Microsoft Windows 2000 : Implémentation et administration des services d annuaire Microsoft Windows 2000

Transcription

1 Microsoft Windows 2000 : Implémentation et administration des services d annuaire Microsoft Windows 2000 Essentiel de préparation à la certification Par : NEDJIMI Brahim THOBOIS Loïc TUDURY Matthieu 23, rue Château Landon PARIS Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 1

2 Table des Matières Module 1 Présentation d Active Directory dans Windows Présentation d Active Directory 5 a) Définition d Active Directory 5 b) Objets Active Directory 5 c) Schéma Active Directory 5 d) Protocole LDAP 6 2 Structure logique d Active Directory 6 a) Les Domaines 6 b) Les Unités d organisation 6 c) Arborescences et forêts 6 d) Catalogue global 7 3 Structure Physique d Active Directory 7 a) Contrôleurs de domaine 7 b) Sites 7 4 Méthodes d administration d un réseau Windows a) Utilisation d Active Directory pour la gestion centralisée 8 b) Gestion de l environnement utilisateur 8 c) Délégation du contrôle d administration 8 Module 2 Implémentation du système DNS pour la prise en charge d Active Directory 9 1 Premier aperçu du système DNS 9 2 Présentation du rôle du système DNS dans Active Directory 9 3 Système DNS et Active Directory 9 a) Espaces de noms DNS et Active Directory 9 b) Terminologies DNS / Active Directory 9 4 Résolution de noms DNS dans Active Directory 10 a) Enregistrements de ressources SRV et A 10 b) Zones intégrées Active Directory 10 5 Installation d Active Directory 11 Module 3 Création d un domaine Windows Vue d ensemble de la création d un domaine Windows Installation d Active Directory 12 a) Préparation de l installation d Active Directory 12 b) Création du premier domaine 12 c) Ajout d un contrôleur de domaine de répliqua 12 d) Utilisation d un script d installation sans assistance pour installer Active Directory Processus d installation d Active Directory 13 a) Paramètres de configuration 13 b) Configuration de site 13 c) Etude de la structure par défaut d Active Directory 13 4 Tâches à effectuer après l installation d Active Directory 14 a) Implémentation de zones intégrées Active Directory 14 b) Sécurisation des mises à jour pour les zones intégrées à Active Directory 14 c) Modification du mode de domaine 14 Module 4 Configuration et administration des utilisateurs et des groupes 15 1 Noms d ouverture de session d utilisateur 15 a) Présentation des noms d ouverture de session d utilisateur 15 b) Création d un suffixe de nom principal d utilisateur 15 2 Création de plusieurs comptes d utilisateur 15 Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 2

3 3 Administration des comptes d utilisateur 15 4 Utilisation des groupes dans Active Directory 15 5 Stratégies d utilisation des groupes dans un domaine 16 Module 5 Publication de ressource dans Active Directory 17 1 Vue d ensemble de la publication de ressources 17 a) Publication d imprimantes 17 b) Emplacements d imprimantes 17 c) Publication et administration de dossiers partagés 17 d) Contrôle d accès aux ressources publiées. 18 Module 6 Délégation du contrôle d administration 19 1 Sécurité des objets 19 2 Délégation de contrôle 19 3 Création de MMC personnalisées. 19 Module 7 Implémentation d une stratégie de groupe 21 1 La Console de Stratégies de groupe 21 a) Les types de paramètres de groupe 21 b) Les objets Stratégies de groupe 21 2 Application des paramètres de stratégies de groupe dans Active Directory 21 a) Héritage d une stratégie de groupe 21 b) Stratégies de groupe lors de connexions réseau lentes : 22 c) Résolution des conflits entre les paramètres de stratégies de groupe : 22 d) Modification de l héritage d une stratégie de groupe : 22 e) Délégation du contrôle d administration des objets stratégies de groupe 22 3 Surveillance et résolution de problèmes de stratégies de groupe 23 a) Surveillance des stratégies de groupe 23 b) Outils de support de Windows 2000 permettant la résolution de problèmes de stratégie de groupe : 23 Module 8 Utilisation d une stratégie de groupe pour gérer des environnements 24 1 Présentation de la gestion des environnements utilisateur 24 a) Paramètres de modèle d administration 24 b) Paramètres de script 24 c) Redirection des dossiers de l utilisateur 24 d) Paramètres de sécurité 24 Module 9 Utilisation d une stratégie de groupe pour gérer les logiciels 25 1 Présentation de la gestion du déploiement de logiciels 25 2 Présentation de Windows Installer 25 3 Déploiement de logiciels 25 a) Affectation de logiciels : 25 b) Publication de logiciels : 25 c) Utilisation des modifications de logiciel 25 d) Création de catégories de logiciels 26 e) Association d extensions de noms de fichiers à des applications 26 f) Mise à niveau de logiciels déployés 26 g) Redéploiement de logiciels 26 h) Suppression de logiciels déployés 26 Module 10 Création et gestion d arborescences et de forêts 27 1 Définition d une arborescence : 27 2 Définition d une forêt : 27 3 Relations d approbations dans les arborescences et les domaines 27 a) Types d approbations 27 Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 3

