Vous êtes sur la page 1sur 106

Chapitre 1 : Implémentation

du service d’annuaire
Active Directory
Leçon : Architecture d'Active Directory

Rôle d'Active Directory


Structure logique d'Active Directory
Structure physique d'Active Directory
Rôle d'Active Directory

Centralisation du contrôle des ressources du réseau


Centralisation et décentralisation de la gestion des
ressources
Stockage des objets de manière sécurisée dans une
structure logique
Optimisation du trafic réseau
Structure logique d'Active Directory

Arborescence de domaines Domaine

Domaine
Domaine Domaine

OU
Objets
Domaine Domaine

OU OU

Domaine

Unité d'organisation

Forêt
Structure physique d'Active Directory

Sites
Contrôleurs de domaine
Liaisons WAN
Site

Liaisons WAN

Site Contrôleurs de domaine


Leçon : Fonctionnement d'Active Directory

Définition d'un service d'annuaire


Définition d'un schéma
Définition d'un catalogue global
Définition d'un nom unique et d'un nom unique relatif
Définition d'un service d'annuaire

Un référentiel d'informations structuré sur les personnes


et les ressources d'une organisation

Domaine
OU1
Ordinateurs
Rosalie Mignon
Ordinateur 1
Attributs Valeurs
Utilisateurs
Rosalie
Utilisateur 1 Nom
Mignon
OU2 Bâtiment
117
Utilisateurs Étage
1
Utilisateurs 2

Imprimantes
Imprimante 1
Définition d'un schéma

Une définition à l'échelle de la forêt d'attributs et de


classes d'objets qui peut être étendue
Les modifications de schéma peuvent être redéfinies ou
désactivées

Exemples de classe Exemples


d'objet d'attribut
accountExpires
Utilisateur department
distinguishedName
directReports
dNSHostName
Ordinateur
operatingSystem
repsFrom
repsTo
Imprimante firstName
lastName
Définition d'un catalogue global

Un référentiel d'informations contenant un sous-ensemble


des attributs de tous les objets dans Active Directory

Lecture seulement

Catalogue global
Protocole LDAP

LDAP (Lightweight Directory Access Protocol) est un


protocole du service d’annuaire utilisé pour interroger et
mettre à jour Active Directory.
Chaque objet de l’annuaire est identifié par une série de
composants qui constituent son chemin d’accès LDAP
au sein d’Active Directory (CN=Loïc THOBOIS,
OU=Direction, DC=labo-microsoft, DC=lan).
DC : Composant de domaine (lan, com, labo-microsoft)
OU : Unité d’organisation (contient des objets)
CN : Nom usuel (Nom de l’objet)
Définition d'un nom unique et d'un nom unique relatif

Les noms uniques identifient le domaine et le chemin


d'accès d'un objet

Contoso.msft

Finances

Ventes

Laura Bartoli
Nom unique relatif

CN=Laura Bartoli,OU=Ventes,OU=Finances,DC=contoso,DC=msft
Leçon : Analyse d'Active Directory

Gestion d'Active Directory


Outils et composants logiciels enfichables
d'administration d'Active Directory
Comment analyser Active Directory ?
Gestion d'Active Directory

Gestion centralisée Domaine Domaine


OU1
Permet à un administrateur unique deOU1 gérer les ressources de
Admin1
Ordinateurs
manière centrale Ordinateur 1
OU1 OU2
Permet aux administrateurs de localiser les informations et les
Utilisateurs
objets de groupe OU2 Admin2 Utilisateur 1
OU2
Utilise la stratégie de groupe pour définir des paramètres et
Utilisateurs
contrôler l'environnement utilisateur Utilisateur 2
Ordinateur1 Imprimante
OU3 2 Admin3
Utilisateur 1 Utilisateur 2 Imprimantes
Imprimante 1
Gestiondécentralisée
Gestion décentralisée
Decentralized management
Permet à un administrateur unique de gérer les ressources de
Permet de
manière déléguer les tâches d'administration réseau de
centrale
Permet
certainesde déléguer
unités les tâches d'administration
d'organisation à d'autres réseau de certaines
administrateurs
Permet aux administrateurs de localiser les
unités d'organisation à d'autres administrateursinformations et les objets
de groupe
Permet dedéléguer
déléguer certaines tâches
Permet de certaines tâches entreentre les unités
les unités d'organisation
d'organisation
Utilise la stratégie de groupe pour définir des paramètres et contrôler
l'environnement utilisateur
Outils et composants logiciels enfichables d'administration
d'Active Directory

