Admini
Admini
Admini
••• Introduction :
• La communication entre des noeuds (Machines) se fait via des adresses IP.
• Il est possible de configurer/affecter une adresse IP d'une façon statique (Manuelle) ou dynamique
(Via un service)
- Erreurs de la saisie (Au lieu de taper 192 il est possible de taper 129)
- Perte du temps
- Surcharge administrative
••• DHCP :
• Permet de configurer dynamiquement le TCP/IP (Fourniture de : Adresse IP, Masque, Passrelle, DNS
primaire, DNS Auxiliaire, Nom du domaine, et autres options).
• DHCP permet d'affecter jusqu'à 255 options : IP, WINS, NETBIOS, BOOT, DOMAIN, ...
• DHCP est très importants dans les LAN pour plusieurs utilisations : Adressage IP, Installation des OS via
WDS, TOIP, Enregistrement des hôtes dans la base de données DNS, ...
• DHCPOffer : Une répone d'un serveur DHCP, offrant des paramètres de configuration TCP/IP
• DHCPRequest : Requête d'un client à un ou plusieurs serveur DHCP pour effectuer l'une des opérations
suivantes :
- Confirmation de l'offre
• DHCPNak : Message d'accusé de réception négatif, envoyé par le serveur au client indiquant que les
clients doivent comprendre que l'adresse réseau est incorrecte (Si le client est déplacé, ou le bail a
expiré, ...)
• DHCPRelease : Message de client vers le serveur pour libérer les informations TCP/IP envoé par le
serveur
• DHCPInform : Message d'un client vers le serveur indiquant que le client est situé dans un réseau
externe (Dans un autre LAN/VLAN)
• Machine exécutant Windows Server (2000, 2003, 2003 R2, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019,
2022)
• Machine exécutant une distribution Linux (Redhat, Centos, Fedora, Suse, Debian, Ubuntu, ...)
• Routeur
• Firewall
• Point d'accès
• Commutateur Niveau 3
• Contrôleur WIFI
• Call Manager
• ...
• La solution est de configurer un routeur comme une AGENT DE RELAIS DHCP qui va rlayer les diffusions
des demandes externes des adresses IP vers le serveur DHCP spécifié.
•• Configuration basique :
• R1 :
Router#ena
Router#conf t
Router(config)#hostname R1
R1(config)#int gi 0/0
R1(config-if)#no sh
R1(config-if)#exit
R1(config)#int gi 0/1
R1(config-if)#no sh
R1(config-if)#exit
R1(config)#int gi 0/2
R1(config-if)#no sh
R1(config-if)#exit
R1(config)#int gi 0/3
R1(config-if)#no sh
R1(config-if)#exit
R1(config)#do wr
• GUI :
- Gestionnaire de serveur > Ajouter un rôle > Suivant > Suivant > Suivant > Cocher "Serveur DHCP" >
Ajouter des fonctionnalités > Suivant > Installer
- Notifications > Terminer la configuration de DHCP > Suivant > Valider > Terminer
• PS :
> Add-DhcpServerSecurityGroup
• Une étendue DHCP est une plage des adresses IP valides et disponibles à attribuer pour les clients
DHCP.
• Une étendue DHCP contient toutes les options et les paramètres à attribuer pour les clients DHCP.
•• Etendue globale :
• C'est une fonctionnalitée Windows permettant de regrouper plusieurs étendues dans une seule entité
administrative afin de simplifier la gestion et la configuration.
•• Etendue Multidiffusion :
• C'est une étendue des plages d'adresses IP Multicast (224.0.0.1 à 239.255.255.255) permettant
d'envoyer un trafic réseau à un groupe des équipements terminaux.
• Elle utilise le protocole MADCAP (Multicast Address Dynamic Client Allocation Protocol)
• GUI :
- DHCP > Clic droite sur IPv4 > Nouvelle étendue > Suivant > Nom : LAN1 > Description : ... > Plage :
192.168.100.10 à 192.168.100.100 > Suivant > Exclusion : 192.168.100.50 > Suivant > Oui, configurer les
paramètres DHCP > Passerelle : 192.168.100.1 > Suivant > Serveur DNS : 192.168.100.254 et
192.168.168.100.253 > Suivant > WINS : 192.168.100.254 > Suivant > Activer l'étendue > Suivant >
Terminer
• PS :
- Nouvelle étendue :
- Exclusion :
> Add-DhcpServerv4ExclusionRange -ScopeId 192.168.100.0 -StartRange 192.168.100.150 -EndRange
192.168.100.150
- Passerelle :
- Nom du domaine :
- Serveurs DNS :
•• Test :
• Configurer une machine cliente afin de prendre la configuration TCP/IP d'une façon automatique
• Le client DHCP envoi des messages en broadcast pour avoir une @IP automatique, mais en cas
d'absence de ce dernier, le client va surcharger le réseau.