4 b) Approbations raccourcis dans Windows c) Approbations non transitives : 28 d) Catalogue Global et Ouverture de session 28 4 Stratégie d utilisation de groupes dans les arborescences et les forêts. 28 a) Groupe universels et duplication 28 Module 11 Gestion de la duplication Active Directory 29 1 Fonctionnement de la duplication 29 2 Résolution des conflits de duplication 29 3 Optimisation de la duplication 30 4 Topologie de duplication 30 a) Partitions d annuaire 30 b) Topologie de duplication 30 c) Génération de topologie de duplication automatique 31 5 Utilisation des sites pour optimiser la duplication 31 a) Présentation des sites 31 b) Duplication intrasite 32 c) Duplication intersite 32 d) Notion de coût 32 e) Serveur tête de pont 32 6 Protocoles de duplication 33 Module 12 Gestion des maîtres d opérations 34 1 Présentation des maîtres d opérations 34 a) Rôle du contrôleur de schéma 34 b) Maître d attribution de nom de domaine 34 c) Emulateur CPD (PDC) 34 d) Maître RID 34 e) Maître d infrastructure 35 2 Gestion des défaillances de maîtres d opérations 35 a) La défaillance de l Emulateur de CPD 35 b) Défaillance du maître d infrastructure 35 c) Défa illance des autres maîtres d opérations 35 Module 13 Mise à jour de la base de données Active Directory 36 1 Entretien de la base de données Active Directory 36 a) Fichiers d Active Directory 36 b) Nettoyage de la mémoire 36 c) Restauration d Active Directory 36 Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 4

5 Module 1 Présentation d Active Directory dans Windows Présentation d Active Directory Active Directory permet de centraliser, de structurer, d organiser et de contrôler les ressources réseau dans les environnements Windows La structure Active Directory permet une délégation de l administration très fine pouvant être définie par types d objets. a) Définition d Active Directory Active Directory sert d annuaire des objets du réseau, il permet aux utilisateurs de localiser, de gérer et d utiliser facilement les ressources. Il permet de réaliser la gestion des objets sans liens avec la disposition réelle ou les protocoles réseaux employés. Active Directory organise l annuaire en sections, ce qui permet de suivre le développement d une société allant de quelques objets à des millions d objets. Combiné aux stratégies de groupes, Active directory permet une gestion des postes distants de façon complètement centralisée. b) Objets Active Directory Active Directory stocke des informations sur les objets du réseau. Il en existe de plusieurs types : - serveurs - domaines - sites - utilisateurs - ordinateurs - imprimantes - Avec chaque objet, sont stockées des informations et des propriétés qui permettent d effectuer par exemple des recherches plus précises (emplacement d une imprimante). c) Schéma Active Directory Le schéma Active Directory stocke la définition de tous les objets d Active Directory (ex : nom, prénom pour l objet utilisateur). Il n y a qu un seul schéma pour l ensemble de la forêt, ce qui permet une homogénéité de l ensemble des domaines. Le schéma comprend deux types de définitions : - Les classes d objets : Décrit les objets d Active Directory qu il est possible de créer. Chaque classe est un regroupement d attributs. - Les attributs : Ils sont définis une seul fois et peuvent être utilisés dans plusieurs classes (ex : Description). Le schéma est stocké dans la base de données d Active Directory ce qui permet des modifications dynamiques exploitables instantanément. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 5

6 d) Protocole LDAP Essentiel v0.9 LDAP (Lightweight Directory Access Protocol) est un protocole du service d annuaire utilisé pour interroger et mettre à jour Active Directory. Chaque objet de l annuaire est identifié par une série de composants qui constituent son chemin d accès LDAP au sein d Active Directory (CN=Loïc THOBOIS, OU=Direction, DC=labo-microsoft, DC=lan). - DC : Composant de domaine (lan, com, labo-microsoft, ) - OU : Unité d organisation (contient des objets) - CN : Nom usuel (Nom de l objet) Les chemins d accès LDAP comprennent les éléments suivants : - Les noms uniques : le nom unique identifie le domaine dans lequel est situé l objet, ainsi que son chemin d accès complet (ex : CN=Brahim NEDJIMI, OU=Direction, DC=labo-microsoft, DC=lan) - Les noms uniques relatifs : partie du nom unique qui permet d identifier l objet dans son conteneur (ex : Brahim NEDJIMI). 2 Structure logique d Active Directory La structure logique d Active Directory offre une méthode efficace pour concevoir une hiérarchie en son sein. Les composants logiques de la structure d Active Directory sont les suivants : a) Les Domaines Unité de base de la structure Active Directory, un domaine est un ensemble d ordinateurs et/ou d utilisateurs qui partagent une même base de données d annuaire. Un domaine a un nom unique sur le réseau. Dans un environnement Windows 2000, le domaine sert de limite de sécurité. Le rôle d une limite de sécurité est de restreindre les droits d un administrateur ou de tout autre utilisateur avec pouvoir uniquement aux ressources de ce domaine et que seuls les utilisateurs explicitement promus puissent étendre leurs droits à d autres domaines. Dans un domaine Windows 2000, tous les serveurs maintenant le domaine (contrôleurs de domaine) possèdent une copie de l annuaire d Active Directory. Chaque contrôleur de domaine est capable de recevoir ou de dupliquer les modifications de l ensemble de ses homologues du domaine. b) Les Unités d organisation Une unité d organisation est un objet conteneur utilisé pour organiser les objets au sein du domaine. Il peut contenir d autres objets comme des comptes d utilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que d autres unités d organisation. Les unités d organisation permettent d organiser de façon logique les objets de l annuaire (ex : représentation physique des objets ou représentation logique). Les unités d organisation permettent aussi de faciliter la délégation de pouvoir selon l organisation des objets. c) Arborescences et forêts Le premier domaine installé est le domaine racine de la forêt. Au fur et à mesure que des domaines lui sont ajoutés, cela forme la structure de l arborescence ou la structure de la forêt, selon les exigences pour les noms de domaine. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 6

