MS Es 70-217 0.9 FR

Microsoft Windows 2000 :
Implmentation et administration des services dannuaire Microsoft Windows 2000
de prparation la certification 70-217

Par : NEDJIMI Brahim THOBOIS Loc TUDURY Matthieu
Essentiel
23, rue Chteau Landon 75010 PARIS www.supinfo.com
http://microsoft.supinfo.com Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000
Table des Matires

Module 1 Prsentation dActive Directory dans Windows 2000 ________________________________________________ 5 1 a) b) c) d) 2 a) b) c) d) 3 a) b) 4 a) b) c) Prsentation dActive Directory _________________________________________________________________ Dfinition dActive Directory ___________________________________________________________________ Objets Active Directory _______________________________________________________________________ Schma Active Directory ______________________________________________________________________ Protocole LDAP _____________________________________________________________________________ Structure logique dActive Directory______________________________________________________________ Les Domaines_______________________________________________________________________________ Les Units dorganisation______________________________________________________________________ Arborescences et forts________________________________________________________________________ Catalogue global_____________________________________________________________________________ 5 5 5 5 6 6 6 6 6 7
Structure Physique dActive Directory ____________________________________________________________ 7 Contrleurs de domaine _______________________________________________________________________ 7 Sites ______________________________________________________________________________________ 7 Mthodes dadministration dun rseau Windows 2000_______________________________________________ Utilisation dActive Directory pour la gestion centralise ______________________________________________ Gestion de lenvironnement utilisateur ____________________________________________________________ Dlgation du contrle dadministration ___________________________________________________________ 8 8 8 8
Module 2 Implmentation du systme DNS pour la prise en charge dActive Directory ______________________________ 9 1 2 3 a) b) 4 a) b) 5 Premier aperu du systme DNS _________________________________________________________________ 9 Prsentation du rle du systme DNS dans Active Directory ___________________________________________ 9 Systme DNS et Active Directory_________________________________________________________________ 9 Espaces de noms DNS et Active Directory _________________________________________________________ 9 Terminologies DNS / Active Directory ____________________________________________________________ 9 Rsolution de noms DNS dans Active Directory ____________________________________________________ 10 Enregistrements de ressources SRV et A ___________________________________________________________10 Zones intgres Active Directory ________________________________________________________________10 Installation dActive Directory _________________________________________________________________ 11
Module 3 Cration dun domaine Windows 2000 __________________________________________________________ 12 1 2 a) b) c) d) 3 a) b) c) 4 a) b) c) Vue densemble de la cration dun domaine Windows 2000__________________________________________ 12 Installation dActive Directory _________________________________________________________________ 12 Prparation de linstallation dActive Directory _____________________________________________________12 Cration du premier domaine ___________________________________________________________________12 Ajout dun contrleur de domaine de rpliqua_______________________________________________________12 Utilisation dun script dinstallation sans assistance pour installer Active Directory. __________________________13 Processus dinstallation dActive Directory________________________________________________________ 13 Paramtres de configuration ____________________________________________________________________13 Configuration de site _________________________________________________________________________13 Etude de la structure par dfaut dActive Directory ___________________________________________________13 Tches effectuer aprs linstallation dActive Directory ____________________________________________ 14 Implmentation de zones intgres Active Directory __________________________________________________14 Scurisation des mises jour pour les zones intgres Active Directory __________________________________14 Modification du mode de domaine _______________________________________________________________14
Module 4 Configuration et administration des utilisateurs et des groupes _______________________________________ 15 1 a) b) 2 Noms douverture de session dutilisateur_________________________________________________________ 15 Prsentation des noms douverture de session dutilisateur _____________________________________________15 Cration dun suffixe de nom principal dutilisateur __________________________________________________15 Cration de plusieurs comptes dutilisateur _______________________________________________________ 15
Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 3 4 5 Administration des comptes dutilisateur _________________________________________________________ 15 Utilisation des groupes dans Active Directory______________________________________________________ 15 Stratgies dutilisation des groupes dans un domaine________________________________________________ 16
Module 5 Publication de ressource dans Active Directory ___________________________________________________ 17 1 a) b) c) d) Vue densemble de la publication de ressources ____________________________________________________ 17 Publication dimprimantes _____________________________________________________________________17 Emplacements dimprimantes ___________________________________________________________________17 Publication et administration de dossiers partags ____________________________________________________17 Contrle daccs aux ressources publies.__________________________________________________________18
Module 6 Dlgation du contrle dadministration_________________________________________________________ 19 1 2 3 Scurit des objets ___________________________________________________________________________ 19 Dlgation de contrle ________________________________________________________________________ 19 Cration de MMC personnalises._______________________________________________________________ 19
Module 7 Implmentation dune stratgie de groupe _______________________________________________________ 21 1 a) b) 2 a) b) c) d) e) 3 a) b) La Console de Stratgies de groupe ______________________________________________________________ 21 Les types de paramtres de groupe _______________________________________________________________21 Les objets Stratgies de groupe__________________________________________________________________21 Application des paramtres de stratgies de groupe dans Active Directory_______________________________ 21 Hritage dune stratgie de groupe _______________________________________________________________21 Stratgies de groupe lors de connexions rseau lentes : ________________________________________________22 Rsolution des conflits entre les paramtres de stratgies de groupe : _____________________________________22 Modification de lhritage dune stratgie de groupe :_________________________________________________22 Dlgation du contrle dadministration des objets stratgies de groupe ___________________________________22 Surveillance et rsolution de problmes de stratgies de groupe _______________________________________ 23 Surveillance des stratgies de groupe _____________________________________________________________23 Outils de support de Windows 2000 permettant la rsolution de problmes de stratgie de groupe :_______________23
Module 8 Utilisation dune stratgie de groupe pour grer des environnements___________________________________ 24 1 a) b) c) d) Prsentation de la gestion des environnements utilisateur ____________________________________________ 24 Paramtres de modle dadministration____________________________________________________________24 Paramtres de script __________________________________________________________________________24 Redirection des dossiers de lutilisateur____________________________________________________________24 Paramtres de scurit ________________________________________________________________________24
Module 9 Utilisation dune stratgie de groupe pour grer les logiciels _________________________________________ 25 1 2 3 a) b) c) d) e) f) g) h) Prsentation de la gestion du dploiement de logiciels _______________________________________________ 25 Prsentation de Windows Installer ______________________________________________________________ 25 Dploiement de logiciels _______________________________________________________________________ 25 Affectation de logiciels : _______________________________________________________________________25 Publication de logiciels : _______________________________________________________________________25 Utilisation des modifications de logiciel ___________________________________________________________25 Cration de catgories de logiciels _______________________________________________________________26 Association dextensions de noms de fichiers des applications _________________________________________26 Mise niveau de logiciels dploys ______________________________________________________________26 Redploiement de logiciels _____________________________________________________________________26 Suppression de logiciels dploys ________________________________________________________________26
Module 10 Cration et gestion darborescences et de forts __________________________________________________ 27 1 2 3 a) Dfinition dune arborescence : _________________________________________________________________ 27 Dfinition dune fort :________________________________________________________________________ 27 Relations dapprobations dans les arborescences et les domaines ______________________________________ 27 Types dapprobations _________________________________________________________________________27 3
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 b) c) d) 4 a) Approbations raccourcis dans Windows 2000 _______________________________________________________28 Approbations non transitives :___________________________________________________________________28 Catalogue Global et Ouverture de session__________________________________________________________28 Stratgie dutilisation de groupes dans les arborescences et les forts.___________________________________ 28 Groupe universels et duplication_________________________________________________________________28
Module 11 Gestion de la duplication Active Directory ______________________________________________________ 29 1 2 3 4 a) b) c) 5 a) b) c) d) e) 6 Fonctionnement de la duplication _______________________________________________________________ 29 Rsolution des conflits de duplication ____________________________________________________________ 29 Optimisation de la duplication __________________________________________________________________ 30 Topologie de duplication ______________________________________________________________________ 30 Partitions dannuaire __________________________________________________________________________30 Topologie de duplication ______________________________________________________________________30 Gnration de topologie de duplication automatique __________________________________________________31 Utilisation des sites pour optimiser la duplication___________________________________________________ 31 Prsentation des sites _________________________________________________________________________31 Duplication intrasite __________________________________________________________________________32 Duplication intersite __________________________________________________________________________32 Notion de cot ______________________________________________________________________________32 Serveur tte de pont __________________________________________________________________________32 Protocoles de duplication ______________________________________________________________________ 33
Module 12 Gestion des matres doprations______________________________________________________________ 34 1 a) b) c) d) e) 2 a) b) c) Prsentation des matres doprations ____________________________________________________________ 34 Rle du contrleur de schma ___________________________________________________________________34 Matre dattribution de nom de domaine ___________________________________________________________34 Emulateur CPD (PDC) ________________________________________________________________________34 Matre RID_________________________________________________________________________________34 Matre dinfrastructure ________________________________________________________________________35 Gestion des dfaillances de matres doprations ___________________________________________________ 35 La dfaillance de lEmulateur de CPD ____________________________________________________________35 Dfaillance du matre dinfrastructure _____________________________________________________________35 Dfa illance des autres matres doprations_________________________________________________________35
Module 13 Mise jour de la base de donnes Active Directory________________________________________________ 36 1 a) b) c) Entretien de la base de donnes Active Directory___________________________________________________ 36 Fichiers dActive Directory_____________________________________________________________________36 Nettoyage de la mmoire ______________________________________________________________________36 Restauration dActive Directory _________________________________________________________________36
Module 1 Prsentation dActive Directory dans Windows 2000