• LA solution est de limiter les messages DHCP en broadcast on se basant sur une Adresse IP Privé
Automatique (APIPA = Automatic Private IP Address) : 169.254.0.0/16
R1(config-if-range)#exit
R1(config)#do wr
C:\Users\K.KATKOUT>ipconfig /all
Configuration IP de Windows
Nom de l’hôte . . . . . . . . . . : CL1
192.168.100.253
8.8.8.8
C:\Users\K.KATKOUT>ipconfig /release
•• Renouveller une configuration automatique :
C:\Users\K.KATKOUT>ipconfig /renew
PS C:\Users\Administrateur> Get-DhcpServerInDC
IPAddress DnsName
--------- -------
192.168.100.254 srv1.uits.ma
192.168.100.253 srv2.uits.ma
PS C:\Users\Administrateur> Get-DhcpServerv4Scope
PS C:\Users\Administrateur> Get-DhcpServerv4ScopeStatistics
192.168.10.0 90 1 1,098901 0 0
192.168.20.0 90 1 1,098901 0 0
192.168.30.0 90 1 1,098901 0 0
192.168.100.0 89 1 1,111111 0 0 DC
192.168.101.0 91 0 0 0 0 DC
• Une réservation est une fonctionnalitée DHCP permettant de fixer une adresse IP à un client on se
basant sur son adresse MAC.
•• Options DHCP :
• SW5 :
ena
conf t
hostname SW5
vlan 50
name VLAN50
vlan 60
name VLAN60
exit
int gi 0/0
exit
int gi 1/1
switchport mode access
exit
int gi 2/2
exit
do wr
• R1 :
ena
conf t
int gi 0/4
no sh
no ip add
exit
int gi 0/4.50
encapsulation dot1Q 50
ip helper-address 192.168.100.254
exit
int gi 0/4.60
encapsulation dot1Q 60
ip helper-address 192.168.100.254
exit
do wr
•• Introduction :
• Le filtrage DHCP assure la sécurité en filtrant les clients DHCP non fiables.
• Le client DHCP non fiable est une machine qui envoie une DHCPDiscover depuis un réseau externe ou
inconnu.
• Le filtrage DHCP permet d'autoriser ou de refuser les requêtes DHCP des clients non fiables on se
basant sur des adresses MAC.
• GUI :
- DHCP > Nom du serveur > IPv4 > Filtres > Autorisation/Exclusion > Activer
• PS :
- Serveur local :
- Serveur Distant :
• PS :
• Test :
PS C:\Users\Administrateur> Get-DhcpServerv4Filter
••• DHCPv6 :
•• Introduction :
•• Configuration basique :
• SRV1 :
- Gateway : 2000:100::1
- DNS1 : 2000:100::254
- DNS2 : 2000:100::253
• SRV2 :
- Prefix : /64
- Gateway : 2000:100::1
- DNS1 : 2000:100::254
- DNS2 : 2000:100::253
• R1 :
ipv6 unicast-routing
int gi 0/0
no sh
ipv6 enable
exit
int gi 0/1
no sh
ipv6 enable
exit
int gi 0/2
no sh
ipv6 enable
ipv6 add 2000:20::1/64
exit
int gi 0/3
no sh
ipv6 enable
exit
int gi 0/4
no sh
ipv6 enable
no ipv6 add
exit
int gi 0/4.50
encapsulation dot1Q 50
exit
int gi 0/4.60
encapsulation dot1Q 60
exit
do wr
•• NB :
• Après la configuration des interfaces du routeur (IPv6), les clients vont prendre des adresses IPv6
automatiquement (SLAAC)
• Test :
C:\Users\K.KATKOUT>ipconfig
Configuration IP de Windows
192.168.100.1
• Libérer :
C:\Users\K.KATKOUT>ipconfig /release6
• Renouveler :
C:\Users\K.KATKOUT>ipconfig /renew6
• DHCP : C:\Windows\System32\dhcp
•• Sauvegarde :
• GUI :
• PS :
• CMD :
•• Restauration :
• GUI :
- Nom serveur > Clic Droit > Restaurer
• PS :
• Etape 2 :
- Exécuter > regedit > Ordinateur > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services >
DHCPServer > Parameters
- Voir Image 7
• Consiste à utiliser un DHCP pirate dans un réseau privé, permettant d'attribuer des adresses IP afin de
faire rediriger des requêtes des clients vers des serveurs erronés pour voler des informations
confidentielles.
