Active Directory - Volume1

PRODUIT OFFICIEL DE FORMATION MICROSOFT
6238B
Volume 1
Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008
N'oubliez pas d'accder au contenu de formation supplmentaire du CD-ROM d'accompagnement du cours qui se trouve au dos de votre livre.
xv
Table des matires

Module 1 : Prsentation des services de domaine Active Directory (AD DS)
Leon 1 : Prsentation d'Active Directory, des identits et des accs Leon 2 : Composants et concepts Active Directory Leon 3 : Installation des services de domaine Active Directory Atelier pratique : Installation d'un contrleur de domaine AD DS pour crer une seule fort de domaines Leon 4 : Extension d'IDA avec le services Active Directory 1-4 1-21 1-47 1-57 1-66
Module 2 : Administration scurise et efficace d'Active Directory

Leon 1 : Utilisation des composants logiciels enfichables Active Directory Leon 2 : Consoles personnalises et privilges minimum Atelier pratique A : Cration et excution d'une console d'administration personnalise Leon 3 : Recherche d'objets dans Active Directory Atelier pratique B : Recherche d'objets dans Active Directory Leon 4 : Utilisation des commandes DS pour administrer Active Directory Atelier pratique C : Utilisation des commandes DS pour administrer Active Directory 2-4 2-14 2-25 2-36 2-53 2-62 2-81
Module 3 : Gestion des utilisateurs

Leon 1 : Cration et administration des comptes d'utilisateur Atelier pratique A : Cration et administration des comptes d'utilisateur Leon 2 : Dfinition des attributs des objets utilisateur Atelier pratique B : Dfinition des attributs des objets utilisateur Leon 3 : Automatisation de la cration des comptes d'utilisateur Atelier pratique C : Automatisation de la cration des comptes d'utilisateur 3-4 3-29 3-35 3-51 3-61 3-70
xvi
Module 4 : Gestion des groupes

Leon 1 : Gestion d'une entreprise avec des groupes Leon 2 : Administration des groupes Atelier pratique A : Administration des groupes Leon 3 : Meilleures pratiques de gestion des groupes Atelier pratique B : Meilleures pratiques de gestion des groupes 4-4 4-45 4-66 4-74 4-89
Module 5 : Prise en charge des comptes d'ordinateur

Leon 1 : Cration d'ordinateurs et jonction au domaine Atelier pratique A : Cration d'ordinateurs et jonction au domaine Leon 2 : Administration des objets et des comptes d'ordinateur Atelier pratique B : Administration des objets et des comptes d'ordinateur 5-4 5-34 5-42 5-62
Module 6 : Implmentation d'une infrastructure de stratgie de groupe

Leon 1 : Fonctionnement de la stratgie de groupe Leon 2 : Implmentation des objets GPO Atelier pratique A : Implmentation d'une stratgie de groupe Leon 3 : Examen approfondi des paramtres et des objets GPO Atelier pratique B : Gestion des paramtres et des objets GPO Leon 4 : Gestion de l'tendue d'une stratgie de groupe Atelier pratique C : Gestion de l'tendue d'une stratgie de groupe Leon 5 : Traitement d'une stratgie de groupe Leon 6 : Rsolution des problmes d'application de stratgie Atelier pratique D : Rsolution des problmes d'application de stratgie 6-4 6-22 6-40 6-44 6-67 6-74 6-105 6-113 6-123 6-136
Module 7 : Gestion de la configuration et de la scurit de l'entreprise avec les paramtres de stratgie de groupe
Leon 1 : Dlgation du support technique des ordinateurs Atelier pratique A : Dlgation du support technique des ordinateurs Leon 2 : Gestion des paramtres de scurit Atelier pratique B : Gestion des paramtres de scurit Leon 3 : Gestion de logiciels avec GPSI 7-4 7-16 7-20 7-49 7-62
xvii
Atelier pratique C : Gestion de logiciels avec GPSI Leon 4 : Audit Atelier pratique D : Audit de l'accs aux systmes de fichiers
7-81 7-87 7-100
Module 8 : Administration scurise

Leon 1 : Dlgation des autorisations administratives Atelier pratique A : Dlgation de l'administration Leon 2 : Audit des modifications Active Directory Atelier pratique B : Audit des modifications Active Directory 8-4 8-27 8-36 8-42
Module 9 : Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Leon 1 : Configuration des stratgies de mot de passe et de verrouillage Atelier pratique A : Configuration des stratgies de mot de passe et de verrouillage de compte Leon 2 : Audit de l'authentification Atelier pratique B : Audit de l'authentification Leon 3 : Configuration des contrleurs de domaine en lecture seule Atelier pratique C : Configuration des contrleurs de domaine en lecture seule 9-4 9-24 9-30 9-40 9-45 9-66
UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT
propos de ce cours
propos de ce cours
Cette section dcrit brivement le cours, le profil des stagiaires, les connaissances pralables requises et les objectifs du cours.
Description du cours
Ce cours de 5 jours a pour objectif d'apprendre aux spcialistes de la technologie Active Directory configurer les services de domaine Active Directory (AD DS) dans un environnement distribu, implmenter une stratgie de groupe, effectuer des sauvegardes et des restaurations et rsoudre les problmes lis Active Directory. la fin de ce cours, les stagiaires seront mme d'implmenter et de configurer les services de domaine Active Directory dans leur environnement d'entreprise.
Public concern
Ce cours s'adresse principalement aux spcialistes de la technologie Active Directory, administrateurs de serveurs et administrateurs d'entreprise qui souhaitent apprendre implmenter Active Directory dans un environnement distribu, scuriser des domaines l'aide de stratgies de groupe, effectuer des sauvegardes et des restaurations, ainsi qu' contrler et rsoudre les problmes de configuration Active Directory, afin d'assurer un fonctionnement harmonieux.
Connaissances pralables
Pour pouvoir suivre ce cours, vous devez rpondre aux critres suivants : Connaissances de base dans le domaine des rseaux. Vous devez connatre le fonctionnement de TCP/IP et avoir des connaissances de base dans les domaines de l'adressage, de la rsolution des noms (Domain Name System [DNS]/Windows Internet Name Service [WINS]) et des mthodes de connexion (cbl, sans fil, rseau priv virtuel [VPN]) et NET+ ou quivalent. Niveau de connaissances intermdiaire des systmes d'exploitation rseau. Vous devez avoir des connaissances intermdiaires dans le domaine des systmes d'exploitation, tels que Windows 2000, Windows XP ou Windows Server 2003. Des connaissances dans le systme d'exploitation Windows Vista sont un avantage. Connaissances des meilleures pratiques de scurit. Vous devez avoir des connaissances en matire d'autorisations lies aux systmes de fichiers, de mthodes d'authentification et de renforcement de la scurit des serveurs, etc.
ii
propos de ce cours
Connaissances lmentaires des matriels serveur. Vous devez avoir un niveau de premier cycle ou quivalent. Exprience dans la cration d'objets dans Active Directory. Concepts de base des processus de sauvegarde et de restauration dans un environnement Windows Server. Vous devez avoir des connaissances de base en matire de types de sauvegardes, de mthodes de sauvegarde, de topologies de sauvegarde, etc.
Objectifs du cours
Ce cours va permettre au stagiaires d'atteindre les objectifs suivants : positionner le rle stratgique d'un service d'annuaire dans une entreprise par rapport aux identits et aux accs ; expliquer les processus d'authentification et d'autorisation ; identifier les principaux composants d'AD DS ; comprendre les exigences d'installation d'un contrleur de domaine pour crer une nouvelle fort ; identifier les rles et les relations entre AD DS, Services Active Directory Lightweight Directory (AD LDS), Services Active Directory Lightweight Directory (AD RMS), Services ADFS (Active Directory Federation Services) (AD FS) et Services de certificats Active Directory (AD CS) ; installer, rechercher et dcrire les composants logiciels enfichables pour administrer les services de domaine Active Directory (AD DS) ; excuter des tches d'administration de base avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ; crer une console MMC (Microsoft Management Console) personnalise pour l'administration ; excuter des tches d'administration en ayant ouvert une session comme utilisateur ; contrler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ; rechercher des objets dans Active Directory ; utiliser des requtes enregistres ;
propos de ce cours
iii
identifier le nom unique (DN), le nom unique relatif (RDN) et le nom commun (CN) d'un objet Active Directory ; utiliser les commandes DS pour administrer Active Directory depuis la ligne de commande ; crer et dfinir les proprits de compte d'un objet utilisateur ; identifier la fonction et les conditions des attributs d'un compte d'utilisateur ; excuter les tches d'administration courantes pour grer les comptes d'utilisateur, notamment rinitialiser un mot de passe et dverrouiller un compte ; activer et dsactiver des comptes d'utilisateur ; supprimer, dplacer et renommer des comptes d'utilisateur ; afficher et modifier les attributs masqus des objets utilisateur ; identifier la fonction et les conditions des attributs d'un objet utilisateur ; crer des utilisateurs partir de modles de comptes d'utilisateur. modifier simultanment les attributs de plusieurs utilisateurs ; exporter des attributs d'utilisateur avec CSVDE (Comma Separated Value Directory Exchange) ; importer des utilisateurs avec CSVDE ; importer des utilisateurs avec LDAP Lightweight Directory Access Protocol) LDIFDE (Data Interchange Format Directory Exchange) ; crer des groupes dlgus scuriss correctement documents ; expliquer les types de groupes, l'tendue et l'imbrication ; comprendre la meilleure pratique d'imbrication de groupe pour grer en fonction de rles ; crer, supprimer et grer des groupes avec des commandes DS, CSVDE et LDIFDE ; numrer et copier les membres des groupes ; expliquer les groupes par dfaut (intgrs) ; expliquer les identits spciales ; expliquer la relation entre un membre d'un domaine et le domaine en termes d'identit et d'accs ;
iv
propos de ce cours
identifier les conditions d'ajout d'un ordinateur un domaine ; implmenter des processus de meilleures pratiques d'ajout d'ordinateurs , scuriser AD DS pour empcher la cration de comptes d'ordinateurs non grs ; grer les objets ordinateur et leurs attributs en utilisant l'interface Windows et les outils de ligne de commande ; administrer les comptes d'ordinateurs pendant leur cycle de vie ; identifier les facteurs professionnels de la gestion de configuration ; comprendre les composants et les technologies qui constituent la structure d'une stratgie de groupe ; grer des objets Stratgie de groupe (GPO) ; configurer et comprendre les divers types de paramtres d'une stratgie ; dfinir la porte des objets GPO l'aide de liens, de groupes de scurit, de filtres WMI, de traitement par boucle de rappel et du ciblage des Prfrences ; expliquer le stockage, la rplication et la gestion des versions des objets GPO ; administrer l'infrastructure d'une stratgie de groupe ; valuer l'hritage, la priorit et le jeu de stratgie rsultant (RSoP) ; localiser les journaux d'vnements contenant les vnements lis une stratgie de groupe ; dlguer l'administration des ordinateurs ; modifier ou activer les membres des groupes l'aide des stratgies de groupes restreints ; modifier les membres de groupes l'aide des prfrences de stratgie de groupe ; configurer les paramtres de scurit l'aide de la stratgie de scurit locale ; crer et appliquer des modles de scurit pour grer une configuration de scurit ; analyser une configuration de scurit base sur des modles de scurit ; crer, modifier et appliquer des stratgies de scurit en utilisant l'Assistant Configuration de la scurit ; dployer la configuration de la scurit l'aide d'une stratgie de groupe ;
propos de ce cours
dployer des logiciels l'aide de l'installation logicielle d'une stratgie de groupe (GPSI) ; supprimer les logiciels installs initialement avec GPSI ; dcrire l'objectif de la dlgation pour une entreprise ; affecter des autorisations des objets Active Directory l'aide des interfaces utilisateur d'diteur de scurit et de l'Assistant Dlgation de contrle ; afficher et signaler les autorisations sur les objets Active Directory en utilisant l'interface utilisateur et des outils de ligne de commande ; rtablir les autorisations par dfaut sur un objet ; dcrire la relation entre une conception de dlgation et une conception d'unit d'organisation ; configurer l'audit des modifications du service d'annuaire ; spcifier les paramtres d'audit au niveau des objets Active Directory ; identifier les entres de journaux d'vnements cres par l'audit d'accs l'annuaire et l'audit des modifications du service d'annuaire ; implmenter votre stratgie de mot de passe de domaine et de verrouillage de compte ; configurer et affecter des stratgies de mot de passe affines ; configurer l'audit des activits lies l'authentification ; faire la distinction entre les vnements de connexion de comptes et les vnements Ouverture de session ; identifier les vnements lis l'authentification dans le journal de scurit ; identifier les besoins pour les contrleurs de domaine en lecture seule ; installer un contrleur de domaine en lecture seule ; configurer une stratgie de rplication de mot de passe ; contrler la mise en cache des informations d'identification sur un contrleur de domaine en lecture seule ; expliquer le rle structure, la structure et la fonctionnalit du systme de noms de domaine (DNS) ; dcrire les processus de rsolution des noms de client et de serveur ; installer le service DNS ;
vi
propos de ce cours
grer les enregistrements DNS ; configurer les paramtres du serveur DNS ; comprendre l'intgration entre AD DS et DNS ; choisir un domaine DNS pour un domaine Active Directory ; crer une dlgation de zone pour un nouveau domaine Active Directory ; configurer la rplication des zones intgres Active Directory ; dcrire la fonction des enregistrements SRV dans le processus d'emplacement des contrleurs d'un domaine ; comprendre le fonctionnement des serveurs DNS en lecture seule ; comprendre et configurer la rsolution des noms en une partie ; configurer les paramtres avancs du serveur DNS ; auditer, grer et dpanner le rle de serveur DNS ; installer un contrleur de domaine standard ou en lecture seule dans des arborescences ou des domaines, nouveaux ou existants ; ajouter et supprimer des contrleurs de domaine l'aide de diverses mthodes d'interface graphique utilisateur ou de ligne de commande ; configurer un contrleur de domaine sur Server Core ; comprendre et identifier les rles de matre d'oprations ; grer l'emplacement, le transfert et la cessation des rles de matre d'oprations ; migrer la rplication SYSVOL du service de rplication de fichiers (FRS) vers la rplication du systme de fichiers DFS (DFS-R) ; configurer des sites et des sous-rseaux ; comprendre l'emplacement des contrleurs de domaine et grer les contrleurs de domaine dans les sites ; configurer la rplication du jeu d'attributs partiels vers les serveurs de catalogues globaux ; implmenter la mise en cache de l'appartenance au groupe universel ; comprendre la fonction des partitions de l'annuaire d'applications ; configurer la topologie de rplication avec des objets de connexion, des serveurs tte de pont, des liens de sites et des ponts de liens de sites ;
propos de ce cours
vii
gnrer des rapports, analyser et rsoudre les problmes de rplication avec les outils repadmin.exe et dcdiag.exe ; contrler les performances et les vnements en temps rel avec le Gestionnaire des tches, l'Observateur d'vnements et le Moniteur de fiabilit et de performances Windows ; tirer parti des nouvelles fonctionnalits de l'Observateur d'vnements de Windows Server 2008, notamment des vues personnalises et des abonnements aux vnements ; contrler les performances en temps rel et enregistres avec l'Analyseur de performances, des jeux d'lments de collecte de donnes et des rapports ; identifier les sources d'informations relatives aux performances et aux vnements des contrleurs de domaine AD DS ; crer des alertes en fonction d'vnements et de mesures de performances ; grer et optimiser la base de donnes Active Directory ; sauvegarder et restaurer AD DS et les contrleurs de domaine ; restaurer les objets et les attributs supprims ; comprendre les niveaux fonctionnels des domaines et des forts ; lever les niveaux fonctionnels des domaines et des forts ; identifier les fonctions ajoutes par chaque niveau fonctionnel ; concevoir un domaine et une arborescence de domaine efficaces pour AD DS ; identifier le rle de l'Outil de migration Active Directory et les problmes lis la migration d'objet et la restructuration de domaine ; comprendre les relations d'approbation ; configurer, administrer et scuriser les relations d'approbation.
viii
propos de ce cours
Plan du cours
Cette section dcrit la structure du cours : Module 1. Ce module explique comment installer et configurer les services de domaine Active Directory et un contrleur de domaine en lecture seule. Module 2. Ce module explique comment travailler en toute scurit et efficacement dans Active Directoy. Module 3. Ce module explique comment grer et prendre en charge les comptes d'utilisateur dans Active Directory. Module 4. Ce module explique comment crer, modifier, supprimer et grer des objets groupe dans Active Directory. Module 5. Ce module explique comment crer et configurer des comptes d'ordinateur. Module 6. Ce module dcrit la stratgie de groupe, son fonctionnement et comment optimiser son implmentation dans votre entreprise. Module 7. Ce module explique comment grer la scurit et l'installation des logiciels, et comment auditer les fichiers, ainsi que les dossiers. Module 8. Ce module explique comment administrer les services de domaine Active Directory. Module 9. Ce module explique les composants de domaine de l'authentification, notamment les stratgies qui dfinissent les conditions de mot de passe et l'audit des activits d'authentification. Module 10. Ce module explique comment implmenter DNS pour prendre en charge la rsolution de nom dans votre domaine AD DS et en dehors de votre domaine et votre intranet. Module 11. Ce module explique comment administrer les contrleurs de domaine dans une fort. Module 12. Ce module explique comment crer un service d'annuaire distribu qui prend en charge des contrleurs de domaine dans des parties du rseau spares par des liaisons coteuses, lentes ou non fiables.
propos de ce cours
ix
Module 13. Ce module explique les technologies et les outils disponibles pour garantir l'intgrit et la longvit du service d'annuaire. Vous allez apprendre exploiter certains outils pour surveiller les performances en temps rel et enregistrer au fur et mesure ces performances dans un journal pour garder un il sur les tendances et dceler les problmes potentiels. Module 14. Ce module explique comment lever les niveaux de fonctionnalit d'un domaine et d'une fort dans votre environnement, concevoir une infrastructure AD DS optimale pour votre entreprise, migrer des objets entre des domaines et des forts et activer l'authentification et les accs aux ressources dans plusieurs domaines et forts.
propos de ce cours
Documents de cours
Votre kit de formation contient les documents suivants : Guide du cours. Le guide du cours contient les sujets traits en cours. Il est doit tre utilis avec le CD-ROM d'accompagnement du cours. CD-ROM d'accompagnement du cours. Ce CD-ROM contient la totalit du cours, y compris le contenu dvelopp de chaque page de rubrique, l'ensemble des exercices pratiques et leurs corrigs, les ressources classes par rubriques et par catgories et des liens Web. Il doit tre utilis pendant le cours et en dehors du cours.
Remarque : pour accder au contenu du cours, insrez le CD-ROM d'accompagnement du cours dans votre lecteur de CD-ROM, puis double-cliquez sur le fichier StartCD.exe dans le rpertoire principal du CD-ROM.
valuation du cours. la fin du cours, vous pourrez remplir une fiche d'valuation en ligne pour faire part de vos commentaires sur le cours, le centre de formation et l'instructeur.
Pour formuler des commentaires supplmentaires sur le cours, vous pouvez envoyer un courrier lectronique l'adresse support@mscourseware.com. Pour obtenir des informations sur le programme MCP (Microsoft Certified Professional), envoyez un courrier lectronique l'adresse mcphelp@microsoft.com.
Environnement de l'ordinateur virtuel