Composants logiciels enfichables MMC d'administration


 Utilisateurs et ordinateurs Active Directory
 Domaines et approbations Active Directory
 Sites et services Active Directory
 Schéma Active Directory
Outils de ligne de commande d'administration
 Dsadd  DSrm
 Dsmod  DSget
 Dsquery  CSVDE
 Dsmove  LDIFDE
Windows Power Shell
Leçon : Processus de conception, de planification et
d'implémentation d'Active Directory

Vue d'ensemble de la conception, de la planification


et de l'implémentation d'Active Directory
Processus de conception d'Active Directory
Processus de planification d'Active Directory
Processus d'implémentation d'Active Directory
Vue d'ensemble de la conception, de la planification et
de l'implémentation d'Active Directory

Conception
Sur la base des besoins de l'entreprise
d'Active Directory

Plan Sur la base des aspects techniques de la


d'implémentation conception
d'Active Directory Établir les instructions d'implémentation

Implémentation
Crée la structure de domaine et de forêt
d'Active Directory
Processus de conception d'Active Directory

Les tâches de conception Le résultat de la phase de


sont les suivantes : conception d'Active
Directory inclut les
éléments ci-dessous :
Collecte d'informations La conception du
sur l'organisation domaine et de la forêt
Analyse des informations La conception de l'unité
sur l'organisation d'organisation
Analyse des options de La conception du site
conception
Sélection d'une
conception
Affinage de la conception
Processus de planification d'Active Directory

Stratégie de Plan
compte d'implémentation
du site
Stratégie
d'audit Plan de Plan
déploiement de
Plan logiciels d'implémentation
d'implémentation d'Active
d'unité Plan de Directory
d’organisation placement des
serveurs
Plan de
stratégie de
groupe
Processus d'implémentation d'Active Directory

Pour implémenter le plan Active Directory :

Implémentez la forêt, le domaine et les structures DNS


Créez :
 des unités d'organisation et des groupes de
sécurité
 des comptes d'utilisateur et d'ordinateur
 des stratégies de groupe
Implémentez les sites
Implémentation d’une structure de forêt et de domaine Active
Directory

Un domaine désigne l’unité administrative de base d’un


réseau Windows 2008.
Le premier domaine d’une nouvelle forêt créé dans
Active Directory représente le domaine racine de
l’ensemble de la forêt.
La création d’un domaine d’effectue à l’aide de la
commande dcpromo. L’assistant d’installation d’Active
Directory nous guide alors dans la création d’un
nouveau domaine ou dans la création d’un contrôleur de
domaine supplémentaire dans un domaine Windows
2008 existant.
Installation d’Active Directory

La configuration requise pour pouvoir installer Active


Directory :

 Un ordinateur exécutant Windows 2008 server Standard


Edition, Enterprise Edition ou Datacenter Edition;
 250 Mo d’espace libre sur une partition ou un volume NTFS;
 Les paramètres TCP/IP configuré pour joindre un serveur DNS;
 Un serveur DNS faisant autorité pour gérer les ressources SRV;
 Des privilèges administratifs suffisants pour créer un domaine.
Le processus d’installation comprend les éléments
suivants:
 Démarrage du protocole de sécurité et définition de la sécurité
 Création des partitions Active Directory, de la base de données
et des fichiers journaux
 Création du domaine racine de la forêt
 Création du dossier SYSVOL
 Configuration de l’appartenance au site du contrôleur de
domaine
 Activation de la sécurité sur le service d’annuaire et sur les
dossiers de réplication de fichiers.
 Activation du mot de passe pour le mode de restauration
Les différents niveaux fonctionnels

Le niveau fonctionnel d’un domaine ou d’une forêt


définit l’ensemble des fonctionnalités supportées par le
service d’annuaire Active Directory dans ce domaine ou
dans cette forêt.
Les niveaux fonctionnels de forêt

