Module 10 : Administration d'active Directory Table des matières Vue d'ensemble 1 Création et gestion d'objets Active Directory 2 Atelier A : Création d'unités d'organisation et de comptes d'utilisateur 12 Gestion de groupes 20 Atelier B : Création de groupes 31 Contrôle de l'accès aux objets Active Directory 40 Ajout d'attributs d'objet dans le catalogue global 48 Délégation du contrôle administratif des objets Active Directory 50 Atelier C : Examen de la sécurité d'active Directory et délégation de contrôle 58 Contrôle des acquis 66
Module : Administration d'active Directory 1 Vue d'ensemble Objectif de la diapositive Donner une vue d'ensemble des sujets et des objectifs de ce module. Introduction Dans ce module, vous allez apprendre à renseigner Active Directory à l'aide d'objets, contrôler l'accès à ces derniers et déléguer leur contrôle dans Active Directory. Création et gestion d'objets Active Directory Gestion de groupes Contrôle de l'accès aux objets Active Directory Ajout d'attributs d'objet dans le catalogue global Délégation du contrôle administratif des objets Active Directory Le service d'annuaire Active Directory de Microsoft Windows 2000 se compose d'objets qui représentent les ressources du réseau, telles que les utilisateurs, les ordinateurs et les imprimantes. Vous organisez les objets en unités d'organisation. Lorsque vous ajoutez des ressources, telles que des utilisateurs et des ordinateurs à votre réseau, vous créez des objets qui les représentent. Vous utilisez des groupes pour organiser les ressources et gérer l'accès à celles-ci. Vous pouvez ajouter des attributs d'objet dans le catalogue global afin d'augmenter le nombre de critères de recherche pour rechercher des objets dans Active Directory. Vous pouvez également déléguer le contrôle administratif des objets à des utilisateurs particuliers. Bien que les comptes d'utilisateur et d'ordinateur soient dans l'ensemble les mêmes que ceux de Microsoft Windows NT version 4.0, les procédures et l'interface que vous utilisez pour les créer sont nouvelles dans Windows 2000. À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : créer des unités d'organisation, des comptes d'utilisateur et des comptes d'ordinateur ; créer et modifier des groupes ; expliquer comment contrôler l'accès aux objets dans Active Directory à l'aide d'autorisations ; ajouter des attributs d'objet dans le catalogue global ; déléguer le contrôle administratif des objets Active Directory pour prendre en charge l'administration décentralisée sécurisée.
2 Module : Administration d'active Directory Création et gestion d'objets Active Directory Objectif de la diapositive Répertorier les procédures de création et de gestion des objets Active Directory. Introduction Vous pouvez créer une hiérarchie d'unités d'organisation dans un domaine. Création d'unités d'organisation Création de comptes d'utilisateur Création de comptes d'ordinateur Déplacement et recherche d'objets Créez une hiérarchie d'unités d'organisation dans vos domaines Active Directory pour l'administration et la délégation. À l'intérieur de ces unités d'organisation, vous créez des objets comme des comptes d'utilisateur et des comptes d'ordinateur, tous deux nécessaires pour permettre aux utilisateurs et aux ordinateurs d'accéder au réseau. La structure souple d'un domaine facilite le déplacement d'objets entre unités d'organisation.
Module : Administration d'active Directory 3 Création d'unités d'organisation Objectif de la diapositive Montrer comment les objets sont organisés par unité d'organisation. Introduction Les unités d'organisation sont des conteneurs Active Directory (objets qui contiennent d'autres objets). Support technique Services informatiques Développement Support client Les unités d'organisation sont des objets conteneur. En d'autres termes, ils peuvent contenir d'autres objets, tels que des comptes d'utilisateur, des groupes et des comptes d'ordinateur. Les unités d'organisation peuvent également contenir d'autres unités d'organisation. Les unités d'organisation permettent d'organiser les objets Active Directory qui représentent les ressources de votre réseau. L'utilisation d'unités d'organisation pour contenir et organiser les objets dans Active Directory est semblable à celle de dossiers pour contenir et organiser d'autres dossiers et fichiers. Les unités d'organisation vous aident à définir des limites d'administration pour votre domaine. Étant donné que les unités d'organisation peuvent contenir d'autres unités d'organisation, vous pouvez étendre une hiérarchie de conteneurs pour modéliser la structure d'organisation ou les besoins d'administration de votre société. L'installation d'une hiérarchie d'unités d'organisation vous permet également de déléguer le contrôle administratif sur un certain nombre de comptes d'utilisateur, de groupes ou d'autres ressources. Vous pouvez déléguer le contrôle administratif en accordant à d'autres groupes ou utilisateurs des autorisations particulières pour des unités d'organisation et les objets qu'elles contiennent. Vous devez disposer des autorisations Lire, Lister le contenu et Créer des objets Unité d'organisation sur le conteneur parent (domaine ou unité d'organisation) pour créer des unités d'organisation dans ce conteneur. L'autorisation Lister le contenu n'est pas indispensable, mais sans elle, vous n'êtes pas en mesure d'afficher l'unité d'organisation que vous venez de créer. Par défaut, les membres du groupe Administrateurs peuvent créer des unités d'organisation n'importe où.
4 Module : Administration d'active Directory Pour créer une unité d'organisation, suivez la procédure ci-dessous. 1. À partir du menu Outils d'administration, ouvrez Utilisateurs et ordinateurs Active Directory, puis cliquez avec le bouton droit sur le conteneur (domaine ou unité d'organisation) dans lequel vous souhaitez créer l'unité d'organisation. 2. Pointez sur Nouveau, puis cliquez sur Organizational Unit. 3. Tapez le nom de l'unité d'organisation, puis cliquez sur OK. Conseils pédagogiques Ouvrez Utilisateurs et ordinateurs Active Directory. Faites remarquer la différence entre l'icône unité d'organisation et l'icône conteneur. Remarque Lorsque vous ouvrez Utilisateurs et ordinateurs Active Directory, plusieurs conteneurs par défaut s'affichent juste au-dessous du domaine. Users, Computers et Builtin sont des conteneurs qui ne sont pas des unités d'organisation. Étant donné que vous ne pouvez ni créer d'unités d'organisation dans ces conteneurs ni leur appliquer de stratégie de groupe, vous devez créer différentes unités d'organisation pour contenir vos utilisateurs et vos ordinateurs.
