Windows Server 2008 Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes omar.cheikhrouhou@isetsf.rnu.tn omar.cheikhrouhou@ceslab.org 1
Vue d'ensemble du module Gestion de comptes d'utilisateurs Création de comptes d'ordinateurs Utilisation de requêtes pour localiser des objets dans AD DS Présentation des groupes AD DS Gestion des comptes de groupes Création d'unités d'organisation 2
Leçon 1 : Gestion de comptes d'utilisateurs Qu'est-ce qu'un compte d'utilisateur? Noms associés aux comptes d'utilisateurs de domaine Options de mot de passe d'un compte d'utilisateur Outils pour configurer des comptes d'utilisateurs Démonstration : Configuration de comptes d'utilisateurs Démonstration : Attribution d'un nouveau nom à un compte d'utilisateur Qu'est-ce qu'un modèle de compte d'utilisateur? Démonstration : Création et utilisation d'un modèle de compte d'utilisateur 3
Qu'est-ce qu'un compte d'utilisateur? Un compte d'utilisateur est un objet AD DS (services de domaine Active Directory) qui permet l'authentification et l'accès à des ressources locales et réseau Un compte d'utilisateur peut être stocké : Dans AD DS (compte AD DS) Les comptes AD DS permettent d'ouvrir des sessions sur des domaines et d'accéder à des ressources réseau partagées Sur l'ordinateur local (compte local) Les comptes locaux permettent d'ouvrir une session sur un ordinateur et des ressources locales uniques Lors de la création d'un compte d'utilisateur, un identificateur de sécurité (SID) est également créé 4
Noms associés aux comptes d'utilisateurs de domaine Options de nommage pour les comptes d'utilisateurs de domaine: Noms d'objet Exemple Unicité requise Nom d'ouverture de session de l'utilisateur Nom d'ouverture de session de l'utilisateur (antérieur à Microsoft Windows 2000) Nom d'utilisateur principal (UPN) Nom unique LDAP Gregory Woodgrove\Gregory Gregory@Woodgrove Bank.com CN=Gregory,OU=IT, DC=WoodgroveBank, DC=com Doit être unique au sein du domaine Doit être unique au sein du domaine Doit être unique au sein de la forêt Sera globalement unique, en combinant le nom RDN, le nom de conteneur et les noms de domaine Nom unique relatif (RDN) CN=Gregory Doit être unique dans l'unité d'organisation 5
Options de mot de passe d'un compte d'utilisateur Les mots de passe d'un objet utilisateur constituent un aspect important de la sécurité réseau et il est possible de configurer des options pour les éléments suivants : Historique des mots de passe Longueur Complexité Par défaut, les mots de passe de domaine Windows Server 2008 doivent respecter trois exigences de complexité sur quatre : Majuscule Minuscule Caractères spéciaux Chiffres 6
Outils pour configurer des comptes d'utilisateurs Les comptes locaux et les comptes de domaine ont chacun leurs propres outils pour la création et la gestion des propriétés: Compte Compte d'ordinateur local Compte de domaine Outils Windows XP et Windows Vista : Panneau de configuration > Comptes d'utilisateurs Outil d'interface graphique Windows Server 2003 et Windows Server 2008 : Utilisateurs et ordinateurs Active Directory Utilitaires de ligne de commande : dsadd, Windows Powershell, CSVDE, LDIFDE 7
Qu'est-ce qu'un modèle de compte d'utilisateur? Un modèle de compte d'utilisateur est un compte comportant des propriétés communes déjà configurées Les modèles de comptes d'utilisateurs tirent parti des similarités qui existent entre les comptes d'utilisateurs Pour utiliser des modèles utilisateur : Créez plusieurs utilisateurs standard qui reflètent les différents groupes de votre organisation Copiez le compte d'utilisateur qui correspond le mieux au nouveau compte que vous voulez créer Modifiez les attributs : noms, adresse de messagerie, nom d'ouverture de session, etc. 8
Profil utilisateur 9
Leçon 2 : Création de comptes d'ordinateurs Qu'est-ce qu'un compte d'ordinateur? Options pour la création de comptes d'ordinateurs Gestion des comptes d'ordinateurs Démonstration : Configuration de comptes d'ordinateurs 10