Le niveau fonctionnel d'une forêt active des


fonctionnalités spécifiques dans tous les domaines de
cette forêt.
Windows 2000 (niveau par défaut): Le niveau fonctionnel
de la forêt Windows 2000 offre toutes les fonctionnalités des
services de domaine Active Directory disponibles dans
Windows 2000 Server. Si vous disposez de contrôleurs de
domaine exécutant des versions ultérieures de Windows
Server, certaines fonctionnalités avancées ne seront pas
disponibles sur ces contrôleurs de domaine tant que la forêt
restera au niveau fonctionnel Windows 2000.
Windows Server 2003: Le niveau fonctionnel de la forêt
Windows Server 2003 offre toutes les fonctionnalités
disponibles dans le niveau fonctionnel de la forêt
Windows 2000, ainsi que les fonctionnalités supplémentaires
suivantes :
 Réplication de valeurs liées, qui améliore la réplication des modifications
aux appartenances aux groupes.
 Génération plus efficace des topologies de réplication complexes par le
vérificateur de cohérence des données.
 Approbation de forêts, qui permet aux organisations de partager aisément
des ressources internes entre plusieurs forêts.

Tous les nouveaux domaines créés dans cette forêt


fonctionneront automatiquement au niveau fonctionnel du
domaine Windows Server 2003.
Windows Server 2008: Ce niveau fonctionnel de forêt
n’offre pas de fonctionnalités supplémentaires par rapport au
niveau fonctionnel de la forêt Windows 2003. Il permet
seulement de garantir que tous les domaines créés dans
cette forêt fonctionneront automatiquement dans le niveau
fonctionnel de domaine Windows Server 2008 qui, lui, offre
des fonctionnalités uniques.
L’augmentation d’un niveau fonctionnel de forêt

Lorsque tous les domaines d’une forêt ont le même


niveau fonctionnel, il est possible d’augmenter le niveau
fonctionnel de la forêt. Seul un membre du groupe
administrateurs de l’entreprise peut réaliser cette
opération.
Une fois le niveau fonctionnel de la forêt augmenté, les
contrôleurs de domaine exécutant des versions
antérieures du système d'exploitation ne peuvent pas
être introduits dans la forêt.
Les niveaux fonctionnels de domaine

Windows 2000 Natif: Les fonctionnalités suivantes sont


disponibles au niveau fonctionnel du domaine Windows 2000
natif :
groupes universels
imbrication de groupes
conversion de types de groupes
historique SID
Si vous disposez de contrôleurs de domaine exécutant des
versions ultérieures de Windows Server, certaines
fonctionnalités avancées ne seront pas disponibles sur ces
contrôleurs de domaine tant que le domaine restera au niveau
fonctionnel Windows 2000 natif.
Windows Server 2003: Les fonctionnalités suivantes sont disponibles au
niveau fonctionnel du domaine Windows Server 2003 :
Groupes universels.
Imbrication de groupes.
Conversion de types de groupes.
Historique SID.
Délégation contrainte, qu’une application peut utiliser pour bénéficier de la délégation
sécurisée des informations d’identification de l’utilisateur au moyen du protocole
d’authentification Kerberos.
Mises à jour de lastLogonTimestamp : l’attribut lastLogonTimestamp est mis à jour
avec la dernière heure de connexion de l’utilisateur ou de l’ordinateur, et répliqué sur le
domaine.
Capacité à définir l’attribut userPassword en tant que mot de passe effectif sur
inetOrgPerson et les objets utilisateur.
Capacité à rediriger les conteneurs Utilisateurs et ordinateurs afin de définir un nouvel
emplacement connu pour les comptes d’utilisateurs et d’ordinateurs.
Windows Server 2008: Les fonctionnalités suivantes sont
disponibles au niveau fonctionnel de domaine Windows
Server 2008 :
Groupes universels.
Imbrication de groupes.
Conversion de types de groupes.
Historique SID.
Délégation contrainte, qu’une application peut utiliser
pour bénéficier de la délégation sécurisée des
informations d’identification de l’utilisateur au moyen du
protocole d’authentification Kerberos.
Mises à jour de lastLogonTimestamp : l’attribut lastLogonTimestamp
est mis à jour avec la dernière heure de connexion de l’utilisateur ou
de l’ordinateur, et répliqué sur le domaine.
Capacité à définir l’attribut userPassword en tant que mot de passe
effectif sur inetOrgPerson et les objets utilisateur.
Capacité à rediriger les conteneurs Utilisateurs et ordinateurs pour
définir un emplacement connu pour les comptes d’utilisateurs et
d’ordinateurs.
Prise en charge de la réplication du système de fichiers DFS
(Distributed File System) pour SYSVOL, qui offre une réplication plus
robuste et granulaire du contenu de SYSVOL.
Prise en charge des services de chiffrement avancés
AES (Advanced Encryption Services) 128 et 256 pour le
protocole Kerberos.
Dernières informations de connexion interactives, qui
affichent l’heure de la dernière connexion interactive
réussie d’un utilisateur, le nombre de tentatives de
connexion ayant échoué depuis la dernière connexion et
l’heure du dernier échec de connexion.
Stratégies de mot de passe affinées, qui permettent aux
utilisateurs et aux groupes de sécurité globale d’un
domaine de spécifier des stratégies de mot de passe et
de verrouillage de compte.
L’augmentation d’un niveau fonctionnel de domaine

