversée
• une recherche inversée est un processus d’interrogation qui recherche
le nom à partir de l’adresse ip.
• les zones de recherche inversée contiennent généralement des
enregistrements de ressources de type PTR,
M.MANGAD 40
III. Service DNS
6. Enregistrements DNS:
• Un enregistrement de ressource est le mappage de nom d’hôte à adresse IP
• Il existe différents types d’enregistrements de ressources.
M.MANGAD 41
III. Service DNS
7. Mise à jour DNS:
• Le processus de mise à jour manuelle des enregistrements de ressources clients est
mal adapté dans le cas d’une grande organisation qui modifie en permanence les
enregistrements de ressources DNS.
• Une organisation de grande taille avec des modifications dynamiques doit avoir recours
à la méthode dynamique de mise à jour des enregistrements de ressources DNS.
• Une mise à jour dynamique est le processus par lequel un client DNS crée, inscrit ou
met à jour de façon dynamique ses enregistrements dans des zones des serveurs DNS.
• Cela permet de réduire les tâches d’administration manuelle des enregistrements de

zone, en particulier pour les clients qui changent fréquemment d’emplacement et qui
utilisent le protocole DHCP pour obtenir une adresse IP
M.MANGAD 42
III. Service DNS
8. Configuration d’un client DNS:
M.MANGAD 43
III. Service DNS
8. Configuration d’un client DNS:
Avec enregistrement automatique:
M.MANGAD 44
III. Service DNS
8. A
9. Transfert de zones DNS:

• Un transfert de zone est le transfert des données d’une zone à partir du serveur
DNS principal vers un serveur DNS secondaire.
• Lorsque des modifications sont apportées à la zone sur un serveur DNS principal,
ce dernier informe les serveurs DNS secondaires que ces modifications ont eu lieu
et qu’elles sont répliquées vers tous les serveurs DNS secondaires.
• Le but d’un transfert de zone est de garantir que les deux serveurs DNS
hébergeant la même zone détiennent les mêmes informations concernant cette
zone.
• Sans transfert de zone, les données seraient à jour sur le serveur principal, mais
pas sur le serveur secondaire ; par conséquent, le serveur DNS secondaire ne
pourrait pas prendre en charge la résolution de noms pour la zone considérée.
M.MANGAD 45
III. Service DNS
8. A

Il existe deux types de transferts de zone DNS :
• Transfert de zone complet est le type de requête standard pris en charge par
tous les serveurs DNS. Lorsqu’une requête DNS est effectuée avec le type de
requête AXFR, la réponse est un transfert de l’intégralité de la zone. Une
requête AXFR est une demande de transfert de zone complet.
• Transfert de zone incrémentiel est un autre type de requête utilisé par

certains serveurs DNS pour mettre à jour et synchroniser les données d’une
zone lorsque celle-ci a subi des modifications depuis la dernière mise à jour.
Une requête IXFR est une demande de transfert de zone incrémentiel.
M.MANGAD 46
III. Service DNS
8. A

Notification DNS (DNS Notify)
• DNS Notify est une mise à jour de la spécification d’origine du protocole DNS
qui permet d’informer les serveurs secondaires lorsqu’une zone est modifiée.
M.MANGAD 47
III. Service DNS
8. A

Notification DNS (DNS Notify)
Le processus DNS Notify se déroule de la manière suivante :
1. La zone locale hébergée sur un serveur DNS principal est mise à jour.
2. Dans l’enregistrement de ressource SOA, le champ Numéro de série est mis à jour
pour indiquer qu’une nouvelle version de la zone a été écrite sur un disque.
3. Le serveur principal envoie un message de notification à tous les serveurs qui
figurent dans sa liste de notification.
4. Tous les serveurs secondaires de la zone qui reçoivent le message de notification
réagissent en renvoyant une requête de type SOA au serveur principal expéditeur
de la notification. Cette requête lance le processus de transfert de zone DNS.
M.MANGAD 48
III. Service DNS
8. A

Processus de transfert de zone ( Si le serveur secondaire ne reçoit pas DNS notify)
1. Le serveur secondaire de la zone attend un certain temps (spécifié par l’intervalle
d’actualisation dans l’enregistrement de ressource SOA obtenu du serveur maître). Le
serveur secondaire demande alors l’enregistrement SOA au serveur principal.
2. Le serveur principal de la zone répond en renvoyant l’enregistrement de ressource SOA.
3. Le serveur secondaire compare le numéro de série renvoyé à son propre numéro de
série. Si le numéro de série envoyé par le serveur principal pour la zone est supérieur
au numéro de série stocké sur le serveur secondaire, cela signifie que la base de
données du serveur secondaire n’est pas à jour.
4. Le serveur secondaire envoie une requête pour demander un transfert de zone
M.MANGAD 49
III. Service DNS
8. A

Processus de transfert de zone ( Si le serveur secondaire ne reçoit pas DNS notify)
M.MANGAD 50
III. Service DNS
8.
9.
A
u
10. Supprimer les enregistrements:

