Exploitation de l Active Directory
Mise à jour Date Version Auteur Diffusion Description 30/11/2013 1.0 VALAYER - JUGE 02/12/2013 Installation, réplication sauvegarde, restauration, de l AD. Ajout d utilisateurs sur l AD. Vérification Date Version Auteur Diffusion Description NA NA NA NA NA 1 Exploitation de l AD
Sommaire Introduction... 3 Architecture réseau... 4 I - Configuration réseau du serveur Active Directory primaire... 5 II - Création de l Active Directory primaire... 7 III - Configuration réseau du serveur Active Directory secondaire... 9 IV - Création de l Active Directory secondaire... 12 V - Ajout d utilisateurs dans Active Directory... 13 A - Préparation du fichier CSV... 13 B - Création du script Powershell d importation... 14 C - Exécution du script... 16 VI - Sauvegarde de l Active Directory... 17 A - Installation du Windows Server Backup... 17 B - Effectuer une sauvegarde d Active Directory... 18 VII - Restauration de l Active Directory... 19 A - Redémarrage du serveur en mode Récupération d annuaire... 19 B - Effectuer une restauration... 20 VIII Administration du serveur Active Directory à distance... 22 A Connexion à distance par la console MMC... 22 2 Exploitation de l AD
Introduction Présentation de Windows server 2008 core : Les distributions Windows Server 2008 R2 Core sont dotées d'une nouvelle option d'installation permettant de disposer d'un environnement minimaliste et d'activer uniquement les rôles serveurs correspondant aux besoins de l entreprise. Ces distributions permettent de réduire la fréquence des mises à jour et des maintenances, mais également de limiter les risques informatiques. Ces distributions Windows Server 2008 R2 Core sont livrées nues, l'administration s'effectue via un bureau à distance muni d'une invitation de commande Windows ou depuis la console de gestion Microsoft (Microsoft Management Console). Présentation AD : Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows. L'objectif principal d'active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques par les administrateurs. Active Directory répertorie les éléments d'un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées, et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources répertoriées. 3 Exploitation de l AD
Architecture réseau 4 Exploitation de l AD
I - Configuration réseau du serveur Active Directory primaire Pour commencer, il va falloir créer l Active Directory Primaire. La création de l Active Directory va se faire sur une machine tournant sur «Windows Server 2008 R2 core». Avant de commencer l installation, nous allons configurer la partie réseau du serveur. Pour aller dans les paramètres réseau, il faut aller dans : sconfig Paramètre réseau Une fois dans les paramètres réseau, il va falloir choisir la carte réseau. Dans notre cas il s agit de la carte «0». Il suffit juste de rentrer ce chiffre pour aller dans les paramètres de celle-ci. Maintenant, il va falloir aller dans «Définir l adresse IP de la carte réseau» pour modifier les paramètres tel que l adresse IP, le masque de sous réseau et la passerelle. Maintenant, il faut rentrer la lettre «s» pour choisir une adresse IP statique. Ensuite, il faut rentrer l adresse IP. Après, le masque de sous réseau. Et pour finir, l adresse de la passerelle 5 Exploitation de l AD
Une fois tous ces paramètres rentrés, on retombe sur la sélection des paramètres de la carte réseau. Pour vérifier que les changements ont bien été effectués, il faut vérifier que les paramètres réseau ont changés dans cette fenêtre. Une fois que ces paramètres sont bons, on va pouvoir rentrer l adresse des serveurs DNS sur la configuration réseau. On va pourvoir entrer les adresses des serveurs DNS même si ils ne sont pas créer. Pour cela, toujours dans les paramètres de la carte réseau, il va falloir aller dans «Définir les serveurs DNS». Pour cela, il suffit de taper «2». Dans un premier temps, il va falloir rentrer l adresse du serveur DNS préféré, soit l adresse du DNS primaire. Après, il faut ajouter l adresse des serveurs DNS réplica Maintenant, il va falloir modifier le nom de la machine (si cela n a pas été effectué pendant l installation du système d exploitation). Pour changer le nom de la machine, il va nous falloir le nom actuel de celle-ci. Pour cela, il faut rentrer la commande suivante : 6 Exploitation de l AD
