Formateur : Jackie DAÖN



Documents pareils
Formateur : Franck DUBOIS

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

Réseaux Active Directory

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No2 :

Préparation à l installation d Active Directory

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Stratégie de groupe dans Active Directory

Introduction à la notion de DOMAINE

Introduction aux services Active Directory

Service d'annuaire Active Directory

Mise en place Active Directory, DNS Mise en place Active directory, DNS sous Windows Serveur 2008 R2

Active Directory. Active Directory: plan. Active Directory. Structure logique. Domaine. Niveau fonctionnel des domaines

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Windows serveur 2012 : Active Directory

Créer et partager des fichiers

Installation Windows 2000 Server

Préparer la synchronisation d'annuaires

Cours sur Active Directory

Module 9 : Installation d'active Directory

Installation d'un Active Directory et DNS sous Windows Server 2008

Structure logique. Active Directory. Forêts Arborescences Domaines Unités d'organisation

Module 0 : Présentation de Windows 2000

Exercices Active Directory (Correction)

TP01: Installation de Windows Server 2012

Microsoft Windows 2000 : Implémentation et administration des services d annuaire Microsoft Windows 2000

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

Chapitre 1 Labo 1 : Les rôles de base du contrôleur de domaine Windows 2008 Server R2

P R O J E T P E R S O N N A L I S E E N C A D R E

Date : NOM Prénom : TP n /5 DE WINDOWS SERVEUR

Introduction aux services de domaine Active Directory

Installation d'un serveur DHCP sous Windows 2000 Serveur

Integration à un domaine AD SOMMAIRE

Mise en place Active Directory / DHCP / DNS

TP 4 & 5 : Administration Windows 2003 Server

Windows Server Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

Les noms uniques Identifie le domaine dans lequel est situé l objet, ainsi que le chemin complet CN=David Dubois,OU=Sales,DC=Consoto,DC=msft!

Installation et configuration de base de l active Directory

Active Directory. Qu'est-ce qu'un service d'annuaire?

Active Directory est un service d'annuaire utilisé pour stocker des informations relatives aux ressources réseau sur un domaine.

Réseau local entre Windows Xp et 7

[Tuto] Migration Active Directory 2003 vers 2008

Installation de Windows 2003 Serveur

Mise en route d'une infrastructure Microsoft VDI

Installation de Windows 2000 Serveur

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

AD FS avec Office 365 Guide d'installation e tape par e tape

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

PROJET PERSONNALISÉ ENCADRÉ : N 6

Configurer le pare-feu de Windows XP SP2 pour WinReporter

Administration d un client Windows XP professionnel

NAS 206 Utiliser le NAS avec Windows Active Directory

Administration de systèmes

INSTALLATION DES SERVICES DE DOMAINE ACTIVE DIRECTORY Windows Server 2008 R2

AFTEC SIO 2. Christophe BOUTHIER Page 1

Présentation de Active Directory

Windows 2000 Server Active Directory

L annuaire et le Service DNS

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

Guide pas à pas pour l'utilisation de la Console de gestion des stratégies de groupe

Introduction. Instructions relatives à la création d ateliers de test. Préparer l ordinateur Windows Server 2003

La console MMC. La console MMC Chapitre 13 02/08/2009

Configurer le pare-feu de Windows XP SP2/Vista pour UserLock

Windows Server Installation / mise à niveau / configuration de Windows Server 2003

Tout sur les relations d approbations (v2)

Windows Server 2012 R2

Groupes et utilisateurs locaux avec Windows XP

Migration NT4 vers Windows 2003 Server

FORMATION WS0801. Centre de formation agréé

2 - VMWARE SERVER.doc

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Tsoft et Groupe Eyrolles, 2005, ISBN :

BTS 2 SIO Active directory- windows serveur 2012 Version 1.1 (12/12/2014)

STATISTICA Version 12 : Instructions d'installation

Sauvegarde et restauration de données

Migration d un domaine Active Directory 2003 R2 vers 2008 R2 (v2)

But de cette présentation

INSTALLATION WINDOWS SERVER 2008 R2

MAGRET V86 Migration du contrôleur de domaine

Microsoft Windows 2000 Administration de Microsoft Windows 2000

HP Data Protector Express Software - Tutoriel 3. Réalisation de votre première sauvegarde et restauration de disque