Module : Administration d'active Directory 5 Création de comptes d'utilisateur Objectif de la diapositive Montrer la procédure de création des comptes d'utilisateur. Introduction Vous pouvez créer des comptes d'utilisateur sur un contrôleur de domaine quelconque. Les comptes d'utilisateur permettent d'authentifier l'utilisateur et de lui accorder des autorisations pour qu'il puisse accéder aux ressources du réseau. Vous pouvez utiliser Utilisateurs et ordinateurs Active Directory sur un contrôleur de domaine quelconque disponible pour créer un compte d'utilisateur. Dès que vous avez créé le compte, celui-ci est dupliqué vers tous les autres contrôleurs du domaine. Emplacement du compte d'utilisateur Lorsque vous créez le compte d'utilisateur, vous devez d'abord sélectionner l'unité d'organisation dans laquelle il sera créé. Vous pouvez créer des comptes d'utilisateur au niveau du domaine. Cependant, cette action limite vos options de délégation et augmente la complexité de gestion du réseau. Après avoir créé un compte d'utilisateur, vous pouvez le déplacer entre les unités d'organisation du même domaine. Pour le déplacer, ouvrez Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le compte d'utilisateur, cliquez sur Déplacer, puis sélectionnez l'unité d'organisation dans laquelle vous souhaitez le placer.
6 Module : Administration d'active Directory Création d'un compte d'utilisateur Pour créer un compte d'utilisateur, suivez la procédure ci-dessous. 1. Ouvrez Utilisateurs et ordinateurs Active Directory. 2. Cliquez avec le bouton droit sur l'unité d'organisation dans laquelle vous souhaitez créer le compte d'utilisateur, pointez sur Nouveau, puis cliquez sur Utilisateur. 3. Dans la boîte de dialogue Nouvel objet - User, vous pouvez affecter plusieurs noms au compte. Prénom et Nom sont des attributs du compte d'utilisateur qui peuvent être utilisés dans les opérations de recherche pour trouver le compte d'utilisateur. La valeur que vous affectez à ces deux attributs ne doit pas nécessairement être unique, quel que soit le niveau de la forêt. Nom est le nom complet de l'utilisateur, qui est affiché comme nom du compte d'utilisateur dans Active Directory. Ce nom doit être unique au sein du conteneur dans lequel vous créez le compte d'utilisateur. Chaque compte d'utilisateur possède un nom principal d'utilisateur (UPN, User Principal Name) qui est composé du nom d'ouverture de session de l'utilisateur et d'un suffixe UPN. Ce dernier (zone de liste déroulante modifiable sans intitulé) affiche par défaut le nom du système DNS (Domain Name System) racine dans l'arborescence de domaines. Vous pouvez toutefois sélectionner un domaine quelconque dans la liste en tant que suffixe UPN. Le nom d'ouverture de session de l'utilisateur (avant l'installation de Windows 2000) permet d'ouvrir une session sur des ordinateurs exécutant des versions antérieures de Windows, telles que Windows NT 4.0 ou Windows NT 3.51. Ce nom doit être unique dans le domaine. 4. Après avoir indiqué les noms du compte d'utilisateur, définissez les options de mot de passe. Conseil pédagogique Ouvrez la boîte de dialogue Propriétés d'un compte d'utilisateur et affichez les attributs contenus dans chaque onglet. Chaque compte d'utilisateur que vous créez est associé à un ensemble d'attributs par défaut. Les attributs sont utilisés lors des recherches effectuées dans Active Directory. C'est pourquoi vous devez fournir des définitions d'attribut détaillées pour chaque compte d'utilisateur de domaine que vous créez. Après avoir créé un compte d'utilisateur de domaine, configurez les attributs personnels et les attributs du compte, les options d'ouverture de session et les paramètres de connexion dans les onglets de la boîte de dialogue Propriétés.
Module : Administration d'active Directory 7 Copie d'un compte d'utilisateur Vous pouvez copier un compte d'utilisateur de domaine pour en simplifier la procédure de création. Pour créer un compte servant de modèle, créez un compte d'utilisateur, configurez les paramètres souhaités, désactivez le compte, puis copiez-le chaque fois que vous devez créer un compte d'utilisateur. Pour créer un compte d'utilisateur en en copiant un, suivez la procédure ci-dessous. 1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le compte d'utilisateur que vous souhaitez copier, puis cliquez sur Copier. 2. Dans la boîte de dialogue Copier l'objet - User, tapez le nom d'utilisateur et le nom d'ouverture de session du nouveau compte d'utilisateur, puis cliquez sur Suivant. 3. Tapez et confirmez le mot de passe, définissez en les options (n'oubliez pas de désactiver la case à cocher Le compte est désactivé, le cas échéant), puis cliquez sur Suivant. 4. Vérifiez les informations du nouveau compte d'utilisateur, puis cliquez sur Terminer. Les propriétés de l'utilisateur qui sont copiées à partir du compte d'utilisateur de domaine vers le nouveau compte sont décrites dans le tableau suivant : Onglet de la boîte de dialogue Propriétés Adresse Compte Profil Organisation Membre de Propriétés copiées vers le nouveau compte d'utilisateur de domaine Toutes, sauf Adresse. Toutes, sauf Nom d'ouverture de session, qui est copiée à partir de la boîte de dialogue Copier l'objet - User. Toutes, sauf Chemin du profil et Dossier de base qui sont modifiées en fonction du nom d'ouverture de session du nouvel utilisateur. Toutes, sauf Titre. Toutes. Remarque Les droits et autorisations qui sont accordés à un compte d'utilisateur individuel ne sont pas copiés vers le nouveau compte d'utilisateur.