7 Une arborescence est un ensemble de domaines partageant un nom commun (ex : supinfo.lan est le domaine parent du domaine paris.supinfo.lan et du domaine caraïbes.supinfo.lan). La relation d approbation d un domaine d une arborescence est de type transitive bidirectionnelle avec son domaine parent. Les relations d approbation transitives sont les relations qui sont automatiquement étendues aux domaines s approuvant indirectement (ex : A approuve B, B approuve C donc A approuve C) Les relations bidirectionnelles permettent à 2 domaines de s approuver l un l autre. Une forêt est un ensemble de domaines (ou d arborescences) n ayant pas une partie de leur nom en commun mais qui partagent un schéma et un catalogue commun (ex : supinfo.lan et labo-microsoft.lan). d) Catalogue global Le catalogue global contient une partie des attributs les plus utilisés de tous les objets Active Directory. Il contient les informations nécessaires pour déterminer l emplacement de tout objet de l annuaire. Le catalogue global permet aux utilisateurs d effectuer 2 tâches importantes : - Trouver des informations Active Directory sur toutes les forêts, quel que soit l emplacement des ces données. - Utiliser des informations d appartenance à des groupes universels pour ouvrir une session sur le réseau. Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue global et peut ainsi traiter les requêtes qui lui sont destinées. Le premier contrôleur de domaine est automatiquement le serveur de catalogue global. Il est possible de configurer d autres contrôleurs de domaine en serveur de catalogue global afin de réguler le trafic. L authentification d ouverture de session ne peut se faire que sur un contrôleur de domaine. 3 Structure Physique d Active Directory Dans Active Directory, la structure logique et la structure physique sont distinctes. La structure physique permet d optimiser les échanges d informations entre les différentes machines en fonction des débits assurés par les réseaux qui les connectent. a) Contrôleurs de domaine Un contrôleur de domaine est un ordinateur exécutant Windows 2000 Server qui stocke un répliqua de l annuaire. Il assure la propagation des modifications faites sur l annuaire. Il assure l authentification et l ouverture des sessions des utilisateurs, ainsi que les recherches dans l annuaire. Un domaine peut posséder un ou plusieurs contrôleurs de domaine. Dans le cas d une société constituée de plusieurs entités dispersées géographiquement, on aura besoin d un contrôleur de domaine dans chacune de ses entités. b) Sites Un site est une combinaison d un ou plusieurs sous réseaux connectés entre eux par une liaison à haut débit fiable. Définir des sites permet à Active Directory d optimiser la duplication et l authentification afin d exploiter au mieux les liaisons les plus rapides. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 7

8 4 Méthodes d administration d un réseau Windows 2000 a) Utilisation d Active Directory pour la gestion centralisée Active Directory permet à un seul administrateur de centraliser la gestion et l administration des ressources du réseau. Comme il contient des informations sur tous les objets et leurs attributs, la recherche d informations se fait sur l ensemble de la forêt. Active Directory permet aussi d organiser les objets de façon hiérarchique grâce aux conteneurs comme les unités organisationnelles, les domaines ou les sites. Il est ainsi possible d appliquer certains paramètres à un ensemble d ordinateurs et d utilisateurs. b) Gestion de l environnement utilisateur A l aide des stratégies de groupe de Windows 2000, il est possible de restreindre les actions des utilisateurs directement à partir du serveur. - Contrôle des actions que peuvent réaliser les utilisateurs. - Centralisation de la gestion de l installation des applications et des services. - Configuration des données utilisateur pour suivre les utilisateurs. c) Délégation du contrôle d administration La hiérarchie mise en place au sein d Active Directory permet une délégation fine toujours basée sur les conteneurs permettant la délégation sur un ensemble défini de machines et d utilisateurs. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 8

