De NT4 à Windows 2000 (Actualisation des compétences) Eric Voulot

1 SOMMAIRE Installation de Microsoft Windows 2000... 1 Automatisation des installations à l aide de l assistant Gestion d installation.... 3 Rôle... 3 Création d un fichier de réponses... 3 Automatisation de l installation des contrôleurs de domaine... 3 Automatisation des installations en utilisant la duplication de disques... 3 Etude de la procédure de duplication de disque.... 4 Utilisation de l outil de préparation du système... 4 Implémentation du système DNS dans Windows 2000... 5 Présentation multimédia : Concepts du système DNS... 5 Installation du service serveur DNS... 5 Configuration des propriétés de transfert de zone... 7 Configuration de la notification DNS... 7 Configuration de zones intégrés Active Directory... 7 Création de zones intégrées à Active Directory.... 7 Configuration de zone pour les mises à jour dynamiques... 8 Test du service Serveur DNS... 8 Installation d Active Directory... 9 Définition d Active Directory... 9 Topologies prises en charge par Active Directory... 9 Convention de dénomination Active Directory... 9 CN=David Dubois,CN=Users,DC=contoso,DC=msft... 9 Active directory et système DNS... 10 Présentation multimédia : Concepts d ADS de Windows 2000... 10 Structure Logique... 10 Domaines... 11 Limite de sécurité... 11 Unité de duplication... 11 Modes des domaines... 11 Unités d organisation... 12 Hiérarchie des unités d organisation... 12 Unités d organisation et modèle à domaine unique... 12 Arborescences et forêts... 13 Arborescences... 13 Forêts... 13 Relations d approbation... 13 Schéma... 14 Structure physique... 15 Sites... 15 Contrôleurs de domaine... 16 Rôle des contrôleurs spécifiques... 16 Serveur de catalogue global... 17 Opérations principales simples... 17 Maître de schéma... 18 Maître de dénomination de domaine... 18 Maître d identificateur relatif... 18 Emulateur de contrôleur principal de domaine... 18 Maître d infrastructure... 18 Installation d Active Directory... 18 Préparation de l installation d Active Directory... 18 Configuration requise... 18 Options d installation... 19

2 Vérification des enregistrements de ressource SRV... 19 Vérification de l inscription des enregistrements de ressources SRV... 19 Vérification de la promotion du serveur... 20 Gestion des opérations principales simples... 20 Rappels... 20 Saisie des opérations simples... 20 Utilisation du compte administrateur... 21 Création de la structure physique d Active Directory... 22 Etude de la structure physique d Active Directory... 22 Sites Active Directory... 22 Sous-réseaux... 22 Appartenance à un site... 22 Nom par défaut du premier site... 22 Composants de duplication... 23 Objet serveur... 23 Objet NTDS Settings... 23 Objet Connexion... 23 Comparaison des duplications intrasite et intersite... 24 Duplication intra-site... 24 Duplication inter-site... 24 Protocoles de duplication... 24 Duplication intra-site... 24 Duplication Inter-site... 24 Liaison de sites... 25 Liens de sites... 25 Coût... 25 Intervalle... 25 Calendrier... 25 Ponts entre liens de site... 25 Implémentation de la structure physique d Active Directory... 26 Création d un site... 26 Création de sous-réseaux... 27 Création de ponts entre des liens de site... 28 Création d un serveur de catalogue global... 29 Surveillance du trafic de duplication... 29 Surveillance du trafic à l aide de la console de performances... 29 Surveillance du trafic de duplication à l aide de Replication Monitor... 30 Administration d Active Directory... 30 Création et gestion d objets Active Directory... 30 Création d Unités d Organisation... 31 Création, emplacement des comptes d utilisateurs et d ordinateurs... 31 Déplacement et recherche d objets... 32 Gestion de groupes... 32 Types de groupes... 32 Objectif des types de groupes... 32 Etendues de groupe... 33 Eléments à prendre en considération pour l utilisation de groupes universels... 33 Stratégie de planification de groupe... 34 Modification de groupes... 34 Contrôle de l accès aux objets Active Directory... 34 Autorisations Active Directory... 35 Règles sur les autorisations... 35 Modification de la propriété des objets... 35 Ajout d attributs d objet dans le catalogue global... 35

3 Délégation du contrôle administratif des objets Active Directory... 35 Utilisation de l assistant de délégation de contrôle... 35 Création d outils d administration personnalisés... 36 Création de listes de tâches... 36 Mise à niveau d un réseau vers Windows 2000... 37 Vue d ensemble... 37 Mise à niveau des systèmes d exploitation d ordinateurs clients... 37 Identification des procédures de mise à niveau des ordinateurs clients... 37 Génération d un rapport de compatibilité matérielle... 37 Installation du service d annuaire pour les clients Windows 9X...38 Mise à niveau des serveurs membres... 38 Définition de la racine de la forêt... 38 Mettre à niveau un domaine NT 4.0 vers la racine de la forêt Windows 2000... 39 Migration d objets vers Active Directory... 39 Création d une racine de forêt... 40 Mise à niveau des contrôleurs principaux de domaine...41 Préparation des contrôleurs de domaine... 41 Procédure de mise à niveau du CPD... 41 Mise à niveau des CSD... 41 Passage du mode mixte au mode natif... 42 Comparaison entre les modes... 42 Déploiement de Windows 2000 Professionnel à l aide des services d installation à distance... 43 Examen des services d installation à distance... 43 Installation d un serveur RIS... 43 Configuration et démarrage des services RIS... 43 Autorisation du serveur RIS et des comptes utilisateurs... 44 Configuration des options d installation à distance... 44 Noms des ordinateurs clients... 44 Pré-configuration des ordinateurs clients... 45 Déploiement d images à l aide des services RIS... 46 Création d une disquette de démarrage RIS... 46 Création d une image RIPrep... 47 Installation d un ordinateur source... 47 Création d une image à l aide de l assistant Préparation de l installation à distance... 48 Comparaison des images de CD-Rom et des images RIPrep... 49 Gestion des environnements d ordinateurs à l aide de Stratégie de groupe... 50 Présentation de la console Stratégie de Groupe... 50 Paramètres de stratégie de groupe... 50 Application d une stratégie de groupe... 51 Héritage de la stratégie de groupe dans Active Directory... 51 Ordre d héritage... 51 Résolution des Conflits... 51 Traitement des objets stratégie de groupe... 52 Création d un objet stratégie de groupe... 52 Configuration du registre à l aide de la console stratégie de groupe... 53 Gestion des logiciels à l aide de la console stratégie de groupe... 54 Etude des technologies de gestion de logiciels... 54 Windows Installer... 54 Installation et maintenance des logiciels... 54 Examen du cycle de vie des logiciels... 55

