Module 

4 : Implémentation de
comptes d'utilisateurs, de
groupes et d'ordinateurs
Vue d'ensemble

Présentation des comptes

Création et gestion de plusieurs comptes
Implémentation des suffixes UPN
Déplacement d'objets dans Active Directory
Planification d'une stratégie de compte d'utilisateur,
de groupe et d'ordinateur
Planification d'une stratégie d'audit Active Directory
Leçon : Présentation des comptes

Types de comptes
Types de groupes
Définition des groupes locaux de domaine
Définition des groupes globaux
Définition des groupes universels
Types de comptes

Comptes d'utilisateurs
Active une ouverture de session
unique pour un utilisateur
Offre un accès aux ressources

Comptes d'ordinateurs
Active l'authentification et l'audit de
l'accès d'un ordinateur aux
ressources

Comptes de groupes
Aide à simplifier l'administration
Types de groupes

Groupes de distribution
Utilisés uniquement avec les applications
de messagerie
Sans sécurité activée

Groupes de sécurité
Servent à affecter des droits et des
autorisations aux groupes d'utilisateurs
et d'ordinateurs
Utilisés de manière optimale lorsqu'ils
sont imbriqués

Le niveau fonctionnel détermine le type de groupe à créer

Définition des groupes locaux de domaine

Un groupe de distribution ou de sécurité

contenant :
des groupes universels, des groupes globaux
et d'autres groupes de domaine locaux
appartenant à son propre domaine
des comptes issus de n'importe quel domaine
dans la forêt
Définition des groupes globaux

Un groupe de sécurité ou de distribution qui peut contenir des

utilisateurs, des groupes et des ordinateurs comme membres
de son propre domaine
Définition des groupes universels

Un groupe de distribution ou de sécurité pouvant contenir des

utilisateurs, des groupes et des ordinateurs comme membres
de n'importe quel domaine dans sa forêt
Leçon : Création et gestion de plusieurs comptes

Outils permettant de créer et gérer plusieurs comptes

Comment créer des comptes à l'aide de l'outil Csvde
Comment créer et gérer des comptes à l'aide de l'outil Ldifde
Comment créer et gérer des comptes à l'aide de
l'environnement d'exécution de scripts Windows
Outils permettant de créer et gérer plusieurs comptes

Utilisateurs et ordinateurs Outils de service d'annuaire

Active Directory
Dsadd
Dsmod
Dsrm

Outils Csvde et Ldifde Environnement d'exécution

de scripts Windows
Comment créer des comptes à l'aide de l'outil Csvde

Votre instructeur va démontrer comment créer des comptes

en utilisant l'outil de ligne de commande Csvde
Comment créer et gérer des comptes à l'aide de l'outil Ldifde

Votre instructeur va démontrer comment créer et gérer des

comptes en utilisant l'outil de ligne de commande Ldifde
Comment créer et gérer des comptes à l'aide de
l'environnement d'exécution de scripts Windows

Votre instructeur va démontrer comment créer et gérer des

comptes en utilisant l'environnement d'exécution de scripts
Windows
Application pratique : Création de comptes d'utilisateurs

Dans cette application pratique, vous allez créer

et exécuter un fichier de script qui contient des
commandes pour créer un compte d'utilisateur,
puis vous vérifierez que le compte d'utilisateur a
été créé
Leçon : Implémentation des suffixes UPN

Définition d'un nom d'utilisateur principal

Présentation multimédia : Fonctionnement du routage des
suffixes de noms
Détection et résolution des conflits de suffixes de noms
Comment créer et supprimer un suffixe UPN
Comment activer et désactiver le routage des suffixes
de noms dans des approbations de forêts
Définition d'un nom d'utilisateur principal

Un nom d'ouverture de session utilisé uniquement pour la

connexion à un réseau Windows Server 2003

laurab@contoso.msft

Avantages
 Unique dans Active Directory
 Peut être identique à l'adresse électronique d'un utilisateur
Présentation multimédia : Fonctionnement du routage des
suffixes de noms

contoso.msft adatum.msft

Approbation

jean@contoso.msft
Détection et résolution des conflits de suffixes de noms

Un conflit de suffixes de noms se produit quand

 Un nom DNS est déjà utilisé
 Un nom NetBIOS est déjà utilisé
 Un SID de domaine est en conflit avec un autre SID
de suffixe de nom
Les conflits de suffixes de noms dans un domaine
empêchent l'accès à ce domaine depuis l'extérieur
de la forêt
Comment créer et supprimer un suffixe UPN

Votre instructeur va démontrer comment créer et supprimer

un suffixe UPN
Comment activer et désactiver le routage des suffixes de
noms dans des approbations de forêts

Votre instructeur va démontrer comment activer et

désactiver le routage des suffixes de noms dans les
approbations de forêt
Application pratique : Création de suffixes UPN

Dans cette application pratique, vous allez créer

un suffixe de nom pour un domaine de second
niveau, puis activer le routage du suffixe de
nom entre deux forêts
Leçon : Déplacement d'objets dans Active Directory