Cette section contient les informations de configuration de l'environnement de la salle de cours en fonction du scnario d'entreprise du cours.
Configuration de l'ordinateur virtuel

Dans ce cours, vous utiliserez Microsoft Virtual Server 2005 et l'utilitaire de lancement des ateliers pratiques MSL pour effectuer les ateliers pratiques.
Important : la fin de chaque atelier pratique, vous devez arrter l'ordinateur virtuel sans enregistrer vos modifications. Pour arrter un ordinateur virtuel sans enregistrer les modifications, procdez comme suit : 1. Pour chaque ordinateur virtuel actif, fermez la fentre VMRC (Virtual Machine Remote Control). 2. Dans la zone Fermer, slectionnez teindre l'ordinateur et ignorez les modifications. Cliquez sur OK.
propos de ce cours
xi
Le tableau suivant rpertorie le rle de chaque ordinateur virtuel utilis dans ce cours :
Ordinateur virtuel 6238B-HQDC01-A 6238B-HQDC01-B 6238B-HQDC01-D 6238B-HQDC02-A 6238B-HQDC02-B 6238B-HQDC03-A 6238B-HQDC03-B 6238B-DESKTOP101-A 6238B-BRANCHDC01-A 6238B-BRANCHDC01-B 6238B-SERVER01-A 6238B-SERVER01-B 6238B-TSTDC01-A Rle Contrleur de domaine Windows Server 2008 dans le domaine Contoso Contrleur de domaine Windows Server 2008 dans le domaine Contoso Membre de groupe de travail Windows Server 2008 Membre de groupe de travail Windows Server 2008 Contrleur de domaine Windows Server 2008 dans le domaine Contoso Windows Server 2008 Server Core dans le groupe de travail Windows Server 2008 Server Core dans le domaine Contoso Client Windows Vista dans le domaine Contoso Membre de groupe de travail Windows Server 2008 Contrleur de domaine Windows Server 2008 Server Core dans le domaine Contoso Contrleur de domaine Windows Server 2008 dans le domaine Contoso Membre de groupe de travail Windows Server 2008 Contrleur de domaine Windows Server 2008 dans le domaine Tailspintoys
Configuration logicielle
Les logiciels suivants sont installs sur l'ordinateur virtuel : Windows Server 2008 Entreprise Windows Vista Entreprise
Installation de la salle de classe

L'ordinateur virtuel sera configur de la mme faon sur tous les ordinateurs de la classe.
xii
propos de ce cours
Niveau des lments matriels du cours

