Introduction aux services de domaine Active Directory

Introduction aux services de domaine Active Directory

Chapitre 1

A. Rôle du service d'annuaire dans l'entreprise . . . . 16

B. Positionnement et innovations de Windows Server 2008 R2 17

2. Évolutions en matière de sécurité . . . . 18

3. Accès aux applications et mobilité . . . 18

4. Virtualisation des serveurs . . . . 18

5. Nouveautés apportées par Windows Server 2008 et Windows Server 2008 R2 . . . 19

6. Innovations apportées à Active Directory . . . . 20

a. AD DS: Audit. . . . 20

b. AD DS: Gestion granulaire des stratégies de mot de passe . . . 21

c. AD DS: Contrôleurs de domaine en lecture seule . . . . 21

d. AD DS: Redémarrage des services de domaine Active Directory . 22 e. AD DS: Aide à la récupération des données . . . . 22

f. AD DS: Améliorations de l’interface Active Directory. . . 22

C. Windows Server 2008 R2 : stratégie de Microsoft . . . . 23

1. Intégration de l'innovation au sein de Windows Server . . . . 24

2. Le nouveau cycle de produits Windows Server . . . . 24

a. Versions majeures . . . . 25

b. Versions mises à jour . . . . 25

c. Service Packs . . . 25

d. Feature Packs . . . . 26

3. Windows Server 2008 et Windows Server 2008 R2 . . . . 26

D. Services fondamentaux et protocoles standard . . . . 27

Annuaires, opérations LDAP et services de domaine AD

Chapitre 2

A. À propos des annuaires . . . . 32

B. Un peu d'Histoire . . . . 33

C. LDAPv2 & LDAPv3 . . . . 34

D. Conformité LDAP de Windows 2000 . . . . 36

E. Conformité LDAP de Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 . . . 37

F. Compatibilité LDAP et support de la classe inetOrgPerson . 39 G. Objet RootDSE et extensions LDAPv3 . . . . 47

H. Authentifications LDAP et SASL . . . . 49

I. Références LDAP . . . . 50

Éléments de structure Active Directory Chapitre 3 A. Introduction . . . . 52

B. Objets. . . . 55

1. Classes et attributs d'objets . . . . 55

2. Création d'un attribut LDAP et valeur du Nom LDAP affiché . . . . 62

3. Protection des classes et attributs SYSTEM . . . . 67

4. Désactivation d'une classe ou d'un attribut . . . . 68

5. Objets, classes, attributs et intégration des applications. . . . 69

6. Outils d'administration en ligne de commande de Windows Server 2003 et Windows Server 2008 R2 . . . 70

C. Schéma . . . . 74

1. Construction de l'annuaire Active Directory et chargement du schéma par défaut. . . 74

2. Protection du schéma . . . . 78

D. Conventions de nommage . . . . 80

1. Le nom unique relatif (RDN - Relative Distinguished Name) . . . . 80

2. Le nom unique (DN - Distinguished Name) . . . . 81

3. Le nom canonique . . . . 82

4. Le GUID de l'objet (Globally Unique Identifier) . . . . 83

5. Le SID de l'objet . . . . 83

Composants de la structure logique _{Chapitre 4} A. Introduction aux composants de la structure logique . . . 90