•• 1 - On peut utiliser des adresses IP pour identifier et mémoriser les machines au sein d'un réseau IP,
mais c'est pas facile.
•• 2 - Pour résoudre le problème 1, on peut utiliser le service Netbios Name qui peut aller jusqu'à 15
caractères, mais ce service peut surcharger ke réseau vu qu'il fait des recherches broadcast pour trouver
une machine.
•• 3 - Pour résoudre le problème 2, on peut utiliser le service WINS afin de limiter les messages
Broadcast de service Netbios Name, mais le WINS ne travaille que sur un réseau LAN
•• 4 - Pour résoudre tous les problèmes liées à la résolution, on peut utiliser le DNS.
• DNS permet de résoudre des noms d'hôte ou FQDN (Fully Qualified Domain Name, par exemple :
SRV1.UITS.MA) en des adresses IP ou bien le contraîre
• DNS utilise des noms qui peuvent aller jusqu'à 256 caractères
• Est une base de données dédié pour la résolution directe (Nom > Adresse IP)
- TLD (Top Level Domain) : C'est le domaine de niveau supérieur, il y a 224 TLD standards déjà dévisés
sur plusieurs types.
- Sous Domaine (Optionnel) : Utilisé pour créer des dévisions ou bien des sites de l'entreprise mère (Par
exemple : la société mère "google.com" utilise des sous domaines comme "plus.google.com",
"drive.google.com", "gmail.google.com", ...)
••• ARPA :
••• Introduction :
• DNS permet de résoudre des noms d'hôte ou FQDN (Fully Qualified Domain Name, par exemple :
SRV1.UITS.MA) en des adresses IP ou bien le contraîre
• DNS utilise des noms qui peuvent aller jusqu'à 256 caractères
• Est une base de données dédié pour la résolution directe (Nom > Adresse IP)
- TLD (Top Level Domain) : C'est le domaine de niveau supérieur, il y a 224 TLD standards déjà dévisés
sur plusieurs types.
- Sous Domaine (Optionnel) : Utilisé pour créer des dévisions ou bien des sites de l'entreprise mère (Par
exemple : la société mère "google.com" utilise des sous domaines comme "plus.google.com",
"drive.google.com", "gmail.google.com", ...)
••• ARPA :
• Système de noms DNS
• Est une base de données dédié pour la résolution indirecte (Adresse IP > Nom)
• Les enregistrements DNS cartoghraphient des fichiers ou des systèmes qui indiquent à un serveur DNS
l'adresse associé à un domaine particulier.
• Ils indiquement aussi aux serveurs DBS comment traiter les demandes envoyés à chaque domaine.
• Les enregistrements se trouvent tout d'abord sur les fichiers des zones qui représentes un domaine
organisé
• On générale les enregistrements DNS respectent une structure/syntaxe simple : <NAME> <TTL>
<CLASS> <TYPE> >RDLENGHT> <RADATA>
- NAME : le nom du domaine correspond à hôte (Ou l'internaute qu'on peut taper sur la navigateur)
- TTL (Time To Live) : Désigne la durée en secondes pendant laquelle l'enregistrement DNS peut être
conservé dans les caches
- CLASS : Théoriquement, les enregistrements DNS sont réparties en plusieurs classes. Mais dans la
réalitén la plupart des enregistrements DNS relèvent de la classe INTERNET (IN). Cette information est
facultative.