Il est possible d’augmenter le niveau fonctionnel d’un


domaine. Cette opération se réalise dans la console
Domaines et approbations Active Directory (accessible
en tapant domain.msc dans la boite de dialogue
exécuter) ou bien dans la console Utilisateurs et
ordinateurs Active Directory (accessible en tapant
dsa.msc dans la boite de dialogue exécuter). Pour
réaliser cette opération, vous devez être membre du
groupe administrateurs du domaine.
Administration des comptes
d'utilisateurs et des comptes
d'ordinateurs
Vue d'ensemble

Création de comptes d'utilisateurs


Création de comptes d'ordinateurs
Modification des propriétés des comptes d'utilisateurs
et des comptes d'ordinateurs
Création d'un modèle de compte d'utilisateur
Activation et déverrouillage des comptes d'utilisateurs
et des comptes d'ordinateurs
Réinitialisation des comptes d'utilisateurs et des
comptes d'ordinateurs
Recherche de comptes d'utilisateurs et de comptes
d'ordinateurs dans Active Directory
Enregistrement des requêtes
Leçon : Création de comptes d'utilisateurs

Description des comptes d'utilisateurs


Noms associés aux comptes d'utilisateurs de domaine
Instructions de création d'une convention d'attribution
de noms pour les comptes d'utilisateurs
Positionnement des comptes d'utilisateurs dans une
hiérarchie
Options de mot de passe utilisateur
Quand imposer des changements de mots de passe
Procédure de création de comptes d'utilisateurs
Recommandations pour la création de comptes
d'utilisateurs
Description des comptes d'utilisateurs

Comptes d'utilisateurs locaux


(stockés sur l'ordinateur local)

Comptes d'utilisateurs
de domaine
(stockés dans Active Directory)
Domaine Windows Server 2003

Présentation multimédia : Types de comptes


d'utilisateurs
Noms associés aux comptes d'utilisateurs de
domaine

Nom Exemple
Nom d'ouverture
de session Jayadams
d'utilisateur
Nom d'ouverture
de session pré- Nwtraders\jayadams
Windows 2000
Nom principal
d'ouverture
de session Jayadams@nwtraders.msft
d'utilisateur
Nom unique relatif
CN=jayadams,CN=users,dc=nwtraders,dc=msft
LDAP
Instructions de création d'une convention d'attribution
de noms pour les comptes d'utilisateurs

Une convention d'attribution de nom pour les comptes


d'utilisateurs doit tenir compte :

des employés homonymes

des différents types d'employés, comme les


intérimaires ou les titulaires
Positionnement des comptes d'utilisateurs dans
une hiérarchie

Conception géopolitique Conception d'entreprise

Amérique du Nord Comptabilité


Utilisateurs Utilisateurs

Amérique du Sud Ventes


Utilisateurs Utilisateurs
Options de mot de passe utilisateur

Options de compte Description


L'utilisateur doit
changer le mot
Les utilisateurs doivent modifier leur mot
de passe à la
de passe la prochaine fois qu'ils ouvrent une
prochaine session sur le réseau
ouverture
de session
L'utilisateur ne
Un utilisateur ne possède pas les
peut pas changer
de mot de passe autorisations pour changer son mot de passe
Le mot de passe Le mot de passe d'un utilisateur ne peut pas
n'expire jamais expirer
Le compte est Un utilisateur ne peut pas ouvrir de session
désactivé avec le compte sélectionné
Quand imposer ou restreindre les changements
de mots de passe