9 Module 2 Implémentation du système DNS pour la prise en charge d Active Directory 1 Premier aperçu du système DNS Windows 2000 intègre désormais le système DNS (Domain Name Service) et des services d annuaire Active Directory. Ces deux éléments sont liés: afin de mettre en place Active Directory dans un environnement Windows 2000, vous devrez impérativement installer DNS. Ils utilisent la même structure de noms hiérarchique afin de représenter les domaines et ordinateurs sous forme d objets Active Directory, ainsi que sous forme de domaines DNS et d enregistrement de ressources. 2 Présentation du rôle du système DNS dans Active Directory Le système DNS fournit les principales fonctions ci-dessous sur un réseau exécutant Active Directory : - Résolution de noms : le système DNS résout les noms de machines en adresses IP. Par exemple, un ordinateur nommé labo-1 désirant se connecter à un autre ordinateur nommé labo-2 enverra une requête au serveur DNS qui lui renverra l adresse IP de labo-2. Le système DNS peut aussi effectuer une résolution de nom inversée, c'est-à-dire fournir le nom d une machine à partir de l adresse IP qui lui est communiquée. - Convention de dénomination pour les domaines Windows 2000 : Active Directory emploie les conventions de dénomination du système DNS. Ainsi, microsoft.supinfo.com peut être un nom de domaine DNS et/ou un nom de domaine Windows Localisation des composants physiques d Active Directory : Le système DNS identifie les contrôleurs de domaine par rapport aux services spécifiques qu ils proposent comme l authentification d une connexion ou la recherche d informations dans Active Directory. Lors de l ouverture d une session, une machine cliente doit s adresser à un contrôleur de domaine, seul capable de l authentifier. Le système DNS pourra lui fournir l emplacement de l un de ces contrôleurs de domaine. 3 Système DNS et Active Directory a) Espaces de noms DNS et Active Directory Un espace de noms est une structure de noms hiérarchique dans laquelle les noms peuvent être résolus en les objets qu ils représentent. Active Directory et le système DNS partagent la même structure de noms hiérarchique. En d autres termes, les domaines et ordinateurs dans un domaine Windows 2000 peuvent être représentés sous forme de nœuds DNS et d objets Active Directory. Dans l espace de nom DNS, les zones stockent les enregistrements de ressources (correspondant aux ordinateurs) d un ou plusieurs domaines. Les domaines et ordinateurs existants dans le système DNS correspondent aux objets Active Directory. Par ailleurs, la structure de noms d Internet reposant sur un espace de noms DNS, un domaine Active Directory peut par conséquent exister sur Internet. Il faudra alors enregistrer le nom de domaine DNS correspondant au nom du domaine Active Directory désiré. Toutefois, bien qu ils partagent la même structure de dénomination, Active Directory et le système DNS constituent deux espaces de noms distincts car pour un même objet, ils ne stockeront pas les mêmes informations. Une zone peut être définie comme la partie commune d un nom DNS de tous les objets d un même domaine. Par exemple, dans microsoft.supinfo.com et dans mail.supinfo.com, on aura la zone supinfo.com. Lorsqu un serveur DNS est chargé de la résolution de noms pour une zone, on dit qu il a autorité sur cette zone. b) Terminologies DNS / Active Directory Active Directory et le système DNS stockent tous deux des informations sur les domaines et les machines. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 9

10 On parle d enregistrements de ressource dans le cas du DNS et d objets pour Active Directory. Ces deux termes désignent la même chose. Un nom d hôte DNS représentera un compte machine dans Active Directory. Si l on prend le FQDN (Fully Qualified Domain Name ou nom de domaine pleinement qualifié) d une machine, par exemple labo-1.microsoft.supinfo.com, le suffixe DNS (qui est le nom de domaine DNS), en l occurrence microsoft.supinfo.com correspondra au nom de domaine Active Directory. 4 Résolution de noms DNS dans Active Directory a) Enregistrements de ressources SRV et A Nous avions vu que les DNS stockent des enregistrements de ressources. Ces enregistrement peuvent être de différents types : SRV, MX, Généralement, les enregistrements de type SRV permettent aux clients de déterminer les serveurs offrant des services spécifiques. Windows 2000 les emploie principalement pour identifier les contrôleurs de domaine. Les contrôleurs de domaine inscrivent dynamiquement dans les serveurs DNS lors de leur démarrage un enregistrement SRV ainsi qu un enregistrement de ressource A (qui contient son nom de machine et son adresse IP). Le serveur DNS emploie ces deux enregistrements pour résoudre les requêtes clientes portant sur les contrôleurs de domaine. Un serveur DNS doit impérativement supporter les enregistrements SRV (RFC 2052) pour prendre en charge l installation d Active Directory. Le bon déroulement de l ouverture d une session sur une machine cliente ou du parcours de l annuaire Active Directory est conditionné par l authentification d un compte par un contrôleur de domaine. Nous allons voir comment, dans ce cas, le client réussit à contacter ce contrôleur : 1. Lorsqu une opération nécessitant un contrôleur de domaine est effectuée (authentification, ), le service Netlogon va réunir des informations sur l ordinateur comme par exemple le nom de machine, le nom du domaine dans lequel on souhaite être authentifié, ou encore le nom du site sur lequel on recherche un contrôleur de domaine. 2. Netlogon envoie ces informations dans une requête à un serveur DNS. 3. Le serveur DNS va consulter ses enregistrements pour déterminer les enregistrements SRV correspondant aux contrôleurs de domaine 4. Le serveur DNS renvoie la liste des adresses IP des contrôleurs de domaine pour le domaine spécifié 5. Netlogon envoie un message (UDP LDAP) aux contrôleurs de domaine que le serveur DNS a renvoyé pour déterminer s ils sont capables ou non, d authentifier des clients sur le domaine spécifié. 6. Chaque contrôleur de domaine disponible répond au message 7. Le client choisira le premier contrôleur de domaine qui répondra et lui enverra la demande d authentification. Ces données seront mises en cache par Netlogon sur la machine cliente afin que cette dernière n ait pas à répéter ce processus pour chaque authentification (lors de l accès à un partage par exemple). b) Zones intégrées Active Directory Dans un domaine Windows 2000, il est possible d intégrer des zones DNS (il s agit de zones principales, et non de zones secondaires) dans la base de données d Active Directory. On parle alors de zones intégrées Active Directory. Les avantages qu offrent les zones intégrées Active Directory sont les suivants : - La base de données de zone est dupliquée lors de la duplication d Active Directory, alors que dans le cas d un DNS classique, cela s effectue via les transferts de zone. - il n y a plus de serveur DNS principal : dans un système DNS classique, on dispose d un serveur DNS principal et de serveurs DNS secondaires. Les transferts de zones se font tous depuis le serveur principal, et en cas de Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 10