- RDLENGHT : C'est un champ facultatif, il précise la taille en octets du champs de données suivant
- RADATA : Les données de ressources sont les informations à partir desquelles on va résoudre le nom
du domaine, par exemple son @IP
- SOA (Start OF Autority = Début de l'autorité) : Contien des informations de la zone, il est important
pour le transfert de la zone et la réplication entre des serveurs DNS
- NS (Nameserver) : Permet d'indiquer au serveur DNS s'il est compétent pour la requête, c'est à dire en
charge de la zone, ou bien s'il doit transférer la requête
- PTR (Pointer) : résolution d'une adresse IPv4 ou IPv6 vers un nom d'hôte
- CNAME (Canonical Name) : Est un alias, c'est à dire un autre nom applicable à un domaine
- SRV (Service) : informer le serveur DNS d'autres services, c'est dire inscrire un service disponible ainsi
que son numéro de port
- TXT (Texte) : permet d'ajouter des textes non structurés qui pemettenet à un administrateur de
renfermer des détails qui relèvent de l'entreprise responsable du domaine (Description)
•• Un zone DNS correspond à un nom de domaine ou à un nom de sous domaine que le serveur va
connaitres pour répondre aux requêtes qu'il va recevoir.
• Principale : est une zone en lecture et écriture, elle est importante pour le serveur DNS principal.
• Secondaire : est une copie de la zone principale (d'un autre serveur) en lecture seule pour le serveur
secondaire.
• Stub : Est une mixte entre la zone secondaire et le redirecteur conditionnel. C'est une zone accessible
seulement en lecture et qui va contenir les enregistrement NS et SOA. Quand le serveur DNS reçoit une
demande concernant une zone stub, il utilise les enregsitrement NS pour localiser les serveurs de noms
et envoyer les requêtes
• Permet d'indiquer le ou les serveurs DNS à contacter pour résoudre un nom du domaine précis.
• Permet aux clients de mettre à jours ses informations dans les zones DNS
• C'est très important pour enregistrer les clients DHCP automatiquement dans la base de données DNS
•• GUI :
• Gestionnaire de serveur > Gérer > Ajouter des rôles et des fonctionnalités > Suivant > Suivant > Suivant
> Cocher "DNS" > Ajouter des fonctionnalités > Suivant > Suivant > Suivant > Suivant > Installer
•• PS :
• GUI : DNS > SRV1 > Zone de recherche directe > Clic droit > Nouvelle zone > Suivant > Type : Zone
principale > Suivant > Nom : UITS.MA > Suivant > Cocher "Autoriser à la fois les mises à jour ..." > Suivant
> Terminer
•• Autoriser le transfert de zone sur le serveur primaire : Voir Image 3 & Image 4
•• Ajouter l'adresse IP du serveur secondaire (Sur le serveur primaire et le serveur secondaire) : Voir
Image 5
•• Installer le DNS sur le serveur secondaire, et commencer à créer des zones secondaires :
• GUI : DNS > Zone de recherche directe > Nouvelle zone > Zone Secondaire > Suivant > Nom de la zone :
UITS.MA > Suivant > Serveurs maîtres : 192.168.100.254 > Suivant > Terminer
•• PS :
•• A :
•• AAAA :
PS C:\Users\Administrateur> Get-DnsServerZone
@ A 1 0 00:10:00 192.168.100.254
@ A 1 0 00:10:00 192.168.100.253
@ NS 2 0 01:00:00 srv1.uits.ma.
@ NS 2 0 01:00:00 srv1.UITS.MA.
bal MB 7 0 01:00:00
C:\Users\K.KATKOUT>ping 192.168.100.254
C:\Users\K.KATKOUT>nslookup
Address: 192.168.100.254
> 192.168.100.200
Serveur : SRV1.UITS.MA
Address: 192.168.100.254
Nom : CL1.UITS.MA
Address: 192.168.100.200
C:\Users\K.KATKOUT>nslookup CL1.UITS.MA
Serveur : SRV1.UITS.MA
Address: 192.168.100.254
Nom : CL1.UITS.MA
Addresses: 2000:100::15d8:11b9:8f35:20c6
2000:100::af26:8dca:33c1:d316
192.168.100.200
• Statistiques DNS :
PS C:\Users\Administrateur> Get-DnsServerStatistics
• Cache DNS :
• Les indicateurs de racine résolvent les requêtes concernant des zones qui n'existent pas sur les
serveurs DNS local.
