Active Directory: plan Active Directory

● Présentation générale ● Gère un domaine windows

● Gestion des utilisateurs dans un domaine ● Service d'annuaire
● Planification des groupes
● Base d'annuaire distribuée des ressources réseau :
comptes utilisateurs, groupes, ordinateurs, imprimantes, dossiers
● Délégation de tâches, console mmc partagés, ...
● Administration centralisée
● Tolérance de panne
● Protocoles standard => interopérabilité (clients)
● Produit propriétaire => pas de serveur AD non
microsoft

Active Directory Structure logique

● Gère un domaine windows ● Nom de domaine AD => nom de domaine DNS
● Service d'annuaire (mais ce sont deux notions distinctes !)
● Base d'annuaire distribuée des ressources réseau : ● Domaines
comptes utilisateurs, groupes, ordinateurs, imprimantes, dossiers
partagés, ...
● Arborescences: domaines de noms
● Administration centralisée hiérarchiquement liés
● Tolérance de panne
● Forêts: ensemble d'arborescences
● Protocoles standard => interopérabilité (clients) ● Unités d'organisation : organisation logique à
● Produit propriétaire => pas de serveur AD non l'intérieur d'un domaine
microsoft

Domaine Niveau fonctionnel des domaines

● Limite de sécurité : stratégie de sécurité d'un Fonctionnalité w2k mixte w2k natif w2k3
groupes universels Non Oui Oui
domaine groupes locaux de domaines Non Oui Oui
● Unité d'administration contrôleur de domaine NT Oui Non Non
contrôleur de domaine w2k Oui Oui
● Unité de réplication: réplication entre les CD du renommage des contrôleurs
domaine de domaines
renommage des domaines
Non
Non
Non
Non
Oui
Oui
● Mode ou niveau fonctionnel d'un domaine:
(dépend de l'OS des contrôleurs de domaine)
– w2K: mixte ou natif
– w2k3: w2k mixte, w2k natif, w2k3 version
préliminaire (cas d'une màj depuis NT), w2k3
 Unités d'organisations Planification
● Organisation logique à l'intérieur d'un domaine ● Pb: quelle structure logique adopter ?
– Pb complexe, une grosse littérature
● Contient des objet active directory
– la politique de sécurité : au niveau d'un domaine
● Permet – trafic de réplication non négligeable au sein d'un
– De déléguer des pouvoirs domaine
– De simplifier la sécurité
● typiquement:
– utiliser la structure administrative ou géographique de
– D'appliquer une stratégie à des ordinateurs ou l'entreprise
utilisateurs – faire en sorte que les domaines et les UO de haut
● Rend obsolète la construction usuelle domaine de niveau ne changent pas
compte/domaine de ressources NT4 – le plus simple (et le plus conseillé si c'est possible) :
n'avoir qu'un seul domaine

Topologie Active Directory AD: dossiers et fichiers

● Site: regroupement de réseau reliés par des ● base de données, fichiers de journalisation:
liaisons rapides – sur une partition NTFS
● entre Sites: liaisons de sites (supposées lentes ou – par défaut dans %SystemRoot%\NTDS
coûteuses) ● NTDS.dit: magasin de données (base de données de
l'annuaire)
● but: minimiser et contrôler le trafic de réplication
entre contrôleurs d'un même domaine appartenant
à des sites différents
● ràf: à compléter

AD: dossiers et fichiers DNS et AD

● SYSVOL: ● élément critique pour le bon fonctionnement
– AD crée le partage SYSVOL correspondant au d'active directory:
dossier %SystemRoot\Sysvol\sysvol – les noms de domaines sont des noms dns
– contient – les contrôleurs de domaines sont localisés via une
● les pargages NETLOGON requête DNS
● les stratégies de groupes ● le serveur dns utilisé par les machines du
● les scripts d'ouverture/fermeture de session domaine doit connaître le domaine et avoir les
● ... entrées SRV permettant la localisation des
contrôleurs de domaines
 DNS: mauvaise configuration DNS windows 2K+
● symptomes d'une mauvaise configuration d'un ● windows 2k ou 2k3 server peuvent être serveur
poste client dns
– l'intégration dans le domaine n'est pas possible en ● les zones peuvent être stockées:
donnant le nom dns du domaine (ex.: test.shayol.org) – à l'ancienne sous forme de fichier séparés
– l'intégration dans le domaine reste possible en – sur un contrôleur de domaine, intégrée à Active
donnant le nom plat compatible Windows NT (ex.: Directory
TEST) mais c'est une mauvaise solution ● sous W2K: les données du DNS sont répliquées et réparties
● Solution: configurer le poste client (propriétés sur tous les controleurs de domaines (même ceux qui ne
sont pas serveur DNS)
TCP/IP) pour utiliser un dns connaissant le ● sous W2K3: les données du DNS sont répliquées et
domaine réparties sur tous les controleurs de domaines qui sont aussi
serveurs DNS

