6238B Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

(1)

P R O D U I T O F F I C I E L D E F O R M A T I O N M I C R O S O F T

6238B

Configuration et résolution des problèmes des services de domaine Active Directory ^® Windows Server ^® 2008

Volume 1

(2)

ii Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Les informations contenues dans ce document, y compris les URL et autres références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur en vigueur dans son pays. Aucune partie de ce document ne peut être reproduite, stockée ni introduite dans un système de restitution, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans l'autorisation écrite de Microsoft Corporation.

Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété intellectuelle portant sur tout ou partie des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle.

Les noms des fabricants, des produits ou des URL sont fournis uniquement à titre indicatif et Microsoft ne fait aucune déclaration et exclut toute garantie légale, expresse ou implicite, concernant ces fabricants ou l'utilisation des produits avec toutes les technologies Microsoft. L'inclusion d'un fabricant ou produit n'implique pas l'approbation par Microsoft de ce fabricant ou de ce produit. Des liens vers des sites Web tiers peuvent être fournis. Ces sites ne sont pas sous le contrôle de Microsoft et Microsoft n'est pas responsable de leur contenu ni des liens qu'ils sont susceptibles de proposer, ni des modifications ou mises à jour de ces sites. Microsoft n'est pas responsable de la diffusion sur le Web ou de toute autre forme de transmission reçue d'un site auquel ces liens renvoient. Microsoft fournit ces liens dans un souci pratique et l'insertion de tout lien n'implique pas l'approbation par Microsoft du site en question ou des produits qu'il contient.

Microsoft, Microsoft Press, Access, Active Directory, ActiveX, Convergence, Excel, Forefront, Hyper-V, Internet Explorer, MS, MSDN, MS-DOS, Outlook, PowerPoint, Segoe, SharePoint, SQL Server, Visio, Visual Basic, Visual Studio, Windows, Windows Live, Windows Mobile, Windows NT, Windows PowerShell, Windows Server et Windows Vista sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d’Amérique et/ou dans d’autres pays.

Toutes les autres marques sont la propriété de leurs détenteurs respectifs.

Référence : 6238B Réf. n° : X18-43311 Publié le : 07/2012

(3)

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 iii

(4)

iv Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

(5)

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 v

(6)

vi Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

(7)

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 vii

(8)

viii Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

(9)

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 ix

Remerciements

Microsoft® Learning tient à remercier les personnes ci-dessous pour leur participation au développement de ce cours. La qualité de cette formation tient essentiellement à leur travail à chaque stade du

développement.

Dan Holme – Expert technique

Diplômé de l'Université de Yale et de Thunderbird, Dan a été conseiller et formateur pendant 15 ans, en fournissant des solutions à des dizaines de milliers de professionnels de l'informatique des plus grandes entreprises et organisations du monde entier. La société de Dan, Intelliem, est un cabinet de conseil et de formation renommé dont les clients figurent dans le classement Fortune, ayant une expertise approfondie et une expérience étendue de Windows®, Active Directory® et Microsoft Office SharePoint®. Basé dans la charmante ville de Maui, Dan voyage dans le monde entier pour assister ses clients et les former aux technologies Microsoft. Dan est également rédacteur en chef de la revue Windows IT Pro, MVP Microsoft (Windows Server® Directory Services, 2007 et Office SharePoint Server, 2008-2009) et le responsable de la communauté SharePointProConnections.com. L'année dernière, Dan a publié deux ouvrages chez

Microsoft Press : le Windows Administration Resource Kit et le kit de formation pour l'examen 70-640 MCTS, deux des meilleurs bestsellers des ouvrages Windows. Il élabore actuellement des solutions SharePoint pour la diffusion des Jeux Olympiques d'hiver 2010 de Vancouver en tant que consultant Microsoft Technologies pour NBC Olympics, une fonction qu'il a occupée l'année dernière à Pékin et auparavant à Turin.

Claudia Woods – Réviseur technique

Claudia est administratrice LAN et formatrice Systems Engineer and Technology depuis plus de 10 ans.

Dans le cadre de ses fonctions, elle a conçu, implémenté et documenté des solutions technologiques pour divers clients. Claudia a également rédigé, édité et présenté des cours personnalisés sur les technologies pour diverses entités aux Etats-Unis. Elle participe régulièrement aux salons de l'informatique, tels que TechEd, MCT Summit et FOSE.

Originaire du sud-est des Etats-Unis, elle réside actuellement au Royaume-Uni. Elle est formatrice du personnel dans une entreprise internationale de formation aux technologies. Ses spécialisations Microsoft couvrent Windows Server, Active Directory et Exchange Messaging.

Ryan Boswell – Réviseur technique

Ryan travaille comme ingénieur système, conseiller informatique et formateur technologique depuis plus de 10 ans. Il possède diverses certifications Microsoft, notamment plusieurs niveaux MCSE, MCTS, MCITP et MCT. Ses spécialisations incluent les technologies Windows Server, Active Directory, System Center Configuration Manager, System Center Operations Manager et Microsoft Hyper-V™. Ryan réside à Denver dans le Colorado.

