Implémentation et administration des services d’annuaire Microsoft Windows 2000
E E s s s s e e n n t t i i e e l l
de d e p p r r ép é pa ar r a a ti t io on n à à l la a c ce er rt ti if fi ic ca at ti io on n
70 7 0- -2 2 1 1 7 7
Par : NEDJIMI Brahim
THOBOIS Loïc TUDURY Matthieu
23, rue Château Landon 75010 – PARIS
www.supinfo.com
Table des Matières
Module 1 Présentation d’Active Directory dans Windows 2000 ________________________________________________ 5 1 Présentation d’Active Directory _________________________________________________________________ 5 a) Définition d’Active Directory ___________________________________________________________________ 5 b) Objets Active Directory _______________________________________________________________________ 5 c) Schéma Active Directory ______________________________________________________________________ 5 d) Protocole LDAP _____________________________________________________________________________ 6 2 Structure logique d’Active Directory______________________________________________________________ 6 a) Les Domaines_______________________________________________________________________________ 6 b) Les Unités d’organisation ______________________________________________________________________ 6 c) Arborescences et forêts________________________________________________________________________ 6 d) Catalogue global_____________________________________________________________________________ 7 3 Structure Physique d’Active Directory ____________________________________________________________ 7 a) Contrôleurs de domaine _______________________________________________________________________ 7 b) Sites ______________________________________________________________________________________ 7 4 Méthodes d’administration d’un réseau Windows 2000 _______________________________________________ 8 a) Utilisation d’Active Directory pour la gestion centralisée ______________________________________________ 8 b) Gestion de l’environnement utilisateur ____________________________________________________________ 8 c) Délégation du contrôle d’administration ___________________________________________________________ 8 Module 2 Implémentation du système DNS pour la prise en charge d’Active Directory ______________________________ 9 1 Premier aperçu du système DNS _________________________________________________________________ 9 2 Présentation du rôle du système DNS dans Active Directory ___________________________________________ 9 3 Système DNS et Active Directory_________________________________________________________________ 9 a) Espaces de noms DNS et Active Directory _________________________________________________________ 9 b) Terminologies DNS / Active Directory ____________________________________________________________ 9 4 Résolution de noms DNS dans Active Directory ____________________________________________________ 10 a) Enregistrements de ressources SRV et A ___________________________________________________________10 b) Zones intégrées Active Directory ________________________________________________________________10 5 Installation d’Active Directory _________________________________________________________________ 11 Module 3 Création d’un domaine Windows 2000 __________________________________________________________ 12 1 Vue d’ensemble de la création d’un domaine Windows 2000__________________________________________ 12 2 Installation d’Active Directory _________________________________________________________________ 12 a) Préparation de l’installation d’Active Directory _____________________________________________________12 b) Création du premier domaine ___________________________________________________________________12 c) Ajout d’un contrôleur de domaine de répliqua _______________________________________________________12 d) Utilisation d’un script d’installation sans assistance pour installer Active Directory. __________________________13 3 Processus d’installation d’Active Directory________________________________________________________ 13 a) Paramètres de configuration ____________________________________________________________________13 b) Configuration de site _________________________________________________________________________13 c) Etude de la structure par défaut d’Active Directory ___________________________________________________13 4 Tâches à effectuer après l’installation d’Active Directory ____________________________________________ 14 a) Implémentation de zones intégrées Active Directory __________________________________________________14 b) Sécurisation des mises à jour pour les zones intégrées à Active Directory __________________________________14 c) Modification du mode de domaine _______________________________________________________________14 Module 4 Configuration et administration des utilisateurs et des groupes _______________________________________ 15 1 Noms d’ouverture de session d’utilisateur_________________________________________________________ 15 a) Présentation des noms d’ouverture de session d’utilisateur _____________________________________________15 b) Création d’un suffixe de nom principal d’utilisateur __________________________________________________15
3 Administration des comptes d’utilisateur _________________________________________________________ 15 4 Utilisation des groupes dans Active Directory______________________________________________________ 15 5 Stratégies d’utilisation des groupes dans un domaine________________________________________________ 16 Module 5 Publication de ressource dans Active Directory ___________________________________________________ 17 1 Vue d’ensemble de la publication de ressources ____________________________________________________ 17 a) Publication d’imprimantes _____________________________________________________________________17 b) Emplacements d’imprimantes ___________________________________________________________________17 c) Publication et administration de dossiers partagés ____________________________________________________17 d) Contrôle d’accès aux ressources publiées.__________________________________________________________18 Module 6 Délégation du contrôle d’administration_________________________________________________________ 19 1 Sécurité des objets ___________________________________________________________________________ 19 2 Délégation de contrôle ________________________________________________________________________ 19 3 Création de MMC personnalisées._______________________________________________________________ 19 Module 7 Implémentation d’une stratégie de groupe _______________________________________________________ 21 1 La Console de Stratégies de groupe ______________________________________________________________ 21 a) Les types de paramètres de groupe _______________________________________________________________21 b) Les objets Stratégies de groupe__________________________________________________________________21 2 Application des paramètres de stratégies de groupe dans Active Directory_______________________________ 21 a) Héritage d’une stratégie de groupe _______________________________________________________________21 b) Stratégies de groupe lors de connexions réseau lentes : ________________________________________________22 c) Résolution des conflits entre les paramètres de stratégies de groupe : _____________________________________22 d) Modification de l’héritage d’une stratégie de groupe :_________________________________________________22 e) Délégation du contrôle d’administration des objets stratégies de groupe ___________________________________22 3 Surveillance et résolution de problèmes de stratégies de groupe _______________________________________ 23 a) Surveillance des stratégies de groupe _____________________________________________________________23 b) Outils de support de Windows 2000 permettant la résolution de problèmes de stratégie de groupe :_______________23 Module 8 Utilisation d’une stratégie de groupe pour gérer des environnements ___________________________________ 24 1 Présentation de la gestion des environnements utilisateur ____________________________________________ 24 a) Paramètres de modèle d’administration____________________________________________________________24 b) Paramètres de script __________________________________________________________________________24 c) Redirection des dossiers de l’utilisateur____________________________________________________________24 d) Paramètres de sécurité ________________________________________________________________________24 Module 9 Utilisation d’une stratégie de groupe pour gérer les logiciels _________________________________________ 25 1 Présentation de la gestion du déploiement de logiciels _______________________________________________ 25 2 Présentation de Windows Installer ______________________________________________________________ 25 3 Déploiement de logiciels _______________________________________________________________________ 25 a) Affectation de logiciels : _______________________________________________________________________25 b) Publication de logiciels : _______________________________________________________________________25 c) Utilisation des modifications de logiciel ___________________________________________________________25 d) Création de catégories de logiciels _______________________________________________________________26 e) Association d’extensions de noms de fichiers à des applications _________________________________________26 f) Mise à niveau de logiciels déployés ______________________________________________________________26 g) Redéploiement de logiciels _____________________________________________________________________26 h) Suppression de logiciels déployés ________________________________________________________________26 Module 10 Création et gestion d’arborescences et de forêts __________________________________________________ 27 1 Définition d’une arborescence : _________________________________________________________________ 27 2 Définition d’une forêt :________________________________________________________________________ 27