B. Les domaines . . . . 90

1. Conteneur (container) au sein de la forêt . . . . 93

2. Niveaux fonctionnels des domaines . . . . 94

3. Gestion des stratégies au niveau des domaines . . . . 99

4. Délégation de l'administration des domaines et contrôle des paramètres spécifiques au domaine . . . 100

5. Utilisation du domaine comme unité de réplication élémentaire . . 104

6. Limites du domaine Active Directory et délégation contrainte . . . 105

C. Contrôleurs de domaine et structure logique. . . 109

D. Les unités d'organisation (OU) . . . 113

E. Les arbres . . . 119

F. Les forêts . . . 130

1. Critères, rôle et bon usage des forêts . . . . 132

2. Configuration de la forêt et domaine racine . . . . 132

3. Activation des nouvelles fonctionnalités de forêt de Windows Server 2003, Windows Server 2008

et de Windows Server 2008 R2 . . . 135

4. Unités de réplication et rôle des forêts . . . . 142

5. Maîtres d'opérations FSMO de forêts. . . . 145

6. La forêt et l'infrastructure physique Active Directory . . . . 146

7. Frontières de sécurité et rôle des forêts . . . . 148

8. Approbations au sein des forêts Active Directory. . . . 150

a. Bénéfices apportés par la transitivité des approbations . . . . 150

b. Structure de la forêt et approbations . . . . 152

c. Approbations et objets TDO dans les forêts Active Directory . . 153

d. Types d'approbation supportés. . . . 156

e. Forêts Windows Server (2003, 2008 ou 2008 R2) et approbations de forêts . . . 159

f. Routage des suffixes de noms et approbations de forêts . . . . 161

g. Utilisation de la commande Netdom pour créer et gérer les approbations . . . 164

G. Réussir le processus de mise à niveau d’Active Directory vers les services de domaine Active Directory de Windows Server 2008 (et R2) . . . 166

1. Vérifications et gestion des risques . . . . 167

2. Préparation de l’infrastructure Active Directory pour Windows Server 2008 ou Windows Server 2008 R2. . . 167

3. Mise en œuvre d’un nouveau contrôleur Windows Server 200 ou Windows Server 2008 R2 AD DS . . . 169

4. Réaffectation des rôles FSMO . . . . 170

5. Opérations de finalisation Post Migration . . . . 171

a. Modification des stratégies de sécurité des contrôleurs de domaine . . . 171

b. Mise à jour des autorisations des objets GPO pour les domaines migrés à partir de Windows 2000 . . . 173

Composants de la structure physique _{Chapitre 5}

A. Introduction . . . 176

B. Contrôleurs de domaine et structure physique . . . 177

1. Catalogue global et ensemble partiel d'attributs . . . . 179

2. Rôle des catalogues globaux . . . . 181

3. Fonctions principales des catalogues globaux . . . . 182

4. Catalogues globaux et activation de l'appartenance aux groupes universels . . . 183

C. Sites et services Active Directory . . . 184

1. Qu'est-ce qu'un site Active Directory ? . . . . 185

2. Pourquoi créer un site ? . . . . 185

3. Sites et services . . . . 186

D. Réplication Active Directory . . . 188

1. Concept de la réplication intrasite . . . . 189

2. Réplication intrasite avec des contrôleurs Windows 2000 Server, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 . . . 194

3. Concept de la réplication intersites . . . . 195

4. Création des objets connexion en intrasite et anneaux de réplication 196 5. Réplication intersites à l'aide des liens de sites et ponts de liaisons . 201 a. Les liens de sites . . . . 202

b. Choix du transport Intersites : IP (avec RPC) ou SMTP . . . . 204

c. Service système Messagerie intersites. . . . 206

d. Mise en œuvre du transport SMTP . . . . 206

6. Gestion des liens intersites et des coûts de réplication . . . . 208

a. Détermination de la planification et des coûts des liens intersites 208 b. Pourquoi désactiver le pontage par défaut de tous les liens de sites ? . . . 211

c. Effets de la désactivation de la transitivité sur le KCC et avantages dans les grands réseaux. . . 212