8 Module : Administration d'active Directory Création de comptes d'ordinateur Objectif de la diapositive Montrer la procédure de création des comptes d'ordinateur. Introduction Les comptes d'ordinateur permettent d'authentifier et d'analyser l'ordinateur. Les comptes d'ordinateur sont similaires aux comptes d'utilisateur, car ils peuvent être utilisés pour authentifier et analyser l'ordinateur et pour accorder des autorisations d'accès aux ressources du réseau. Les ordinateurs clients qui exécutent Windows 2000 ou Windows NT 4.0 doivent disposer d'un compte d'ordinateur valide pour intégrer le domaine. Vous pouvez utiliser Utilisateurs et ordinateurs Active Directory sur un contrôleur de domaine quelconque disponible pour créer un compte d'ordinateur. Dès que vous avez créé le compte, celui-ci est dupliqué par Active Directory vers tous les autres contrôleurs du domaine. Lorsque vous créez le compte d'ordinateur, vous devez d'abord sélectionner le conteneur dans lequel il va être créé. Vous pouvez créer des comptes d'ordinateur au niveau du domaine. Cependant, cette action limite vos options de délégation et augmente la complexité de gestion du réseau. Pour créer un compte d'ordinateur, suivez la procédure ci-dessous. 1. Ouvrez Utilisateurs et ordinateurs Active Directory. 2. Cliquez avec le bouton droit sur l'unité d'organisation dans laquelle vous souhaitez créer le compte d'utilisateur, pointez sur Nouveau, puis cliquez sur Computer. 3. Tapez le nom de l'ordinateur. Il doit être unique au sein de la forêt.
Module : Administration d'active Directory 9 4. Pour améliorer la sécurité, modifiez la sélection dans la zone L'utilisateur ou le groupe suivant peut joindre cet ordinateur à un domaine. Vous pouvez spécifier tout utilisateur ou groupe en tant que compte ayant l'autorisation de connecter l'ordinateur au domaine. La personne qui connecte l'ordinateur au domaine doit entrer un nom d'utilisateur et un mot de passe correspondant à ceux spécifiés dans cette zone. 5. Cliquez sur OK. Chaque compte d'ordinateur que vous créez est associé à un ensemble d'attributs par défaut. Les attributs sont utilisés lors des recherches effectuées dans Active Directory. C'est pourquoi vous devez fournir des définitions d'attribut détaillées pour chaque compte d'ordinateur que vous créez.
10 Module : Administration d'active Directory Déplacement et recherche d'objets Objectif de la diapositive Présenter les sujets relatifs au déplacement et à la recherche d'objets dans Active Directory. Introduction Il est facile de déplacer des objets entre les unités d'organisation. Déplacement d'objets Les autorisations d'un objet se déplacent avec celui-ci Les autorisations héritées ne se déplacent pas Vous pouvez déplacer plusieurs objets Recherche d'objets Les administrateurs peuvent utiliser l'option Rechercher d'utilisateurs et ordinateurs Active Directory pour rechercher des objets Les utilisateurs utilisent l'option Rechercher du menu Démarrer de l'explorateur Windows et du dossier Favoris réseau Dans Active Directory, vous pouvez facilement déplacer des objets dans le domaine et rechercher des ressources sur l'ensemble du réseau, quel que soit l'emplacement physique de l'objet. Déplacement d'objets Dans Active Directory, vous pouvez déplacer des objets entre les unités d'organisation lorsque des fonctions d'administration ou d'organisation changent, par exemple, lorsqu'un employé passe d'un service à un autre. Les conditions ci-dessous s'appliquent lorsque vous déplacez des objets entre des unités d'organisation. Les autorisations qui sont accordées directement aux objets restent inchangées. Les objets héritent des autorisations de la nouvelle unité d'organisation. Les autorisations héritées de l'unité d'organisation précédente n'ont plus aucune incidence sur les objets. Vous pouvez déplacer plusieurs objets simultanément. Pour déplacer un objet, cliquez avec le bouton droit dessus dans Utilisateurs et ordinateurs Active Directory, puis cliquez sur Déplacer. Dans la boîte de dialogue Déplacer, développez l'arborescence du domaine, cliquez sur le conteneur vers lequel vous souhaitez déplacer l'objet, puis cliquez sur OK.
Module : Administration d'active Directory 11 Conseil pédagogique Montrez les différentes méthodes de recherche d'objets dans la boîte de dialogue Rechercher. Recherche d'objets La boîte de dialogue Rechercher permet aux administrateurs de rechercher dans Active Directory différents types d'objets. Dans le menu Action d'utilisateurs et Ordinateurs Active Directory, cliquez sur Rechercher pour ouvrir la boîte de dialogue Rechercher Utilisateurs, contacts et groupes. Les critères de recherche disponibles varient en fonction du type d'objet que vous avez sélectionné dans la liste Rechercher. Une fois une recherche aboutie, les résultats s'affichent. Vous pouvez ensuite réaliser des fonctions d'administration sur les objets répertoriés. Les fonctions disponibles dépendent du type d'objet que vous avez recherché. Si, par exemple, vous avez recherché des comptes d'ordinateur, vous pouvez supprimer le compte d'ordinateur, le désactiver ou le réinitialiser, le déplacer vers une autre unité d'organisation ou en modifier les attributs. Les utilisateurs peuvent cliquer dans le menu Démarrer sur Rechercher pour rechercher des objets dans Active Directory. Pour ce faire, ils peuvent également utiliser les commandes Rechercher de l'explorateur Windows et du dossier Favoris réseau.