b) Approbations raccourcis dans Windows 2000 _______________________________________________________28 c) Approbations non transitives :___________________________________________________________________28 d) Catalogue Global et Ouverture de session __________________________________________________________28 4 Stratégie d’utilisation de groupes dans les arborescences et les forêts.___________________________________ 28 a) Groupe universels et duplication _________________________________________________________________28 Module 11 Gestion de la duplication Active Directory ______________________________________________________ 29 1 Fonctionnement de la duplication _______________________________________________________________ 29 2 Résolution des conflits de duplication ____________________________________________________________ 29 3 Optimisation de la duplication __________________________________________________________________ 30 4 Topologie de duplication ______________________________________________________________________ 30 a) Partitions d’annuaire __________________________________________________________________________30 b) Topologie de duplication ______________________________________________________________________30 c) Génération de topologie de duplication automatique __________________________________________________31 5 Utilisation des sites pour optimiser la duplication___________________________________________________ 31 a) Présentation des sites _________________________________________________________________________31 b) Duplication intrasite __________________________________________________________________________32 c) Duplication intersite __________________________________________________________________________32 d) Notion de coût ______________________________________________________________________________32 e) Serveur tête de pont __________________________________________________________________________32 6 Protocoles de duplication ______________________________________________________________________ 33 Module 12 Gestion des maîtres d’opérations______________________________________________________________ 34 1 Présentation des maîtres d’opérations ____________________________________________________________ 34 a) Rôle du contrôleur de schéma ___________________________________________________________________34 b) Maître d’attribution de nom de domaine ___________________________________________________________34 c) Emulateur CPD (PDC) ________________________________________________________________________34 d) Maître RID_________________________________________________________________________________34 e) Maître d’infrastructure ________________________________________________________________________35 2 Gestion des défaillances de maîtres d’opérations ___________________________________________________ 35 a) La défaillance de l’Emulateur de CPD ____________________________________________________________35 b) Défaillance du maître d’infrastructure _____________________________________________________________35 c) Défa illance des autres maîtres d’opérations_________________________________________________________35 Module 13 Mise à jour de la base de données Active Directory________________________________________________ 36 1 Entretien de la base de données Active Directory___________________________________________________ 36 a) Fichiers d’Active Directory_____________________________________________________________________36 b) Nettoyage de la mémoire ______________________________________________________________________36 c) Restauration d’Active Directory _________________________________________________________________36
Module 1
Présentation d’Active Directory dans Windows 2000
1 Présentation d’Active Directory
Active Directory permet de centraliser, de structurer, d’organiser et de contrôler les ressources réseau dans les environnements Windows 2000. La structure Active Directory permet une délégation de l’administration très fine pouvant être définie par types d’objets.
a) Définition d’Active Directory
Active Directory sert d’annuaire des objets du réseau, il permet aux utilisateurs de localiser, de gérer et d’utiliser facilement les ressources.
Il permet de réaliser la gestion des objets sans liens avec la disposition réelle ou les protocoles réseaux employés.
Active Directory organise l’annuaire en sections, ce qui permet de suivre le développement d’une société allant de quelques objets à des millions d’objets.
Combiné aux stratégies de groupes, Active directory permet une gestion des postes distants de façon complètement centralisée.
b) Objets Active Directory
Active Directory stocke des informations sur les objets du réseau. Il en existe de plusieurs types : - serveurs
- domaines - sites - utilisateurs - ordinateurs - imprimantes - …
Avec chaque objet, sont stockées des informations et des propriétés qui permettent d’effectuer par exemple des recherches plus précises (emplacement d’une imprimante).
c) Schéma Active Directory
Le schéma Active Directory stocke la définition de tous les objets d’Active Directory (ex : nom, prénom pour l’objet utilisateur).
Il n’y a qu’un seul schéma pour l’ensemble de la forêt, ce qui permet une homogénéité de l’ensemble des domaines.
Le schéma comprend deux types de définitions :
- Les classes d’objets : Décrit les objets d’Active Directory qu’il est possible de créer. Chaque classe est un regroupement d’attributs.
- Les attributs : Ils sont définis une seul fois et peuvent être utilisés dans plusieurs classes (ex : Description).
Le schéma est stocké dans la base de données d’Active Directory ce qui permet des modifications dynamiques exploitables instantanément.
d) Protocole LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole du service d’annuaire utilisé pour interroger et mettre à jour Active Directory.
Chaque objet de l’annuaire est identifié par une série de composants qui constituent son chemin d’accès LDAP au sein d’Active Directory (CN=Loïc THOBOIS, OU=Direction, DC=labo-microsoft, DC=lan).
- DC : Composant de domaine (lan, com, labo-microsoft, …) - OU : Unité d’organisation (contient des objets)
- CN : Nom usuel (Nom de l’objet)
Les chemins d’accès LDAP comprennent les éléments suivants :
- Les noms uniques : le nom unique identifie le domaine dans lequel est situé l’objet, ainsi que son chemin d’accès complet (ex : CN=Brahim NEDJIMI, OU=Direction, DC=labo-microsoft, DC=lan) - Les noms uniques relatifs : partie du nom unique qui permet d’identifier l’objet dans son conteneur
(ex : Brahim NEDJIMI).
2 Structure logique d’Active Directory
La structure logique d’Active Directory offre une méthode efficace pour concevoir une hiérarchie en son sein.
Les composants logiques de la structure d’Active Directory sont les suivants :
a) Les Domaines
Unité de base de la structure Active Directory, un domaine est un ensemble d’ordinateurs et/ou d’utilisateurs qui partagent une même base de données d’annuaire. Un domaine a un nom unique sur le réseau.
Dans un environnement Windows 2000, le domaine sert de limite de sécurité. Le rôle d’une limite de sécurité est de restreindre les droits d’un administrateur ou de tout autre utilisateur avec pouvoir uniquement aux ressources de ce domaine et que seuls les utilisateurs explicitement promus puissent étendre leurs droits à d’autres domaines.
Dans un domaine Windows 2000, tous les serveurs maintenant le domaine (contrôleurs de domaine) possèdent une copie de l’annuaire d’Active Directory. Chaque contrôleur de domaine est capable de recevoir ou de dupliquer les modifications de l’ensemble de ses homologues du domaine.
b) Les Unités d’organisation
Une unité d’organisation est un objet conteneur utilisé pour organiser les objets au sein du domaine.
Il peut contenir d’autres objets comme des comptes d’utilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que d’autres unités d’organisation.
Les unités d’organisation permettent d’organiser de façon logique les objets de l’annuaire (ex : représentation physique des objets ou représentation logique).
Les unités d’organisation permettent aussi de faciliter la délégation de pouvoir selon l’organisation des objets.
c) Arborescences et forêts
Le premier domaine installé est le domaine racine de la forêt. Au fur et à mesure que des domaines lui sont ajoutés, cela forme la structure de l’arborescence ou la structure de la forêt, selon les exigences pour les noms de domaine.
Une arborescence est un ensemble de domaines partageant un nom commun (ex : supinfo.lan est le domaine parent du domaine paris.supinfo.lan et du domaine caraïbes.supinfo.lan). La relation d’approbation d’un domaine d’une arborescence est de type transitive bidirectionnelle avec son domaine parent.
Les relations d’approbation transitives sont les relations qui sont automatiquement étendues aux domaines s’approuvant indirectement (ex : A approuve B, B approuve C donc A approuve C)
Les relations bidirectionnelles permettent à 2 domaines de s’approuver l’un l’autre.