1 Prsentation dActive Directory
Active Directory permet de centraliser, de structurer, dorganiser et de contrler les ressources rseau dans les environnements Windows 2000. La structure Active Directory permet une dlgation de ladministration trs fine pouvant tre dfinie par types dobjets.
a)
Dfinition dActive Directory
Active Directory sert dannuaire des objets du rseau, il permet aux utilisateurs de localiser, de grer et dutiliser facilement les ressources. Il permet de raliser la gestion des objets sans liens avec la disposition relle ou les protocoles rseaux employs. Active Directory organise lannuaire en sections, ce qui permet de suivre le dveloppement dune socit allant de quelques objets des millions dobjets. Combin aux stratgies de groupes, Active directory permet une gestion des postes distants de faon compltement centralise.
b)
Objets Active Directory
Active Directory stocke des informations sur les objets du rseau. Il en existe de plusieurs types : serveurs domaines sites utilisateurs ordinateurs imprimantes
Avec chaque objet, sont stockes des informations et des proprits qui permettent deffectuer par exemple des recherches plus prcises (emplacement dune imprimante).
c)
Schma Active Directory
Le schma Active Directory stocke la dfinition de tous les objets dActive Directory (ex : nom, prnom pour lobjet utilisateur). Il ny a quun seul schma pour lensemble de la fort, ce qui permet une homognit de lensemble des domaines. Le schma comprend deux types de dfinitions : Les classes dobjets : Dcrit les objets dActive Directory quil est possible de crer. Chaque classe est un regroupement dattributs. Les attributs : Ils sont dfinis une seul fois et peuvent tre utiliss dans plusieurs classes (ex : Description).
Le schma est stock dans la base de donnes dActive Directory ce qui permet des modifications dynamiques exploitables instantanment.
d)
Protocole LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole du service dannuaire utilis pour interroger et mettre jour Active Directory. Chaque objet de lannuaire est identifi par une srie de composants qui constituent son chemin daccs LDAP au sein dActive Directory (CN=Loc THOBOIS, OU=Direction, DC=labo-microsoft, DC=lan). DC : Composant de domaine (lan, com, labo-microsoft, ) OU : Unit dorganisation (contient des objets) CN : Nom usuel (Nom de lobjet)
Les chemins daccs LDAP comprennent les lments suivants : Les noms uniques : le nom unique identifie le domaine dans lequel est situ lobjet, ainsi que son chemin daccs complet (ex : CN=Brahim NEDJIMI, OU=Direction, DC=labo-microsoft, DC=lan) Les noms uniques relatifs : partie du nom unique qui permet didentifier lobjet dans son conteneur (ex : Brahim NEDJIMI).
Structure logique dActive Directory
La structure logique dActive Directory offre une mthode efficace pour concevoir une hirarchie en son sein. Les composants logiques de la structure dActive Directory sont les suivants :
a)
Les Domaines
Unit de base de la structure Active Directory, un domaine est un ensemble dordinateurs et/ou dutilisateurs qui partagent une mme base de donnes dannuaire. Un domaine a un nom unique sur le rseau. Dans un environnement Windows 2000, le domaine sert de limite de scurit. Le rle dune limite de scurit est de restreindre les droits dun administrateur ou de tout autre utilisateur avec pouvoir uniquement aux ressources de ce domaine et que seuls les utilisateurs explicitement promus puissent tendre leurs droits dautres domaines. Dans un domaine Windows 2000, tous les serveurs maintenant le domaine (contrleurs de domaine) possdent une copie de lannuaire dActive Directory. Chaque contrleur de domaine est capable de recevoir ou de dupliquer les modifications de lensemble de ses homologues du domaine.
b)
Les Units dorganisation
Une unit dorganisation est un objet conteneur utilis pour organiser les objets au sein du domaine. Il peut contenir dautres objets comme des comptes dutilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que dautres units dorganisation. Les units dorganisation permettent dorganiser de faon logique les objets de lannuaire (ex : reprsentation physique des objets ou reprsentation logique). Les units dorganisation permettent aussi de faciliter la dlgation de pouvoir selon lorganisation des objets.
c)
Arborescences et forts
Le premier domaine install est le domaine racine de la fort. Au fur et mesure que des domaines lui sont ajouts, cela forme la structure de larborescence ou la structure de la fort, selon les exigences pour les noms de domaine.
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 Une arborescence est un ensemble de domaines partageant un nom commun (ex : supinfo.lan est le domaine parent du domaine paris.supinfo.lan et du domaine carabes.supinfo.lan). La relation dapprobation dun domaine dune arborescence est de type transitive bidirectionnelle avec son domaine parent. Les relations dapprobation transitives sont les relations qui sont automatiquement tendues aux domaines sapprouvant indirectement (ex : A approuve B, B approuve C donc A approuve C) Les relations bidirectionnelles permettent 2 domaines de sapprouver lun lautre. Une fort est un ensemble de domaines (ou darborescences) nayant pas une partie de leur nom en commun mais qui partagent un schma et un catalogue commun (ex : supinfo.lan et labo-microsoft.lan).
d)
Catalogue global
Le catalogue global contient une partie des attributs les plus utiliss de tous les objets Active Directory. Il contient les informations ncessaires pour dterminer lemplacement de tout objet de lannuaire. Le catalogue global permet aux utilisateurs deffectuer 2 tches importantes : Trouver des informations Active Directory sur toutes les forts, quel que soit lemplacement des ces donnes. Utiliser des informations dappartenance des groupes universels pour ouvrir une session sur le rseau.
Un serveur de catalogue global est un contrleur de domaine qui conserve une copie du catalogue global et peut ainsi traiter les requtes qui lui sont destines. Le premier contrleur de domaine est automatiquement le serveur de catalogue global. Il est possible de configurer dautres contrleurs de domaine en serveur de catalogue global afin de rguler le trafic. ? Lauthentification douverture de session ne peut se faire que sur un contrleur de domaine.
Structure Physique dActive Directory
Dans Active Directory, la structure logique et la structure physique sont distinctes. La structure physique permet doptimiser les changes dinformations entre les diffrentes machines en fonction des dbits assurs par les rseaux qui les connectent.
a)
Contrleurs de domaine
Un contrleur de domaine est un ordinateur excutant Windows 2000 Server qui stocke un rpliqua de lannuaire. Il assure la propagation des modifications faites sur lannuaire. Il assure lauthentification et louverture des sessions des utilisateurs, ainsi que les recherches dans lannuaire. Un domaine peut possder un ou plusieurs contrleurs de domaine. Dans le cas dune socit constitue de plusieurs entits disperses gographiquement, on aura besoin dun contrleur de domaine dans chacune de ses entits.
b)
Sites
Un site est une combinaison dun ou plusieurs sous rseaux connects entre eux par une liaison haut dbit fiable. Dfinir des sites permet Active Directory doptimiser la duplication et lauthentification afin dexploiter au mieux les liaisons les plus rapides.
Mthodes dadministration dun rseau Windows 2000

a) Utilisation dActive Directory pour la gestion centralise
Active Directory permet un seul administrateur de centraliser la gestion et ladministration des ressources du rseau. Comme il contient des informations sur tous les objets et leurs attributs, la recherche dinformations se fait sur lensemble de la fort. Active Directory permet aussi dorganiser les objets de faon hirarchique grce aux conteneurs comme les units organisationnelles, les domaines ou les sites. Il est ainsi possible dappliquer certains paramtres un ensemble dordinateurs et dutilisateurs.
b)
Gestion de lenvironnement utilisateur
A laide des stratgies de groupe de Windows 2000, il est possible de restreindre les actions des utilisateurs directement partir du serveur. Contrle des actions que peuvent raliser les utilisateurs. Centralisation de la gestion de linstallation des applications et des services. Configuration des donnes utilisateur pour suivre les utilisateurs.
c)
Dlgation du contrle dadministration
La hirarchie mise en place au sein dActive Directory permet une dlgation fine toujours base sur les conteneurs permettant la dlgation sur un ensemble dfini de machines et dutilisateurs.
Module 2 Implmentation du systme DNS pour la prise en charge dActive Directory

1 Premier aperu du systme DNS
Windows 2000 intgre dsormais le systme DNS (Domain Name Service) et des services dannuaire Active Directory. Ces deux lments sont lis: afin de mettre en place Active Directory dans un environnement Windows 2000, vous devrez imprativement installer DNS. Ils utilisent la mme structure de noms hirarchique afin de reprsenter les domaines et ordinateurs sous forme dobjets Active Directory, ainsi que sous forme de domaines DNS et denregistrement de ressources.
Prsentation du rle du systme DNS dans Active Directory
Le systme DNS fournit les principales fonctions ci-dessous sur un rseau excutant Active Directory : Rsolution de noms : le systme DNS rsout les noms de machines en adresses IP. Par exemple, un ordinateur nomm labo-1 dsirant se connecter un autre ordinateur nomm labo-2 enverra une requte au serveur DNS qui lui renverra ladresse IP de labo-2. Le systme DNS peut aussi effectuer une rsolution de nom inverse, c'est--dire fournir le nom dune machine partir de ladresse IP qui lui est communique. Convention de dnomination pour les domaines Windows 2000 : Active Directory emploie les conventions de dnomination du systme DNS. Ainsi, microsoft.supinfo.com peut tre un nom de domaine DNS et/ou un nom de domaine Windows 2000. Localisation des composants physiques dActive Directory : Le systme DNS identifie les contrleurs de domaine par rapport aux services spcifiques quils proposent comme lauthentification dune connexion ou la recherche dinformations dans Active Directory. Lors de louverture dune session, une machine cliente doit sadresser un contrleur de domaine, seul capable de lauthentifier. Le systme DNS pourra lui fournir lemplacement de lun de ces contrleurs de domaine.
Systme DNS et Active Directory

a) Espaces de noms DNS et Active Directory
Un espace de noms est une structure de noms hirarchique dans laquelle les noms peuvent tre rsolus en les objets quils reprsentent. Active Directory et le systme DNS partagent la mme structure de noms hirarchique. En dautres termes, les domaines et ordinateurs dans un domaine Windows 2000 peuvent tre reprsents sous forme de nuds DNS et dobjets Active Directory. Dans lespace de nom DNS, les zones stockent les enregistrements de ressources (correspondant aux ordinateurs) dun ou plusieurs domaines. Les domaines et ordinateurs existants dans le systme DNS correspondent aux objets Active Directory. Par ailleurs, la structure de noms dInternet reposant sur un espace de noms DNS, un domaine Active Directory peut par consquent exister sur Internet. Il faudra alors enregistrer le nom de domaine DNS correspondant au nom du domaine Active Directory dsir. Toutefois, bien quils partagent la mme structure de dnomination, Active Directory et le systme DNS constituent deux espaces de noms distincts car pour un mme objet, ils ne stockeront pas les mmes informations. ? Une zone peut tre dfinie comme la partie commune dun nom DNS de tous les objets dun mme domaine. Par exemple, dans microsoft.supinfo.com et dans mail.supinfo.com, on aura la zone supinfo.com. ? Lorsquun serveur DNS est charg de la rsolution de noms pour une zone, on dit quil a autorit sur cette zone.
b)
Terminologies DNS / Active Directory
Active Directory et le systme DNS stockent tous deux des informations sur les domaines et les machines.
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 On parle denregistrements de ressource dans le cas du DNS et dobjets pour Active Directory. Ces deux termes dsignent la mme chose. Un nom dhte DNS reprsentera un compte machine dans Active Directory. Si lon prend le FQDN (Fully Qualified Domain Name ou nom de domaine pleinement qualifi) dune machine, par exemple labo-1.microsoft.supinfo.com, le suffixe DNS (qui est le nom de domaine DNS), en loccurrence microsoft.supinfo.com correspondra au nom de domaine Active Directory.
Rsolution de noms DNS dans Active Directory