Pour garantir une utilisation satisfaisante, les formations Microsoft requirent une configuration matrielle minimale pour les ordinateurs de l'instructeur et des stagiaires dans toutes les salles de cours Microsoft CPLS (Certified Partner for Learning Solutions) dans lesquelles des cours sur les produits officiels de Microsoft sont dispenss. Ce cours rpond un niveau de matriel 5.5 avec une mmoire RAM tendue. Consultez le guide de configuration de la salle de cours pour plus d'informations sur les spcifications matrielles.
Important : le niveau de matriel de ce cours a t modifi pour fonctionner par dfaut en supposant qu'une mmoire RAM de 4 Go plutt que 2 Go, qui correspond la quantit normale de mmoire ncessaire pour le niveau de matriel 5.5, est disponible sur l'ordinateur hte. Par consquent, la configuration par dfaut sur l'installation et dans l'environnement de dmarrage est dfinie pour s'excuter sur un ordinateur hte disposant d'une mmoire RAM de 4 Go. Pour plus d'informations sur la configuration de cet environnement, suivez les tapes dcrites dans la section Configuration de la salle de cours Niveau de matriel 5.5 avec une mmoire RAM de 4 Go du guide de configuration de la salle de cours. Si les ordinateurs des stagiaires ne disposent pas d'une mmoire RAM de 4 Go, vous devez procder une configuration alternative. Un fichier LauncherSettings.config alternatif est fourni avec le cours ; il redfinit les valeurs de mmoire RAM de chaque ordinateur virtuel pour leur permettre de dmarrer et de fonctionner au niveau matriel normal 5.5 avec une mmoire RAM de 2 Go sur l'ordinateur hte. Pour plus d'informations sur la configuration de la salle de cours lorsque 2 Go de mmoire RAM seulement sont disponibles sur les ordinateurs des stagiaires, consultez la section Configuration de la salle de cours - Niveau de matriel 5.5 avec une mmoire RAM de 4 Go dans le guide de configuration de la salle de cours. Il est galement vivement recommand de lire le guide de dmarrage de l'utilitaire de lancement des ateliers pratiques MSL disponible dans le centre de tlchargement MCT. Ce guide explique comment installer et personnaliser l'utilitaire de lancement des ateliers pratiques et il complte le guide de configuration spcifique de ce cours.
Chaque ordinateur du cours fait office d'hte pour cinq ordinateurs virtuels excuts dans Virtual Server 2005 R2 SP1. La dure de la configuration de la salle de cours est de 140 minutes (2 h 20) environ.
Prsentation des services de domaine Active Directory (AD DS)
1-1
Module 1
Table des matires :
Leon 1 : Prsentation d'Active Directory, des identits et des accs Leon 2 : Composants et concepts Active Directory Leon 3 : Installation des services de domaine Active Directory Atelier pratique : Installation d'un contrleur de domaine AD DS pour crer une seule fort de domaines Leon 4 : Extension d'IDA avec les services Active Directory 1-4 1-21 1-47 1-57 1-66
1-2
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Vue d'ensemble du module
Active Directory et ses services connexes constituent la base des rseaux d'entreprise fonctionnant sous le systme d'exploitation Windows. En effet, ils agissent ensemble pour stocker des informations sur l'identit des utilisateurs, des ordinateurs et des services, pour authentifier un utilisateur ou un ordinateur et pour fournir l'utilisateur ou l'ordinateur un mcanisme d'accs aux ressources de l'entreprise. Dans ce module, vous commencerez votre exploration d'Active Directory Windows Server 2008 en installant le rle Services de domaine Active Directory (AD DS) et en crant un contrleur de domaine (DC) dans une nouvelle fort Active Directory. Vous constaterez que Windows Server 2008 poursuit l'volution d'Active Directory en amliorant la plupart des concepts et des fonctionnalits que vous connaissez de par votre exprience avec Active Directory. Ce module se concentre sur la cration d'une nouvelle fort Active Directory un domaine dans un contrleur de domaine unique. L'atelier pratique de ce module vous guidera travers les tapes de cration d'un domaine nomm contoso.com que vous utiliserez pour tous les autres ateliers pratiques du cours. Dans les modules ultrieurs, vous apprendrez implmenter d'autres scnarios, notamment des forts plusieurs domaines, des mises niveau de forts existantes de Windows Server 2008 et des options d'installation avances.
1-3
Plus important encore, ce module plante le dcor de l'ensemble du cours en prsentant une vue gnrale d'Active Directory. Vous y tudierez les concepts cls de l'authentification, des autorisations et des services d'annuaire, et vous porterez un regard global sur les principaux composants d'Active Directory et comment ils se compltent. Si vous tes trs expriment avec Active Directory ou une version plus rcente de la plateforme, ce module vous permettra de comprendre dans quelle direction ce cours vous mne.
Objectifs
Ce module va vous permettre d'atteindre les objectifs suivants : positionner le rle stratgique d'un service d'annuaire dans une entreprise par rapport aux identits et aux accs ; expliquer les processus d'authentification et d'autorisation ; identifier les principaux composants d'AD DS ; comprendre les exigences d'installation d'un contrleur de domaine pour crer une nouvelle fort ; identifier les rles et les relations entre AD DS, AD LDS, AD RMS, AD FS et AD CS.
1-4
Leon 1
Prsentation d'Active Directory, des identits et des accs
Les services de domaine Active Directory (AD DS) fournissent les fonctionnalits d'une solution d'identit et d'accs (IDA) pour des rseaux d'entreprise. La leon passe en revue les concepts cls d'IDA et d'Active Directory.
Objectifs
Cette leon va vous permettre d'atteindre les objectifs suivants : expliquer les concepts, la terminologie, les processus et les technologies d'authentification et d'autorisation ; positionner le rle stratgique d'un service d'annuaire dans une entreprise au regard des identits et des accs.
1-5
Protection des informations en quelques mots
Points cls
Pour faire simple, le travail d'un professionnel des technologies de l'information est de connecter des utilisateurs aux donnes dont ils ont besoin pour accomplir leur travail. Ce serait plutt facile si nous n'avions pas nous soucier d'un petit dtail appel scurit . tant donn que les utilisateurs ncessitent diffrents niveaux d'accs diffrentes classes d'informations, nous devons grer l'association des utilisateurs corrects aux niveaux d'accs correspondants : c'est la protection des informations. En informatique, il y a plusieurs approches possibles pour protger des informations. Cette mare d'abrviations et d'acronymes de structures reprsente simplement des perspectives diffrentes d'un mme problme : IDA : Identity and Access (identit et accs). Les utilisateurs et les autres entits de scurit (qui peuvent inclure des services, des ordinateurs et des groupes) sont reprsents par des identits (souvent appeles comptes ) auxquelles nous accordons un accs (des autorisations) des informations, des ressources ou des systmes.
1-6
AAA : Authentication, Authorization, and Accounting (authentification, autorisation et gestion des comptes). Les utilisateurs fournissent des informations d'identification telles qu'un nom d'utilisateur et un mot de passe. Ils sont authentifis que s'ils fournissent des informations d'identification valides. Les utilisateurs reoivent des autorisations d'accs des ressources (contrle d'accs) qui sont utilises pour autoriser des demandes d'accs. L'accs est surveill par une gestion des comptes et un audit. Dans certains documents, l'audit est reprsent par un A distinct de la gestion des comptes. L'acronyme devient donc AAAA . CIA : Confidentiality, Integrity, and Availability (confidentialit, intgrit et disponibilit). Les informations sont protges afin qu'elles ne soient pas divulgues des personnes non autorises (confidentialit) et qu'elles ne soient pas modifies de manire incorrecte (intgrit), que ce soit intentionnellement ou par inadvertance. Les informations sont disponibles lorsqu'elles sont ncessaires (disponibilit).
Lectures complmentaires
Microsoft Identity and Access Solutions (en anglais) http://go.microsoft.com/fwlink/?LinkId=168485
1-7
Identit et accs (IDA)
Points cls
Deux concepts essentiels sont au cur de la protection des informations : l'identit et l'accs (IDA). Consacrons quelques minutes passer en revue les principes de base, les composants, les processus et les technologies associs l'identit et l'accs sur les systmes Windows. Vous devez certainement connatre la plupart ou l'ensemble de ces informations de par votre exprience passe avec Windows, mais il est important de planter le dcor pour le rle d'Active Directory et de clarifier la terminologie, les composants et les processus qu'impliquent IDA. Dans un systme scuris, chaque utilisateur est reprsent par une identit. Dans les systmes Windows, l'identit est le compte d'utilisateur. Les comptes d'un ou plusieurs utilisateurs sont conservs dans un magasin d'identits, galement appel base de donnes d'annuaire. Une identit est appele une entit de scurit dans les systmes Windows. Les entits de scurit sont identifies de manire unique par un attribut appel identificateur de scurit (SID).
1-8
l'autre extrmit du systme se trouve la ressource laquelle l'utilisateur demande l'accs. La ressource est scurise par des autorisations, et chaque autorisation spcifie l'association d'un niveau d'accs particulier une identit. De nombreuses ressources de Windows, notamment les fichiers et les dossiers sur des volumes NTFS, sont scurises par un descripteur de scurit judicieusement nomm qui contient une liste de contrle d'accs discrtionnaire (DACL) dans laquelle chaque autorisation prend la forme d'une entre de contrle d'accs (ACE).
1-9
Authentification et autorisation
Points cls
Il y a certains concepts et processus importants entre l'utilisateur (entit de scurit) et l'accs aux ressources. Les quatre prochaines diapositives dcrivent en dtail ce processus.
1-10
Authentification
Points cls
L'authentification est le processus de vrification de l'identit d'un utilisateur. L'utilisateur fournit des informations d'identification constitues d'au moins deux parties : un nom de connexion et un secret connu uniquement de l'utilisateur et du systme, tel qu'un mot de passe. Le systme valide l'exactitude des informations d'identification prsentes par l'utilisateur par rapport celles stockes pour l'identit. Il existe deux types d'authentifications : locale et distance. Une ouverture de session locale ou interactive se produit lorsqu'un utilisateur ouvre une session sur un ordinateur directement, par exemple lorsque vous vous connectez votre ordinateur portable le matin. Une connexion distance ou rseau se produit lorsque vous vous connectez un autre ordinateur, tel qu'un serveur de fichiers, un serveur de messagerie ou mme un contrleur de domaine pour rcuprer un script d'ouverture de session.
1-11
Jetons d'accs
Points cls
Une fois qu'un utilisateur a t authentifi, l'autorit de scurit locale (LSA) gnre un jeton d'accs de scurit (galement appel jeton de scurit ou jeton d'accs) qui reprsente l'utilisateur auprs du systme en collectant le SID de l'utilisateur et les SID de tous les groupes auxquels l'utilisateur appartient. Le jeton d'accs reprsente galement des privilges (galement appels droits d'utilisateur) dtenus par l'utilisateur sur le systme, par exemple le droit d'arrter le systme ou encore le droit d'ouvrir une session sur le systme de faon interactive (localement). Il est important de se souvenir que le jeton d'accs est gnr et conserv localement, sur l'ordinateur qui a authentifi l'utilisateur. Lorsqu'un utilisateur ouvre une session sur son ordinateur de bureau (ouverture de session interactive ou locale), ce dernier cre un jeton de scurit et, en supposant que l'utilisateur a le droit d'ouvrir une session sur le systme de faon interactive, il appelle le processus Explorateur Windows, ce qui cre le Bureau.
1-12
Lorsqu'un utilisateur se connecte ensuite un serveur pour accder un fichier partag (ouverture de session distance ou rseau), le serveur authentifie l'utilisateur et gnre un jeton d'accs sur le serveur qui reprsente l'utilisateur avec le SID de l'utilisateur et les SID de tous les groupes auxquels cet utilisateur appartient. Le jeton d'accs sur le serveur est distinct du jeton d'accs sur l'ordinateur de bureau de l'utilisateur. Un jeton d'accs n'est jamais transmis sur le rseau, et la LSA d'un systme Windows n'accepte jamais un jeton d'accs gnr par une autre LSA. Cela devrait pourtant tre le cas car un utilisateur appartient probablement diffrents groupes locaux sur le serveur plutt que sur l'ordinateur de bureau et dtient sans doute diffrents privilges (droits d'utilisateur) sur le serveur plutt que sur l'ordinateur de bureau.
1-13
Descripteurs de scurit, listes de contrle d'accs et entres de contrle d'accs
Points cls
Le descripteur de scurit d'une ressource scurise, telle qu'un fichier ou un dossier sur un volume NTFS, dcrit l'ensemble des caractristiques de scurit de la ressource. Le descripteur de scurit contient la liste de contrle d'accs discrtionnaire (DACL), qui son tour contient les entres de contrle d'accs (ACE ou autorisations ). Chaque autorisation est constitue d'un indicateur qui dtermine si l'ACE est Autoriser ou Refuser, un Client approuv (le SID d'un utilisateur ou d'un groupe), et un masque d'accs spcifiant un niveau d'accs. L'ACE dfinit donc qui (le Client approuv reprsent par le SID) peut ou ne peut pas faire quoi (reprsent par le masque d'accs). Le descripteur de scurit englobe galement la liste de contrle d'accs systme (SACL) qui contient des paramtres d'audit et des attributs tels que le propritaire de l'objet. tant donn que la DACL est au centre de la majorit de la gestion de la scurit quotidienne d'une ressource, le nom et l'acronyme sont souvent abrgs. Par consquent, la liste de contrle d'accs (ACL) abrge, bien que techniquement imprcise, est utilise par de nombreux administrateurs et dans beaucoup de documents (y compris ce cours) pour faire rfrence la DACL.
1-14
Autorisation
Points cls
L'autorisation est le processus qui dtermine s'il faut accorder ou refuser un utilisateur un niveau d'accs demand une ressource. Une demande d'accs est effectue en indiquant la ressource, le niveau d'accs et le jeton de scurit qui reprsentent l'utilisateur. Le sous-systme de scurit examine ensuite l'ACL de la ressource, en comparant les SID dans les ACE aux SID dans le jeton de scurit. La premire ACE qui correspond la fois un SID dans le jeton et au type souhait d'accs dtermine si l'accs la ressource est autoris (si l'ACE est Autoriser) ou refus (si l'ACE est Refuser) l'utilisateur. Si aucune correspondance n'est trouve, l'accs est refus.
Logon and Authentication Technologies (en anglais) : http://go.microsoft.com/fwlink/?LinkId=168486 Authorization and Access Control Technologies (en anglais) : http://go.microsoft.com/fwlink/?LinkId=168488
1-15
Authentication autonome (groupe de travail)
Points cls
Dans une configuration autonome des systmes Windows, galement appele groupe de travail, chaque ordinateur conserve un et un seul magasin d'identits approuves : une liste locale des utilisateurs et des groupes stocke dans le Registre appele base de donnes du Gestionnaire des comptes de scurit (SAM). Du fait que les systmes Windows sont scuriss, un utilisateur ne peut mme pas ouvrir une session sur un ordinateur sans un compte d'utilisateur sur le systme en question. L'utilisateur doit prsenter des informations d'identification qui sont valides en fonction des identits du SAM. Une fois qu'un utilisateur a t authentifi et autoris ouvrir une session locale, le processus de l'Explorateur Windows est lanc, ce qui gnre le Bureau Windows habituel.
1-16
Si l'utilisateur souhaite accder un dossier partag sur un serveur, un problme se pose immdiatement : le serveur n'approuve pas une identit qui lui est soumise car elle a t authentifie par un systme inconnu et non approuv. Le serveur approuve uniquement son propre magasin d'identits (SAM). Par consquent, pour permettre l'utilisateur d'ouvrir une session distance sur le serveur, le Gestionnaire des comptes de scurit du serveur doit avoir une identit (compte d'utilisateur) pour l'utilisateur en question. Si le nom de connexion et le mot de passe de l'identit sont identiques aux informations d'identification de l'identit du poste de travail, le processus d'authentification se produit de manire transparente pour l'utilisateur. Toutefois, si le nom de connexion ou le mot de passe ne correspondent pas, l'utilisateur est invit saisir des informations d'identification valides pour le serveur lorsqu'il tente de se connecter la ressource partage. L'ACL sur une ressource scurise sur le serveur ne peut pas contenir d'autorisations faisant rfrence des identits non approuves. Par consquent, tous les utilisateurs dsirant accder la ressource doivent avoir un compte sur le serveur. Les dfis de gestion sont immdiatement vidents. Si l'utilisateur modifie son mot de passe sur l'ordinateur de bureau, les deux comptes ne sont plus synchroniss et l'utilisateur sera invit fournir les informations d'identification au moment de se connecter au serveur. Le problme se complique si vous ajoutez plusieurs utilisateurs, ressources et systmes Windows l'environnement. Les dfis de gestion de plusieurs identits pour chaque utilisateur deviennent rapidement inextricables.
1-17
Domaines Active Directory : magasin d'identits approuves
Points cls
Les dfis de scurit et de gestion d'un groupe de travail sont relevs par la centralisation du magasin d'identits, afin qu'il n'y ait qu'une seule identit (compte d'utilisateur) requise pour tout utilisateur. Ce magasin d'identits doit tre approuv par tous les ordinateurs. Cette unit d'identit fiable s'effectue par le biais d'un domaine Active Directory. Un domaine Active Directory fournit un magasin d'identits centralis approuv par tous les membres du domaine, c'est--dire tous les ordinateurs qui grent euxmmes des comptes dans le domaine. Un domaine offre galement un service d'authentification centralis. Un serveur jouant le rle d'un contrleur de domaine hberge le magasin d'identits (la base de donnes Active Directory) ainsi que le service d'authentification, avec un certain nombre d'autres composants et services que nous traiterons plus loin dans ce cours.
1-18
Active Directory et services d'accs et d'identit
Points cls
Comme nous l'avons mentionn dans les introductions du module et de cette leon, Active Directory fournit la solution d'identit et d'accs (IDA) pour les rseaux d'entreprise sous Windows. IDA est ncessaire pour prserver la scurit des ressources de l'entreprise telles que les fichiers, les e-mails, les applications et les bases de donnes. L'infrastructure IDA devrait effectuer les oprations suivantes :
1-19
Stocker des informations sur les utilisateurs, les groupes, les ordinateurs et les autres identits. Comme nous l'avons vu, une identit est une reprsentation d'une entit qui effectue des actions sur le rseau de l'entreprise. Par exemple, un utilisateur ouvre des documents dans un dossier partag sur un serveur. Vous savez que le document est scuris avec des autorisations sur une liste ACL. L'accs au document est gr par le sous-systme de scurit du serveur qui compare l'identit de l'utilisateur aux identits de l'ACL pour dterminer si la demande d'accs de l'utilisateur est accorde ou refuse. Des ordinateurs, des groupes, des services et d'autres objets effectuent galement des actions sur le rseau ; ils doivent tre reprsents par des identits. Parmi les informations stockes sur une identit, il y a les proprits qui identifient de manire unique l'objet, telles qu'un nom d'utilisateur ou un SID et le mot de passe de l'identit. Le magasin d'identits est donc un composant d'une infrastructure IDA. La banque de donnes Active Directory, galement appele annuaire est un magasin d'identits. L'annuaire lui-mme est hberg et gr par un contrleur de domaine : un serveur jouant le rle AD DS. Authentifier une identit. Le serveur n'accorde pas l'utilisateur l'accs au document moins qu'il ne soit sr de la validit de l'identit prsente dans la demande d'accs. Pour valider l'identit, l'utilisateur fournit des secrets connus uniquement par lui-mme et l'infrastructure IDA. Ces secrets sont compars aux informations du magasin d'identits lors d'un processus appel authentification. Dans un domaine Active Directory, un protocole appel Kerberos est utilis pour authentifier les identits. Lorsqu'un utilisateur ou un ordinateur ouvre une session sur le domaine, Kerberos authentifie ses informations d'identification et met un ensemble d'informations appel ticket d'accord de ticket (TGT). Pour que l'utilisateur puisse se connecter au serveur et demander le document, une requte Kerberos est envoye un contrleur de domaine avec le TGT qui permet d'identifier l'utilisateur authentifi. Le contrleur de domaine envoie l'utilisateur un autre ensemble d'informations appel ticket de service qui identifie l'utilisateur authentifi sur le serveur. L'utilisateur prsente le ticket de service au serveur qui l'accepte comme preuve d'authentification de l'utilisateur. Ces transactions Kerberos conduisent une connexion rseau unique, ou authentification unique. Aprs l'ouverture de session initiale de l'utilisateur ou de l'ordinateur et la remise d'un TGT, l'utilisateur est authentifi dans l'ensemble du domaine et peut recevoir des tickets de service qui l'identifient auprs de n'importe quel service. Toute cette activit de tickets est gre par les clients et services Kerberos intgrs Windows et est transparente pour l'utilisateur.
1-20
Contrler l'accs. L'infrastructure IDA est responsable de la protection des informations confidentielles telles que les informations stockes dans le document. L'accs aux informations confidentielles doit tre gr conformment aux stratgies de l'entreprise. L'ACL sur le document reflte une stratgie de scurit compose d'autorisations qui spcifient des niveaux d'accs pour des identits particulires. Le sous-systme de scurit du serveur dans cet exemple effectue la fonctionnalit de contrle d'accs dans l'infrastructure IDA. Fournir une piste d'audit. Une entreprise peut souhaiter surveiller les modifications et les activits au sein de l'infrastructure IDA. Elle doit donc fournir un mcanisme permettant de grer les audits.
Les services de domaine Active Directory constituent le plus important composant d'une infrastructure IDA, mais d'autres composants IDA sont aussi pris en charge par Windows Server 2008. Avec Windows Server 2008, Microsoft a regroup un certain nombre de composants auparavant distincts dans une plate-forme IDA intgre. Plus loin dans ce module, vous dcouvrirez les services Active Directory suivants : Services AD LDS (Active Directory Lightweight Directory Services) Services de certificats Active Directory (AD CS) Services AD RMS (Active Directory Rights Management Services) Services ADFS (Active Directory Federation Services)
Chacun de ces services joue un rle dans l'extension d'IDA pour prendre en charge des configurations et des scnarios plus complexes. Une fois de plus, ces informations seront traites plus loin dans ce module.
1-21
Leon 2
Composants et concepts d'Active Directory
Du module 2 jusqu'au module 14 de ce cours, il est question de l'installation, de la configuration, de la gestion et du dpannage des services de domaine Active Directory. Il est intressant de donner d'abord une vue d'ensemble des composants, des technologies et des concepts lis Active Directory.
Objectifs
Cette leon va vous permettre d'atteindre les objectifs suivants : identifier les principaux composants d'AD DS.
1-22
Active Directory comme base de donnes
Points cls
Active Directory est en fin de compte une base de donnes des configurations et des ressources de l'entreprise. Une suite de services prend en charge cette base de donnes et utilise les informations qu'elle contient pour fournir les identits et les accs de l'entreprise. Dans la terminologie des bases de donnes, chaque enregistrement d'une base de donnes Active Directory est un objet Active Directory, tel qu'un utilisateur, un groupe ou un ordinateur. Chaque champ est un attribut, galement appel proprit, d'un objet. Les attributs comprennent le nom, le mot de passe, la description, l'appartenance ou l'identificateur de scurit de l'objet. Les entits de scurit, galement appeles comptes , constituent un type d'objet particulier dans les services de domaine Active Directory. Elles ont plusieurs attributs uniques, dont le plus important est l'identificateur de scurit. Comme vous l'avez appris dans la leon prcdente, l'identificateur de scurit sert affecter aux comptes les accs aux ressources.
1-23
La leon prcdente tait axe sur une seule entit de scurit : l'utilisateur. Toutefois, il est plus facile de grer les accs aux ressources en affectant des autorisations des groupes. Il existe une classe d'objets de groupe, appele groupe de scurit, qui est galement une entit de scurit. Les ordinateurs dans un domaine sont galement des entits de scurit. En fait, l'objet ordinateur est trs similaire l'objet utilisateur : il possde un nom de connexion et un mot de passe que l'ordinateur utilise pour s'authentifier auprs du domaine au dmarrage. Enfin, il y a une classe d'objets appele inetOrgPerson. Cette classe d'objets est utilise dans des situations trs particulires pour prendre en charge l'interoprabilit avec une poigne de services d'annuaire tiers. inetOrgPerson est galement une entit de scurit et, pour tre concis, trs semblable un compte d'utilisateur. La base de donnes Active Directory est prise en charge et utilise par un certain nombre de services, notamment Kerberos (charg de l'authentification), DNS (charg de la rsolution de noms) et l'agent de rplication de rpertoire (DRA), charg de la rplication de la base de donnes entre les contrleurs de domaine. La base de donnes Active Directory est accessible de diffrentes manires, l'aide d'une varit d'outils, d'interfaces et de composants Windows, ou par programmation via des API, ou l'aide du protocole LDAP (Lightweight Directory Access Protocol).
1-24
Dmonstration : Schma Active Directory
Points cls
Dans cette dmonstration, votre instructeur va vous prsenter le rle et la structure du schma en tudiant le schma Active Directory. Le schma est souvent compar un modle pour Active Directory. Il dfinit les attributs et les types d'objets qui peuvent tre stocks dans l'annuaire. Par exemple, c'est le schma qui dtermine le fait qu'Active Directory peut avoir des objets utilisateur, et que ces objets utilisateur sont tenus d'avoir un nom de connexion et ventuellement une adresse de messagerie. Le schma possde deux conteneurs principaux. Le conteneur Attributes renferme les dfinitions de chaque attribut pris en charge par Active Directory. Vous pouvez ouvrir les attributs de proprits que vous connaissez dj : objectSID : identificateur de scurit. sAMAccountName : le nom de connexion pr-Windows 2000, que la plupart des administrateurs dsignent comme nom d'utilisateur .
1-25
unicodePwd : le stockage du mot de passe. Cet attribut stocke un mot de passe sous forme de code de hachage qui rsulte d'une fonction unidirectionnelle. Vous ne pouvez lire ou driver le mot de passe rel depuis cet attribut sans effectuer une sorte d'attaque en force par dictionnaire (piratage).
member : l'attribut qui stocke la liste des membres d'un objet de groupe.
Le conteneur objectClasses dfinit les types d'objets qui peuvent tre instancis (crs) dans l'annuaire, y compris les utilisateurs et les groupes. Les classes d'objets sont associes des attributs dfinis dans le conteneur Attributes. Ces associations dterminent quelles classes d'objets ont quels attributs, et lesquels parmi ces attributs sont obligatoires pour une classe d'objets particulire.