Une forêt est un ensemble de domaines (ou d’arborescences) n’ayant pas une partie de leur nom en commun mais qui partagent un schéma et un catalogue commun (ex : supinfo.lan et labo-microsoft.lan).
d) Catalogue global
Le catalogue global contient une partie des attributs les plus utilisés de tous les objets Active Directory. Il contient les informations nécessaires pour déterminer l’emplacement de tout objet de l’annuaire.
Le catalogue global permet aux utilisateurs d’effectuer 2 tâches importantes :
- Trouver des informations Active Directory sur toutes les forêts, quel que soit l’emplacement des ces données.
- Utiliser des informations d’appartenance à des groupes universels pour ouvrir une session sur le réseau.
Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue global et peut ainsi traiter les requêtes qui lui sont destinées. Le premier contrôleur de domaine est automatiquement le serveur de catalogue global. Il est possible de configurer d’autres contrôleurs de domaine en serveur de catalogue global afin de réguler le trafic.
? L’authentification d’ouverture de session ne peut se faire que sur un contrôleur de domaine.
3 Structure Physique d’Active Directory
Dans Active Directory, la structure logique et la structure physique sont distinctes. La structure physique permet d’optimiser les échanges d’informations entre les différentes machines en fonction des débits assurés par les réseaux qui les connectent.
a) Contrôleurs de domaine
Un contrôleur de domaine est un ordinateur exécutant Windows 2000 Server qui stocke un répliqua de l’annuaire. Il assure la propagation des modifications faites sur l’annuaire. Il assure l’authentification et l’ouverture des sessions des utilisateurs, ainsi que les recherches dans l’annuaire.
Un domaine peut posséder un ou plusieurs contrôleurs de domaine. Dans le cas d’une société constituée de plusieurs entités dispersées géographiquement, on aura besoin d’un contrôleur de domaine dans chacune de ses entités.
b) Sites
Un site est une combinaison d’un ou plusieurs sous réseaux connectés entre eux par une liaison à haut débit fiable. Définir des sites permet à Active Directory d’optimiser la duplication et l’authentification afin d’exploiter
4 Méthodes d’administration d’un réseau Windows 2000 a) Utilisation d’Active Directory pour la gestion centralisée
Active Directory permet à un seul administrateur de centraliser la gestion et l’administration des ressources du réseau. Comme il contient des informations sur tous les objets et leurs attributs, la recherche d’informations se fait sur l’ensemble de la forêt.
Active Directory permet aussi d’organiser les objets de façon hiérarchique grâce aux conteneurs comme les unités organisationnelles, les domaines ou les sites. Il est ainsi possible d’appliquer certains paramètres à un ensemble d’ordinateurs et d’utilisateurs.
b) Gestion de l’environnement utilisateur
A l’aide des stratégies de groupe de Windows 2000, il est possible de restreindre les actions des utilisateurs directement à partir du serveur.
- Contrôle des actions que peuvent réaliser les utilisateurs.
- Centralisation de la gestion de l’installation des applications et des services.
- Configuration des données utilisateur pour suivre les utilisateurs.
c) Délégation du contrôle d’administration
La hiérarchie mise en place au sein d’Active Directory permet une délégation fine toujours basée sur les conteneurs permettant la délégation sur un ensemble défini de machines et d’utilisateurs.
Module 2
Implémentation du système DNS pour la prise en charge d’Active Directory
1 Premier aperçu du système DNS
Windows 2000 intègre désormais le système DNS (Domain Name Service) et des services d’annuaire Active Directory.
Ces deux éléments sont liés: afin de mettre en place Active Directory dans un environnement Windows 2000, vous devrez impérativement installer DNS. Ils utilisent la même structure de noms hiérarchique afin de représenter les domaines et ordinateurs sous forme d’objets Active Directory, ainsi que sous forme de domaines DNS et d’enregistrement de ressources.
2 Présentation du rôle du système DNS dans Active Directory
Le système DNS fournit les principales fonctions ci-dessous sur un réseau exécutant Active Directory : - Résolution de noms : le système DNS résout les noms de machines en adresses IP. Par exemple, un
ordinateur nommé labo-1 désirant se connecter à un autre ordinateur nommé labo-2 enverra une requête au serveur DNS qui lui renverra l’adresse IP de labo-2. Le système DNS peut aussi effectuer une résolution de nom inversée, c'est-à-dire fournir le nom d’une machine à partir de l’adresse IP qui lui est communiquée.
- Convention de dénomination pour les domaines Windows 2000 : Active Directory emploie les conventions de dénomination du système DNS. Ainsi, microsoft.supinfo.com peut être un nom de domaine DNS et/ou un nom de domaine Windows 2000.
- Localisation des composants physiques d’Active Directory : Le système DNS identifie les contrôleurs de domaine par rapport aux services spécifiques qu’ils proposent comme l’authentification d’une connexion ou la recherche d’informations dans Active Directory. Lors de l’ouverture d’une session, une machine cliente doit s’adresser à un contrôleur de domaine, seul capable de l’authentifier. Le système DNS pourra lui fournir l’emplacement de l’un de ces contrôleurs de domaine.
3 Système DNS et Active Directory
a) Espaces de noms DNS et Active Directory
Un espace de noms est une structure de noms hiérarchique dans laquelle les noms peuvent être résolus en les objets qu’ils représentent. Active Directory et le système DNS partagent la même structure de noms hiérarchique.
En d’autres termes, les domaines et ordinateurs dans un domaine Windows 2000 peuvent être représentés sous forme de nœuds DNS et d’objets Active Directory.
Dans l’espace de nom DNS, les zones stockent les enregistrements de ressources (correspondant aux ordinateurs) d’un ou plusieurs domaines.
Les domaines et ordinateurs existants dans le système DNS correspondent aux objets Active Directory.
Par ailleurs, la structure de noms d’Internet reposant sur un espace de noms DNS, un domaine Active Directory peut par conséquent exister sur Internet. Il faudra alors enregistrer le nom de domaine DNS correspondant au nom du domaine Active Directory désiré.
Toutefois, bien qu’ils partagent la même structure de dénomination, Active Directory et le système DNS constituent deux espaces de noms distincts car pour un même objet, ils ne stockeront pas les mêmes informations.
? Une zone peut être définie comme la partie commune d’un nom DNS de tous les objets d’un même domaine. Par exemple, dans microsoft.supinfo.com et dans mail.supinfo.com, on aura la zone supinfo.com.
? Lorsqu’un serveur DNS est chargé de la résolution de noms pour une zone, on dit qu’il a autorité sur cette zone.
b) Terminologies DNS / Active Directory
On parle d’enregistrements de ressource dans le cas du DNS et d’objets pour Active Directory. Ces deux termes désignent la même chose.
Un nom d’hôte DNS représentera un compte machine dans Active Directory.
Si l’on prend le FQDN (Fully Qualified Domain Name ou nom de domaine pleinement qualifié) d’une machine, par exemple labo-1.microsoft.supinfo.com, le suffixe DNS (qui est le nom de domaine DNS), en l’occurrence microsoft.supinfo.com correspondra au nom de domaine Active Directory.
4 Résolution de noms DNS dans Active Directory a) Enregistrements de ressources SRV et A
Nous avions vu que les DNS stockent des enregistrements de ressources. Ces enregistrement peuvent être de différents types : SRV, MX,…
Généralement, les enregistrements de type SRV permettent aux clients de déterminer les serveurs offrant des services spécifiques. Windows 2000 les emploie principalement pour identifier les contrôleurs de domaine.