Option Action
L'utilisateur doit
changer le mot de Créer des comptes de domaine
passe à la prochaine Réinitialiser des mots de passe
ouverture de session
Créer des comptes de services locaux
L'utilisateur ne peut et de domaine
pas changer de mot
de passe Créer des comptes locaux qui
n'ouvrent pas de session localement
Procédure de création de comptes d'utilisateurs

Le formateur va montrer comment effectuer les tâches


suivantes :
Créer un compte d'utilisateur
de domaine
Créer un compte d'utilisateur local
Application pratique : Création de comptes
d'utilisateurs

Dans cette application pratique, vous


effectuerez les tâches suivantes :
 créer un compte d'utilisateur local
en utilisant Gestion de l'ordinateur
 créer un compte de domaine à l'aide
d'Utilisateurs et ordinateurs Active
Directory
 créer un compte d'utilisateur de domaine
à l'aide de la commande Exécuter en tant
que
 créer un compte d'utilisateur de domaine
à l'aide de la commande dsadd
Recommandations pour la création de comptes
d'utilisateurs

Recommandations pour la création de comptes


d'utilisateurs locaux
N'activez pas le compte Invité

Limitez le nombre de personnes qui peuvent ouvrir une


session locale

Recommandations pour la création de comptes


d'utilisateurs de domaine
Désactivez les comptes qui ne seront pas
immédiatement utilisés
Exigez des utilisateurs qu'ils changent leurs mots de
passe lors de l'ouverture de leur première session
Leçon : Création de comptes d'ordinateurs

Description des comptes d'ordinateurs


Intérêt de la création d'un compte d'ordinateur
Emplacement de création des comptes d'ordinateurs
dans un domaine
Options des comptes d'ordinateurs
Procédure de création d'un compte d'ordinateur
Description des comptes d'ordinateurs

II identifie un ordinateur dans un domaine


Il fournit un moyen d'authentifier et d'auditer l'accès des
ordinateurs au réseau ainsi qu'aux ressources
du domaine
Il est nécessaire pour tous les ordinateurs exécutant :
 Windows Server 2003
 Windows XP Professionnel
 Windows 2000
 Windows NT
Intérêt de la création d'un compte d'ordinateur

Sécurité
Authentification
IPSec
Audit
Administration
Fonctions de Active Directory :
Déploiement de logiciels
Gestion des Bureaux
Inventaire matériel et logiciel par SMS
Emplacement de création des comptes d'ordinateurs
dans un domaine

Les ordinateurs qui rejoignent le domaine sont


créés dans le conteneur Computers

Les comptes d'ordinateurs peuvent êtredéplacés


ou créés dans d'autres unités d'organisation
Options des comptes d'ordinateurs
Procédure de création d'un compte d'ordinateur

Le formateur va montrer comment effectuer les tâches


suivantes :
créer un compte d'ordinateur à l'aide d'Utilisateurs
et ordinateurs Active Directory
créer un compte d'ordinateur à l'aide
de la commande dsadd
Application pratique : Création d'un compte
d'ordinateur

Dans cette application pratique, vous allez


effectuer les tâches suivantes :
 créer un compte d'ordinateur à l'aide
d'Utilisateurs et ordinateurs Active
Directory
 créer un compte d'ordinateur à l'aide
de la commande dsadd
Leçon : Modification des propriétés des comptes
d'utilisateurs et des comptes d'ordinateurs

Quand modifier les propriétés des comptes d'utilisateurs


et des comptes d'ordinateurs
Propriétés des comptes d'utilisateurs
Propriétés des comptes d'ordinateurs
Procédure de modification des propriétés des comptes
d'utilisateurs et des comptes d'ordinateurs
Quand modifier les propriétés des comptes
d'utilisateurs et des comptes d'ordinateurs

Modifiez les propriétés des comptes d'utilisateur pour :

faciliter l'utilisation des fonctionnalités de


recherche pour trouver des utilisateurs
reproduire la hiérarchie organisationnelle de la société
déterminer l'appartenance à un groupe d'un compte
d'utilisateur