• Pour les enregistrements statiques, la suppression
automatique est impossible. Une intervention est
nécessaire pour autoriser cette opération. La valeur
de l’horodateur est à 0 pour les enregistrements
statiques.
• Cochez la case Supprimer cet enregistrement
lorsqu’il deviendra périmé puis cliquez sur Appliquer
• Pour les enregistrements dynamiques, les postes
tentent de mettre à jour l’enregistrement toutes les
24 heures.
• La valeur de l’horodatage correspond à la date de
création de l’enregistrement ou à la date de la mise à
jour.
M.MANGAD 51
III. Service DNS
8.
9.
A

Définir le vieillissement pour les zones
• Le vieillissement consiste à supprimer les enregistrements obsolètes
• Pour la configuration du vieillissement, la manipulation est à faire sur une zone ou dans les
propriétés du serveur pour l’application sur l’ensemble des zones.
– Cliquez avec le bouton droit sur la zone concernée puis sélectionnez Propriétés.
– Dans la fenêtre qui s’affiche, cliquez sur le bouton Vieillissement.
• Intervalle de non-actualisation : indique une constante de temps durant laquelle

l’horodatage ne peut être modifié.
• Intervalle d’actualisation : indique le moment où un horodatage peut être actualisé et

l’enregistrement supprimé.
M.MANGAD 52
III. Service DNS
8.
9.
A

M.MANGAD 53
III. Service DNS
8.
9.
A

• Pour configurer de la même façon toutes les zones, effectuez un clic droit sur le serveur
puis sélectionnez Définir le vieillissement/nettoyage pour toutes les zones….
M.MANGAD 54
III. Service DNS
8.
9.
A

Activer le nettoyage automatique
• Dans la console DNS, effectuez un clic droit

sur votre serveur puis sélectionnez
Propriétés.
• Cliquez sur l’onglet Avancé et cliquez sur la

case à cocher Activer le nettoyage
automatique des enregistrements obsolètes.
M.MANGAD 55
III. Service DNS
8.
9.
A

Effectuer un nettoyage manuel
• Dans la console DNS, effectuez un clic droit sur le serveur puis sélectionnez
Nettoyer les enregistrements de ressources obsolètes.
• Cliquez sur Oui dans la boîte de dialogue afin de lancer le nettoyage.
M.MANGAD 56
III. Service DNS
8.
9.
10.
A
11. Le Redirecteur:
• Un redirecteur est un serveur DNS que d’autres serveurs DNS internes désignent
comme responsable du transfert des requêtes pour la résolution de noms de
domaines externes ou hors site.
M.MANGAD 57
III. Service DNS
8.
9.
10.
A
11. Le Redirecteur:
Configuration:
• Pour configurer un redirecteur, effectuez un clic droit sur le serveur puis sélectionnez Propriétés.
• Cliquez sur l’onglet Redirecteurs puis sur le bouton Modifier.
• Saisissez l’adresse du redirecteur à utiliser puis appuyez sur [Entrée].
M.MANGAD 58
III. Service DNS
8.
9.
10.
A
11. Le Redirecteur:
Redirecteur conditionnel:
• Un redirecteur conditionnel permet d’indiquer le ou les serveurs DNS à contacter pour
résoudre un espace de nom (nom de domaine) précis.
• Pour créer un redirecteur conditionnel, effectuez un clic droit sur le dossier
Redirecteurs conditionnels puis cliquez sur Nouveau redirecteur conditionnel.
M.MANGAD 59
III. Service DNS
8.
9.
10.
11.
A
12. Statistiques au niveau du service DNS

• Depuis Windows Server 2012 R2, il est possible d’obtenir des statistiques au niveau
d’une zone.
• La récupération de ces informations s’effectue à l’aide de la cmdlet PowerShell
Get-DnsServerStatistics.
M.MANGAD 60
III. Service DNS
8.
9.
10.
11.
A

• ZoneQueryStatistics : permet de récupérer des informations importantes telles que les
requêtes en échec ou des erreurs au niveau des requêtes. Il est également possible de
connaître le nombre total de requêtes reçues pour un type d’enregistrement ou le
nombre de requêtes qui ont abouti sur une réponse valide.
M.MANGAD 61
III. Service DNS
8.
9.
10.
11.
A

• ZoneTransferStatistics: fournit des informations sur le transfert de zone (transactions
AXFR et IXFR), soit le nombre total de requêtes de transfert de zone reçues et envoyées
par le serveur DNS.
• ZoneUpdateStatistics: fournit des informations concernant les mises à jour

dynamiques. On peut ainsi voir le nombre de requêtes reçues et le nombre de
requêtes en échec.
M.MANGAD 62
III. Service DNS
8.
9.
10.
11.
12.
A
u
R
Y
O
13. Politique DNS:

• Il est possible de créer des politiques DNS, ces dernières offrent la possibilité de contrôler la
gestion des requêtes (demande d’adresse IP d’un serveur web, …). Il est ainsi possible de contrôler
la réponse en fonction d’un critère (serveur proche du poste qui a fait la demande…).
• Il est ainsi possible de gérer la redirection des clients afin qu’ils contactent un serveur proche
d’eux.
• On peut indiquer si un transfert de zone est autorisé ou interdit. Cette opération peut être
effectuée au niveau du serveur ou simplement pour la zone concernée.
• Ainsi il est aisée de configurer des listes blanches (autorisant le transfert de zone) ou des listes
noires (interdisant le transfert de zone).
• La commande ci-dessous permet de refuser le transfert de la zone sr.lan pour toute requête
provenant du réseau 192.168.1.0.
Add-DnsServerZoneTransferPolicy -Name DenyTransfersr.lan -Zone sr.lan -Action DENY -