DNS : intégration des zones à AD DNS et AD

● intérêt: ● 3 solutions :
– laisser w2k3 installer le dns lors de l'installation d'AD
– tolérance de panne (répliqué avec les données AD, ...)
– avoir un dns supportant les mises à jour dynamiques
– performances (bénéficie du moteur d'AD, de sa – configurer le dns à la main à l'aide des fichiers
réplication, ...)
%Systemroot\System32\config\netlogon.dns qui
● défauts: reprennent les lignes à copier dans le fichier de
–
configuration de bind
format non standard
● utiliser le dns microsoft est la solution la plus
● à noter: des dns avec des zones intégrés à AD simple car AD saura configurer lui-même le dns.
continuent à respecter les RFC et peuvent ● les mises à jour dynamiques sécurisées ne sont
interopérer avec des dns secondaire non AD ? disponibles que si la zone est intégrée à AD

DNS DNS: planification

● zones créées par AD: voir demo installation AD ● élément vital pour AD
● au moins un DNS par site
– éviter de contacter un DNS distant pour localiser un
CD local
– survivre à une coupure du réseau distant
– bonne pratique: un contrôleur de domaine du site doit
être serveur DNS
● utiliser des zones intégrées à AD
● au moins 2 DNS configurés sur chaque machine
membres du domaine
 AD-DEMO: installation d'Active
Les objets Active Directory
Directory
● Installation d'Active Directory sur une machine ● Instances d'une classe définie dans le Schéma :
virtuelle windows 2003 server : – Comptes utilisateurs,
– Domaine suzdal.shayol.org – ordinateurs,
– Pas de dns présent => à installer – imprimantes,
– Premier domaine de l'entreprise (nouveau domaine – groupes,
dans une nouvelle arborescence dans une nouvelle
– dossiers partagés publiés
forêt)
– Pas de contrôleur NT => Mode natif
● Objets conteneur, objet feuille
– élever le niveau fonctionnel du domaine après le
redémarrage

Nom des objets Nom des objets (2)

CN= « Pascal PP Petit », OU=test, DC=shayol,
DC=org
● Nom unique
● Nom unique relatif Nom unique relatif (RDN)
Nom principal d'utilisateur
● Identificateur global (GUID)
Nom SAM
● Format des noms active directory
● Nom principal d'utilisateur
● Identifiant de sécurité :SID = RID + ID domaine

Compte d'ordinateur Compte utilisateur

● Nécessaire pour ordinateur WinNT ou W2K+ ● Compte d'utilisateur local :
● Création depuis l'ordinateur lors de l'inclusion – Stocké dans la base SAM de l'ordinateur
dans le domaine – Donne accès aux ressources locales
– Permet l'ouverture de session sur l'ordinateur
● Création à l'avance ● Compte d'utilisateur du domaine :
– Création du compte dans – Stocké au niveau du domaine dans Active Directory
AD à l'avance
– Donne accès aux ressources réseau
– Inclusion de l'ordinateur par
– Permet d'ouvrir des sessions sur les ordinateurs du
un utilisateur déclaré à la
création du compte domaine
Comptes prédéfinis dans un domaine Création des comptes sur un domaine
● Computers
● Users
● Comptes:
– Administrateur
– Invité
– IUSR_NomOrdinateur et IWAM_NomOrdinateur

Création d'un suffixe UPN Propriétés des comptes d'utilisateurs

● Options de mot de passe
Propriétés ● Délégation: interdire la délégation, autoriser la
délégation des tâches à d'autres utilisateurs
● Chiffrement de mot de passe: réversible, pas de
pré authentification kherberos, chiffrement DES
● Expiration de compte
● Restrictions horaires
● Restriction d'accès (se connecter à)

AD-DEMO Profils utilisateurs, répertoire de base

● Intégration de deux stations de travail dans le ● Profils locaux
domaine ● Profils itinérants
● Création de compes utilisateur sur le
domaine,L'utilisateur travaille sur sa station de ● Profils itinérant obligatoire
travail (pas de répertoire de base réseau, pas de ● Répertoire de base
profil itinérant)
● Deux stations de travail : tout ce qui est fait sur
l'une n'est pas automatiquement accessible depuis
l'autre.
● Ouverture de session en utilisant le nom principal
d'utilisateur
 AD-DEMO: profil itinérant Création de masse
● Mettre le répertoire de base sur le serveur et ● Par copie d'un compte désactivé
constater qu'il est accessible depuis les deux ● Via addusers, csvde, ldifde
stations mais que le profil reste propre à chaque
station (fond d'écran par ex.) ● Net account
● Définir un profil itinérant et constater que le ● Net users
profil est bien le même sur les deux stations et ● Net group
que les changements sont pris en compte sur les
deux stations
● Net localgroup

