Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 10
Active Directory: plan Active Directory
● Présentation générale ● Gère un domaine windows
● Gestion des utilisateurs dans un domaine ● Service d'annuaire ● Planification des groupes ● Base d'annuaire distribuée des ressources réseau : comptes utilisateurs, groupes, ordinateurs, imprimantes, dossiers ● Délégation de tâches, console mmc partagés, ... ● Administration centralisée ● Tolérance de panne ● Protocoles standard => interopérabilité (clients) ● Produit propriétaire => pas de serveur AD non microsoft
Active Directory Structure logique
● Gère un domaine windows ● Nom de domaine AD => nom de domaine DNS ● Service d'annuaire (mais ce sont deux notions distinctes !) ● Base d'annuaire distribuée des ressources réseau : ● Domaines comptes utilisateurs, groupes, ordinateurs, imprimantes, dossiers partagés, ... ● Arborescences: domaines de noms ● Administration centralisée hiérarchiquement liés ● Tolérance de panne ● Forêts: ensemble d'arborescences ● Protocoles standard => interopérabilité (clients) ● Unités d'organisation : organisation logique à ● Produit propriétaire => pas de serveur AD non l'intérieur d'un domaine microsoft
Domaine Niveau fonctionnel des domaines
● Limite de sécurité : stratégie de sécurité d'un Fonctionnalité w2k mixte w2k natif w2k3 groupes universels Non Oui Oui domaine groupes locaux de domaines Non Oui Oui ● Unité d'administration contrôleur de domaine NT Oui Non Non contrôleur de domaine w2k Oui Oui ● Unité de réplication: réplication entre les CD du renommage des contrôleurs domaine de domaines renommage des domaines Non Non Non Non Oui Oui ● Mode ou niveau fonctionnel d'un domaine: (dépend de l'OS des contrôleurs de domaine) – w2K: mixte ou natif – w2k3: w2k mixte, w2k natif, w2k3 version préliminaire (cas d'une màj depuis NT), w2k3 Unités d'organisations Planification ● Organisation logique à l'intérieur d'un domaine ● Pb: quelle structure logique adopter ? – Pb complexe, une grosse littérature ● Contient des objet active directory – la politique de sécurité : au niveau d'un domaine ● Permet – trafic de réplication non négligeable au sein d'un – De déléguer des pouvoirs domaine – De simplifier la sécurité ● typiquement: – utiliser la structure administrative ou géographique de – D'appliquer une stratégie à des ordinateurs ou l'entreprise utilisateurs – faire en sorte que les domaines et les UO de haut ● Rend obsolète la construction usuelle domaine de niveau ne changent pas compte/domaine de ressources NT4 – le plus simple (et le plus conseillé si c'est possible) : n'avoir qu'un seul domaine
Topologie Active Directory AD: dossiers et fichiers
● Site: regroupement de réseau reliés par des ● base de données, fichiers de journalisation: liaisons rapides – sur une partition NTFS ● entre Sites: liaisons de sites (supposées lentes ou – par défaut dans %SystemRoot%\NTDS coûteuses) ● NTDS.dit: magasin de données (base de données de l'annuaire) ● but: minimiser et contrôler le trafic de réplication entre contrôleurs d'un même domaine appartenant à des sites différents ● ràf: à compléter
AD: dossiers et fichiers DNS et AD
● SYSVOL: ● élément critique pour le bon fonctionnement – AD crée le partage SYSVOL correspondant au d'active directory: dossier %SystemRoot\Sysvol\sysvol – les noms de domaines sont des noms dns – contient – les contrôleurs de domaines sont localisés via une ● les pargages NETLOGON requête DNS ● les stratégies de groupes ● le serveur dns utilisé par les machines du ● les scripts d'ouverture/fermeture de session domaine doit connaître le domaine et avoir les ● ... entrées SRV permettant la localisation des contrôleurs de domaines DNS: mauvaise configuration DNS windows 2K+ ● symptomes d'une mauvaise configuration d'un ● windows 2k ou 2k3 server peuvent être serveur poste client dns – l'intégration dans le domaine n'est pas possible en ● les zones peuvent être stockées: donnant le nom dns du domaine (ex.: test.shayol.org) – à l'ancienne sous forme de fichier séparés – l'intégration dans le domaine reste possible en – sur un contrôleur de domaine, intégrée à Active donnant le nom plat compatible Windows NT (ex.: Directory TEST) mais c'est une mauvaise solution ● sous W2K: les données du DNS sont répliquées et réparties ● Solution: configurer le poste client (propriétés sur tous les controleurs de domaines (même ceux qui ne sont pas serveur DNS) TCP/IP) pour utiliser un dns connaissant le ● sous W2K3: les données du DNS sont répliquées et domaine réparties sur tous les controleurs de domaines qui sont aussi serveurs DNS
