Cours sur Active Directory



Documents pareils
L annuaire et le Service DNS

Structure logique. Active Directory. Forêts Arborescences Domaines Unités d'organisation

Active Directory. Qu'est-ce qu'un service d'annuaire?

Introduction aux services de domaine Active Directory

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Windows 2000 Server Active Directory

FORMATION WS0801. Centre de formation agréé

Formateur : Jackie DAÖN

Module 9 : Installation d'active Directory

Introduction aux services Active Directory

Utilisation de Ntdsutil.exe pour prendre ou transférer des rôles FSMO vers un contrôleur de domaine

Stratégie de groupe dans Active Directory

Formateur : Franck DUBOIS

Tout sur les relations d approbations (v2)

Active Directory. Active Directory: plan. Active Directory. Structure logique. Domaine. Niveau fonctionnel des domaines

Réseaux Active Directory

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Administration de systèmes

Préparation à l installation d Active Directory

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No2 :

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Windows Server 2012 R2

Microsoft Windows 2000 : Implémentation et administration des services d annuaire Microsoft Windows 2000

Service d'annuaire Active Directory

Les noms uniques Identifie le domaine dans lequel est situé l objet, ainsi que le chemin complet CN=David Dubois,OU=Sales,DC=Consoto,DC=msft!

Présentation de Active Directory

Introduction à LDAP et à Active Directory Étude de cas... 37

Installation Windows 2000 Server

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Exchange Server 2013 Préparation à la certification MCSE Messaging - Examen

Windows serveur 2012 : Active Directory

Windows Server 2012 Les bases indispensables pour administrer et configurer votre serveur

A. À propos des annuaires

Windows 2000: W2K: Architecture. Introduction. W2K: amélioration du noyau. Gamme windows W2K pro: configuration.

Restriction sur matériels d impression

Mise en place Active Directory / DHCP / DNS

Module 0 : Présentation de Windows 2000

Etude d Active Directory

Description de la maquette fonctionnelle. Nombre de pages :

BTS 2 SIO Active directory- windows serveur 2012 Version 1.1 (12/12/2014)

Exercices Active Directory (Correction)

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Annexe C Corrections des QCM

Préparer la synchronisation d'annuaires

Structure logique. Active Directory. Forêts Arborescences Domaines Unités d'organisation

TP 4 & 5 : Administration Windows 2003 Server

ASR3. Partie 2 Active Directory. Arnaud Clérentin, IUT d Amiens, département Informatique

Services TCP/IP : Authentification, partage de fichier et d'imprimante dans un domaine Microsoft

1. Présentation du TP

Note technique. Recommandations de sécurité relatives à Active Directory.

Windows Server Installation / mise à niveau / configuration de Windows Server 2003

MAGRET V86 Migration du contrôleur de domaine

IDEC. Windows Server. Installation, configuration, gestion et dépannage

[Tuto] Migration Active Directory 2003 vers 2008

Windows Server 2012 R2 Administration

Windows Server Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Guide pas à pas pour l'utilisation de la Console de gestion des stratégies de groupe

Active Directory Profils des utilisateurs, sécurité et stratégie de groupe (GPO)

Pourquoi installer un domaine Windows Active directory? E. Basier - CNIC S. Maillet - CRPP F. Palencia - ICMCB

Authentification unifiée Unix/Windows

Errata partie 1 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Rapport sur les travaux pratiques réalisés sous Windows 2000 Serveur

Solutions informatiques

UE5A Administration Réseaux LP SIRI

Gestion des utilisateurs et Entreprise Etendue

Chapitre 1 Labo 1 : Les rôles de base du contrôleur de domaine Windows 2008 Server R2

Présentation du système DNS

Administration Active Directory Rédigé par Guillaume MATHIEU, consultant Pôle Architecture & Intégration MANPOWER / PROSERVIA

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

Introduction à la notion de DOMAINE

Migration NT4 vers Windows 2003 Server

RTN / EC2LT Réseaux et Techniques Numériques. Ecole Centrale des Logiciels Libres et de Télécommunications

Windows Server 2012 R2 Failover de serveurs DHCP

Migration d un domaine Active Directory 2003 R2 vers 2008 R2 (v2)

WINDOWS 2000 SERVEUR

Chapitre 01 Généralités

Installation et configuration de base de l active Directory

Module 1 : Présentation de l'administration des comptes et des ressources

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition]

INSTALLATION DES SERVICES DE DOMAINE ACTIVE DIRECTORY Windows Server 2008 R2

INFRASTRUCTURES & RESEAUX

Migration 2003 vers 2008R2

Cours admin 200x serveur : DNS et Netbios

P R O J E T P E R S O N N A L I S E E N C A D R E

ASR3. Partie 2 Active Directory. 1 Arnaud Clérentin, IUT d Amiens, département Informatique,

Technicien Supérieur de Support en Informatique

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

Utilisation de la clé de Registre BurFlags pour réinitialiser des jeux de réplicas FRS