Définition de l'historique SID

Implications du déplacement d'objets
Comment déplacer des objets au sein d'un domaine
Comment déplacer des objets entre domaines
Comment utiliser LDP pour afficher les propriétés des objets
déplacés
Définition de l'historique SID

Historique SID
Liste de tous les identificateurs SID affectés à un
compte d'utilisateur
Fournit un compte d'utilisateur migré avec un accès continu
aux ressources
Implications du déplacement d'objets

Dans un domaine
 Pas de changement de SID ou de GUID
Dans une forêt
 Nouveau SID
 Historique SID
 GUID identique
Entre les forêts
 Nouveau SID
 Historique SID
 Nouvel identificateur GUID
Comment déplacer des objets au sein d'un domaine

Votre instructeur va démontrer comment déplacer des

objets Active Directory dans un domaine
Comment déplacer des objets entre domaines

Votre instructeur va démontrer comment déplacer des

objets entre plusieurs domaines
Comment utiliser LDP pour afficher les propriétés des objets
déplacés

Votre instructeur va démontrer comment afficher les

propriétés des objets à l'aide de l'utilitaire LDP
Application pratique : Déplacement d'objets

Dans cette application pratique, vous allez

utiliser Ldp.exe pour :
 examiner le SID, l'historique SID et le
GUID d'un objet utilisateur
 déplacer un objet utilisateur vers une
autre unité d'organisation dans un même
domaine
 afficher les modifications apportées au
SID, à l'historique SID et au GUID de
l'objet utilisateur
Leçon : Planification d'une stratégie de compte d'utilisateur,
de groupe et d'ordinateur

Instruction d'attribution des noms de comptes

Instructions de définition d'une stratégie de mot
de passe
Instructions d'authentification, d'autorisation et
d'administration des comptes
Instructions de planification d'une stratégie de groupe
Instruction d'attribution des noms de comptes

Définir des conventions d'attribution de nom pour :

Les noms de compte d'utilisateur qui identifient l'utilisateur

Les noms d'ordinateur qui identifient le propriétaire,

l'emplacement et le type d'ordinateur

Les noms de groupe qui identifient le type de groupe,

l'emplacement et la fonction du groupe
Instructions de définition d'une stratégie de mot de passe

Paramétrez l'option Conserver l'historique des mots de

passe sur un minimum de 24 mots de passe retenus

Définissez la durée de vie maximale du mot de passe sur

42 jours maximum

Définissez la durée de vie minimale du mot de passe sur 2

jours minimum

Définissez la longueur du mot de passe sur

8 caractères minimum

Activer l'option Le mot de passe doit respecter des

exigences de complexité
Instructions d'authentification, d'autorisation et
d'administration des comptes

Attribuez une valeur élevée au paramètre de stratégie seuil

de verrouillage de compte

Protégez les comptes administrateur

Utilisez une authentification multifactorielle

Implémentez un modèle de sécurité basé sur le rôle pour

accorder les autorisations

Désactivez le compte Administrateur et appliquez une

stratégie de privilège moindre aux comptes
Instructions de planification d'une stratégie de groupe

Affectez les utilisateurs aux responsabilités

professionnelles communes aux groupes globaux

Créez un groupe local de domaine pour partager les

ressources

Ajoutez aux groupes locaux de domaine des groupes

globaux qui exigent un accès aux ressources

Utilisez des groupes universels pour accorder l'accès aux

ressources situées dans plusieurs domaines

Utilisez des groupes universels lorsque l'appartenance est

statique
Application pratique : Planification d'une stratégie de compte

Dans cette application pratique, vous allez

déterminer :
 Une stratégie d'attribution de nom
de compte
 Une stratégie de mot de passe
 Une stratégie d'authentification,
d'autorisation et d'administration
 Une stratégie de groupe pour votre forêt
Leçon : Planification d'une stratégie d'audit Active Directory

Pourquoi auditer l'accès à Active Directory ?

Instructions d'analyse des modifications apportées à Active
Directory
Pourquoi auditer l'accès à Active Directory ?

Pour enregistrer toutes les modifications réussies dans

Active Directory
Pour assurer un suivi de l'accès à une ressources ou par un
compte spécifique
Pour détecter et enregistrer les tentatives d'accès
infructueuses
Instructions d'analyse des modifications apportées à Active
Directory

Activer :

L'audit des événements de gestion des comptes

L'audit des succès des modifications de stratégie

L'audit des échecs des événements système

L'audit des échecs des événements de modification de

stratégie et des événements de gestion des comptes
uniquement lorsque cela est nécessaire
Application pratique : Planification d'une stratégie d'audit

Dans cette application pratique, vous allez

déterminer les stratégies d'audit à activer pour
Active Directory
Atelier A : Implémentation d'une stratégie de compte et d'audit

Planification d'une stratégie de compte

et d'audit
Création de comptes à l'aide de l'outil Csvde
Création d'un suffixe UPN
Déplacement d'un groupe d'utilisateurs