Maintenant, pour changer le nom de la machine, il faut faire la commande suivante : Pour finir, il va falloir redémarrer la machine. 7 Exploitation de l AD
II - Création de l Active Directory primaire Pour pouvoir installer le service Active Directory sur le serveur, il faut entrer la commande suivante : Ci-dessous les détails de la commande : - DCpromo : Installation de l Active Directory - /ReplicaOrNewDomain=Domain : Indique que l on va créer un nouveau domaine - /NewDomain=Forest : Indique que l on va créer un nouvelle foret - /NewDomainDNSName=Schneider-jju.com : Le nom du nouveau domaine - /DomainNetBiosName : Le nom du domaine en Netbios - InstallDNS=yes : Indique que l on va créer un DNS - SafeModeAdminPassword : Mot de passe du compte Administrateur du domaine Pour vérifier que le rôle Active Directory et DNS sont bien installé, il va falloir utiliser la commande suivante : Si le DNS est bien installé, la ligne suivante doit apparaitre : Si l Active Directory est bien installé, la ligne suivante doit apparaitre : 8 Exploitation de l AD
III Configuration réseau du serveur Active Directory secondaire La création de l Active Directory secondaire va aussi se faire sur une machine tournant sur «Windows Server 2008 R2 core». Avant de commencer l installation, nous allons configurer la partie réseau du serveur. Pour aller dans les paramètres réseau, il faut aller dans : sconfig Paramètre réseau Une fois dans les paramètres réseau, il va falloir choisir la carte réseau. Dans notre cas il s agit de la carte «0». Il suffit juste de rentrer ce chiffre pour aller dans les paramètres de celle-ci. Maintenant, il va falloir aller dans «Définir l adresse IP de la carte réseau» pour modifier les paramètres tel que l adresse IP, le masque de sous réseau et la passerelle. Maintenant, il faut rentrer la lettre «s» pour choisir une adresse IP statique. Ensuite, il faut rentrer l adresse IP. Après, le masque de sous réseau. Et pour finir, l adresse de la passerelle 9 Exploitation de l AD
Une fois tous ces paramètres rentrés, on retombe sur la sélection des paramètres de la carte réseau. Pour vérifier que les changements ont bien été effectués, il faut vérifier que les paramètres réseau ont changés dans cette fenêtre. Une fois que ces paramètres sont bons, on va pouvoir rentrer l adresse des serveurs DNS sur la configuration réseau. On va pourvoir entrer les adresses des serveurs DNS même si ils ne sont pas créer. Pour cela, toujours dans les paramètres de la carte réseau, il va falloir aller dans «Définir les serveurs DNS». Pour cela, il suffit de taper «2». Dans un premier temps, il va falloir rentrer l adresse du serveur DNS préféré, soit l adresse du DNS primaire. Après, il faut ajouter l adresse des serveurs DNS réplica Maintenant, il va falloir modifier le nom de la machine (si cela n a pas été effectué pendant l installation du système d exploitation). Pour changer le nom de la machine, il va nous falloir le nom actuel de celle-ci. Pour cela, il faut rentrer la commande suivante : 10 Exploitation de l AD
Maintenant, pour changer le nom de la machine, il faut faire la commande suivante : Le serveur va devoir être sur le domaine, pour cela, il faut aller dans : sconfig Domaine ou Groupe de travail Il faut maintenant entrer la lettre «d» pour sélectionner Domaine Il faut maintenant entrer le nom du domaine Pour finir, il va falloir redémarrer la machine. 11 Exploitation de l AD