a) Enregistrements de ressources SRV et A
Nous avions vu que les DNS stockent des enregistrements de ressources. Ces enregistrement peuvent tre de diffrents types : SRV, MX, Gnralement, les enregistrements de type SRV permettent aux clients de dterminer l es serveurs offrant des services spcifiques. Windows 2000 les emploie principalement pour identifier les contrleurs de domaine. Les contrleurs de domaine inscrivent dynamiquement dans les serveurs DNS lors de leur dmarrage un enregistrement SRV ainsi quun enregistrement de ressource A (qui contient son nom de machine et son adresse IP). Le serveur DNS emploie ces deux enregistrements pour rsoudre les requtes clientes portant sur les contrleurs de domaine. ? Un serveur DNS doit imprativement supporter les enregistrements SRV (RFC 2052) pour prendre en charge linstallation dActive Directory. Le bon droulement de louverture dune session sur une machine cliente ou du parcours de lannuaire Active Directory est conditionn par lauthentification dun compte par un contrleur de domaine. Nous allons voir comment, dans ce cas, le client russit contacter ce contrleur : 1. Lorsquune opration ncessitant un contrleur de domaine est effectue (authentification, ), le service Netlogon va runir des informations sur lordinateur comme par exemple le nom de machine, le nom du domaine dans lequel on souhaite tre authentifi, ou encore le nom du site sur lequel on recherche un contrleur de domaine. Netlogon envoie ces informations dans une requte un serveur DNS. Le serveur DNS va consulter ses enregistrements pour dterminer les enregistrements SRV correspondant aux contrleurs de domaine Le serveur DNS renvoie la liste des adresses IP des contrleurs de domaine pour le domaine spcifi Netlogon envoie un message (UDP LDAP) aux contrleurs de domaine que le serveur DNS a renvoy pour dterminer sils sont capables ou non, dauthentifier des clients sur le domaine spcifi. Chaque contrleur de domaine disponible rpond au message Le client choisira le premier contrleur de domaine qui rpondra et lui enverra la demande dauthentification.
2. 3. 4. 5. 6. 7.
Ces donnes seront mises en cache par Netlogon sur la machine cliente afin que cette dernire nait pas rpter ce processus pour chaque authentification (lors de laccs un partage par exemple).
b)
Zones intgres Active Directory
Dans un domaine Windows 2000, il est possible dintgrer des zones DNS (il sagit de zones principales, et non de zones secondaires) dans la base de donnes dActive Directory. On parle alors de zones intgres Active Directory. Les avantages quoffrent les zones intgres Active Directory sont les suivants : La base de donnes de zone est duplique lors de la duplication dActive Directory, alors que dans le cas dun DNS classique, cela seffectue via les transferts de zone. il ny a plus de serveur DNS principal : dans un systme DNS classique, on dispose dun serveur DNS principal et de serveurs DNS secondaires. Les transferts de zones se font tous depuis le serveur principal, et en cas de
10
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 panne de ce dernier, les serveurs secondaires seront incapables de rcuprer les derniers changements apports au DNS. Les mises jours sont scurises : Active Directory est scuris. On peut y dfinir des permissions daccs. Les zones tant des objets contenus dans Active Directory, ils hritent de cette proprit. Ainsi, on pourra dfinir les ordinateurs autoriss mettre jour les informations de la zone intgre. Le support du transfert de zone standard : Un serveur DNS ntant pas configur comme contrleur de domaine (et donc sans Active Directory), peut rcuprer la zone intgre via un transfert de zone standard.
Installation dActive Directory
Pour installer Active Directory, il faut imprativement un serveur DNS disposant de zones de recherche directe et inverse pour votre domaine (les zones peuvent aussi inclure des donnes de plusieurs domaines). Rappelez-vous que votre serveur DNS doit prendre en charge les enregistrements de type SRV. Il est aussi recommand dutiliser un serveur DNS supportant le protocole de mise jour dynamique (permettant des ordinateurs dajouter automatiquement des enregistrements dans le DNS) et les transferts de zone incrmentiels (le transfert de zone portera uniquement sur les modifications ou ajouts a pports la base de donnes DNS depuis le dernier transfert). Si aucun serveur DNS nest prsent sur le rseau lors de la mise en place dActive Directory, le service Serveur DNS de Windows 2000 sera install sur le serveur que vous voulez transformer en contrleur de domaine lors de linstallation dActive Directory. Dans tous les cas, il faut que le serveur DNS que vous installez fasse autorit sur le domaine DNS que vous utilisez pour votre premier domaine Active Directory. On peut en effectuer la vrification grce la commande nslookup. Par exemple, pour afficher les serveurs DNS qui font autorit pour le domaine microsoft.supinfo.com, on tapera : nslookup type=ns microsoft.supinfo.com
11
Module 3 Cration dun domaine Windows 2000

1 Vue densemble de la cration dun domaine Windows 2000
Un domaine dsigne lunit administrative de base dun rseau Windows 2000. Le premier domaine dune nouvelle fort cr dans Active Directory reprsente le domaine racine de lensemble de la fort. La cration dun domaine deffectue laide de la commande dcpromo. Lassistant dinstallation dActive Directory vous guide alors dans la cration dun nouveau domaine ou dans la cration dun contrleur de domaine supplmentaire dans un domaine Windows 2000 existant. ? Il est dornavant possible de promouvoir un serveur membre ou un serveur autonome sans avoir tout rinstaller.
Installation dActive Directory

a) Prparation de linstallation dActive Directory
Configuration requise pour linstallation dActive Directory : Un ordinateur excutant Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter. 200 Mo despace disque disponibles pour la base de donnes Active Directory et 50 Mo pour les fichiers de transactions. La taille relative aux fichiers de base de donnes dpend du nombre de fichiers contenus dans Active Directory. De lespace disque supplmentaire peut tre ncessaire dans le cas dun serveur de catalogue global. Une partition ou un volume au format NTFS pour stocker le dossier SYSVOL de faon scurise. Le protocole TCP/IP configur pour utiliser le systme de noms de domaine (DNS). Les privilges administratifs pour crer un domaine dans un environnement Windows 2000 existant.
b)
Cration du premier domaine
Pour crer un nouveau domaine racine dune nouvelle fort 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Lancer la commande dcpromo. Cliquez sur Contrleur de domaine pour un nouveau domaine Cliquez sur Crer une nouvelle arborescence de domaine Cliquez sur Crer une nouvelle fort darborescence de domaines Entrez un nom de domaine DNS Entrez un nom de domaine NetBIOS (Assure la compatibilit pr-Windows 2000) Emplacement de la base de donnes et du journal (laissez lemplacement par dfaut) Emplacement du volume systme partag (emplacement sur une partition ou un volume en NTFS) Spcifiez si lauthentification doit rester compatible Windows NT 4 ou juste Windows 2000. Entrez le mot de passe Administrateur du domaine.
c)
Ajout dun contrleur de domaine de rpliqua
Pour assurer une tolrance de panne du contrleur de domaine vous devez disposez au minimum de 2 contrleurs de domaine pour un domaine. Lensemble des paramtres du domaine sont automatiquement rpliqus sur tout nouveau contrleur de domaine. Dautre part, lajout dun second contrleur de domaine permet dviter que le premier soit surcharg.
12
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 ? . Ne pas oublier de mettre ladresse IP du serveur DNS dans la configuration TCP/IP de la machine que lon veut ajouter au domaine. ? . Pour une authentification plus efficace, il est important de dfinir le nouveau contrleur de domaine comme serveur de catalogue global. Pour crer un nouveau contrleur de domaine dun domaine existant : 1. 2. 3. 4. Lancez la commande dcpromo. Cliquez sur Contrleur de domaine supplmentaire pour un domaine existant Donnez le login/password dun compte autoris crer des contrleurs de domaine dans Active Directory. Entrez le nom DNS du domaine existant.
d)
Utilisation dun script dinstallation sans assistance pour installer Active Directory.
Le fichier de rponses contient tous les paramtres requis pour installation sans assistance dActive Directory. Il peut tre excut automatiquement laide de la commande dcpromo /answer:<fichier_rponses>.
Processus dinstallation dActive Directory

a) Paramtres de configuration
Vrification effectue automatiquement par lassistant dinstallation dActive Directory : Lutilisateur ralisant linstallation est membre du groupe Administrateurs locaux. Aucune installation ou dsinstallation na eu lieu sans redmarrage. Aucune installation ou dsinstallation nest en cours. Si Active Directory est dj install (ce qui lance lassistant de dsinstallation). Vrification de lunicit du nom de la machine dans le domaine que lon joint. Vrification de la validit de ladresse IP affecte. Vrification de la prsence lors de la cration dun nouveau domaine dun serveur DNS maintenant la zone du domaine. Vrification du nom DNS et du nom NetBIOS (gnr partir des 15 premiers caractres du nom DNS). Vrification des informations didentification de lutilisateur (pas dans le cas dune nouvelle fort). Vrification de lemplacement du rpertoire SYSVOL sur une partition ou un volume NTFS.
b)
Configuration de site
Le contrleur de domaine est ajout au site associ son sous-rseau. Si aucun objet sous-rseau nest dfini, le serveur est cr automatiquement dans le site Premier-Site-par-defaut.
c)
Etude de la structure par dfaut dActive Directory

Contient les groupes de scurit par dfaut de Windows 2000. Emplacement par dfaut des comptes dordinate urs. Emplacement pas dfaut des comptes dordinateurs contrleurs de domaine. Contient les identificateurs de scurit (SID, Security Identifiers). Emplacement par dfaut des comptes dutilisateurs. Contient des objets dont les conteneurs ont t supprims. Contient les paramtres systmes intgrs spcifiques.
Builtin Computers Domain Controllers (UO) ForeignSecurityPrincipals Users LostAndFound System
13
Tches effectuer aprs linstallation dActive Directory

a) Implmentation de zones intgres Active Directory
Aprs linstallation dActive Directory, vous pouvez intgrer une zone DNS Active Directory, afin que le systme DNS puisse utiliser Active Directory pour stocker et dupliquer les bases de zones DNS. Vous pouvez implmenter les zones de recherche directe et inverse intgres Active Directory pour permettre aux ordinateurs clients de raliser la fois des requtes sur les noms dhtes ou les adresses IP.
b)
Scurisation des mises jour pour les zones intgres Active Directory
Suite limplmentation des zones intgres Active Directory, vous pouvez galement configurer des zones pour des mises jour dynamiques (auto-inscription des clients dans le DNS) scurises (faisant appel aux DACL).
c)
Modification du mode de domaine
Par dfaut, un domaine A ctive Directory assure une compatibilit avec les systmes pr-Windows 2000. Cette compatibilit empche lutilisation de certaines fonctions dActive Directory comme limbrication des groupes et les groupes universels de scurit. Le changement de mode du domaine se fait dans la console Utilisateurs et ordinateurs Active Directory, en faisant un clic-droit sur le domaine, puis en slectionnant Proprits.
14
Module 4 Configuration et administration des utilisateurs et des groupes