Les contrôleurs de domaine inscrivent dynamiquement dans les serveurs DNS lors de leur démarrage un enregistrement SRV ainsi qu’un enregistrement de ressource A (qui contient son nom de machine et son adresse IP). Le serveur DNS emploie ces deux enregistrements pour résoudre les requêtes clientes portant sur les contrôleurs de domaine.
? Un serveur DNS doit impérativement supporter les enregistrements SRV (RFC 2052) pour prendre en charge l’installation d’Active Directory.
Le bon déroulement de l’ouverture d’une session sur une machine cliente ou du parcours de l’annuaire Active Directory est conditionné par l’authentification d’un compte par un contrôleur de domaine.
Nous allons voir comment, dans ce cas, le client réussit à contacter ce contrôleur :
1. Lorsqu’une opération nécessitant un contrôleur de domaine est effectuée (authentification, …), le service Netlogon va réunir des informations sur l’ordinateur comme par exemple le nom de machine, le nom du domaine dans lequel on souhaite être authentifié, ou encore le nom du site sur lequel on recherche un contrôleur de domaine.
2. Netlogon envoie ces informations dans une requête à un serveur DNS.
3. Le serveur DNS va consulter ses enregistrements pour déterminer les enregistrements SRV correspondant aux contrôleurs de domaine
4. Le serveur DNS renvoie la liste des adresses IP des contrôleurs de domaine pour le domaine spécifié 5. Netlogon envoie un message (UDP LDAP) aux contrôleurs de domaine que le serveur DNS a renvoyé pour
déterminer s’ils sont capables ou non, d’authentifier des clients sur le domaine spécifié.
6. Chaque contrôleur de domaine disponible répond au message
7. Le client choisira le premier contrôleur de domaine qui répondra et lui enverra la demande d’authentification.
Ces données seront mises en cache par Netlogon sur la machine cliente afin que cette dernière n’ait pas à répéter ce processus pour chaque authentification (lors de l’accès à un partage par exemple).
b) Zones intégrées Active Directory
Dans un domaine Windows 2000, il est possible d’intégrer des zones DNS (il s’agit de zones principales, et non de zones secondaires) dans la base de données d’Active Directory. On parle alors de zones intégrées Active Directory.
Les avantages qu’offrent les zones intégrées Active Directory sont les suivants :
- La base de données de zone est dupliquée lors de la duplication d’Active Directory, alors que dans le cas d’un DNS classique, cela s’effectue via les transferts de zone.
- il n’y a plus de serveur DNS principal : dans un système DNS classique, on dispose d’un serveur DNS principal et de serveurs DNS secondaires. Les transferts de zones se font tous depuis le serveur principal, et en cas de
panne de ce dernier, les serveurs secondaires seront incapables de récupérer les derniers changements apportés au DNS.
- Les mises à jours sont sécurisées : Active Directory est sécurisé. On peut y définir des permissions d’accès.
Les zones étant des objets contenus dans Active Directory, ils héritent de cette propriété. Ainsi, on pourra définir les ordinateurs autorisés à mettre à jour les informations de la zone intégrée.
- Le support du transfert de zone standard : Un serveur DNS n’étant pas configuré comme contrôleur de domaine (et donc sans Active Directory), peut récupérer la zone intégrée via un transfert de zone standard.
5 Installation d’Active Directory
Pour installer Active Directory, il faut impérativement un serveur DNS disposant de zones de recherche directe et inversée pour votre domaine (les zones peuvent aussi inclure des données de plusieurs domaines). Rappelez-vous que votre serveur DNS doit prendre en charge les enregistrements de type SRV.
Il est aussi recommandé d’utiliser un serveur DNS supportant le protocole de mise à jour dynamique (permettant à des ordinateurs d’ajouter automatiquement des enregistrements dans le DNS) et les transferts de zone incrémentiels (le transfert de zone portera uniquement sur les modifications ou ajouts apportés à la base de données DNS depuis le dernier transfert).
Si aucun serveur DNS n’est présent sur le réseau lors de la mise en place d’Active Directory, le service Serveur DNS de Windows 2000 sera installé sur le serveur que vous voulez transformer en contrôleur de domaine lors de l’installation d’Active Directory.
Dans tous les cas, il faut que le serveur DNS que vous installez fasse autorité sur le domaine DNS que vous utilisez pour votre premier domaine Active Directory. On peut en effectuer la vérification grâce à la commande nslookup.
Par exemple, pour afficher les serveurs DNS qui font autorité pour le domaine microsoft.supinfo.com, on tapera : nslookup –type=ns microsoft.supinfo.com
Module 3
Création d’un domaine Windows 2000
1 Vue d’ensemble de la création d’un domaine Windows 2000
Un domaine désigne l’unité administrative de base d’un réseau Windows 2000.
Le premier domaine d’une nouvelle forêt créé dans Active Directory représente le domaine racine de l’ensemble de la forêt.
La création d’un domaine d’effectue à l’aide de la commande dcpromo. L’assistant d’installation d’Active Directory vous guide alors dans la création d’un nouveau domaine ou dans la création d’un contrôleur de domaine supplémentaire dans un domaine Windows 2000 existant.
? Il est dorénavant possible de promouvoir un serveur membre ou un serveur autonome sans avoir à tout réinstaller.
2 Installation d’Active Directory
a) Préparation de l’installation d’Active Directory
Configuration requise pour l’installation d’Active Directory :- Un ordinateur exécutant Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter.
- 200 Mo d’espace disque disponibles pour la base de données Active Directory et 50 Mo pour les fichiers de transactions. La taille relative aux fichiers de base de données dépend du nombre de fichiers contenus dans Active Directory. De l’espace disque supplémentaire peut être nécessaire dans le cas d’un serveur de catalogue global.
- Une partition ou un volume au format NTFS pour stocker le dossier SYSVOL de façon sécurisée.
- Le protocole TCP/IP configuré pour utiliser le système de noms de domaine (DNS).
- Les privilèges administratifs pour créer un domaine dans un environnement Windows 2000 existant.
b) Création du premier domaine
Pour créer un nouveau domaine racine d’une nouvelle forêt 1. Lancer la commande dcpromo.
2. Cliquez sur Contrôleur de domaine pour un nouveau domaine 3. Cliquez sur Créer une nouvelle arborescence de domaine
4. Cliquez sur Créer une nouvelle forêt d’arborescence de domaines 5. Entrez un nom de domaine DNS
6. Entrez un nom de domaine NetBIOS (Assure la compatibilité pré-Windows 2000) 7. Emplacement de la base de données et du journal (laissez l’emplacement par défaut)
8. Emplacement du volume système partagé (emplacement sur une partition ou un volume en NTFS) 9. Spécifiez si l’authentification doit rester compatible Windows NT 4 ou juste Windows 2000.
10. Entrez le mot de passe Administrateur du domaine.
c) Ajout d’un contrôleur de domaine de répliqua
Pour assurer une tolérance de panne du contrôleur de domaine vous devez disposez au minimum de 2 contrôleurs de domaine pour un domaine. L’ensemble des paramètres du domaine sont automatiquement répliqués sur tout nouveau contrôleur de domaine. D’autre part, l’ajout d’un second contrôleur de domaine permet d’éviter que le premier soit surchargé.
? . Ne pas oublier de mettre l’adresse IP du serveur DNS dans la configuration TCP/IP de la machine que l’on veut ajouter au domaine.
? . Pour une authentification plus efficace, il est important de définir le nouveau contrôleur de domaine comme serveur de catalogue global.