(10)

x Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Table des matières

Module 1: Présentation des services de domaine Active Directory (AD DS)

Leçon 1: Présentation d'Active Directory, des identités et des accès 1-4 Leçon 2: Composants et concepts Active Directory 1-18 Leçon 3: Installation des services de domaine Active Directory 1-39 Atelier pratique: Installation d'un contrôleur de domaine AD DS pour

créer une seule forêt de domaines 1-48

Leçon 4: Extension d'IDA avec le services Active Directory 1-54

Module 2: Administration sécurisée et efficace d'Active Directory

Leçon 1: Utilisation des composants logiciels enfichables Active Directory 2-4 Leçon 2: Consoles personnalisées et privilèges minimum 2-11 Atelier pratique A: Création et exécution d'une console d'administration

personnalisée 2-20

Leçon 3: Recherche d'objets dans Active Directory 2-27 Atelier pratique B: Recherche d'objets dans Active Directory 2-40 Leçon 4: Utilisation des commandes DS pour administrer Active Directory 2-46 Atelier pratique C: Utilisation des commandes DS pour administrer

Active Directory 2-59

Module 3: Gestion des utilisateurs

Leçon 1: Création et administration des comptes d'utilisateur 3-4 Atelier pratique A: Création et administration des comptes d'utilisateur 3-24 Leçon 2: Définition des attributs des objets utilisateur 3-28 Atelier pratique B: Définition des attributs des objets utilisateur 3-39 Leçon 3: Automatisation de la création des comptes d'utilisateur 3-44 Atelier pratique C: Automatisation de la création des comptes

d'utilisateur 3-52

Module 4: Gestion des groupes

Leçon 1: Gestion d'une entreprise avec des groupes 4-3

Leçon 2: Administration des groupes 4-33

Atelier pratique A: Administration des groupes 4-48 Leçon 3: Meilleures pratiques de gestion des groupes 4-53 Atelier pratique B: Meilleures pratiques de gestion des groupes 4-67

(11)

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 xi

Module 5: Prise en charge des comptes d'ordinateur

Leçon 1: Création d'ordinateurs et jonction au domaine 5-4 Atelier pratique A: Création d'ordinateurs et jonction au domaine 5-24 Leçon 2: Administration des objets et des comptes d'ordinateur 5-29 Atelier pratique B: Administration des objets et des comptes

d'ordinateur 5-43

Module 6: Implémentation d'une infrastructure de stratégie de groupe

Leçon 1: Fonctionnement de la stratégie de groupe 6-4

Leçon 2: Implémentation des objets GPO 6-16

Atelier pratique A: Implémentation d'une stratégie de groupe 6-29 Leçon 3: Examen approfondi des paramètres et des objets GPO 6-32 Atelier pratique B: Gestion des paramètres et des objets GPO 6-49 Leçon 4: Gestion de l'étendue d'une stratégie de groupe 6-54 Atelier pratique C: Gestion de l'étendue d'une stratégie de groupe 6-79 Leçon 5: Traitement d'une stratégie de groupe 6-83 Leçon 6: Résolution des problèmes d'application de stratégie 6-92 Atelier pratique D: Résolution des problèmes d'application de stratégie 6-101

Module 7: Gestion de la configuration et de la sécurité de l'entreprise

avec les paramètres de stratégie de groupe

Leçon 1: Délégation du support technique des ordinateurs 7-3 Atelier pratique A: Délégation du support technique des ordinateurs 7-11

Leçon 2: Gestion des paramètres de sécurité 7-13

Atelier pratique B: Gestion des paramètres de sécurité 7-33

Leçon 3: Gestion de logiciels avec GPSI 7-41

Atelier pratique C: Gestion de logiciels avec GPSI 7-56

Leçon 4: Audit 7-61

Atelier pratique D: Audit de l'accès aux systèmes de fichiers 7-71

Module 8: Administration sécurisée

Leçon 1: Délégation des autorisations administratives 8-3 Atelier pratique A: Délégation de l'administration 8-21 Leçon 2: Audit des modifications Active Directory® 8-26 Atelier pratique B: Audit des modifications Active Directory 8-32

(12)

xii Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Module 9: Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)

Leçon 1: Configuration des stratégies de mot de passe et de verrouillage 9-4 Atelier pratique A: Configuration des stratégies de mot de passe et de

verrouillage de compte 9-22

Leçon 2: Audit de l'authentification 9-26

Atelier pratique B: Audit de l'authentification 9-32 Leçon 3: Configuration des contrôleurs de domaine en lecture seule 9-35 Atelier pratique C: Configuration des contrôleurs de domaine en

lecture seule 9-52

(13)

À propos de ce cours xiii

À propos de ce cours

Cette section décrit brièvement le cours, le profil des stagiaires, les connaissances préalables requises et les objectifs du cours.

Description du cours

Ce cours de 5 jours a pour objectif d'apprendre aux spécialistes de la technologie Active Directory®

à configurer les services de domaine Active Directory (AD DS) dans un environnement distribué, implémenter une stratégie de groupe, effectuer des sauvegardes et des restaurations et résoudre les problèmes liés à Active Directory. À la fin de ce cours, les stagiaires seront à même d'implémenter et de configurer les services de domaine Active Directory dans leur environnement d'entreprise.

Public concerné

Ce cours s'adresse principalement aux spécialistes de la technologie Active Directory, administrateurs de serveurs et administrateurs d'entreprise qui souhaitent apprendre à implémenter Active Directory dans un environnement distribué, à sécuriser des domaines à l'aide de stratégies de groupe, à effectuer des sauvegardes et des restaurations, ainsi qu'à contrôler et résoudre les problèmes de configuration Active Directory, afin d'assurer un fonctionnement harmonieux.