tapes de la dmonstration
1. Sur l'ordinateur virtuel 6238B-HQDC01-A, ouvrez D:\AdminTools\ADConsole.msc. Dveloppez les nuds Active Directory > Active Directory Schema [HQDC01.contoso.com]. Recherchez le conteneur Attributes. Ouvrez les proprits des lment suivants. objectSID sAMAccountName (ce que la plupart des administrateurs appellent nom d'utilisateur ) unicodePwd member description 3. Ouvrez le conteneur Classes. Notez les classes d'objets habituelles, dont l'utilisateur, l'ordinateur et le groupe.
2.
What Is the Active Directory Schema? (en anglais) http://go.microsoft.com/fwlink/?LinkId=104448
1-26
Units d'organisation
Points cls
Active Directory comme base de donnes hirarchique. Les objets d'une banque de donnes peuvent tre regroups dans des conteneurs. Un des types de conteneurs est la classe d'objets appele conteneur. Vous avez vu les conteneurs par dfaut, notamment Users, Computers et Builtin, lorsque vous ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Un autre type de conteneur est l'unit d'organisation (UO). Les units d'organisation fournissent non seulement un conteneur pour les objets, mais aussi une tendue permettant de grer les objets. En effet, les units d'organisation peuvent tre lies des objets appels Objets de stratgie de groupe. Les objets de stratgie de groupe peuvent contenir des paramtres de configuration qui seront ensuite automatiquement appliqus par les utilisateurs ou les ordinateurs dans une unit d'organisation.
Les modules 6 et 8 traitent de la finalit, de la gestion et de la conception des units d'organisation.
1-27
Gestion base de stratgies
Points cls
L'administration base de stratgies facilite la gestion des plus grands et des plus complexes rseaux en fournissant un point unique de configuration des paramtres qui sont ensuite dploys sur plusieurs systmes. Une stratgie de groupe permet de dfinir des paramtres de scurit ainsi que des milliers d'autres paramtres de configuration pour un ou plusieurs utilisateurs ou ordinateurs de votre entreprise. Par exemple, c'est la stratgie de groupe qui dfinit les stratgies de mot de passe et de verrouillage pour un domaine. Elle indique la longueur minimale des mots de passe et tablit la stratgie d'expiration des mots de passe. Une stratgie de groupe peut spcifier des paramtres d'audit, par exemple pour contrler l'accs aux dossiers du serveur, ou pour surveiller les modifications apportes des groupes sensibles de scurit dans Active Directory, tels que les Administrateurs du domaine. Une stratgie de groupe peut galement grer la configuration, par exemple en spcifiant une page d'accueil de Microsoft Internet Explorer pour un groupe d'utilisateurs ou en empchant les utilisateurs d'accder aux outils de modifications du Registre.
1-28
Le concept le plus important comprendre au sujet d'une stratgie de groupe ce stade du cours est qu'elle permet de dfinir la configuration dans un objet appel Objet de stratgie de groupe. Un objet de stratgie de groupe peut ensuite tre tendu (appliqu) un ou plusieurs utilisateurs ou ordinateurs. Un autre exemple de gestion base de stratgies est une stratgie de mot de passe et de verrouillage affine, une nouvelle fonctionnalit de Windows Server 2008. Vous pouvez maintenant spcifier diffrentes stratgies de mot de passe et de verrouillage pour diffrents groupes d'utilisateurs dans votre environnement. Par exemple, vous pouvez configurer la longueur minimale des mots de passe et tablir une stratgie de changement plus frquent des mots de passe pour les membres Administrateurs du domaine que pour les utilisateurs normaux. Il est intressant et important de noter que ces technologies permettent Active Directory de dpasser la simple gestion des identits et des accs, et de contribuer sensiblement une gestion plus large de votre rseau d'entreprise.
Les modules 6, 7, 8 et 9 traitent en dtail de la gestion base de stratgies.
1-29
Banque de donnes Active Directory
Points cls
Comme mentionn dans la leon prcdente, les AD DS stockent leurs identits dans l'annuaire : une banque de donnes hberge sur des contrleurs de domaine. L'annuaire est un fichier unique nomm ntds.dit et qui se situe par dfaut dans le dossier %systemroot%\ntds sur un contrleur de domaine. La base de donnes est divise en plusieurs partitions. Celles-ci seront traites en dtail dans les modules suivants. Ces partitions sont : Schma : trait dans une rubrique prcdente. Contexte de changement de nom de domaine : une partition particulirement importante pour l'administration quotidienne car elle contient les donnes sur les objets au sein d'un domaine : les utilisateurs, les groupes et les ordinateurs, par exemple. Lorsque vous apportez des modifications Active Directory l'aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, vous modifiez le contenu du contexte de dnomination de domaine.
1-30
Configuration : contient des informations sur les domaines, les services et la topologie. DNS : si vous utilisez le DNS intgr Active Directory, les zones DNS et les enregistrements de ressources sont stocks dans une partition. Jeu d'attributs partiel : cette partition est utilise par le catalogue global, qui est dcrit dans une rubrique ultrieure de cette leon et dans le module 12.
Active Directory stocke galement des informations dans une structure de dossiers appele SYSVOL. Par dfaut, ce dossier se situe dans le dossier %systemroot% (c:\windows). SYSVOL contient des lments, notamment des scripts d'ouverture de session et des fichiers associs des objets de stratgie de groupe.
Vous en apprendrez plus sur les partitions d'Active Directory et SYSVOL tout au long de ce cours. Le DNS est le sujet du module 10. Le PAS est trait en dtail dans le module 12. Le contenu de SYSVOL est explor dans le module 6 et les objets stocks dans la configuration sont couverts dans le module 12. Les objets dans la partition du domaine sont couverts dans les modules 3 6 et la maintenance de la base de donnes et les tches d'administration sont abordes en dtail dans les modules 9 et 13.
1-31
Contrleurs de domaine
Points cls
Les contrleurs de domaine sont des serveurs qui excutent le rle AD DS. Dans le cadre de ce rle, ils hbergent et rpliquent la base de donnes Active Directory (NTDS.dit) et SYSVOL. Les contrleurs de domaine excutent galement le service Centre de distribution de cls Kerberos, qui se charge de l'authentification et d'autres services Active Directory. tant donn que l'authentification est critique pour l'entreprise, il va sans dire qu'il vaut mieux avoir au moins deux contrleurs de domaine disponibles. Ainsi, en cas d'indisponibilit de l'un, les clients peuvent accder l'autre.
1-32
Outre la disponibilit, vous devez vous assurer que les contrleurs de domaine sont scuriss. En plus de la scurit physique (par exemple, en plaant les contrleurs de domaine dans des centres de donnes scuriss), il existe deux options pour amliorer leur scurit : Sever Core : vous pouvez installer Windows Server 2008 avec l'option d'installation Server Core. Cette option installe une configuration minimale de Windows Server 2008 qui offre une interface utilisateur d'invite de commandes plutt que l'Explorateur. Vous installerez un contrleur de domaine Server Core dans l'atelier pratique du module 11. Contrleurs de domaine en lecture seule (RODC). Les contrleurs de domaine en lecture seule vous permettent d'authentifier des utilisateurs dans des environnements moins scuriss, tels que des succursales, par la mise en cache des informations d'identification uniquement pour leurs utilisateurs. Les mots de passe des autres utilisateurs ne sont pas rpliqus sur le contrleur de domaine en lecture seule. En outre, le contrleur de domaine en lecture seule n'autorise aucune modification d'Active Directory, ce qui rduit la vulnrabilit du domaine AD DS vis--vis des dommages accidentels ou volontaires sur un site moins scuris. Les contrleurs de domaine en lecture seule sont traits en dtail dans le module 9.
Les contrleurs de domaine sont abords tout au long de ce cours, mais les modules 11 et 12 sont consacrs spcifiquement leur administration et placement. Le module 9 traite des contrleurs de domaine en lecture seule.
1-33
Domaine
Points cls
Un ou plusieurs contrleurs de domaine sont ncessaires pour crer un domaine Active Directory. Un domaine est une unit d'administration au sein de laquelle certaines caractristiques et fonctions sont partages. Tout d'abord, tous les contrleurs de domaine rpliquent la partition du domaine de la banque de donnes qui contient, entre autres choses, les donnes sur les identits pour les utilisateurs, les groupes et les ordinateurs du domaine. tant donn que tous les contrleurs de domaine conservent le mme magasin d'identits, ils peuvent tous authentifier une identit quelconque dans un domaine. De plus, un domaine est un champ d'application de stratgies d'administration telles que la complexit du mot de passe et les stratgies de verrouillage de compte. De telles stratgies configures dans un domaine affectent tous les comptes du domaine, mais pas les comptes dans d'autres domaines.
1-34
Des modifications peuvent tre apportes aux objets de la base de donnes Active Directory par n'importe quel contrleur de domaine et seront rpliques sur tous les autres contrleurs de domaine. Par consquent, dans les rseaux o la rplication de toutes les donnes entre les contrleurs de domaine ne peut pas tre prise en charge, il peut s'avrer ncessaire d'implmenter plusieurs domaines afin de grer la rplication des sous-ensembles d'identits.
Vous en apprendrez plus sur les domaines tout au long de ce cours. Le module 14 est consacr aux considrations de conception lies au nombre de domaines avoir dans votre entreprise.
1-35
Rplication
Points cls
Les services de rplication distribuent les donnes de l'annuaire sur le rseau. Cela inclut la fois la banque de donnes elle-mme ainsi que les donnes ncessaires l'implmentation des stratgies et de la configuration, y compris les scripts d'ouverture de session. Comme vous le verrez dans le module 12, la rplication Active Directory est la fois efficace et robuste. Active Directory conserve une partition spare de la banque de donnes nomme Configuration qui contient des informations sur la configuration, la topologie et les services du rseau : le contexte de changement de nom de la configuration.
La rplication Active Directory est traite en dtail dans le module 12. La rplication SYSVOL est prsente dans le module 9.
1-36
Sites
Points cls
En envisageant la topologie du rseau d'une entreprise distribue, vous aborderez certainement la question des sites du rseau. Toutefois, dans Active Directory, les sites ont une signification trs particulire car il y a une classe d'objets spcifique appele site. Un site Active Directory est un objet qui reprsente une partie de l'entreprise dans laquelle la connectivit rseau est bonne. Un site dlimite l'utilisation du service et la rplication. Les contrleurs de domaine dans un site rpliquent les modifications en quelques secondes. Les modifications sont rpliques entre les sites de manire contrle en supposant que les connexions intersites sont lentes, coteuses ou peu fiables par rapport aux connexions au sein d'un site. En outre, les clients prfrent utiliser des services distribus fournis par des serveurs dans leur site, ou le site le plus proche. Par exemple, lorsqu'un utilisateur ouvre une session sur le domaine, le client Windows tente d'abord de s'authentifier auprs d'un contrleur de domaine dans son site. C'est seulement si aucun contrleur de domaine n'est disponible sur le site que le client tentera de s'authentifier auprs d'un contrleur de domaine dans un autre site.
1-37
Le site Active Directory et les objets de sous-rseau sont abords dans le module 12.
1-38
Arborescence
Points cls
L'espace de noms d'un systme de noms de domaine (DNS) des domaines d'une fort cre des arborescences dans la fort. Si un domaine est un sous-domaine d'un autre domaine, les deux domaines sont considrs comme une arborescence. Par exemple, si la fort treyresearch.net contient deux domaines, treyresearch.net et antarctica.treyresearch.net, ces domaines constituent une partie contigu de l'espace de noms DNS. Ils forment donc une arborescence unique. Par contre, si les deux domaines sont treyresearch.net et proseware.com, non contigus dans l'espace de noms DNS, la fort est alors compose de deux arborescences. Les arborescences sont le rsultat direct des noms DNS choisis pour les domaines de la fort.
1-39
La diapositive illustre une fort Active Directory pour Trey Research qui possde une petite activit dans une station locale dans l'Antarctique. tant donn que la liaison entre l'Antarctique et le sige social est onreuse, lente et peu fiable, Antarctica est configur comme un domaine distinct. Le nom DNS de la fort est treyresearch.net. Le domaine Antarctica est un domaine enfant dans l'espace de noms DNS, antarctica.treyresearch.net. Il est donc considr comme un domaine enfant dans l'arborescence du domaine. Le domaine proseware.com qui ne partage pas un espace de noms DNS contigu, est une autre arborescence dans la mme fort.
Les concepts et la conception d'une fort plusieurs domaines sont abords dans le module 14.
1-40
Fort
Points cls
Une fort est un ensemble d'un ou plusieurs domaines Active Directory. Le premier domaine install dans une fort est appel domaine racine de la fort. Une fort contient une dfinition unique de la configuration du rseau et une seule instance du schma de l'annuaire. En d'autres termes, tout contrleur de domaine dans une fort rplique les partitions Schma et Configuration. Une fort est une instance unique de l'annuaire : aucune donne n'est rplique par Active Directory en dehors des limites de la fort. Par consquent, la fort dfinit la fois une rplication et une limite de scurit.
Les concepts et la conception d'une fort plusieurs domaines sont abords dans le module 14.
1-41
Catalogue global
Points cls
Plusieurs composants et technologies vous permettent d'interroger Active Directory et rechercher des objets dans la banque de donnes. Une partition de la banque de donnes appele catalogue global (galement appele jeu d'attributs partiel) contient des informations sur chaque objet dans l'annuaire. C'est un type d'index qui peut tre utilis pour trouver des objets dans l'annuaire. Cela est particulirement important si vous recherchez des objets dans un autre domaine d'une fort. tant donn que les contrleurs de domaine de votre domaine ne contiennent pas d'informations sur les objets dans d'autres domaines, vous devez compter sur le catalogue global qui possde le jeu d'attributs partiel index pour tous les objets des autres domaines.
Le catalogue global est tudi en dtail dans le module 12.
1-42
Niveau fonctionnel
Points cls
Les fonctionnalits disponibles dans un domaine Active Directory ou une fort dpendent de son niveau fonctionnel. Le niveau fonctionnel est un paramtre AD DS qui permet l'activation de fonctionnalits avances l'chelle du domaine ou de la fort AD DS. Il existe trois niveaux fonctionnels de domaine : Windows 2000 natif, Windows Server 2003 et Windows Server 2008 ; et deux niveaux fonctionnels de fort, Windows Server 2003 et Windows Server 2008. mesure que vous augmentez le niveau fonctionnel d'un domaine ou d'une fort, les fonctionnalits offertes par la version de Windows en question sont mises la disposition des AD DS. Par exemple, lorsque le niveau fonctionnel du domaine est lev vers Windows Server 2008, un nouvel attribut devient disponible pour rvler la dernire fois qu'un utilisateur a correctement ouvert une session sur un ordinateur, l'ordinateur sur lequel il a ouvert sa dernire session et le nombre de tentatives choues depuis la dernire ouverture de session. Le plus important savoir au sujet des niveaux fonctionnels est qu'ils dterminent les versions de Windows autorises sur les contrleurs de domaine. Avant d'lever le niveau fonctionnel du domaine vers Windows Server 2008, tous les contrleurs de domaine doivent excuter Windows Server 2008.
1-43
Les niveaux fonctionnels sont traits en dtail dans le module 14.
1-44
Partitions d'applications et DNS
Points cls
Active Directory et DNS ont une relation trs troite. Tout d'abord, il y a une relation un--un entre un nom DNS et un domaine Active Directory. Ensuite, ils se reposent entirement sur le DNS pour trouver les ordinateurs et les services dans le domaine. Enfin, il est trs courant de configurer les contrleurs de domaine pour servir galement de serveurs DNS. Dans ce cas, vous avez la possibilit de stocker des donnes DNS, appeles zone, dans Active Directory mme. La banque de donnes Active Directory peut galement tre utilise pour prendre en charge les applications et les services qui ne sont pas directement lis aux AD DS. Au sein de la base de donnes, des partitions d'applications peuvent stocker des donnes pour prendre en charge des applications qui ncessitent des donnes rpliques. Le service de systme de noms de domaine (DNS) sur un serveur Windows Server 2008 peut stocker ses informations dans une base de donnes appele zone Active Directory intgre qui est gre comme une partition d'applications dans les AD DS et rplique l'aide des services de rplication d'Active Directory.
Le DNS est abord dans le module 10.
1-45
Relations d'approbation
Points cls
Au dbut de ce module, vous avez tudi la configuration groupe de travail de Windows Server par dfaut et autonome. Vous avez ensuite appris que lorsqu'un ordinateur rejoint un domaine, l'Autorit de scurit locale du systme commence approuver le magasin d'identits et les services d'authentification fournis par le domaine. Ceci permet un compte d'utilisateur stock dans le domaine d'tre authentifi et d'accder aux ressources sur le serveur. Le mme concept peut tre tendu d'autres domaines. Un domaine peut authentifier des utilisateurs d'un autre domaine et leur permettre d'accder ses ressources. Cela est rendu possible en tablissant une relation d'approbation entre les domaines.
1-46
Dans une relation d'approbation, le domaine d'approbation tend son domaine d'approbation pour approuver le magasin d'identits et les services d'authentification du domaine approuv. Les comptes d'utilisateurs dans le domaine d'approbation peuvent tre mieux authentifis, et les identificateurs de scurit des comptes d'utilisateurs dans le domaine approuv peuvent tre ajouts la listes de contrle d'accs du domaine d'approbation. Dans une fort, chaque domaine approuve tous les autres domaines. Vous devez tablir manuellement les relations d'approbation entre les domaines prsents dans les diffrentes forts.
Les relations d'approbation sont abordes dans le module 14.
1-47
Leon 3
Installer les services de domaine Active Directory
Cette leon explique comment installer les services de domaine Active Directory et comment configurer un contrleur de domaine.
Objectifs
Cette leon va vous permettre d'atteindre les objectifs suivants : comprendre les exigences d'installation d'un contrleur de domaine pour crer une nouvelle fort ; configurer un contrleur de domaine avec le rle AD DS, l'aide de l'interface Windows.
1-48
Installation de Windows Server 2008
Points cls
L'installation de Windows Server 2008 est un processus simple : 1. 2. Insrez le DVD d'installation de Windows Server 2008. Mettez le systme sous tension. Si le disque dur du systme est vide, l'ordinateur dmarre partir du DVD. Si des informations sont prsentes sur le disque, vous serez peut-tre invit appuyer sur une touche pour dmarrer partir du DVD. Si le systme ne dmarre pas partir du DVD ou n'affiche pas un menu de dmarrage, ouvrez les paramtres du BIOS de l'ordinateur et configurez l'ordre de dmarrage de sorte que le systme dmarre partir du DVD.
1-49
L'Assistant Installation de Windows s'affiche, comme illustr dans la capture d'cran suivante :
3.
Slectionnez la langue, les paramtres rgionaux et la disposition du clavier adapte votre systme, puis cliquez sur Suivant.
1-50
4.
Cliquez sur Installer maintenant. Une liste des versions installer vous est prsente, comme illustr dans la capture d'cran suivante. Si vous utilisez un ordinateur x64, les versions x64 vous seront prsentes au lieu des versions x86.
5. 6. 7. 8.
Slectionnez le systme d'exploitation appropri, puis cliquez sur Suivant. Cliquez sur J'accepte les termes du contrat de licence, puis choisissez Suivant. Cliquez sur Personnalis (avanc). Dans la page O souhaitez-vous installer Windows ?, slectionnez le disque sur lequel installer Windows Server 2008. Si vous devez crer, supprimer, tendre ou formater des partitions, ou si vous devez charger un pilote de stockage de masse personnalis afin d'accder au sous-systme du disque, cliquez sur Options avances.
1-51
9.
Cliquez sur Suivant. La bote de dialogue Installation de Windows s'affiche, comme illustr dans la capture d'cran suivante. La fentre vous informe de la progression de l'installation de Windows.
L'installation de Windows Server 2008, l'instar de Windows Vista, est base sur une image. Par consquent, l'installation est considrablement plus rapide que dans les versions prcdentes de Windows, mme si les systmes d'exploitation sont beaucoup plus volumineux qu'auparavant. L'ordinateur redmarre une ou plusieurs fois pendant l'installation. Une fois l'installation termine, un message vous indique que le mot de passe doit tre modifi avant d'ouvrir une session pour la premire fois. 10. Cliquez sur OK.
1-52
11. Saisissez un mot de passe pour le compte d'administrateur dans les zones Nouveau mot de passe et Confirmer le mot de passe, puis appuyez sur ENTRE. Le mot de passe doit comporter au moins sept caractres dont au moins trois des quatre types de caractres : Majuscule : de A Z Minuscule : de a z Chane numrique : de 0 9 Chane non alphanumrique : des symboles tels que $, #, @ et !
12. Cliquez sur OK. Si vous avez slectionn Installation complte, le Bureau du compte Administrateur s'affiche. Si vous avez install Server Core, une invite de commandes s'affiche.
1-53
Gestionnaire de serveur et configuration base sur les rles de Windows Server 2008
Points cls
Afin de rduire les frais de gestion et attnuer l'exposition aux failles de scurit, le programme d'installation de Windows Server 2008 installe uniquement les composants de base du systme d'exploitation. Toutefois, contrairement aux prcdentes versions de Windows, il en rsulte une installation minimale plutt qu'un serveur tout-en-un. Par consquent, aprs avoir install le systme d'exploitation, vous devez ajouter les composants requis par le serveur en fonction du rle qu'il tiendra dans votre entreprise. Windows Server 2008 est configur en ajoutant des rles et des fonctionnalits. La console Gestionnaire de serveur permet d'ajouter et supprimer des rles. Elle expose galement les composants logiciels enfichables d'administration les plus courants selon le rle du serveur.
1-54
Prparation de la cration d'une nouvelle fort avec Windows Server 2008
Points cls
Avant d'installer le rle AD DS sur un serveur et promouvoir son action en contrleur de domaine, vous devez planifier votre infrastructure Active Directory. Les informations rassembler pour crer un contrleur de domaine sont les suivantes : Le nom du domaine et le nom DNS. Un domaine doit avoir un nom DNS unique, par exemple contoso.com, ainsi qu'un nom court, par exemple CONTOSO, qui est le nom NetBIOS. NetBIOS est un protocole rseau qui est utilis depuis les premires versions de Windows NT et qui est toujours utilis par certaines applications hrites. Savoir si le domaine devra prendre en charge des contrleurs de domaine excutant des versions prcdentes de Windows. Lors de la cration d'une nouvelle fort Active Directory, vous configurez le niveau fonctionnel. Si le domaine inclut uniquement des contrleurs de domaine de Windows Server 2008, vous pouvez dfinir le niveau fonctionnel en consquence pour bnficier des fonctionnalits amliores offertes par cette version de Windows.
1-55
Des dtails sur la manire dont le DNS sera implment pour prendre en charge Active Directory. Il est recommand d'implmenter le DNS pour vos zones de domaine Windows l'aide du service DNS de Windows, comme vous le verrez dans le module 9, mais il est aussi possible de prendre en charge un domaine Windows sur un service DNS tiers. Configuration IP du contrleur de domaine. Les contrleurs de domaine ncessitent des adresses IP statiques et des valeurs de masque de sous-rseau. De plus, le contrleur de domaine doit tre configur selon une adresse de serveur DNS avec laquelle effectuer la rsolution de noms. Si vous crez une nouvelle fort et que vous excutez le service DNS de Windows sur le contrleur de domaine, vous pouvez configurer l'adresse DNS pour pointer vers l'adresse IP du serveur. Une fois le service DNS install, le serveur peut se tourner vers lui-mme pour rsoudre les noms DNS. Le nom d'utilisateur et le mot de passe d'un compte dans le groupe Administrateurs du serveur. Le compte doit avoir un mot de passe et ce dernier ne peut pas tre vide. L'emplacement dans lequel la banque de donnes (dont ntds.dit) et le volume systme (SYSVOL) doivent tre installs. Par dfaut, ces banques sont cres dans %systemroot%, par exemple c:\windows, dans les dossiers NTDS et SYSVOL, respectivement. Lors de la cration d'un contrleur de domaine, vous pouvez rediriger ces banques vers d'autres lecteurs.
Lectures complmentaires Cette liste comprend les paramtres que vous serez invit configurer lors de la cration d'un contrleur de domaine. Il y a un certain nombre d'lments supplmentaires prendre en compte pour le dploiement des AD DS dans un environnement d'entreprise. Pour plus d'informations, voir la Bibliothque technique Windows Server 2008 (en anglais) l'adresse http://go.microsoft.com/fwlink/?LinkId=168483.
1-56
Installation et configuration d'un contrleur de domaine
Points cls
Pour installer et configurer un contrleur de domaine Windows Server 2008, vous devez d'abord installer le rle AD DS l'aide du Gestionnaire de serveur. Ce faisant, vous ajoutez les fichiers et les composants Registre ncessaires pour que le serveur devienne plus tard un contrleur de domaine. Toutefois, l'ajout du rle ne suffit pas rellement configurer et activer le serveur comme un contrleur de domaine. Cette tape s'effectue en excutant l'Assistant Installation des services de domaine Active Directory. Cet Assistant, galement appel DCPromo du fait que l'Assistant peut tre lanc l'aide de la commande dcpromo.exe, vous guide travers les tapes du processus de slection de la configuration du dploiement, en ajoutant des fonctions de contrleur de domaine supplmentaires telles que le rle DNS, en spcifiant l'emplacement des fichiers Active Directory et en configurant le Mot de passe administrateur de restauration des services d'annuaire. Ce mot de passe est utilis lors de la restauration d'Active Directory partir d'une sauvegarde, comme vous le verrez dans le module 13.
1-57
Atelier pratique : Installation d'un contrleur de domaine de services de domaine Active Directory pour crer une fort de domaine unique
Scnario
Vous avez t embauch afin d'amliorer la gestion des identits et des accs chez Contoso, Ltd. La socit dispose actuellement d'un serveur dans une configuration de groupe de travail. Les employs se connectent au serveur partir de leurs ordinateurs clients personnels. En prvision d'une croissance court terme, vous avez t charg d'amliorer la facilit de gestion et la scurit des ressources de l'entreprise. Vous dcidez d'implmenter une fort et un domaine AD DS en affectant au serveur le rle de contrleur de domaine. Vous venez d'achever l'installation de Windows Server 2008 partir du DVD d'installation.
1-58
Exercice 1 : Excution des tches de configuration aprs l'installation