Modifiez les propriétés des comptes d'ordinateur pour :

faciliter le suivi des ressources (propriété Emplacement)


renseigner qui assure l'administration d'un ordinateur
(propriété Géré par)
Propriétés des comptes d'utilisateurs

La boîte de dialogue Propriétés d'un compte d'utilisateur


contient les éléments suivants :
Propriétés des comptes d'ordinateurs

La boîte de dialogue Propriétés d'un compte d'ordinateur


contient les éléments suivants :
Procédure de modification des propriétés des comptes
d'utilisateurs et des comptes d'ordinateurs

Le formateur va montrer comment modifier des


comptes d'utilisateurs et d'ordinateurs
Application pratique : Modification des propriétés des
comptes d'utilisateurs et des comptes d'ordinateurs

Dans cette application pratique, vous allez


modifier les propriétés de comptes
d'utilisateurs et de comptes d'ordinateurs
Leçon : Création d'un modèle de compte
d'utilisateur

Description d'un modèle de compte d'utilisateur


Propriétés d'un modèle
Instructions de création de modèles de comptes
d'utilisateurs
Procédure de création d'un modèle de compte
d'utilisateur
Description d'un modèle de compte d'utilisateur

Un modèle de compte d'utilisateur est un compte


d'utilisateur contenant des propriétés qui s'appliquent
aux utilisateurs courants
Les modèles de compte d'utilisateur rationalisent
la création de comptes d'utilisateur avec des
configurations standard

Modèle de compte
d'utilisateur
Propriétés d’un modèle

Onglet Propriétés copiées


Toutes les propriétés, à l'exception de Adresse, sont
Adresse copiées
Toutes les propriétés, à l'exception de Nom d'ouverture
Compte de session de l’utilisateur, sont copiées
Toutes les propriétés, à l'exception des entrées Chemin
Profil du profil et Dossier de base, reflètent le nom
d'ouverture de session du nouvel utilisateur
Organisation Toutes les propriétés à l'exception de Titre
Membre de Toutes les propriétés
Instructions de création de modèles de comptes
d'utilisateurs

Créez une classification distincte pour chaque


département

Créez un groupe distinct pour les employés à court


terme et temporaires
Définissez les dates d'expiration des comptes
d'utilisateurs pour les employés à court terme
et temporaires

Désactivez le modèle de compte

Identifiez le modèle de compte


Procédure de création d'un modèle de compte
d'utilisateur

Le formateur va montrer comment créer un modèle


de compte d'utilisateur
Application pratique : Création d'un modèle de
compte d'utilisateur

Dans cette application pratique, vous allez


créer et copier un modèle de compte
d'utilisateur
Leçon : Activation et déverrouillage des comptes
d'utilisateurs et des comptes d'ordinateurs

Intérêt de l'activation et de la désactivation des comptes


d'utilisateurs et des comptes d'ordinateurs
Procédure d'activation et de désactivation des comptes
d'utilisateurs et des comptes d'ordinateurs
Description des comptes d'utilisateurs verrouillés
Procédure de déverrouillage des comptes d'utilisateurs
Intérêt de l'activation et de la désactivation des comptes
d'utilisateurs et des comptes d'ordinateurs
Procédure d'activation et de désactivation des comptes
d'utilisateurs et des comptes d'ordinateurs

Le formateur va montrer comment activer et désactiver


des comptes d'utilisateurs et d'ordinateurs
Description des comptes d'utilisateurs
verrouillés

Le seuil de verrouillage
de compte :
définit le nombre d'échecs
d'ouverture de session
empêche les pirates
informatiques de deviner les
mots de passe d'utilisateur
Un compte peut dépasser son
seuil de verrouillage par un trop
grand nombre d'échecs
d'ouverture de session :
à l'écran d 'ouverture
de session
à un écran de veille protégé
par mot de passe
lors de l'accès à des
ressources réseau
Procédure de déverrouillage des comptes
d'utilisateurs

Le formateur va montrer comment déverrouiller des


comptes d'utilisateurs
Application pratique : Activation et désactivation des
comptes d'utilisateurs et des comptes d'ordinateurs

Dans cette application pratique, vous allez


activer puis désactiver un compte
d'utilisateur et un compte d'ordinateur
Leçon : Réinitialisation des comptes
d'utilisateurs et des comptes d'ordinateurs