d. Effets de la désactivation de la transitivité sur la topologie DFS212

e. À propos des algorithmes utilisés par le KCC/ISTG . . . . 213

f. Création d'un nouveau pont entre liens de sites . . . 214

g. Gestion des serveurs tête de pont . . . . 214

h. Définition du générateur de topologie intersites . . . . 218

E. Résolution des problèmes de réplication . . . 219

F. Contrôle des réplications urgentes en intersites . . . 220

1. Événements pris en charge par les réplications urgentes . . . . . 220

2. Verrouillage des comptes utilisateur et réplication urgente . . . . . 221

3. Changements de mots de passe et réplication Active Directory . . . 223

4. Gestion des "Bad Passwords" et optimisation des trafics . . . . . 224

5. Activation des messages de notification de modifications sur un objet lien de site . . . 225

6. Administration des mots de passe à l'aide de la DLL Acctinfo.dll . . 226

G. Critères d'architecture à considérer pour définir la topologie de réplication intersites . . . 230

Services d'infrastructure Active Directory Chapitre 6 A. Introduction . . . 234

B. Recherches LDAP et catalogues globaux . . . 234

1. LDAP et la sécurité . . . . 235

2. Comment utiliser la commande LDP pour rechercher un objet via LDAP . . . 235

3. Récupération des syntaxes et attributs à l'aide de la console Utilisateurs et ordinateurs Active Directory . . . 237

4. Ajout, retrait de la fonction de catalogue global et ports TCP/IP . . 239

5. Ports réseaux utilisés par les contrôleurs

de domaine catalogues globaux. . . 241

C. Positionnement des catalogues globaux . . . 242

1. Authentifications et appartenance aux groupes universels de sécurité . . . 242

2. Indisponibilité des catalogues globaux . . . . 243

3. Personnalisation des attributs présents dans les catalogues globaux . . . 244

4. Mise en cache de l'appartenance des groupes universels . . . . . 245

5. Bonnes pratiques pour déterminer le positionnement des catalogues globaux . . . 249

D. Planification et critères d'emplacement et d'affectation des contrôleurs de domaine . . . 249

E. Planification et critères d'emplacement et d'affectation des catalogues globaux . . . 252

F. Planification et critères d'emplacement et d'affectation des serveurs DNS Active Directory . . . 253

G. Positionnement des maîtres d'opérations . . . 255

1. Rôle des contrôleurs maîtres d'opérations. . . . 255

2. Recommandations générales concernant l'emplacement des maîtres d'opérations . . . 260

3. Emplacement du contrôleur maître de schéma . . . . 261

4. Emplacement du contrôleur maître d'opérations de noms de domaines . . . 261

5. Emplacement du contrôleur maître d'opérations de PDC Emulator . . . 262

6. Emplacement du maître d'opérations RID . . . 263

7. Emplacement du maître d'opérations d'infrastructure . . . . 264

8. Prise de contrôle forcée des maîtres d'opérations . . . . 265

9. Bonnes pratiques à respecter et emplacement des maîtres d'opérations . . . 267

Maintenance d'une infrastructure Active Directory

Chapitre 7

A. Maintenance Active Directory avec

Windows Server 2008 et 2008 R2 . . . 270

B. Introduction à la maintenance Active Directory . . . 271

1. À propos du moteur de base de données ESE . . . . 272

a. Mise en cache et points importants . . . . 273

b. Fichiers utilisés par ESE . . . . 275

c. Nouvelle structure de fichiers Active Directory de Windows Server 200 et Windows Server 2008 R2 . . . 276

C. Opérations de maintenance Active Directory. . . 278

1. Introduction . . . . 278

2. Pourquoi est-il nécessaire de défragmenter ? . . . . 279

3. Comment défragmenter ? . . . . 280

a. Introduction . . . . 280

b. Pourquoi effectuer une défragmentation hors connexion ? . . . 280

c. Procédure de défragmentation . . . . 280

4. Pourquoi déplacer la base de données et les fichiers journaux ? . . 283

5. Comment déplacer la base de données ? . . . . 284

D. Sauvegarde de l'annuaire Active Directory. . . 285

1. Introduction . . . . 285

2. Pourquoi est-il vital de réaliser une sauvegarde ? . . . . 286

3. État du système (System State). . . . 286

4. Procédure de sauvegarde de l'Active Directory avec Windows Server 2003 . . . 288

E. Restauration de l'annuaire Active Directory avec Windows Server 2003 . . . 290

1. Introduction . . . . 290

2. Méthodes de restauration . . . . 291 a. Importance de la durée de vie des objets de désactivation . . . 292 3. Comment exécuter une restauration en mode principal

pour Windows Server 2003 ? . . . 293 4. Comment exécuter une restauration normale pour