12 Module : Administration d'active Directory Atelier A : Création d'unités d'organisation et de comptes d'utilisateur Objectif de la diapositive Présenter l'atelier. Introduction Dans cet atelier, vous allez créer des unités d'organisation et des comptes d'utilisateur, et configurer leurs attributs. Objectifs À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes : planifier une structure d'unités d'organisation ; créer des unités d'organisation ; déplacer des objets Active Directory ; créer des comptes d'utilisateur ; déterminer les conventions de dénomination requises pour les comptes d'utilisateur. Conditions préalables Avant de poursuivre, vous devez maîtriser parfaitement la notion d'unité d'organisation. Mise en place de l'atelier Pour réaliser cet atelier, vous devez disposer d'un ordinateur exécutant Windows 2000 Advanced Server, configuré en tant que contrôleur d'un domaine enfant de nwtraders.msft. Durée approximative de cet atelier : 20 minutes
Module : Administration d'active Directory 13 Exercice 1 Planification de la structure d'une unité d'organisation Scénario Le siège social de Northwind Traders est prêt à déployer Windows 2000. Tous les ordinateurs et utilisateurs de ce site vont faire partie du même domaine. Northwind Traders compte actuellement 1 000 utilisateurs, qui travaillent dans les services Sales, Administration et Production. La direction s'attend à une croissance modérée pour les cinq prochaines années, avec un nombre total d'employés qui ne devrait pas augmenter de plus de 100%. Les administrateurs réseau à plein temps de Northwind Traders centralisent la majeure partie de l'administration de Windows 2000. Toutefois, un administrateur de chacun des trois services doit s'occuper de l'administration quotidienne des utilisateurs et des groupes. Ces administrateurs sont chargés de certaines tâches administratives, notamment de l'ajout et de la suppression de comptes d'utilisateur, et parfois de la modification de mots de passe. La plupart des ordinateurs de Northwind Traders disposent de la même configuration et exécutent les mêmes applications d'entreprise. Cependant, les serveurs de base de données exécutent des applications différentes. Seuls deux administrateurs réseau en chef doivent disposer d'un contrôle administratif total sur ces serveurs. En outre, Northwind Traders dispose de quatre contrôleurs de domaine. Quelles unités d'organisation devez-vous ajouter à la structure Active Directory par défaut? Quels objets allez-vous placer dans ces unités d'organisation? Les réponses peuvent varier. Il est essentiel de préserver la simplicité de la structure tout en atteignant l'ensemble des objectifs d'administration. Chez Northwind Traders, les comptes d'utilisateur de chacun des trois services sont contrôlés par des administrateurs différents. Chaque service dispose de sa propre unité d'organisation. Les serveurs membres ne sont pas administrés comme les ordinateurs clients et doivent être placés dans leur propre unité d'organisation. Placez tous les contrôleurs de domaine dans l'unité d'organisation Domain Controllers existante. Laissez tous les ordinateurs clients dans le conteneur Computers existant.
14 Module : Administration d'active Directory Exercice 2 Organisation d'un domaine Windows 2000 Scénario Pour atteindre les objectifs indiqués dans l'exercice 1, vous allez créer une structure d'unités d'organisation. Vous allez implémenter la structure étudiée dans l'exercice précédent. Objectif Dans cet exercice, vous allez créer une partie de la structure d'organisation du domaine Northwind Traders, puis déplacer des objets entre les unités d'organisation. Tâche 1. Créez des unités d'organisation dans le domaine domaine.nwtraders.msft, portant les noms suivants : Salesx Administrationx Productionx Serverx (où x est égal à 1 si votre numéro de stagiaire est impair ou à 2 s'il est pair) Détails a. Ouvrez une session sur le domaine en tant qu'administrateur avec le mot de passe password b. À partir du menu Outils d'administration, ouvrez Utilisateurs et ordinateurs Active Directory. c. Dans l'arborescence de la console, développez si nécessaire domaine.nwtraders.msft (où domaine représente le nom du domaine qui vous a été affecté), puis cliquez sur domaine.nwtraders.msft. Quelles sont les unités d'organisation et les conteneurs par défaut de votre domaine?
Module : Administration d'active Directory 15 Tâche Détails 1. (suite) d. Cliquez avec le bouton droit sur domaine.nwtraders.msft, pointez sur Nouveau, puis cliquez sur Organizational Unit. La boîte de dialogue Créer un nouvel objet - Organizational Unit s'affiche. Remarquez que le nom de la nouvelle unité d'organisation constitue la seule information requise. La boîte de dialogue indique que votre domaine correspond à l'emplacement où l'objet sera créé. e. Dans la zone Nom, tapez Salesx (où x est égal à 1 si votre numéro de stagiaire est impair ou à 2 s'il est pair), puis cliquez sur OK. f. Répétez les étapes d et e pour créer les unités d'organisation Administrationx, Productionx et Serversx. 2. Créez trois comptes d'utilisateur dans l'unité d'organisation Salesx. Comptes d'utilisateur : 1-3 Prénom : OUserx Nom : Ordinateurx Nom d'ouverture de session de l'utilisateur : Ordinateurx@domaine. nwtraders.msft a. Dans l'arborescence de la console d'utilisateurs et ordinateurs Active Directory, cliquez sur Salesx. b. Cliquez avec le bouton droit sur Salesx, pointez sur Nouveau, puis cliquez sur User. Remarquez que la boîte de dialogue Nouvel Objet - User indique que le nouveau compte d'utilisateur est en cours de création à l'emplacement domaine.nwtraders.msft/salesx. c. Créez un compte d'utilisateur en indiquant les informations suivantes : Prénom : OUser1 Nom : Ordinateur1 (où Ordinateur représente le nom de l'ordinateur qui vous a été affecté) Nom d'ouverture de session de l'utilisateur : Ordinateur1@domaine.nwtraders.msft d. Cliquez deux fois sur Suivant, puis cliquez sur Terminer. e. Répétez les étapes a à d pour créer deux comptes d'utilisateur supplémentaires. Incrémentez la valeur des zones Prénom, Nom et Nom d'ouverture de session de l'utilisateur pour chaque nouvel utilisateur.
16 Module : Administration d'active Directory Tâche 3. Déplacez les comptes d'utilisateur OUser1 et OUser3 entre les unités d'organisation Salesx et Administrationx, puis vérifiez l'opération. Détails Les comptes d'utilisateur OUser1 et OUser3 seront transférés du service Sales au service Administration. Au cours de cette procédure, vous allez déplacer les objets utilisateur des comptes d'utilisateur OUser1 et OUser3 pour qu'ils reflètent le transfert. a. Dans l'unité d'organisation Salesx, sélectionnez les comptes d'utilisateur OUser1 et OUser3, cliquez avec le bouton droit sur le nom sélectionné, puis cliquez sur Déplacer. b. Dans la boîte de dialogue Déplacer, développez votre domaine si nécessaire, cliquez sur Administrationx, puis sur OK. Remarquez que les comptes d'utilisateur que vous avez déplacés ne s'affichent plus dans l'unité d'organisation Salesx. c. Pour vérifier que les comptes d'utilisateur ont été déplacés vers l'emplacement approprié, dans l'arborescence de la console, cliquez sur Administrationx. Les objets utilisateur des comptes d'utilisateur OUser1 et OUser3 s'affichent dans l'unité d'organisation Administrationx. d. Laissez Utilisateurs et ordinateurs Active Directory ouvert.