ClientSubnet "EQ,192.168.1.0/24"
M.MANGAD 63
III. Service DNS
8.
9.
10.
11.
12.
13.
A
R
Y
14. Les outils d’administration en ligne de commandes:

– nslookup:
nslookup permet de tester la résolution des noms d'hôtes en adresses IP et

inversement. Lorsque l'on tape nslookup en mode texte, une invite de commande
apparaît. En outre le nom d'hôte et l'adresse IP du serveur DNS par défaut sont
affichées.
M.MANGAD 64
III. Service DNS
8.
9.
10.
11.
12.
13.
A
R
Y

– dnscmd
dnscmd est un utilitaire permettant d'administrer votre serveur DNS sans passer par la
console MMC. Vous pouvez ainsi réaliser diverses tâches allant de la création d'un
enregistrement à la suppression d'une zone.
Pour l'ajout d'une zone DNS principale :
dnscmd <serveur_DNS> /ZoneAdd <nom_de_zone> /Primary /File
<nom_du_fichier_de_zone>.
Pour la suppression d'une zone DNS principale :
dnscmd <serveur_DNS> /ZoneDelete <nom_de_zone>
/f : pas de confirmation
M.MANGAD 65
III. Service DNS
8.
9.
10.
11.
12.
13.
A
R
Y

– dnscmd
Pour ajouter un enregistrement A:
dnscmd <serveur_dns> /RecordAdd <nom_zone_DNS> <nom_hôte> A

<adresse_IP>
Pour ajouter un enregistrement PTR:
dnscmd <serveur_dns> /RecordAdd <nom_zone_DNS> <partie_hôte> PTR

<Nom_hôte>
Pour supprimer un enregistrement de ressource:
dnscmd <serveur_dns> /RecordDelete <nom_zone_DNS> <nom_hôte>

<type_enregistrement> <adresse_IP>
M.MANGAD 66
Chapitre 4
-- Active Directory--
67
M.MANGAD
IV. Active Directory
Rappel: groupe de travail et domaine:
• toutes les machines sous Windows sont par défaut dans un groupe de travail
nommé « WORKGROUP », et qui permet de mettre en relation des machines
d’un même groupe de travail, notamment pour le partage de fichiers,
• Mais il n’y a pas de notions d’annuaire, ni de centralisation avec ce mode de

fonctionnement.
 Solution : Active Directory
M.MANGAD 68
groupe de travail:
• - Une base d’utilisateurs par machine : appelée « base SAM », cette base est
unique sur chaque machine et non partagée, ainsi, chaque machine contient
sa propre base d’utilisateurs indépendante.
• - Très vite inadapté dès que le nombre de postes et d’utilisateurs augmente,
car cela devient lourd en administration et les besoins différents.
• - Création des comptes utilisateurs en nombre, car chaque utilisateur doit
disposer d’un compte sur chaque machine, les comptes étant propres à
chaque machine.
• - Manque de control et de sécurité : chaque ordinateur peut devenir membre
du groupe de travail sans authentification
M.MANGAD 69
Domaine:
• - Base d’utilisateurs, de groupes et d’ordinateurs centralisée. Un seul compte
utilisateur est nécessaire pour accéder à l’ensemble des machines du domaine.
• - L’annuaire contient toutes les informations relatives aux objets, tout est
centralisé sur le contrôleur de domaine,
• - Chaque contrôleur de domaine contient une copie de l’annuaire, qui est
maintenue à jour et qui permet d’assurer la disponibilité du service et des données
qu’il contient. Les contrôleurs de domaine se répliquent entre eux pour assurer
cela.
• - Administration et gestion de la sécurité centralisée.

M.MANGAD 70
1. Introduction au service d’annuaire AD:
• Active Directory est un service d'annuaire utilisé pour stocker des informations
relatives aux ressources réseau sur un domaine.
• il permet de fournir des services centralisés d'identification et d'authentification à

un réseau d'ordinateurs utilisant le système Windows.
o Il permet également l'application de stratégies, la distribution de logiciels, et

l'installation de mises à jour .
o Active Directory répertorie les éléments d'un réseau administré tels que les
comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés
les imprimantes…
o Un utilisateur peut ainsi facilement trouver des ressources partagées, et les

administrateurs peuvent contrôler leur utilisation.
M.MANGAD 71
1. Introduction au service d’annuaire AD:
M.MANGAD 72
1. A
2. Contrôleur de domaine:
• Un contrôleur de domaine est le serveur sur lequel est installé Active
Directory
• Il a comme rôle de traiter toutes les requêtes à sa destination;

notamment:
– vérifier les demandes d’authentification,
– veiller à l’application des stratégies de groupe
– stocker une copie de l’annuaire Active Directory…
• Un contrôleur de domaine est indispensable au bon fonctionnement du

domaine, si on éteint le contrôleur de domaine ou qu’il est corrompu, le
domaine devient inutilisable.
M.MANGAD 73
1. A
2. Contrôleur de domaine:
– Le fichier de base de données NTDS.dit
• Sur chaque contrôleur de domaine, on trouve une copie de la base de
données de l’annuaire Active Directory.
• Cette copie est symbolisée par un fichier « NTDS.dit » qui contient l’ensemble
des données de l’annuaire.
• Le fichier NTDS.dit se trouve dans:
Partition du système:\Windows\NTDS\ntds.dit
M.MANGAD 74
1. A
2. C
3. Structure d’Active Directory