••• Introduction :
• AD = Base de données contenant des informations sur tous les objets (Ordinateur, Imprimante,
Utilisateur, Contact, Dossier partagé, ...) d'un réseau
••• LDAP :
• Protocole de base de l'AD
• LDAP envoi des requêtes vers les services intégrés dans l'AD (DNS, SMTP, RPC, KERBEROS, ...)
+ CN : Common Name
+ OU : Organizational Unit
+ DC : Domain Controller
• LDAP (LightWeight Directory Access Protocol) : Protocole de base de l'AD, il utilise le port UDP sur 389
• DNS (Domain Name System) : Protocole de résolution des noms, la dénomination, et la localisation des
objets. Il utilise les ports TCP et UDP sur 53 [Client<---TCP--->LOCAL_DNS<---UDP---
>EXTERNAL_DNS(RACINE)]
• SMTP (Simple Mail Transfer Protocol) : Protocole de transfert des emails des contacts (Utilisateur ou
Group). Il utilise le port TCP sur 25
• RPC (Remote Procedure Call) : Protocole de réplication AD. Il utilise le port TCP sur 135
•• Prérequis :
• Adresse IP Statique
•• AD DS :
• Rendent les informations des objets disponibles pour les utilisateurs et les administrateurs du réseau
• Gérent les accès à des ressources autorisés via des processus d'ouverture de session unique
•• Installation graphique :
• Gestionnaire de serveur -> Gérer -> Installer des rôles et des fonctionnalités -> Suivant -> Suivant ->
Suivant -> Cocher "AD DS" et "DNS" -> Ajouter des fonctionnalités -> Suivant -> Installer
•• Installation PS (PowerShell) :
• Taper la commande "net user Administrateur /passwordreq:yes" pour résoudre le problème lié au
message "Le compte administrateur local devient l'administrateur".
• GUI :
Promouvoir ce serveur en DC -> Cocher "Nouvelle fôret" -> Nom du domaine : UITS.MA -> Suivant ->
Mot de passe de restauration des services AD : P@ssw0rd -> Suivant -> Nom Netbios : UITS -> Suivant ->
Suivant -> Suivant -> Installer
• PS :
> Install-ADDSDomainController -DomainName UITS.MA -InstallDns:$false -Credential (Get-Credential
"UITS\Administrateur")
SafeModeAdministratorPassword: ********
...
•• Introduction :
• Contient des définitions sur tous les objets AD, ainsi que les classes et les attributs de chaque objet.
•• Accès au schéma AD :
•• Classes et attributs :
• Classes : Ordinateur, Utilisateur, Contact, Groupe, OU, Imprimante, Dossier partagé, ...
• Attributs : Login, Mot de passe, DisplayName, Description, Address, UPN (UserPrincipalName), Infos, ...
•• Version de schéma AD :
• Vérifier la de schéma AD :
objectversion
88
- 30 : 2003
- 31 : 2003 R2
- 44 : 2008
- 47 : 2008 R2
- 56 : 2012
- 69 : 2012 R2
- 87 : 2016
- 88 : 2019
•• Introduction :
• Il contient :
- Replication partielle pour tous les attributs les plus utilisés dans les domaines de toute la fôret
•• Fonctions :
•• Voir Image 3
••• FSMO :
•• Introduction :
•• Les 5 FSMO :
• Par fôret :
- Contrôleur de schéma (Schema) : Réplique les changements du schéma vers les autres contrôleurs du
domaine. Il est unique dans la fôret.
- Maître des nons de domaine (Name) : Attribute des noms uniques pour des différents domaines dans
l'AD. Il est unique dans la fôret.
• Par domaine :
- Contrôleur du domaine principale (PDC) : C'est le plus utilisé, et il est unique dans le domaine. C'est
pour plusieurs fonctions : Application et modification des GPO, Gestion des comptes, Changement des
mots de passe, ...