4 Déploiement de logiciels... 55 Attribution de logiciels... 56 Attribution à un utilisateur... 56 Attribution à un ordinateur... 56 Publication de logiciels... 56 Ajout/Suppression de programmes... 56 Appel de document... 56 Re-conditionnement d applications... 57 Publication de lots autres que Windows Installer... 57 Utilisation des modifications de logiciel... 58 Mise à niveau de logiciels... 58 Déploiement d une mise à niveau obligatoire... 58 Déploiement d une mise à niveau facultative... 59 Gestion des logiciels... 60 Association d extension de fichier à des application... 60 Création de catégories de logiciels... 61 Installation et configuration des services Terminal Serveur... 62 Présentation des services Terminal Serveur... 62 Fonctionnement des services Terminal Serveur... 62 Fonctionnalités et avantages... 62 Identification de la configuration matérielle requise pour les ordinateurs clients... 63 Détermination de la configuration du serveur... 63 Identification du serveur de licences et des licences client... 63 Licences serveur... 64 Licences client... 64 Installation des services Terminal Serveur et du logiciel client des services Terminal Serveur... 64 Installation du logiciel client des services Terminal Server... 65 Configuration des services Terminal Server pour des ordinateurs clients... 66 Configuration de l accès des utilisateurs... 66 Fin d une session Terminal server... 66 Etude des options d installation... 67 Utilisation des scripts de compatibilité des applications... 67 Configuration de l accès distant... 68 Etude de nouveaux protocoles... 68 Protocole EAP... 68 Service RADIUS... 68 Protocole L2TP... 69 Protocole BAP... 69 Configuration des connexions sortantes... 70 Création d'une connexion d'accès a distance... 70 Connexion à un VPN... 71 Configuration des connexions entrantes... 71 Configuration d un serveur de VPN... 72 Examen des stratégies d accès distant... 73 Evaluation des stratégies d accès distant... 73 Examen des stratégies par défaut et des stratégies multiples... 74 Création d une stratégie d accès distant... 74 Configuration des paramètres d appel entrant d un utilisateur... 74 Configuration d une stratégie d accès distant... 74 Configuration des paramètres d un profil d accès distant... 75 Proposer... 75

5 Examen du routage à la demande... 75 Configuration d un routeur de connexion à la demande... 75 Création d une interface de connexion à la demande... 76 Configuration d itinéraires IP statiques... 76 Implémentation du partage de connexion... 76 Examen du rôle du partage de connexion... 76 Sécurisation de Windows 2000... 77 Sécurisation des ordinateurs et des services à l aide d une stratégie de groupe... 77 Implémentation d une stratégie de sécurité... 77 Ordre d application des paramètres de stratégie... 77 Modification des paramètres de sécurité... 78 Utilisation de modèles de sécurité prédéfinis... 78 Création de modèles de sécurité... 79 Analyse de le sécurité... 79 Configuration et analyse de la sécurité à partir de la ligne de commande... 80 Sécurisation du trafic réseau à l aide du protocole IPSec... 80 Définition du rôle du protocole IPSec dans un réseau... 80 Rôle du protocole IPSec dans la prévention des attaques de sécurité... 81 Fonctionnalités de sécurité IPSec... 81 Examen du processus IPSec... 81 Configuration des stratégies IPSec... 82 Identification des composants des règles de stratégie... 82 Sécurisation des fichiers à l aide du système EFS... 83 Cryptage d un dossier ou d un fichier... 83 Décryptage d'un dossier ou d'un fichier... 83 Utilisation de Cipher.exe... 83 Récupération des fichiers cryptés... 84 Prise en charge du protocole DHCP et du service WINS... 85 Nouvelles fonctionnalités DHCP... 85 Autorisation d un serveur DHCP dans Active Directory... 85 Examen de la mise à jour dynamique des serveurs DNS... 86 Configuration d étendues DHCP dans Windows 2000... 86 Configuration d une étendue globale... 87 Configuration d une étendue de multidiffusion... 88 Examen des classes d option... 89 Examen de l adressage IP privé automatique... 89 Désactivation de l adressage IP privé automatique... 90 Nouvelles fonctionnalités WINS... 90 Fonctionnalités du serveur WINS... 90 Fonctionnalités des clients WINS... 90 Gestion des ressources disque... 91 Partage et publication de ressources disque... 91 Partage des dossiers... 91 Publication de dossiers dans la console Utilisateurs et ordinateurs Active Directory... 92 Implémentation de la fonctionnalité Fichier hors connexion... 93 Création d un système DFS... 93 Définition du système DFS... 93 Configuration d une racine DFS... 94 Configuration d une racine DFS autonome... 94 Configuration d une racine DFS de domaine... 94 Configuration de liaisons DFS... 95

6 Etude des autorisations NTFS... 95 Définition des autorisations NTFS spéciales... 95 Attribution d autorisations NTFS spéciales... 96 Gestion de l héritage des autorisations... 96 Gestion des quotas de disque... 97 Utilisation des quotas de disque... 97 Configuration des quotas de disque... 97 Surveillance des quotas de disque... 98 Gestion des disques... 99 GLOSSAIRE... 100