• Une structure Active Directory (AD) est une organisation hiérarchisée d'objets.
• Les objets sont classés en trois grandes catégories :
– les ressources (par exemple les imprimantes),
– les services (par exemple le courrier électronique)
– les utilisateurs (comptes utilisateurs et groupes).
• Chaque objet représente une entité unique — utilisateur, ordinateur,

imprimante ou groupe — ainsi que ses attributs.
• Un objet est identifié de manière unique dans l'AD par son nom et possède
ses propres attributs.
M.MANGAD 75
1. A
2. C
M.MANGAD 76
1. A
2. C

– Les types d'objets
Unité d’organisation:
– L'Unité d'Organisation ; Dans l'arborescence, ce sont des
conteneurs qui permettent d’organiser les objets au sein
d'un domaine.
– Ces OU sont principalement utilisées pour permettre la
délégation de droits et pour l'application de GPO.
M.MANGAD 77
1. A
2. C

Groupe:
M.MANGAD 78
1.
2.
A
C

Groupe:
Il est destiné à établir des listes d'utilisateurs pour leur attribuer des droits ou des
services. On distingue trois étendues de groupes :
– Le groupe local : peut être utilisé uniquement dans le domaine dans lequel il est
créé. Il peut être défini pour contrôler l’accès aux ressources uniquement au
niveau du domaine local.
– Le groupe global Un groupe ayant une étendue « globale » pourra être utilisé dans
le domaine local, mais aussi dans tous les domaines approuvés par le domaine de
base
– groupe universel : à une portée maximale puisqu’il est accessible dans l’ensemble
de la forêt, ce qui implique qu’il soit disponible sur tous les domaines de la forêt.
M.MANGAD 79
1. A
2. C

Etendue du Groupe:
M.MANGAD 80
1.
2.
A
C

Types du Groupe:
On distingue deux types de groupes :
• Sécurité Les groupes de sécurité permettent de gérer les autorisations d’accès aux
ressources.
• Par exemple, si vous avez un partage sur lequel vous souhaitez donner des autorisations
d’accès, vous pourrez utiliser un « groupe de sécurité » pour donner des autorisations à tous
les membres de ce groupe.
• Distribution: L’objectif de ce type de groupe n’est pas de faire du contrôle d’accès, mais
plutôt des listes de distribution. Par exemple, créer une liste de distribution d’adresses e-
mail en ajoutant des contacts.
• De ce fait, ces groupes sont utilisés principalement par des applications de messagerie,
comme Microsoft Exchange.
M.MANGAD 81
1.
2.
3.
A
C
S
4. Schéma Active directory:

• Par défaut, tout annuaire Active Directory dispose de classes d’objets
prédéfinies ayant chacune une liste d’attributs bien spécifique, et propre à
tout annuaire, cela est défini grâce à un schéma.
• Le schéma contient la définition de toutes les classes d’objets et de tous les

attributs disponibles et autorisés au sein de votre annuaire.
• Les modifications du schéma doivent être réalisées avec précaution, car

l’impact est important et se ressentira sur toute la classe d’objets concernée.
• Pour preuve, le schéma est protégé et les modifications contrôlées, puisque

seuls les membres du groupe « Administrateurs du schéma » peuvent, par
défaut, effectuer des modifications.
M.MANGAD 82
1.
2.
3.
A
C
S
4. Schéma Active directory:

• Pour lancer le schéma Active Directory, utiliser la commande suivante :
C:\> regsvr32 schmmgmt.dll
M.MANGAD 83
1.
2.
3.
4.
A
C
S
5. Forêts, arborescences et domaines

– Domaine:
• Un domaine est constitué d’un ensemble d’Unités d’Organisation remplies

d’objets de différentes classes : utilisateurs, ordinateurs, groupes, contrôleurs
de domaine, etc.
Exemple:
M.MANGAD 84
1.
2.
3.
4.
A
C
S

– Arbre:
Un arbre est la constitution d’un domaine

principale et de ses sou domaines
Des entreprises ont plusieurs succursales,
ce qui implique plusieurs sites sur
différents emplacements géographiques.
Selon l’importance de ces sites, on pourra
envisager de créer un ou plusieurs sous-
domaines au domaine principal
M.MANGAD 85
1.
2.
3.
4.
A
C
S

– Forêt:
• une forêt est un regroupement d’une ou plusieurs arborescences de domaine
M.MANGAD 86
1.
2.
3.
4.
A
C
S
a

– Forêt:
• Les avantages d’une forêt sont:

– la forêt facilite les communications entre les domaines,
– Création de relations entre les différents domaines de la forêt
– Simplification de l’administration et flexibilité des utilisateurs.
– Tous les arbres d’une forêt partagent un schéma d’annuaire

commun
– Tous les domaines d’une forêt partagent un « Catalogue Global »

commun.
M.MANGAD 87
1.
2.
3.
4.
5.
6.
7.
8.
A
C
S
a
A
S
a

Stratégies AGDLP
• AGDLP (Accounts, Global, Domain Local, Permissions) est une stratégie d’affectation des droits
sous Windows server,
• Elle consiste à:
 Ajouter des comptes utilisateurs à
un groupe global
 Ajouter le groupe global dans un
groupe domaine local
 Attribuer les autorisations au
groupe de domaine local
M.MANGAD 88
1.
2.
3.
4.
5.
A
C
S
a
A
6. Partitions AD:
• La base de données Active Directory est divisée de façon logique en trois partitions :
– La partition de schéma : cette partition contient l'ensemble des définitions des

classes d’objets et attributs, qu’il est possible de créer au sein de l'annuaire Active
Directory.
– La partition de configuration : cette partition contient la topologie de la forêt

(informations sur les domaines, les liens entre les contrôleurs de domaines, les
sites, etc.).
– La partition de domaine : cette partition contient les informations de tous les

objets d'un domaine (ordinateur, groupe, utilisateur, etc.).
– Partition DNS : contient la base de données DNS. Les informations de la base, les
enregistrements y sont stockés.
M.MANGAD 89
1.
2.
3.
4.
5.
6.
A
C
S
a
A
A
7. Les rôles de maitre d’opération FSMO:

• Le Maître d’opérations FSMO « Flexible Single Master Operation » désigne certains types de contrôleurs
de domaine dans Active Directory.
• Les 5 types de maîtres d’opérations
– Le maître de schéma qui gère la modification du schéma sur le serveur. il ne peut y avoir qu’un seul
maître de schéma dans une forêt.
– Le maître d’attribution de noms de domaine qui gère l’ajout et la suppression de domaine dans une
forêt. il ne peut y avoir qu’un seul maître de ce type dans une forêt de domaines.
– Le maître RID qui alloue un identificateur SID unique à l’intérieur d’un domaine (pour un utilisateur,
un groupe…). il ne peut y avoir qu’un seul maître RID dans un domaine.
– Maître d'infrastructure: permet de maintenir les liens entre les utilisateurs et les groupes auxquels
ils appartiennent et gère lees objets. Unique au sein d’un domaine
– Emulateur CDP: contrôleur de domaine principale assure la sécurité (verouillage compte,

changement mot de passe…) Il est unique au sein d’un domaine
• Pour afficher les maitres d’opération FSMO, utiliser la commande: netdom query fsmo
M.MANGAD 90
1.
2.
3.
4.
5.
6.
7.
A
C
S
a
A
A
A
8. Catalogue global:
• le catalogue global est un annuaire central construit sur la base de copies partielles des
informations provenant des différents annuaires du réseau.
• Un serveur de catalogue global est un contrôleur de domaine qui traite efficacement les
requêtes intraforêts.
• Il contient aussi les informations nécessaires pour déterminer l’emplacement de tout objet
de l’annuaire. Le catalogue global permet aux utilisateurs d’effectuer deux tâches
importantes :
– Trouver des informations Active Directory sur toute la forêt, quel que soit
l’emplacement de ces données.
– Utiliser des informations d’appartenance à des groupes universels pour autoriser ou

refuser la connexion d’un utilisateur à un domaine.
N.B: Lors de la création d’une forêt de domaines, le premier contrôleur de domaine créé est
aussi par défaut le serveur de Catalogue Global.
M.MANGAD 91
1.
2.
3.
4.
5.
6.
7.
A
8. Catalogue global:
M.MANGAD 92
1.
2.
3.
4.
5.
6.
7.
8.
A
C
S
a
A
A
A
A
9. Site AD:
• Les sites AD sont utilisés pour gérer les organisations qui ont des succursales
réparties sur différents emplacements géographiques mais qui relèvent du même
domaine.
• Les sites AD sont des regroupements physiques de sous-réseaux connectés qui sont
utilisés pour répliquer efficacement les informations entre les contrôleurs de
domaine (DC).
• Les sites AD peuvent être imaginés comme une carte décrivant les meilleurs
itinéraires pour effectuer la réplication dans AD, permettant ainsi une utilisation
efficace de la bande passante réseau disponible.
• Les sites AD contribuent à la rentabilité et à la rapidité.
• Lorsqu'il y a plus d'un DC dans le site associé qui est capable de gérer la connexion
du client, les utilisateurs localisent le DC le plus proche pour effectuer
l’authentification. M.MANGAD 93
1.
2.
3.
4.
5.
6.
7.
8.
A
S
a
A
A
9. Site AD:
M.MANGAD 94
1.
2.
3.
4.
5.
6.
7.
8.
A
C
S
a
A
A
A
A
9. Site AD:
Réplication AD:
• La réplication d’Active Directory est la méthode de transfert et de
mise à jour des objets Active Directory d’un contrôleur de
domaine à un autre.
– Réplication intrasite:
• On parlera de réplication intrasite (réplication entre les

contrôleurs de domaine du même site).
M.MANGAD 95
1.
2.
3.
4.
5.
6.
7.
8.
A
C
S
a
A
A
A
A
9. Site AD:
Réplication AD:
– Réplication intersites:
• La réplication de type intersites consiste à effectuer des réplications sur des serveurs
d’annuaire présent dans des sites AD différents.
• Pour effectuer la réplication intersites, deux protocoles sont utilisés :
– IP : utilisé pour toutes les réplications intrasites et intersites. Ce protocole est

très souvent utilisé.
– SMTP : utilisé principalement en cas de connexions non fiables. Une CA