DNS : intégration des zones à AD DNS et AD
● intérêt: ● 3 solutions : – laisser w2k3 installer le dns lors de l'installation d'AD – tolérance de panne (répliqué avec les données AD, ...) – avoir un dns supportant les mises à jour dynamiques – performances (bénéficie du moteur d'AD, de sa – configurer le dns à la main à l'aide des fichiers réplication, ...) %Systemroot\System32\config\netlogon.dns qui ● défauts: reprennent les lignes à copier dans le fichier de – configuration de bind format non standard ● utiliser le dns microsoft est la solution la plus ● à noter: des dns avec des zones intégrés à AD simple car AD saura configurer lui-même le dns. continuent à respecter les RFC et peuvent ● les mises à jour dynamiques sécurisées ne sont interopérer avec des dns secondaire non AD ? disponibles que si la zone est intégrée à AD
DNS DNS: planification
● zones créées par AD: voir demo installation AD ● élément vital pour AD ● au moins un DNS par site – éviter de contacter un DNS distant pour localiser un CD local – survivre à une coupure du réseau distant – bonne pratique: un contrôleur de domaine du site doit être serveur DNS ● utiliser des zones intégrées à AD ● au moins 2 DNS configurés sur chaque machine membres du domaine AD-DEMO: installation d'Active Les objets Active Directory Directory ● Installation d'Active Directory sur une machine ● Instances d'une classe définie dans le Schéma : virtuelle windows 2003 server : – Comptes utilisateurs, – Domaine suzdal.shayol.org – ordinateurs, – Pas de dns présent => à installer – imprimantes, – Premier domaine de l'entreprise (nouveau domaine – groupes, dans une nouvelle arborescence dans une nouvelle – dossiers partagés publiés forêt) – Pas de contrôleur NT => Mode natif ● Objets conteneur, objet feuille – élever le niveau fonctionnel du domaine après le redémarrage
Nom des objets Nom des objets (2)
CN= « Pascal PP Petit », OU=test, DC=shayol, DC=org ● Nom unique ● Nom unique relatif Nom unique relatif (RDN) Nom principal d'utilisateur ● Identificateur global (GUID) Nom SAM ● Format des noms active directory ● Nom principal d'utilisateur ● Identifiant de sécurité :SID = RID + ID domaine
Compte d'ordinateur Compte utilisateur
● Nécessaire pour ordinateur WinNT ou W2K+ ● Compte d'utilisateur local : ● Création depuis l'ordinateur lors de l'inclusion – Stocké dans la base SAM de l'ordinateur dans le domaine – Donne accès aux ressources locales – Permet l'ouverture de session sur l'ordinateur ● Création à l'avance ● Compte d'utilisateur du domaine : – Création du compte dans – Stocké au niveau du domaine dans Active Directory AD à l'avance – Donne accès aux ressources réseau – Inclusion de l'ordinateur par – Permet d'ouvrir des sessions sur les ordinateurs du un utilisateur déclaré à la création du compte domaine Comptes prédéfinis dans un domaine Création des comptes sur un domaine ● Computers ● Users ● Comptes: – Administrateur – Invité – IUSR_NomOrdinateur et IWAM_NomOrdinateur
Création d'un suffixe UPN Propriétés des comptes d'utilisateurs
● Options de mot de passe Propriétés ● Délégation: interdire la délégation, autoriser la délégation des tâches à d'autres utilisateurs ● Chiffrement de mot de passe: réversible, pas de pré authentification kherberos, chiffrement DES ● Expiration de compte ● Restrictions horaires ● Restriction d'accès (se connecter à)
AD-DEMO Profils utilisateurs, répertoire de base
● Intégration de deux stations de travail dans le ● Profils locaux domaine ● Profils itinérants ● Création de compes utilisateur sur le domaine,L'utilisateur travaille sur sa station de ● Profils itinérant obligatoire travail (pas de répertoire de base réseau, pas de ● Répertoire de base profil itinérant) ● Deux stations de travail : tout ce qui est fait sur l'une n'est pas automatiquement accessible depuis l'autre. ● Ouverture de session en utilisant le nom principal d'utilisateur AD-DEMO: profil itinérant Création de masse ● Mettre le répertoire de base sur le serveur et ● Par copie d'un compte désactivé constater qu'il est accessible depuis les deux ● Via addusers, csvde, ldifde stations mais que le profil reste propre à chaque station (fond d'écran par ex.) ● Net account ● Définir un profil itinérant et constater que le ● Net users profil est bien le même sur les deux stations et ● Net group que les changements sont pris en compte sur les deux stations ● Net localgroup
