Académique Documents
Professionnel Documents
Culture Documents
Le gestionnaire de serveur
• Création d’un groupe de serveurs
Les groupes de serveurs vous permettent d’afficher et de gérer un sous-ensemble plus petit de votre
pool de serveurs en tant qu’unité logique
1
3. Le domaine et l’arborescence de domaines
Une arborescence de domaines est une suite de domaines qui partagent un espace de noms
contigu.
• L’unité d’organisation et Les objets (Utilisateurs, groupes et ordinateurs)
1. Unités d’organisation (OU, Organizational Unit).
Les OU sont les répertoires créés par l’administrateur, elles permettent de simplifier la
recherche, gérer les objets et déléguer l’autorité de gestion.
2. Gestion de compte d'utilisateurs
Les comptes d’utilisateurs Active Directory représentent des entités physiques, des personnes par exemple.
3. Présentation des comptes de groupes
Un groupe est un ensemble de comptes d’utilisateurs et d’ordinateurs, de contacts et d’autres groupes
qui peuvent être gérés comme une seule unité.
4. Présentation des comptes d’ordinateurs
Tous les ordinateurs exécutant Windows qui joignent un domaine possèdent un compte d’ordinateur. Les
comptes d’ordinateurs permettent d’authentifier et d’auditer l’accès au réseau et aux ressources de domaine.
• Les maîtres d’opération FSMO
Les Maîtres d’opérations peuvent être attribués sur différents contrôleurs de domaine dans une
forêt ou un domaine. Il en existe deux types :
- Les rôles situés à la racine de la forêt :
• Maître de schéma (SM)
• Maître d’attribution de noms de domaines (DNM)
- Les rôles situés à la racine de chaque domaine :
• Maître d’infrastructure (IM)
• Maître des ID relatifs (RID)
• Emulateur du contrôleur principal de domaine (PDC)
1. Rôle « Maître d’attribution des noms de domaine »
Le serveur qui détient ce rôle est unique au sein de la forêt, et il est le seul autorisé à distribuer des
noms de domaine aux contrôleurs de domaine, lors de la création d’un nouveau domaine.
2. Rôle « Contrôleur de schéma »
Le serveur qui possède ce rôle est le seul à pouvoir initier des changements au niveau de la
structure du schéma de l’annuaire
3. Rôle « Maître RID »
Ce maître d’opération devra allouer des blocs d’identificateurs relatifs à chaque contrôleur de
domaine du domaine. Ainsi, chaque contrôleur de domaine aura un bloc (pool) de RID unique qu’il
pourra attribuer aux futurs objets créés dans l’annuaire
4. Rôle « Maître d’infrastructure »
Unique au sein d’un domaine, le contrôleur de domaine qui dispose ce rôle a pour objectif de gérer
les références entre plusieurs objets.
5. Rôle « Émulateur PDC »
L’émulateur PDC (Primary Domain Controller) est unique au sein d’un domaine et se doit d’assurer
cinq missions principales :
- Modification des stratégies de groupe du domaine
- Synchroniser les horloges sur tous les contrôleurs de domaine (heure et date)
- Gérer le verrouillage des comptes
- Changer les mots de passe
• Le catalogue global et Les sites AD
1. Catalogue global
Un catalogue global contient des informations sur chaque objet de l'annuaire AD DS. Les
utilisateurs et les administrateurs peuvent utiliser ce catalogue pour rechercher des
informations dans l'annuaire .
2
Chaque domaine Active Directory possède également un cat alogue global
2. Les sites AD
Un site AD est ce qu'on appelle l'architecture physique d'Active Directory.
En gros ça détermine comment sont répartis/installés les contrôleurs de domaine sur plusieurs sites
physiques.
• La réplication intrasite et la réplication intersites
Il existe deux types de liens de réplication :
• Intra-site : lien de réplication entre les contrôleurs de domaine d’un même site
• Inter-site : lien de réplication entre les sites Active Directory, qui se configure dans le nœud
Inter-Site Transport.