1 MS 224 Tout au long du document, les symboles ci-dessous représentent : Point(s) important(s) Remarque(s) Installation de Microsoft Windows 2000 Plate-forme Windows 2000 Système d exploitation Windows 2000 PRO Description Remplace 95, 98 et NT 4 processeurs maxi, 4 Go maxi Windows 2000 Serveur Fonctionnalité 2000 PRO et idéale pour : - groupe de travail - serveur fichier, web, imp., groupe de travail 8 processeurs Windows 2000 Advanced Serveur 2000 Serveur + - meilleure disponibilité du système - grande entreprise - SGBD 64 Go 32 processeurs 2000 Datacenter Idem Advenced serveur + Gère plus de RAM et de processeurs Windows 2000 PRO : Fonctionnalité : - gestionnaire de synchronisation : compare les éléments du réseau avec cause de hors connexion. - Protocole IPP (Internet Printing Protocol) : permet d imprimer et d installer les pilotes via un Intranet ou Internet. - Plug and play - Protocole kerberos version 5 : protocole de sécurité des réseaux windows 2000 - Encrypting file system : crypte les fichiers sur disque dur - Internet protocol Security : crypte le traffic TCP/IP - Service secondaire d ouverture de cession - Assistant de gestion d installation - Microsoft Windows Installer

1 Préparation de l installation Configuration minimale 2000 PRO 2000 SERVEUR pentium 133 pentium 133 64 Mo 256 Mo HD 2 Go 1Go libr HD 2 Go 1Go libre Windows 2000 prend en charge la FAT 32. Pour intégrer un domaine, les conditions ci-dessous sont requises : - un nom de domaine valide vis-à-vis du DNS (cross-systems.com) - un compte d ordinateur - un DC et un ordinateur exécutant le DNS du domaine Installation de Windows 2000 sur un réseau : NB : les portions d installation (locale) peuvent être en FAT ou NTFS! Attention : Windows 2000 ne crée pas de disquettes d installation.

2 Commutateur pour l installation Winnt Winnt 32 Commentaires /a Active les options d accessibilité /e : commande /cmd : commande Exécute une commande avant la phase finale de l installation. /i : fichier-info Indique le nom (pas le chemin d accès) du fichier d informations du programme d installation. Par défaut : dosnet.inf /r : dossier /copydir : dossier Crée un sous dossier dans le dossier système Root (utile par exemple pour placer ses propres pilotes). On peut en créer autant que l on veut. /rx : dossier /copysource : dossier Crée un sous-dossier (supprimé après l installation) /s : chemin source /s : chemin source Indique l emplacement des fichiers d installation de W 2000. /t : lecteur-temp /tempdrive : lecteur Indique au lecteur pour les fichiers d installation temporaire /u : fichier-reponses /uncehand : nombre : fichiers Réalise une installation sans assistance à l aide d un ou des fichiers réponses (NT 32) /cmd cons /debugniveau : fichier Installe les fichiers nécessaires à la réparation et à la récupération Crée un fichier de débug au niveau spécifié /syspart : lecteur /udf : id, fichier-udf Crée les fichiers d installation sur un lecteur que l on peut modifier. A utiliser avec un tempdrive Effectue l installation avec un fichier de base de données d unicité

3 Automatisation des installations à l aide de l assistant Gestion d installation. Rôle Cet outil permet de créer, modifier facilement des scripts permettant de procéder à des installations personnalisées sur des stations de tytravail ou des serveurs. Avantages : - Créer des fichiers réponses et.udf. - Simplifie l inclusion de scripts d installation d applications dans le fichier réponse. - Crée le dossier de distribution Il se lance par setupmgr.exe Création d un fichier de réponses Unattend.txt : Pour l installation de Windows 2000 pro ou serveur. Remboot.sif : Pour l utilisation avec des service Remote Installation Services (voire module 7). Sysprep.inf : Pour l utilisation avec l outils de préparation du système. Si Windows 2000 est installé à partir d un CD Rom, le préciser dans la page du dossier de distribution et enregistrer le fichier sous Winnt.sif car ce sera celui recherché par winnt.exe. Automatisation de l installation des contrôleurs de domaine. Contrairement à NT4, il est possible de passer un serveur membre en contrôleur de domaine et vice-versa et ce grâce à la commande DCPROMO Réalisez l installation en tant que serveur membre. Executer la commande dcpromo/answer :<fichier_reponse> après l installation. Spécifier des options supplémentaires dans la section [DCInstall] du fichier de réponses Dcpromo. Pour plus d info voir le fichier unattend.txt dans le dossier I386 du CD-Rom de Windows 2000. Automatisation des installations en utilisant la duplication de disques. Permet de déployer rapidement Windows 2000 (configuration identique) en créant une image disque d une installation. Sysprep.exe est l utilitaire qui permet de réaliser cela!

4 Etude de la procédure de duplication de disque. La copie d image s effectue avec l outil d un autre fabriquant que Microsoft. La taille des disques dur des ordinateurs de destination doit être supérieur ou égal à celle des disques dur de l ordinateur source. Sans la présence d un fichier sysprep.ind, le mini programme invite l Sans la présence d un fichier sysprep.inf, le mini programme invite l utilisateur à entrer des variables (nom d ordinateur, d utilisateur..). Utilisation de l outil de préparation du système Cet outil génère des informations propre à l ordinateur de test. Grâce à des commutateurs, il est possible de personnaliser le fonctionnement de sysprep.exe. Commutateur -quiet -pnp -reboot -nosidgen Description Exécution sans intervention de l utilisateur. Force le programme d installation à détecter les périphériques Plug-and-Play des ordinateurs de destination Redémarre l ordinateur. Ne génère pas de nouveaux identificateur SID sur les ordinateurs de destination. Utile si l on n a pas l intention de dupliquer l ordinateur sur lequel on exécute sysprep ou dans le cadre d une préinstallation des contrôleurs de domaine.