1 Noms douverture de session dutilisateur
a) Prsentation des noms douverture de session dutilisateur
Sous Windows 2000 il est possible douvrir une session laide du nom principal dutilisateur prfixe@suffixe (thoboi_l@esi-supinfo.com). Ce nom doit tre unique au sein de la fort. Il est toujours possible douvrir une session laide du nom douverture de session dutilisateur (pr-Windows 2000). Ce nom doit tre unique au sein du domaine.
b)
Cration dun suffixe de nom principal dutilisateur
Par dfaut, le suffixe utilis pour ouvrir une session est le nom du domaine qui contient le compte. Il est possible de changer de suffixe en ajoutant celui-ci dans la console dadministration Domaines et approbations Active Directory dans les proprits de la racine. Cela permet de faciliter la saisie de son login lors de louverture de session dans le cas dun utilisateur appartenant un domaine situ trs loin dans la hirarchie de la fort (ex : thoboi_l@labo-microsoft.lan est plus simple que thoboi_l@labo-microsoft.paris.esi-supinfo.com).
Cration de plusieurs comptes dutilisateur
La mthode dimport par blocs permet dimporter plusieurs comptes automatiquement partir dun fichier texte. Deux utilitaires sont mis votre disposition pour raliser cette importation : csvde : Permet de crer des objets partir dun fichier au format csv (champs dlimits par des virgules). ldifde : Permet de crer, modifier, supprimer des objets partir dun fichier au format ldif (champs dlimits par des sauts de ligne).
Ces fichiers doivent comporter un certain nombre dinformations : Le chemin daccs de lunit dorganisation du compte dutilisateur. Le type dobjet. Le nom douverture de session dutilisateur (pr-Windows 2000). Le nom principal dutilisateur. Si le compte est actif ou non (code 512 pour activ et 514 pour dsactiv). Ne doit pas comporter de mots de passe.
Administration des comptes dutilisateur
Une fois les utilisateurs crs, certaines tches courantes sont raliser partir de la console dadministration Utilisateurs et ordinateur Active Directory : Activation / Dsactivation de comptes. Rinitialisation de mots de passe. Dplacement de comptes dutilisateurs dans un domaine (le drag&drop ne fonctionne pas). Suppression de comptes dutilisateurs. Changement de nom dun compte dutilisateur.
Utilisation des groupes dans Active Directory
15
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 Les groupes permettent de simplifier la gestion de laccs des utilisateurs aux ressources du rseau. Les groupes permettent daffecter en une seule action une ressource un ensemble dutilisateurs au lieu de rpter laction pour chaque utilisateur. Un utilisateur peut tre membre de plusieurs groupes. Il existe deux types de groupes dans Active Directory : Les groupes de scurit : permettent daffecter des utilisateurs et des ordinateurs des ressources. Les groupes de distribution : exploitables entre autres via un logiciel de messagerie.
Les deux types de groupes grent chacun 3 niveaux dtendue : Les groupes globaux : Mode mixte Comptes dutilisateurs du mme domaine Mode natif Comptes dutilisateurs et groupes globaux du mme domaine Groupes locaux du mme domaine Groupes locaux de domaines Visibles dans leur domaine et dans tous les domaines approuvs Tous les domaines de la fort
Membres Membres de Etendue Autorisations pour
Les groupes locaux de domaine : Mode mixte Comptes dutilisateurs et groupes globaux de tout domaine Mode natif Comptes dutilisateurs, groupes globaux et groupes universels dun domaine quelconque de la fort, et groupes locaux de domaine du mme domaine Groupes locaux de domaine du mme domaine
Membres
Membres de Etendue Autorisations pour Les groupes universels :
Membres daucun groupe
Visibles dans leur propre domaine Le domaine dans lequel le groupe local de domaine existe
Mode mixte Non utilisables Membres Membres de Etendue Autorisations pour Non utilisables Visibles dans tous les domaines de la fort Tous les domaines de la fort
Mode natif Comptes dutilisateurs, groupes globaux et autres groupes universels dun domaine quelconque de la fort. Groupes locaux de domaine et universels de tout domaine.
Stratgies dutilisation des groupes dans un domaine
La stratgie recommande pour les groupes globaux et locaux dans un domaine est la suivante : Ajoutez les comptes dutilisateur aux groupes globaux. Ajoutez les groupes globaux un autre groupe global (dans le cas dun environnement natif). Ajoutez les groupes globaux un groupe local de domaine. Affectez les autorisations sur les ressources au groupe local de domaine.
? . Cette stratgie est aussi appele A G DL P.
16
Module 5 Publication de ressource dans Active Directory

Le service dannuaire Active Directory permet de stocker des informations scurises concernant des objets du rseau. Il offre en outre des fonctionnalits de recherche puissantes, ce qui permet aux utilisateurs de publier des ressources en toute scurit.
Vue densemble de la publication de ressources
La publication de ressources dans Active Directory peut se dfinir comme la cration dobjets contenant des informations (ou des rfrences des informations) que lou souhaite rendre accessibles. Certaines informations sont automatiquement publies dans Active Directory, comme par exemple les comptes dutilisateurs. Toutefois, laccs cette information publie p eut tre restreint (ex : les comptes dutilisateurs accessibles uniquement par certains groupes dadministration). ? . Gnralement, les informations publies sont statiques (par exemple, ladresse ou le numro de tlphone). La publication dinformations sujettes des modifications frquentes peut augmenter considrablement le trafic rseau li la duplication dActive Directory.
a)
Publication dimprimantes
Une imprimante partage sous Windows 2000 se retrouve automatiquement publie dans Active Directory. Le serveur dimpression auquel est relie limprimante demeure nanmoins le seul gestionnaire de cette imprimante. La publication manuelle dimprimantes se fait sur les machines non-Windows 2000. Cette publication seffectue soit via la console dadministration Utilisateurs et Ordinateurs Active Directory soit en utilisant le script Pubprn.vbs localis dans le dossier %systemroot%\system32\pubprn.vbs Dans certains cas, on ne souhaite pas publier une imprimante. Il faudra alors dcocher loption Liste dans lannuaire dans les options de partage. ? . Si Active Directory nest pas implment sur le domaine, alors les utilisateurs devront parcourir le rseau pour trouver limprimante partage.
b)
Emplacements dimprimantes
Pour reprer aisment les imprimantes les plus proches, lutilisateur peut avoir recours aux emplacements dimprimantes, condition quils soient implments. Dans ce cas, lors dune recherche dimprimantes dans lannuaire Active Directory, ce dernier renverra la liste des imprimantes situes au mme emplacement physique que lordinateur client. La mise en place demplacements requiert la prsence dau moins deux sous rseaux dans un mme site (ou deux sites distincts avec par consquent des ID rseau diffrents), car un emplacement correspond un sous rseau. Un exemple de nom demplacement dimprimante pourrait tre : France/Paris/Btiment A/1er Etage/Laboratoire Microsoft ? . Afin de visualiser les imprimantes dans loutil dadministration Utilisateurs et Ordinateurs Active Directory, il faut sassurer que loption "Utilisateurs, groupes et ordinateurs en tant que conteneur" est slectionne dans le menu Affichage.
c)
Publication et administration de dossiers partags
Un dossier partag peut tre publi dans lannuaire Active Directory. Cette publication se fait via la console dadministration Utilisateurs et Ordinateurs Active Directory : en faisant un clic droit sur lU.O. dans laquelle on souhaite crer lobjet, puis en slectionnant Nouveau et enfin Dossier Partag. Il faudra saisir le chemin UNC du partage, par exemple \\mslab-srv\essentiels.
17
La publication confre aux dossiers partags une plus grande accessibilit, mais en plus, elle leur offre la possibilit dy ajouter une description et des mots cls, afin den faciliter la recherche. Lobjet cr dans lannuaire Active Directory lors la publication peut tre dplac dans nimporte quelle Unit Organisationnelle, sans perdre laccs au partage. Il agit en quelque sorte comme un pointeur vers un emplacement physique fixe.
d)
Contrle daccs aux ressources publies.
Lorsque lon partage une ressource, par exemple un rpertoire, on dispose dune DACL (Discretionary Access Control List) pour en grer laccs (lecture seule, criture,). Lorsque lon publie une ressource, on cre un objet dans lannuaire Active Directory qui pointe vers le dossier partag. Cet objet dispose de sa propre DACL, distincte de celle de la ressource partage quil reprsente. Cette DACL permettra par exemple dautoriser la visualisation de lobjet des utilisateurs. Ainsi, mme si la DACL dun objet autorise un utilisateur le visualiser, si la DACL de la ressource partage correspondante en interdit laccs, lutilisateur ne pourra utiliser la ressource. Il serait alors judicieux dautoriser la visualisation des objets uniquement aux utilisateurs qui ont accs aux ressources partages correspondantes.
18
Module 6 Dlgation du contrle dadministration