11 panne de ce dernier, les serveurs secondaires seront incapables de récupérer les derniers changements apportés au DNS. - Les mises à jours sont sécurisées : Active Directory est sécurisé. On peut y définir des permissions d accès. Les zones étant des objets contenus dans Active Directory, ils héritent de cette propriété. Ainsi, on pourra définir les ordinateurs autorisés à mettre à jour les informations de la zone intégrée. - Le support du transfert de zone standard : Un serveur DNS n étant pas configuré comme contrôleur de domaine (et donc sans Active Directory), peut récupérer la zone intégrée via un transfert de zone standard. 5 Installation d Active Directory Pour installer Active Directory, il faut impérativement un serveur DNS disposant de zones de recherche directe et inversée pour votre domaine (les zones peuvent aussi inclure des données de plusieurs domaines). Rappelez-vous que votre serveur DNS doit prendre en charge les enregistrements de type SRV. Il est aussi recommandé d utiliser un serveur DNS supportant le protocole de mise à jour dynamique (permettant à des ordinateurs d ajouter automatiquement des enregistrements dans le DNS) et les transferts de zone incrémentiels (le transfert de zone portera uniquement sur les modifications ou ajouts apportés à la base de données DNS depuis le dernier transfert). Si aucun serveur DNS n est présent sur le réseau lors de la mise en place d Active Directory, le service Serveur DNS de Windows 2000 sera installé sur le serveur que vous voulez transformer en contrôleur de domaine lors de l installation d Active Directory. Dans tous les cas, il faut que le serveur DNS que vous installez fasse autorité sur le domaine DNS que vous utilisez pour votre premier domaine Active Directory. On peut en effectuer la vérification grâce à la commande nslookup. Par exemple, pour afficher les serveurs DNS qui font autorité pour le domaine microsoft.supinfo.com, on tapera : nslookup type=ns microsoft.supinfo.com Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 11

12 Module 3 Création d un domaine Windows Vue d ensemble de la création d un domaine Windows 2000 Un domaine désigne l unité administrative de base d un réseau Windows Le premier domaine d une nouvelle forêt créé dans Active Directory représente le domaine racine de l ensemble de la forêt. La création d un domaine d effectue à l aide de la commande dcpromo. L assistant d installation d Active Directory vous guide alors dans la création d un nouveau domaine ou dans la création d un contrôleur de domaine supplémentaire dans un domaine Windows 2000 existant. Il est dorénavant possible de promouvoir un serveur membre ou un serveur autonome sans avoir à tout réinstaller. 2 Installation d Active Directory a) Préparation de l installation d Active Directory Configuration requise pour l installation d Active Directory : - Un ordinateur exécutant Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Mo d espace disque disponibles pour la base de données Active Directory et 50 Mo pour les fichiers de transactions. La taille relative aux fichiers de base de données dépend du nombre de fichiers contenus dans Active Directory. De l espace disque supplémentaire peut être nécessaire dans le cas d un serveur de catalogue global. - Une partition ou un volume au format NTFS pour stocker le dossier SYSVOL de façon sécurisée. - Le protocole TCP/IP configuré pour utiliser le système de noms de domaine (DNS). - Les privilèges administratifs pour créer un domaine dans un environnement Windows 2000 existant. b) Création du premier domaine Pour créer un nouveau domaine racine d une nouvelle forêt 1. Lancer la commande dcpromo. 2. Cliquez sur Contrôleur de domaine pour un nouveau domaine 3. Cliquez sur Créer une nouvelle arborescence de domaine 4. Cliquez sur Créer une nouvelle forêt d arborescence de domaines 5. Entrez un nom de domaine DNS 6. Entrez un nom de domaine NetBIOS (Assure la compatibilité pré-windows 2000) 7. Emplacement de la base de données et du journal (laissez l emplacement par défaut) 8. Emplacement du volume système partagé (emplacement sur une partition ou un volume en NTFS) 9. Spécifiez si l authentification doit rester compatible Windows NT 4 ou juste Windows Entrez le mot de passe Administrateur du domaine. c) Ajout d un contrôleur de domaine de répliqua Pour assurer une tolérance de panne du contrôleur de domaine vous devez disposez au minimum de 2 contrôleurs de domaine pour un domaine. L ensemble des paramètres du domaine sont automatiquement répliqués sur tout nouveau contrôleur de domaine. D autre part, l ajout d un second contrôleur de domaine permet d éviter que le premier soit surchargé. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 12