5 Implémentation du système DNS dans Windows 2000 Nouvelles fonctionnalités : Transfert de zone incrémentielle. Intégration à Active Directory. Prise en charge des mises à jour dynamique. Assistants de configuration Présentation multimédia : Concepts du système DNS Décompressez ses fichiers et lancez PBSG_DNS.HTM Dns.zip Installation du service serveur DNS Pour garantir le bon fonctionnement dads et du logiciel client qui lui est associé, il faut d abord installer et configurer un serveur DNS. Si vous l installez en même temps qu ADS, il faudra créer manuellement une zone de recherche inversée, puis affecter à l attribut de zone la valeur Autoriser les mise à jour dynamique après l installation. L installation de DNS génère trois fichiers dont le rôle est : Type de fichier Domaine.dns z.y.x.w.in-addr.arpa Cache.dns Boot Description Fichier de base dedonnées de zone utilisé pour traduire des noms d hôte en adresse IP pour une zone donnée. Fichier de recherche inversé utilisé pour traduire des adresses IP en noms d hôte. Fichier cache qui contient les informations de l hôte nécessaires à la résolution des noms en dehors des domaines faisant autorité. Le fichier par défaut contient des enregistrements pour l ensemble des serveurs racine présents sur internet. Fichier qui contrôle le mode de démarrage du service Serveur DNS. Dans Windows 2000, ce fichier est facultatif car les paramètres sont stockés dan,s le registre. Configuration des zones dans Windows 2000 Une zone est une partie de l espace de nom de domaine définie par les enregistrements de ressources stockées dans un fichier de base de données de zone. Le transfert de zone est le processus de duplication d un fichier de base de données de zone vers plusieurs serveurs DNS. Windows 2000 prend en charge le transfert de zone incrémentiel et intégral. Il est possible de créer des zones par le biaid d ADS, ce sont des zones principales. Dans ce cas, elles sont dupliquées perndant la duplication d ADS et non au cours des transfert de zones. Configuration des transferts de zone Le transfert de zone copie les informations du fichier de base de données du serveur maître vers un serveur secondaire. Types de transfert de zone :

6 série. AXFR (intégrale), à expiration de l intervalle sur le secondaire, il y a alors comparaison des numéro de IXFR (incrémentielle), méthode utilisant également les numéros de série.

7 Lancement du transfert de zone Se déclenche lorsque : - Un serveur maître informe le(s) secondaire(s). - Le secondaire envoie une requête au primaire pour savoir si des modifications ont «té apportées. - Au lancement du service DNS sur le secondaire ou lorsque l intervalle (paramétrable) expire. Configuration des propriétés de transfert de zone Se fait en modifiant les propriétés de l enregistrement SOA d une zone donnée soit : Numéro de série. Intervalle d actualisation. Intervalle avant nouvelle tentative. Expire après. Durée de vie minimale. Configuration de la notification DNS Modifier les propriétés de la zone (onglet transfert de zone) en spécifiant l(s) serveur(s) secondaires. Configuration de zones intégrés Active Directory Les zones intégrées à Active Directory ne peuvent être crées que sur des serveurs DNS configurés pour exécuter le protocole de mise à jour dynamique DNS. Création de zones intégrées à Active Directory. Lorsque vous créez une zone de recherche directe, l assistant cré les enregistrements de resource de nom de ressource (NS) et de nom de serveur (Name Server), puis les duplique vers l ensemble des contrôleurs du domaine.

8 Configuration de zone pour les mises à jour dynamiques Protocole de mise à jour dynamique DNS Pour activer les mise à jour dynamique, le client et la zone doivent être configurer pour! Test du service Serveur DNS Surveillance : Modifiez les propriétés du serveur DNS (onglet Analyse). Il existe deux type de requêtes lors des tests : Simple qui consiste en une requête locale. Récursive qui consiste à envoyer un requête récursive à un autre serveur DNS. L une et l autre peuvent être effectuées en un seul test. Utilisation de Nslookup : Syntaxe : Nslookup [-option] [ordinateur_recherché] [ -serveur] Syntaxe Description [-option] Utilisez? pour obtenir la liste des options. [ordinateur_recherché] Entrez une IP et le résultat sera un nom d hôte et vice versa. [ -serveur] Nom du serveur DNS à utiliser pour résoudre la requête. Par défaut celui configuré dans la configuration IP du poste sera utilisé.

9 Installation d Active Directory Présentation d Active Directory Active Directory fournit la structure nécessaire pour organiser, gérer et contrôler les ressources réseau. Définition d Active Directory ADS est un service réseau qui contient des informations sur les informations réseau et les rend accessible aux utilisateurs et aux applications. Topologies prises en charge par Active Directory DHCP DNS SNTP LDAP LDIF Kerberos X.509 TCP/IP Convention de dénomination Active Directory CN=David Dubois,CN=Users,DC=contoso,DC=msft David Dubois => Nom complet relatif. Le nom principal d utilisateur (UPN) est composé du nom d ouverture de session et du nom du domaine dans lequel il se trouve soit David Dubois@contoso.msft.

10 Active directory et système DNS Active directory utilise DNS pour pour servir les trois fonctions suivante : Résolution des noms. Définition d espace de noms. Localisation des composants physiques d Active Directory. Présentation multimédia : Concepts d ADS de Windows 2000 Concet ads.zip Structure Logique Il est important de comprendre la fonction des composants logiques de la structure d Active Directory pour réaliser les taches telles que planification, installation, configuration et dépannage d Active Directory.

11 Domaines Domaine : - Unité fondamentale de la structure logique d Active Directory. - Ensemble d ordinaateurs qui partagent une même base de donnée d annuaire. Limite de sécurité Le domaine sert de limite de sécurité. L administrateur dispose de base des droits d administration au sein de ce domaine. Chaque domaine dispose de ses propres stratégies et relations de sécurité avec les autres domaines. Unité de duplication Le domaine est l unité de duplication. Chaque contrôleur contient une copie de toutes lis informations de l annuaire du domaine. Chaque contrôleur est susceptible de recevoir des modifications de l annuaire et de les dupliquer vers les autres DC du domaine. Modes des domaines Par défaut un domaine est en mode mixte. Si tous les DC fonctionnent sous Windows 2000, ont peu alors le passer en mode natif. Certaines fonctionnalités d ADS ne sont applicables qu en mode natif comme : l imbrication de groupes l utilisation de groupes locaux de domaine sur des serveurs membres la création de groupes universels de sécurité. Un domaine peut être convertit en mode natif quel que soit le mode des autres domaines de la forêt. Le passage du mode mixte au mode natif est unidirectionnel.

