Académique Documents
Professionnel Documents
Culture Documents
I. Présentation
1. Service ADDS
C’est un annuaire implémenté sur les systèmes d’exploitation Microsoft depuis Windows 2000
Server. Il s’appuie sur la norme LDAP. Il comprend généralement l’ensemble des comptes
nécessaires à l’authentification des ordinateurs et utilisateurs d’une entreprise.
Domaine: permet la mise en place d'une limite administrative pour les objets utilisateurs et
ordinateurs.
Arborescence de domaine: contient une suite de domaine qui partage un espace de noms
DNS contigu. La relation entre les domaines d'une même arborescence est de type
parent/enfant.
Forêt Active Directory: contient l'ensemble des domaines Active Directory. Il contient
une seule configuration et un seul schéma partagés par l'ensemble des contrôleurs de
domaine présents dans la forêt.
Site Active Directory: permet de découper un domaine en plusieurs parties, ceci afin de
limiter et contrôler la réplication entre deux sites distants.
Unité d'organisation: permet d'appliquer une stratégie de groupe mais également de
mettre en place une délégation.
Schéma Active Directory: contient les attributs de tous les objets qui peuvent être créés
dans Active Directory.
Remarque: Par défaut le logiciel enfichable Schéma Active Directory est caché. Pour pouvoir
l'activer, il est nécessaire de taper la commande regsvr32 schmmgmt.dll dans la console
Exécuter.
4. Partitions
Partition de domaine : elle contient les informations des différents objets qui ont
été créés sur le domaine (attributs de compte utilisateur et ordinateur…).
1
Partition de configuration : la topologie de l’annuaire (liste complète des
domaines, arborescences) est décrite dans cette partition.
Partition de schéma : elle contient tous les attributs et classes de tous les objets
qui peuvent être créés.
Partition DNS : l’ensemble des zones et donc des enregistrements est stocké dans
cette partition.
N.B.: Ces partitions sont stockées dans la base de données, cette dernière se trouve dans le
répertoire %systemroot%\NTDS.
6. RODC
Un contrôleur de domaine en lecture seule (Read Only Domain Controller) contient toutes les
informations d’un contrôleur de domaine classique à l’exception du mot de passe des
utilisateurs.
Ces informations sont stockées en lecture seule uniquement et aucune modification au niveau
du domaine ne peut être initiée depuis un RODC.
2
Une nouvelle console de gestion de l’Active Directory remplaçant la console Utilisateurs
et Ordinateurs Active Directory.
Cette console est un shell graphique pour PowerShell. Après avoir choisi vos
modifications de façon graphique via cette console, la commande PowerShell
correspondante s’affiche à l’écran puis s’exécute.
Atelier N1 : Installer le service ADDS sur votre serveur WS2012 R2 (voir annexe)
Cette base de données peut stocker plusieurs types d’objets, tels que :
Compte utilisateur qui permet d’effectuer une authentification et d’autoriser des accès
aux différentes ressources partagées. Il représente une personne physique ou une
application.
Compte ordinateur qui permet d’authentifier la machine sur laquelle l’utilisateur ouvre
une session.
3
Groupes qui permettent de regrouper des comptes utilisateurs et ordinateurs dans le but de
leur autoriser l’accès à une ressource, de mettre en place une délégation de contrôle.
Exemple :
2. Corbeille
4
Si vous supprimez un objet de l’AD (compte utilisateur ou autre), celui-ci sera placé dans
la corbeille du contrôleur de domaine durant 180 jours. Vous pouvez alors aisément
restaurer cet objet ainsi que tous ses attributs via un clic droit.
Pour que cette option soit effective, le niveau fonctionnel de la forêt doit nécessairement
être WS2008 R2 (tous les DC doivent donc être sous WS 2008 R2 ou plus)
Atelier N3-1 : Créer des comptes utilisateurs en utilisant les consoles (voir annexe)
Atelier N3-2 : Créer des comptes utilisateurs en utilisant les commandes DOS (voir annexe)
Atelier N3-3 : Créer des comptes utilisateurs en utilisant les commandes PowerShell (voir
annexe)
2. Etendue du groupe
Contrôle la portée des groupes et la nature des objets que vous pouvez y placer.
Groupes Locaux du domaine : utilisables uniquement sur le domaine local où ils résident.
Membres peuvent êtres des comptes utilisateurs de n’importe quel domaine de la forêt, des
groupes globaux ou universels de n’importe quel domaine de la forêt, et/ou des groupes de
domaine local du même domaine.
Groupes Globaux : Usage global, donc utilisable sur tout domaine de la forêt. Ils ne peuvent
contenir que des comptes du domaine local (utilisateur ou ordinateur). Peuvent contenir des
groupes globaux du domaine local.
Groupes Universels : Usage global, donc utilisable sur tout domaine de la forêt. Ils Peuvent
contenir des membres de n’importe quel domaine de la forêt. Ils sont physiquement stockés sur les
contrôleurs de domaine catalogue globaux.
N.B: Pour changer l’étendu du groupe de « Global » à « Local du domaine », il faut le changer
au préalable à l’étendu « Global »
3. Règles
Eviter d’assigner les autorisations directement aux comptes utilisateurs ou ordinateurs.
L’utilisation des groupes de sécurité est plus souple et simple à gérer
Créer une convention de nommage afin d’identifier facilement leur rôle et/ou cadre
d’utilisation.
Utiliser une convention de nommage propre aux groupes contenant des comptes
d’ordinateurs uniquement
6
4. Gestion des groupes
Pour gérer les groupes, plusieurs possibilités existent:
Console « Utilisateurs et Ordinateurs Active Directory »
Console « Centre d’administration Active Directory »
Commande DOS dsadd group (scripts batch)
Commandes PowerSHELL (scripts ps)
Atelier N4-1 : Créer des groupes en utilisant les consoles (voir annexe)
Atelier N4-2 : Créer des groupes en utilisant les commandes DOS (voir annexe)
Atelier N4-3 : Créer des groupes en utilisant les commandes PowerShell (voir annexe)
Dans des environnements AD DS, il est courant de créer des unités d'organisation pour
apporter une structure départementale ou géographique aux objets en réseau, et pour
activer la configuration de la délégation administrative.
Les autorisations que vous attribuez à une unité d'organisation sont héritées par tous les
objets dans l'unité d'organisation.
L’option Inclure les autorisations pouvant être héritées du parent de cet objet activée.
Les autorisations AD DS effectives:
o Les autorisations attribuées aux utilisateurs et aux groupes se cumulent
o La meilleure pratique consiste à affecter des autorisations à des groupes et non à
des utilisateurs individuels
o En cas de conflits
7
Refuser des autorisations est prioritaire par rapport à autoriser des
autorisations
Les autorisations explicites ont priorité sur les autorisations héritées