Quand réinitialiser les mots de passe


Comment réinitialiser les mots de passe
Quand réinitialiser les comptes d'ordinateurs
Procédure de réinitialisation des comptes d'ordinateurs
Quand réinitialiser les mots de passe utilisateur

Réinitialisez un mot de passe lorsqu'un utilisateur oublie


le sien
Après avoir réinitialisé un mot de passe, un utilisateur
ne peut plus accéder à certains types d'informations,
notamment :
 l'adresse électronique qui est cryptée avec la clé
publique de l'utilisateur
 les mots de passe Internet qui sont enregistrés sur
l'ordinateur
 les fichiers que l'utilisateur a cryptés
Procédure de réinitialisation des mots de passe
utilisateur

Le formateur va montrer comment réinitialiser des


mots de passed'utilisateur
Quand réinitialiser les comptes d'ordinateurs

Réinitialisez les comptes d'ordinateurs dans les cas


suivants:
 Les ordinateurs ne parviennent pas à s'authentifier sur
le domaine
 Les mots de passe doivent être synchronisés
Procédure de réinitialisation des comptes
d'ordinateurs

Le formateur va montrer comment réinitialiser des


comptes d'ordinateurs
Application pratique : Réinitialisation d'un mot
de passe utilisateur

Dans cette application pratique, vous allez


réinitialiser le mot de passe d'un compte
d'utilisateur
Leçon : Recherche de comptes d'utilisateurs
et de comptes d'ordinateurs dans Active Directory

Présentation multimédia : Présentation de la recherche


d'utilisateurs et de comptes d'ordinateurs dans Active
Directory
Types de recherches
Procédure de recherche d'objets Active Directory
Procédure de recherche à l'aide de requêtes communes
Utilisation d'une requête personnalisée
Présentation multimédia : Présentation de la recherche
d'utilisateurs et de comptes d'ordinateurs dans Active Directory

Cette présentation explique comment


localiser des objets dans Active Directory
Types de recherches

Les critères fondamentaux des requêtes sont :


 le type d'objet
 l'emplacement
 les valeurs générales associées à l'objet, comme le nom
et la description
Procédure de recherche d'objets Active
Directory

Le formateur va montrer comment rechercher des


objets Active Directory
Procédure de recherche à l'aide de requêtes
communes

Le formateur va montrer comment rechercher des


objets Active Directory à l'aide de requêtes courantes
Utilisation d'une requête personnalisée

(&(&(objectClass=user)(l=Denver)(&(objectCategory=person)
(objectClass=user)(userAccountControl=1.2.840.113556.1.4.803:=2))))
Application pratique : Recherche de comptes
d'utilisateurs et de comptes d'ordinateurs

Dans cette application pratique, vous allez


rechercher les comptes d'utilisateurs
et d'ordinateurs qui répondent à certains
critères
Leçon : Enregistrement des requêtes

Description d'une requête enregistrée


Procédure de création d'une requête enregistrée
Description d'une requête enregistrée
Procédure de création d'une requête enregistrée

Le formateur va montrer comment créer une requête


enregistrée
Application pratique : Création de requêtes
enregistrées

Dans cette application pratique, vous allez


créer une requête enregistrée pour
un compte d'utilisateur
Atelier A : Administration des comptes
d'utilisateurs et des comptes d'ordinateurs

Dans cet atelier, vous allez effectuer les


tâches suivantes:
créer des comptes d'utilisateurs et des
comptes d'ordinateurs
déplacer des comptes d'utilisateurs et des
comptes d'ordinateurs
activer des comptes d'utilisateurs
Administration des groupes
Vue d'ensemble

Création de groupes
Administration de l'appartenance à un groupe
Stratégies d'utilisation des groupes
Leçon : Création de groupes

Description des groupes


Description des niveaux fonctionnels d'un domaine
Description des groupes globaux
Description des groupes universels
Description des groupes de domaine local
Instructions d'attribution de noms aux groupes
Procédure de création d'un groupe
Description des groupes