Qu'est-ce qu'un compte d'ordinateur? Un compte d'ordinateur est un objet dans AD DS qui identifie un ordinateur dans un domaine Les comptes d'ordinateurs : Sont requis pour l'authentification et l'audit Permettent de gérer un ordinateur à l'aide de stratégies de groupe Sont requis pour tous les ordinateurs qui exécutent Windows NT ou une version ultérieure 11
Options pour la création de comptes d'ordinateurs Scénario Processus Ajout d'ordinateurs individuels à un domaine Ajouter l'ordinateur au domaine à l'aide de propriétés système de l'ordinateur Un compte sera créé par défaut dans le conteneur Ordinateurs Création de plusieurs comptes d'ordinateurs en préparation de l'automatisation du déploiement de systèmes d'exploitation et de logiciels 1. Créer une unité d'organisation pour chaque service 2. Préconfigurer de nouveaux comptes d'ordinateurs dans cette unité d'organisation à l'aide d'un script ou d'un outil de ligne de commande 3. Ajouter l'ordinateur au domaine 12
Gestion des comptes d'ordinateurs Les activités de gestion d'un ordinateur incluent les suivantes : Ajout de comptes d'ordinateurs : fournit un nom d'ordinateur et indique une option de gestion Désactivation de comptes d'ordinateurs : conserve le compte mais empêche toute ouverture de session à partir du compte Réinitialisation du compte d'ordinateur : supprime la connexion de l'ordinateur au domaine (jointure nécessaire) Suppression de comptes d'ordinateurs : supprime l'ordinateur de tous les services de domaine Configuration de stratégies de groupe : gère les environnements logiciels ou les postes de travail 13
Leçon 3 : Utilisation de requêtes pour localiser des objets dans AD DS Options pour localiser des objets dans AD DS Démonstration : Recherche dans AD DS Qu'est-ce qu'une requête sauvegardée? Démonstration : Utilisation d'une requête sauvegardée 14
Options pour localiser des objets dans AD DS Tri : utilisation des en-têtes de colonne dans Utilisateurs et ordinateurs Active Directory pour rechercher des objets d'après les colonnes Recherche : indication de critères concernant les éléments à rechercher Ligne de commande : paramètre dsquery 15
Qu'est-ce qu'une requête sauvegardée? Une requête sauvegardée permet d'enregistrer des critères de recherche Les requêtes sauvegardées : Représentent le moyen le plus rapide et le plus cohérent pour accéder à un jeu commun d'objets d'annuaire à contrôler ou pour effectuer des tâches spécifiques Fournit des options pour les attributs de recherche (dernière date d'ouverture de session) 16
Contrôle des acquis de l'atelier pratique Pour que des recherches comme celles utilisées dans cet atelier pratique retournent des résultats exacts, que devez-vous faire lors de la création des comptes d'utilisateurs? Votre organisation dispose d'un groupe de techniciens DST qui doivent être en mesure d'ajouter tous les ordinateurs au domaine AD DS. Comment pouvez-vous garantir que ces techniciens peuvent ajouter plus de 10 ordinateurs au domaine sans leur accorder plus d'autorisations que nécessaire? 17
Leçon 3 : Présentation des groupes AD DS Qu'est-ce qu'un groupe? Que sont les groupes globaux? Que sont les groupes universels? Que sont les groupes locaux de domaine? Que sont les groupes locaux? Discussion : Identification de l'utilisation de groupes Qu'est-ce que l'imbrication de groupes? Discussion : Stratégies d'imbrication de groupes AD DS Contrôle des acquis concernant les groupes AD DS 19
Qu'est-ce qu'un groupe? Les groupes sont un ensemble logique d'objets semblables : Services Emplacements Ressources Il existe deux types de groupes : Groupes de sécurité Sécurité activée Peuvent être utilisés pour attribuer des autorisations Peuvent également être à extension messagerie avec Exchange Server Groupes de distribution Utilisés pour les listes de distribution de courrier électronique Sans sécurité activée 20
Que sont les groupes globaux? Membres : Comptes d'utilisateurs et d'ordinateurs du même domaine que le groupe global Groupes globaux du même domaine que le groupe global Autorisations : Des autorisations peuvent être attribuées aux groupes globaux de n'importe quel domaine de la forêt ou de n'importe quel domaine approuvé Utilisation : Gérer les objets d'annuaire qui nécessitent une maintenance quotidienne, tels que les comptes d'utilisateurs et d'ordinateurs Regrouper les utilisateurs qui ont des besoins d'accès réseau semblables 21