Active Directory est scuris : seuls les comptes ayant reu les permissions adquates peuvent effectuer des oprations sur ces objets (ajout, modification, ). Les administrateurs, en charge de cette affectation de permissions peuvent aussi dlguer des tches dadministration des utilisateurs ou des groupes dutilisateurs.
Scurit des objets
Dans Active Directory, chaque objet est scuris, ce qui signifie que laccs a chacun dentre eux est cautionn par lexistence de permissions en ce sens. A chaque objet sont associs un descripteur de scurit unique qui dfinit les autorisations daccs ncessaires pour lire ou modifier les proprits de cet objet grce une DACL (Discretionary Access Control List) et une SACL (System Access Control List, utilise pour laudit). Le contrle daccs dans Active Directory repose non seulement sur les descripteurs de scurit des objets, mais aussi sur les entits de scurit (par exemple un compte dutilisateur ou un compte de machine), et les identificateurs de scurit (SID, dont le fonctionnement est globalement identique celui sous NT 4.0 ). Active Directory tant organis hirarchiquement, il est possible de dfinir des permissions sur un conteneur et de voir ces permissions hrites ses sous conteneurs et ses objets enfants (si on le souhaite). Grce cela, ladministrateur naura pas appliquer les mmes permissions objet par objet, limitant ainsi la charge de travail, et le taux derreurs. Dans le cas o lon dfinirait des permissions spcifiques pour un objet et que ces dernires entrent en conflit avec des permissions hrites, ce seront les permissions hrites qui seront appliques. Dans certains cas, on ne souhaite pas que des permissions soient hrites, il est alors possible de bloquer cet hritage. Par dfaut, lors de la cration dun objet, lhritage est activ. Par consquent, une D ACL correspondant aux permissions du conteneur parent est cre pour cet objet. Lors du blocage de lhritage, on dfinit une nouvelle DACL qui sera soit copie depuis la DACL du parent, soit vierge.
Dlgation de contrle
Il est possible de dlguer un certain niveau dadministration dobjets Active Directory nimporte quel utilisateur, groupe ou unit organisationnelle. Ainsi, vous pourrez par exemple dlguer certains droits administratifs dune unit organisationnelle Ventes un utilisateur de cette UO. Lun des principaux avantages quoffre cette nouvelle fonctionnalit de dlgation de contrle est quil nest plus ncessaire dattribuer des droits dadministration tendus a un utilisateur lorsquil est ncessaire de permettre a un utilisateur deffectuer certaines tches. Ainsi, sous NT4, si lon souhaitait quun utilisateur dans un domaine gre les comptes dutilisateurs pour son groupe, il fallait le mettre dans le groupe des Oprateurs de comptes, qui lui permet de grer tous les comptes du domaine. Avec Active Directory, il suffira de faire un clic-droit sur lUO dans laquelle on souhaite lui dlguer cette tche et de slectionner Dlguer le contrle. On pourra dfinir quelques paramtres comme les comptes concerns par cette dlgation et le type de dlgation, dans notre cas, Crer, supprimer et grer des comptes dutilisateur (On peut affiner en dlguant des tches personnalises comme par exemple uniquement le droit de rinitialiser les mots de passe sur lUO ou un objet spcifique de lUO, ).
Cration de MMC personnalises.
Windows 2000 (toutes versions) intgre dsormais un nouveau modle d'outils d'administration nomm MMC (Microsoft Management Console). Ces modles doutils reposent sur des composants logiciels enfichables, correspondant aux diffrentes tches dadministration. A l'aide des MMC il est dsormais possible de crer soit-mme sa propre console d'administration. Il suffit pour cela d'y intgrer les modules (snap-in) que vous utilisez couramment. Cela permet aussi de mettre disposition des administrateurs subalternes des outils d'administration personnaliss.
19
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 Ainsi un administrateur ayant pour unique fonction la maintenance des comptes du domaine ne pourra supprimer un utilisateur ou un groupe par erreur puisque l'option de suppression n'apparatra pas dans sa console. Larticle disponible sur http://microsoft.supinfo.com/articles/mmc/ vous prsente exactement la procdure suivre pour crer une console MMC dadministration personnalise. ? . Pour utiliser une console dadministration personnalise de rseau sous Windows 2000 Professionnel, il faudra installer les composants logiciels enfichables correspondants (utilisez adminpak.msi).
20
Module 7 Implmentation dune stratgie de groupe

1 La Console de Stratgies de groupe
La console se divise en deux arborescences : Ordinateur et Utilisateurs : Les paramtres de stratgies de groupe pour les ordinateurs dfinissent le comportement du systme dexploitation et dune partie du bureau, la configuration de la scurit. Les paramtres de stratgies de groupe pour les utilisateurs dfinissent les options dapplications affectes et publies, la configuration des applications.
a)
Les types de paramtres de groupe

Permet de modifier la configuration dapplications et de lenvironnement utilisateur (par lintermdiaire de modifications de cls dans la base de Registre). Ces paramtres incluent les composants du systme dexploitation et le niveau daccs aux options du panneau de configuration). Permet de configurer la scurit du rseau. Contrle daccs au niveau du rseau, contrle des droits de lutilisateur. Ici, nous pouvons configurer de manire automatique linstallation, la mise jour, la suppression dapplications sur les machines utilisateurs. Il est possible aussi de configurer linstallation des applications la demande (installation uniquement des raccourcis dans le menu dmarrer et si lutilisate ur clique dessus, installation de lapplication). Permet dajouter des scripts au dmarrage, louverture de session, la fermeture de session, larrt de lordinateur. Permet de configurer les options disponibles lors de lexcution de lassistant installation de clients utilis par RIS. Permet de configurer les options dInternet Explorer, sur les ordinateurs Windows 2000. Permet de rediriger les dossiers de profils dutilisateurs spcifiques vers un serveur sur le rseau. Exemple : Le dossier Mes Documents dun utilisateur peut pointer vers un rpertoire partag sur un serveur.
Modles dadministration
Scurit
Installation de logiciels
Scripts Services dinstallation distance Maintenance dInternet Explorer Redirection de dossiers
b)
Les objets Stratgies de groupe
Une stratgie de groupe peut sappliquer un domaine , un site ou une Unit dorganisation et peut tre assigne plusieurs fois simultanment sur diffrents conteneurs.
Application des paramtres de stratgies de groupe dans Active Directory

a) Hritage dune stratgie de groupe
Lordre dans lequel les objets GPO (Group Policy Object Objet de Stratgie de Groupe) sont appliqus dpend du conteneur Active Directory auquel les objets GPO sont lis. Ils sont hrits et sont appliqus dans lordre suivant : au site, au domaine, puis aux units dorganisations. Les ordinateurs excutant Windows 2000 actualisent les GPO des intervalles dfinis. Lactualisation assure que les paramtres qui ont pu tre modifis par un administrateur sont appliqus le plus tt possible. (Eventualit dune personne qui ne redmarre jamais son ordinateur ou ne ferme jamais sa session). Par dfaut, les ordinateurs effectuent cette ractualisation toutes les 90 minutes + un temps alatoire entre 0 et 30 minutes et ce, afin dviter que tous les ordinateurs fassent des requtes au DC en mme temps.
21
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 En ce qui concerne les contrleurs de domaines, ils sont ractualiss toutes les 5 minutes. Vous pouvez modifier ces valeurs laide dune stratgie de groupe. Lors dune mise jour de stratgie de groupe, les clients nactualisent que les valeurs qui ont t modifies. Il est toutefois possible de forcer la r-application globale en utilisant une stratgie de groupe qui permet de la forcer.
b)
Stratgies de groupe lors de connexions rseau lentes :
Lors de la dtection dune connexion rseau lente (500kb/s par dfaut, modifiable par une GPO), lordinateur dtermine sil est ncessaire ou non de mettre jour les stratgies de groupe. L aussi, le comportement en mode connexion lente peut tre dfini laide dune GPO.
c)
Rsolution des conflits entre les paramtres de stratgies de groupe :
Lorsquil y a un conflit entre deux GPO appliqus, la GPO conflictuelle la plus proche du client est applique. Lorsque les deux GPO sont dfinis un mme niveau (par exemple sur la mme OU), la GPO applique est celle qui se trouve en haut de la liste des stratgies de groupe appliques au conteneur. Toutefois, les paramtres de scurit IP et les droits utilisateurs font exception. Le dernier objet GPO (le plus proche du client) remplace totalement tout autre objet GPO.
d)
Modification de lhritage dune stratgie de groupe :
Il y a quatre possibilits pour lhritage dune GPO : Hriter, Forcer, Filtrer, Bloquer. ? ? ? ? Hriter : Loption par dfaut, tous les conteneurs et objets des niveaux infrieurs hritent de cette GPO (si aucun enfant ne bloque les GPO) Forcer : Tous les conteneurs et objets enfants hritent de la GPO mme si un enfant est configur pour bloquer les GPO Filtrer : Vous pouvez dcider dappliquer les GPO seulement des groupes et pas dautres laide de cette option. Bloquer : Annule lhritage des GPO aux conteneurs et objets enfants (sauf dans le cas dune GPO force).
e)
Dlgation du contrle dadministration des objets stratgies de groupe
Il y a trois aspects la dlgation de GPO : ? Gestion des liaisons un conteneur (Site, Domaine, Unit dorganisation) ? Cration dobjets GPO ? Modification dobjets GPO A laide de lassistant dlgation de contrle, il est possible de dlguer la gestion des liaisons nimporte quelle personne sur un conteneur. Par dfaut, pour pouvoir crer une GPO, il faut tre membre du groupe : ? Admins de domaine ? Administrateur de lentreprise ? Propritaires crateurs de la stratgie de groupe Pour pouvoir modifier une GPO, il faut avoir laccs en lecture/criture, puis tre soit le propritaire de la GPO, soit membre des groupes : ? Admins de domaine ? Administrateur de lentreprise
22
Surveillance et rsolution de problmes de stratgies de groupe

a) Surveillance des stratgies de groupe
Activation de loption inscription dans le journal de diagnostics : cette option permet de gnrer des dtails dans le journal des vnements. (Cl dans HKLM\Software\Microsoft\WindowsNT\CurrentVersion : RunDiagnosticLoggingGlobal (DWORD) mettre 1). Activation de loption inscription commente : cette option permet de crer un journal (racine_systeme\Debug\UserMode\UserEnv.log) dans lequel toutes les applications des GPO sont dcrites. (Cl : HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon : UserEnvDebugLevel (DWORD) mettre 30002. 30001 active uniquement lenregistrement des erreurs et avertissements dapplications de GPO).
b)
NetDiag.exe Replmon.exe GpoTool.exe Gpresult.exe
Outils de support de Windows 2000 permettant la rsolution de problmes de stratgie de groupe :

Teste la connectivit au rseau du client. Permet de vrifier sil ny a pas de problmes de duplication incomplte. Cet outil permet aussi de forcer la rplication entre les contrleurs de domaine. Vrifie la sant des objets GPO sur les contrleurs de domaine (Kit de Ressource Techniques). Cet utilitaire affiche les informations relatives limpact de la stratgie de groupe sur lordinateur local et lutilisateur qui a ouvert une session (Kit de Ressource Techniques).
23
Module 8 Utilisation dune stratgie de groupe pour grer des environnements

1 Prsentation de la gestion des environnements utilisateur
La gestion des environnements utilisateurs implique le contrle des actions des utilisateurs. On utilise les stratgies de groupe pour mettre en place ce contrle. Il existe quatre catgories sur lesquelles on peut influer pour administrer lenvironnement des utilisateurs :
a)
Paramtres de modle dadministration
Permet de modifier les paramtres du registre des utilisateurs. Il n i tervient sur deux sous arborescences du Registre (HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER). Dans le cas dun conflit avec les paramtres de Registre local, ce sont les paramtres de stratgie de groupe qui lemportent. Si une GPO contenant des paramtres ne sapplique plus, les modifications sur le Registre reviennent leur tat dorigine. Types de paramtres Composants Windows Systme Rseau Imprimantes Menu Dmarrer et barre des tches Bureau Panneau de configuration Description Stratgie concernant les outils intgrs Windows 2000 (ex : NetMeeting, Internet Explorer, MMC, ) Dfinition des procdures douverture de session, de quotas, Proprits des connexions rseau et de la gestion des fichiers hors connexion Paramtres de gestion des imprimantes publies Proprits lies au menu Dmarrer (suppression de certains composants) Gestion des lments du bureau (Active Desktop, Active Directory,) Gestion des paramtres du panneau de configuration. Disponible pour
b)
Paramtres de script
Permet daffecter des scripts aux machines ou aux utilisateurs. Les scripts affects aux ordinateurs seront excuts au dmarrage et/ou larrt de lordinateur et les scripts affects aux utilisateurs seront excuts louverture et la fermeture de la session.
c)
Redirection des dossiers de lutilisateur
Permet de rediriger les dossiers sensibles de lutilisateur afin de centraliser sur un serveur les donnes et ainsi en faciliter la scurit et la sauvegarde. Les dossiers pouvant tre redirigs sont les suivants : Mes documents : Menu Dmarrer Bureau Application Data
d)
Paramtres de scurit
Permet dassigner un profil de scurit aux ordinateurs par rapport un modle.
24
Module 9 Utilisation dune stratgie de groupe pour grer les logiciels