13 . Ne pas oublier de mettre l adresse IP du serveur DNS dans la configuration TCP/IP de la machine que l on veut ajouter au domaine.. Pour une authentification plus efficace, il est important de définir le nouveau contrôleur de domaine comme serveur de catalogue global. Pour créer un nouveau contrôleur de domaine d un domaine existant : 1. Lancez la commande dcpromo. 2. Cliquez sur Contrôleur de domaine supplémentaire pour un domaine existant 3. Donnez le login/password d un compte autorisé à créer des contrôleurs de domaine dans Active Directory. 4. Entrez le nom DNS du domaine existant. d) Utilisation d un script d installation sans assistance pour installer Active Directory. Le fichier de réponses contient tous les paramètres requis pour installation sans assistance d Active Directory. Il peut être exécuté automatiquement à l aide de la commande dcpromo /answer:<fichier_réponses>. 3 Processus d installation d Active Directory a) Paramètres de configuration Vérification effectuée automatiquement par l assistant d installation d Active Directory : - L utilisateur réalisant l installation est membre du groupe Administrateurs locaux. - Aucune installation ou désinstallation n a eu lieu sans redémarrage. - Aucune installation ou désinstallation n est en cours. - Si Active Directory est déjà installé (ce qui lance l assistant de désinstallation). - Vérification de l unicité du nom de la machine dans le domaine que l on joint. - Vérification de la validité de l adresse IP affectée. - Vérification de la présence lors de la création d un nouveau domaine d un serveur DNS maintenant la zone du domaine. - Vérification du nom DNS et du nom NetBIOS (généré à partir des 15 premiers caractères du nom DNS). - Vérification des informations d identification de l utilisateur (pas dans le cas d une nouvelle forêt). - Vérification de l emplacement du répertoire SYSVOL sur une partition ou un volume NTFS. b) Configuration de site Le contrôleur de domaine est ajouté au site associé à son sous-réseau. Si aucun objet sous-réseau n est défini, le serveur est créé automatiquement dans le site Premier-Site-par-defaut. c) Etude de la structure par défaut d Active Directory Builtin Contient les groupes de sécurité par défaut de Windows Computers Emplacement par défaut des comptes d ordinateurs. Domain Controllers (UO) Emplacement pas défaut des comptes d ordinateurs contrôleurs de domaine. ForeignSecurityPrincipals Contient les identificateurs de sécurité (SID, Security Identifiers). Users Emplacement par défaut des comptes d utilisateurs. LostAndFound Contient des objets dont les conteneurs ont été supprimés. System Contient les paramètres systèmes intégrés spécifiques. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 13

14 4 Tâches à effectuer après l installation d Active Directory a) Implémentation de zones intégrées Active Directory Après l installation d Active Directory, vous pouvez intégrer une zone DNS à Active Directory, afin que le système DNS puisse utiliser Active Directory pour stocker et dupliquer les bases de zones DNS. Vous pouvez implémenter les zones de recherche directe et inversée intégrées à Active Directory pour permettre aux ordinateurs clients de réaliser à la fois des requêtes sur les noms d hôtes ou les adresses IP. b) Sécurisation des mises à jour pour les zones intégrées à Active Directory Suite à l implémentation des zones intégrées à Active Directory, vous pouvez également configurer des zones pour des mises à jour dynamiques (auto-inscription des clients dans le DNS) sécurisées (faisant appel aux DACL). c) Modification du mode de domaine Par défaut, un domaine Active Directory assure une compatibilité avec les systèmes pré-windows Cette compatibilité empêche l utilisation de certaines fonctions d Active Directory comme l imbrication des groupes et les groupes universels de sécurité. Le changement de mode du domaine se fait dans la console Utilisateurs et ordinateurs Active Directory, en faisant un clic-droit sur le domaine, puis en sélectionnant Propriétés. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 14

15 Module 4 Configuration et administration des utilisateurs et des groupes 1 Noms d ouverture de session d utilisateur a) Présentation des noms d ouverture de session d utilisateur Sous Windows 2000 il est possible d ouvrir une session à l aide du nom principal d utilisateur préfixe@suffixe (thoboi_l@esi-supinfo.com). Ce nom doit être unique au sein de la forêt. Il est toujours possible d ouvrir une session à l aide du nom d ouverture de session d utilisateur (pré-windows 2000). Ce nom doit être unique au sein du domaine. b) Création d un suffixe de nom principal d utilisateur Par défaut, le suffixe utilisé pour ouvrir une session est le nom du domaine qui contient le compte. Il est possible de changer de suffixe en ajoutant celui-ci dans la console d administration Domaines et approbations Active Directory dans les propriétés de la racine. Cela permet de faciliter la saisie de son login lors de l ouverture de session dans le cas d un utilisateur appartenant à un domaine situé très loin dans la hiérarchie de la forêt (ex : thoboi_l@labo-microsoft.lan est plus simple que thoboi_l@labo-microsoft.paris.esi-supinfo.com). 2 Création de plusieurs comptes d utilisateur La méthode d import par blocs permet d importer plusieurs comptes automatiquement à partir d un fichier texte. Deux utilitaires sont mis à votre disposition pour réaliser cette importation : - csvde : Permet de créer des objets à partir d un fichier au format csv (champs délimités par des virgules). - ldifde : Permet de créer, modifier, supprimer des objets à partir d un fichier au format ldif (champs délimités par des sauts de ligne). Ces fichiers doivent comporter un certain nombre d informations : - Le chemin d accès de l unité d organisation du compte d utilisateur. - Le type d objet. - Le nom d ouverture de session d utilisateur (pré-windows 2000). - Le nom principal d utilisateur. - Si le compte est actif ou non (code 512 pour activé et 514 pour désactivé). - Ne doit pas comporter de mots de passe. 3 Administration des comptes d utilisateur Une fois les utilisateurs créés, certaines tâches courantes sont à réaliser à partir de la console d administration Utilisateurs et ordinateur Active Directory : - Activation / Désactivation de comptes. - Réinitialisation de mots de passe. - Déplacement de comptes d utilisateurs dans un domaine (le drag&drop ne fonctionne pas). - Suppression de comptes d utilisateurs. - Changement de nom d un compte d utilisateur. 4 Utilisation des groupes dans Active Directory Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 15