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

LINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition

Hainaut P

Windows Serveur (Dernière édition) Programme de formation. France, Belgique, Allemagne, Pays-Bas, Autriche, Suisse, Roumanie - Canada

CREATION COMPLETE D UN DOMAINE WINDOWS 2000 AVEC UN SERVEUR DE FICHIERS

Administration d un client Windows XP professionnel

DNS ( DOMAIN NAME SYSTEM)

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

PROJET PERSONNALISÉ ENCADRÉ : N 6

Transcription:

Cours sur Active Directory Table des matières Active Directory...1 I- Principes...2 1- Annuaire LDAP...2 2- Authentification Kerberos...3 3- Tcp/Ip et DNS...4 II- Architecture...5 1- Domaines, Arborescence, Forêts...5 2- Contrôleurs de domaines multiples :...5 III- U.O., Utilisateurs, groupes...6 IV- Approbations...6 1- Direction et transitivité :...6 2- Types d'approbation :...6 V- Maîtres (Rôles FSMO) et catalogues globaux...7 1- Rôles FSMO...7 Catalogues globaux :...8 VI- Systèmes de noms et chemins d'accès...8 Netbios / Wins :...8 DNS :...8 Chemins d'accès réseau :...8

I- Principes Active Directory est le service d'annuaire de Microsoft intégré aux versions serveur de Windows. Historiquement, Microsoft n'avait pas de service d'annuaire et beaucoup d'entreprises utilisaient le NDS de Novell. Ce service d'annuaire est basé sur le protocole le plus connu du domaine : LDAP. Ce protocole fonctionnant en TCP/IP, Microsoft a du utiliser cette pile de protocoles en standard et faire reculer au second plan ses protocoles historiques : Netbios, Wins, etc. 1- Annuaire LDAP L'annuaire LDAP regroupe tous les objets dans un arbre. La racine de cet arbre est le domaine (DNS). Les branches sont des unités d'organisations (pas des objets). Les feuilles sont des objets (utilisateurs, groupes, ordinateurs,...). Un exemple d'arbre pour le domaine greta.fr : greta.fr Users Groups Computers nico...... Le chemin d'accès à l'utilisateur nico de cet annuaire LDAP s'écrit de cette manière : cn=nico,ou=users,dc=greta,dc=local Wikipedia : http://fr.wikipedia.org/wiki/lightweight_directory_access_protocol Dernières modifications le 30/05/13 Page 2

2- Authentification Kerberos L'annuaire LDAP ne fait que référencer les objets du domaine. Il n'intervient pas dans l'authentification. La partie authentification est gérée par un protocole spécialisé dans ce domaine : Kerberos. Historiquement NTLM était utilisé mais des failles de sécurité importantes sont avérées sur ce protocole. Il n'est plus utilisé qu'en cas d'incompatibilité. L'authentification pour un service réseau fonctionne en trois étapes : 1. Le client s'identifie à l'aide de sa clé secrète sur le serveur d'authentification. 2. Le client demande un ticket pour un certain service et une certaine durée au serveur de ticket. 3. Le client présente au service le ticket qu'il a reçu du serveur de ticket. Wikipedia : http://fr.wikipedia.org/wiki/kerberos Dernières modifications le 30/05/13 Page 3

3- Tcp/Ip et DNS Enfin Active Directory fonctionne obligatoirement sur TCP/IP et donc avec DNS. Les anciens protocoles (Netbios, WINS) n'existent plus sauf pour questions de compatibilité avec les anciens logiciels. Au moins un serveur DNS doit exister dans l'organisation, soit sur l'ad luimême, soit sur un autre serveur connu de l'ad. Dernières modifications le 30/05/13 Page 4

II- Architecture 1- Domaines, Arborescence, Forêts Dans un contexte Active Directory, trois termes sont à retenir : Domaine (ou sous-domaine) : Le domaine au sens de l'ad est le niveau le plus bas. Il contient au moins un contrôleur de domaine (Ldap + Kerberos). Il représente une organisation ou une partie d'une organisation. Arborescence : Ensemble d'un domaine et de tous ses sous-domaines. Forêt : Ensemble d'arborescences qui appartient à la même organisation. Au choix de l'architecte réseau, deux arborescences peuvent appartenir à une même forêt ou pas. Exemple : approbation Arborescence Domaines sous-domaines greta.fr approbations torcy.greta.fr paris.greta.fr gtn.fr Forêt 2- Contrôleurs de domaines multiples : Plusieurs contrôleurs de domaine peuvent être installés dans une architecture. Cela permet la tolérance de panne. L'autre ou les autres serveurs peuvent lire et écrire dans l'annuaire. Les données de l'annuaire présentes sur le sysvol sont répliquées par le protocole DFS (historiquement par NTFRS) entre les serveurs. L'un des serveurs est le maître des rôles FSMO (voir le chapitre sur FSMO). Dernières modifications le 30/05/13 Page 5