Pour créer un nouveau contrôleur de domaine d’un domaine existant : 1. Lancez la commande dcpromo.
2. Cliquez sur Contrôleur de domaine supplémentaire pour un domaine existant
3. Donnez le login/password d’un compte autorisé à créer des contrôleurs de domaine dans Active Directory.
4. Entrez le nom DNS du domaine existant.
d) Utilisation d’un script d’installation sans assistance pour installer Active Directory.
Le fichier de réponses contient tous les paramètres requis pour installation sans assistance d’Active Directory.
Il peut être exécuté automatiquement à l’aide de la commande dcpromo /answer:<fichier_réponses>.
3 Processus d’installation d’Active Directory a) Paramètres de configuration
Vérification effectuée automatiquement par l’assistant d’installation d’Active Directory : - L’utilisateur réalisant l’installation est membre du groupe Administrateurs locaux.
- Aucune installation ou désinstallation n’a eu lieu sans redémarrage.
- Aucune installation ou désinstallation n’est en cours.
- Si Active Directory est déjà installé (ce qui lance l’assistant de désinstallation).
- Vérification de l’unicité du nom de la machine dans le domaine que l’on joint.
- Vérification de la validité de l’adresse IP affectée.
- Vérification de la présence lors de la création d’un nouveau domaine d’un serveur DNS maintenant la zone du domaine.
- Vérification du nom DNS et du nom NetBIOS (généré à partir des 15 premiers caractères du nom DNS).
- Vérification des informations d’identification de l’utilisateur (pas dans le cas d’une nouvelle forêt).
- Vérification de l’emplacement du répertoire SYSVOL sur une partition ou un volume NTFS.
b) Configuration de site
Le contrôleur de domaine est ajouté au site associé à son sous-réseau. Si aucun objet sous-réseau n’est défini, le serveur est créé automatiquement dans le site Premier-Site-par-defaut.
c) Etude de la structure par défaut d’Active Directory
Builtin Contient les groupes de sécurité par défaut de Windows 2000.
Computers Emplacement par défaut des comptes d’ordinate urs.
Domain Controllers (UO) Emplacement pas défaut des comptes d’ordinateurs contrôleurs de domaine.
ForeignSecurityPrincipals Contient les identificateurs de sécurité (SID, Security Identifiers).
Users Emplacement par défaut des comptes d’utilisateurs.
LostAndFound Contient des objets dont les conteneurs ont été supprimés.
System Contient les paramètres systèmes intégrés spécifiques.
4 Tâches à effectuer après l’installation d’Active Directory a) Implémentation de zones intégrées Active Directory
Après l’installation d’Active Directory, vous pouvez intégrer une zone DNS à Active Directory, afin que le système DNS puisse utiliser Active Directory pour stocker et dupliquer les bases de zones DNS. Vous pouvez implémenter les zones de recherche directe et inversée intégrées à Active Directory pour permettre aux ordinateurs clients de réaliser à la fois des requêtes sur les noms d’hôtes ou les adresses IP.
b) Sécurisation des mises à jour pour les zones intégrées à Active Directory
Suite à l’implémentation des zones intégrées à Active Directory, vous pouvez également configurer des zones pour des mises à jour dynamiques (auto-inscription des clients dans le DNS) sécurisées (faisant appel aux DACL).
c) Modification du mode de domaine
Par défaut, un domaine Active Directory assure une compatibilité avec les systèmes pré-Windows 2000. Cette compatibilité empêche l’utilisation de certaines fonctions d’Active Directory comme l’imbrication des groupes et les groupes universels de sécurité.
Le changement de mode du domaine se fait dans la console Utilisateurs et ordinateurs Active Directory, en faisant un clic-droit sur le domaine, puis en sélectionnant Propriétés.
Module 4
Configuration et administration des utilisateurs et des groupes
1 Noms d’ouverture de session d’utilisateur
a) Présentation des noms d’ouverture de session d’utilisateur
Sous Windows 2000 il est possible d’ouvrir une session à l’aide du nom principal d’utilisateur préfixe@suffixe (thoboi_l@esi-supinfo.com). Ce nom doit être unique au sein de la forêt.
Il est toujours possible d’ouvrir une session à l’aide du nom d’ouverture de session d’utilisateur (pré-Windows 2000). Ce nom doit être unique au sein du domaine.
b) Création d’un suffixe de nom principal d’utilisateur
Par défaut, le suffixe utilisé pour ouvrir une session est le nom du domaine qui contient le compte. Il est possible de changer de suffixe en ajoutant celui-ci dans la console d’administration Domaines et approbations Active Directory dans les propriétés de la racine. Cela permet de faciliter la saisie de son login lors de l’ouverture de session dans le cas d’un utilisateur appartenant à un domaine situé très loin dans la hiérarchie de la forêt (ex : thoboi_l@labo-microsoft.lan est plus simple que thoboi_l@labo-microsoft.paris.esi-supinfo.com).
2 Création de plusieurs comptes d’utilisateur
La méthode d’import par blocs permet d’importer plusieurs comptes automatiquement à partir d’un fichier texte.
Deux utilitaires sont mis à votre disposition pour réaliser cette importation :
- csvde : Permet de créer des objets à partir d’un fichier au format csv (champs délimités par des virgules).
- ldifde : Permet de créer, modifier, supprimer des objets à partir d’un fichier au format ldif (champs délimités par des sauts de ligne).
Ces fichiers doivent comporter un certain nombre d’informations :
- Le chemin d’accès de l’unité d’organisation du compte d’utilisateur.
- Le type d’objet.
- Le nom d’ouverture de session d’utilisateur (pré-Windows 2000).
- Le nom principal d’utilisateur.
- Si le compte est actif ou non (code 512 pour activé et 514 pour désactivé).
- Ne doit pas comporter de mots de passe.
3 Administration des comptes d’utilisateur
Une fois les utilisateurs créés, certaines tâches courantes sont à réaliser à partir de la console d’administration Utilisateurs et ordinateur Active Directory :
- Activation / Désactivation de comptes.
- Réinitialisation de mots de passe.
- Déplacement de comptes d’utilisateurs dans un domaine (le drag&drop ne fonctionne pas).
- Suppression de comptes d’utilisateurs.
- Changement de nom d’un compte d’utilisateur.
4 Utilisation des groupes dans Active Directory
Les groupes permettent de simplifier la gestion de l’accès des utilisateurs aux ressources du réseau. Les groupes permettent d’affecter en une seule action une ressource à un ensemble d’utilisateurs au lieu de répéter l’action pour chaque utilisateur. Un utilisateur peut être membre de plusieurs groupes.
Il existe deux types de groupes dans Active Directory :
- Les groupes de sécurité : permettent d’affecter des utilisateurs et des ordinateurs à des ressources.
- Les groupes de distribution : exploitables entre autres via un logiciel de messagerie.
Les deux types de groupes gèrent chacun 3 niveaux d’étendue : Les groupes globaux :
Mode mixte Mode natif
Membres Comptes d’utilisateurs du même domaine Comptes d’utilisateurs et groupes globaux du même domaine
Membres de Groupes locaux du même domaine Groupes locaux de domaines Etendue Visibles dans leur domaine et dans tous les domaines approuvés
Autorisations pour Tous les domaines de la forêt Les groupes locaux de domaine :
Mode mixte Mode natif
Membres
Comptes d’utilisateurs et groupes globaux
de tout domaine Comptes d’utilisateurs, groupes globaux et groupes universels d’un domaine
quelconque de la forêt, et groupes locaux de domaine du même domaine
Membres de Membres d’aucun groupe Groupes locaux de domaine du même domaine
Etendue Visibles dans leur propre domaine
Autorisations pour Le domaine dans lequel le groupe local de domaine existe Les groupes universels :
Mode mixte Mode natif
Membres Non utilisables Comptes d’utilisateurs, groupes globaux et autres groupes universels d’un domaine quelconque de la forêt.