Dans cet exercice, vous allez prparer le serveur en effectuant des tches de configuration post-installation. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. Prparer l'atelier pratique. Configurer la rsolution d'affichage. Configurer le fuseau horaire. Changer la configuration IP. Renommer le serveur HQDC01. Redmarrer le serveur.
Tche 1 : Prparation de l'atelier pratique

Dmarrez 6238B-HQDC01-D. Ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd (o 0 est un zro).
Tche 2 : Configuration de la rsolution d'affichage

Configurez la rsolution d'affichage sur 1024 par 768.
Tche 3 : Configuration du fuseau horaire

l'aide de la fentre des tches de configuration initiales, modifiez le fuseau horaire selon votre rgion.
1-59
Tche 4 : Modification de la configuration IP

l'aide de la fentre des tches de configuration initiales, modifiez la configuration IP (IPv4) de la manire suivante : Adresse IP : 10.0.0.11 Masque de sous-rseau : 255.255.255.0 Passerelle par dfaut : 10.0.0.1 Serveur DNS favori : 10.0.0.11
Tche 5 : Changement du nom du serveur HQDC01

l'aide de la fentre des tches de configuration initiales, remplacez le nom du serveur par HQDC01. Ne redmarrez pas le serveur.
Tche 6 : Redmarrage du serveur

1. Dans la fentre des tches de configuration initiales, notez la prsence des liens Ajouter des rles et Ajouter des fonctionnalits. Dans l'exercice suivant, vous utiliserez le Gestionnaire de serveur pour ajouter des rles et des fonctionnalits HQDC01. Ces liens sont un autre moyen d'effectuer les mmes tches. Par dfaut, la fentre des tches de configuration initiales apparat chaque fois que vous ouvrez une session le serveur. 2. Activez la case cocher Ne pas afficher cette fentre l'ouverture de session pour empcher l'affichage de la fentre. Si vous avez besoin d'ouvrir la fentre des tches de configuration initiales l'avenir, il vous suffit d'excuter la commande oobe.exe. 3. Cliquez sur le bouton Fermer dans la partie infrieure de la fentre. Le Gestionnaire de serveur s'affiche. Celui-ci permet de configurer et d'administrer les rles et les fonctionnalits d'un serveur excutant Windows Server 2008. Vous l'utiliserez dans l'exercice suivant. Au bas de la fentre du Gestionnaire de serveur, un message d'tat indique Impossible d'actualiser la console tant que l'ordinateur n'a pas redmarr.
1-60
4.
Cliquez sur le lien Redmarrer en regard du message d'tat. Un message vous demande Voulez-vous redmarrer maintenant ?
5.
Cliquez sur Oui. L'ordinateur redmarre.

Rsultats : la fin de cet exercice, vous obtiendrez un serveur nomm HQDC01 dans le fuseau horaire correct, avec une rsolution d'affichage d'au moins 1 024 x 768 pixels et la configuration IP spcifie dans la tche 4.
1-61
Exercice 2 : Installation d'une nouvelle fort Windows Server 2008 l'aide de l'interface Windows
Maintenant que vous avez prpar le serveur avec un nom et une configuration IP appropris, vous tes prt configurer HQDC01 en contrleur de domaine. Dans cet exercice, vous allez ajouter le rle AD DS et crer la fort et le domaine par la promotion de HQDC01 de sorte qu'il soit le premier contrleur de domaine dans la fort contoso.com. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Ajoutez le rle Services de domaine Active Directory HQDC01. Configurez une nouvelle fort Windows Server 2008 nomme contoso.com avec HQDC01 comme premier contrleur de domaine. Examinez la configuration par dfaut du domaine et de la fort contoso.com. Arrtez l'ordinateur virtuel.
Tche 1 : Ajout du rle Services de domaine Active Directory

HQDC01
1. 2. Ouvrez une session sur HQDC01 en tant qu'Administrateur avec le mot de passe Pa$$w0rd. Utilisez le Gestionnaire de serveur pour ajouter le rle Services de domaine Active Directory. Acceptez toutes les valeurs par dfaut.
Tche 2 : Configuration d'une nouvelle fort Windows Server 2008

nomme contoso.com avec HQDC01 comme premier contrleur de domaine.
1. 2. Dans le Gestionnaire de serveur, dveloppez le nud Rles dans l'arborescence, puis slectionnez Services de domaine Active Directory. Cliquez sur le lien Excutez l'Assistant Installation des services de domaine Active Directory (dcpromo.exe). L'Assistant Installation des services de domaine Active Directory s'affiche. 3. Cliquez sur Suivant.
1-62
4.
Dans la page Compatibilit du systme d'exploitation, lisez l'avertissement sur les paramtres de scurit par dfaut pour les contrleurs de domaine Windows Server 2008, puis cliquez sur Suivant. Dans la page Choisissez une configuration de dploiement, slectionnez Crer un domaine dans une nouvelle fort, puis choisissez Suivant. Dans la page Nommez le domaine racine de la fort, tapez contoso.com, puis cliquez sur Suivant. Le systme effectue une vrification pour s'assurer que les noms DNS et NetBIOS ne sont pas dj utiliss sur le rseau.
5. 6.
7.
Dans la page Dfinir le niveau fonctionnel de la fort, slectionnez Windows Server 2008, puis cliquez sur Suivant. La page Options supplmentaires pour le contrleur de domaine s'affiche. Chacun des niveaux fonctionnels est dcrit dans la zone Dtails de la page. Le choix du niveau fonctionnel de la fort Windows Server 2008 garantit que tous les domaines de la fort fonctionnent au niveau fonctionnel du domaine Windows Server 2008, ce qui permet d'activer plusieurs nouvelles fonctionnalits offertes par Windows Server 2008. Dans un environnement de production, il faudrait choisir le niveau fonctionnel de la fort Windows Server 2008 lors de la cration d'une nouvelle fort dans le cas o les fonctionnalits offertes par le niveau fonctionnel du domaine de Windows Server 2008 seraient ncessaires, et si aucun contrleur de domaine excutant un systme d'exploitation antrieur Windows Server 2008 ne sera ajout. Serveur DNS est slectionn par dfaut. L'Assistant Installation des services de domaine Active Directory cre une infrastructure DNS au cours de l'installation des AD DS. Le premier contrleur de domaine dans une fort doit tre un serveur de catalogue global et ne peut pas tre un contrleur de domaine en lecture seule.
8.
Cliquez sur Suivant. L'avertissement Attribution IP statique s'affiche. tant donn que le sujet d'IPv6 dpasse le cadre de ce kit de formation, vous n'avez pas affect une adresse IPv6 statique au serveur au cours de l'exercice 2. Vous avez affect une adresse IPv4 statique dans l'exercice 1 et les autres ateliers pratiques de ce cours utiliseront IPv4. Vous pouvez donc ignorer cette erreur dans le cadre de l'exercice.
1-63
9.
Cliquez sur Oui, l'ordinateur utilisera une adresse IP attribue dynamiquement (non recommand). Un avertissement s'affiche pour vous informer qu'il n'est pas possible de crer une dlgation pour le serveur DNS. Vous pouvez ignorer cette erreur dans le cadre de cet exercice. Les dlgations de domaines DNS seront abordes ultrieurement dans ce cours.
10. Cliquez sur Oui pour fermer le message d'avertissement de l'Assistant Installation de services de domaine Active Directory. 11. Dans la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, acceptez les emplacements par dfaut pour le fichier de base de donnes, les fichiers journaux du service d'annuaire et les fichiers SYSVOL, puis cliquez sur Suivant. Dans un environnement de production, il est conseill de stocker ces fichiers sur trois volumes distincts qui ne contiennent pas d'applications ni d'autres fichiers non lis aux AD DS. Ceci amliore les performances et augmente l'efficacit de la sauvegarde et de la restauration. 12. Dans la page Mot de passe administrateur de restauration des services d'annuaire, tapez Pa$$w0rd dans les zones Mot de passe et Confirmer le mot de passe. Cliquez sur Suivant. Dans un environnement de production, vous devrez utiliser un mot de passe trs fort pour l'administrateur de restauration des services d'annuaire. Ne perdez pas le mot de passe que vous affectez l'administrateur de restauration des services d'annuaire. 13. Dans la page Rsum, vrifiez vos slections. Si l'un des paramtres est incorrect, cliquez sur Prcdent pour le modifier. 14. Cliquez sur Suivant. La configuration des AD DS commence. Aprs quelques minutes de configuration, la page Fin de l'Assistant Installation des services de domaine de Active Directory s'affiche. 15. Cliquez sur Terminer. 16. Cliquez sur Redmarrer maintenant. L'ordinateur redmarre. 17. Poursuivez avec la tche 3 (facultative) ou passez la tche 4.
1-64
Tche 3 : Analyse de la configuration par dfaut du domaine et de la

fort contoso.com (FACULTATIF)
1. Ouvrez une session sur HQDC01 en tant qu'Administrateur avec le mot de passe Pa$$w0rd. Le Bureau Windows apparat et, aprs quelques instants, le Gestionnaire de serveur s'ouvre. 2. 3. 4. Dans l'arborescence, dveloppez les nuds Rles et Services de domaine Active Directory. Dveloppez Utilisateurs et ordinateurs Active Directory et le nud du domaine contoso.com. Slectionnez le conteneur Users dans l'arborescence. Les utilisateurs et les groupes que vous voyez sont la disposition de tous les ordinateurs du domaine. Par exemple, le compte Administrateur du domaine peut par dfaut tre utilis pour ouvrir une session sur tout ordinateur du domaine et le groupe Utilisateurs du domaine est un membre du groupe local Utilisateurs sur chaque ordinateur du domaine. 5. Slectionnez le conteneur Builtin dans l'arborescence. Les groupes que vous voyez sont partags par les contrleurs de domaine et leur disposition, mais pas celle des serveurs membres ou des postes de travail. Par exemple, les membres du groupe Oprateurs de sauvegarde peuvent effectuer des tches de sauvegarde et de restauration sur les contrleurs de domaine uniquement, et le groupe Administrateurs dans le conteneur Builtin reprsente les administrateurs de tous les contrleurs de domaine. 6. Slectionnez le conteneur Computers dans l'arborescence. Il est vide. Il s'agit du conteneur par dfaut pour les postes de travail et les serveurs membres. 7. Slectionnez l'unit d'organisation Domain Controllers dans l'arborescence. Il s'agit de l'unit d'organisation dans laquelle les contrleurs de domaine sont placs. L'objet ordinateur pour HQDC01 apparat dans cette unit d'organisation.
1-65
Tche 4 : Arrt de l'ordinateur virtuel