Gestion des comptes Groupes: présentation
● Réinitialiation du mot de passe ● Un groupe est un ensemble d'utilisateurs ● Désactivation ● Les membres d'un groupe bénéficient des droits ● Suppression attribués au groupe ● déverrouillage ● Un utilisateur peut être dans plusieurs groupes ● déplacement ● Les groupes peuvent contenir d'autres groupes ● Les groupes simplifient l'administration ● Jusqu'à 5000 membres ● Groupes de distribution et groupes de sécurité
Groupes: étendue de groupes Groupes locaux de domaine (LD)
● Groupes locaux sur un ordinateur autonome ● Peut contenir ● Groupes locaux de domaine – des utilisateurs, des groupes globaux et des groupes universels de tous les domaines de la forêt; ● Groupes globaux – des groupes de domaine locaux de son domaine ● Groupes universels ● Utilisable seulement dans son domaine; ● Restriction dans un domaine en mode mixte ● Peut être membre de DL de son domaine; ● On peut l'utiliser pour affecter droits et permissions ● Membres non copiés dans le catalogue global. Groupes globaux Groupes universels ● Peut contenir des utilisateurs, des groupes ● Peut contenir des utilisateurs, des groupes globaux du même domaine; globaux et des groupes universels de tous les ● Peut être membre de groupes (DL, G, U) de tout domaines de la forêt; domaine de la forêt ● Peut être membre de DL de tout domaine et de ● On ne peut pas l'utiliser pour affecter droits et groupes universels permissions ● On peut l'utiliser pour affecter droits et ● Membres non copiés dans le catalogue global. permissions ● Ses membres copiés dans le catalogue global.
appartenance Nom Objet initiale ● 4 types de groupes prédéfinis dans un domaine : administrateurs réalisent les tâches d'administration administrateur – groupes locaux: Opérateur de sauve- garde ouvrir une session, sauvegarder/restaurer des données Vide – groupes locaux de domaine: Invités aucun droit sauf ajout explicite invité ● groupes locaux des contrôleurs de domaine installer des programmes, gérer les comptes locaux, les ● pour effectuer certaines tâches sur les contrôleurs de partages, créer des groupes, gérer les groupes utilisa- domaine ou sur Active Directory Utilisateurs avec pou- teur, utilisateurs avec pouvoir et invités. Ne peuvent pas ● on y ajoute des utilisateurs ou des groupes globaux qui voir visualiser les fichiers des autres utilisateurs. héritent alors des permissions ouvrir une session, accèder au réseau, enregistrer des documents, arrêter l'ordinateur mais pas installer des – groupes globaux prédéfinis: utilisateurs programme, ni modifier la configuration de la machine ● obtiennent leurs privilèges en les ajoutant dans des groupes existe sur un serveur. gére les imprimantes et les files locaux opérateur d'impression d'attentes Vide Utilisateur du bureau à ● contiennent des utilisateurs par défaut distance autorisés à se connecter via bureau à distance Vide – groupes système
groupes locaux prédéfinis Gpes prédéfinis: locaux de domaine
appartenance – sur des serveurs membres ou des stations du domaine Nom Objet initiale – identiques à ceux de l'environnement workgroup administrateurs réalisent les tâches d'administration sur les contrôleurs administrateur – ajout à l'appartenance initiale: créé lors de l'installation du serveur dns. accès admi- ● administrateurs du domaine au groupe administrateurs dnsAdmins nistratif au serveur dns. Vide ● invités du domaine au groupe invités utiliser pour implanter la réplication de fichiers. ne pas y duplicateurs ajouter de membres manuellement ● utilisateurs du domaine au groupe utilisateurs Invités aucun droit sauf ajout explicite invité opérateur d'impression gère les imprimantes et les files d'attentes Vide
création, suppression, modification des groupes et
comptes utilisateurs sur un contrôleur (sauf groupes administrateurs & Co, opérateurs, ...). Ils peuvent ouvrir Opérateur de comptes une session sur le contrôleur de domaine et l'arrêter.