Membres de Non utilisables Groupes locaux de domaine et universels de tout domaine.
Etendue Visibles dans tous les domaines de la forêt Autorisations pour Tous les domaines de la forêt
5 Stratégies d’utilisation des groupes dans un domaine
La stratégie recommandée pour les groupes globaux et locaux dans un domaine est la suivante : - Ajoutez les comptes d’utilisateur aux groupes globaux.
- Ajoutez les groupes globaux à un autre groupe global (dans le cas d’un environnement natif).
- Ajoutez les groupes globaux à un groupe local de domaine.
- Affectez les autorisations sur les ressources au groupe local de domaine.
? . Cette stratégie est aussi appelée A G DL P.
Module 5
Publication de ressource dans Active Directory
Le service d’annuaire Active Directory permet de stocker des informations sécurisées concernant des objets du réseau. Il offre en outre des fonctionnalités de recherche puissantes, ce qui permet aux utilisateurs de publier des ressources en toute sécurité.
1 Vue d’ensemble de la publication de ressources
La publication de ressources dans Active Directory peut se définir comme la création d’objets contenant des informations (ou des références à des informations) que l’ou souhaite rendre accessibles.
Certaines informations sont automatiquement publiées dans Active Directory, comme par exemple les comptes d’utilisateurs. Toutefois, l’accès à cette information publiée peut être restreint (ex : les comptes d’utilisateurs accessibles uniquement par certains groupes d’administration).
? . Généralement, les informations publiées sont statiques (par exemple, l’adresse ou le numéro de téléphone). La publication d’informations sujettes à des modifications fréquentes peut augmenter considérablement le trafic réseau lié à la duplication d’Active Directory.
a) Publication d’imprimantes
Une imprimante partagée sous Windows 2000 se retrouve automatiquement publiée dans Active Directory. Le serveur d’impression auquel est reliée l’imprimante demeure néanmoins le seul gestionnaire de cette imprimante.
La publication « manuelle » d’imprimantes se fait sur les machines non-Windows 2000.
Cette publication s’effectue soit via la console d’administration « Utilisateurs et Ordinateurs Active Directory » soit en utilisant le script Pubprn.vbs localisé dans le dossier %systemroot%\system32\pubprn.vbs
Dans certains cas, on ne souhaite pas publier une imprimante. Il faudra alors décocher l’option « Liste dans l’annuaire » dans les options de partage.
? . Si Active Directory n’est pas implémenté sur le domaine, alors les utilisateurs devront parcourir le réseau pour trouver l’imprimante partagée.
b) Emplacements d’imprimantes
Pour repérer aisément les imprimantes les plus proches, l’utilisateur peut avoir recours aux emplacements d’imprimantes, à condition qu’ils soient implémentés. Dans ce cas, lors d’une recherche d’imprimantes dans l’annuaire Active Directory, ce dernier renverra la liste des imprimantes situées au même emplacement physique que l’ordinateur client.
La mise en place d’emplacements requiert la présence d’au moins deux sous réseaux dans un même site (ou deux sites distincts avec par conséquent des ID réseau différents), car un emplacement correspond à un sous réseau. Un exemple de nom d’emplacement d’imprimante pourrait être : France/Paris/Bâtiment A/1er Etage/Laboratoire Microsoft
? . Afin de visualiser les imprimantes dans l’outil d’administration Utilisateurs et Ordinateurs Active Directory, il faut s’assurer que l’option "Utilisateurs, groupes et ordinateurs en tant que conteneur" est sélectionnée dans le menu Affichage.
c) Publication et administration de dossiers partagés
Un dossier partagé peut être publié dans l’annuaire Active Directory. Cette publication se fait via la console d’administration « Utilisateurs et Ordinateurs Active Directory » : en faisant un clic droit sur l’U.O. dans laquelle on souhaite créer l’objet, puis en sélectionnant Nouveau et enfin Dossier Partagé.
La publication confère aux dossiers partagés une plus grande accessibilité, mais en plus, elle leur offre la possibilité d’y ajouter une description et des mots clés, afin d’en faciliter la recherche.
L’objet créé dans l’annuaire Active Directory lors la publication peut être déplacé dans n’importe quelle Unité Organisationnelle, sans perdre l’accès au partage. Il agit en quelque sorte comme un pointeur vers un emplacement physique fixe.
d) Contrôle d’accès aux ressources publiées.
Lorsque l’on partage une ressource, par exemple un répertoire, on dispose d’une DACL (Discretionary Access Control List) pour en gérer l’accès (lecture seule, écriture,…).
Lorsque l’on publie une ressource, on crée un objet dans l’annuaire Active Directory qui pointe vers le dossier partagé. Cet objet dispose de sa propre DACL, distincte de celle de la ressource partagée qu’il représente. Cette DACL permettra par exemple d’autoriser la visualisation de l’objet à des utilisateurs.
Ainsi, même si la DACL d’un objet autorise un utilisateur à le visualiser, si la DACL de la ressource partagée correspondante en interdit l’accès, l’utilisateur ne pourra utiliser la ressource.
Il serait alors judicieux d’autoriser la visualisation des objets uniquement aux utilisateurs qui ont accès aux ressources partagées correspondantes.
Module 6
Délégation du contrôle d’administration
Active Directory est sécurisé : seuls les comptes ayant reçu les permissions adéquates peuvent effectuer des opérations sur ces objets (ajout, modification, …). Les administrateurs, en charge de cette affectation de permissions peuvent aussi déléguer des tâches d’administration à des utilisateurs ou des groupes d’utilisateurs.
1 Sécurité des objets
Dans Active Directory, chaque objet est sécurisé, ce qui signifie que l’accès a chacun d’entre eux est cautionné par l’existence de permissions en ce sens.
A chaque objet sont associés un descripteur de sécurité unique qui définit les autorisations d’accès nécessaires pour lire ou modifier les propriétés de cet objet grâce à une DACL (Discretionary Access Control List) et une SACL (System Access Control List, utilisée pour l’audit).
Le contrôle d’accès dans Active Directory repose non seulement sur les descripteurs de sécurité des objets, mais aussi sur les entités de sécurité (par exemple un compte d’utilisateur ou un compte de machine), et les identificateurs de sécurité (SID, dont le fonctionnement est globalement identique à celui sous NT 4.0 ).
Active Directory étant organisé hiérarchiquement, il est possible de définir des permissions sur un conteneur et de voir ces permissions héritées à ses sous conteneurs et à ses objets enfants (si on le souhaite). Grâce à cela, l’administrateur n’aura pas à appliquer les mêmes permissions objet par objet, limitant ainsi la charge de travail, et le taux d’erreurs.
Dans le cas où l’on définirait des permissions spécifiques pour un objet et que ces dernières entrent en conflit avec des permissions héritées, ce seront les permissions héritées qui seront appliquées.