- Gestaionnaire du pool RID (RID) : Est utilisé pour assigner des ID unique pour chaque objet AD dans le
domaine
- Maître d'infrastructure (Infr) : Pour gérer les références entre les objets AD dans le domaine avec la
création des objets ghosts qui permet de faire des changements et des modifications avec attention sur
l'AD
"CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=UITS,DC=MA"
PS C:\Users\Administrateur> dsquery.exe server -HasFSMO Name
"CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=UITS,DC=MA"
"CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=UITS,DC=MA"
"CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=UITS,DC=MA"
"CN=SRV1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=UITS,DC=MA"
- PDC : 0
- RID : 1
- Infr : 2
- Schema : 3
- Name : 4
DomainNamingMaster SchemaMaster
------------------ ------------
SRV1.UITS.MA SRV1.UITS.MA
• Il y a plusieurs types de DC :
- GC
- FSMO
• Gestionnaire de serveur > Outils > Centre d'administration AD > Clic droite sur Domaine (UITS) >
Activer la corbeille
•• Introduction :
• On peut l'utiliser pour déclarer la pluparts des objets AD (Utilisateur, Ordinateur, Groupe, Dossier
partager, Imprimante, Unité d'organisation, Contact, ...
•• Unité d'organisation :
• Est un objet conteneur pour organiser les objets AD (Selon le service, Selon le département, Selon le
type, ...)
- Clic droite sur le nom du domaine ou autre emplacement > Nouveau > Unité d'organisation -> Nom : IT
> Cocher ou décocher "Protéger le conteneur contre une suppression accidentelle" > OK
- Clic droite sur un OU > Nouveau > Unité d'organisation -> Nom : NET-SEC > Cocher ou décocher
"Protéger le conteneur contre une suppression accidentelle" > OK
C:\Users\Administrateur>dsadd ou "ou=FORMATION,ou=RH,DC=UITS,DC=MA"
C:\Users\Administrateur>dsadd ou "ou=ADMINISTRATION,ou=RH,DC=UITS,DC=MA"
CanonicalName
-------------
UITS.MA/Domain Controllers
UITS.MA/IT
UITS.MA/RH
UITS.MA/VENTE
UITS.MA/IT/NET-SEC
UITS.MA/IT/SYS-INFR
UITS.MA/RH/FORMATION
UITS.MA/RH/ADMINISTRATION
UITS.MA/VENTE/SOFTWARE
UITS.MA/VENTE/HARDWARE
UITS.MA/VENTE/SERVICES
UITS.MA/RH/COMPTA
•• Utilisateurs :
- Local
- Domain
- Virtuel
- Clic droite sur un OU > Nouveau > Utilisateur > Prénom : KHALID > Nom : KATKOUT > Nom d'ouverture
de session de l'utilisateur : K.KATKOUT > Suivant > Taper et confirmer le mot de passe : P@ssw0rd >
Cocher "L'utilisateur doit changer le mot de passee à la prochaine ouverture de session" > Terminer
- Créer un fichier Excel contenant les utilisateurs AD (Voir le fichier "USERS" et enregistrer le dans le
bureau sous format CSV (Voir le fichier CSV.csv)
- Préparer le script sur un fichier texte (Voir le fichier texte "SCRIPT") et enregistrer le sous le nom
"CSV.ps1" (le fichier PS "CSV.ps1")
$Username = $User.USERNAME
$Password = $User.PASSWORD
$Firstname = $User.FIRSTNAME
$Lastname = $User.LASTNAME
$Department = $User.DEPARTMENT
$OU = $User.OU
if (Get-ADUser -F {SamAccountName -eq $Username})
else
New-ADUser `
-SamAccountName $USERNAME `
-UserPrincipalName "$Username@UITS.MA" `
-GivenName $FIRSTNAME `
-Surname $LASTNAME `
-Enabled $True `
-ChangePasswordAtLogon $True `
-Department $DEPARTMENT `
-Path $OU `
PS C:\Users\Administrateur> cd .\Desktop
PS C:\Users\Administrateur\Desktop> .\CSV.ps1
- Afficher des information sur un utilisateur spécifique (On se basant sur SamAccountName) :
- Afficher tous les utilisateurs dont le mot de passe n'expire jamais, et aussi dont le mot de passe déjà
changé :
C:\Users\Administrateur\Desktop>csvde -d "OU=SERVICES,OU=VENTE,DC=UITS,DC=MA" -f
"SERVICES.csv"
- Ouvrir le fichier > Sélectionne une colonne > Données > Convertir > Délimité > Suivant > Séparateurs :
Tabulation & Virgules > Suivant > Terminer
• Jointure en ligne :
- PS : Voir Image 3
- Offline AD Join est un nouveau processus afin que les ordinateurs exécutant windows 10/7 ou 2008 R2
peuvent joindre le domaine sans contacer directement le DC ou dont un problème de jointure/contact
avec le DC.