(autorité de certification) est nécessaire, ce qui alourdit
l’administration. Ce protocole est très peu utilisé pour la réplication.
– RPC : Plus fiable et plus rapide

M.MANGAD 96
1.
2.
3.
4.
5.
6.
7.
8.
A
C
S
a
A
A
A
A
9. Site AD:
Réplication AD:
M.MANGAD 97
1.
2.
3.
4.
5.
6.
7.
8.
A
C
S
a
A
A
A
A
9. Site AD:
ISTG
• L’ISTG (Intersite Topology Generator, générateur de topologie intersites) L’ISTG
gère les objets de connexion de réplication intersite entrants pour un site
spécifique. Chaque site dispose d’un serveur ISTG.
• Par défaut, le premier contrôleur de domaine de chaque site est l’ISTG
Tête de pont:
• Dans chaque site, un contrôleur de domaine est sélectionné afin d’obtenir le

rôle de tête de pont.
• Ce dernier a la responsabilité de répliquer ou récupérer d’éventuelles

modifications d’un autre serveur tête de pont.
M.MANGAD 98
1.
2.
3.
4.
5.
6.
7.
8.
A
C
S
a
A
A
A
A
9. Site AD:
Réplication AD:
M.MANGAD 99
1.
2.
3.
4.
5.
6.
7.
8.
9.
A
C
S
a
A
A
A
A
A
10.RODC:
• RODC ( Read Only Domain controller) est un contrôleur de domaine en lecture
seule. Exécutez la commande dcdiag /test:replications qui permet de s’assurer
d’une bonne réplication entre AD1 et AD2.
• Les avantages de RODC sont:
– Sécuriser les sites distants
– Améliorer le processus d’authentification
M.MANGAD 100
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
A
C
S
a
A
A
A
A
A
A
11.Niveau fonctionnel du domaine / forêt:

 Un niveau fonctionnel permet l’activation d’une ou plusieurs fonctionnalités
pour un domaine ou une forêt.
 Plusieurs niveaux sont disponibles, néanmoins toute modification de niveau

est irréversible (il est par la suite impossible de descendre d’un niveau).
 Ceci a un impact sur le domaine et/ou la forêt mais principalement sur les
contrôleurs de domaine. Il est nécessaire d’avoir au minimum tous les
contrôleurs de domaine qui exécutent le système d’exploitation correspondant
à celui du niveau fonctionnel choisi.
 Si le niveau choisi est Windows Server 2019, les contrôleurs de domaine

doivent au minimum exécuter Windows Server 2019.
M.MANGAD 101
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
A
C
S
a
A
A
A
A
A
A

Niveau fonctionnel Windows Server 2008
Le niveau fonctionnel Windows Server 2008 offre les fonctionnalités suivantes :
 Activation de la réplication du système de fichiers DFS (Distributed File System) pour le

dossier SYSVOL.
 Protocole AES (Advanced Encryption Services) 128 et 256 bits pour l’authentification
Kerberos.
 Mise en place de la stratégie de mot de passe affinée.
❑ Niveau fonctionnel Windows Server 2008 R2

 Le niveau fonctionnel permet l’utilisation de la corbeille AD. Cette dernière assure la
restauration d’un objet Active Directory (unité d’organisation, compte utilisateur...).
L’ensemble des propriétés sont restaurées.
M.MANGAD 102
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
A
C
S
a
A
A
A
A
A
A

Niveau fonctionnel Windows Server 2012
 Une nouveauté est apportée avec le niveau fonctionnel du domaine, avec le
protocole Kerberos Armoring : sécurise la transaction avec les informations du
compte d'ordinateur. La demande d'authentification de l'utilisateur inclus donc
des informations sur l'ordinateur à partir duquel l'utilisateur s'authentifie
Niveau fonctionnel Windows Server 2012 R2

 Stratégies d’authentification : appliquées aux comptes utilisateur, elles permettent
d’indiquer sur quelle machine un utilisateur peut ouvrir une session. Cette
fonctionnalité utilise un contrôle d’accès basé sur des conditions.
M.MANGAD 103
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
A
C
S
a
A
A
A
A
A
A
A
12.Windows Admin Center:

• Windows Admin Center consiste en un ensemble d’outils regroupés
dans une page web. Il permet d’administrer un serveur local ou
distant. Il permet de remplacer les anciennes consoles MMC ainsi que
le gestionnaire de serveur.
• Il est intéressant de noter que seuls les serveurs exécutant Windows
Server 2008 R2, 2012 R2, 2016 ou 2019 sont pris en charge.
• Concernant le poste de travail, seul Windows 10 est pris en charge.
M.MANGAD 104
V. Azure Active Directory
1. Introduction a Azure:
• La plateforme Azure offre de nombreuses fonctionnalités dont la possibilité
d’utiliser un annuaire Active Directory.
• Il permet ainsi la gestion des identités pour toutes les activités dans le cloud
(accès aux applications SAAS…).
• Généralement synchronisé avec un annuaire on-premises (présent dans le

réseau local de l’entreprise), il offre également la possibilité de procéder à la
création de comptes utilisateurs et groupes depuis l’interface web.
N.B: il est nécessaire de créer un compte démo sur le portail d’Azure puis
d’activer la version d’évaluation d’Azure AD Premium.
M.MANGAD 105
1.
A
2. Fonctionnalités Azure Active Directory

• Azure AD est utilisé par des services en ligne tels que Office 365 ou Intune pour
l’autorisation d’accès au service.
• La fonctionnalité d’authentification forte vient compléter la gestion des
identités.
– Il est en effet possible d’activer pour certains utilisateurs l’obligation
d’utiliser une authentification à deux facteurs (authentification forte).
– En plus de leur couple login/mot de passe, une partie ou l’ensemble des
utilisateurs devront utiliser un deuxième mécanisme d’authentification.
• Ce dernier peut être une application installée sur un smartphone qui fournit un
code. Celui-ci possède une durée de vie très courte.
• Il est également possible de recevoir un SMS contenant un code à saisir.
• La troisième solution va consister à valider son identité par la réception d’un
appel téléphonique et la pression d’une touche du téléphone.
• Microsoft recommande pour des raisons de sécurité l’utilisation de l’application
Microsoft Authentificator.
M.MANGAD 106
1. A
2. Fonctionnalités Azure Active Directory

Hybrid AD Join
• Lorsqu’un poste de travail est joint à un domaine Active Directory

et qu’il doit être joint à un domaine Azure AD, il est nécessaire de
configurer la fonctionnalité Hybrid AD Join.
• Elle permet ainsi à l'utilisateur d’accéder à des ressources cloud

ET locales de l'entreprise
• Le portail Azure AD est accessible depuis l’URL

https://aad.portal.azure.com.
M.MANGAD 107
1. A
2. A
3. Mise en place du Single Sign-on (SSO)

• Le Single Sign-on «SSO» offre aux utilisateurs la
possibilité d’être connectés automatiquement aux
différents portails cloud de Microsoft (SharePoint
Online, Exchange Online…).
• Cette fonctionnalité offre l’avantage de ne plus avoir à

saisir de mot de passe pour un utilisateur déjà
authentifié par les contrôleurs de domaine interne de
l’entreprise. M.MANGAD 108
1. a
2. b
3. A
4. Le portail web Self-Service

• Ce portail web offre la possibilité aux utilisateurs Azure AD de réinitialiser leur
mot de passe sans intervention de l’équipe IT.
• Cette fonctionnalité nécessite une licence Azure AD Premium pour les

comptes synchronisés avec un annuaire Active Directory.
• Pour les comptes cloud, une licence Azure AD free est suffisante.
• Avant de pouvoir accéder au portail web, il est nécessaire de procéder à la

configuration de la politique de réinitialisation du mot de passe utilisateur.
• Cette opération consiste à activer le paramètre présent dans l’onglet

Réinitialisation du mot de passe. Il est possible d’autoriser la fonctionnalité
pour tout le monde ou pour un groupe d’utilisateurs.
M.MANGAD 109
VI. GPO
1. Définition:
• Une stratégie de groupe permet l’automatisation de la configuration de
l’environnement utilisateur et ordinateur.
• Il est possible de:

– Appliquer des configurations (autoriser ou bloquer certain menu…),
– Déployer des logiciels
– Mettre en place une politique de sécurité.
• Il existe deux types de GPO:

– Domain: elle sont configurées sur un serveur possédant le rôle de contrôleur de domaine.
– Locale: elle sont configurées directement sur le poste (à l’exception des contrôleurs de
domaine).
M.MANGAD 110
VI. GPO
1. Définition:
2. Ordre d’attribution sur les postes de travail

Les stratégies de groupes sont appliquées sur le poste en fonction d’un ordre bien
précis.
• La première stratégie à s’appliquer sur le poste est la stratégie locale (si une
stratégie est présente).
• Les GPO Active Directory sont par la suite récupérées et appliquées, dans
l’ordre ci-dessous :
– La GPO du site AD est la première à être récupérée.
– Les stratégies appliquées à la racine du domaine (Default Domain Policy ou toute

autre stratégie positionnée) sont ensuite récupérées.
– Enfin, celles positionnées sur une OU ou sous-OU sont récupérées.
M.MANGAD 111
VI. GPO
1. Définition:
M.MANGAD 112
VI. GPO
1. Définition:
3. Objets GPO Starter

• Les Objets GPO Starter offrent la possibilité d’avoir une base de paramètres
applicables à toutes les GPO.
• il s'agit d'une GPO qui va servir de point de départ pour créer une ou
plusieurs autres GPO ; autrement dit il s'agit d'un template.
• Il est possible d'utiliser une GPO Starter comme base pour créer une ou
plusieurs GPO, cela peut-être utile si vous avez plusieurs variantes d'une
même GPO à créer
• Vous créez cette base, et ensuite vous l'utilisez pour créer vos GPO afin
d'ajouter seulement les paramètres spécifiques.
• Note : si l'on utilise une GPO Starter pour crée
M.MANGAD 113
VI. GPO
1. A
2. A
3. A
4. CSE (extensions côté client)

