Module 3 Création d objets utilisateur et ordinateur AD DS
Vue d ensemble du module Administration des comptes d utilisateurs Création de comptes d ordinateurs Automatisation de l administration des objets AD DS Localisation d objets dans les services de domaine Active Directory à l aide de requêtes
Leçon 1 : Administration des comptes d utilisateurs Qu est-ce qu un compte d utilisateur? Noms associés aux comptes d utilisateurs de domaine Options de mot de passe des comptes d utilisateurs Gestion standard des utilisateurs Outils de configuration des comptes d utilisateurs Qu est-ce qu un modèle de compte d utilisateur?
Qu est-ce qu un compte d utilisateur? Un compte d utilisateur est un objet permettant l authentification et l accès aux ressources réseau et locales. Un compte d utilisateur peut être stocké : dans AD DS (compte AD DS) Les comptes AD DS permettent d ouvrir des sessions sur des domaines et d accéder à des ressources réseau partagées. sur l ordinateur local (compte local) Les comptes locaux permettent d ouvrir une session sur un seul ordinateur et d accéder à des ressources locales. La création d un compte d utilisateur génère également un ID de sécurité (SID).
Noms associés aux comptes d utilisateurs de domaine Noms d objets Exemple Exigence du caractère unique Nom d ouverture de session de l utilisateur Nom d ouverture de session de l utilisateur (avant Microsoft Windows 2000) Nom d utilisateur principal (UPN) Nom unique LDAP Nom unique relatif Michel Domaine\Michel Michel@Domaine.com CN=Gregory,OU=IT,DC= Domaine,DC=com CN=Michel Doit être unique dans le domaine Doit être unique dans le domaine Doit être unique dans la forêt Est globalement unique et combine le RDN, le nom du conteneur et les noms des domaines. Doit être unique dans l unité d organisation.
Options de mot de passe des comptes d utilisateurs Les mots de passe d objets utilisateur sont un aspect important de la sécurité réseau et peuvent disposer des options de configuration suivantes : historique des mots de passe longueur complexité Par défaut, les mots de passe de domaine Windows Server 2008 R2 doivent remplir trois des quatre critères de complexité suivants : majuscule minuscule caractères spéciaux nombres
Gestion standard des utilisateurs Les activités de gestion d utilisateurs comprennent : La mise à jour de l appartenance à un groupe : attribue à l utilisateur l appartenance à un groupe et des droits d accès. La réinitialisation des mots de passe d utilisateurs : réinitialise l authentification de sécurité utilisée pour accéder à l ordinateur du domaine. La définition de l expiration de l utilisateur : définit une date d expiration pour l accès au domaine. La définition d horaires d accès : définit une plage horaire pendant laquelle les utilisateurs peuvent accéder au domaine. L affectation de profils et définition de dossiers de base : affecte des profils utilisateurs et des dossiers de base afin de réguler l accès aux ressources.
Outils de configuration des comptes d utilisateurs Compte Compte d ordinateur local Outils Windows XP, Windows Vista et Windows 7 : Comptes d utilisateurs Windows Server 2003/2008/2008 R2 : Utilisateurs et ordinateurs Active Directory Compte de domaine Windows Server 2008 R2 : Centre d administration Active Directory Utilitaires de ligne de commande : dsadd, Windows PowerShell, CSVDE, LDIFDE
Qu est-ce qu un modèle de compte d utilisateur? Un modèle de compte d utilisateur est un compte dont les propriétés sont courantes et déjà configurées. Les modèles de comptes d utilisateurs tirent parti de la similarité entre les comptes d utilisateurs. Pour utiliser des modèles d utilisateurs : créez plusieurs utilisateurs typiques reflétant les différents groupes de votre organisation copiez le compte d utilisateur ressemblant le plus à celui que vous souhaitez créer modifiez les attributs : noms, courrier électronique, nom d ouverture de session de l utilisateur, etc.,,
Leçon 2 : Création de comptes d ordinateurs Qu est-ce qu un compte d ordinateur? Options de création de comptes d ordinateurs Administration des comptes d ordinateurs
Qu est-ce qu un compte d ordinateur? Un compte d ordinateur est un objet dans AD DS qui identifie un ordinateur dans un domaine. Les comptes d ordinateurs : sont nécessaires pour les authentifications et les audits permettent d administrer un ordinateur en utilisant des stratégies de groupe sont nécessaires pour tous les ordinateurs exécutant Windows NT ou plus récent
Options de création de comptes d ordinateurs Scénario Processus Ajout d ordinateurs individuels à un domaine Ajouter l ordinateur au domaine par le biais des propriétés système de l ordinateur. Le compte est alors créé par défaut dans le conteneur Ordinateurs. Création de comptes d ordinateurs multiples en vue d automatiser le déploiement de systèmes d exploitation et de logiciels 1. Créer une unité d organisation pour chaque service. 2. Prédéfinir de nouveaux comptes d ordinateurs. 3. Ajouter l ordinateur au domaine.