Dans certains cas, on ne souhaite pas que des permissions soient héritées, il est alors possible de bloquer cet héritage. Par défaut, lors de la création d’un objet, l’héritage est activé. Par conséquent, une DACL correspondant aux permissions du conteneur parent est créée pour cet objet. Lors du blocage de l’héritage, on définit une nouvelle DACL qui sera soit copiée depuis la DACL du parent, soit vierge.
2 Délégation de contrôle
Il est possible de déléguer un certain niveau d’administration d’objets Active Directory à n’importe quel utilisateur, groupe ou unité organisationnelle.
Ainsi, vous pourrez par exemple déléguer certains droits administratifs d’une unité organisationnelle Ventes à un utilisateur de cette UO.
L’un des principaux avantages qu’offre cette nouvelle fonctionnalité de délégation de contrôle est qu’il n’est plus nécessaire d’attribuer des droits d’administration étendus a un utilisateur lorsqu’il est nécessaire de permettre a un utilisateur d’effectuer certaines tâches.
Ainsi, sous NT4, si l’on souhaitait qu’un utilisateur dans un domaine gère les comptes d’utilisateurs pour son groupe, il fallait le mettre dans le groupe des Opérateurs de comptes, qui lui permet de gérer tous les comptes du domaine.
Avec Active Directory, il suffira de faire un clic-droit sur l’UO dans laquelle on souhaite lui déléguer cette tâche et de sélectionner Déléguer le contrôle. On pourra définir quelques paramètres comme les comptes concernés par cette délégation et le type de délégation, dans notre cas, « Créer, supprimer et gérer des comptes d’utilisateur » (On peut affiner en déléguant des tâches personnalisées comme par exemple uniquement le droit de réinitialiser les mots de passe sur l’UO ou un objet spécifique de l’UO, …).
3 Création de MMC personnalisées.
Windows 2000 (toutes versions) intègre désormais un nouveau modèle d'outils d'administration nommé MMC (Microsoft Management Console). Ces modèles d’outils reposent sur des composants logiciels enfichables, correspondant aux différentes tâches d’administration.
A l'aide des MMC il est désormais possible de créer soit-même sa propre console d'administration. Il suffit pour cela d'y intégrer les modules (snap-in) que vous utilisez couramment. Cela permet aussi de mettre à disposition des administrateurs subalternes des outils d'administration personnalisés.
Ainsi un administrateur ayant pour unique fonction la maintenance des comptes du domaine ne pourra supprimer un utilisateur ou un groupe par erreur puisque l'option de suppression n'apparaîtra pas dans sa console.
L’article disponible sur http://microsoft.supinfo.com/articles/mmc/ vous présente exactement la procédure à suivre pour créer une console MMC d’administration personnalisée.
? . Pour utiliser une console d’administration personnalisée de réseau sous Windows 2000 Professionnel, il faudra installer les composants logiciels enfichables correspondants (utilisez adminpak.msi).
Module 7
Implémentation d’une stratégie de groupe
1 La Console de Stratégies de groupe
La console se divise en deux arborescences : Ordinateur et Utilisateurs :
- Les paramètres de stratégies de groupe pour les ordinateurs définissent le comportement du système d’exploitation et d’une partie du bureau, la configuration de la sécurité.
- Les paramètres de stratégies de groupe pour les utilisateurs définissent les options d’applications affectées et publiées, la configuration des applications.
a) Les types de paramètres de groupe
Modèles d’administration
Permet de modifier la configuration d’applications et de l’environnement utilisateur (par l’intermédiaire de modifications de clés dans la base de Registre). Ces
paramètres incluent les composants du système d’exploitation et le niveau d’accès aux options du panneau de configuration).
Sécurité Permet de configurer la sécurité du réseau. Contrôle d’accès au niveau du réseau, contrôle des droits de l’utilisateur.
Installation de logiciels
Ici, nous pouvons configurer de manière automatique l’installation, la mise à jour, la suppression d’applications sur les machines utilisateurs. Il est possible aussi de configurer l’installation des applications « à la demande » (installation uniquement des raccourcis dans le menu démarrer et si l’utilisate ur clique dessus, installation de l’application).
Scripts Permet d’ajouter des scripts au démarrage, à l’ouverture de session, la fermeture de session, l’arrêt de l’ordinateur.
Services d’installation à distance
Permet de configurer les options disponibles lors de l’exécution de l’assistant installation de clients utilisé par RIS.
Maintenance d’Internet
Explorer Permet de configurer les options d’Internet Explorer, sur les ordinateurs Windows 2000.
Redirection de dossiers Permet de rediriger les dossiers de profils d’utilisateurs spécifiques vers un serveur sur le réseau. Exemple : Le dossier Mes Documents d’un utilisateur peut pointer vers un répertoire partagé sur un serveur.
b) Les objets Stratégies de groupe
Une stratégie de groupe peut s’appliquer à un domaine, à un site ou à une Unité d’organisation et peut être assignée plusieurs fois simultanément sur différents conteneurs.
2 Application des paramètres de stratégies de groupe dans Active Directory a) Héritage d’une stratégie de groupe
L’ordre dans lequel les objets GPO (Group Policy Object – Objet de Stratégie de Groupe) sont appliqués dépend du conteneur Active Directory auquel les objets GPO sont liés. Ils sont hérités et sont appliqués dans l’ordre suivant : au site, au domaine, puis aux unités d’organisations.
Les ordinateurs exécutant Windows 2000 actualisent les GPO à des intervalles définis. L’actualisation assure que les paramètres qui ont pu être modifiés par un administrateur sont appliqués le plus tôt possible. (Eventualité d’une personne qui ne redémarre jamais son ordinateur ou ne ferme jamais sa session).
Par défaut, les ordinateurs effectuent cette réactualisation toutes les 90 minutes + un temps aléatoire entre 0 et 30 minutes et ce, afin d’éviter que tous les ordinateurs fassent des requêtes au DC en même temps.
En ce qui concerne les contrôleurs de domaines, ils sont réactualisés toutes les 5 minutes.
Vous pouvez modifier ces valeurs à l’aide d’une stratégie de groupe.
Lors d’une mise à jour de stratégie de groupe, les clients n’actualisent que les valeurs qui ont été modifiées. Il est toutefois possible de forcer la ré-application globale en utilisant une stratégie de groupe qui permet de la forcer.
b) Stratégies de groupe lors de connexions réseau lentes :
Lors de la détection d’une connexion réseau lente (500kb/s par défaut, modifiable par une GPO), l’ordinateur détermine s’il est nécessaire ou non de mettre à jour les stratégies de groupe. Là aussi, le comportement en mode connexion lente peut être défini à l’aide d’une GPO.
c) Résolution des conflits entre les paramètres de stratégies de groupe :
Lorsqu’il y a un conflit entre deux GPO appliqués, la GPO conflictuelle la plus proche du client est appliquée.
Lorsque les deux GPO sont définis à un même niveau (par exemple sur la même OU), la GPO appliquée est celle qui se trouve en haut de la liste des stratégies de groupe appliquées au conteneur.
Toutefois, les paramètres de sécurité IP et les droits utilisateurs font exception. Le dernier objet GPO (le plus proche du client) remplace totalement tout autre objet GPO.
d) Modification de l’héritage d’une stratégie de groupe :
Il y a quatre possibilités pour l’héritage d’une GPO : Hériter, Forcer, Filtrer, Bloquer.? Hériter : L’option par défaut, tous les conteneurs et objets des niveaux inférieurs héritent de cette GPO (si aucun enfant ne bloque les GPO)
? Forcer : Tous les conteneurs et objets enfants héritent de la GPO même si un enfant est configuré pour bloquer les GPO
? Filtrer : Vous pouvez décider d’appliquer les GPO seulement à des groupes et pas à d’autres à l’aide de cette option.