Windows Server 2003 . . . 294 5. Comment exécuter une restauration forcée avec

Windows Server 2003 ?. . . 295

F. Outils et méthodes de Sauvegarde de

Windows Server 2008 et 2008 R2 . . . 296

1. Opérations prises en charge par l'outil Sauvegard

de Windows Server . . . 297 2. À propos des droits de sauvegarde et restauration et

de NTBackup 2003 . . . 297 3. Nouvelles fonctionnalités de Sauvegarde de Windows Server . . . 298 4. Différences entre NTBackup et Sauvegarde de Windows Server . . 300 5. Installation de l'outil Sauvegarde de Windows Server . . . . 301 6. Nouvelles fonctionnalités de l'outil Sauvegarde de Windows Server . 303 a. Composants Windows et opérations de sauvegardes . . . 303 b. Outil Sauvegarde de Windows Server, support de VSS

et performances. . . 303 c. Sauvegardes locales et clichés instantanés du support

de sauvegarde VHD . . . 304 d. Sauvegarde sur le réseau . . . . 306 e. Sauvegardes sur DVD . . . . 307 f. Sauvegardes de type Etat du système en ligne de commande. . 307 g. Sauvegarde d'un serveur via la console MMC . . . 311 h. Sauvegarde d'un serveur en ligne de commande . . . . 313

G. Opérations de sauvegarde et restauration Active Directory avec Windows Server 2008

et Windows Server 2008 R2 . . . 315

1. Récupération complète du système d'exploitation

Windows Server 2008 . . . 315

a. Restauration à l'aide de l'environnement de récupération WinRE 315 2. Récupération de l'état système d'un contrôleur de domaine

Windows Server 2008 ou 2008 R2 . . . 321

a. Clichés instantanés de la base Active Directory et consultation des données via l'outil Active Directory Database Mounting Tool - DMT . . . 321

H. Sauvegarde et restauration AD DS - Bonnes pratiques . . 325

I. Nouveaux paramètres de GPO pour les opérations de sauvegarde de Windows Server 2008 . . . 326

J. Maintenance de l'annuaire Active Directory . . . 328

1. Définir une politique de surveillance . . . . 328

2. Outils utilisés . . . . 329

a. L'observateur d'événements . . . . 330

b. L'analyseur de performances et le moniteur de fiabilité et de performances . . . 331

c. Journaux de surveillance et de traçage . . . . 338

3. Événements à auditer . . . . 340

a. Événements réseaux des contrôleurs de domaine . . . . 340

b. Événements de réplication . . . . 341

c. Événements d'authentification . . . . 341

4. Compteurs de performance à contrôler . . . . 342

a. Compteurs de performance pour le contrôle de la quantité de données répliquées . . . 342

b. Compteurs de performance pour le contrôle des fonctions et services principaux . . . 343

c. Compteurs de performance de contrôle des volumes de sécurité principaux . . . 344

d. Compteurs de performance pour le contrôles des principaux indicateurs du système . . . 344

5. Usage des bonnes pratiques pour surveiller Active Directory . . . . 346

Configuration des rôles de serveurs avec les services Active Directory

Chapitre 8

A. Introduction . . . 350

1. Services d'annuaire de Windows 2000 Server et services associés . 350 2. Services d'annuaire de Windows Server 2003 et services associés . 351 3. Services d'annuaire de Windows Server 2003 R2 et services associés. . . 355

4. Services d'annuaire de Windows Server 2008 R2 et services associés. . . 357

B. Nouvelles fonctionnalités des services de domaine AD DS de Windows Server 2008 et Windows Server 2008 R2 . . 357

1. Introduction . . . . 357

2. Rôle contrôleur de domaine et mode Server Core . . . . 358

a. À propos du mode Server Core . . . . 358

b. Limitations d'une installation en mode Server Core . . . . 361

c. Server Core et rôles Windows Server 2008 ou Windows Server 2008 R2 . . . 361

d. Installation de Windows Server 2008 en mode Server Core . . 363

e. Installation d'un contrôleur RODC en mode Server Core . . . . 370

3. Rôle de contrôleur de domaine en mode lecture seule . . . . 372

a. Sécurisation des mots de passe sur les contrôleurs RODC . . . 373

b. Réplication des mots de passe sur les contrôleurs RODC . . . 376

c. Pré-remplissage des mots de passe sur un contrôleur en lecture seule . . . 380

d. Conditions requises pour déployer un contrôleur en mode lecture seule (RODC) et limitations . . . 381