Connaissances préalables

Pour pouvoir suivre ce cours, vous devez répondre aux critères suivants :

 Connaissances de base dans le domaine des réseaux. Vous devez connaître le fonctionnement de TCP/IP et avoir des connaissances de base dans les domaines de l'adressage, de la résolution des noms (Domain Name System [DNS]/Windows® Internet Name Service [WINS]) et des méthodes de connexion (câblé, sans fil, réseau privé virtuel [VPN]) et NET+ ou équivalent.

 Niveau de connaissances intermédiaire des systèmes d'exploitation réseau. Vous devez avoir des connaissances intermédiaires dans le domaine des systèmes d'exploitation, tels que Windows 2000, Windows XP ou Windows Server® 2003. Des connaissances dans le système d'exploitation Windows Vista® sont un avantage.

 Connaissances des meilleures pratiques de sécurité. Vous devez avoir des connaissances en matière d'autorisations liées aux systèmes de fichiers, de méthodes d'authentification et de renforcement de la sécurité des serveurs, etc.

 Connaissances élémentaires des matériels serveur. Vous devez avoir un niveau de premier cycle ou équivalent.

 Expérience dans la création d'objets dans Active Directory.

 Concepts de base des processus de sauvegarde et de restauration dans un environnement Windows Server. Vous devez avoir des connaissances de base en matière de types de sauvegardes, de méthodes de sauvegarde, de topologies de sauvegarde, etc.

Objectifs du cours

Ce cours va permettre au stagiaires d'atteindre les objectifs suivants :

 positionner le rôle stratégique d'un service d'annuaire dans une entreprise par rapport aux identités et aux accès ;

 expliquer les processus d'authentification et d'autorisation ;

(14)

xiv À propos de ce cours

 identifier les principaux composants d'AD DS ;

 comprendre les exigences d'installation d'un contrôleur de domaine pour créer une nouvelle forêt ;

 identifier les rôles et les relations entre AD DS, Services Active Directory Lightweight Directory (AD LDS), Services Active Directory Lightweight Directory (AD RMS), Services ADFS (Active Directory Federation Services) (AD FS) et Services de certificats Active Directory (AD CS) ;

 installer, rechercher et décrire les composants logiciels enfichables pour administrer les services de domaine Active Directory (AD DS) ;

 exécuter des tâches d'administration de base avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ;

 créer une console MMC (Microsoft Management Console) personnalisée pour l'administration ;

 exécuter des tâches d'administration en ayant ouvert une session comme utilisateur ;

 contrôler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ;

 rechercher des objets dans Active Directory ;

 utiliser des requêtes enregistrées ;

 identifier le nom unique (DN), le nom unique relatif (RDN) et le nom commun (CN) d'un objet Active Directory ;

 utiliser les commandes DS pour administrer Active Directory depuis la ligne de commande ;

 créer et définir les propriétés de compte d'un objet utilisateur ;

 identifier la fonction et les conditions des attributs d'un compte d'utilisateur ;

 exécuter les tâches d'administration courantes pour gérer les comptes d'utilisateur, notamment réinitialiser un mot de passe et déverrouiller un compte ;

 activer et désactiver des comptes d'utilisateur ;

 supprimer, déplacer et renommer des comptes d'utilisateur ;

 afficher et modifier les attributs masqués des objets utilisateur ;

 identifier la fonction et les conditions des attributs d'un objet utilisateur ;

 créer des utilisateurs à partir de modèles de comptes d'utilisateur.

 modifier simultanément les attributs de plusieurs utilisateurs ;

 exporter des attributs d'utilisateur avec CSVDE (Comma Separated Value Directory Exchange) ;

 importer des utilisateurs avec CSVDE ;

 importer des utilisateurs avec LDAP Lightweight Directory Access Protocol) LDIFDE (Data Interchange Format Directory Exchange) ;

 créer des groupes délégués sécurisés correctement documentés ;

 expliquer les types de groupes, l'étendue et l'imbrication ;

 comprendre la meilleure pratique d'imbrication de groupe pour gérer en fonction de rôles ;

 créer, supprimer et gérer des groupes avec des commandes DS, CSVDE et LDIFDE ;

(15)

À propos de ce cours xv

 énumérer et copier les membres des groupes ;

 expliquer les groupes par défaut (intégrés) ;

 expliquer les identités spéciales ;

 expliquer la relation entre un membre d'un domaine et le domaine en termes d'identité et d'accès ;

 identifier les conditions d'ajout d'un ordinateur à un domaine ;

 implémenter des processus de meilleures pratiques d'ajout d'ordinateurs ,

 sécuriser AD DS pour empêcher la création de comptes d'ordinateurs non gérés ;

 gérer les objets ordinateur et leurs attributs en utilisant l'interface Windows et les outils de ligne de commande ;

 administrer les comptes d'ordinateurs pendant leur cycle de vie ;

 identifier les facteurs professionnels de la gestion de configuration ;

 comprendre les composants et les technologies qui constituent la structure d'une stratégie de groupe ;

 gérer des objets Stratégie de groupe (GPO) ;

 configurer et comprendre les divers types de paramètres d'une stratégie ;

 définir la portée des objets GPO à l'aide de liens, de groupes de sécurité, de filtres WMI, de traitement par boucle de rappel et du ciblage des Préférences ;

 expliquer le stockage, la réplication et la gestion des versions des objets GPO ;

 administrer l'infrastructure d'une stratégie de groupe ;