12 Unités d organisation Hiérarchie des unités d organisation Consiste à regrouper des objets en une hiérarchie logique correspondant aux besoin de l entreprise comme : Structure organisationnelle reposant sur des services ou des limites géographiques. Modèle d administration reposant sur des responsabilités administratives (administrateur des users / administrateur des machines). Unités d organisation et modèle à domaine unique Du fait qu Active Directory peut gérer des millions d objets, il est possible de regrouper plusieurs domaines en un seul ce qui simplifie l administration et les règles de sécurité. L on utilisera alors les unités d organisation pour gérer les objets. Les objets si nécessaires pourront être facilement déplacés d une OU vers une autre!

13 Arborescences et forêts Le premier domaine Windows 2000 que l on cré est le domaine racine de la forêt qui contient la configuration et le schéma de la forêt. Raisons justifiants la création de plusieurs domaines : Des contraintes différentes en matières de mot de passe, selon les organisations. Un grand nombre d objets. Des noms de domaines Internet différents. Un meilleur contrôle de la duplication. L administration décentralisé du réseau. Arborescences Une arborescence est une organisation hiérarchique de domaines Windows 2000 partageant un espace de nom contigu. Forêts Une forêt est un regroupement d arborescences ne partageant pas un espace de nom contigu. Le fait d ajouter un nouveau domaine active directory en tant que nouvelle arborescence d une forêt existante permet de partager des ressources et des fonctions administratives! Relations d approbation Active Directory prend en charge les relations d approbation non transitives unidirectionnelles et transitives bidirectionnelles.

14 Schéma Le schéma d active directory contient les définitions (classes et attributs) de tous les objets. Les attributs ne sont définis qu une fois et peuvent être affectés à plusieurs objets. Un seul schéma pour l ensemble de la forêt. Le schéma est stocké dans une base de donnée ce qui signifie : Il peut être mis à la disposition des applications utilisateurs ; Il peut être mis à jour dynamiquement ; Il peut utiliser des listes de contrôle d accès discrétionnaires (DACL) pour protéger l ensemble des classes et des attributs. Le schéma est stocké dans une partition d annuaire (unité de duplication) d active directory. Il est stocké sous forme de base de donnée dans le fichier NTDS.DIT

15 Structure physique Dans active directory, la structure logique est séparée de la structure physique. Leur rôle sont différents : Structure logique :organiser les ressources réseau. Structure physique :configurer et gérer le trafic réseau, elle définit le lieu et le moment où est géré le trafic lié à la duplication et aux ouvertures de sessions. Sites Définir des sites permet de configurer l accès à Active Directory et la topologie de duplication de telle manière que Windows 2000 exploite les liaisons les plus rapide et planifie au mieux le trafic de duplication et d ouverture de session. Ce qui justifie la création de sites : Optimiser le trafic lié à la duplication. Permettre de se connecter au DC en utilisant une liaison rapide fiable.

16 Le site représente une représentation physique du réseau alors que les domaines en sont la représentation logique. De ce fait : Aucune corrélation n est nécessaire entre structure physique et logique. Active directory autorise plusieurs domaines dans un même site, ainsi que plusieurs sites dans un domaine. Aucune corrélation n est nécessaire entre les espace de nom des sites et des domaines. Contrôleurs de domaine Définition : Un contrôleur de domaine est un ordinateur Windows 2000 qui stocke un réplica de l annuaire. Un domaine peut avoir un ou plusieurs contrôleurs selon la taille de l entreprise. Active Directory utilise la duplication à plusieurs maîtres. A un instant t donné, le contenu de l annuaire peut être différent d un DC à un autre jusqu à ce que la duplication soit totalement terminée! Rôle des contrôleurs spécifiques Lors de la duplication certaines modifications sont irréalisables du fait du trafic généré et des conflits potentiels. C est pourquoi des rôles spéciaux sont confiés à des contrôleurs de domaines spécifiques.

17 Serveur de catalogue global Le catalogue global contient les informations nécessaires pour déterminer l emplacement de tout objet figurant dans l annuaire. Le premier serveur créé dans AD est un serveur de catalogue global. Il est possible d en configurer d autres pour répartir le trafic lié à l authentification des ouvertures de sessions et aux requêtes! Rôles du catalogue global : Ouvrir une session sur le réseau en fournissant à un contrôleur de domaine des informations sur l adhésion à un groupe universel lorsqu un processus d ouverture de session est lancé. Il permet à un utilisateur de trouver des informations d annuaire dans la forêt entière quel que soit l emplacement des données. Nota bene : Dans un réseau à un seul domaine, aucun serveur de catalogue global n est requis car chaque contrôleur de domaine contient les informations nécessaires pour authentifier un utilisateur. Opérations principales simples Un maître d opération est un contrôleur de domaine auquel ont été affectés une ou plusieurs opération simples dans un domaine ou une forêt. Ces opérations ne sont pas autorisées sur différents DC du réseau. Ces opérations au nombre de cinq sont : Maître de schéma. Maître de dénomination de domaine. Emulateur de PDC. Maître d infrastructure. Chaque forêt doit disposer de contrôleurs de domaine qui remplissent deux des cinq opérations simples soit : Maître de schéma. Maître de dénomination de domaine.