1. 2. Si vous n'tes pas dj connect HQDC01, ouvrez une session sur HQDC01 en tant qu'Administrateur avec le mot de passe Pa$$w0rd. Arrtez HQDC01 et n'enregistrez pas les modifications apportes au cours de ces travaux pratiques.
Rsultats : au terme de cet exercice, vous aurez une fort un domaine nomme contoso.com avec un contrleur de domaine unique nomm HQDC01.
Rcapitulatif
Au terme de cet atelier pratique, vous aurez : effectu des tches post-installation en nommant un serveur HQDC01, en configurant le fuseau horaire correct, avec une rsolution d'affichage d'au moins 1024 x 768 pixels et en dfinissant les informations relatives son adresse IP ; configur une fort un domaine nomme contoso.com avec un contrleur de domaine unique nomm HQDC01.
1-66
Leon 4
Extension d'IDA avec des services Active Directory
Les services de domaine Active Directory ne constituent pas le seul composant IDA pris en charge par Windows Server 2008. Avec Windows Server 2008, Microsoft a regroup un certain nombre de composants auparavant distincts dans une plateforme IDA intgre. Active Directory lui-mme comprend maintenant cinq technologies diffrentes. Chacune d'entre elles jouent un rle dans l'extension d'Active Directory pour prendre en charge des applications, des identits et la protection des informations.
Objectifs
Cette leon va vous permettre d'atteindre les objectifs suivants : identifier les rles et les relations entre AD DS, AD LDS, AD RMS, AD FS et AD CS.
1-67
Services AD LDS (Active Directory Lightweight Directory Services)
Points cls
Active Directory Lightweight Directory Services (AD LDS) est essentiellement une version autonome d'Active Directory accessible par les applications l'aide de LDAP (Lightweight Directory Access Protocol). Les AD LDS remplacent Active Directory en mode application (ADAM). Le nom de la version prcdente de l'outil indique sa finalit : AD LDS sont destins offrir une prise en charge des applications utilisant un annuaire. Ils peuvent tre utiliss pour des applications qui requirent un magasin d'annuaires, mais qui ne ncessitent pas le type d'infrastructure fourni par un domaine Active Directory. Chaque instance des AD LDS peut avoir ses propres schma, configuration et partitions d'applications. Cela permet de crer un magasin d'annuaires trs personnalis sans impact sur votre infrastructure IDA de production base sur les AD DS. Les AD LDS ne dpendent pas des AD DS. Cependant, dans un environnement de domaine, les AD LDS sont en mesure d'utiliser l'authentification AD DS des entits de scurit de Windows (utilisateurs, ordinateurs et groupes).
1-68
Les AD LDS peuvent tre configurs dans un environnement de groupe de travail ou autonome. Il est mme possible d'excuter plusieurs instances sur un mme systme, chacune ayant ses propres ports SSL et LDAP uniques. Lorsque vous ajoutez une application utilisant un annuaire votre environnement, en particulier une application qui modifie le schma, vous pouvez envisager d'utiliser les AD LDS comme alternative. tant donn qu'ils constituent un sousensemble des fonctionnalits des AD DS (les AD LDS offrent mme la possibilit de rpliquer), la plupart des applications peuvent travailler avec ces services. Les AD LDS vous permettent aussi d'tendre un annuaire des emplacements o vous ne mettriez pas normalement vos contrleurs de domaine AD DS en vue de prendre en charge des applications se trouvant dans la zone dmilitarise de votre pare-feu, par exemple.
1-69
Services de certificats Active Directory (AD CS)
Points cls
Les services de certificats Active Directory (AD CS) tendent le concept d'approbation afin qu'un utilisateur, un ordinateur, une organisation ou un service puisse prouver son identit l'extrieur ou l'intrieur de la limite de votre fort Active Directory. Les certificats sont dlivrs par une autorit de certification. Lorsqu'un utilisateur, un ordinateur ou un service utilise un certificat pour prouver son identit, le client dans la transaction doit approuver l'autorit de certification mettrice. Une liste d'autorits de certification racine approuves, dont VeriSign et Thawte, par exemple, est tenue jour par Windows et actualise lors de la mise jour de Windows. Repensez votre dernier achat sur un site Intranet. Il s'agissait probablement d'un site utilisant le protocole Secure Sockets Layer (SSL) avec une adresse HTTPS://. Le serveur prouve son identit auprs du client (votre navigateur) en prsentant un certificat dlivr par une autorit de certification approuve par votre navigateur, telle que VeriSign ou Thawte.
1-70
Une infrastructure cl publique (PKI) est base sur une chane de confiance. Une autorit de certification peut crer un certificat pour une autre autorit de certification. La seconde autorit de certification peut alors dlivrer des certificats aux utilisateurs, ordinateurs, organismes ou services qui seront approuvs par tout client qui approuve l'autorit de certification racine, en amont. Les certificats peuvent servir des fins multiples dans un rseau d'entreprise, notamment pour crer des canaux scuriss comme dans l'exemple SSL mentionn plus haut et pour des rseaux privs virtuels (VPN) et la scurit sans fil, ainsi que pour l'authentification, lors d'une ouverture de session par carte puce. Les AD CS vous offrent les technologies et les outils ncessaires pour crer et grer une infrastructure cl publique. Bien que les AD CS puissent tre excuts sur un serveur autonome, il est beaucoup plus frquent et plus puissant de les excuter de manire intgre aux AD DS, qui peuvent agir comme un magasin de certificats et fournir un cadre pour la gestion de la dure de vie des certificats : obtention, renouvellement et rvocation.
1-71
Services AD RMS (Active Directory Rights Management Services)
Points cls
Les services AD RMS (Active Directory Rights Management Services) crent un cadre qui permet de garantir l'intgrit des informations, tant l'intrieur qu' l'extrieur de votre organisation. Dans un modle traditionnel de protection des informations, les listes de contrle d'accs (ACL) sont utilises pour dfinir la manire dont les informations sont accessibles. Par exemple, un utilisateur peut recevoir l'autorisation de lire un document. Toutefois, rien ne peut empcher cet utilisateur d'effectuer un nombre illimit d'actions une fois que ce document a t ouvert. L'utilisateur peut y apporter des modifications et l'enregistrer n'importe quel emplacement, l'imprimer, le transmettre par courrier lectronique un utilisateur qui ne dispose pas de l'autorisation de lecture du document, et ainsi de suite.
1-72
Les AD RMS rglent entre autres ce type de scnarios en appliquant des stratgies d'utilisation des informations. Cela est accompli au moyen de licences et de chiffrement pour protger les informations, et l'aide d'applications de gestion des droits susceptibles d'utiliser les licences, de crer des stratgies d'utilisation, d'ouvrir du contenu protg et d'appliquer des stratgies d'utilisation. Les AD RMS sont parmi les services Active Directory les plus complexes implmenter dans la mesure o ils dpendent des AD DS, ainsi que d'un certain nombre d'autres technologies, notamment IIS, une base de donnes (Microsoft SQL Server en production ou la base de donnes interne de Windows pour les tests), des applications de gestion des droits, et, si l'utilisation et la protection des informations doivent tre tendues au-del des limites de votre fort Active Directory, Active Directory Federation Services (AD FS).
1-73
Services ADFS (Active Directory Federation Services)
Points cls
Les Active Directory Federation Services (AD FS) permettent une organisation d'tendre l'autorit du service d'annuaire pour l'authentification des utilisateurs dans plusieurs organisations, plates-formes et environnements rseau. La relation d'approbation des domaines Windows traditionnelle cre une confiance o le domaine d'approbation permet au domaine approuv d'authentifier des utilisateurs. Toutefois, il en rsulte que tous les utilisateurs du domaine approuv sont approuvs. En outre, afin de maintenir une approbation, plusieurs exceptions de pare-feu doivent tre mises en place. Celles-ci ne seront pas du got de nombreuses organisations, particulirement pour la prise en charge des applications Web.
1-74
Des projets AD FS ont authentifi des identits de votre service d'annuaire AD DS (ou AD LDS) l'aide d'un modle de services Web qui a plusieurs effets trs importants. Interplateformes. Le modle des services Web permet aux applications non Windows d'utiliser l'identit d'un utilisateur dans un annuaire approuv. Connexion Internet. tant donn que les transactions avec AD FS sont effectues via le port 443, de manire scurise et chiffre, il est beaucoup plus facile de prendre en charge des applications utilisant un annuaire hberges dans votre primtre rseau. base de rgles. L'environnement d'approbation a la possibilit de spcifier les identits qui sont approuves.
Les AD FS sont extrmement utiles pour tendre l'autorit d'un annuaire dans des scnarios de partenariat interentreprise, ainsi que pour la prise en charge des applications Web authentification unique.
Administration scurise et efficace d'Active Directory
2-1
Module 2
Table des matires :
Leon 1 : Utilisation des composants logiciels enfichables Active Directory Leon 2 : Consoles personnalises et privilges minimum Atelier pratique A : Cration et excution d'une console d'administration personnalise Leon 3 : Recherche d'objets dans Active Directory Atelier pratique B : Recherche d'objets dans Active Directory Atelier pratique C : Utilisation des commandes DS pour administrer Active Directory 2-4 2-14 2-25 2-36 2-53
Leon 4 : Utilisation des commandes DS pour administrer Active Directory 2-62 2-81
2-2
En rgle gnrale, lorsque les administrateurs utilisent Active Directory pour la premire fois, ils ouvrent Utilisateurs et ordinateurs Active Directory et crent des objets utilisateur, ordinateur ou groupe dans les units d'organisation (UO) d'un domaine. Malheureusement, dans la majorit des cas, ils ne prennent pas le temps d'tendre leurs comptences avec les outils d'administration Active Directory. Que vous soyez un administrateur dbutant ou trs expriment, vous devez travailler en toute scurit et efficacement. C'est la raison pour laquelle ce module aborde galement les secrets d'une administration efficace qui, bien souvent, ne sont dcouverts qu'aprs plusieurs mois ou annes d'exprience.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : installer, rechercher et dcrire les composants logiciels enfichables pour administrer les services de domaine Active Directory (AD DS) ; excuter des tches d'administration de base avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ;
2-3
crer une console MMC pour l'administration ; excuter des tches d'administration en ayant ouvert une session comme utilisateur ; contrler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ; rechercher des objets dans Active Directory ; utiliser des requtes sauvegardes ; identifier le nom unique (DN), le nom unique relatif (RDN) et le nom commun (CN) d'un objet Active Directory ; utiliser les commandes DS pour administrer Active Directory depuis la ligne de commande.
2-4
Leon 1
Utilisation des composants logiciels enfichables Active Directory
Les outils d'administration Active Directory, ou composants logiciels enfichables, fournissent la fonctionnalit dont vous avez besoin pour prendre en charge le service d'annuaire. Dans cette leon, vous allez identifier et rechercher les composants logiciels enfichables Active Directory les plus importants.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : identifier les composants logiciels enfichables dans le Gestionnaire de serveur et les consoles natives utilises pour administrer AD DS ; installer les Outils dadministration de serveur distant (RSAT) ; excuter des tches d'administration de base avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2-5
La console MMC
Points cls
Les outils d'administration Windows partagent une infrastructure appele Microsoft Management Console (MMC). La console MMC affiche des outils d'administration, appels composants logiciels enfichables, dans une fentre personnalisable comportant un volet qui contient l'arborescence de la console (similaire l'arborescence de l'Explorateur Windows) et un volet central o s'affichent des informations. Le volet Actions, sur la droite, contient des commandes appeles actions dans la console MMC. La diapositive ci-dessus montre les principaux composants de la console MMC : Arborescence de la console. Le volet sur la gauche contient l'arborescence de la console. Ce volet s'appelle galement le volet d'tendue. Bouton Afficher/masquer l'arborescence de la console. Ce bouton active ou dsactive l'arborescence de la console. Composants logiciels enfichables. Outils qui fournissent les fonctionnalits d'administration.
2-6
Volet des informations. Ce volet contient des informations sur l'tendue slectionne dans l'arborescence de la console. Volet Actions. Ce volet contient les commandes que vous pouvez excuter sur l'tendue slectionne dans l'arborescence de la console ou sur l'lment ou les lments slectionns dans le volet des informations. Menu Action. Ce menu affiche galement des commandes que vous pouvez excuter sur l'tendue slectionne ou les lments slectionns. Menu contextuel (non reprsent). Ce menu s'affiche lorsque vous cliquez sur un lment avec le bouton droit de la souris dans l'tendue ou le volet des informations ; vous pouvez excuter des actions depuis ce troisime emplacement. Bouton Afficher/Masquer le volet des actions. Ce bouton active ou dsactive le volet des actions.
Question : Quelles consoles d'administration comportant un composant logiciel enfichable avez-vous utilises ? Question : Quelles consoles d'administration comportant plusieurs composants logiciels enfichables avez-vous utilises ?
Microsoft Management Console 3.0 : http://go.microsoft.com/fwlink/?LinkId=168714
2-7
Composants logiciels enfichables Active Directory
Points cls
La majorit des tches d'administration Active Directory s'effectuent avec les composants logiciels enfichables et les consoles suivants : Utilisateurs et ordinateurs Active Directory. Ce composant logiciel enfichable gre les ressources les plus communment utilises tous les jours, savoir les utilisateurs, les groupes, les ordinateurs, les imprimantes et les dossiers partags. Il s'agit probablement du composant logiciel enfichable le plus utilis par un administrateur Active Directory. Sites et services Active Directory. Cet outil gre la rplication, la topologie du rseau et les services associs. Domaines et approbations Active Directory. Cet outil configure et gre les relations d'approbation et le niveau fonctionnel du domaine et de la fort. Schma Active Directory. Ce schma examine et modifie la dfinition des attributs et des classes d'objets Active Directory. Il s'agit du "plan" d'Active Directory. Vous l'affichez rarement et le modifiez encore moins souvent. C'est la raison pour laquelle ce composant logiciel enfichable Active Directory n'est pas install par dfaut.
2-8
Services de domaine Active Directory : http://go.microsoft.com/fwlink/?LinkId=168715 Gestion d'Active Directory depuis la console MMC : http://go.microsoft.com/fwlink/?LinkId=168716 Installation du composant logiciel enfichable Schma Active Directory : http://go.microsoft.com/fwlink/?LinkId=168717
2-9
Recherche des composants logiciels enfichables Active Directory
Points cls
Les composants logiciels enfichables et les consoles Active Directory sont installs lorsque vous ajoutez le rle AD DS un serveur. Deux outils d'administration Active Directory communment utiliss sont ajouts au Gestionnaire de serveur lorsque vous installez le rle AD DS : il s'agit des composant affichables Utilisateurs et ordinateurs et Sites et services Active Directory. Pour pouvoir administrer Active Directory depuis un systme qui n'est pas un contrleur de domaine, vous devez installer les Outils d'administration de serveur distant (RSAT). RSAT est une fonction que vous pouvez installer depuis le nud Fonctionnalits du Gestionnaire de serveur sous Windows Server 2008. Vous pouvez galement installer RSAT sur les clients Windows utilisant Windows Vista Service Pack 1 (ou une version ultrieure) et Windows 7. Tlchargez simplement les fichiers d'installation RSAT depuis le site Web www.microsoft.com/downloads. L'Assistant d'installation vous aide effectuer l'installation. Aprs avoir install RSAT, vous devez activer les outils que vous voulez afficher. Pour ce faire, utilisez la commande Activer ou dsactiver des fonctionnalits Windows dans l'application Programmes et fonctionnalit du Panneau de configuration.
2-10
Aprs avoir install et activ toutes les consoles d'administration Active Directory, elles se trouvent dans le dossier Outils d'administration du Panneau de configuration. Ce dossier s'affiche dans la vue classique du Panneau de configuration. Dans la vue Page daccueil du Panneau de configuration, les outils d'administration se trouvent dans Systme et maintenance.
Packs des outils dadministration de serveur distant : http://go.microsoft.com/fwlink/?LinkId=168718
2-11
Dmonstration : Administration de base avec Utilisateurs et ordinateurs Active Directory
Points cls
Affichage des objets Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory affiche les objets qui se trouvent dans le conteneur (domaine, unit d'organisation ou conteneur) slectionn dans l'arborescence de la console. Actualisation de la vue La vue n'est pas actualise automatiquement. Pour afficher les dernires modifications apportes la vue des objets, slectionnez le conteneur dans l'arborescence de la console, puis cliquez sur le bouton Actualiser dans la barre d'outils du composant logiciel ou appuyez sur F5. Vous devez slectionner le conteneur dans l'arborescence de la console avant de cliquer sur Actualiser (ou d'appuyer sur F5). Cliquer dans une zone vide du volet d'informations ne suffit pas. C'est une anomalie du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2-12
Cration d'objets Pour crer des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit de la souris sur le domaine, un conteneur (tel que Utilisateurs et ordinateurs) ou une unit d'organisation. Pointez ensuite sur Nouveau, puis cliquez sur le type d'objet crer. Lorsque vous crez un objet, un message vous demande de dfinir quelques-unes des proprits les plus basiques de l'objet, notamment les proprits ncessaires pour ce type d'objet. Dfinition des attributs des objets Aprs avoir cr un objet, vous pouvez accder ses proprits. Cliquez avec le bouton droit sur lobjet, puis cliquez sur Proprits. La bote de dialogue Proprits qui s'affiche contient la plupart des proprits courantes de l'objet. Les proprits sont regroupes dans des onglets pour faciliter leur recherche. Vous pouvez dfinir un nombre illimit de proprits dans autant d'onglets que vous le souhaitez. Cliquez une fois sur Appliquer ou OK pour enregistrer toutes les modifications. Si vous cliquez sur OK, vous fermez la bote de dialogue Proprits, alors que si vous cliquez sur Appliquer, vous enregistrez les modifications et maintenez la bote de dialogue ouverte pour pouvoir effectuer d'autres modifications. Affichage de tous les attributs des objets Un objet utilisateur a beaucoup plus de proprits que n'en montre sa bote de dialogue Proprits. Certaines proprits, dites masques, peuvent tre trs utiles votre entreprise. Pour afficher les attributs utilisateur masqus, vous devez activer l'diteur d'attribut, une nouvelle fonction de Windows Server 2008. Pour activer l'diteur d'attribut dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : Cliquez sur le menu Afficher, puis slectionnez l'option Fonctionnalits avances.
2-13
Pour ouvrir l'diteur d'attribut pour un objet Active Directory donn : 1. 2. Cliquez avec le bouton droit sur l'objet, puis cliquez sur Proprits. Cliquez sur l'onglet diteur d'attributs. L'onglet diteur d'attributs de la bote de dialogue Proprits s'affiche :
Comme le montre la capture d'cran ci-dessus, certains attributs d'un objet utilisateur peuvent s'avrer trs utiles, notamment : division employeeID, employeeNumber et employeeType. Bien que ces attributs n'apparaissent pas dans les onglets standard d'un objet utilisateur, ils sont dsormais disponibles via l'diteur d'attributs. Pour modifier la valeur d'un attribut, double-cliquez sur la valeur. Vous pouvez galement accder aux attributs l'aide d'un programme avec Windows PowerShell, Windows Visual Basic Scripting Edition ou Microsoft .NET Framework.
2-14
Leon 2
Consoles personnalises et privilges minimum
Dans cette leon, vous n'allez pas vous limiter au dossier Outils d'administration pour travailler avec plus de scurit et plus efficacement. Vous allez apprendre crer des consoles d'administration personnalises et travailler dans un environnement avec des privilges minimum dans lequel vous ouvrez une session en tant qu'utilisateur non-administrateur, mais o vous excutez des tches d'administrateur.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : crer une console MMC pour l'administration ; excuter des tches d'administration en ayant ouvert une session comme utilisateur ;
2-15
Dmonstration : Cration d'une console MMC personnalise pour administrer Active Directory
Points cls
Il est plus ais d'administrer Windows lorsque les outils ncessaires se trouvent dans un mme emplacement et qu'ils peuvent tre personnaliss en fonction de vos besoins. Pour ce faire, vous crez une console d'administration MMC personnalise qui contient les composants logiciels enfichables dont vous avez besoin pour excuter les tches d'administration. Lorsque vous crez une console MMC personnalise, vous pouvez : ajouter des composants logiciels enfichable afin de ne pas avoir changer de console pour excuter les tches et pouvoir lancer une seule console pour excuter les tches d'administration ; enregistrer la console pour pouvoir l'utiliser rgulirement ; distribuer la console d'autres administrateurs ; enregistrer la console, et d'autres consoles, dans un emplacement partag pour une administration personnalise unifie.
2-16
Pour crer une console MMC personnalise : 1. 2. Cliquez sur Dmarrer. Dans la zone Rechercher, tapez mmc.exe et appuyez sur ENTRE. Cliquez sur le menu Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable
La bote de dialogue Ajouter/Supprimer un composant logiciel enfichable permet d'ajouter, de supprimer, de rorganiser et de grer les composants logiciels enfichables de la console. Aprs avoir install RSAT, les quatre composants logiciels enfichables Active Directory sont installs. Toutefois, le composant logiciel enfichable Schma Active Directory n'apparat pas dans la bote de dialogue Ajouter/Supprimer un composant logiciel enfichable tant que vous n'avez pas enregistr le composant. Pour enregistrer le composant Schma Active Directory : 1. 2. Ouvrez une invite de commandes en cliquant sur Dmarrer, en tapant cmd.exe et en appuyant sur ENTRE. Tapez regsvr32.exe schmmgmt.dll et appuyez sur ENTRE.
Question : Avez-vous cr une console MMC personnalise ? Question : Quels composants logiciels enfichables avez-vous trouvs utiles ? Question : Pourquoi avez-vous cr votre propre console ?
Ajout, suppression et organisation des composants logiciels enfichables et des extensions dans MMC 3.0 : http://go.microsoft.com/fwlink/?LinkId=168724
2-17
Administration scurise avec des privilges minimum, Excuter en tant qu'administrateur et Contrle de compte d'utilisateur
Points cls
En rgle gnrale, les administrateurs ouvrent une session sur leur ordinateur en utilisant leur compte d'administration. Cette pratique est dangereuse, car un compte d'administration a plus de privilges et un accs plus tendu au rseau qu'un compte d'utilisateur standard. Par consquent, un programme malveillant lanc avec des informations d'identification d'administrateur peut provoquer des dommages importants. Pour viter ce problme, n'ouvrez pas une session en tant qu'administrateur. Ouvrez une session comme utilisateur standard et utilisez la fonction Excuter en tant qu'administrateur pour lancer les outils d'administration dans le contexte de scurit d'un compte d'administration.
2-18
1.
Cliquez avec le bouton droit de la souris sur le raccourci d'un fichier excutable, d'une applet du Panneau de configuration ou de la console MMC lancer, puis cliquez sur Excuter en tant qu'administrateur. Si vous ne voyez pas la commande, maintenez la touche MAJ enfonce et cliquez avec le bouton droit de la souris. La bote de dialogue Contrle de compte d'utilisateur s'affiche pour vous demander les informations d'identification d'administrateur.
2. 3. 4.
Cliquez sur Utiliser un autre compte. Entrez le nom d'utilisateur et le mot de passe de votre compte d'administrateur. Cliquez sur OK.
Conseil : si vous allez excuter une application rgulirement en tant qu'administrateur, crez un raccourci qui prconfigure Excuter en tant qu'administrateur. Crez un raccourci et ouvrez la bote de dialogue Proprits du raccourci. Cliquez sur le bouton Avanc et slectionnez Excuter en tant qu'administrateur. Lorsque vous lancez le raccourci, la bote de dialogue Contrle de compte d'utilisateur s'affiche.
Excuter en tant que : http://go.microsoft.com/fwlink/?LinkId=168725
2-19
Dmonstration : Administration scurise avec Contrle de compte d'utilisateur et Excuter en tant qu'administrateur
Points cls
Lorsque vous lancez un processus en tant qu'administrateur, le compte d'administration peut ne pas avoir accs aux mmes emplacements que votre compte d'utilisateur. Par consquent, il est recommand d'enregistrer les consoles personnalises dans un emplacement accessible aux deux comptes. Pour excuter des actions en tant qu'administrateur : 1. Cliquez avec le bouton droit de la souris sur le raccourci d'un fichier excutable, d'une applet du Panneau de configuration ou de la console MMC lancer, puis cliquez sur Excuter en tant qu'administrateur. Si vous ne voyez pas la commande, maintenez la touche MAJ enfonce et cliquez avec le bouton droit de la souris. La bote de dialogue Contrle de compte d'utilisateur s'affiche pour vous demander les informations d'identification d'administrateur. 2. Cliquez sur Utiliser un autre compte.
2-20
3. 4.
Entrez le nom d'utilisateur et le mot de passe de votre compte d'administrateur. Cliquez sur OK.
Excuter en tant que : http://go.microsoft.com/fwlink/?LinkId=168725
2-21
Dmonstration : Super consoles
Points cls
Vous pouvez tendre votre console MMC d'administration personnalise pour excuter des tches d'administration en utilisant des informations d'identification leves, qui sont difficiles, voire impossibles excuter autrement. Scnario 1 : Vous devez prendre en charge un dossier partag pour affecter des autorisations, etc. Votre compte d'administration (secondaire) dispose d'un large ventail d'autorisations sur le dossier partag, contrairement votre compte standard (ouverture de session interactive). Vous pouvez associer un lecteur rseau en utilisant des informations d'identification secondaires, mais Windows vous en empche si vous vous tes connect au mme serveur en utilisant vos informations d'identification standard. L'Explorateur Windows ne prend pas en charge plusieurs connexions un mme serveur avec diffrentes informations d'identification. Toutefois, dans la console MMC, le contrle ActiveX prsent par le composant logiciel enfichable Lien vers une adresse Web se connecte en utilisant les informations d'identification de la console elle-mme.
2-22
Pour crer une vue de dossier partag : 1. 2. Cliquez sur le menu Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable. Dans la liste Composants logiciels enfichables disponibles, cliquez sur Lien vers une adresse Web, puis sur le bouton Ajouter. L'Assistant Lien vers une adresse Web s'affiche. 3. Dans Chemin d'accs ou URL, tapez le chemin d'accs UNC (Universal Naming Convention) au dossier partag, par exemple, \\NomServeur\NomPartage, puis cliquez sur Suivant. Tapez un nom descriptif pour le nom du composant logiciel enfichable. Ce nom apparatra dans l'arborescence de la console. Cliquez sur Terminer. Cliquez sur OK.
4. 5.
Pour pouvoir utiliser le composant logiciel enfichable, le serveur que vous ciblez doit se trouver dans la zone de scurit Intranet local ou Sites de confiance d'Internet Explorer. Vous devez le dfinir pour les informations d'identification d'administrateur, car elles sont utilises par le processus mmc.exe et le composant logiciel enfichable. 1. 2. 3. 4. 5. 6. 7. Ouvrez une session sur l'ordinateur en utilisant vos informations d'identification d'administrateur. Cliquez sur le bouton Dmarrer, puis sur Panneau de configuration. Double-cliquez sur Options Internet. Cliquez sur l'onglet Scurit. Cliquez sur Intranet local ou sur Sites de confiance. Cliquez sur le bouton Sites. Tapez \\NomServeur, cliquez sur le bouton Ajouter, puis sur OK.
Il existe un grand nombre de commandes et d'applications qu'un administrateur doit pouvoir excuter et qui ne sont pas des composants logiciels enfichables MMC. Il peut s'avrer fastidieux de lancer chaque commande ou application avec des informations d'identification leves. Pour rduire les inconvnients de l'administration des privilges minimum, vous pouvez ajouter ces commandes et applications la console MMC. tant donn que la console MMC s'excute avec des informations d'identification d'administrateur, toute commande d'environnement excute depuis la console hrite automatiquement des informations d'identification d'administrateur.
2-23
Pour crer une "zone de lancement Administrateurs" depuis laquelle vous pouvez ouvrir d'autres outils : 1. 2. 3. 4. 5. Cliquez sur le menu Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.. Dans la liste Composants logiciels enfichables disponibles, cliquez successivement sur Dossier, Ajouter et OK Dans larborescence de la console, cliquez avec le bouton droit sur Dossier, puis cliquez sur Renommer. Tapez un nom, tel que Administrators Launch Pad, puis appuyez sur ENTRE. Cliquez avec le bouton droit sur le dossier, puis cliquez sur Nouvelle vue de la liste des tches. L'Assistant Nouvelle vue de la liste des tches apparat. 6. 7. 8. 9. Cliquez sur Suivant. Dans la page Style de la liste des tches, cliquez sur Aucune Liste, puis sur Suivant. Dans la page Rutilisation de la liste des tches, cliquez sur lment d'arborescence slectionn, puis sur Suivant. Dans la page Nom et administration, acceptez le nom par dfaut, puis cliquez sur Suivant.
10. Dslectionnez la case Ajouter des tches cette liste aprs la fermeture de l'Assistant et cliquez sur Terminer. Pour ajouter des applications et des commandes la zone de lancement d'administration : 1. 2. 3. Cliquez avec le bouton droit sur la zone de lancement d'administration et choisissez Modifier la vue de la liste des tches. Cliquez sur longlet Tches. Cliquez sur le bouton Nouveau. L'Assistant Nouvelle tche apparat. 4. 5. Cliquez sur Suivant. Dans la page Type de commande, cliquez sur Commande d'environnement, puis sur Suivant.
2-24
6.
Dans la page Ligne de commande, entrez les donnes demandes, puis cliquez sur Suivant. Par exemple, pour lancer l'invite de commandes, tapez cmd.exe pour la commande. Si la commande ne se trouve pas dans le chemin systme, savoir le dossier System32, vous devez entrer son chemin complet.
7. 8.
Tapez un nom de tche et cliquez sur Suivant. Slectionnez une icne de tche, puis cliquez sur Suivant. Vous pouvez choisir une icne personnalise. Les sources suivantes peuvent fournir des icnes utiles : l'excutable de la commande lui-mme, %systemroot%\system32\shell32.dll et %systemroot%\System32\Imageres.dll. Par exemple, vous pouvez utiliser %systemroot%\system32\cmd.exe comme source pour l'icne de l'invite de commande.
9.
Cliquez sur Suivant.
10. Cliquez sur Terminer, puis sur OK.
2-25
Atelier pratique A : Cration et excution d'une console d'administration personnalise
Scnario
Dans cet exercice, vous vous appelez Pat Coleman et tes administrateur chez Contoso, Ltd. Vous tes responsable de diverses tches de support Active Directory et vous ouvrez constamment plusieurs consoles depuis le dossier Outils d'administration dans le Panneau de configuration. Vous avez dcid de crer une seule console qui contient tous les composants logiciels enfichables dont vous avez besoin. En outre, la stratgie de scurit informatique de Contoso change et vous ne pouvez plus vous connecter un systme avec les informations d'identification disposant des privilges d'administration, sauf en cas d'urgence. Vous devez ouvrir une session avec des informations d'identification sans privilges.
2-26
Exercice 1 : Excuter des tches d'administration de base en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Dans cet exercice, vous allez excuter des tches d'administration de base dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. Prparer l'atelier pratique. Afficher des objets. Actualiser la vue. Crer des objets. Dfinir des attributs d'objets. Afficher tous les attributs des objets.