1
1. 2. 3. 4.
Prsentation de la gestion du dploiement de logiciels

Prparation : Les fichiers dinstallation au format Windows Installer doivent tre copis dans un partage sur un serveur de fichiers sur lequel les utilisateurs concerns auront les droits de lecture. Dploiement : Une GPO doit tre cre afin que les logiciels sinstallent automatiquement lors du dmarrage de lordinateur ou louverture de session dun utilisateur. Maintenance : Le logiciel qui a t dploy peut tre mis jour via le mme procd et un Service Pack peut tre automatiquement dploy sur lensemble des postes sur lesquels le logiciel a t install. Suppression : Lorsque vous voulez dsinstaller un logiciel distance, il suffit de supprimer la GPO permettant le dploiement du logiciel et automatiquement le logiciel sera supprim des machines.
2
-
Prsentation de Windows Installer

Service Windows Installer : service sexcutant sur le client et permettant de raliser les installations distance de faon compltement automatise. Il est capable de modifier ou de rparer automatiquement les logiciels dfectueux. Package Windows Installer : fichier de type .msi contenant toutes les informations ncessaires linstallation du logiciel.
Dploiement de logiciels
a) Affectation de logiciels :
Laffectation permet de garantir la prsence dun logiciel pour un utilisateur ou une machine. Dans le cas dune affectation un utilisateur, un raccourci de lapplication va apparatre dans son menu Dmarrer et les types de fichier de lapplication seront directement enregistrs. Des que lutilisateur va cliquer sur le raccourci ou sur un fichier de lapplication (ex : un fichier .doc dans le cas de Word), le logiciel va sinstaller automatiquement. Dans le cas dune affectation un ordinateur, lapplication va sinstaller des le dmarrage de la machine. Le logiciel sera alors disponible pour tous les utilisateurs de la machine. ? Laffectation dune application un contrleur de domaine ne fonctionne pas.
b)
Publication de logiciels :
La publication dun logiciel laisse le choix lutilisateur dinstaller ou non lapplication sur sa machine. Elle ne peut tre mise en uvre que pour un utilisateur et pas pour un ordinateur. Lapplication apparat dans le panneau de configuration Ajout/Suppression de programmes dans une liste regroupant toutes les applications pouvant tre installes. Une autre mthode permet dinstaller le logiciel en utilisant lappel de documents. Lorsquune application est publie dans lActive Directory les types de fichiers quelle prend en charge sont enregistrs et lorsquun fichier reconnu fait lobjet dune tentative douverture par un utilisateur ayant lapplication correspondante publie, le programme est install.
c)
Utilisation des modifications de logiciel
25
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 Dans certains cas il nest pas ncessaire de dployer une application dans son intgralit, mais une version personnalise de lapplication. Dans ce cas il est possible de modifier le script dinstallation pour raliser une installation spcifique laide des fichiers de modification (fichiers de type .mst).
d)
Cration de catgories de logiciels
Afin de simplifier linstallation des applications publies il est possible de crer des catgories qui v ont viter de chercher lapplication dans une longue liste.
e)
Association dextensions de noms de fichiers des applications
Active Directory maintient une liste des extensions de fichiers et des applications associes. Il nest pas possible de dagir sur cette liste mais il est possible de modifier la priorit des applications pour chaque extension (ex : Word 2000 ou Word XP pour lextension .doc)
f)
Mise niveau de logiciels dploys
Il existe deux types de mises niveau des logiciels dploys : Mise niveau obligatoire : Le logiciel est remplac automatiquement au prochain dmarrage ou la prochaine ouverture de session. Mise jour facultative : Lutilisateur est libre de faire la mise jour au moment o il le souhaite.
g)
Redploiement de logiciels
Le redploiement de logiciels permet dappliquer un Service Pack ou un correctif sur un logiciel dj dploy. Une fois que le logiciel est marqu pour tre redploy, il y a trois scnarios possibles. Lapplication est affecte un utilisateur : Les raccourcis et les lments du Registre sont mis jour la prochaine ouverture de session de lutilisateur. Lapplication est affecte un ordinateur : Le Service Pack ou le correctif est install au prochain dmarrage de lordinateur. Lapplication est publie et installe : Les raccourcis et les lments du Registre sont mis jour la prochaine ouverture de session. Le correctif ou le Service Pack sera automatiquement install la prochaine utilisation du logiciel.
h)
Suppression de logiciels dploys
Lors de la suppression dun logiciel dans lActive Directory, une boite de dialogue souvre et deux options de suppression vous sont proposes : Dsinstallation immdiate : Le logiciel est dsinstall au prochain dmarrage de la machine ou la prochaine ouverture de session de lutilisateur. Autoriser lutilisateur continuer utiliser le logiciel : Les logiciels ne sont pas dsinstalls mais ils napparatront plus dans la liste du panneau de configuration Ajout/Suppression de programmes.
26
Module 10 Cration et gestion darborescences et de forts

1 Dfinition dune arborescence :
Une arborescence est une organisation hirarchique de domaines Windows 2000 partageant un espace de nom contigu. On utilise les termes domaine parent et domaine enfant (ex : supinfo.com est le domaine parent de microsoft.supinfo.com et ce dernier est le domaine enfant de supinfo.com). On utilise le terme domaine racine de larborescence pour le domaine qui na que des enfants dans larborescence.
Dfinition dune fort :
Une fort est un ensemble darborescences (une fort existe toutefois lorsquil ny a quune arborescence ou quun domaine). Les arborescences dans une fort ne partagent pas despace de noms contigus. (ex : supinfo.com et microsoft.com - on fait exception du .com) Dans une fort, il y a un domaine racine; cest, le premier domaine cr dans la fort, le nom de ce domaine est utilis pour nommer la fort. Le premier contrleur de domaine de la fort est configur pour enregistrer les informations relatives aux catalogues globaux, il contient les informations de configuration et le schma de la fort. Deux groupes sont dfinis dans le domaine racine de la fort : Administrateurs de lentreprise et Administrateurs du schma. Ces groupes sont universels lorsque le domaine est en mode natif et globaux en mode mixte. Le groupe Administrateurs de lentreprise permet deffectuer des modifications dans la fort (ex : ajouter des domaines enfants). Le groupe Administrateurs de schma permet de modifier le schma de la fort. Avantages de crer plusieurs domaines : ? Rduire le trafic de duplication : seules les informations sur le catalogue global, la configuration et le schma sont dupliques. ? Etablir des paramtres de scurit diffrents. ? Garder une structure tablie lors de lutilisation de Windows NT. (Pour viter ou retarder la restructuration de vos domaines Windows NT). ? Sparer le contrle dadministration.
Relations dapprobations dans les arborescences et les domaines
Lors de la cration darborescences de domaines dans une fort, des relations dapprobations sont automatiquement mises en place entre le domaine racine de la fort et le domaine racine de larborescence. De mme, des approbations sont mises en place entre les domaines parent et enfant dans une arborescence.
a)
Types dapprobations
Il existe deux types dapprobations : ? Approbation transitive : Une relation dapprobation transitive entre deux domaines est automatiquement tendue aux autres domaines approuvs (ex : si A approuve B et ce dernier approuve C, alors A approuve C) ? Approbation bidirectionnelle : (A approuve B donc B approuve A). Les approbations mises en place automatiquement dans une fort sont des approbations transitives et bidirectionnelles. Les approbations utilisent le protocole dauthentification Windows 2000, soit le protocole Kerberos V5.
27
b)
Approbations raccourcis dans Windows 2000
Les approbations raccourcies sont des approbations transitives unidirectionnelles que lon utilise pour optimiser les performances. (ex : si A approuve B qui approuve C, alors lors dune authentification de A vers C on passe par B, on peut crer une approbation raccourcie en approuvant A vers C directement). On utilise ces approbations raccourcies lorsque des utilisateurs accdent frquemment des ressources dun domaine loign).
c)
Approbations non transitives :
Une approbation non transitive est unidirectionnelle. Elles servent en premier lieu la compatibilit avec les domaines Windows NT. On peut les utiliser pour approuver un domaine dune autre fort.
d)
Catalogue Global et Ouverture de session
Lorsquun utilisateur se connecte un domaine en mode natif, le catalogue global fournit au DC qui authentifie lutilisateur des informations sur lappartenance un (ou des) groupe(s) universel(s). Un catalogue global est aussi ncessaire si le DC ne connat pas le compte de lutilisateur et que son appartenance un domaine nest pas prcise.
Stratgie dutilisation de groupes dans les arborescences et les forts.

a) Groupe universels et duplication
Dans le catalogue global se trouve une liste des membres des groupes universels, ainsi que des groupes globaux et les groupes locaux de domaines, mais pas la liste des utilisateurs appartenant ces groupes. La limitation de lutilisation des groupes universels permet de limiter la duplication inter-domaines. Il est prfrable de placer dans les groupes universels des groupes plutt que des utilisateurs. Rduisez le nombre de modifications apportes aux groupes universels afin de limiter la duplication de donnes. Stratgie dimbrication laide de groupes universels : 1. 2. 3. 4. Dans chaque domaine, ajoutez aux groupes globaux des comptes dutilisateurs ayant la mme fonction. Imbriquez des groupes globaux dans un seul groupe global pour intgrer les utilisateurs. Cette tape nest utile que si vous grez un grand nombre dutilisateurs. Imbriquez des groupes globaux dans un groupe universel. Ajoutez les groupes universels aux groupes locaux du domaine pour grer laccs aux ressources.
Affectez aux groupes locaux des autorisations appropris sur les ressources.
28
Module 11 Gestion de la duplication Active Directory