Chapitre 01 Généralités


Installation de Windows 2012 Serveur

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

Les Audits. 3kernels.free.fr 1 / 10

Configuration d'un annuaire LDAP

Moteur de réplication de fichiers BackupAssist

Windows Internet Name Service (WINS)

1. Présentation du TP

Introduction à LDAP et à Active Directory Étude de cas... 37

Comment changer le mot de passe NT pour les comptes de service Exchange et Unity

Configuration de Virtual Server 2005 R2

Procédure d installation des logiciels EBP sous environnement MAGRET

GPI Gestion pédagogique intégrée

Restriction sur matériels d impression

Gestionnaire des services Internet (IIS)

Installation de Windows 2008 Serveur

Procédure d installation des logiciels EBP sous environnement ESU4. Serveur SCRIBE ou Windows

Guide d'installation du connecteur Outlook 4

Transcription:

Active Directory Stage personnes ressources réseau en établissement janvier 2005 Formateur : Jackie DAÖN Médiapôle de Guyancourt Lycée de Villaroy 2 rue Eugène Viollet Le Duc BP31 78041 GUYANCOURT Cedex Tel : 01 30 48 91 88 / Fax : 01 30 57 49 70 www.mp-guyancourt.ac-versailles.fr Jackie.Daon@crdp.ac-versailles.fr

Sommaire LES DOMAINES WINDOWS 2000/2003... 3 PRINCIPES DE BASE... 3 STRUCTURE D'ACTIVE DIRECTORY... 3 Domaines... 3 Arbres de domaines... 3 Forêts... 4 QU Y A-T-IL DANS UN DOMAINE ACTIVE DIRECTORY?... 4 ACTIVE DIRECTORY ET DNS... 5 INSTALLER ACTIVE DIRECTORY... 6 CREATION D UNE FORET QUI NE CONTIENDRA QU UN ARBRE QUI LUI-MEME SERA FORME D UN SEUL DOMAINE. 6 TACHES A EFFECTUER APRES L INSTALLATION D ACTIVE DIRECTORY... 9 VERIFICATION DE L INSTALLATION D ACTIVE DIRECTORY... 9 Vérification des enregistrements de ressource SRV... 9 Vérification du dossier SYSVOL... 9 Vérification des résultats de l installation par le biais des journaux d événements.... 10 INTEGRATION DES ZONES DNS A ACTIVE DIRECTORY... 10 SECURISATION DES MISES A JOUR POUR LES ZONES INTEGREES A ACTIVE DIRECTORY... 10 AUGMENTER LE NIVEAU FONCTIONNEL D ACTIVE DIRECTORY... 10 AJOUT D UN CONTROLEUR DE DOMAINE SUPPLEMENTAIRE.... 11 Active Directory / J. Daön - janvier 2005 page 2 / 11

Les domaines Windows 2000/2003 Principes de base Active Directory gère de manière hiérarchisée un certain nombre d objets situés dans des domaines et organisés selon un schéma. Ces objets peuvent être des serveurs, des stations, des périphériques, des dossiers partagés, des utilisateurs, des groupes d objets (groupes locaux, groupes globaux), des Unités d Organisation (conteneurs dans lesquels les administrateurs rangent différents objets). Structure d'active Directory Domaines Un domaine Active Directory (AD) est la principale frontière logique dans un annuaire. Pris séparément, un domaine AD ressemble beaucoup à un domaine NT. Les utilisateurs et les ordinateurs sont tous stockés et gérés dans les limites qu'il définit. Les domaines AD servent de limites de sécurité pour les objets et contiennent leurs propres stratégies de sécurité. Par exemple, chaque domaine peut appliquer aux utilisateurs des stratégies de mots de passe différentes. Un domaine étant une organisation logique d'objets, il peut aisément s'étendre sur plusieurs emplacements physiques. Un domaine regroupe des ordinateurs, des périphériques, des utilisateurs. C est une sorte de zone sécurisée, sur laquelle on ne peut pénétrer que quand on a été authentifié par le Contrôleur de Domaine. Arbres de domaines Un arbre Active Directory est composé de plusieurs domaines reliés par le biais d'approbations transitives bidirectionnelles, qui partagent un schéma et un catalogue global communs. Dans l exemple ci-contre, le domaine racine de l'arbre est : cite-scolaire.local et les sous-domaines sont : clg.cite-scolaire.local et lyc.cite-scolaire.local cite-scolaire cite-scolaire.local clg lyc clg.cite-scolaire.local lyc.cite-scolaire.local Un arbre AD simple avec trois sous-domaines. La relation d'approbation transitive est automatique, ce qui diffère de la structure de domaines NT4 où toutes les relations doivent être définies manuellement. L'expression Active Directory / J. Daön - janvier 2005 page 3 / 11