Module : Administration d'active Directory 17 Exercice 3 Gestion de comptes d'utilisateur Scénario Trois employés rejoignent Northwind Traders ; vous devez donc créer des comptes d'utilisateur. Lors de la création de ces comptes, vous remarquez que deux des trois nouveaux embauchés portent le même nom. Objectif Dans cet exercice, vous allez utiliser Utilisateurs et ordinateurs Active Directory pour créer des comptes d'utilisateur. Vous allez également étudier les règles de création des comptes d'utilisateur. Tâche 1. Créez un compte d'utilisateur dans l'unité d'organisation Productionx en indiquant les propriétés suivantes : Prénom : James Nom : Smithx Nom d'ouverture de session de l'utilisateur : jsmithx@domaine.nwtraders.msft 2. Créez un compte dans l'unité d'organisation Productionx qui duplique celui que vous avez créé dans la tâche 1, puis notez les résultats. Utilisez les propriétés uniques suivantes : Prénom : James Nom : Smithy (où y est égal à 3 si votre numéro de stagiaire est impair ou à 4 s'il est pair) Nom d'ouverture de session de l'utilisateur : jsmithy@domaine.nwtraders.msft Détails a. Créez un compte d'utilisateur dans l'unité d'organisation Productionx en indiquant les informations suivantes : Prénom : James Nom : Smithx Nom d'ouverture de session de l'utilisateur : jsmithx@domaine.nwtraders.msft b. Cliquez deux fois sur Suivant, puis cliquez sur Terminer. a. Créez un compte d'utilisateur dans l'unité d'organisation Productionx en indiquant les informations suivantes : Prénom : James Nom : Smithx Nom d'ouverture de session de l'utilisateur : jsmithx@domaine.nwtraders.msft b. Cliquez sur Suivant.
18 Module : Administration d'active Directory Tâche Détails Que se passe-t-il lorsque vous cliquez sur Suivant? Pourquoi? 2. (suite) c. Cliquez sur OK pour fermer le message. d. Remplacez le nom d'ouverture de session de l'utilisateur par Jsmithy (où y est égal à 3 si votre numéro de stagiaire est impair ou à 4 s'il est pair). Remarquez que le nom d'ouverture de session avant l'installation de Windows 2000 change lorsque vous modifiez le nom d'ouverture de session de l'utilisateur. e. Remplacez le nom d'ouverture de session avant l'installation de Windows 2000 par jsmithx, cliquez deux fois sur Suivant, puis cliquez sur Terminer. Que se passe-t-il lorsque vous cliquez sur Terminer? Pourquoi? 2. (suite) f. Cliquez sur OK pour fermer le message, puis cliquez deux fois sur Précédent. g. Vérifiez que le nom d'ouverture de session avant l'installation de Windows 2000 est jsmithy. h. Remplacez le nom par James P. Smithy, cliquez deux fois sur Suivant, puis cliquez sur Terminer.
Module : Administration d'active Directory 19 Tâche Détails Que se passe-t-il lorsque vous cliquez sur Terminer? Pourquoi? 2. (suite) i. Fermez toutes les fenêtres, puis la session.
20 Module : Administration d'active Directory Gestion de groupes Objectif de la diapositive Répertorier les sujets relatifs aux groupes Active Directory. Introduction Active Directory prend en charge différents types de groupes, avec des options pour les étendues de groupe. Types de groupes Étendues de groupe Création de groupes Modification de groupes Gestion de groupes locaux Les groupes facilitent l'administration en vous permettant d'accorder des autorisations une seule fois à un groupe, plutôt que plusieurs fois à des utilisateurs individuels. Avant d'utiliser efficacement des groupes, vous devez comprendre leur fonction et les types de groupes que vous pouvez créer. Active Directory prend en charge différents types de groupes. Par ailleurs, il offre des options pour l'étendue d'un groupe, c'est-à-dire que le groupe peut s'étendre sur plusieurs domaines ou être limité à un seul. Il existe deux types de groupes dans Active Directory : les groupes de sécurité et les groupes de distribution. Chacun d'eux prend en charge l'une des trois étendues de groupe suivantes : domaine local, globale ou universelle. Le choix du type et de l'étendue de groupe est limité par le mode de domaine.
Module : Administration d'active Directory 21 Types de groupes Objectif de la diapositive Répertorier les différences entre les groupes de sécurité et les groupes de distribution. Introduction Vous pouvez créer deux types de groupes dans Active Directory. Objectifs des types de groupes Groupes de sécurité Permettent d'accorder ou de refuser des droits et des autorisations Groupes de distribution Permettent d'envoyer du courrier électronique Sélection d'un type de groupe Utilisez des groupes de distribution, sauf si vous avez besoin de fonctionnalités pour assurer la sécurité Les groupes de distribution optimisent les performances à l'ouverture de session Active Directory fournit deux types de groupes distincts : les groupes de sécurité et les groupes de distribution. Objectifs des types de groupes Les groupes de sécurité permettent d'accorder ou de refuser des droits et des autorisations à des groupes d'utilisateurs et d'ordinateurs. Ils peuvent également être utilisés pour envoyer du courrier électronique. Lorsqu'un message électronique est envoyé à un groupe de sécurité, tous ses membres le reçoivent. Les groupes de distribution permettent d'envoyer du courrier électronique à l'aide d'applications de messagerie électronique, telles que Microsoft Exchange Server. Les groupes de distribution ne peuvent pas être utilisés pour la sécurité. Sélection d'un type de groupe Bien que vous puissiez envoyer du courrier électronique à des groupes de sécurité, vous devez créer un groupe de distribution et non un groupe de sécurité, si vous n'envisagez pas d'utiliser un groupe particulier pour la sécurité. Au cours de la procédure d'ouverture de session, Windows 2000 crée un jeton d'accès qui contient la liste des groupes de sécurité dont l'utilisateur fait partie. L'utilisation de groupes de distribution au lieu de groupes de sécurité optimise les performances à l'ouverture de session en réduisant la taille du jeton d'accès.