1 Fonctionnement de la duplication
Dans un domaine Windows 2000, un ou plusieurs contrleurs de domaine hbergent la base de donnes Active Directory. La duplication rpercute les modifications apportes a la base de donnes Active Directory depuis un contrleur de domaine sur tous les autres contrleurs de domaine du domaine et ce, de faon transparente pour les administrateurs et les utilisateurs. Cette duplication est qualifie de multimatres car plusieurs contrleurs de domaine (appels matres ou rpliquas) ont la capacit de grer ou modifier les mmes informations dActive Directory. La duplication peut se produire diffrents moments. Par exemple, lors de lajout dobjets sur un contrleur de domaine, on peut dire que la copie de la base de donnes Active Directory quil contient a subit une mise jour dorigine. Lorsque cette mise jour est duplique sur un autre rpliqua du domaine, on dira alors que ce dernier a effectu une mise jour duplique. La mise jour effectue sur le second contrleur peut aussi tre duplique sur un troisime contrleur de domaine. ? Le processus de duplication nintervient quentre deux contrleurs de domaine la fois. Apres avoir apport une modification sur un contrleur de domaine, un temps de latence (par dfaut 5 minutes) est observ avant denvoyer un message de notification au premier partenaire de rplication. Chaque partenaire direct supplmentaire est inform 30 secondes ( valeur par dfaut) aprs la rception de la notification. Lorsquun partenaire de rplication est inform dune modification apporte la base, il rcupre celle ci depuis le contrleur de domaine ayant mis la notification. Dans certains cas, la notification de changement est immdiate, ainsi que la duplication. Cest le cas lors de la modification dattributs dobjets considrs comme critiques du point de vue scurit (par exemple, la dsactivation dun compte). On parle alors de duplication urgente. ? Toutes les heures (valeur par dfaut paramtrable), si aucune modification na t apporte la base Active Directory, un processus de duplication est lanc. Ceci, pour sassurer que la copie de la base de donnes Active Directory est identique sur tous les contrleurs de domaine.
Rsolution des conflits de duplication
La duplication DActive Directory tant multimatre, des conflits peuvent survenir lors des mises jour. Pour minimiser les conflits, les contrleurs de domaines se basent sur les modifications apportes aux attributs des objets plutt que les objets eux mme. Ainsi, si deux attributs distincts dun mme objet sont modifis simultanment par deux contrleurs de domaine, il ny aura pas de conflit. Pour rsoudre certains conflits, Active Directory emploie un cachet unique global qui est envoy avec les mises jour dorigine (et uniquement celles-ci). Ce cachet contient les composants suivants (du plus important au moins important): Le numro de version : la numrotation commence a 1. Il est incrment de 1 chaque mise jour dorigine. Dateur : il sagit de la date et de lheure du dbut de la mise a jour, issue de lhorloge systme du contrleur de domaine sur lequel a eu lieu la mise a jour dorigine. Serveur GUID (Globally Unique IDentifier Identificateur universel unique) : il est dfini par le DSA (Directory System Agent) dorigine qui identifie le contrleur de domaine sur lequel a eu lieu la mise jour dorigine.
29
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 ? Pour que les dateurs soient justes, il est impratif que toutes les horloges des contrleurs de domaine soient synchronises. Dans le cas contraire il y a un risque de perte de donnes dans lannuaire ou que ce dernier soit endommag. On dnombre trois types de conflits potentiels : Valeur dattribut : il survient lorsque lattribut dun objet est modifi sur diffrents contrleurs avec des valeurs diffrentes. On rsout le conflit en gardant lattribut modifi ayant la plus grande valeur de cachet. Lajout ou le dplacement dun objet dans un conteneur supprim : ce conflit intervient lorsquun objet est ajout dans un conteneur (par exemple un utilisateur dans lUO ventes) alors que ce conteneur a t supprim sur un autre contrleur de domaine. La duplication nayant pas eu lieu, cette suppression na pas encore t prise en compte par tous les contrleurs de domaine. Le conflit est rsolu par la rcupration des objets orphelins dans le conteneur LostAndFound. Nom parent : ce conflit se produit lorsquun rpliqua tente de dplacer un objet dans un conteneur dans lequel un autre rpliqua a plac un objet portant le mme nom. Ce conflit est rsolu par le changement de nom de lobjet ayant le cachet le moins important.
Optimisation de la duplication
Lors de la duplication, un contrleur de domaine peut recevoir plusieurs fois la mme mise jour, car cette dernire peut emprunter diffrents chemins. Active Directory emploie le blocage de propagation pour rduire la quantit de donnes inutiles qui vont transiter dun contrleur de domaine a un autre. Ainsi, chaque contrleur de domaine va grer une table de vecteurs contenant entre autre des USN (Update Sequence Number). Les USN servant a dterminer ce quil est ncessaire de mettre a jour dans un rpliqua. Lorsquun objet est mis a jour, le contrleur de domaine affecte lUSN modifi. ? Il existe un USN pour chaque attribut et un USN pour chaque objet.
Topologie de duplication
a) Partitions dannuaire
La base de donnes Active Directory se compose logiquement de plusieurs partitions dannuaire : la partition de schma, la partition de configuration et les partitions de domaine. Une partition est une unit de duplication indpendante des autres utilisant une procdure de duplication propre. - Partition de schma Elle contient la dfinition de tous les objets et attributs pouvant tre crs dans lannuaire, ainsi que les rgles de cration et de gestion de ces objets. Ces informations sont dupliques sur tous les contrleurs de domaine de la fort car il ne peut y avoir quun seul schma pour une fort. - Partition de configuration Elle contient toutes les informations lies la structure dActive Directory, avec entre autres les domaines, domaines enfants, sites, etc Ces informations sont, elles aussi, dupliques sur tous les contrleurs de domaine afin de maintenir lunicit dans la fort. - Partitions de domaine Une partition de domaine contient les informations lies aux objets dun domaine Active Directory. Ces informations sont dupliques sur lensemble des DC du domaine. Par consquent, il peut exister plusieurs partitions de domaine dans une mme fort.
b)
Topologie de duplication
30
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 La topologie de duplication est le chemin que va emprunter le processus de duplication pour mettre jour les donnes sur les contrleurs de domaine. Deux contrleurs de domaine impliqus dans la duplication dActive directory sont lis par des objets de connections, qui sont des chemins de duplication unidirectionnels. On parle aussi de partenaires de rplication. Les objets de connexion peuvent tre crs manuellement par un administrateur o automatiquement, via le KCC. La gestion des objets de connexion se fait par lintermdiaire de la console Sites et Services Active Directory. Lorsque les partenaires de rplications sont directement lis par des objets de connexion, on parle de partenaires de rplication directs. Si lon a trois contrleurs de domaine A,B et C et quil existe des objets de connexion entre A-B et B -C, alors A et C sont partenaires de rplication transitifs. Lutilitaire Rplication Monitor Active Directory permet de visualiser les partenaires de rplication transitifs.
c)
Gnration de topologie de duplication automatique
Lorsque lon ajoute un contrleur de domaine un site, Active Directory est capable de lier automatiquement ce contrleur dautres via des paires dobjets de connexion. Ceci afin de prendre en compte ce contrleur dans la duplication. Cest le KCC (Knowledge Consistency Checker vrificateur de cohrence des connaissances) sexcutant sur chaque contrleur de domaine qui est en charge de cela. Cest donc lui qui gnre la topologie de duplication pour la fort. Il utilise entre autre les informations sur les diffrents sites (sous-rseau, type de lien et cot de transmission intersites,) pour calculer le meilleur chemin entre les contrleurs de domaine de la fort. Au sein dun mme site, la topologie par dfaut gnre est un anneau a communication bidirectionnelle (deux objet de connexion unidirectionnels en sens opposs entre toutes les paires de contrleurs de domaines). Des liens supplmentaires sont tablis lorsque le nombre de sauts ncessaire pour quune mise a jour dorigine atteigne un rpliqua est suprieur trois. ? Si un problme de communication intersite intervient, le KCC tentera dtablir automatiquement un nouveau chemin de duplication.
Utilisation des sites pour optimiser la duplication

a) Prsentation des sites
Un site est reprsent par un ou plusieurs sous rseaux. Par consquent, les sites sappuient sur la structure physique dun rseau, notamment au niveau des interconnexions de rseaux locaux et tendus. Un site est automatiquement mis en place lorsque lon installe le premier contrleur de domaine dans un domaine. Il est nomm Premier-Site-par-dfaut. Ainsi, mme si lon a un rseau non segment en sous rseaux, on aura quand mme un site. Dans le cas dune entreprise ayant son sige dans une ville et une succursale dans une autre ville, si elle dispose de un ou plusieurs sous rseaux par ville, elle pourra crer un site regroupant les sous rseaux de la premire ville et un autre pour les sous rseaux de lautre ville. Un site est constitu dobjets serveur qui correspondent des contrleurs de domaine. Les objets serveurs sont crs lorsquun serveur sous Windows 2000 est promu en tant que contrleur de domaine. Ils contiennent entre autres des objets connexion ncessaire la duplication. ? Un site peut contenir des contrleurs de domaine de nimporte quel domaine dune fort Pour crer un site, il faut utiliser loutil dadministration Sites et services Active Directory situe dans les outils dadministration. On peut y dfinir des sous rseaux (reprsents par des objets sous-rseau) en prcisant ladresse du sous rseau, le masque de sous rseau ainsi que le site correspondant. La mise en place de sites permet :
31
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 Loptimisation du trafic de duplication entre les sites. La localisant les ressources du rseau (ex : un utilisateur qui ouvre une session le feras sur un contrleur de domaine situ sur le mme site que lui).
En somme lintrt des sites dans un rseau peut tre de contrler le volume de donnes lis au fonctionnement dActive Directory (trafic de duplication et de connexion). Ceci permet de limiter lengorgement des liens entre les sous rseaux, en gnral, une ligne spcialise, voir mme un simple modem 56K.
b)
Duplication intrasite
Elle se produit entre les contrleurs de domaine situs sur un mme site. Les donnes lies ce type de duplication ne sont pas compresses par dfaut car on considre que les connexions rseau des machines dun mme site sont rapides et fiables. Cela limite le temps processeur utilis par les contrleurs de domaine pour la compression.
c)
Duplication intersite
Elle permet diffrents sites de rcuprer les modifications apportes Active Directory depuis un contrleur de domaine situ sur un site, et ce, en empruntant des chemins considrs comme non fiables et avec une faible bande passante. If faudra crer des liens de site pour lesquels il faudra dfinir manuellement un certain nombre de paramtres pour dterminer le moment auquel la duplication intervient et la frquence laquelle les contrleurs de domaine vrifieront si des modifications ont t apportes Active Directory. Le trafic li la duplication intersite est compress avec un ratio denviron 80% pour transiter efficacement par des liaisons faible dbit. Linconvnient est la charge CPU supplmentaire sur les contrleurs de domaine. ? La duplication intersite tant programme manuellement, le systme de notification des modifications nest employ que pour le trafic intrasite.
d)
Notion de cot
Lors de la mise en place des liens de sites, on peut dfinir un certain nombre de proprits, et notamment le cot. Le cot dun lien de site est un nombre qui reprsente lefficacit, la vitesse, la fiabilit (relatifs) dun chemin, un peu limage des routeurs. Le trafic de duplication empruntera toujours le chemin (un chemin peut tre compos dun ou plusieurs liens de sites) dont le cot total sera le plus faible. Par exemple, si nous avons trois sites A, B, C et quil existe des liens intersites A-B (cot 100), B-C (cot 10), C-A (cot 10), le trafic de duplication entre A et B empruntera le chemin AC puis CB, pour un cot total de 20 au lieu de A-B pour un cot de 100. ? Le cot par dfaut dun lien intersite est de 100
e)
Serveur tte de pont
Dans la duplication intersites, un ou plusieurs serveurs sur chaque site peuvent servir de ponts entre les sites par lesquels le trafic de duplication va se propager. On les nomme les serveurs ttes de pont. Par consquent, les duplications intersites passent uniquement par des ttes de ponts. Dans chaque site, un contrleur de domaine est automatiquement dsign comme serveur tte de pont par lISTG (InterSite Topology Generator), charg de mettre en uvre la duplication intersite (cest un contrleur de domaine de la fort). Lorsquun serveur tte de pont reoit une mise jour depuis un autre site, il la communiquera aux contrleurs de domaine de son site suivant la procdure classique de duplication intrasite. Il est possible de dfinir manuellement des serveurs ttes de pont plutt que de laisser lISTG choisir. Le serveur ISTG peut tre dtermin en allant dans loutil dadministration Sites et services Active Directory situ dans les outils dadministration.
32
Protocoles de duplication
Les ordinateurs emploient des protocoles de duplication pour transmettre leurs mises jour dActive Directory. Le protocole RPC est employ lors de la duplication intrasite. Ce dernier assure une connexion fiable et a grande vitesse. Dans le cas de la duplication intersites, il est possible de paramtrer le protocole employ, savoir RPC sur IP ou SMTP (Simple Mail Transfer Protocol). En gnral, on utilisera RPC sur IP pour la duplication intersite. ? Le protocole SMTP ne peut tre utilis quavec des contrleurs de domaine se trouvant dans des domaines et des sites diffrents.
33
Module 12 Gestion des matres doprations