approbation transitive signifie que le domaine CLG approuve le domaine LYC parce qu'en premier lieu ils approuvent tous deux la racine cite-scolaire.local. Les approbations se propagent ainsi à travers la structure de domaines. Tous les domaines d'un arbre partagent le même espace de noms, ici cite-scolaire.local, mais sont soumis à des mécanismes de sécurité qui empêchent par défaut l'accès interdomaines. Autrement dit, un administrateur du domaine LYC peut disposer d'un contrôle sur le domaine tout entier, sans que les utilisateurs du domaine CLG ou racine aient le droit d'accéder à ses ressources. Mais s'il le souhaitait, il pourrait aussi autoriser des groupes d'utilisateurs d'autres domaines à se connecter. L'administration est granulaire et configurable. Forêts Une forêt est un groupe d'arbres de domaines interconnectés. Des approbations implicites existent entre les racines des arbres d'une forêt. Si tous les domaines et arbres de domaines ont en commun un même schéma et un même catalogue global, ils ne partagent en revanche pas le même espace de noms. Forêt Arbre 1 Arbre 2 mondomaine.net autredomaine.net Relations d approbation dc.mondomaine.net enfant1.mondomaine.net S t1.mondomaine.net St2.mondomaine.net enfant2.mondomaine.net dc.enfant1.mondomaine.net dc.enfant2.mondomaine.net S t1.enfant1.mondomaine.net utilisateur@enfant2.mondomaine.net Remarque : dans la plupart des cas, le réseau d un établissement scolaire sera limité à un seul domaine. Qu y a-t-il dans un domaine Active Directory? Des objets, qui peuvent être Des serveurs. Il y a plusieurs types de serveurs Serveurs Membres : simples serveurs auxquels on attribue une tâche définie : serveurs de fichiers, destinés à stocker des documents, serveurs d applications, sur lesquels sont installées les applications à exécuter à partir des stations serveurs d impressions, qui gèrent les imprimantes Active Directory / J. Daön - janvier 2005 page 4 / 11

Contrôleurs de domaine Ils sont les seuls habilités à authentifier les utilisateurs qui se connectent au domaine Ils remplissent plusieurs fonctions importantes. Il est intéressant de disposer de plusieurs contrôleurs de domaines : répartition des services, réplication des données pour qu un contrôleur en panne soit remplacé par un autre. C est l installation d Active Directory qui fait d un serveur un Contrôleur de Domaine. Des clients : stations, imprimantes, etc. Seules les stations Windows 2000 et Windows XP bénéficient de toutes les fonctionnalités d Active Directory. Un utilisateur (sous Win9x) peut ouvrir une session sur le domaine, mais la station n est pas un objet du domaine. Des utilisateurs Chaque utilisateur a un certain nombre d attributs et son propre UID (User Identity : Un numéro de code qui lui permet d être identifié sur le domaine. Son UPN (User Principal Name) est du type utilisateur@mondomaine.local Des groupes Les groupes peuvent contenir des utilisateurs, des ordinateurs et d'autres groupes. Les groupes simplifient la gestion d'un grand nombre d'objets. Des stratégies de groupe Elles définissent le comportement du domaine pour tel ou tel utilisateur ou groupe d utilisateurs ou ordinateurs. Vous les utiliserez pour «gérer» les stations Windows 2000 ou XP, mais pas win9x Des Unités d organisation Vous créez des unités d'organisation pour ranger des objets dans une hiérarchie logique et ordonnée. Les différents OU ne contiennent ni des dossiers, ni des fichiers, mais des ordinateurs, des utilisateurs, des groupes d'utilisateurs, des imprimantes, etc. Ce sont donc des conteneurs d objets destinés à l administration et non pas des groupes d utilisateurs! Active Directory et DNS Le DNS est indispensable à la configuration de Active Directory. Devez-vous utiliser le serveur DNS de Microsoft pour prendre en charge Active Directory? pas obligatoirement mais c est quand même bien pratique d utiliser le DNS de Microsoft qui s intègre parfaitement à Active Directory. Active Directory est intégré au DNS de la façon suivante : Active Directory et DNS ont la même structure hiérarchique. Même s'ils sont séparés et implémentés différemment pour des raisons diverses, les espaces de noms d'une organisation pour DNS et pour Active Directory ont une structure identique. Par exemple, zonetest.local est un domaine DNS et un domaine Active Directory. Les zones DNS peuvent être stockées dans Active Directory. Si vous utilisez le service DNS Windows 2000, vous pouvez stocker les fichiers de la zone principale dans Active Directory en vue d'une réplication sur d'autres contrôleurs de domaine Active Directory. Active Directory / J. Daön - janvier 2005 page 5 / 11