18 Chaque domaine AD doit disposer de contrôleurs de domaine qui remplissent trois des cinq opérations simples soit : Maître d identificateur relatif (RID) Emulateur de PDC. Maître d infrastructure. Maître de schéma Il contrôle les mise à jour et les modifications apportées au schéma. Pour pouvoir mettre à jour le schéma d une forêt, il faut avoir accès au maître de schéma. Maître de dénomination de domaine Il contrôle l ajout ou la suppression de domaine dans la forêt. Maître d identificateur relatif Il alloue des séquences d identificateurs relatif à chacun des différents CD au sein de son propre domaine. Emulateur de contrôleur principal de domaine Si il y a sur le domaine des clients non Windows 2000, il joue le rôle d un PDC NT 4.0 répondant aux demande de ses clients et dupliquant les mise à jour vers les BDC NT 4.0. En mode natif, il reçoit un duplication préférentielle des mots de passe effectués par d autres DC. Du fait que la duplication peut être longue, en cas de mot de passe erroné, le DC transmet la demande d authentification à l émulateur de PDC. Maître d infrastructure Il es responsable des mise à jour des groupes lorsque leur contenu est modifié. Installation d Active Directory L installation d active directory permet d installer : Une nouvelle forêt, à savoir le domaine racine et le premier contrôleur de domaine. Un DC supplémentaire dans un domaine existant. Un nouveau domaine enfant et son DC dans une arborescence existante. Une nouvelle arborescence et son DC dans une forêt existante. Préparation de l installation d Active Directory Configuration requise Windows 2000 serveur. Une partition ou un volume au format NTFS. Un espace disque suffisant pour l annuaire (1 Go recommandé). Un serveur DNS prenant en charge les enregistrements de ressources ainsi que le protocole de mise à jour dynamique DNS (facultatif).

19 Options d installation Ces options sont présentées dans le schéma ci-dessous : Le résultat des étapes de l installation d AD son enregistrées dans un fichier log qui se situe dans le dossier racine_système\debug. L installation d Active Directory ajoute les consoles d administration (MMC) suivantes : Domaines et approbation : o Administration des approbations entres domaines. o Gestion des suffixes de nom principal d utilisateur. o Changement du mode de fonctionnement des domaines. Sites et services : o Administration de la duplication des données soit : - Information relatives aux DC, sites, duplication inter-sites, services réseau. Utilisateurs et ordinateurs : o Administration et publication des informations dans l annuaire. Vérification des enregistrements de ressource SRV Pour cela à l issue de l installation vérifier le contenu du fichier systemroot%\system32\config\netlogon.dns qui doit contenir un enregistrement SRV du type : ldap.tcp.nom_domaine_active_directory IN SRV 0 100 389 nom_contrôleur_domaine Vérification de l inscription des enregistrements de ressources SRV Pour cela, à l invite de commande tapez : NSLOOKUP Ls t SRV nom_domaine La liste des enregistrements doit alors être répertoriée.

20 Vérification de la promotion du serveur Pour cela s assurer que les éléments ci-dessous sont présents : Base de donnée qui se situe par défaut dans racine_système\ntds Volume sydtème partagé qui se situe dans racine_système\sysvol qui contient les scripts liés à la stratégie de groupe. Nom par défaut du premier site qui se nomme Premier-site-par-Defaut et contient le premier DC. Serveur de catalogue global Domaine racine Conteneurs par défaut crées avec le premier domaine o Builtin qui contient les groupes de sécurité par défaut. o Computers qui constitue l emplacement par défaut des objets ordinateurs du domaine. o Users qui constitue l emplacement par défaut des objets utilisateurs du domaine. Unité d organisation par défaut des DC Gestion des opérations principales simples Rappels Le premier DC créé contient tous les rôles d opérations principales (voir page 17) de la forêt et le domaine racine par défaut. Le premier DC créé dans un domaine enfant contient les rôles de o Maître d identificateur relatif. o Maître d infrastructure pour ce domaine par défaut. Si un des DC remplissant un des rôles devait être déconnecté, il faudrait au préalable les transférer avec l outil approprié désigné dans le tableau ci-dessous. Pour transférer ce maître d opération Maître de dénomination de domaine Maître de schéma Maître d identificateur relatif Emulateur de PDC Maître d infrastructure Ouvrez Domaines et approbation Active Directory Schéma Active Directory Utilisateurs et ordinateurs Active Directory Saisie des opérations simples La saisie du rôle du maître de RID, du maître de dénomination de domaine ou de schéma ne doit être envisagée que si le maître d opération actuel ne sera plus jamais utilisé!

21 Pour saisir un rôle d opération simple la procédure est la suivante dans une fenêtre d invite : Ntdsutil roles A l invite de maintenance fsmo, tapez connections A l invite de connexion du serveur, tapez connect to server [nom_du_serveur] 1 A l invite de maintenance fsmo, tapez une des commandes suivantes : o Seize domain naming master o Seize schema master Seize o Seize RID master o Seize PDC o Seize infrastructure master A l invite de commande fsmo, tapez quit A l invite ndsutil, tapez quit Utilisation du compte administrateur L utilisation de Windows 2000 en tant qu administrateur rend l OS vulnérable aux virus de type cheval de trois. Pour palier en autre à cela, il est possible d exécuter un programme en tant qu administrateur de deux façons : Soit en utilisant la commande runas Soit en maintenant la touche «Maj»enfoncée et en faisant un clique droit sur l icône approprriée. Il sera alors possible de saisir un compte utilisateur et un mot de passe. 1 Le nom du serveur est celui qui va saisir le rôle d opération principales simples.

22 Création de la structure physique d Active Directory Etude de la structure physique d Active Directory La structure physique d Active directory détermine quand et comment les duplications intra et inter-sites se produisent. Cela affecte les performances du réseau. Sites Active Directory Les sites AD permettent de contrôler le trafic lié à la duplication d AD, ainsi que la localisation des DC en réponse à une ouverture de session. Sous-réseaux Dans Active Directory, un site est défini comme étant un ou plusieurs sous-réseaux bien connectés. Lors de la création d un site il faut indiquer le ou les sous réseaux qui lui sont associés. Un sous réseau ne pouvant appartenir qu a un seul site. Appartenance à un site Elle est déterminée différemment pour un poste de travail que pour un DC. Dans le premier cas c est l adresse IP qui la déterminera. Pour un DC, c est au cours de l installation d AD et il reste constant. Nom par défaut du premier site Il se nomme Premier-Site-par-Defaut (nom que l on peut changer). Le site initial contient tous les sous-réseaux IP par défaut.