1. 2. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 en tant que Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. Pat.Coleman_Admin est membre des administrateurs de domaine. Le Gestionnaire de serveur souvre automatiquement. 3. 4. 5. Fermez le Gestionnaire de serveur. Ouvrez D:\Labfiles\Lab02a. Cliquez avec le bouton droit de la souris sur Lab02a_Setup.bat et slectionnez Excuter en tant qu'administrateur. La bote de dialogue Contrle de compte d'utilisateur s'affiche. 6. 7. 8. Cliquez sur Continuer. Le script d'installation de l'atelier pratique s'excute. la fin de l'excution, appuyez sur n'importe quelle touche. Fermez la fentre de l'Explorateur Windows, Lab02a.
2-27
Tche 2 : Afficher des objets

1. 2. Ouvrez Utilisateurs et ordinateurs Active Directory depuis le dossier Outils d'administration. Consultez les objets dans l'unit d'organisation Employees dans l'unit d'organisation User Accounts.
Tche 3 : Actualiser la vue

Actualisez la vue de l'unit d'organisation Employees.
Tche 4 : Crer des objets

Crez une unit d'organisation dans la racine du domaine 6238B.
Tche 5 : Dfinir les attributs des objets

1. 2. Ouvrez les proprits de l'utilisateur Pat Coleman dans l'unit d'organisation Employees. Remplacez l'attribut Office dans l'onglet Gnral par Redmond.
Tche 6 : Afficher tous les attributs des objets.

1. Vrifiez que l'onglet diteur d'attributs n'est pas visible dans la bote de dialogue Proprits de Pat Coleman et qu'il n'existe aucun contrle d'entre pour la proprit division dans aucun onglet. Activez la vue Fonctionnalits avances du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Affichez l'diteur d'attributs pour Pat Coleman. Remplacez l'attribut division de Pat Coleman par 6238B. Fermez Utilisateurs et ordinateurs Active Directory.
Rsultats : Dans cet exercice, vous avez appris excuter les tches d'administration de base en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2. 3. 4. 5.
2-28
Exercice 2 : Crer une console d'administration Active Directory personnalise

Dans cet exercice, vous allez crer une console d'administration personnalise qui contient tous les composants logiciels enfichables dont vous avez besoin. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Crer une console personnalise MMC avec le composant enfichable Utilisateurs et ordinateurs Active Directory. Ajouter d'autres composants logiciels enfichables Active Directory la console Ajouter le composant logiciel enfichable Schma Active Directory une console MMC personnalise. Grer les composants logiciels enfichables dans une console MMC personnalise (facultatif).
Tche 1 : Crer une console personnalise MMC avec le composant

enfichable Utilisateurs et ordinateurs Active Directory.
1. 2. 3. Lancez la console MMC vide et agrandissez-la. Ajoutez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Enregistrez la console. Crez le dossier C:\AdminTools et enregistrez-y la console sous MyConsole.msc.
Tche 2 : Ajouter d'autres composants logiciels enfichables Active

Directory la console.
1. 2. 3. Ajoutez les composants logiciels enfichables Sites et services Active Directory et Domaines et approbations Active Directory la console. Renommez la racine de console Active Directory Administrative Tools. Enregistrez la console.
2-29
Tche 3 : Ajouter le composant logiciel enfichable Schma Active

Directory une console MMC personnalise.
1. Vrifiez que Schma Active Directory ne figure pas parmi les composants logiciels enfichables disponibles dans la bote de dialogue Ajouter ou supprimer des composants logiciels enfichables. Le composant logiciel enfichable Schma Active Directory est install avec le rle Services de domaine Active Directory et l'outil RSAT, mais il n'est pas enregistr et il n'apparat donc pas. 2. 3. Dans le menu Dmarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. Dans l'invite de commandes, tapez regsvr32.exe schmmgmt.dll. Cette commande enregistre la bibliothque de liens dynamiques (DLL) du composant logiciel enfichable Schma Active Directory. Cette opration doit tre excute une fois sur un systme pour que vous puissiez ajouter le composant logiciel enfichable une console. 4. 5. 6. Fermez la fentre Invite de commandes. Ajoutez le composant logiciel enfichable Schma Active Directory la console. Enregistrez la console.
Tche 4 : (Facultatif) : Grer les composants logiciels enfichables dans

une console MMC personnalise
Ouvrez la bote de dialogue Ajouter ou supprimer des composants logiciels enfichables et utilisez les boutons Monter, Descendre et Supprimer pour rorganiser la console. Pour les ateliers suivants, vous aurez besoin de la console dans l'tat dans lequel elle se trouvait la fin de la tche 3. Par consquent n'enregistrez pas la console modifie et fermez-la sans enregistrer les modifications.
Rsultats : Dans cet exercice, vous avez personnalis une console MMC avec les composants logiciels enfichables Utilisateurs et ordinateurs Active Directory, Sites et services Active Directory, Domaines et approbations Active Directory et Schma Active Directory.
2-30
Exercice 3 : Excuter des tches d'administration avec des privilges minimum et utiliser Excuter en tant qu'administrateur et Contrle de compte d'utilisateur
Dans cet exercice, vous allez excuter des tches d'administration en ayant ouvert une session en utilisant les informations d'identification utilisateur standard. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. Ouvrir une session avec des informations d'identification n'ayant pas de privilges d'administration. Excuter le Gestionnaire de serveur en tant quadministrateur. Examiner les informations d'identification utilises par les processus actifs. Excuter l'invite de commandes en tant qu'administrateur. Excuter Outils administratifs en tant qu'administrateur. Excuter une console d'administration personnalise en tant qu'administrateur.
Tche 1 : Ouvrir une session en utilisant des informations

d'identification sans privilges d'administration.
1. 2. Fermez la session sur HQDC01. Ouvrez une session sur HQDC01 en tant que Pat.Coleman avec le mot de passe Pa$$w0rd. Pat.Coleman est membre de Utilisateurs du domaine et n'a aucun privilge d'administration.
2-31
Tche 2 : Excuter le Gestionnaire de serveur en tant qu'administrateur.