22 Module : Administration d'active Directory Étendues de groupe Objectif de la diapositive Montrer les différentes étendues de groupe dans Active Directory. Introduction Les groupes de sécurité et de distribution disposent de trois étendues possibles, en fonction du mode de domaine. Groupes de de domaine local Membres d'un domaine quelconque de la forêt Permettent d'accéder aux ressources d'un domaine Groupes globaux Membres de leur propre domaine uniquement Permettent d'accéder aux ressources d'un domaine quelconque Groupes universels Membres d'un domaine quelconque de la forêt Permettent d'accéder aux ressources d'un domaine quelconque Les groupes de sécurité et de distribution sont pourvus d'un attribut d'étendue. L'étendue d'un groupe détermine les personnes qui peuvent être membres du groupe et l'endroit où vous pouvez utiliser ce groupe sur le réseau. Trois étendues de groupe sont disponibles pour les groupes Active Directory : domaine local, globale et universelle. Points clés L'appartenance à un groupe global est limitée à son domaine, mais peut bénéficier d'autorisations dans toute la forêt. L'appartenance à un groupe de domaine local peut couvrir toute la forêt, mais les membres d'un tel groupe ne peuvent bénéficier d'autorisations que dans leur propre domaine. Groupes de domaine local Dans un domaine en mode natif, les groupes de domaine local peuvent contenir des comptes d'utilisateur, des groupes globaux et des groupes universels d'un domaine quelconque de la forêt, ainsi que des groupes de domaine local du même domaine. Dans un domaine en mode mixte, ils peuvent contenir des comptes d'utilisateur et des groupes globaux d'un domaine quelconque. Vous ne pouvez accorder d'autorisations aux groupes de domaine local que pour les objets du domaine dans lequel le groupe de domaine local existe. Groupes globaux Dans un domaine en mode natif, les groupes globaux peuvent contenir des comptes d'utilisateur et des groupes globaux du domaine dans lequel le groupe existe. Dans un domaine en mode mixte, ils ne peuvent contenir que des comptes d'utilisateur du domaine dans lequel le groupe existe. Vous pouvez accorder des autorisations à des groupes globaux pour tous les domaines de la forêt, quel que soit l'emplacement du groupe global.
Module : Administration d'active Directory 23 Groupes universels Les groupes universels peuvent contenir des comptes d'utilisateur, des groupes globaux et d'autres groupes universels d'un domaine Windows 2000 quelconque de la forêt. Le domaine doit fonctionner en mode natif pour créer des groupes de sécurité disposant d'une étendue universelle. Vous pouvez accorder des autorisations à des groupes universels pour tous les domaines de la forêt, quel que soit l'emplacement du groupe universel. Le tableau suivant récapitule les règles d'appartenance aux groupes de sécurité : Étendue du groupe Domaine local Globale Peut contenir en mode mixte Des comptes d'utilisateur et des groupes globaux d'un domaine quelconque Des comptes d'utilisateur du même domaine Peut contenir en mode natif Des comptes d'utilisateur, des groupes globaux et des groupes universels d'un domaine quelconque de la forêt, et des groupes de domaine local du même domaine Des comptes d'utilisateur et des groupes globaux du même domaine Universelle Non disponible Des comptes d'utilisateur, des groupes globaux et d'autres groupes universels d'un domaine quelconque de la forêt Peut être membre de Groupes de domaine local du même domaine Groupes universels et de domaine local d'un domaine quelconque, et de groupes globaux du même domaine Groupes de domaine local et de groupes universels d'un domaine quelconque Peut bénéficier d'autorisations pour Le domaine dans lequel le groupe de domaine local existe Tous les domaines de la forêt Tous les domaines de la forêt
24 Module : Administration d'active Directory Point clé Limitez l'utilisation des groupes universels aux groupes qui sont largement utilisés dans votre entreprise et qui subissent très peu de modifications d'appartenance. Éléments à prendre en considération pour l'utilisation des groupes universels Une liste des membres des groupes universels est tenue dans le catalogue global. Celui-ci contient également les groupes globaux et les groupes de domaine local, mais non la liste de leurs membres. Chaque modification apportée à la liste des membres d'un groupe universel est dupliquée vers tous les serveurs du catalogue global. En réduisant l'utilisation des groupes universels, vous pourrez diminuer la taille du catalogue global, et par conséquent le trafic généré sur le réseau à la suite de la duplication du catalogue global. Pensez à limiter l'appartenance aux groupes universels à d'autres groupes plutôt qu'à des comptes d'utilisateur. Cette procédure vous permet de paramétrer les comptes d'utilisateur qui sont membres du groupe universel en modifiant la liste des membres des groupes qui sont membres du groupe universel. Comme cette procédure n'a pas d'incidence directe sur l'appartenance du groupe universel, aucun trafic lié à la duplication n'est généré. La limitation de l'utilisation des groupes universels peut également vous aider à réduire la taille des jetons d'accès lorsque les ressources se trouvent dans différents domaines. Si vous utilisez des groupes globaux et des groupes de domaine local, les jetons d'accès contiennent ceux qui peuvent être appliqués au domaine dans lequel la ressource existe. Si vous utilisez des groupes universels, les jetons d'accès contiennent une liste de tous les groupes universels dont l'utilisateur fait partie, même si ces groupes ne sont pas utilisés dans ce domaine.