Gestion des comptes Groupes: présentation

● Réinitialiation du mot de passe ● Un groupe est un ensemble d'utilisateurs
● Désactivation ● Les membres d'un groupe bénéficient des droits
● Suppression attribués au groupe
● déverrouillage
● Un utilisateur peut être dans plusieurs groupes
● déplacement
● Les groupes peuvent contenir d'autres groupes
● Les groupes simplifient l'administration
● Jusqu'à 5000 membres
● Groupes de distribution et groupes de sécurité

Groupes: étendue de groupes Groupes locaux de domaine (LD)

● Groupes locaux sur un ordinateur autonome ● Peut contenir
● Groupes locaux de domaine – des utilisateurs, des groupes globaux et des groupes
universels de tous les domaines de la forêt;
● Groupes globaux
– des groupes de domaine locaux de son domaine
● Groupes universels ● Utilisable seulement dans son domaine;
● Restriction dans un domaine en mode mixte ● Peut être membre de DL de son domaine;
● On peut l'utiliser pour affecter droits et
permissions
● Membres non copiés dans le catalogue global.
 Groupes globaux Groupes universels
● Peut contenir des utilisateurs, des groupes ● Peut contenir des utilisateurs, des groupes
globaux du même domaine; globaux et des groupes universels de tous les
● Peut être membre de groupes (DL, G, U) de tout domaines de la forêt;
domaine de la forêt ● Peut être membre de DL de tout domaine et de
● On ne peut pas l'utiliser pour affecter droits et groupes universels
permissions ● On peut l'utiliser pour affecter droits et
● Membres non copiés dans le catalogue global. permissions
● Ses membres copiés dans le catalogue global.

Groupes prédéfinis: workgroup Groupes prédéfinis : domaines

appartenance
Nom Objet initiale ● 4 types de groupes prédéfinis dans un domaine :
administrateurs réalisent les tâches d'administration administrateur
– groupes locaux:
Opérateur de sauve-
garde ouvrir une session, sauvegarder/restaurer des données Vide – groupes locaux de domaine:
Invités aucun droit sauf ajout explicite invité ● groupes locaux des contrôleurs de domaine
installer des programmes, gérer les comptes locaux, les
● pour effectuer certaines tâches sur les contrôleurs de
partages, créer des groupes, gérer les groupes utilisa- domaine ou sur Active Directory
Utilisateurs avec pou- teur, utilisateurs avec pouvoir et invités. Ne peuvent pas ● on y ajoute des utilisateurs ou des groupes globaux qui
voir visualiser les fichiers des autres utilisateurs.
héritent alors des permissions
ouvrir une session, accèder au réseau, enregistrer des
documents, arrêter l'ordinateur mais pas installer des – groupes globaux prédéfinis:
utilisateurs programme, ni modifier la configuration de la machine ● obtiennent leurs privilèges en les ajoutant dans des groupes
existe sur un serveur. gére les imprimantes et les files
locaux
opérateur d'impression d'attentes Vide
Utilisateur du bureau à
● contiennent des utilisateurs par défaut
distance autorisés à se connecter via bureau à distance Vide – groupes système

groupes locaux prédéfinis Gpes prédéfinis: locaux de domaine

appartenance
– sur des serveurs membres ou des stations du domaine Nom Objet initiale
– identiques à ceux de l'environnement workgroup
administrateurs réalisent les tâches d'administration sur les contrôleurs administrateur
– ajout à l'appartenance initiale: créé lors de l'installation du serveur dns. accès admi-
● administrateurs du domaine au groupe administrateurs dnsAdmins nistratif au serveur dns. Vide
● invités du domaine au groupe invités utiliser pour implanter la réplication de fichiers. ne pas y
duplicateurs ajouter de membres manuellement
● utilisateurs du domaine au groupe utilisateurs Invités aucun droit sauf ajout explicite invité
opérateur d'impression gère les imprimantes et les files d'attentes Vide

création, suppression, modification des groupes et

comptes utilisateurs sur un contrôleur (sauf groupes
administrateurs & Co, opérateurs, ...). Ils peuvent ouvrir
Opérateur de comptes une session sur le contrôleur de domaine et l'arrêter.