1 Prsentation des matres doprations
Les modifications dActive Directory peuvent tre faites sur nimporte quel contrleur de domaine. Il y a toutefois 5 exceptions pour lesquelles les modifications sont faites sur un et un seul contrleur de domaine particulier : les 5 rles des matres doprations. Voici ? ? ? ? ? les cinq rles des matres doprations : Contrleur de schma Matre dattribution des noms de domaine Emulateur CPD Matre didentificateur relatif Matre dinfrastructure.
Les deux premiers sont assigns au niveau de la fort, les trois derniers au niveau du domaine. Ce qui implique sil y a plusieurs d omaines dans une fort, autant de matres doprations pour les trois derniers rles, que de domaines. Par dfaut le premier contrleur de domaine dune nouvelle fort contient les cinq rles.
a)
Rle du contrleur de schma
Il est le seul dans une fort pouvoir modifier le schma. Il duplique les modifications aux autres contrleurs de domaine dans la fort lorsquil y a eut une modification du schma. Le fait davoir un seul ordinateur qui gre le schma vite tout risque de conflits. Un seul groupe peut faire des modifications sur le schma : le groupe dadministration du schma.
b)
Matre dattribution de nom de domaine
Seul le contrleur de domaine ayant ce rle, est habilit ajouter un domaine dans une fort. Si le matre dopration dattribution de nom de domaine nest pas disponible, il est impossible dajouter ou de supprimer un domaine la fort. Du fait de son rle, le matre dattribution de nom de domaine est aussi un serveur de catalogue global. En effet pour viter tous problmes, celui-ci doit connatre tous les noms des objets prsents dans la fort.
c)
Emulateur CPD (PDC)
Ce rle a t cr principalement dans un souci de permettre une compatibilit avec les versions antrieures de Windows 2000. Rle propre aux versions antrieures de Windows 2000 : ? Il permet la prise en charge des BDC Windows NT4. ? Il a la gestion des modifications des mots de passes pour des clients antrieurs Windows 2000. Autres Rles : ? Authentification de secours: Lorsque vous avez modifi votre mot de passe sur votre ordinateur, et que vous vous connectez peu de temps aprs sur une autre machine, il se peut que la rplication du changement de votre mot de passe nait pas encore t effectue. Dans ce cas, le DC qui vrifie votre mot de passe va demander lmulateur CPD si votre mot de passe na pas t chang avant de vous refuser laccs. ? Synchroniser lheure de tous les DC en fonction de son horloge. ? Elimine les risques dcrasement dobjets GPO : par dfaut la modification de GPO se fait sur ce DC.
d)
Matre RID
34
Essentiel v0.9 Implmentation et administration des services dannuaire Microsoft Windows 2000 Un SID est compos de deux blocs : un identificateur de domaine et un RID (Identificateur unique dans le domaine). Pour quil ne puisse y avoir deux DC qui assigne le mme SID deux objets diffrents, le matre RID distribue une plage de RID chacun des DC. Lorsque la plage de RID a t utilise, le DC demande une nouvelle plage de RID au matre RID. Le matre RID aussi la charge des dplacements inter-domaines, pour viter la duplication de lobjet.
e)
Matre dinfrastructure
Le matre dinfrastructure sert mettre jour, dans son domaine, les rfrences des objets situs dans dautres domaines. Si des modifications dun objet du domaine surviennent (dplacement intra et extra domaine), alors si cet objet est li un ou plusieurs objets dautres domaines, le matre dinfrastructure est responsable de la mise jour vers les autres domaines. La mise jour se fait par le biais dune rplication. Un Matre dinfrastructure ne peut tre aussi un serveur de catalogue global.
Gestion des dfaillances de matres doprations
Si le serveur dfaillant sera rapidement remis en marche, ne transfrez pas le rle de matre dopration. On ne transfre le rle de matre dopration que lorsque le serveur ne pourra pas tre remis en marche ou dans des dlais longs. (La limite en temps est vague car elle dpend de lenvironnement de votre rseau, cela peut tre une journe comme une semaine).
a)
La dfaillance de lEmulateur de CPD
La dfaillance est la plus handicapante : Les ordinateurs clients excutant une version antrieure Windows 2000 ne pourront plus sauthentifier. Perte de la diminution de latence pour la mise jour des mots de passe. Eventuelle perte de synchronisation horaire entre les contrleurs.
b)
Dfaillance du matre dinfrastructure
Limite le dplacement des objets dans Active Directory
c)
Dfaillance des autres matres doprations
Ces dfaillances sont les moins gnantes. Il est prfrable de restaurer une sauvegarde de ces matres doprations plutt que de les transfrer, le transfert de ces matres doprations peut entraner des erreurs dans les donnes. La prise du rle de ces matres doprations ne doit tre envisage quen dernier recours.
35
Module 13 Mise jour de la base de donnes Active Directory

1 Entretien de la base de donnes Active Directory
La sauvegarde dActive Directory doit tre effectue rgulirement. La sauvegarde de lEtat du Systme sur un DC sauvegarde la base de donne AD (ainsi que le dossier sysvol, le Registre, les fichiers de dmarrage du systme, linscription des classes et les certificats). La dfragmentation dActive Directory doit tre effectue de temps en temps, pour viter que la base de donnes AD ne prenne trop despace disque. (Lutilitaire NTDSUTIL permet de dfragmenter la base de donnes). Lors de la dfragmentation la base de donnes AD est dplace, loriginal peut tre conserv en tant que backup. Le dplacement de la base de donnes AD peut tre ncessaire lors dun manque despace disque.
a)
-
Fichiers dActive Directory
Ntds.dit : Base de donnes contenant les objets dActive Directory. Edb*.log : Journal des modifications sur la base de donnes Edb.chk : Fichier de contrle, permet de ne pas perdre dinformations ou de corrompre la base de donnes lors dun sinistre. Res*.log : ces fichiers ne sont l que pour rserver de lespace disque pour le fichier de journal.
? Le moteur de la base de donne Active Directory est nomm ESE (Extensive Storage Engine)
b)
Nettoyage de la mmoire
Un processus sexcute toutes les douze heures pour supprimer les objets obsoltes dActive Directory et dfragmenter la mmoire utilise par Active Directory. Lors de la suppression dun objet Active Directory, il est plac dans le conteneur Deleted Objects et lorsquil aura dpass sa dure de vie dsactiv (par dfaut 60 jours), le processus de nettoyage de la mmoire le supprimera.
c)
Restauration dActive Directory
Il existe deux types de restauration : ? Force (authoritative) ? Non Force (non authoritative) Une restauration force est utile dans le cas ou vous avez effac des objets dans Active Directory par erreur, et que la rplication a t effectue entre les diffrents contrleurs de domaines. Les objets effacs vont tre restaurs et rpliqus aux autres DC. Une restauration non force, est une restauration dite normale toutes les modifications faites depuis la sauvegarde vont tre rcupres lors de la prochaine rplication entre les DCs.
36
Notes :
37
Notes :
38
Notes :
39
40

MS Es 70-217 0.9 FR

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

MS Es 70-217 0.9 FR

Uploaded by

Copyright:

Available Formats

Microsoft Windows 2000 :

Implmentation et administration des services dannuaire Microsoft Windows 2000

de prparation la certification 70-217

23, rue Chteau Landon 75010 PARIS www.supinfo.com

http://microsoft.supinfo.com Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Table des Matires

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Module 1 Prsentation dActive Directory dans Windows 2000

Dfinition dActive Directory

Objets Active Directory

Schma Active Directory

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Structure logique dActive Directory

Les Units dorganisation

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Structure Physique dActive Directory

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Mthodes dadministration dun rseau Windows 2000

Gestion de lenvironnement utilisateur

Dlgation du contrle dadministration

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Module 2 Implmentation du systme DNS pour la prise en charge dActive Directory

Prsentation du rle du systme DNS dans Active Directory

Systme DNS et Active Directory

Terminologies DNS / Active Directory

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Rsolution de noms DNS dans Active Directory

Zones intgres Active Directory

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Installation dActive Directory

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Module 3 Cration dun domaine Windows 2000

Installation dActive Directory

Cration du premier domaine

Ajout dun contrleur de domaine de rpliqua

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Processus dinstallation dActive Directory

Etude de la structure par dfaut dActive Directory

Builtin Computers Domain Controllers (UO) ForeignSecurityPrincipals Users LostAndFound System

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Tches effectuer aprs linstallation dActive Directory

Modification du mode de domaine

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Module 4 Configuration et administration des utilisateurs et des groupes

Cration dun suffixe de nom principal dutilisateur

Cration de plusieurs comptes dutilisateur

Administration des comptes dutilisateur

Utilisation des groupes dans Active Directory

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Membres Membres de Etendue Autorisations pour

Membres de Etendue Autorisations pour Les groupes universels :

Membres daucun groupe

Stratgies dutilisation des groupes dans un domaine

? . Cette stratgie est aussi appele A G DL P.

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Module 5 Publication de ressource dans Active Directory

Vue densemble de la publication de ressources

Publication et administration de dossiers partags

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft

Contrle daccs aux ressources publies.

Ce document est la proprit du Laboratoire Supinfo des Technologies Microsoft