• Niveau fonctionnel du domaine et de la forêt
Les niveaux fonctionnels déterminent quels systèmes d’exploitation Windows Server vous pouvez
exécuter sur des contrôleurs de domaine dans le domaine ou la forêt.
On distingue également les niveaux suivants : Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016
ou 2019.
Redémarrage de l'AD
Il est nécessaire dans certains cas de défragmenter la base Active Directory, d’effectuer une
restauration à la suite d’un crash.
Il existe deux manières d’arrêter ou de démarrer le service Active Directory, la première est la
gestion du service depuis la console MMC « Services.msc », la deuxième avec la commande NET.
Le clone utilise les critères suivants pour détecter qu’il s’agit d’une copie d’un autre contrôleur de
domaine.
Présence du fichier DCCloneConfig.xml dans un des emplacements suivants :
- Le répertoire où réside ntds.dit (%windir%\NTDS).
- La racine d’un lecteur de média amovible.
Create a clone domain controller with a static IPv4 address
New-ADDCCloneConfigFile
[-Static]
[-CloneComputerName <String>]
[-IPv4Address <String>]
[-IPv4DefaultGateway <String>]
3
[-IPv4DNSResolver <String[]>]
[-IPv4SubnetMask <String>]
[-PreferredWINSServer <String>]
[-SiteName <String>]
Exemple :
PS C:\> New-ADDCCloneConfigFile -Static -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -
IPv4SubnetMask "255.255.255.0" -CloneComputerName "VirtualDC2" -IPv4DefaultGateway
"10.0.0.3" -PreferredWINSServer "10.0.0.1" -SiteName "REDMOND"
5
Lors de la réception d’une demande de bail, le serveur DHCP doit déterminer l’étendue du client.
implémentation DNS
DNS (Domain Name System, Système de noms de domaine) permet de traduire un nom de domaine
en adresse IP.
Installation du rôle Serveur DNS et Gestion des zones DNS
• Système hiérarchique
DNS est construit sur un système hiérarchique. Les serveurs racines permettent de rediriger les
requêtes vers les serveurs DNS de premier niveau (fr, com…). Le domaine racine est représenté par
un point. On trouve en dessous les différents domaines de premier niveau (fr, net, com…). Chacun
de ces domaines est géré par un organisme (AFNIC pour le .fr, etc.), IANA (Internet Assigned
Numbers Authority) gère pour sa part les serveurs racines.
Au second niveau se trouvent les noms de domaine qui sont réservés par les entreprises ou les
particuliers.
• Création d’une zone directe principale/secondaire
Gestion des zones DNS
Une zone DNS est une portion du nom de domaine dont le responsable est le serveur DNS qui a
autorité sur la zone. Ce dernier gère la zone et ses différents enregistrements.
1. Création d’une zone de recherche directe
Les zones de recherche directe prennent en charge la résolution des noms d’hôtes en adresses IP.
2. Création d’une zone de recherche inversée
Les zones de recherche directe prennent en charge la résolution des adresses IP en noms d’hôtes.
• Création d’une zone inversée principale/secondaire
Trois types de zones peuvent être créés :
- Zone primaire : le serveur peut modifier les enregistrements de sa zone (mode lecture et
écriture).
- Zone secondaire : ce type de zone est une copie d’une zone primaire en lecture seul.
- Zone de stub : la zone contient uniquement les enregistrements SOA, NS et A des serveurs DNS
responsables de la zone.
Deux types d’enregistrements sont présents dans une zone :
- Les enregistrements statiques.
- Les enregistrements dynamiques.
6
- SRV : permet de définir un serveur spécifique pour une application
Manipuler l’infrastructure de stratégies de groupe
Introduction aux stratégies de groupe
Modèles d'administration
Les modèles d’administration permettent de mettre en place des restrictions sur un ensemble de
composants du système d’exploitation.