Les clients Active Directory utilisent DNS pour rechercher des contrôleurs de domaine. Pour rechercher un contrôleur de domaine pour un domaine spécifique, les clients Active Directory interrogent leur serveur DNS configuré et lui demandent des enregistrements de ressources spécifiques ; ils interrogent les enregistrements SRV. Les ordinateurs Windows 2000 peuvent enregistrer et mettre à jour dynamiquement les enregistrements avec un serveur DNS prenant en charge le protocole de mise à jour DNS dynamique. Qu'en est-il des clients de bas niveau (comme Windows 9x ou Windows NT) et les clients autres que Microsoft ne pouvant pas enregistrer dynamiquement leurs enregistrements de ressources? Nous pouvons, pour ces clients, utiliser la capacité du serveur DHCP Windows 2000 à enregistrer dynamiquement les enregistrements de ressources DNS. Installer Active Directory L installation d AD crée un contrôleur de domaine, une arborescence de domaine et une forêt d arborescence de domaines. Création d une forêt qui ne contiendra qu un arbre qui lui-même sera formé d un seul domaine. Menu Démarrer / Exécuter, taper dcpromo. L'Assistant Installation de Active Directory installe et configure les composants qui fournissent le service d'annuaire Active Directory aux utilisateurs et aux ordinateurs du réseau. Compatibilité avec les systèmes d'exploitation précédents Par défaut, les paramètres de sécurité sur les contrôleurs de domaine exécutant Windows Server 2003 sont configurés pour aider à empêcher toute interception ou falsification des communications du contrôleur de domaine par des utilisateurs malveillants. Pour négocier correctement les communications avec un contrôleur de domaine exécutant Windows Server 2003, ces paramètres de sécurité par défaut exigent que les ordinateurs clients utilisent tous les deux la signature SMB (Server Message Block) et le cryptage ou la signature du trafic du canal sécurisé. Les systèmes d'exploitation Windows suivants ne possèdent pas la prise en charge intégrée de la signature SMB ou du cryptage et de la signature du canal sécurisé : Windows pour Workgroups Windows 95 Windows NT 4.0 Active Directory / J. Daön - janvier 2005 page 6 / 11

Nous désirons que ce serveur devienne contrôleur de Domaine pour un nouveau domaine. Aucune forêt n existant, vous allez donc créer un nouveau domaine dans une nouvelle forêt. Vous devez donner le nom DNS complet du nouveau domaine. Vous pouvez accepter le nom NetBIOS du domaine qui est proposé par défaut. Il serait préférable de conserver ces fichiers sur un disque différent (au moins 300 Mo) afin d améliorer la performance. Dans notre cas garder l emplacement par défaut. Vous avez maintenant la possibilité de modifier l emplacement du répertoire partagé qui stocke la copie serveur des fichiers publics du domaine. Ce dossier permet d enregistrer les scripts qui font partie des objets Stratégie de groupe pour le domaine courant et le réseau de l entreprise. Le répertoire par défaut est \SYSVOL Active Directory / J. Daön - janvier 2005 page 7 / 11

Une vérification de l existence d un serveur DNS opérationnel est effectuée. Windows 2003 Server assure une compatibilité avec les versions précédentes de Windows. L assistant vous offre le choix entre une compatibilité avec ces anciennes versions ou une compatibilité uniquement avec les ordinateurs Windows 2000 ou 2003 (serveur et professionnel). On parlera de mode mixte pour le premier cas. Le mot de passe pour la restauration de services d annuaire vous est demandé. Un résumé récapitulatif vous est donné avant de confirmer les options choisies. L assistance effectue alors la configuration de Active Directory. Ensuite, l ordinateur doit être redémarré. Active Directory / J. Daön - janvier 2005 page 8 / 11