 évaluer l'héritage, la priorité et le jeu de stratégie résultant (RSoP) ;

 localiser les journaux d'événements contenant les événements liés à une stratégie de groupe ;

 déléguer l'administration des ordinateurs ;

 modifier ou activer les membres des groupes à l'aide des stratégies de groupes restreints ;

 modifier les membres de groupes à l'aide des préférences de stratégie de groupe ;

 configurer les paramètres de sécurité à l'aide de la stratégie de sécurité locale ;

 créer et appliquer des modèles de sécurité pour gérer une configuration de sécurité ;

 analyser une configuration de sécurité basée sur des modèles de sécurité ;

 créer, modifier et appliquer des stratégies de sécurité en utilisant l'Assistant Configuration de la sécurité ;

 déployer la configuration de la sécurité à l'aide d'une stratégie de groupe ;

 déployer des logiciels à l'aide de l'installation logicielle d'une stratégie de groupe (GPSI) ;

 supprimer les logiciels installés initialement avec GPSI ;

 décrire l'objectif de la délégation pour une entreprise ;

 affecter des autorisations à des objets Active Directory à l'aide des interfaces utilisateur d'éditeur de sécurité et de l'Assistant Délégation de contrôle ;

(16)

xvi À propos de ce cours

 afficher et signaler les autorisations sur les objets Active Directory en utilisant l'interface utilisateur et des outils de ligne de commande ;

 rétablir les autorisations par défaut sur un objet ;

 décrire la relation entre une conception de délégation et une conception d'unité d'organisation ;

 configurer l'audit des modifications du service d'annuaire ;

 spécifier les paramètres d'audit au niveau des objets Active Directory ;

 identifier les entrées de journaux d'événements créées par l'audit d'accès à l'annuaire et l'audit des modifications du service d'annuaire ;

 implémenter votre stratégie de mot de passe de domaine et de verrouillage de compte ;

 configurer et affecter des stratégies de mot de passe affinées ;

 configurer l'audit des activités liées à l'authentification ;

 faire la distinction entre les événements de connexion de comptes et les événements Ouverture de session ;

 identifier les événements liés à l'authentification dans le journal de sécurité ;

 identifier les besoins pour les contrôleurs de domaine en lecture seule ;

 installer un contrôleur de domaine en lecture seule ;

 configurer une stratégie de réplication de mot de passe ;

 contrôler la mise en cache des informations d'identification sur un contrôleur de domaine en lecture seule ;

 expliquer le rôle structure, la structure et la fonctionnalité du système de noms de domaine (DNS) ;

 décrire les processus de résolution des noms de client et de serveur ;

 installer le service DNS ;

 gérer les enregistrements DNS ;

 configurer les paramètres du serveur DNS ;

 comprendre l'intégration entre AD DS et DNS ;

 choisir un domaine DNS pour un domaine Active Directory ;

 créer une délégation de zone pour un nouveau domaine Active Directory ;

 configurer la réplication des zones intégrées Active Directory ;

 décrire la fonction des enregistrements SRV dans le processus d'emplacement des contrôleurs d'un domaine ;

 comprendre le fonctionnement des serveurs DNS en lecture seule ;

 comprendre et configurer la résolution des noms en une partie ;

 configurer les paramètres avancés du serveur DNS ;

 auditer, gérer et dépanner le rôle de serveur DNS ;

 installer un contrôleur de domaine standard ou en lecture seule dans des arborescences ou des domaines, nouveaux ou existants ;

(17)

À propos de ce cours xvii

 ajouter et supprimer des contrôleurs de domaine à l'aide de diverses méthodes d'interface graphique utilisateur ou de ligne de commande ;

 configurer un contrôleur de domaine sur Server Core ;

 comprendre et identifier les rôles de maître d'opérations ;

 gérer l'emplacement, le transfert et la cessation des rôles de maître d'opérations ;

 migrer la réplication SYSVOL du service de réplication de fichiers (FRS) vers la réplication du système de fichiers DFS (DFS-R) ;

 configurer des sites et des sous-réseaux ;

 comprendre l'emplacement des contrôleurs de domaine et gérer les contrôleurs de domaine dans les sites ;

 configurer la réplication du jeu d'attributs partiels vers les serveurs de catalogues globaux ;

 implémenter la mise en cache de l'appartenance au groupe universel ;

 comprendre la fonction des partitions de l'annuaire d'applications ;

 configurer la topologie de réplication avec des objets de connexion, des serveurs tête de pont, des liens de sites et des ponts de liens de sites ;

 générer des rapports, analyser et résoudre les problèmes de réplication avec les outils repadmin.exe et dcdiag.exe ;

 contrôler les performances et les événements en temps réel avec le Gestionnaire des tâches, l'Observateur d'événements et le Moniteur de fiabilité et de performances Windows ;

 tirer parti des nouvelles fonctionnalités de l'Observateur d'événements de Windows Server 2008, notamment des vues personnalisées et des abonnements aux événements ;

 contrôler les performances en temps réel et enregistrées avec l'Analyseur de performances, des jeux d'éléments de collecte de données et des rapports ;

 identifier les sources d'informations relatives aux performances et aux événements des contrôleurs de domaine AD DS ;

 créer des alertes en fonction d'événements et de mesures de performances ;

 gérer et optimiser la base de données Active Directory ;

 sauvegarder et restaurer AD DS et les contrôleurs de domaine ;

 restaurer les objets et les attributs supprimés ;

 comprendre les niveaux fonctionnels des domaines et des forêts ;