• Fichiers ADMX/ADML
Les paramètres des modèles d’administration sont contenus dans des fichiers portant l’extension
ADMX. Ces fichiers présents dans C:\Windows\PolicyDefinitions peuvent être ouverts avec
Notepad. les fichiers ADMX sont des fichiers XML. Il est donc beaucoup plus aisé de créer un
fichier personnalisé. Deux types de fichiers sont utilisés :
- Les fichiers portant l’extension admx permettent de définir l’emplacement du paramètre, les
éléments de la boîte de dialogue Propriétés et la modification du registre à apporter.
- Les fichiers portant l’extension adml sont chargés d’afficher le texte de l’interface utilisateur
dans une langue spécifique.
Gestion de l’héritage
L’héritage permet à un conteneur enfant de récupérer des paramètres configurés sur le parent.
Pour gérer l’héritage, il est possible de le bloquer ou à l’opposé d’appliquer la stratégie.
• Blocage de l’héritage
Le blocage de l’héritage consiste à mettre en place un blocage à un certain niveau de
l’arborescence. Cette fonctionnalité permet d’éviter les conflits en s’assurant que les GPO
configurées sur le parent ne sont pas attribuées à l’enfant.
Préférences de stratégies de groupe
• Présentation des préférences de stratégies
Les préférences de stratégies de groupe offrent aux administrateurs la possibilité de configurer de
nouveaux paramètres.
7
$AllLocalAccounts = Get-WmiObject -Class Win32_UserAccount
-Namespace "root\cimv2" -Filter "LocalAccount='$True'"
-ComputerName $ComputerName -ErrorAction Stop
L'espace de noms
• Types d’espaces de noms DFS
Il est nécessaire de choisir entre deux types d’espaces de noms DFS : basé sur un domaine AD ou
autonome.
Lorsqu’un serveur DFS est basé sur Active Directory, le chemin d’accès contient le nom de domaine
AD puis le nom de l’espace de noms (par exemple \\ID\Public). Les données de configuration sont
stockées dans l’annuaire Active Directory. Il est ainsi possible d’avoir jusqu’à plusieurs milliers de
dossiers avec des cibles. La disponibilité des données est assurée en ajoutant plusieurs serveurs
dans l’espace de noms.
Le mode autonome, lui, nécessite un cluster afin d’assurer la haute disponibilité. Les données de
configuration sont cette fois stockées dans le registre de serveur. Pour finir, le chemin d’accès est
sensiblement différent puisqu’il est composé du nom du serveur et du nom de l’espace de noms
(par exemple \\SRV1\Public).
La disponibilité dans DFS est assurée en spécifiant des cibles de dossiers supplémentaires. Ceci
implique d’effectuer la réplication à l’aide de DFSR.
8
Les comptes administrateurs sont généralement des comptes utilisateur sensibles. Principalement
parce qu’ils fournissent à l’utilisateur qui ouvre une session des droits élevés (modification du
registre, changement des paramètres Windows…). Une protection de ce type de compte est
nécessaire afin d’assurer un bon fonctionnement du système d’exploitation ainsi que l’intégrité des
données.
L’UAC (User Access Control) permet de sécuriser l’utilisation des comptes sensibles. Pour cela une
confirmation est demandée lorsqu’une élévation de privilèges est nécessaire. Si la personne
connectée ne possède pas de droit d’administration, il est nécessaire de saisir les identifiants d’un
compte d’administration.
Le certificat numérique
Ce certificat possède une clé privée et/ou une clé publique. En effet, deux types de cryptage sont
présents dans le monde de la cryptographie :
- Le cryptage à l’aide de clés symétriques qui consiste à effectuer les opérations de cryptage et
de décryptage avec la même clé.
- Le cryptage à l’aide de clés asymétriques qui utilise lui deux types de clé : une clé publique pour
crypter et une clé privée pour décrypter.
La clé privée est normalement détenue uniquement par le propriétaire du certificat, les autres
personnes utilisent sa clé publique pour effectuer le cryptage.
Le certificat peut être délivré par une entité publique (généralement en payant), celui-ci est
reconnu sur Internet. Il est possible également d’installer dans son réseau une autorité de
certification qui a pour rôle la gestion et la distribution de certificats numériques.