23 Composants de duplication Le processus nommé KCC permet d accomplir automatiquement la duplication entre DC, permettant ainsi de garantir que la duplication c est faite dans son intégralité. Il est toutefois possible de configurer manuellement ces connexions si elles ne correspondent pas à celles souhaitées. Objet serveur Enfant de l objet Site, il permet de gérer le DC dans le contexte de la duplication et de la gestion des sites. Si lors de la création de l objet serveur, l objet site n existait pas, il faudra alors procéder ultérieurement à un déplacement de l objet serveur. Objet NTDS Settings Enfant de l objet serveur, il est un conteneur de tous les objets de connexions de cet objet serveur. Objet Connexion Il s agit d un chemin de duplication unidirectionnel entre deux objets serveur. Deux DC liés par un objet de connexion sont appelés partenaires de duplication. Deux façons de créer des objets de connexion : Automatiquement lorsque le KCC s exécute sur le DC de destination. Manuellement par un administrateur.

24 Comparaison des duplications intrasite et intersite Il existe des différences importantes entre ces deux modes de duplication qu il faut comprendre afin de mettre en place une structure physique efficace! Duplication intra-site Processus de notification des modifications configurable (5 minutes par défaut). Si au bout d un certain temps configurable également (1 heure par défaut) aucune modification ne se produit, le DC déclenche une séquence de duplication afin de garantir qu aucun changement n a été oublié. Traffic non compressé puisque la bande passante est censé être rapide. Duplication urgente concernant les mises à jour (au sein d un site) sensibles en terme de sécurité à savoir : o Duplication du compte récemment verrouillé. o Modification d un secret LSA. o Modification de l état maître d un identificateur RID, uniquement entre DC sous Windows 2000. o Mot de passe d approbation inter-domaines (uniquement entre l émulateur de PDC et les CSD). Duplication inter-site Conçue sur le principe de base que les connexions inter-sites ne sont pas fiables d où : Planification de la duplication définie par des valeurs configurables (calendrier «quand?», intervalle «fréquences»). Trafic compressé (10 à 15% de la taille d origine) afin d optimiser la bande passante ce qui a pour effet d accroître la change CPU du DC. Protocoles de duplication Un seul protocole sur un site donné alors qu il faut préciser le protocole à utiliser pour une duplication inter-site. Duplication intra-site Utilise un appel de procédure distante RPC par l intermédiaire de IP qui assure une connexion uniforme à grande vitesse. Duplication Inter-site Il faut alors choisir entre RPC ou le protocole SMTP. La condition pour utiliser SMTP est que les DC doivent se trouver dans différents domaines et différents sites!

25 Liaison de sites Deux objets permettent d optimiser la duplication inter-site, il s agit de : Les liens de sites. Les ponts entre les liens de sites. Liens de sites Dans le schéma ci-dessus, si X a une liaison lente avec Y et une rapide avec Z, le fait de créer un pont entre X et Y en y affectant un coût adéquat (inversement proportionnel à la qualité de la liaison) va permettre d optimiser la duplication. Active Directory crée un lien de site par défaut nommé DEFAULTSITELINK qui sera utilisé par défaut. Coût Le coût d un lien de sites est une valeur inversement proportionnelle à la qualité de la bande passante et comprise entre 1 et 32767. Les coûts choisis doivent être proportionnels les uns par rapport aux autres. Au cas ou un nouveau lien entre deux sites était ajouté ou amélioré, il faudrait alors revoir les coûts affectés! Intervalle L intervalle défini la fréquence de duplication. Il s agit d une valeur comprise entre 15 et 10080 minutes (1 semaine). Par défaut la duplication entre tous les liens a lieu toutes les 180 minutes. Calendrier Il permet de planifier la duplication. Calendrier et intervalle sont étroitement liés. La duplication n aura lieu que durant les heures autorisées (calendrier ) à une fréquence donnée (intervalle). Ponts entre liens de site Le coût obtenu par un lien de sites est cumulatif. Par défaut tous les liens de sites sont transitifs et appartiennent de ce fait à un seul pont entre liens de sites. Sur un réseau totalement routé aucune configuration de pont n est donc nécessaire. Dans le cas contraire (réseau pas entièrement routé), il faudra désactiver la fonctionnalité de transitivité entre lien de sites puis configurer manuellement des ponts entre des liens de sites!

26 Implémentation de la structure physique d Active Directory Sur un réseau important, l implémentation d une structure efficace peut impliquer les tâches suivantes : La création de sites. La création de sous réseaux et leur regroupement en sites. Le déplacement d objets serveur entre des sites. La création de liens de sites et, de manière facultative, des ponts entre des liens de sites. La création d un objet de connexion pour remplacer la topologie de duplication par défaut crée par le Vérificateur de cohérence des connaissances. La création d un serveur de catalogue global. Création d un site Pour réaliser cette opération il faut être membre du groupe Administrateur de l entreprise et utiliser le composant site et services.

27 Création de sous-réseaux Une fois les sites créés, l étape suivante consiste à créer des sous-réseaux (via le composant sites et services) et les associer à des sites. On utilisera le même composant pour déplacer un objet serveur d un site vers un autre.

28 Création de ponts entre des liens de site Avant de créer des ponts (inutile sur un réseau entièrement routé), il faut désactiver (pour le protocole choisi «IP ou SMTP») la création de ponts entre des liens de sites Création d un objet de connexion. Se fait par le biais du composant Sites et service, via l objet NTDS Settings.