III- U.O., Utilisateurs, groupes L'annuaire permet notamment de créer : des unités d'organisation dans lesquelles on pourra créer des objets (utilisateurs, groupes, imprimantes, ) et sur lesquelles on pourra appliquer des stratégies de groupe (GPO). des groupes qui permettent de regrouper les utilisateurs dans des ensembles sur lesquels on pourra définir des droits de sécurité NTFS. des comptes utilisateurs qui permettent de définir individuellement le profil de chaque utilisateur. IV- Approbations Dans un contexte multi-domaine et/ou multi-forêts, les annuaires peuvent dialoguer entre eux en utilisant les approbations. Cela permet aux utilisateurs de pouvoir utiliser certaines ressources dans des domaines qui ne sont pas le leur d'origine. Pour voir les approbations existantes dans le domaine, on peut utiliser la console domain.msc. 1- Direction et transitivité : Direction : Les relations d'approbation peuvent être unidirectionnelles (le domaine 1 est approuvé sur le domaine 2 mais l'inverse est faux) ou bidirectionnelles. Transitivité : Si une relation est transitive, cela signifie que : si un domaine 1 est approuvé sur un domaine 2 et un domaine 2 est approuvé sur un domaine 3 alors le domaine 1 est approuvé sur le domaine 3 2- Types d'approbation : Par défaut, à l'ajout d'un domaine, active directory définit les relations d'approbation multidirectionnelles transitives suivantes : Relation parent-enfant (ex : entre greta.fr et torcy.greta.fr) Dernières modifications le 30/05/13 Page 6

Relation racine d'arborescence (ex : entre greta.fr et gtn.fr) Les autres relations possibles sont : Relation externe (avant Windows 2000) Relation de domaine Kerberos (pour lier des Kerberos non Windows) Relation entre forêts (entre forêts différentes) Relation de raccourci (plusieurs domaines dans une seule forêt) Articles sur les relations d'approbation : http://technet.microsoft.com/fr-fr/library/cc736874%28v=ws.10%29 http://www.labo-microsoft.org/articles/win/trust/ V- Maîtres (Rôles FSMO) et catalogues globaux 1- Rôles FSMO Les rôles de maître d'opération servent à savoir quel est le serveur référence qui va gérer la réplication des modifications vers les autres serveur. Les termes contrôleur primaires et contrôleur secondaire n'existent plus sauf pour question de compatibilité (émulateur de PDC). Dans une forêt, il ne doit y avoir à un moment donné qu'un serveur maître de schéma et un serveur maître d'attribution de noms de domaine. Dans un domaine, il ne doit y avoir à un moment donné qu'un serveur maître RID, un serveur maître d'infrastructure et un émulateur de contrôleur de domaine principal. Maître de schéma : Responsable du schéma d'annuaire LDAP. Maître d'attribution de noms de domaine : Responsable de l'ajout/suppression des noms de domaines. Maître RID : Distribue les identifiants uniques aux objets de l'annuaire pour une question de sécurité (partie du SID). Maître d'infrastructure : Gère les liens entre les utilisateurs et leurs groupes. Émulateur de PDC : Permet d'émuler le rôle de PDC et réplique les changements de mots de passe utilisateurs. Dernières modifications le 30/05/13 Page 7

Catalogues globaux : Dans un parc contenant plusieurs contrôleurs de domaines, les serveurs de catalogue global ont une copie complète des informations de tous les contrôleurs de domaine. Il y a toujours au moins un CG dans une forêt. Le premier serveur à être installé dans une forêt est forcément un CG. Ainsi, si un utilisateur de torcy.greta.fr veut se connecter sur le site de Lognes (lognes.greta.fr) et que le serveur de Lognes n'est pas un CG, il devra contacter son CG pour obtenir les informations du compte utilisateur. VI- Systèmes de noms et chemins d'accès Netbios / Wins : Historiquement, Windows utilisait les noms Netbios pour connaître les machines. Le nom Netbios est celui qu'on retrouve dans les propriétés systèmes de Windows. Netbios n'est pas basé sur TCP/IP. La résolution de noms Netbios se fait par broadcast, ce qui empêche son utilisation au delà du réseau local. Un serveur pouvait également résoudre les noms Netbios, le serveur Wins qui n'est plus utilisé aujourd'hui. DNS : Active Directory est forcément lié à un ou plusieurs serveurs DNS. Voir la documentation complète sur DNS. Chemins d'accès réseau : Cette utilisation est spécifique à Microsoft. Dans le monde TCP/IP, on utilise les chemins URL. \\nomdelordinateur\partage\chemin\ressource \\ : Demande d'accès par le protocole smb (partage de fichiers MS). nomdelordinateur : nom netbios (ex : pc1) ou nom DNS (ex : pc1.greta.fr) partage : un des dossiers partagés sur l'ordinateur. chemin : un sous-répertoire à partir de ce partage. Dernières modifications le 30/05/13 Page 8

ressource : le fichier ou le répertoire auquel vous voulez accéder. Dernières modifications le 30/05/13 Page 9

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back