4. Pourquoi et comment évoluer vers le niveau fonctionnel de domaine Windows Server 2008 et 2008 R2 ? . . . 383

5. Gestion des stratégies de mot de passe granulaires . . . . 385

6. Service d'audit Active Directory . . . . 393

7. Protection des objets Active Directory contre l'effacement . . . . . 396

C. Active Directory Certificate Services (AD CS) . . . 398

1. Introduction aux infrastructures à clés publiques (PKI) . . . . 398

2. Les différents types de certificats . . . . 399

a. Introduction . . . . 399

b. Nature et contenu d'un certificat numérique . . . . 404

c. Certificats X.509 version 1 . . . . 408

d. Certificats X.509 version 2 . . . . 410

e. Certificats X.509 version 3 . . . . 411

3. Les certificats et l'entreprise . . . . 421

a. Relation entre les certificats et les authentifications . . . . 421

b. Cadre d'utilisation des certificats . . . . 424

c. Utilisation des certificats numériques en entreprise . . . . 431

d. Certificats Utilisateurs . . . . 433

e. Certificats pour les Ordinateurs . . . . 434

f. Certificats pour les Applications . . . 435

4. Stockage des certificats . . . . 436

a. Introduction . . . . 436

b. Stockage des certificats et interface CryptoAPI . . . . 437

c. Affichage des certificats : Magasin logique et magasin physique . . . 439

d. Archivage local des certificats expirés. . . . 440

e. Structure de rangement du magasin de certificats logique . . . 440

f. Origine des certificats stockés dans les magasins . . . 443

g. Protection et Stockage des Clés Privées . . . . 444

5. Console de gestion MMC des certificats . . . . 446

6. Nouvelle interfaces cryptographiques de Windows 7 et Windows Server 2008 R2 . . . 447

a. Interface CNG (Cryptographic API Next Generation) . . . . 447

7. Services de certificats de Windows Server 2008. . . . 448

a. Introduction . . . . 448

b. Pourquoi utiliser une PKI Microsoft Windows Server plutôt qu'une autre ?. . . 451

c. Importance de l'Architecture d'une infrastructure

à clés publiques . . . 453

8. Nouveautés apportées par les Autorités Windows Server 2008 et 2008 R2 . . . 453

a. Nouveau composant MMC PKI d'entreprise . . . . 455

b. Enrôlement pour les périphériques réseau à l'aide du protocole MSCEP. . . 456

c. Évolution des méthodes d'enrôlement Web avec AD CS . . . . 464

d. OCSP et paramètres de validation du chemin d'accès . . . . . 469

9. Nouveautés apportées par les Autorités de certification Windows Server 2008 R2 . . . 482

a. Amélioration des bases de données des autorités de certificationdevant gérer de grands volumes . . . 483

b. Nouveau service Web Inscription de certificats . . . . 483

c. Support de l’enrôlement des certificats entre les forêts. . . . . 484

D. Active Directory Federation Services (AD FS) . . . 485

1. Concepts fondamentaux . . . . 485

2. AD FS: Nouveautés apportées par Windows Server 2008 et Windows Server 2008 R2 . . . 488

3. Installation du rôle AD FS . . . . 489

4. Références pour AD FS avec Windows Server 2008 et Windows Server 2008 R2 . . . 493

5. À propos des différentes versions d'AD FS . . . 494

E. Active Directory Lightweight Directory Services (AD LDS) . 494

2. AD LDS : Nouveautés apportées par Windows Server 2008 et 2008 R2 . . . 495

3. Installation du rôle AD LDS . . . . 497

4. Références pour AD LDS avec Windows Server 2008 . . . . 511

5. Nouveautés apportées pour Windows Server 2008 R2 . . . . 511

F. Active Directory Rights Management Services (AD RMS) . 512

1. Introduction . . . . 512 2. Concepts fondamentaux . . . . 513 3. AD RMS : Nouveautés apportées par Windows Server 2008 . . . 514 4. Installation du rôle AD RMS . . . . 516 5. Validation du bon fonctionnement de la plate-forme RMS . . . . . 524 6. Références pour AD RMS avec Windows Server 2008

et Windows Server 2008 R2 . . . 533 7. Nouveautés de Windows Server 2008 R2 . . . . 533

Index

537