Administration des comptes d ordinateurs Les activités de gestion des ordinateurs sont les suivantes : L ajout de comptes d ordinateurs : fournit un nom d ordinateur et spécifie une option d administration. La désactivation de comptes d ordinateurs : conserve le compte, mais empêche les ouvertures de session à partir de ce compte. La réinitialisation du compte d ordinateur : réinitialise l association de sécurité entre le domaine et l ordinateur client (nouvelle association nécessaire). La suppression de comptes d ordinateurs : supprime l ordinateur de tous les services de domaine. La configuration de stratégies de groupe : gère les environnements de logiciels ou de bureau.
Leçon 3 : Automatisation de l administration des objets AD DS Outils d automatisation de l administration des objets AD DS Configuration des objets AD DS à l aide des outils de ligne de commande Administration des objets utilisateurs avec LDIFDE Administration des objets utilisateur avec CSVDE Présentation de Windows PowerShell? Applets de commande Windows PowerShell
Outils d automatisation de l administration des objets AD DS Utilisateurs et ordinateurs Active Directory Centre d administration Active Directory Outils de service d annuaire Dsadd Dsmod Dsrm Outils Csvde et Ldifde Windows PowerShell
Configuration des objets AD DS à l aide des outils de ligne de commande Outils de ligne de commande : Dsadd : ajout d objets aux services de domaine Active Directory Dsmod : modification d objets dans AD DS Dsrm : suppression d objets dans AD DS Dsmove : déplacement d objets dans AD DS Dsget : affichage d objets dans AD DS Dsquery : recherche d objets dans AD DS net user : ajout/modification de comptes d utilisateurs Net group : ajout/modification d un accès de groupe Net computer : ajout/suppression d objets d ordinateurs dans AD DS
Administration des objets utilisateur avec LDIFDE LDIFDE.exe importer nom_du_fichier.ldf exporter Active Directory
Administration des objets utilisateur avec CSVDE CSVDE.exe exporter nom_du_fichier.csv importer Active Directory Application RH
Présentation de Windows PowerShell Windows PowerShell est une technologie de scripts et de ligne de commande qui vous permet de gérer les services de domaine Active Directory et d autres composants Windows. Les fonctionnalités de Windows PowerShell sont, notamment : des applets de commande sur une ligne performants des alias des variables le traitement en pipeline la prise en charge des scripts l accès à toutes les commandes cmd.exe
Applets de commande Windows PowerShell Les applets de commande Windows PowerShell utilisent tous la même syntaxe. Verbe Nom Paramètres Exemple Get Date Get-Date Start Service W3SVC Start-Service W3SVC Les résultats d un applet de commande peuvent être traités en pipeline vers un autre Get-Service W3svc format-list Get-Service sort-object name Get-Service where-object {$_.status eq running } sort-object name Obtenir de l aide Get-Help Get-Command
Leçon 4 : Localisation d objets dans Active Directory à l aide de requêtes Options de localisation d objets dans les services de domaine Active Directory Qu est-ce qu une requête enregistrée?
Options de localisation d objets dans les services de domaine Active Directory Tri : utilisez les en-têtes de colonne dans Utilisateurs et ordinateurs Active Directory pour localiser des objets dans une colonne. Recherche : fournissez vos critères de recherche. Ligne de commande : dsquery paramètre
Qu est-ce qu une requête enregistrée? Les requêtes enregistrées fournissent : Une requête enregistrée permet de sauvegarder un critère de recherche. un moyen rapide et cohérent d effectuer des tâches spécifiques et d accéder à un ensemble commun d objets de répertoire nécessitant une analyse ; des options d attributs de recherche (ex : date de la dernière ouverture de session).