Quelques groupes locaux de domaine prédéfinis (con-

trôleur de domaine)
 Gpes prédéfinis: locaux de domaine Gpes prédéfinis: globaux
appartenance
appartenance Nom Objet initiale
Nom Objet initiale créé lors de l'installation du dns: clients DNS qui peuvent
mettre à jour le DNS dynamiquement au nom d'autres
Opérateur de sauve- peuvent contourner les sécurités de fichiers pour effec- DnsUpdateProxy clients. (trad.: serveur DHCP) Vide
garde tuer des sauvegardes sur un contrôleur de domaine Vide automatiquement membre du groupe local de domaine
partager des fichiers, sauvegarder le contrôleur de do- administrateurs du do- administrateurs et des groupes Administrateurs des sta-
Opérateur de serveur maine, ... mais pas les options de sécurité. maine tions du domaine Administrateur
Utilisateur du bureau à Ordinateurs du do-
distance autorisés à se connecter via bureau à distance Vide maine tous les postes (CD inclus) en sont membres
ouvrir une session, accéder au réseau, enregistrer des invités du domaine membre du groupe local Invités. Invité
documents, arrêter l'ordinateur mais pas installer des utilisateurs du util. du do-
utilisateurs programme, ni modifier la configuration de la machine domaine utilisateurs du domaine tous les utilisateurs du domaine en sont membres. maine
administrateurs de membre du groupe administrateurs de tous les contrôleurs
Quelques groupes locaux de domaine prédéfinis (con- l'entreprise du domaine
trôleur de domaine) propriétaires de la GPO
du domaine créer/modifier la stratégie de groupe du domaine Administrateur

contrôleurs du domaine tous les contrôleurs du domaine y sont

Groupes système intégrés (identités

Groupes systèmes intégrés: exemples
spéciales)
● groupe dynamiques gérés par le système – interactif: l'utilisateur est connecté localement en
ayant utilisé le clavier de l'ordinateur
● l'appartenance est décidée en fonction des actions
– propriétaire-créateur: ràf
des membres
– Réseau: tous les utilisateurs ayant ouvert une session
● n'apparaissent pas dans les consoles de gestion sur des ordinateurs du réseau et accédant à une
des groupes ressource de l'ordinateur local
– utilisateur authentifiés: tous les utilisateurs ayant des
compte d'utilisateurs reconnus par l'ordinateur ou le
domaine
– tout le monde: utilisateurs authentifiés + invité +
utilisateurs anonymes (ràf)

AD-DEMO: gestion des groupes dans

Délégation de tâche
un domaine
● Création d'un groupe Gtest sur le domaine ● Délégation de contrôle sur le domaine ou sur une
(groupe local de domaine) unité d'organisation : déléguer une partie des
● Ajout de l'utilisateur test1 à Gtest tâches d'administration sur certains objets à
certaines personnes
● Sur une station de travail, créer un dossier
RepTest et donner le droit CT à Gtest et lecture
● Création de console MMC personnalisées,
au groupe « Tout le monde » sur RepTest ● Administration à distance
● Vérifier les accès
● Utiliser Gtest pour sélectionner les utilisateurs qui
peuvent changer l'heure des stations de travail
 Délégation de contrôle Délégation de contrôle
1 choix des groupes 1 2

2 choix des tâches

4 3

3 récapitulatif

Modification de délégation, Audit AD-DEMO: delegation de contrôle

Accès à la SACL (audit) ● Création d'une unité d'organisation UOtest
● On y met les utilisateurs test2, test3
● On délègue la remise à zéro des mots de passe de
l'UO à l'utilisateur test1
● Remarque: travailler avec un groupe plutôt
qu'avec un utilisateur test1.

Outils d'administration Personnalisation des consoles MMC

● utilisables à distance ● les consoles mmc sont personnalisables
● sur des ordinateur où elles ne sont pas par défaut : – ajout de composants enfichables à une console mmc
via l'installation de l'adminpak.msi (i386 du CD existante ou vide
W2K3 server) – ouverture en un point précis de l'arborescence
– s'installe sur les postes w2k3server ou Wxp sp1+ – ajout de bouton pour des tâches particulières
– les outils d'administration d'un domaine s'utilisent ● mode opératoire: cf TD
depuis un poste du domaine
 Adminpak: 3 consoles d'accueil Outils d'administration : compatibilité
supplémentaires w2k/w2k3
● gestion active directory (ADMgmt.msc): ● problèmes de compatibilité:
– utilisateurs et ordinateurs AD, domaines et – les outils d'administration w2k3 sont prévus pour être
approbation AD, Sites et services AD, DNS utilisés depuis w2k3 ou WinXP (mais pas w2K) pour
administratrer des serveurs w2k3 (et pas w2k pour
● gestion d'adresse IP:
certains outils)
– dhcp, dns, wins – les outils d'administration w2k sont prévus pour être
● gestion de clef publique: utilisés depuis w2k pour administrer des serveurs w2k
–
(mais pas w2k3 pour certains outils)
autorité de certification, modèles de certificats,
certificats pour l'utilisateur actuel, certificats pour
l'ordinateur actuel