16 Les groupes permettent de simplifier la gestion de l accès des utilisateurs aux ressources du réseau. Les groupes permettent d affecter en une seule action une ressource à un ensemble d utilisateurs au lieu de répéter l action pour chaque utilisateur. Un utilisateur peut être membre de plusieurs groupes. Il existe deux types de groupes dans Active Directory : - Les groupes de sécurité : permettent d affecter des utilisateurs et des ordinateurs à des ressources. - Les groupes de distribution : exploitables entre autres via un logiciel de messagerie. Les deux types de groupes gèrent chacun 3 niveaux d étendue : Les groupes globaux : Mode mixte Mode natif Membres Comptes d utilisateurs du même domaine Comptes d utilisateurs et groupes globaux du même domaine Membres de Groupes locaux du même domaine Groupes locaux de domaines Etendue Visibles dans leur domaine et dans tous les domaines approuvés Autorisations pour Tous les domaines de la forêt Les groupes locaux de domaine : Membres Membres de Etendue Autorisations pour Mode mixte Mode natif Comptes d utilisateurs et groupes globaux Comptes d utilisateurs, groupes globaux et de tout domaine groupes universels d un domaine quelconque de la forêt, et groupes locaux de domaine du même domaine Membres d aucun groupe Groupes locaux de domaine du même domaine Visibles dans leur propre domaine Le domaine dans lequel le groupe local de domaine existe Les groupes universels : Membres Membres de Etendue Autorisations pour Mode mixte Non utilisables Non utilisables Visibles dans tous les domaines de la forêt Tous les domaines de la forêt Mode natif Comptes d utilisateurs, groupes globaux et autres groupes universels d un domaine quelconque de la forêt. Groupes locaux de domaine et universels de tout domaine. 5 Stratégies d utilisation des groupes dans un domaine La stratégie recommandée pour les groupes globaux et locaux dans un domaine est la suivante : - Ajoutez les comptes d utilisateur aux groupes globaux. - Ajoutez les groupes globaux à un autre groupe global (dans le cas d un environnement natif). - Ajoutez les groupes globaux à un groupe local de domaine. - Affectez les autorisations sur les ressources au groupe local de domaine.. Cette stratégie est aussi appelée A G DL P. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 16

17 Module 5 Publication de ressource dans Active Directory Le service d annuaire Active Directory permet de stocker des informations sécurisées concernant des objets du réseau. Il offre en outre des fonctionnalités de recherche puissantes, ce qui permet aux utilisateurs de publier des ressources en toute sécurité. 1 Vue d ensemble de la publication de ressources La publication de ressources dans Active Directory peut se définir comme la création d objets contenant des informations (ou des références à des informations) que l ou souhaite rendre accessibles. Certaines informations sont automatiquement publiées dans Active Directory, comme par exemple les comptes d utilisateurs. Toutefois, l accès à cette information publiée peut être restreint (ex : les comptes d utilisateurs accessibles uniquement par certains groupes d administration).. Généralement, les informations publiées sont statiques (par exemple, l adresse ou le numéro de téléphone). La publication d informations sujettes à des modifications fréquentes peut augmenter considérablement le trafic réseau lié à la duplication d Active Directory. a) Publication d imprimantes Une imprimante partagée sous Windows 2000 se retrouve automatiquement publiée dans Active Directory. Le serveur d impression auquel est reliée l imprimante demeure néanmoins le seul gestionnaire de cette imprimante. La publication «manuelle» d imprimantes se fait sur les machines non-windows Cette publication s effectue soit via la console d administration «Utilisateurs et Ordinateurs Active Directory» soit en utilisant le script Pubprn.vbs localisé dans le dossier %systemroot%\system32\pubprn.vbs Dans certains cas, on ne souhaite pas publier une imprimante. Il faudra alors décocher l option «Liste dans l annuaire» dans les options de partage.. Si Active Directory n est pas implémenté sur le domaine, alors les utilisateurs devront parcourir le réseau pour trouver l imprimante partagée. b) Emplacements d imprimantes Pour repérer aisément les imprimantes les plus proches, l utilisateur peut avoir recours aux emplacements d imprimantes, à condition qu ils soient implémentés. Dans ce cas, lors d une recherche d imprimantes dans l annuaire Active Directory, ce dernier renverra la liste des imprimantes situées au même emplacement physique que l ordinateur client. La mise en place d emplacements requiert la présence d au moins deux sous réseaux dans un même site (ou deux sites distincts avec par conséquent des ID réseau différents), car un emplacement correspond à un sous réseau. Un exemple de nom d emplacement d imprimante pourrait être : France/Paris/Bâtiment A/1er Etage/Laboratoire Microsoft. Afin de visualiser les imprimantes dans l outil d administration Utilisateurs et Ordinateurs Active Directory, il faut s assurer que l option "Utilisateurs, groupes et ordinateurs en tant que conteneur" est sélectionnée dans le menu Affichage. c) Publication et administration de dossiers partagés Un dossier partagé peut être publié dans l annuaire Active Directory. Cette publication se fait via la console d administration «Utilisateurs et Ordinateurs Active Directory» : en faisant un clic droit sur l U.O. dans laquelle on souhaite créer l objet, puis en sélectionnant Nouveau et enfin Dossier Partagé. Il faudra saisir le chemin UNC du partage, par exemple \\mslab-srv\essentiels. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 17