IV - Création de l Active Directory secondaire Pour pouvoir installer l Active Directory replica, il va falloir d abord créer un fichier texte avec le notepad qui contiendra cela : [DCInstall] UserDomain=schneider-jju.com UserName=Administrateur Password=System2008 InstallDNS=yes ConfirmGC=yes ReplicaOrNewDomain=Replica ReplicaDomainDNSName=schneider-vo.local SafeModeAdminPassword=System2008 Ce fichier doit maintenant être lancé avec la commande DCpromo, dans notre cas le fichier s appelle «dnsreplica.txt» et se situe dans la racine du disque «c:/». L ordinateur redémarrera automatiquement à la fin de l installation. Pour vérifier que le rôle Active Directory et DNS sont bien installé, il va falloir utiliser la commande suivante : Si le DNS est bien installé, la ligne suivante doit apparaitre : Si l Active Directory est bien installé, la ligne suivante doit apparaitre : 12 Exploitation de l AD
V - Ajout d utilisateurs dans Active Directory Introduction Bien qu'il soit possible d'ajouter un à un les utilisateurs dans Active Directory, cette solution est impensable lorsqu'il s'agit d'ajouter plusieurs centaines d'utilisateurs. Cependant, il est tout à fait possible d'intégrer une liste d'utilisateurs décrite dans un fichier.csv à partir d'un script en Powershell. A Préparation du fichier CSV Il est possible d'intégrer de nombreux éléments dans le fichier.csv. Ici, nous n'intégrerons que 3 éléments: Le nom, le prénom, ainsi que le nom du compte. Votre fichier.csv devrait ressembler à ceci: Mis à part qu'il y a une centaine d'utilisateurs au total. Ici la colonne "GivenName" contient des prénoms, la colonne "Surname" contient quant à elle des noms, tandis que la colonne "SamAccountName" contient des noms de comptes. Il est possible d'ajouter des éléments (1 par colonne), tels que des numéros de téléphone et adresses email par exemple. Notre fichier.csv est désormais prêt à être utilisé par le script powershell que nous allons créer. 13 Exploitation de l AD
B Création du script powershell d import Afin de procéder à la création du script, nous créerons un fichier texte du nom de test.ps1. Dans un premier temps, nous allons appeler la commande qui permet d'importer des utilisateurs à AD: Puis, nous pouvons entrer l'unité d'organisation concernée, et le domaine: Nous pouvons désormais choisir le mot de passe par défaut des utilisateurs: A présent nous allons utiliser la fonction d'import de fichier: Enfin, nous pouvons définir les options d'import: 14 Exploitation de l AD
Le script d'import est désormais prêt à être utilisé, et devrait ressembler à ceci: 15 Exploitation de l AD
C Exécution du script Le script powershell est désormais prêt à être exécuté. La manière la plus simple de le faire consiste à se connecter en administrateur du domaine sur la console d'administration, puis de copier le fichier test.csv dans un dossier nommé c:\test\test.csv, puis de lancer Windows PowerShell ISE: Une fois Windows PowerShell ISE lancé, ouvrez le script powershell crée précédemment, copiez en le contenu, puis collez le dans la fenêtre Windows PowerShell ISE: Il ne reste donc plus qu'à exécuter le script pour ajouter ces utilisateurs: Notez qu'il est ensuite possible de vérifier la création progressive des utilisateurs dans l'ad depuis la section "utilisateurs et groupes locaux" de la MMC. 16 Exploitation de l AD
VI Sauvegarde d Active Directory Introduction Il est possible d'effectuer une sauvegarde de l'active Directory sur un serveur Windows Server 2008 grâce à une commande, mais il est toutefois impossible de créer une sauvegarde sur le même disque dur que celui sur lequel le système est installé. Il convient donc de rajouter un deuxième disque dur (virtuel ou physique), uniquement dédié au backup. A Installation de Windows Server Backup Il est nécessaire d'installer WindowsServerBackup avec l outil d installation de microsoft OCsetup. Pour le faire, il suffit de rentrer la commande suivante dans la fenêtre d'invite de commande de l'active Directory: La commande WindowsServerBackup est désormais prête à être utilisée. 17 Exploitation de l AD