Tâches à effectuer après l installation d Active Directory Vérification de l installation d Active Directory Vérification des enregistrements de ressource SRV Dans la console DNS, la zone de recherche directe de votre domaine s est enrichie de 6 conteneurs supplémentaires correspondant à AD. Vérification du dossier SYSVOL Vérifiez que le dossier \WINDOWS\SYSVOL contient bien ceci : Vérifier les partages : - par «Gestion de l ordinateur» Les partages NETLOGON et SYSVOL doivent y apparaître. - dans une invite de commande tapez net share pour voir la liste des partages. Active Directory / J. Daön - janvier 2005 page 9 / 11

Vérification des résultats de l installation par le biais des journaux d événements. Intégration des zones DNS à Active Directory Pour intégrer les zones de recherche directes et de recherche inversée à Active Directory, il suffit, dans la console de gestion du DNS, par un clic-droit sur le nom de la zone de choisir «Propriétés» et ensuite d aller «Modifier» le type de zone dans l onglet «Général». Il ne reste plus qu à cocher la case «Enregistrer la zone dans Active Directory» Sécurisation des mises à jour pour les zones intégrées à Active Directory Dans l onglet «Général» des «Propriétés» de la zone DNS, on peut décider de n autoriser que les Mises à jour dynamiques «Sécurisé uniquement». Augmenter le niveau fonctionnel d Active Directory De même que Windows 2000 préserve la compatibilité avec les domaines et clients NT existants lors de son installation, Windows Server 2003 ne met pas, lors de son installation, à niveau la forêt Active Directory afin de pouvoir continuer à supporter les contrôleurs de domaines Windows NT 4.0 et 2000. Il existe quatre niveaux fonctionnels de domaine et trois niveaux fonctionnels de forêt. Windows 2000 mixte Lorsque Windows Server 2003 est installé dans une forêt Active Directory 2000 qui opère dans le mode mixte, cela signifie que les contrôleurs de domaines 2003 pourront communiquer avec les contrôleurs NT et 2000 de la forêt. II s'agit du niveau fonctionnel le plus limitatif, car des fonctionnalités telles que les groupes universels, les groupes imbriqués et la sécurité renforcée ne sont pas disponibles. Ce niveau sert en général d'étape vers une mise à niveau ultérieure. Windows 2000 natif Lorsqu'il est installé dans un annuaire Windows 2000 qui fonctionne dans le mode 2000 natif, Windows Server 2003 s'exécute au niveau fonctionnel de 2000. Seuls des contrôleurs de domaines 2000 et 2003 sont supportés dans cet environnement. Active Directory / J. Daön - janvier 2005 page 10 / 11

Windows Server 2003 provisoire Ce mode permet au service AD de Windows Server 2003 d'interopérer avec un domaine composé uniquement de contrôleurs de domaines NT4. Après que tous les contrôleurs NT ont été éliminés ou mis à niveau, les niveaux fonctionnels peuvent être relevés. Windows Server 2003 Ce niveau représente l implémentation idéale d'active Directory. Cet environnement donne accès à des fonctionnalités avancées telles que la désactivation de schémas, le renommage de domaines et de contrôleurs, et les approbations inter-forêts. Pour en bénéficier, tous les contrôleurs doivent d'abord être migrés vers 2003, après quoi les domaines puis la forêt peuvent être mis à niveau. Pour activer ce mode, ouvrez le composant «Domaines et approbations Active Directory» à partir des Outils d'administration. Dans le panneau de gauche, faites un clic-droit sur le nom de domaine puis sur «Augmenter le niveau fonctionnel du domaine». Dans la fenêtre qui s'ouvre, sélectionnez Windows Server 2003 et cliquez sur «Augmenter». Cliquez sur OK à deux reprises pour terminer l'opération. Elevez ensuite le niveau de la racine de la forêt. Dans l'arborescence de la console, cliquez avec le bouton droit sur «Domaines et approbations Active Directory», puis cliquez sur «Augmenter le niveau fonctionnel de la forêt». Ajout d un contrôleur de domaine supplémentaire. Menu Démarrer / Exécuter, taper dcpromo. L'Assistant Installation de Active Directory installe et configure les composants qui fournissent le service d'annuaire Active Directory aux utilisateurs et aux ordinateurs du réseau. Nous désirons que ce serveur devienne un contrôleur de Domaine supplémentaire pour un domaine existant. Vous devez spécifier le nom du domaine existant (on peut rechercher le domaine existant à l aide de l option Parcourir) ainsi que le nom d un utilisateur autorisé à réaliser cette opération et son mot de passe. Active Directory / J. Daön - janvier 2005 page 11 / 11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back