Que sont les groupes universels? Membres : Groupes globaux de n'importe quel domaine de la forêt Comptes d'utilisateurs et d'ordinateurs de n'importe quel domaine de la forêt Groupes universels de n'importe quel domaine de la forêt Autorisations : Peuvent être attribuées dans n'importe quel domaine de la forêt ou dans n'importe quel domaine approuvé Utilisation : Utiliser ces groupes pour regrouper des groupes qui couvrent plusieurs domaines Conversion possible en : Groupe local de domaine Groupe global (si aucun autre groupe universel n'existe en tant que membre) 22
Que sont les groupes locaux de domaine? Membres : Comptes de n'importe quel domaine de la forêt ou de n'importe quel domaine approuvé Groupes globaux de n'importe quel domaine de la forêt ou de n'importe quel domaine approuvé Groupes universels de n'importe quel domaine de la forêt ou de n'importe quel domaine approuvé Groupes locaux de domaine, mais uniquement du même domaine que le groupe local de domaine Autorisations : Les autorisations des membres peuvent être attribuées uniquement dans le même domaine que le groupe local de domaine Conversion possible en : Groupe universel (si aucun autre groupe local de domaine n'existe en tant que membre) 23
Que sont les groupes locaux? Membres : Utilisateurs locaux Utilisateurs de domaine Groupes de domaines Autorisations : Des autorisations ne peuvent être accordées aux groupes locaux que sur l'ordinateur local Les groupes locaux ne peuvent pas être créés sur des contrôleurs de domaine 24
Discussion : Identification de l'utilisation de groupes Pour chaque scénario, déterminez le type et l'étendue des groupes qui doivent être créés : Scénario 1 : A. Datum a des utilisateurs du service des ressources humaines disséminés dans plusieurs emplacements géographiques différents du domaine, mais qui doivent pouvoir accéder aux mêmes ressources Scénario 2 : Tailspin Toys possède deux domaines : un pour les États- Unis et un pour l'europe. Vous voulez créer un groupe qui permet au service d'assistance technique centralisé de gérer les ressources des deux domaines Scénario 3 : A. Datum a, dans le groupe Ventes, des utilisateurs qui sont géographiquement dispersés. Ils ont demandé un groupe unifié unique qui permettra à tous les utilisateurs du groupe Ventes d'accéder aux ressources. Les membres du groupe Ventes changent fréquemment 25
Qu'est-ce que l'imbrication de groupes? L'imbrication permet aux groupes d'être membres d'autres groupes Avantages de l'utilisation d'une stratégie d'imbrication pour gérer des groupes AD DS : Les groupes qui sont membres d'autres groupes réduisent la réplication Les groupes imbriqués permettent une gestion simplifiée 26
Discussion : Stratégies d'imbrication de groupes AD DS Élargissez le cadre de la discussion précédente en prenant en compte l'option d'imbrication de groupes. Comment la configuration des groupes changerait-elle si l'imbrication de groupes était utilisée pour chaque scénario indiqué ici? Scénario 1 : A. Datum a des utilisateurs du service des ressources humaines disséminés dans plusieurs emplacements géographiques différents du domaine, mais qui doivent pouvoir accéder aux mêmes ressources. Comment des groupes imbriqués peuvent-ils être utilisés pour simplifier la gestion? Scénario 2 : Tailspin Toys a deux domaines : les États-Unis et l'europe. Vous voulez créer un groupe pour que le service d'assistance technique centralisé gère les ressources des deux domaines et réduise le trafic de réplication entre les domaines Scénario 3 : Chez A. Datum, vous devez attribuer des autorisations sur un dossier situé sur un serveur membre pour un projet entre les groupes Ventes, Marketing et Finance. Tous les utilisateurs sont géographiquement dispersés 27