B Effectuer un sauvegarde d Active Directory Pour effectuer un backup, nous devons au préalable connaître la lettre correspondant au disque dur que nous réservons au backup. Pour cela, il est possible d'utiliser la commande "diskpart", puis la commande "list disk": Ce tableau nous donne la liste des disques disponibles. Ici, le disque 1 de 40 Go est réservé au système, nous utiliserons donc le disque 0 pour la sauvegarde de l'ad. A présent, nous pouvons invoquer la commande suivante pour créer la sauvegarde d'active Directory (e: étant la lettre du lecteur sur lequel la sauvegarde devra s'effectuer): Il vous sera ensuite demandé si vous souhaitez effectuer l'opération de sauvegarde. Répondez "oui": Si tout se passe bien, nous devrions obtenir ce message une fois le backup effectué: 18 Exploitation de l AD
VII Restauration d Active Directory Note: Afin de pouvoir effectuer la restauration, il est nécessaire de redémarrer le serveur en mode "récupération d'annuaire Active Directory". A Redémarrage du serveur en mode récupération d annuaire Pour redémarrer le serveur en mode récupération d'annuaire, il faut taper la commande suivante: Entrez à présent la commande "shutdown -r" pour faire le redémarrage en mode récupération d'annuaire. Il faudra ensuite vous connecter en tant qu'administrateur local pour effectuer la suite des opérations. 19 Exploitation de l AD
B Effectuer la restauration La commande de restauration est très similaire à la commande de sauvegarde. Toutefois il est nécessaire d'obtenir l'identificateur de la sauvegarde qui a été effectuée au préalable. Cet identificateur contient la date et l'heure de la sauvegarde. Afin d'obtenir l'identificateur, il faut taper la commande suivante: Ici, nous obtenons donc l'identifiant de notre sauvegarde: Il ne nous reste plus qu'à lancer la restauration, avec la commande suivante, en précisant la version: Il vous sera ensuite demandé de confirmer, répondez "oui": Il vous sera ensuite demandé de confirmer le redémarrage du serveur: Si tout se passe bien, la sauvegarde devrait commencer et vous devriez obtenir ce message, indiquant que la restauration est en cours: 20 Exploitation de l AD
Il vous sera ensuite demandé de redémarrer. Répondez "oui": Une fois le redémarrage effectué, connectez-vous à nouveau en tant qu'administrateur local. Vous devriez avoir ce message, témoignant du succès de l'opération de restauration: A présent, il ne reste plus qu'à désactiver le mode de démarrage de récupération d'annuaire: Le démarrage en mode de récupération d'annuaire étant désormais désactivé, il ne reste plus qu'à redémarrer le serveur: Une fois que le redémarrage a été effectué, vous pourrez vous connecter en tant qu'administrateur du domaine: Vous pouvez vérifier que la restauration a bien été effectuée sur la console d'administration, en passant par la rubrique "utilisateurs et groupes locaux" de la MMC. 21 Exploitation de l AD
VIII Administration du serveur Active Directory à distance A Connexion à distance avec la console MMC Pour effectuer une connexion à distance avec la console MMC, il va nous falloir une machine avec Windows 7 comme système d exploitation. Les différents paramètres à mettre sur la console sont : - Adresse IP : 10.0.11.102 - Masque de sous réseau : 255.255.240.0 - Passerelle par défaut : 10.0.0.1 - DNS primaire : 10.0.11.101 - DNS secondaire : 10.0.11.141 Il faut ensuite installer les outils d administration de serveur distant. Pour cela, il faut utiliser le lien ci-dessous. - http://www.microsoft.com/fr-fr/download/confirmation.aspx?id=7887 Une fois le téléchargement terminé, il va falloir lancer le fichier pour l installation 22 Exploitation de l AD