Module : Administration d'active Directory 25 Création de groupes Objectif de la diapositive Montrer la procédure de création de groupes. Introduction Vous pouvez simplifier l'octroi de droits et d'autorisations en regroupant des comptes d'utilisateur dans des groupes. Stratégie de planification de groupe A G DL Affecter des utilisateurs A à des groupes globaux G Affecter des groupes globaux G à des groupes de domaine local DL puis accorder des autorisations P Création d'un groupe dans Active Directory P La création de groupes réduit la charge de travail administratif : les comptes qui requièrent un accès similaire aux ressources du réseau sont regroupés dans un objet unique auquel vous pouvez accorder des droits et des autorisations. Stratégie de planification de groupe Lors de l'utilisation de groupes globaux et de groupes de domaine local, il est recommandé d'opter pour la stratégie suivante : placez les comptes d'utilisateur (A) dans les groupes globaux (G), puis placez les groupes globaux dans les groupes de domaine local (DL) et accordez aux groupes de domaine local des autorisations (P) sur les ressources. Cette stratégie (A G DL P) offre une grande souplesse tout en simplifiant l'octroi d'autorisations d'accès aux ressources du réseau. L'exemple ci-dessous illustre la stratégie A G DL P. Votre réseau est doté de plusieurs groupes globaux qui requièrent les mêmes autorisations d'accès aux ressources du réseau dans un domaine particulier. Si vous placez dans un même groupe de domaine local tous les groupes globaux qui requièrent la même autorisation d'accès, vous pouvez alors accorder les autorisations appropriées pour chaque ressource à ce groupe de domaine local unique, et les comptes d'utilisateur des groupes globaux disposent des autorisations appropriées. Si les autorisations requises sont modifiées sur les ressources, il vous suffit de modifier l'appartenance du groupe de domaine local. De même, si vous avez accordé une autorisation directement aux groupes globaux, vous devez modifier manuellement les autorisations individuelles sur toutes les ressources du réseau.
26 Module : Administration d'active Directory Création d'un groupe dans Active Directory Pour créer un groupe, ouvrez Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l'unité d'organisation ou le conteneur approprié, pointez sur Nouveau, puis cliquez sur Group. Le tableau suivant décrit les options que vous devez renseigner dans la boîte de dialogue Nouvel objet - Group : Option Nom de groupe Nom de groupe (avant l'installation de Windows 2000) Étendue du groupe Type de groupe Description Nom du nouveau groupe. Ce nom doit être unique au sein du conteneur dans lequel vous créez le groupe. Nom du groupe utilisé par les ordinateurs clients exécutant des versions de Windows antérieures à Windows 2000. Ce nom doit être unique dans le domaine. Étendue du groupe. Activez la case d'option Domaine local, Globale ou Universelle. Type de groupe. Activez la case d'option Sécurité ou Distribution. Après avoir créé un groupe, ajoutez des membres. Les membres des groupes peuvent être des comptes d'utilisateur, d'autres groupes et des ordinateurs. Remarque Ajoutez un ordinateur à un groupe pour permettre à cet ordinateur d'accéder à une ressource partagée. Pour ajouter des membres à un groupe, suivez la procédure ci-dessous. 1. Ouvrez Utilisateurs et ordinateurs Active Directory. 2. Cliquez avec le bouton droit sur le groupe auquel vous souhaitez ajouter des membres, cliquez sur Propriétés, sur l'onglet Membres, puis sur Ajouter. 3. Dans la liste Regarder dans, sélectionnez un domaine à partir duquel vous souhaitez afficher des comptes d'utilisateur et des groupes d'utilisateurs. Vous pouvez également sélectionner Tout le répertoire pour afficher des comptes d'utilisateur et des groupes d'utilisateurs à partir d'un emplacement quelconque d'active Directory. 4. Sélectionnez le compte d'utilisateur ou le groupe d'utilisateurs que vous souhaitez ajouter, puis cliquez sur Ajouter. Répétez cette procédure pour tous les autres comptes d'utilisateur ou groupes d'utilisateurs à ajouter. 5. Cliquez sur OK pour ajouter les membres. Conseil Vous pouvez également ajouter un compte d'utilisateur ou un groupe d'utilisateurs à un groupe en utilisant l'onglet Membre de de la boîte de dialogue Propriétés de ce compte d'utilisateur ou de ce groupe. Utilisez cette méthode pour ajouter rapidement le même utilisateur ou groupe à plusieurs groupes.
Module : Administration d'active Directory 27 Modification de groupes Objectif de la diapositive Répertorier les sujets relatifs à la modification du type et de l'étendue de groupe et à la suppression des groupes. Introduction Vous pouvez modifier le type et l'étendue d'un groupe lorsque le domaine fonctionne en mode natif. Modification du type de groupe Transformer le groupe de sécurité en groupe de distribution et inversement Disponible en mode natif Modification de l'étendue de groupe Transformer un groupe local ou de domaine local en groupe universel Disponible en mode natif Suppression d'un groupe Supprimer le groupe sans en supprimer les objets membres Impossible de restaurer un groupe et ses autorisations Vous pouvez non seulement modifier l'appartenance à un groupe et les autorisations accordées à celui-ci, mais également son type et son étendue. Il vous est également possible de supprimer des groupes lorsqu'ils ne sont plus nécessaires. Modification du type de groupe Lorsque le domaine est en mode natif, le type d'un groupe peut être modifié à tout moment. Ainsi, un groupe de sécurité peut être transformé en groupe de distribution et inversement. Vous ne pouvez pas modifier le type d'un groupe lorsque le domaine est en mode mixte. Modifiez le type du groupe dans l'onglet Général de la boîte de dialogue Propriétés du groupe. Modification de l'étendue de groupe À mesure que votre réseau change, vous pouvez avoir besoin de modifier l'étendue d'un groupe. Par exemple, vous pouvez être amené à remplacer un groupe de domaine local par un groupe universel si vous devez accorder des autorisations pour permettre aux utilisateurs d'accéder à des ressources d'autres domaines. La modification de l'étendue d'un groupe n'est possible qu'en mode natif.
28 Module : Administration d'active Directory Modifiez l'étendue d'un groupe dans l'onglet Général de la boîte de dialogue Propriétés du groupe. Vous pouvez effectuer les modifications ci-dessous. Transformation d'un groupe global en groupe universel. Vous pouvez opérer cette modification uniquement si le groupe global que vous souhaitez convertir n'est pas membre d'un autre groupe global. Transformation d'un groupe de domaine local en groupe universel. Vous pouvez opérer cette modification uniquement si le groupe de domaine local que vous souhaitez convertir ne contient pas un autre groupe de domaine local. Important Windows 2000 ne vous permet pas de modifier l'étendue d'un groupe universel, car l'appartenance à tous les autres groupes et l'étendue de tous les autres groupes sont plus restrictives que celles des groupes universels. Suppression d'un groupe Lorsque vous supprimez un groupe, vous ne supprimez que le groupe et les autorisations et droits qui lui sont associés. La suppression d'un groupe n'a pas pour effet de supprimer les comptes d'utilisateur qui sont membres du groupe. Chaque groupe que vous créez possède un identificateur unique, non réutilisable, appelé identificateur de sécurité (SID, Security Identifier). Windows 2000 utilise cet identificateur pour identifier le groupe et les autorisations qui lui sont accordées. Lorsque vous supprimez un groupe, Windows 2000 ne réutilise pas cet identificateur pour ce groupe, même si vous créez un groupe portant le même nom. Par conséquent, vous ne pouvez pas restaurer l'accès aux ressources en recréant le groupe. Pour supprimer un groupe, ouvrez Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le groupe, puis cliquez sur Supprimer.