Contrôle des acquis concernant les groupes AD DS Pourquoi devez-vous utiliser un groupe global plutôt qu'un groupe local de domaine pour les utilisateurs d'un service commercial d'une société comprenant plusieurs domaines? Comment pourriez-vous permettre aux membres d'un service Ventes qui sont souvent en déplacement entre les domaines d'une société implantée dans plusieurs villes d'accéder aux imprimantes de différents domaines gérés à l'aide de groupes locaux de domaine? 28
Leçon 4 : Gestion des comptes de groupes Éléments à prendre en compte pour l'affectation de noms à des groupes Démonstration : Création de groupes Démonstration : Ajout de membres à des groupes Identification de l'appartenance à un groupe Démonstration : Modification de l'étendue et du type d'un groupe 29
Éléments à prendre en compte pour l'affectation de noms à des groupes Utiliser une désignation concise Éviter les noms longs et compliqués Utiliser des noms courants Utiliser des noms de services Ventes Marketing Cadres Regrouper les utilisateurs par emplacements : Utiliser des noms géographiques Pays États Villes Utiliser des noms propres aux projets Si des équipes virtuelles sont créées pour un projet, utiliser le nom du projet comme descripteur Les noms doivent être suffisamment spécifiques pour décrire précisément leur fonction, mais pas au point de créer un groupe pour chaque sous-fonction 30
Identification de l'appartenance à un groupe Onglet Membres Les membres d'un groupe sont répertoriés sous l'onglet Membres : Utilisateurs individuels Groupes imbriqués Onglet Membres de L'onglet Membres de répertorie les groupes auxquels le groupe actuel appartient Vous pouvez utiliser l'un ou l'autre des onglets pour suivre l'appartenance aux groupes 32
Leçon 5 : Création d'unités d'organisation Qu'est-ce qu'une unité d'organisation? Qu'est-ce qu'une hiérarchie d'unités d'organisation? Exemples de hiérarchies d'unités d'organisation Démonstration : Création d'unités d'organisation Démonstration : Déplacement d'objets entre des unités d'organisation 34
Qu'est-ce qu'une unité d'organisation? Une unité d'organisation : est un objet d'annuaire dans le domaine est la plus petite étendue ou unité à laquelle vous pouvez attribuer des paramètres de stratégie de groupe ou déléguer l'autorité administrative peut contenir des utilisateurs, des ordinateurs, des groupes, des imprimantes et d'autres unités d'organisation Les unités d'organisation peuvent être utilisées pour : déléguer l'autorité (créer des utilisateurs, réinitialiser des mots de passe) créer des conteneurs dans le modèle de domaine pour représenter des structures logiques créer des limites d'administration dans le domaine applique la stratégie de groupe 35
Qu'est-ce qu'une hiérarchie d'unités d'organisation? Les unités d'organisation peuvent être placées à l'intérieur d'autres unités d'organisation pour créer une conception hiérarchique WoodgroveBank.com Builtin Divisions Gestion d'entreprise Délégation Développement produit Comptes Délégation Ressources Groupes de sécurité 36
Exemples de hiérarchies d'unités d'organisation Exemple Avantage Unités d'organisation géographiques Unités d'organisation de services Unités d'organisation de ressources Par la direction Peuvent être administrées au niveau de l'emplacement Délégation par fonction de travail Conçues pour gérer les objets de ressources (non-utilisateurs) Créer des unités d'organisation autour de l'administration de l'entreprise 37
Contrôle des acquis de l'atelier pratique Plusieurs outils permettent de créer des groupes dans AD DS. Quel outil serait le plus susceptible de fonctionner sur n'importe quelle station de travail, tant que vous pouvez ouvrir une session sur le domaine? Vous travaillez dans une entreprise en pleine expansion qui va développer de nouveaux marchés à travers le pays. Quelles recommandations faites-vous concernant une hiérarchie d'unités d'organisation à mesure que vous constatez la croissance? Lors de la délégation de responsabilités d'administration dans un service, comment pourriezvous donner à une personne l'autorisation de réinitialiser les mots de passe, d'ajouter un nouvel utilisateur et de mettre à jour les propriétés des comptes (tels que des numéros de téléphone)? 40
44
Liens utiles 45