18 La publication confère aux dossiers partagés une plus grande accessibilité, mais en plus, elle leur offre la possibilité d y ajouter une description et des mots clés, afin d en faciliter la recherche. L objet créé dans l annuaire Active Directory lors la publication peut être déplacé dans n importe quelle Unité Organisationnelle, sans perdre l accès au partage. Il agit en quelque sorte comme un pointeur vers un emplacement physique fixe. d) Contrôle d accès aux ressources publiées. Lorsque l on partage une ressource, par exemple un répertoire, on dispose d une DACL (Discretionary Access Control List) pour en gérer l accès (lecture seule, écriture, ). Lorsque l on publie une ressource, on crée un objet dans l annuaire Active Directory qui pointe vers le dossier partagé. Cet objet dispose de sa propre DACL, distincte de celle de la ressource partagée qu il représente. Cette DACL permettra par exemple d autoriser la visualisation de l objet à des utilisateurs. Ainsi, même si la DACL d un objet autorise un utilisateur à le visualiser, si la DACL de la ressource partagée correspondante en interdit l accès, l utilisateur ne pourra utiliser la ressource. Il serait alors judicieux d autoriser la visualisation des objets uniquement aux utilisateurs qui ont accès aux ressources partagées correspondantes. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 18

19 Module 6 Délégation du contrôle d administration Active Directory est sécurisé : seuls les comptes ayant reçu les permissions adéquates peuvent effectuer des opérations sur ces objets (ajout, modification, ). Les administrateurs, en charge de cette affectation de permissions peuvent aussi déléguer des tâches d administration à des utilisateurs ou des groupes d utilisateurs. 1 Sécurité des objets Dans Active Directory, chaque objet est sécurisé, ce qui signifie que l accès a chacun d entre eux est cautionné par l existence de permissions en ce sens. A chaque objet sont associés un descripteur de sécurité unique qui définit les autorisations d accès nécessaires pour lire ou modifier les propriétés de cet objet grâce à une DACL (Discretionary Access Control List) et une SACL (System Access Control List, utilisée pour l audit). Le contrôle d accès dans Active Directory repose non seulement sur les descripteurs de sécurité des objets, mais aussi sur les entités de sécurité (par exemple un compte d utilisateur ou un compte de machine), et les identificateurs de sécurité (SID, dont le fonctionnement est globalement identique à celui sous NT 4.0 ). Active Directory étant organisé hiérarchiquement, il est possible de définir des permissions sur un conteneur et de voir ces permissions héritées à ses sous conteneurs et à ses objets enfants (si on le souhaite). Grâce à cela, l administrateur n aura pas à appliquer les mêmes permissions objet par objet, limitant ainsi la charge de travail, et le taux d erreurs. Dans le cas où l on définirait des permissions spécifiques pour un objet et que ces dernières entrent en conflit avec des permissions héritées, ce seront les permissions héritées qui seront appliquées. Dans certains cas, on ne souhaite pas que des permissions soient héritées, il est alors possible de bloquer cet héritage. Par défaut, lors de la création d un objet, l héritage est activé. Par conséquent, une DACL correspondant aux permissions du conteneur parent est créée pour cet objet. Lors du blocage de l héritage, on définit une nouvelle DACL qui sera soit copiée depuis la DACL du parent, soit vierge. 2 Délégation de contrôle Il est possible de déléguer un certain niveau d administration d objets Active Directory à n importe quel utilisateur, groupe ou unité organisationnelle. Ainsi, vous pourrez par exemple déléguer certains droits administratifs d une unité organisationnelle Ventes à un utilisateur de cette UO. L un des principaux avantages qu offre cette nouvelle fonctionnalité de délégation de contrôle est qu il n est plus nécessaire d attribuer des droits d administration étendus a un utilisateur lorsqu il est nécessaire de permettre a un utilisateur d effectuer certaines tâches. Ainsi, sous NT4, si l on souhaitait qu un utilisateur dans un domaine gère les comptes d utilisateurs pour son groupe, il fallait le mettre dans le groupe des Opérateurs de comptes, qui lui permet de gérer tous les comptes du domaine. Avec Active Directory, il suffira de faire un clic-droit sur l UO dans laquelle on souhaite lui déléguer cette tâche et de sélectionner Déléguer le contrôle. On pourra définir quelques paramètres comme les comptes concernés par cette délégation et le type de délégation, dans notre cas, «Créer, supprimer et gérer des comptes d utilisateur» (On peut affiner en déléguant des tâches personnalisées comme par exemple uniquement le droit de réinitialiser les mots de passe sur l UO ou un objet spécifique de l UO, ). 3 Création de MMC personnalisées. Windows 2000 (toutes versions) intègre désormais un nouveau modèle d'outils d'administration nommé MMC (Microsoft Management Console). Ces modèles d outils reposent sur des composants logiciels enfichables, correspondant aux différentes tâches d administration. A l'aide des MMC il est désormais possible de créer soit-même sa propre console d'administration. Il suffit pour cela d'y intégrer les modules (snap-in) que vous utilisez couramment. Cela permet aussi de mettre à disposition des administrateurs subalternes des outils d'administration personnalisés. Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 19

20 Ainsi un administrateur ayant pour unique fonction la maintenance des comptes du domaine ne pourra supprimer un utilisateur ou un groupe par erreur puisque l'option de suppression n'apparaîtra pas dans sa console. L article disponible sur vous présente exactement la procédure à suivre pour créer une console MMC d administration personnalisée.. Pour utiliser une console d administration personnalisée de réseau sous Windows 2000 Professionnel, il faudra installer les composants logiciels enfichables correspondants (utilisez adminpak.msi). Ce document est la propriété du Laboratoire Supinfo des Technologies Microsoft 20