29 Création d un serveur de catalogue global Se fait par le biais du composant Sites et service, via l objet NTDS Settings en cochant la case associée. Surveillance du trafic de duplication Afin de pouvoir régler la topologie en fonction du trafic de duplication, il faut au préalable analyser ce trafic. Pour ce deux outils permettent de le faire : Moniteur système qui mesure le trafic de duplication entrant et sortant d un serveur donné. Active Directory Replication monitor qui permet d afficher la topologie de duplication intra-site. Surveillance du trafic à l aide de la console de performances Les compteurs de duplication mesurent la taille et l efficacité du trafic de duplication. Certains compteurs DRA contiennent les informations ci-dessous : Nombre total d octets DRA entrant depuis le démarrage. Nombre d octets DRA non compressés entrants (interne au site) depuis le démarrage. Nombre d octets DRA compressés entrants (inter-sites avant compression) depuis le démarrage. Nombre d octets DRA compressés entrants (inter-sites après compression) depuis le démarrage. Nombre d octets DRA non compressés sortant (dans le site) depuis le démarrage.

30 Surveillance du trafic de duplication à l aide de Replication Monitor Replication Monitor (REPLMon) est un utilitaire en ligne de commande (à installer avec les outils de support de Windows 2000 qui se trouvent sur le CD) qui permet d effectuer les tâches suivantes : Afficher les serveurs qui participent (directement ou non) à la duplication. Afficher une valeur USN, le nombre de tentatives échouées et les raisons ainsi que les indicateurs utilisés pour les partenaires direct de duplication. Interroger le serveur (fréquence définie) et obtenir des statistiques, conserver un fichier journal. Remonter des alarmes (via e-mail) sur les échecs. Afficher les objets n ayant pas encore été dupliqués. Effectuer une synchronisation entre deux domaines. Déclencher le Vérificateur de cohérence des connaissances pour recalculer la topologie de duplication. Administration d Active Directory Création et gestion d objets Active Directory La création d OU dans un domaine AD permet de mettre en place une structure logique afin de déléguer des tâches et appliquer des GPO.

31 Création d Unités d Organisation Les OU sont des objets conteneurs de : compte utilisateurs ; groupes ; comptes d ordinateurs ; d autres OU. Les OU permettent de définir les limites d administration du domaine en déléguant le contrôle administratif sur les objets contenus dans une OU. Pour créer des OU il faut disposer des droits Lire, Lister et créer des objets OU sur le conteneur Parent. Par défaut les membres du groupe administrateur peuvent créer des OU partout. Pour créer une OU utiliser Utilisateurs et ordinateurs d AD du menu Outils d administration. Création, emplacement des comptes d utilisateurs et d ordinateurs Avant de créer un compte, il faut connaître quel sera sont conteneur (OU à laquelle il appartient). Bien qu il soit possible de créer de tels comptes au niveau du domaine, cela est déconseillé car il serait alors difficile d optimiser la délégation de droits et augmenterait la complexité du réseau! Un nom d ordinateur doit être unique au sein d une forêt.

32 Déplacement et recherche d objets Les conditions ci-dessous s appliquent lors du déplacement d objets entre OU : Les autorisations qui sont directement accordés aux objets restent inchangés. Les objets héritent des autorisations de la nouvelle OU tandis que celles de l OU précédente n ont plus aucune incidence sur les objets. Il est possible de déplacer plusieurs objets simultanément. Il est possible de réaliser des fonctions d administration sur les objets résultant d une recherche. Gestion de groupes Active Directory prend en charge différents type de groupes. Ceux-ci peuvent s étendre sur plusieurs domaines ou être limités à un seul. Les étendues de groupe sont : Domaine local. Domaine Globale. Universelle. Le choix du type et l étendue du groupe sont limités par le mode de domaine! Types de groupes Objectif des types de groupes Groupes de sécurité (SID) : o Permettent d accorder ou de refuser des droits et des autorisations. Groupes des distribution (Pas de SID) : o Permettent d envoyer du courrier électronique.

33 Etendues de groupe Etendue du groupe Groupes de domaine local «Permettent d accéder aux ressources d un domaine» Groupes globaux «Permettent d accéder aux ressources d un domaine quelconque» Groupes universels ««Permettent d accéder aux ressources d un domaine quelconque» Peut contenir en mode mixte Des comptes d utilisateurs et des groupes globaux d un domaine quelconque Des comptes d utilisateur du même domaine Non disponible Peut contenir en mode natif Des comptes d utilisateur, des groupes globaux et des groupes universels d un domaine quelconque de la forêt, et des groupes de domaine local du même domaine. Des comptes d utilisateur et des groupes globaux du même domaine. Des comptes d utilisateurs, des groupes globaux et d autres groupes universels d un domaine quelconque de la forêt. Peut être membre de Groupes de domaine local du même domaine. Groupes universels et de domaine local d un domaine quelconque, et de groupes globaux du même domaine. Groupes de domaine local et de groupes universels d un domaine quelconque. Peut bénéficier d autorisations pour Le domaine dans lequel le groupe de domaine local existe. Tous les domaines de la forêt. Tous les domaines de la forêt. Eléments à prendre en considération pour l utilisation de groupes universels Réduire son utilisation pour diminuer le trafic (duplication vers tous les serveurs de catalogue global lors d une modification). En limiter l appartenance à des groupes.

34 Stratégie de planification de groupe Affecter des utilisateurs A à des groupes globaux G Affecter des groupes Globaux G à des groupes de domaine local DL Puis accorder des autorisations P Ajouter un ordinateur à un groupe pour permettre à cet ordinateur d accéder à une ressource partagée. Modification de groupes Modification du type de groupe o Transformer le groupe de sécurité en groupe de distribution et inversement. o Disponible en mode natif. Modification de l étendue de groupe o Transformer un groupe local ou de domaine local en groupe universel o Disponible en mode natif o Windows 2000 ne permet pas de modifier l étendue d un groupe universel. Suppression d un groupe o Supprimer le groupe sans en supprimer les objets membres o Impossible de restaurer un groupe et ses autorisations. Contrôle de l accès aux objets Active Directory Tout les objets AD disposent d un descripteur de sécurité les personnes autorisées (et le type d accès) à accéder à l objet. Pour alléger lez travail administratif, il suffit de regrouper les objets dans une OU car les autorisation affectées à une OU sont valables à tous les objets qu elle contient.