• Le client de stratégie de groupe présent sur les postes clients ou les serveurs
membres récupère une liste triée d’objets GPO depuis le contrôleur de
domaine.
• Si une stratégie de groupe à laquelle l’utilisateur/ordinateur a accès a été

modifiée depuis la dernière récupération, le téléchargement et la mise en
cache sont opérés. Les extensions côté client (CSE) présentes sur tous les
systèmes Microsoft récupèrent alors les paramètres de la GPO concernée afin
d’appliquer les modifications
M.MANGAD 114

M202 - Administrer Un Environnement Windows

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

M202 - Administrer Un Environnement Windows

Transféré par

Droits d'auteur :

Formats disponibles

OFPPT

2. Fonctionnalité Insights système

• Une analyse de données telles que le compteur de performances et le journal

2. Fonctionnalité Insights système

• Chaque capacité peut être gérée de manière individuelle. Cela inclut

• Insights système est disponible sur Windows Server 2019. Il a la possibilité de

2. Fonctionnalité Insights système

• Une capacité consiste en un modèle d’apprentissage machine ou un modèle

2. Fonctionnalité Insights système

• Prévision de la capacité CPU : prévoit l’utilisation du CPU.

• Prévision de la capacité réseau : prévoit l’utilisation du réseau pour chaque

• Prévision de la capacité totale de stockage : prévoit la consommation totale

• Prévision de la consommation en volume : prévision de la consommation de

2. Fonctionnalité Insights système

• Cette opération s’effectue à l’aide de la commande PowerShell suivante :

Add-WindowsFeature System-Insights -IncludeManagementTool

• Suite à l’installation, la fonctionnalité est accessible depuis Windows Admin

2. Fonctionnalité Insights système

• En sélectionnant le nœud Insights système, les quatre capacité sont

3. Prérequis pour windows server 2019:

• Processeur : 1,4 GHz minimum et architecture 64 bits.

• Mémoire RAM : 2 Go de mémoire RAM est le strict minimum. Afin de

• Espace disque : une installation de base avec aucun rôle nécessite un

4. Types d’installation windows server 2019:

• Une installation complète : une interface graphique est installée et permet

• Une installation minimale (core) : le système d’exploitation est installé mais

• La durée de bail DHCP spécifie la durée pendant laquelle le client

• Les avantages de dhcp sont:

– Eviter de configurer des adresses ip en double

– Gagner le temps de configuration

• Le serveur est capable d’effectuer une distribution de configuration IPv4 ou IPv6.

– 4. Accusé de réception DHCP ou accusé de réception DHCP négatif

• La commande qui permet de libérer un bail DHCP est:

• La commande qui permet de renouveler un bail DHCP est:

• Les réservations DHCP permettent de s’assurer qu’un client

• La création d’une réservation nécessite la saisie de plusieurs

– L’adresse IP : indique l’adresse qui doit être distribuée au client.

– L’adresse MAC : adresse MAC de l’interface réseau qui fait la demande.

• Cette dernière fonctionne avec un moteur Exchange Server JET. Lors de

– Dhcp.mdb : base de données du service DHCP.

• Pour installer le rôle DHCP, utiliser la commande :

Install-WindowsFeature -Name DHCP –IncludeManagementTools

2. Autoriser dhcp dans AD:

Add-DhcpServerInDC -DnsName NomServeurDHCP -IPAddress AdresseIpServeur

3. Supprimer la notification dans le gestionnaire du serveur:

La création s’opère à l’aide de plusieurs cmdlets :

• Add-DhcpServer4Scope pour effectuer la création de l’étendue.

• Add-DhcpServer4ExclusionRange permet l’exclusion de plusieurs adresses

• Set-DhcpServer4OptionDefinition assure la configuration des options

• Get-DhcpServer4Scope donne la liste des étendues DHCP présentes dans le

• La plage d’adresses sera de 172.16.3.160 à 172.16.3.200. Masque /24

Add-DhcpServerv4Scope -Name "Formation" -StartRange 172.16.3.160 -EndRange 172.16.3.200

• Exclure La plage d’adresses IP allant de 172.16.3.195 à 172.16.3.200:

Add-DHCPServerV4ExclusionRange -ScopeId 172.16.3.0 -StartRange 172.16.3.195 -EndRange

• Configurer la passerelle 172.16.1.254:

Set-DhcpServerv4OptionValue -OptionId 3 -Value 172.16.1.254 -Scope 172.16.3.0

Configurer les paramètres:

Set-DhcpServerv4OptionValue -OptionId 6 -Value 172.16.3.1 -Scope 172.16.3.0

Set-DhcpServerv4Scope -ScopeId 172.16.3.0 -Name"Formation" -StateActive

On peut configurer la passerelle, le serveur dns et le suffixe dns avec la commande

Set-DhcpServerv4OptionValue -DNSServer « adresse_dns » -DNSDomain

« nom_domaine » -Router « passerelle »

• Il permet de repérer des ordinateurs et des services en utilisant des noms au