 élever les niveaux fonctionnels des domaines et des forêts ;

 identifier les fonctions ajoutées par chaque niveau fonctionnel ;

 concevoir un domaine et une arborescence de domaine efficaces pour AD DS ;

 identifier le rôle de l'Outil de migration Active Directory et les problèmes liés à la migration d'objet et à la restructuration de domaine ;

 comprendre les relations d'approbation ;

 configurer, administrer et sécuriser les relations d'approbation.

(18)

xviii À propos de ce cours

Plan du cours

Cette section décrit la structure du cours :

Module 1. Ce module explique comment installer et configurer les services de domaine Active Directory et un contrôleur de domaine en lecture seule.

Module 2. Ce module explique comment travailler en toute sécurité et efficacement dans Active Directoy.

Module 3. Ce module explique comment gérer et prendre en charge les comptes d'utilisateur dans Active Directory.

Module 4. Ce module explique comment créer, modifier, supprimer et gérer des objets groupe dans Active Directory.

Module 5. Ce module explique comment créer et configurer des comptes d'ordinateur.

Module 6. Ce module décrit la stratégie de groupe, son fonctionnement et comment optimiser son implémentation dans votre entreprise.

Module 7. Ce module explique comment gérer la sécurité et l'installation des logiciels, et comment auditer les fichiers, ainsi que les dossiers.

Module 8. Ce module explique comment administrer les services de domaine Active Directory.

Module 9. Ce module explique les composants de domaine de l'authentification, notamment les stratégies qui définissent les conditions de mot de passe et l'audit des activités d'authentification.

Module 10. Ce module explique comment implémenter DNS pour prendre en charge la résolution de nom dans votre domaine AD DS et en dehors de votre domaine et votre intranet.

Module 11. Ce module explique comment administrer les contrôleurs de domaine dans une forêt.

Module 12. Ce module explique comment créer un service d'annuaire distribué qui prend en charge des contrôleurs de domaine dans des parties du réseau séparées par des liaisons coûteuses, lentes ou non fiables.

Module 13. Ce module explique les technologies et les outils disponibles pour garantir l'intégrité et la longévité du service d'annuaire. Vous allez apprendre à exploiter certains outils pour surveiller les performances en temps réel et à enregistrer au fur et à mesure ces performances dans un journal pour garder un œil sur les tendances et déceler les problèmes potentiels.

Module 14. Ce module explique comment élever les niveaux de fonctionnalité d'un domaine et d'une forêt dans votre environnement, concevoir une infrastructure AD DS optimale pour votre entreprise, migrer des objets entre des domaines et des forêts et activer l'authentification et les accès aux ressources dans plusieurs domaines et forêts.

(19)

À propos de ce cours xix

Documents de cours

Votre kit de cours contient les documents détaillés ci-dessous :

 Manuel du cours Guide de formation succinct qui fournit toutes les informations techniques importantes dans un format concis et très ciblé, parfaitement adapté à l'apprentissage en classe.

 Les leçons : vous guident dans les objectifs de formation et fournissent les points clés essentiels pour un apprentissage en classe réussi.

 Ateliers pratiques : fournissent une plateforme qui vous permettra de mettre en application les connaissances et compétences acquises dans le module.

 Contrôles des acquis et éléments à retenir : fournissent une documentation de référence pratique qui favorise la mémorisation des connaissances et compétences.

 Corrigés des ateliers pratiques fournissent des instructions pas à pas que vous pourrez consulter à tout moment au cours d'un atelier pratique.

Contenu d'accompagnement du cours à l'adresse

http://www.microsoft.com/learning/companionmoc/ : Contenu numérique facile à parcourir et dans lequel il est possible d'effectuer des recherches, qui comprend de précieuses ressources en ligne intégrées, proposées en complément du Manuel du cours.

 Modules : incluent l'accompagnement du cours, tel que les questions et les réponses, les étapes détaillées de la démonstration et les liens de la rubrique Documentation supplémentaire, pour chaque leçon. De plus, les modules incluent les questions et réponses de contrôle des acquis de l'atelier pratique, ainsi que des sections sur les contrôles des acquis et éléments à retenir, qui contiennent les questions et réponses de contrôle des acquis, les méthodes conseillées, des astuces et réponses sur les problèmes courants et la résolution des problèmes, des scénarios et problèmes concrets avec les réponses.

 Les ressources incluent des ressources supplémentaires présentées par catégories qui vous donnent un accès immédiat à du contenu utile et à jour disponible sur TechNet, MSDN® et Microsoft Press®.

Fichiers de cours destinés aux stagiaires à l'adresse

http://www.microsoft.com/learning/companionmoc/ : incluent le fichier exécutable à extraction automatique Allfiles.exe, lequel contient les fichiers requis pour les ateliers pratiques et démonstrations.