Quelques groupes locaux de domaine prédéfinis (con-
trôleur de domaine) Gpes prédéfinis: locaux de domaine Gpes prédéfinis: globaux appartenance appartenance Nom Objet initiale Nom Objet initiale créé lors de l'installation du dns: clients DNS qui peuvent mettre à jour le DNS dynamiquement au nom d'autres Opérateur de sauve- peuvent contourner les sécurités de fichiers pour effec- DnsUpdateProxy clients. (trad.: serveur DHCP) Vide garde tuer des sauvegardes sur un contrôleur de domaine Vide automatiquement membre du groupe local de domaine partager des fichiers, sauvegarder le contrôleur de do- administrateurs du do- administrateurs et des groupes Administrateurs des sta- Opérateur de serveur maine, ... mais pas les options de sécurité. maine tions du domaine Administrateur Utilisateur du bureau à Ordinateurs du do- distance autorisés à se connecter via bureau à distance Vide maine tous les postes (CD inclus) en sont membres ouvrir une session, accéder au réseau, enregistrer des invités du domaine membre du groupe local Invités. Invité documents, arrêter l'ordinateur mais pas installer des utilisateurs du util. du do- utilisateurs programme, ni modifier la configuration de la machine domaine utilisateurs du domaine tous les utilisateurs du domaine en sont membres. maine administrateurs de membre du groupe administrateurs de tous les contrôleurs Quelques groupes locaux de domaine prédéfinis (con- l'entreprise du domaine trôleur de domaine) propriétaires de la GPO du domaine créer/modifier la stratégie de groupe du domaine Administrateur
contrôleurs du domaine tous les contrôleurs du domaine y sont
Groupes système intégrés (identités
Groupes systèmes intégrés: exemples spéciales) ● groupe dynamiques gérés par le système – interactif: l'utilisateur est connecté localement en ayant utilisé le clavier de l'ordinateur ● l'appartenance est décidée en fonction des actions – propriétaire-créateur: ràf des membres – Réseau: tous les utilisateurs ayant ouvert une session ● n'apparaissent pas dans les consoles de gestion sur des ordinateurs du réseau et accédant à une des groupes ressource de l'ordinateur local – utilisateur authentifiés: tous les utilisateurs ayant des compte d'utilisateurs reconnus par l'ordinateur ou le domaine – tout le monde: utilisateurs authentifiés + invité + utilisateurs anonymes (ràf)
AD-DEMO: gestion des groupes dans
Délégation de tâche un domaine ● Création d'un groupe Gtest sur le domaine ● Délégation de contrôle sur le domaine ou sur une (groupe local de domaine) unité d'organisation : déléguer une partie des ● Ajout de l'utilisateur test1 à Gtest tâches d'administration sur certains objets à certaines personnes ● Sur une station de travail, créer un dossier RepTest et donner le droit CT à Gtest et lecture ● Création de console MMC personnalisées, au groupe « Tout le monde » sur RepTest ● Administration à distance ● Vérifier les accès ● Utiliser Gtest pour sélectionner les utilisateurs qui peuvent changer l'heure des stations de travail Délégation de contrôle Délégation de contrôle 1 choix des groupes 1 2
2 choix des tâches
4 3
3 récapitulatif
Modification de délégation, Audit AD-DEMO: delegation de contrôle
Accès à la SACL (audit) ● Création d'une unité d'organisation UOtest ● On y met les utilisateurs test2, test3 ● On délègue la remise à zéro des mots de passe de l'UO à l'utilisateur test1 ● Remarque: travailler avec un groupe plutôt qu'avec un utilisateur test1.
Outils d'administration Personnalisation des consoles MMC
● utilisables à distance ● les consoles mmc sont personnalisables ● sur des ordinateur où elles ne sont pas par défaut : – ajout de composants enfichables à une console mmc via l'installation de l'adminpak.msi (i386 du CD existante ou vide W2K3 server) – ouverture en un point précis de l'arborescence – s'installe sur les postes w2k3server ou Wxp sp1+ – ajout de bouton pour des tâches particulières – les outils d'administration d'un domaine s'utilisent ● mode opératoire: cf TD depuis un poste du domaine Adminpak: 3 consoles d'accueil Outils d'administration : compatibilité supplémentaires w2k/w2k3 ● gestion active directory (ADMgmt.msc): ● problèmes de compatibilité: – utilisateurs et ordinateurs AD, domaines et – les outils d'administration w2k3 sont prévus pour être approbation AD, Sites et services AD, DNS utilisés depuis w2k3 ou WinXP (mais pas w2K) pour administratrer des serveurs w2k3 (et pas w2k pour ● gestion d'adresse IP: certains outils) – dhcp, dns, wins – les outils d'administration w2k sont prévus pour être ● gestion de clef publique: utilisés depuis w2k pour administrer des serveurs w2k – (mais pas w2k3 pour certains outils) autorité de certification, modèles de certificats, certificats pour l'utilisateur actuel, certificats pour l'ordinateur actuel
Le Conte À La Radio en Afrique de L Ouest. Une Pragmatique de L Oralité Pour Le Développement Intégral en Afrique Étude Du Cas... (Zufo Alexis Dembélé)