- Cela permet d'adhérer les ordinateurs, qui ont pas de connectivité au réseau d'entreprise (DC), à un
domaine AD via l'outil "Djoin.exe"
C:\Users\Administrateur>cd .\desktop
••• Groupes :
•• Introduction :
• Un groupe est un objet AD permettant de regrouper des utilisateurs pour simplifier et centraliser la
gestion (Partage, Autorisation, ...)
• Il y a 2 types de groupe :
- Distribution : Est utilisé par des protocoles de messagerie (SMTP) lors de la réplication
- Locale : Visible est disponible uniquement pour les utilisateurs du domaine local
- Globale : Visible est disponible pour les utilisateurs du domaine local et les domaines approuvés
• Voir Image 2
• GUI :
- Clic droite sur domaine/OU/... > Nouveau > Groupe > Nom : IT-ADMIN > Etendue : Global > Type :
Sécurité
• PS :
• CMD :
-Secgrp : Security Group (Yes) ou Destribution Group (No) -> Par defaut (No)
-Scope : Domain Local (l) ou Global (g) ou Universel (u) -> Par defaut (g)
• GUI :
- Double Clic sur le groupe > Membre > Ajouter > Taper les utilisateurs > OK
• PS :
Ou :
• CMD :
•• Afficher les utilisateurs des groupes et aussi des informations sur des groupes :
• GUI :
• On peut changer le type sans aucun problème, mais pour changer l'étendue il faut respecter :
• GPO sont des fonctionnalités Windows pour centraliser la gestion des objets réseaux
- ...
•• L'accès au GPO :
- Configurer l'héritage
- Pour paramètrer et configurer les règles GPO (Autorisation, Limitaion, Partage, Accès, Installation, ...)
- Options de sécurité
• Default Domain Policy :
- Stratégie Kerberos
- Options de sécurité
- GPC (Group Policy Container) est conteneur AD contenant les propriétés de GPO, tel que les
informations, les versions, l'état de GPO, les liens, et autres paramètres.
- GPT (Group Policy Template) est un dossier contenant la GPO et situé sur le dossier SYSVOL
•• Héritage :
• Est un paramètre GPO qui fait le transfert d'application des GPO entre des parents et des enfants
• Il peut être bloqué ou appliqué pour contrôler les GPO à chaque niveau
•• Filtres WMI :
• Sont très puissant et permmettent de cibler les postes clients d'une GPO avec précision
• Gestion de stratégie de groupe > Domaines > UITS.MA > Objets de stratégie de groupe > Clic Droite >
Nouveau > Nom : UITS > OK
• Gestion de stratégie de groupe > Domaines > UITS.MA > Objets de stratégie de groupe > Clic Droite sur
"UITS" > Modifier
- Configuration Utilisateur > Strétégie > Modèle d'administration > Panneau de Configuration > Interdire
l'accès au panneau de configuration ... > Activé > OK
- Configuration Ordinateur > Strétégie > Modèle d'administration > Composants Windows > Windows
Installer > PInterdire les installations par des utilisateurs > Activé > OK
- Configuration Ordinateur > Strétégie > Modèle d'administration > Composants Windows > Windows
Update > Pas de redémarrage automatique avec des utilisateurs connectés ... > Activé > OK
- Configuration Utilisateur > Strétégie > Modèle d'administration > Système > Accès au stockage
amovible > Toutes les classes de stockage amovible : Refuser tous les accès > Activé > OK
- Configuration Utilisateur > Strétégie > Modèle d'administration > Réseau > Connexion Réseau >
Interdire la configuration avancée de TCP/IP > Activé > OK
• Installer un logiciel via GPO :
- Besoin d'un logiciel avec un extension MSI, sinon, vous pouvez utiliser "ExetomsiSetup" pour convertir
un fichier EXE.
- Configuration Ordinateur > Strétégie > Paramètres du logiciel > Installation du logiciel > Nouveau >
Choisir le logiciel > Suivant > OK