 Évaluation du cours À la fin du cours, vous aurez l'occasion de remplir une fiche d'évaluation en ligne pour faire part de vos commentaires sur le cours, le centre de formation et l'instructeur.

 Vous pouvez adresser d'autres commentaires ou remarques sur le cours par message électronique à l'adresse support@mscourseware.com. Pour obtenir des informations sur le programme MCP (Microsoft Certification Program), envoyez un message électronique à l'adresse mcphelp@microsoft.com.

(20)

xx À propos de ce cours

Environnement de l'ordinateur virtuel

Cette section contient les informations de configuration de l'environnement de la salle de cours en fonction du scénario d'entreprise du cours.

Configuration de l'ordinateur virtuel

Dans ce cours, vous utiliserez Microsoft Virtual Server 2005 et l'utilitaire de lancement des ateliers pratiques MSL pour effectuer les ateliers pratiques.

Important à la fin de chaque atelier pratique, vous devez arrêter l'ordinateur virtuel sans enregistrer vos modifications. Pour arrêter un ordinateur virtuel sans enregistrer les modifications, procédez comme suit : 1. Pour chaque ordinateur virtuel actif, fermez la fenêtre VMRC (Virtual Machine Remote Control). 2. Dans la zone Fermer, sélectionnez Éteindre l'ordinateur et ignorez les modifications. Cliquez sur OK.

Le tableau suivant répertorie le rôle de chaque ordinateur virtuel utilisé dans ce cours : Ordinateur virtuel Rôle

6238B-HQDC01-A Contrôleur de domaine Windows Server 2008 dans le domaine Contoso 6238B-HQDC01-B Contrôleur de domaine Windows Server 2008 dans le domaine Contoso 6238B-HQDC01-D Membre de groupe de travail Windows Server 2008

6238B-HQDC02-A Membre de groupe de travail Windows Server 2008

6238B-HQDC02-B Contrôleur de domaine Windows Server 2008 dans le domaine Contoso 6238B-HQDC03-A Windows Server 2008 Server Core dans le groupe de travail

6238B-HQDC03-B Windows Server 2008 Server Core dans le domaine Contoso 6238B-DESKTOP101-A Client Windows Vista dans le domaine Contoso

6238B-BRANCHDC01-A Membre de groupe de travail Windows Server 2008

6238B-BRANCHDC01-B Contrôleur de domaine Windows Server 2008 Server Core dans le domaine Contoso

6238B-SERVER01-A Contrôleur de domaine Windows Server 2008 dans le domaine Contoso 6238B-SERVER01-B Membre de groupe de travail Windows Server 2008

6238B-TSTDC01-A Contrôleur de domaine Windows Server 2008 dans le domaine Tailspintoys

Configuration logicielle

Les logiciels suivants sont installés sur l'ordinateur virtuel :

 Windows Server 2008 Entreprise

 Windows Vista Entreprise

(21)

À propos de ce cours xxi

Installation de la salle de classe

L'ordinateur virtuel sera configuré de la même façon sur tous les ordinateurs de la classe.

Niveau des éléments matériels du cours

Pour garantir une utilisation satisfaisante, les formations Microsoft requièrent une configuration matérielle minimale pour les ordinateurs de l'instructeur et des stagiaires dans toutes les salles de cours Microsoft CPLS (Certified Partner for Learning Solutions) dans lesquelles des cours sur les produits officiels de Microsoft sont dispensés.

Ce cours répond à un niveau de matériel 5.5 avec une mémoire RAM étendue. Consultez le guide de configuration de la salle de cours pour plus d'informations sur les spécifications matérielles.

Important le niveau de matériel de ce cours a été modifié pour fonctionner par défaut en supposant qu'une mémoire RAM de 4 Go plutôt que 2 Go, qui correspond à la quantité normale de mémoire nécessaire pour le niveau de matériel 5.5, est disponible sur l'ordinateur hôte. Par conséquent, la configuration par défaut sur l'installation et dans l'environnement de démarrage est définie pour s'exécuter sur un ordinateur hôte disposant d'une mémoire RAM de 4 Go. Pour plus d'informations sur la configuration de cet

environnement, suivez les étapes décrites dans la section Configuration de la salle de cours – Niveau de matériel 5.5 avec une mémoire RAM de 4 Go du guide de configuration de la salle de cours.

Si les ordinateurs des stagiaires ne disposent pas d'une mémoire RAM de 4 Go, vous devez procéder à une configuration alternative. Un fichier LauncherSettings.config alternatif est fourni avec le cours ; il redéfinit les valeurs de mémoire RAM de chaque ordinateur virtuel pour leur permettre de démarrer et de fonctionner au niveau matériel normal 5.5 avec une mémoire RAM de 2 Go sur l'ordinateur hôte. Pour plus d'informations sur la configuration de la salle de cours lorsque 2 Go de mémoire RAM seulement sont disponibles sur les ordinateurs des stagiaires, consultez la section Configuration de la salle de cours - Niveau de matériel 5.5 avec une mémoire RAM de 4 Go dans le guide de configuration de la salle de cours.

Il est également vivement recommandé de lire le guide de démarrage de l'utilitaire de lancement des ateliers pratiques MSL disponible dans le centre de téléchargement MCT. Ce guide explique comment installer et personnaliser l'utilitaire de lancement des ateliers pratiques et il complète le guide de configuration spécifique de ce cours.

