Professional Documents
Culture Documents
2003 Server
1
Caractéristiques d’un groupe de travail
Un groupe de travail représente un petit groupe d’ordinateurs sur un réseau
qui permet aux utilisateurs de collaborer et ne prend pas en charge une
administration centralisée. Un groupe de travail présente les caractéristiques
suivantes :
Les ressources peuvent se situer sur chaque ordinateur du groupe de travail.
L’administration et l’authentification des utilisateurs se font sur chaque
ordinateur du groupe de travail.
Chaque ordinateur possède sa propre base de données locale pour le
Gestionnaire de comptes de sécurité (SAM, Security Accounts Manager). Les
utilisateurs doivent disposer d’un compte d’utilisateur sur tous les ordinateurs
auxquels ils ont besoin d’accéder.
Plus un groupe de travail s’élargit, plus il devient difficile à gérer.
Windows XP Professionnel peut prendre en charge seulement dix connexions
entrantes simultanées.
2
Active Directory
3
L'assistant "Gérer votre serveur"
4
Configuration par défaut pour un premier serveur.
Si "Configuration personnalisée" est choisi, bascule sur
dcpromo.
ATTENTION, reboot réalisé automatiquement en cours
d'installation.
5
Choix du nom du nouveau domaine (au format nom TCP/IP)
6
Choix du nom compatible NetBEUI
7
Confirmation
-> Démarrage de l'installation
8
9
Reboot automatique
Réouverture de session
(le mot de passe de l'administrateur du domaine
est le mot de passe de l'ancien administrateur local)
Reprise de l'installation
10
Fin de l'installation
11
Contenu du journal "Configuration de votre serveur"
Contrôleur de domaine
Dans une forêt Active Directory, serveur contenant une copie
inscriptible de la base de données Active Directory, participant
à la réplication Active Directory et contrôlant l'accès aux
ressources réseau. Les administrateurs peuvent gérer les
comptes d'utilisateurs, l'accès réseau, les ressources
partagées, la topologie du site et les autres objets d'annuaire à
partir de n'importe quel contrôleur de domaine de la forêt.
12
Domaine enfant
Pour DNS et Active Directory, domaine de l'arborescence de
l'espace de noms situé immédiatement sous un autre nom de
domaine (le domaine parent). Par exemple,
exemple.microsoft.com est un domaine enfant du domaine
parent microsoft.com. On parle aussi de sous-domaine.
Arborescence de domaine
Dans DNS, structure de l'arborescence hiérarchique inversée
utilisée pour indexer les noms de domaines. Dans leur but et
leur concept, les arborescences de domaines sont identiques
aux arborescences de répertoires utilisées par les systèmes de
fichiers des ordinateurs pour le stockage sur les disques. Par
exemple, lorsque de nombreux fichiers sont stockés sur un
disque, les répertoires peuvent être utilisés pour organiser les
fichiers de façon logique. Lorsqu'une arborescence de domaine
comprend plusieurs branches, chaque branche peut organiser
en ensembles logiques des noms de domaines utilisés dans
l'espace de noms.
Dans Active Directory, structure hiérarchique d'un ou
plusieurs domaines liés par des relations d'approbations
bidirectionnelles et transitives formant un espace de noms
contigu. Plusieurs arborescences de domaine peuvent
appartenir à la même forêt.
Forêt
Un ou plusieurs domaines Active Directory qui partagent les
mêmes définitions de classe et d'attribut (schéma), les mêmes
informations relatives au site et à la réplication (configuration),
et les mêmes fonctionnalités de recherche dans la forêt
(catalogue global). Les domaines d'une même forêt sont liés par
des relations bidirectionnelles et transitives.
13
Installation d'un nouveau domaine dans une nouvelle forêt
14
Choix du type de domaine créé:
Nouveau domaine dans une nouvelle forêt.
nouveau domaine enfant dans une arborescence
de domaines existante dans une forêt existante,
nouveau domaine dans une nouvelle arborescence de domaine
au sein d'une forêt existante
Ici, un nouveau domaine dans une nouvelle forêt
15
Choix du nom du domaine créé (nom complet)
16
Emplacements de stockage des informations ADS
17
Alerte relative à l'absence d'un serveur DNS compatible
pour ce domaine
-> Installation de la machine en serveur DNS.
18
Définition du mot de passe administrateur
pour le redémarrage en mode restauration ADS
19
Résumé de l'installation demandée
Début de l'installation
20
Installation en cours
21
Fin d'installation de DNS
Redémarrage de la machine
22
Après redémarrage, ADS est en fonctionnement pour la gestion
du domaine w2k3.univ-fcomte.fr. Le service DNS est lui aussi
en fonctionnement.