? Bloquer : Annule l’héritage des GPO aux conteneurs et objets enfants (sauf dans le cas d’une GPO forcée).
e) Délégation du contrôle d’administration des objets stratégies de groupe
Il y a trois aspects à la délégation de GPO :? Gestion des liaisons à un conteneur (Site, Domaine, Unité d’organisation)
? Création d’objets GPO
? Modification d’objets GPO
A l’aide de l’assistant délégation de contrôle, il est possible de déléguer la gestion des liaisons à n’importe quelle personne sur un conteneur.
Par défaut, pour pouvoir créer une GPO, il faut être membre du groupe :
? Admins de domaine
? Administrateur de l’entreprise
? Propriétaires créateurs de la stratégie de groupe
Pour pouvoir modifier une GPO, il faut avoir l’accès en lecture/écriture, puis être soit le propriétaire de la GPO, soit membre des groupes :
? Admins de domaine
? Administrateur de l’entreprise
3 Surveillance et résolution de problèmes de stratégies de groupe a) Surveillance des stratégies de groupe
Activation de l’option inscription dans le journal de diagnostics : cette option permet de générer des détails dans le journal des événements. (Clé dans HKLM\Software\Microsoft\WindowsNT\CurrentVersion : RunDiagnosticLoggingGlobal (DWORD) à mettre à 1).
Activation de l’option inscription commentée : cette option permet de créer un journal (racine_systeme\Debug\UserMode\UserEnv.log) dans lequel toutes les applications des GPO sont décrites. (Clé : HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon : UserEnvDebugLevel (DWORD) à mettre à 30002.
30001 active uniquement l’enregistrement des erreurs et avertissements d’applications de GPO).
b) Outils de support de Windows 2000 permettant la résolution de problèmes de stratégie de groupe :
NetDiag.exe Teste la connectivité au réseau du client.
Replmon.exe Permet de vérifier s’il n’y a pas de problèmes de duplication incomplète. Cet outil permet aussi de forcer la réplication entre les contrôleurs de domaine.
GpoTool.exe Vérifie la « santé » des objets GPO sur les contrôleurs de domaine (Kit de Ressource Techniques).
Gpresult.exe Cet utilitaire affiche les informations relatives à l’impact de la stratégie de groupe sur l’ordinateur local et l’utilisateur qui a ouvert une session (Kit de Ressource Techniques).
Module 8
Utilisation d’une stratégie de groupe pour gérer des environnements
1 Présentation de la gestion des environnements utilisateur
La gestion des environnements utilisateurs implique le contrôle des actions des utilisateurs. On utilise les stratégies de groupe pour mettre en place ce contrôle.
Il existe quatre catégories sur lesquelles on peut influer pour administrer l’environnement des utilisateurs :
a) Paramètres de modèle d’administration
Permet de modifier les paramètres du registre des utilisateurs. Il intervient sur deux sous arborescences du Registre (HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER). Dans le cas d’un conflit avec les paramètres de Registre local, ce sont les paramètres de stratégie de groupe qui l’emportent.
Si une GPO contenant des paramètres ne s’applique plus, les modifications sur le Registre reviennent à leur état d’origine.
Types de paramètres Description Disponible pour
Composants Windows Stratégie concernant les outils intégrés à Windows 2000 (ex : NetMeeting, Internet Explorer, MMC, …)
Système Définition des procédures d’ouverture de
session, de quotas, …
Réseau Propriétés des connexions réseau et de la
gestion des fichiers hors connexion
Imprimantes Paramètres de gestion des imprimantes
publiées
Menu Démarrer et barre des tâches Propriétés liées au menu Démarrer (suppression de certains composants)
Bureau Gestion des éléments du bureau (Active
Desktop, Active Directory,…)
Panneau de configuration Gestion des paramètres du panneau de configuration.
b) Paramètres de script
Permet d’affecter des scripts aux machines ou aux utilisateurs. Les scripts affectés aux ordinateurs seront exécutés au démarrage et/ou à l’arrêt de l’ordinateur et les scripts affectés aux utilisateurs seront exécutés à l’ouverture et à la fermeture de la session.
c) Redirection des dossiers de l’utilisateur
Permet de rediriger les dossiers sensibles de l’utilisateur afin de centraliser sur un serveur les données et ainsi en faciliter la sécurité et la sauvegarde. Les dossiers pouvant être redirigés sont les suivants :
- Mes documents : - Menu Démarrer - Bureau
- Application Data
d) Paramètres de sécurité
Permet d’assigner un profil de sécurité aux ordinateurs par rapport à un modèle.
Module 9
Utilisation d’une stratégie de groupe pour gérer les logiciels
1 Présentation de la gestion du déploiement de logiciels
1. Préparation : Les fichiers d’installation au format Windows Installer doivent être copiés dans un partage sur un serveur de fichiers sur lequel les utilisateurs concernés auront les droits de lecture.
2. Déploiement : Une GPO doit être créée afin que les logiciels s’installent automatiquement lors du démarrage de l’ordinateur ou l’ouverture de session d’un utilisateur.
3. Maintenance : Le logiciel qui a été déployé peut être mis à jour via le même procédé et un Service Pack peut être automatiquement déployé sur l’ensemble des postes sur lesquels le logiciel a été installé.
4. Suppression : Lorsque vous voulez désinstaller un logiciel à distance, il suffit de supprimer la GPO permettant le déploiement du logiciel et automatiquement le logiciel sera supprimé des machines.
2 Présentation de Windows Installer
- Service Windows Installer : service s’exécutant sur le client et permettant de réaliser les installations à distance de façon complètement automatisée. Il est capable de modifier ou de réparer
automatiquement les logiciels défectueux.
- Package Windows Installer : fichier de type .msi contenant toutes les informations nécessaires à l’installation du logiciel.
3 Déploiement de logiciels a) Affectation de logiciels :
L’affectation permet de garantir la présence d’un logiciel pour un utilisateur ou une machine.
Dans le cas d’une affectation à un utilisateur, un raccourci de l’application va apparaître dans son menu Démarrer et les types de fichier de l’application seront directement enregistrés. Des que l’utilisateur va cliquer sur le raccourci ou sur un fichier de l’application (ex : un fichier .doc dans le cas de Word), le logiciel va s’installer automatiquement.
Dans le cas d’une affectation à un ordinateur, l’application va s’installer des le démarrage de la machine. Le logiciel sera alors disponible pour tous les utilisateurs de la machine.
? L’affectation d’une application à un contrôleur de domaine ne fonctionne pas.
b) Publication de logiciels :
La publication d’un logiciel laisse le choix à l’utilisateur d’installer ou non l’application sur sa machine.
Elle ne peut être mise en œuvre que pour un utilisateur et pas pour un ordinateur.
L’application apparaît dans le panneau de configuration Ajout/Suppression de programmes dans une liste regroupant toutes les applications pouvant être installées.
Une autre méthode permet d’installer le logiciel en utilisant l’appel de documents. Lorsqu’une application est publiée dans l’Active Directory les types de fichiers qu’elle prend en charge sont enregistrés et lorsqu’un fichier reconnu fait l’objet d’une tentative d’ouverture par un utilisateur ayant l’application correspondante publiée, le programme est installé.