Module : Administration d'active Directory 29 Gestion de groupes locaux Objectif de la diapositive Montrer la procédure de création des groupes locaux. Introduction Les groupes locaux vous permettent de gérer l'accès aux ressources d'un ordinateur local. Vous ne pouvez créer de groupes locaux que sur des serveurs membres et sur des ordinateurs exécutant Windows 2000 Professionnel. Les utilisateurs individuels créent des groupes locaux pour permettre l'accès aux ressources sur l'ordinateur local lorsqu'aucun groupe de domaine local n'est créé à cet effet. Vous pouvez utiliser des groupes locaux pour accorder des autorisations aux seules ressources de l'ordinateur local. Création de groupes locaux Les règles d'appartenance énumérées ci-dessous s'appliquent aux groupes locaux. Les groupes locaux peuvent contenir des comptes d'utilisateur locaux provenant de l'ordinateur sur lequel vous créez les groupes locaux, ainsi que des groupes globaux et universels d'un domaine quelconque. Les groupes locaux ne peuvent pas être membres d'un autre groupe. Pour créer un groupe local, suivez la procédure ci-dessous. 1. Ouvrez Gestion de l'ordinateur, puis développez Outils système. 2. Développez Utilisateurs et groupes locaux. 3. Cliquez avec le bouton droit sur Groupes, puis cliquez sur Nouveau groupe. 4. Tapez le nom du nouveau groupe. 5. Cliquez sur Ajouter pour ajouter des membres à ce groupe. 6. Cliquez sur Créer, puis sur Fermer.
30 Module : Administration d'active Directory Groupes locaux intégrés Tous les serveurs membres, les serveurs autonomes et les ordinateurs qui exécutent Windows 2000 Professionnel disposent de groupes locaux intégrés. Les groupes locaux intégrés disposent de droits leur permettant d'effectuer des tâches système sur un ordinateur unique, telles que la sauvegarde et la restauration de fichiers, la modification de l'heure du système et l'administration des ressources système. Le tableau ci-dessous décrit les possibilités dont disposent les membres des groupes locaux intégrés les plus utilisés. Sauf mention contraire, ces groupes ne comportent aucun membre à l'origine. Groupe local Administrateurs Opérateurs de sauvegarde Invités Utilisateurs avec pouvoir Duplicateurs Utilisateurs Description Ses membres peuvent effectuer toutes les tâches administratives sur l'ordinateur. Par défaut, le compte Administrateur intégré de l'ordinateur en est membre. Lorsqu'un serveur membre ou un ordinateur exécutant Windows 2000 Professionnel intègre un domaine, Windows 2000 ajoute le groupe Admins du domaine au groupe local Administrateurs. Ses membres peuvent utiliser l'utilitaire Sauvegarde Windows 2000 pour sauvegarder et restaurer les fichiers de l'ordinateur. Ses membres ne peuvent effectuer que les tâches pour lesquelles l'administrateur leur a accordé des droits spécifiques. Par ailleurs, ils ne peuvent accéder qu'aux ressources pour lesquelles l'administrateur leur a accordé des autorisations. Ses membres ne peuvent pas apporter de modifications permanentes à leur environnement de bureau. Par défaut, le compte Invité intégré de l'ordinateur en est membre. Lorsqu'un serveur membre ou un ordinateur exécutant Windows 2000 Professionnel intègre un domaine, Windows 2000 ajoute le groupe Invités du domaine au groupe local Invités. Ses membres peuvent créer et modifier les comptes d'utilisateur locaux de l'ordinateur et partager des ressources. Ce groupe permet à l'utilisateur d'effectuer des tâches administratives système sans pour autant avoir un contrôle complet sur le système. Prend en charge la duplication des fichiers dans un domaine. Ses membres ne peuvent effectuer que les tâches pour lesquelles l'administrateur leur a accordé des droits spécifiques. Par ailleurs, ils ne peuvent accéder qu'aux ressources pour lesquelles l'administrateur leur a affecté des autorisations. Par défaut, Windows 2000 ajoute des comptes d'utilisateur locaux au groupe Utilisateurs. Lorsqu'un serveur membre ou un ordinateur exécutant Windows 2000 Professionnel intègre un domaine, Windows 2000 ajoute le groupe Utilisa. du domaine au groupe local Utilisateurs.
Module : Administration d'active Directory 31 Atelier B : Création de groupes Objectif de la diapositive Présenter l'atelier. Introduction Dans cet atelier, vous allez créer des groupes de sécurité. Conseils pédagogiques Cet atelier comporte quatre diapositives : deux diapositives présentent les graphiques imprimés pour cet atelier, et la diapositive standard de présentation de l'atelier figure une nouvelle fois après ces diapositives de présentation des graphiques. Objectifs À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes : planifier des groupes pour un domaine ; créer des groupes dans un domaine ; ajouter des membres à des groupes. Conditions préalables Avant de poursuivre, vous devez disposer de connaissances dans les domaines suivants : mode d'utilisation d'utilisateurs et ordinateurs Active Directory ; mode d'utilisation des groupes dans Windows 2000. Mise en place de l'atelier Pour réaliser cet atelier, vous devez disposer des éléments suivants : un ordinateur exécutant Windows 2000 Advanced Server, configuré en tant que contrôleur d'un domaine enfant de nwtraders.msft ; le domaine fonctionnant en mode natif. Durée approximative de cet atelier : 15 minutes