Les groupes simplifient l'administration par l'attribution


d'autorisations d'accès aux ressources

Groupe
Les groupes se caractérisent par l'étendue et le type
 L'étendue d'un groupe détermine si le groupe couvre plusieurs
domaines ou s'il est limité à un seul domaine
 Les trois étendues de groupe sont global, domaine local et universel
Type de groupe Description

Sécurité Utilisée pour attribuer des droits et des autorisations

Utilisable uniquement avec les applications


Distribution de messagerie électronique. Ne peut pas
être utilisée pour attribuer des autorisations
Description des groupes globaux

Règles des groupes globaux

Comptes d'utilisateurs et comptes d'ordinateurs du même


Membres
domaine

Autorisations Tous les domaines de la forêt


Description des groupes de domaine local

Règles des groupes de domaine local


Comptes d'utilisateurs, comptes d'ordinateur et groupes
Membres globaux de n’importe quel domaine

Autorisations Domaine auquel appartient le groupe de domaine local


Description des groupes universels

Règles des groupes universels


Comptes d'utilisateurs, comptes d‘ordinateurs, groupes
Membres
globaux de n'importe quel domaine de la forêt
Autorisations Tous les domaines d'une forêt
Instructions d'attribution de noms aux groupes

Pour les groupes de sécurité :


Incorporez l'étendue à la convention d'attribution de nom pour le nom
du groupe
Le nom doit refléter l'appartenance (nom de la division ou de l'équipe)
Placez les noms ou abréviations de domaine au début du nom
du groupe
Utilisez un descripteur pour identifier les autorisations maximales
possibles pour un groupe, comme DL IT London OU Admins
Procédure de création d'un groupe

Le formateur va montrer comment effectuer les tâches


suivantes :
créer un groupe dans un domaine
créer un groupe local sur un serveur membre
créer un groupe à l'aide de la ligne de commande
supprimer un groupe
supprimer un groupe à l'aide de la ligne de commande
Application pratique : Création de groupes

Dans cette application pratique, vous


effectuerez les tâches suivantes :
 créer des groupes à l'aide de la console
Utilisateurs et ordinateurs
Active Directory
 créer des groupes à l'aide de la ligne
de commandes dsadd
Leçon : Administration de l'appartenance à un groupe

Propriétés Membres et Membre de


Démonstration : Propriétés Membres et Membre de
Procédure d'identification des groupes dont est membre
un compte d'utilisateur
Procédure d'ajout et de suppression de membres dans
un groupe
Propriétés Membres et Membre de

Groupe ou équipe Groupe global Groupe de domaine local

Tom, Jo et Kim Denver Admins


Denver Admins Denver OU Admins

Membres Membre de Membres Membre de Membres Membre de


Sans Denver Admins Tom, Jo, Denver OU Admins Denver Admins, Sans objet
objet Jo,
KimKim Vancouver
Admins

Sam, Scott et Amy Vancouver Admins

Membres Membre de Membres Membre de


Sans Vancouver Admins Sam, Denver OU
objet Scott, Amy Admins
Leçon : Stratégies d'utilisation des groupes

Présentation multimédia : Stratégie d'utilisation des


groupes dans un seul domaine
Description de l'imbrication des groupes
Stratégies de groupes
Présentation multimédia : Stratégie d'utilisation des
groupes dans un seul domaine

Cette présentation décrit la stratégie CGDLA


pour l'utilisation des groupes
Description de l'imbrication des groupes

L'imbrication consiste à ajouter un groupe en tant que


membre d'un autre groupe
Groupe Groupe
Groupe Groupe
Groupe

Imbriquez des groupes pour consolider l'administration


des groupes
Les options d'imbrication sont différentes selon que
le niveau fonctionnel du domaine Windows Server 2003
est Windows 2000 en mode natif ou Windows 2000
en mode mixte
Intérêt de l'affectation d'un responsable à un
groupe

Responsable Groupe

Vous pouvez alors :


 identifier le responsable des différents groupes
 déléguer au responsable du groupe l'autorisation d'ajouter
et de supprimer des utilisateurs dans le groupe
Procédure d'affectation d'un responsable à un groupe

Le formateur va montrer comme affecter un responsable


à un groupe
Application pratique : Affectation d'un responsable
à un groupe

Dans cette application pratique, vous


effectuerez les tâches suivantes :
 créer un groupe global
 affecter un responsable à un groupe
 tester les propriétés du responsable
du groupe