23
Authentification avec un compte administrateur du domaine
d'insertion
24
Choix du domaine d'insertion
25
Choix de la localisation des fichiers et répertoires Active
Directory
26
Choix du mot de passe de restauration des services d'annuaire
27
Paramétrages au niveau des PC
clients
Vérifications
Vérifiez que tout est installé correctement à l'aide du "Gestionnaire de périphériques"
que vous pouvez trouver en faisant "Démarrer", "Outils d'administration", "Gestion de
l'ordinateur" et "Gestionnaire de périphériques". (On peut arriver également au même
endroit en faisant
"Démarrer", un clic droit sur "Poste de travail", "Propriétés", "Matériel" et
"Gestionnaire de périphériques").
28
Intégration du client au domaine
Ouvrez le panneau de configuration Système (Windows – pause ou Botton droit
sur poste de travail puis propriété).
29
Dans la fenêtre Modification du nom d’ordinateur, sélectionnez Domaine et entrez le
nom de votre domaine. Validez.
Dans la fenêtre suivante, entrez le nom d’utilisateur et le mot de passe du compte qui
possède les privilèges administratifs. Validez.
30
Votre ordinateur est maintenant membre du domaine. Validez puis redémarrez
Vous pouvez vérifier l’intégration en vous rendant directement sur le serveur. Dans le
menu Démarrer, allez sur Outils d’administration et cliquer sur Ordinateurs et
utilisateurs Active Directory. Développez votre domaine et cliquez sur Computers.
Le nom d’hôte de votre ordinateur client apparaît.
31
OUVERTURE DE SESSION ET AUTHENTIFICATION
32
33
34
35
36
Présentation des comptes d’utilisateurs
Les Comptes d’utilisateurs permettent aux utilisateurs d’accéder aux ressources
du réseau. Ils sont associés à un mot de passe et fonctionnent dans un
environnement défini (machine locale ou domaine).
Un utilisateur disposant d’un compte de domaine pourra s’authentifier sur toutes
les machines du domaine (sauf restriction explicite de l’administrateur).
Un utilisateur disposant d’un compte local ne pourra s’authentifier que sur la
machine où est déclaré le compte.
Compte local : Les informations de Comptes d’utilisateurs sont stockées
localement sur les machines hébergeant les ressources réseau. Si une
modification doit être apportée à un compte, celle-ci devra être répercutée
manuellement sur toutes les machines où le compte existe.
Compte de domaine : Les informations de comptes sont centralisées sur un
serveur, dans l’annuaire des objets du réseau. Si une modification doit être
apportée à un compte, elle doit être effectuée uniquement sur le serveur qui la
diffusera à l’ensemble du domaine.
Convention de nom des comptes utilisateurs
On distingue quatre méthodes pour nommer un compte utilisateur :
- Le nom d’ouverture de session (login) : thoboi_l
- Le nom d’ouverture de session pré-windows : ESI\thoboi_l
- Le nom d’utilisateur principal : thoboi_l@esi-supinfo.lan
- Le nom unique LDAP : CN=thoboi_l, CN=users, DC=esi-supinfo, DC=lan
Un login ne peut dépasser les 20 caractères, il est sensible à la casse et ne peut
pas contenir de caractères
spéciaux comme : " / \ [ ] : ; | = , + * ? < >.
Réduire les exigences de mots de passe
Règles par défaut pour les mots de passe :
- Les mots de passe doivent comporter au moins 7 caractères
- Chaque mot de passe doit utiliser au moins trois catégories de caractères parmi
les 4 catégories suivantes.
Les lettres majuscules
Les lettres minuscules
Les chiffres
Les caractères spéciaux (@!$*-&...)
Pour réduire les exigences, allez dans "Outils d'administration" et "Stratégie de
sécurité du domaine"
Ne confondez pas avec "Stratégie de sécurité du contrôleur de domaine".
Dans stratégie de mots de passe, désactivez "Le mot de passe doit respecter des
exigences de complexité" et réduisez la longueur minimale du mot de passe.
La modification de la stratégie n'est pas effective immédiatement. Il faut attendre
quelques minutes.
Si vous ne voulez pas attendre, vous pouvez exécuter GPUPDATE
37
La gestion des utilisateurs, des groupes d'utilisateurs et
des ordinateursdu domaine
Interface générale
38
Utilisateurs et groupes d'utilisateurs du domaine
39
Ordinateurs du domaine
Utilisateurs
et Ordinateurs
Active Directory Domaine
40
Builtin Users
41
Choix des paramètres de création:
mot de passe (obligatoire),
obligation ou non de changer le mot de passe
à la prochaine ouverture de session,
interdiction ou non de changement de mot de passe,
pas d'expiration du mot de passe
même en cas de limite de validité temporelle,
compte désactivé ou non
42
Changement du mot de passe d'un utilisateur
Paramètres généraux
43
Adresse postale
44
Principales propriétés du compte
Options configurables
45
Horaire d'accès
Stations d'accès
46
Installation et configuration des outils
d’administration
Installation des outils d’administration
Les outils d’administration permettent la gestion des serveurs
à distance. Ils peuvent être installés sur n’importe quelle
machine sous Windows 2003 par l’intermédiaire de
adminpak.msi qui se trouve dans le dossier i386 du CD ROM
d’installation du système.