Chaque ordinateur du cours fait office d'hôte pour cinq ordinateurs virtuels exécutés dans Virtual Server 2005 R2 SP1.

La durée de la configuration de la salle de cours est de 140 minutes (2 h 20) environ.

(22)

xxii À propos de ce cours

(23)

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 1-1

Module 1

Présentation des services de domaine Active Directory (AD DS)

Table des matières :

Leçon 1: Présentation d'Active Directory, des identités et des accès 1-4 Leçon 2: Composants et concepts Active Directory 1-18 Leçon 3: Installation des services de domaine Active Directory 1-39 Atelier pratique: Installation d'un contrôleur de domaine AD DS pour

créer une seule forêt de domaines 1-48

Leçon 4: Extension d'IDA avec les services Active Directory 1-54

(24)

1-2 Présentation des services de domaine Active Directory (AD DS)

Vue d'ensemble du module

Active Directory ® et ses services connexes constituent la base des réseaux d'entreprise fonctionnant sous le système d'exploitation Windows®. En effet, ils agissent ensemble pour stocker des informations sur l'identité des utilisateurs, des ordinateurs et des services, pour authentifier un utilisateur ou un ordinateur et pour fournir à l'utilisateur ou à l'ordinateur un mécanisme d'accès aux ressources de l'entreprise. Dans ce module, vous commencerez votre exploration d'Active Directory Windows Server® 2008 en installant le rôle Services de domaine Active Directory (AD DS) et en créant un contrôleur de domaine (DC) dans une nouvelle forêt Active Directory. Vous constaterez que Windows Server 2008 poursuit l'évolution d'Active Directory en améliorant la plupart des concepts et des fonctionnalités que vous connaissez de par votre expérience avec Active Directory.

Ce module se concentre sur la création d'une nouvelle forêt Active Directory à un domaine dans un contrôleur de domaine unique. L'atelier pratique de ce module vous guidera à travers les étapes de création d'un domaine nommé contoso.com que vous utiliserez pour tous les autres ateliers pratiques du cours. Dans les modules ultérieurs, vous apprendrez à implémenter d'autres scénarios, notamment des forêts à plusieurs domaines, des mises à niveau de forêts existantes de Windows Server 2008 et des options d'installation avancées.

Plus important encore, ce module plante le décor de l'ensemble du cours en présentant une vue générale d'Active Directory. Vous y étudierez les concepts clés de l'authentification, des autorisations et des services d'annuaire, et vous porterez un regard global sur les principaux composants d'Active Directory et

comment ils se complètent. Si vous êtes très expérimenté avec Active Directory ou une version plus récente de la plateforme, ce module vous permettra de comprendre dans quelle direction ce cours vous mène.

Objectifs

Ce module va vous permettre d'atteindre les objectifs suivants :

(25)

• positionner le rôle stratégique d'un service d'annuaire dans une entreprise par rapport aux identités et aux accès ;

• expliquer les processus d'authentification et d'autorisation ;

• identifier les principaux composants d'AD DS ;

• comprendre les exigences d'installation d'un contrôleur de domaine pour créer une nouvelle forêt ;

• identifier les rôles et les relations entre AD DS, AD LDS, AD RMS, AD FS et AD CS.

(26)

Leçon 1

Présentation d'Active Directory, des identités et des accès

Les services de domaine Active Directory (AD DS) fournissent les fonctionnalités d'une solution d'identité et d'accès (IDA) pour des réseaux d'entreprise. La leçon passe en revue les concepts clés d'IDA et d'Active Directory.

Objectifs

Cette leçon va vous permettre d'atteindre les objectifs suivants :

• expliquer les concepts, la terminologie, les processus et les technologies d'authentification et d'autorisation ;

• positionner le rôle stratégique d'un service d'annuaire dans une entreprise au regard des identités et des accès.

(27)

Protection des informations en quelques mots

Pour faire simple, le travail d'un professionnel des technologies de l'information est de connecter des utilisateurs aux données dont ils ont besoin pour accomplir leur travail. Ce serait plutôt facile si nous n'avions pas à nous soucier d'un petit détail appelé « sécurité ». Étant donné que les utilisateurs

nécessitent différents niveaux d'accès à différentes classes d'informations, nous devons gérer l'association des utilisateurs corrects aux niveaux d'accès correspondants : c'est la protection des informations.

En informatique, il y a plusieurs approches possibles pour protéger des informations. Cette marée d'abréviations et d'acronymes de structures représente simplement des perspectives différentes d'un même problème :

• IDA : Identity and Access (identité et accès). Les utilisateurs et les autres entités de sécurité (qui peuvent inclure des services, des ordinateurs et des groupes) sont représentés par des identités (souvent appelées « comptes ») auxquelles nous accordons un accès (des autorisations) à des informations, des ressources ou des systèmes.

• AAA : Authentication, Authorization, and Accounting (authentification, autorisation et gestion des comptes). Les utilisateurs fournissent des informations d'identification telles qu'un nom d'utilisateur et un mot de passe. Ils sont authentifiés que s'ils fournissent des informations d'identification validées.

Les utilisateurs reçoivent des autorisations d'accès à des ressources (contrôle d'accès) qui sont utilisées pour autoriser des demandes d'accès. L'accès est surveillé par une gestion des comptes et un audit.