Les outils d’administration sont installés par défaut sur le
contrôleur de domaine.
Il peut être utile, pour des raisons de sécurité, d’utiliser les
outils d’administration en ayant ouvert une session avec votre
compte de domaine basique et en utilisant la commande
Exécuter en tant que pour lancer les outils d’administration.
1.2.2. Présentation et configuration d’une MMC
Windows 2003 (toutes versions) intègre un modèle d'outils
d'administration nommé MMC
(Microsoft.Managment Console) qui donne la possibilité aux
administrateurs de créer eux-mêmes leur propre console
d'administration.
Il suffit pour cela d'intégrer les composants logiciels
enfichables (snap-in) couramment utilisés.
Cela permet aussi de mettre à disposition des administrateurs
subalternes des outils d'administration personnalisés. Ainsi un
administrateur ayant pour unique fonction la maintenance des
comptes du domaine ne pourra supprimer un utilisateur ou un
groupe par erreur puisque l'option de suppression n'apparaîtra
pas dans sa console.
47
Cliquez ensuite sur Ajouter et sélectionnez le composant que
vous souhaitez ajouter à votre console (Notez que l’interface
de cette fenêtre est trompeuse: si vous double-cliquez sur un
composant ou si vous cliquez sur Ajouter, le composant est
ajouté à la liste sans aucune confirmation).
1.2.3. Résolution des problèmes lors de l’installation des outils
d’administration
Si des problèmes surviennent lors de l’installation des outils
d’administration, deux raisons principales peuvent en être la
cause :
- Permissions insuffisantes : Seuls les utilisateurs membres du
groupe Administrateurs ont les privilèges suffisants pour
pouvoir installer les outils d’administration.
- Système d’exploitation non supporté : Seul Windows XP et
Windows 2003 supportent l’installation des outils
d’administration.
Lancement MMC
48
Une MMC vide
49
La zone gauche donne accès à l'arborescence des éléments de
configuration du snap-in. La zone de droite permet de réaliser
la configuration souhaitée sur l'élément sélectionné.
Le menu Fichier
50
Choix du type de composant
51
Liste des composants
52
Sauvegarde d'une console
Enregistrer
53
Les GPO(Les Securités De
Groupes:Ou comment
simplifier la gestion des
sécurités de vos postes dans
un Domaine)
I. Généralités
Les stratégies de groupes sont des ensembles de paramètres qui s'appliquent aux utilisateurs et
ordinateurs. Elles permettent de gérer plus facilement la sécurité d'un poste ou de plusieurs
postes dans un Domain. Les GPO ne s'appliquent pas aux groupes, mais comme dit
précédemment aux postes et utilisateurs, qui se trouvent dans un conteneur ou une UO (Unité
Organisation). Elles permettent à titre d'exemples de rediriger le dossier Mes Documents, de
déployer des Logiciels en fonction des services d'une entreprise ou des utilisateurs. En résumé
les GPO sont la pour vous simplifier la vie, et surtout l'administration de votre Domain. Les GPO
existent dés la création d un Domain, c'est la que sont inscris les différents fonctionnements du
Domain.(j entends par fonctionnement, les stratégies qui sont appliquées au Domain, durée du
mot passe , complexité, etc...) Il en existe deux types à la création du Domain.
Pour rappel : un contrôleur de Domain est inséré dans le conteneur Domain contrôleur, les
postes et utilisateurs dans les conteneurs Computers et Users. Si vous placez un poste dans le
conteneur Domain Controler, ce poste serait affecté par les stratégies des contrôleurs de
Domain).
54
Les GPO s’appliquent au niveau du site, du Domain et des UO. Je ne parlerai que du Domain et
des UO pour l'instant. On peut avoir autant de GPO que désirées. L'ordre d exécution d une GPO
est du bas vers le haut, ce qui signifie qu'en cas de conflit, c'est la stratégie la plus haute qui
sera appliquée. Les stratégies étant appliquées à différents niveaux (site, Domain, OU, local),
elles sont toutes appliquée si il n y a pas de conflits, dans le cas contraire c'est toujours la plus
proche de l'utilisateur qui est appliquées donc au niveau de l'OU.
Il existe plusieurs façons de créer une GPO, soit en passant par la console utilisateur Active
Directory, en créant une MMC (Microsoft Management Console) et pour finir GPMC, une nouvelle
console qui prend en charge beaucoup plus de possibilités que les deux autres. Dans cette
exemple nous créerons d'abord une UO test et un utilisateur (Eva par exemple).
55
Creation gpo
Non configuré : Le menu Rechercher va s’afficher sauf si n’importe quelle autre GPO
spécifie le contraire.
Activé : Le menu Rechercher va être supprimé sauf si une GPO ayant une priorité
plus importante spécifie le contraire.
Désactivé : Le menu Rechercher va s’afficher sauf si une GPO ayant une priorité plus
importante spécifie le contraire.
56
Exemple :
Remarque :
57