Dans certains documents, l'audit est représenté par un « A » distinct de la gestion des comptes.

L'acronyme devient donc « AAAA ».

• CIA : Confidentiality, Integrity, and Availability (confidentialité, intégrité et disponibilité). Les informations sont protégées afin qu'elles ne soient pas divulguées à des personnes non autorisées (confidentialité) et qu'elles ne soient pas modifiées de manière incorrecte (intégrité), que ce soit intentionnellement ou par inadvertance. Les informations sont disponibles lorsqu'elles sont nécessaires (disponibilité).

(28)

Lectures complémentaires

• Microsoft Identity and Access Solutions (en anglais) - http://go.microsoft.com/fwlink/?LinkId=168485

(29)

Identité et accès (IDA)

Deux concepts essentiels sont au cœur de la protection des informations : l'identité et l'accès (IDA).

Consacrons quelques minutes à passer en revue les principes de base, les composants, les processus et les technologies associés à l'identité et à l'accès sur les systèmes Windows. Vous devez certainement

connaître la plupart ou l'ensemble de ces informations de par votre expérience passée avec Windows, mais il est important de planter le décor pour le rôle d'Active Directory et de clarifier la terminologie, les composants et les processus qu'impliquent IDA.

Dans un système sécurisé, chaque utilisateur est représenté par une identité. Dans les systèmes Windows, l'identité est le compte d'utilisateur. Les comptes d'un ou plusieurs utilisateurs sont conservés dans un magasin d'identités, également appelé base de données d'annuaire. Une identité est appelée une entité de sécurité dans les systèmes Windows. Les entités de sécurité sont identifiées de manière unique par un attribut appelé identificateur de sécurité (SID).

À l'autre extrémité du système se trouve la ressource à laquelle l'utilisateur demande l'accès. La ressource est sécurisée par des autorisations, et chaque autorisation spécifie l'association d'un niveau d'accès particulier à une identité. De nombreuses ressources de Windows, notamment les fichiers et les dossiers sur des volumes NTFS, sont sécurisées par un descripteur de sécurité judicieusement nommé qui contient une liste de contrôle d'accès discrétionnaire (DACL) dans laquelle chaque autorisation prend la forme d'une entrée de contrôle d'accès (ACE).

(30)

Authentification et autorisation

Il y a certains concepts et processus importants entre l'utilisateur (entité de sécurité) et l'accès aux ressources.

Les quatre prochaines diapositives décrivent en détail ce processus.

(31)

Authentification

L'authentification est le processus de vérification de l'identité d'un utilisateur. L'utilisateur fournit des informations d'identification constituées d'au moins deux parties : un nom de connexion et un secret connu uniquement de l'utilisateur et du système, tel qu'un mot de passe. Le système valide l'exactitude des informations d'identification présentées par l'utilisateur par rapport à celles stockées pour l'identité.

Il existe deux types d'authentifications : locale et à distance. Une ouverture de session locale ou interactive se produit lorsqu'un utilisateur ouvre une session sur un ordinateur directement, par exemple lorsque vous vous connectez à votre ordinateur portable le matin. Une connexion à distance ou réseau se produit lorsque vous vous connectez à un autre ordinateur, tel qu'un serveur de fichiers, un serveur de messagerie ou même un contrôleur de domaine pour récupérer un script d'ouverture de session.

(32)

Jetons d'accès

Une fois qu'un utilisateur a été authentifié, l'autorité de sécurité locale (LSA) génère un jeton d'accès de sécurité (également appelé jeton de sécurité ou jeton d'accès) qui représente l'utilisateur auprès du système en collectant le SID de l'utilisateur et les SID de tous les groupes auxquels l'utilisateur appartient.

Le jeton d'accès représente également des privilèges (également appelés droits d'utilisateur) détenus par l'utilisateur sur le système, par exemple le droit d'arrêter le système ou encore le droit d'ouvrir une session sur le système de façon interactive (localement).

Il est important de se souvenir que le jeton d'accès est généré et conservé localement, sur l'ordinateur qui a authentifié l'utilisateur. Lorsqu'un utilisateur ouvre une session sur son ordinateur de bureau (ouverture de session interactive ou locale), ce dernier crée un jeton de sécurité et, en supposant que l'utilisateur a le droit d'ouvrir une session sur le système de façon interactive, il appelle le processus Explorateur Windows, ce qui crée le Bureau.

Lorsqu'un utilisateur se connecte ensuite à un serveur pour accéder à un fichier partagé (ouverture de session à distance ou réseau), le serveur authentifie l'utilisateur et génère un jeton d'accès sur le serveur qui représente l'utilisateur avec le SID de l'utilisateur et les SID de tous les groupes auxquels cet utilisateur appartient. Le jeton d'accès sur le serveur est distinct du jeton d'accès sur l'ordinateur de bureau de l'utilisateur. Un jeton d'accès n'est jamais transmis sur le réseau, et la LSA d'un système Windows n'accepte jamais un jeton d'accès généré par une autre LSA.

Cela devrait pourtant être le cas car un utilisateur appartient probablement à différents groupes locaux sur le serveur plutôt que sur l'ordinateur de bureau et détient sans doute différents privilèges (droits d'utilisateur) sur le serveur plutôt que sur l'ordinateur de bureau.