1. Cliquez sur l'icne Gestionnaire de serveur dans Lancement rapide, ct du bouton Dmarrer. La bote de dialogue Contrle de compte d'utilisateur s'affiche. tant donn que votre compte d'utilisateur n'est pas membre du groupe Administrateurs, la bote de dialogue vous demande d'entrer des informations d'identification d'administrateur : un nom d'utilisateur et un mot de passe. Si les zones de texte Nom d'utilisateur et Mot de passe ne sont pas affiches, vrifiez que vous avez ouvert une session sous Pat.Coleman et non pas sous Pat.Coleman_Admin. 2. 3. Dans la zone Nom d'utilisateur, tapez Pat.Coleman_Admin. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur ENTRE. Le Gestionnaire de serveur s'ouvre.
Tche 3 : Examiner les informations d'identification utilises par les

processus actifs.
1. 2. 3. Cliquez avec le bouton droit de la souris sur la barre des tches, puis cliquez sur Gestionnaire des tches. Cliquez sur l'onglet Processus. Cliquez sur Afficher les processus de tous les utilisateurs et dans la bote de dialogue Contrle de compte dutilisateur, authentifiez-vous sous le nom Pat.Coleman_Admin avec le mot de passe Pa$$w0rd Le Gestionnaire des tches peut s'excuter sans informations d'identification d'administrateur, mais il affiche uniquement les processus actifs sous le compte d'utilisateur actuel. Par consquent, la bote de dialogue Contrle de compte d'utilisateur contient une option pour vous authentifier avec les informations d'identification que vous avez utilises pour ouvrir une session : Pat.Coleman. 4. 5. Cliquez sur l'onglet Processus et triez-les informations en fonction du nom d'utilisateur. Recherchez les processus excuts par Pat.Coleman et Pat.Coleman_Admin.
Question : Quels sont les processus excuts par Pat.Coleman_Admin ? Quelles applications les processus reprsentent-ils ?
2-32
Tche 4 : Excuter l'invite de commandes en tant qu'administrateur.

1. 2. Cliquez sur Dmarrer, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. Dans la bote de dialogue Contrle de compte d'utilisateur, authentifiez-vous sous le nom Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. La fentre Administrateur : invite de commandes s'affiche. 3. 4. Fermez la fentre d'invite de commandes. Cliquez sur Dmarrer, et dans la zone de texte Rechercher, tapez cmd.exe et appuyez sur CTRL+MAJ+ENTRE. Dans la zone Rechercher, le raccourci clavier CTRL+MAJ+ENTRE excute la commande dfinie comme administrateur. 5. Dans la bote de dialogue Contrle de compte d'utilisateur, authentifiez-vous sous le nom Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. La fentre Administrateur : invite de commandes s'affiche.
Tche 5 : Excuter Outils administratifs en tant qu'administrateur.

1. 2. Cliquez sur l'icne Afficher le Bureau dans Lancement rapide, ct du bouton Dmarrer. Cliquez sur Dmarrer, pointez sur Outils dadministration, cliquez avec le bouton droit de la souris sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Excuter en tant qu'administrateur. Dans la bote de dialogue Contrle de compte d'utilisateur, authentifiez-vous sous le nom Pat.Coleman_Admin avec le mot de passe Pa$$w0rd.
3.
2-33
Tche 6 : Excuter une console d'administration personnalise en tant

qu'administrateur.
Vous commencez constater combien il peut tre fastidieux d'excuter en tant qu'administrateur chacun des outils d'administration dont vous avez besoin. Une console d'administration personnalise offre l'avantage de pouvoir lancer la console, contenant plusieurs composants logiciels enfichables, avec une seule commande Excuter en tant qu'administrateur. 1. 2. Fermez toutes les fentres ouvertes sur le Bureau. Excutez C:\AdminTools\MyConsole avec des informations d'identification d'administrateur. Dans la bote de dialogue Contrle de compte d'utilisateur, authentifiez-vous sous le nom Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. Fermez la session sur HQDC01. N'arrtez pas et ne rinitialisez pas l'ordinateur virtuel.
Rsultats : Dans cet exercice, vous avez appris qu'en utilisant une seule console d'administration personnalises, vous vous facilitez le travail en toute scurit. Vous pouvez ouvrir une session sur votre ordinateur avec des informations d'identification (non administratives) et excuter la console unique en tant qu'administrateur.
3.
2-34
Exercice 4 (facultatif avanc) : Personnalisation avance de la console MMC et administration distance

Les exercices avancs facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplmentaires. Le corrig de l'atelier pratique ne contient pas de rponses. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Dmarrer SERVER01-A. Dmarrer DESKTOP101-A. Utiliser les procdures dcrites dans cette leon pour personnaliser davantage la console MMC (C:\AdminTools\MyConsole.msc). Ajouter un composant logiciel enfichable qui fournit un accs administrateur au partage Donnes sur SERVER01 (\\SERVER01\Data). En utilisant les procdures dcrites dans cette leon, crer une zone de lancement Administrateurs avec une tche qui ouvre l'invite de commandes. Ajouter une tche cette zone qui permet d'arrter un ordinateur distance. Aucune procdure n'est rpertorie pour cette tche : vous de jouer ! Conseil : Shutdown.exe. Copier votre console dans D:\AdminTools. Le dossier D:\AdminTools est partag en tant que \\HQDC01\AdminTools. Ouvrir une session sur DESKTOP101 sous Pat.Coleman avec le mot de passe Pa$$w0rd et crer un raccourci d'accs \\HQDC01\AdminTools\MyConsole.msc. Dfinir les proprits du raccourci pour qu'il demande toujours les informations d'identification d'administrateur. Aucune procdure n'est rpertorie pour cette tche : vous de jouer ! Excuter une console d'administration personnalise en tant qu'administrateur.
4. 5.
6. 7.
8.
9.
10. Fermer les sessions DESKTOP101 et HQDC01. Ne pas arrter ni rinitialiser les ordinateurs virtuels.
Remarque : n'arrtez pas les ordinateurs virtuels lorsque vous avez termin l'atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans l'atelier pratique B.
2-35
Questions de contrle des acquis

Question : Quel composant logiciel enfichable tes-vous le plus susceptible d'utiliser tous les jours pour administrer Active Directory ? Question : Lorsque vous crez une console MMC personnalise d'administration dans votre entreprise, quels composants logiciels enfichables ajoutez-vous ?
2-36
Leon 3
Recherche d'objets dans Active Directory
mesure que vous ajoutez Active Directory des objets utilisateur, groupe, ordinateur, etc., il peut devenir difficile de rechercher des objets modifier. Dans cette leon, vous allez tudier plusieurs mthodes de recherche d'objets dans Active Directory.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : contrler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ; rechercher des objets dans Active Directory ; utiliser des requtes sauvegardes.
2-37
Recherche d'objets dans Active Directory
Vous avez appris crer des objets dans Active Directory. Mais quoi servent les informations d'un service d'annuaire si vous ne pouvez pas les extraire de l'annuaire ? Vous serez amen rechercher des objets dans Active Directory dans diverses situations : Octroi d'autorisations. Lorsque vous dfinissez les autorisations d'un dossier ou d'un fichier, vous devez slectionner le groupe (ou l'utilisateur) auquel vous voulez affecter des autorisations. Ajout de membres des groupes. Un groupe peut tre constitu d'utilisateurs, d'ordinateurs, de groupes ou d'une combinaison des trois. Lorsque vous ajoutez un objet en tant que membre d'un groupe, vous devez slectionner l'objet. Cration de liens. Les proprits lies sont les proprits d'un objet qui font rfrence un autre objet. L'appartenance un groupe est en fait une proprit lie. Il existe d'autres proprits lies, telles que l'attribut Gr par, qui sont galement des liens. Lorsque vous dfinissez l'attribut Managed By name (Gr en fonction du nom), vous devez slectionner l'utilisateur ou le groupe appropri. Recherche d'un objet. Vous pouvez rechercher n'importe quel objet dans votre domaine Active Directory.
2-38
Il existe bien d'autres situations dans lesquelles vous devrez effectuer des recherches dans Active Directory. Vous utiliserez diverses interfaces. Cette leon fournit des astuces d'utilisation pour chacune d'entre elles.
2-39
Dmonstration : Utilisation de la bote de dialogue Slectionner des utilisateurs, des contacts, des ordinateurs ou des groupes
Lorsque vous ajoutez un membre un groupe, affectez une autorisation ou crez une proprit lie, la bote de dialogue Slectionnez des utilisateurs, des contacts, des ordinateurs ou des groupes s'affiche.
2-40
Si vous connaissez les noms des objets dont vous avez besoin, vous pouvez les taper directement dans la grande zone de texte. Vous pouvez entrer plusieurs noms en les sparant par un point-virgule, comme indiqu ci-dessus. Lorsque vous cliquez sur OK, Windows recherche chaque lment de la liste et le convertit en lien d'accs l'objet et il ferme la bote de dialogue. Le bouton Vrifier les noms convertit galement chaque nom en lien, mais laisse la bote de dialogue ouvert, comme indiqu ici :
Il est inutile de taper le nom complet ; vous pouvez taper le prnom ou le nom de l'utilisateur ou mme une partie de son prnom ou de son nom. Par exemple, la premire capture d'cran indique le prnom linda, le nom danseglio, le nom partiel joan et le nom tony. Lorsque vous cliquez sur OK ou Vrifier les noms, Windows tente de convertir le nom partiel dans l'objet correct. S'il existe un seul objet correspondant, les noms sont rsolus, comme indiqu dans la seconde capture d'cran.
2-41
S'il existe plusieurs correspondances, telles que le nom Tony, la zone Noms multiples trouvs indique ci-dessous s'affiche. Slectionnez le ou les noms corrects et cliquez sur OK.
Par dfaut, la bote de dialogue de slection effectue les recherches dans l'ensemble du domaine. Si vous obtenez une multitude de rsultats et voulez restreindre l'tendue de la recherche ou que vous voulez effectuer des recherches dans un autre domaine ou dans les utilisateurs et groupes locaux dans un membre de domaine, cliquez sur Emplacements.
2-42
En outre, la bote de dialogue Slectionner, contrairement ce qu'indique son nom complet, Slectionner des utilisateurs, des contacts, des ordinateurs ou des groupes, recherche rarement les quatre types d'objets. Lorsque vous ajoutez des membres un groupe, par exemple, la recherche ne porte pas, par dfaut, sur les ordinateurs. Si vous tapez un nom d'ordinateur, il n'est pas rsolu correctement. Lorsque vous dfinissez le nom dans l'onglet Gr par, par dfaut, la recherche ne porte pas sur les groupes. Vous devez vrifier que l'tendue de la bote de dialogue Slectionner est dfinie pour rsoudre les types d'objets slectionner. Cliquez sur le bouton Types d'objets, utilisez la bote de dialogue Types d'objets pour slectionner les types corrects et cliquez sur OK.
2-43
Si vous ne parvenez pas trouver les objets appropris, cliquez sur le bouton Avanc dans la bote de dialogue. La vue avance, reprsente ci-dessous, permet de faire porter la recherche sur les champs de nom et de description, ainsi que sur les comptes dsactivs, les mots de passe qui n'expirent pas et les comptes obsoltes qui n'ont pas ouvert de session depuis un certain temps.
Certains champs de l'onglet des requtes courantes peuvent tre dsactivs en fonction du type d'objet que vous recherchez. Cliquez sur le bouton Types d'objets pour dfinir exactement le type d'objet rechercher.
2-44
Options de recherche d'objets dans Utilisateurs et ordinateurs Active Directory
Points cls
Bien que vous puissiez naviguer dans Active Directory pour rechercher un objet, vous trouverez gnralement plus rapidement l'objet en utilisant le tri et la recherche.
Recherches dans Active Directory : http://go.microsoft.com/fwlink/?LinkId=168729
2-45
Dmonstration : Contrle de laffichage des objets dans Utilisateurs et ordinateurs Active Directory.
Points cls
Vous pouvez personnaliser le volet des informations du composant logiciel enfichable Utilisateurs et ordinateurs pour travailler plus efficacement avec les objets de l'annuaire. Utilisez la commande Ajouter/Supprimer des colonnes dans le menu Afficher pour ajouter des colonnes au panneau des informations. Les attributs ne sont pas tous disponibles pour tre affichs sous la forme d'une colonne, mais vous trouverez certainement des colonnes utiles afficher, telles que Nom douverture de session de lutilisateur. Vous pouvez galement trouver des colonnes inutiles. Si vos units d'organisation ne disposent que d'un seul type d'objet (utilisateur ou ordinateur, par exemple), la colonne Type peut ne pas tre utile. Lorsqu'une colonne est visible, vous pouvez changer l'ordre des colonnes en faisant glisser leur en-tte vers la gauche ou vers la droite. Vous pouvez galement trier la vue dans le volet des informations en cliquant sur la colonne : le premier clic trie dans l'ordre croissant et le second, dans l'ordre dcroissant, comme dans l'Explorateur Windows.
2-46
Une personnalisation courante consiste ajouter la colonne Nom une vue d'utilisateurs pour pouvoir les trier en fonction du nom de famille. Il est gnralement plus simple de rechercher les utilisateurs en fonction de leur nom plutt qu'en fonction de la colonne Nom qui correspond au nom commun qui est gnralement constitu du prnom et du nom. Pour ajouter la colonne Nom au volet des informations : 1. 2. 3. 4. 5. 6. 7. Cliquez sur le menu Afficher et sur Ajouter/supprimer des colonnes. Dans la liste des colonnes disponibles, cliquez sur Nom. Cliquez sur le bouton Ajouter. Dans la liste Colonnes affiches, cliquez sur Nom et sur Monter deux fois. Dans la liste Colonnes affiches, cliquez sur Type et Supprimer. Cliquez sur OK. Dans le volet des informations, cliquez sur l'en-tte de colonne Nom pour trier les noms par ordre alphabtique.
2-47
Dmonstration : Utilisation de la commande Rechercher
Les systmes Windows fournissent l'outil de requte Active Directory appel bote de recherche par les administrateurs. Vous pouvez lancer cette bote de diffrentes manires, notamment en cliquant sur le bouton Rechercher des objets dans les services de domaine Active Directory dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Le bouton et la bote de recherche correspondante sont reprsents ci-dessous.
2-48
Utilisez la liste droulante Rechercher pour dfinir le ou les types d'objets rechercher ou slectionnez Requtes communes ou Recherche personnalises. La liste droulante Dans dfinit l'tendue de la recherche. Dans la mesure du possible, il est recommand de restreindre l'tendue des recherches afin de ne pas les faire porter sur l'ensemble du domaine et d'viter ainsi d'affecter les performances. Conjointement, les listes Rechercher et Dans dfinissent l'tendue d'une recherche. Ensuite, dfinissez des critres de recherche. Les champs communment utiliss sont disponibles comme critres en fonction du type de requte que vous excutez. Aprs avoir dfini l'tendue et les critres de la recherche, cliquez sur Rechercher. Le rsultat s'affiche. Vous pouvez cliquer avec le bouton droit de la souris sur un lment dans les rsultats et choisir des commandes d'administration, telles que Dplacer, Supprimer et Proprits.
2-49
Dtermination de l'emplacement d'un objet
Points cls
Il peut arriver parfois que vous vouliez rechercher un objet en utilisant la commande Rechercher, car vous ne connaissez pas l'emplacement de l'objet. Pour dterminer l'emplacement d'un objet : 1. 2. 3. 4. Cliquez sur le menu Afficher, puis sur Fonctionnalits avances. Cliquez sur le bouton Rechercher et recherchez l'objet. Cliquez avec le bouton droit de la souris, puis cliquez sur Proprits et l'onglet Objet. Nom canonique de l'objet indique le chemin de l'objet partir du domaine.
2-50
Dans la bote de dialogue Rechercher, vous pouvez galement afficher la colonne Publi . 1. 2. 3. Dans la bote de dialogue Rechercher, cliquez sur le menu Afficher et sur Choisir les colonnes. Dans la liste Colonnes disponibles, cliquez sur Publi et sur Ajouter. Cliquez sur OK.
2-51
Dmonstration : Utilisation des requtes sauvegardes
Points cls
Windows Server 2003 a introduit le nud Requtes sauvegardes du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cette fonction puissante permet de crer des vues du domaine base de rgles en affichant les objets d'une ou plusieurs units d'organisation. Pour crer une requte sauvegarde : 1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Les requtes sauvegardes ne sont pas disponibles dans le composant Utilisateurs et ordinateurs Active Directory qui fait partie du Gestionnaire de serveur. Vous devez utiliser la console Utilisateurs et ordinateurs Active Directory ou une console personnalise avec le composant logiciel enfichable. 2. 3. Cliquez avec le bouton droit de la souris sur Requtes sauvegardes, pointez sur Nouveau, puis cliquez sur Requte. Entrez le nom de la requte.
2-52
4. 5.
Vous pouvez galement entrer une description. Cliquez sur Parcourir pour rechercher la racine de la requte. La recherche est limite au domaine ou l'unit d'organisation que vous slectionnez. Il est recommand de limiter la recherche autant que possible pour amliorer les performance de la recherche.
6. 7.
Cliquez sur Dfinir la requte pour dfinir la requte. Dans la bote de dialogue Rechercher, slectionnez le type de l'objet rechercher. Les onglets dans la bote de dialogue et les contrles d'entre de chaque onglet fournissent des options associes la requte slectionne.
8. 9.
Dfinissez les critres de la requte. Cliquez sur OK.
Aprs avoir cr la requte, elle est enregistre avec l'instance du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Ainsi, si vous avez ouvert la console Utilisateurs et ordinateurs Active Directory (dsa.msc), la requte est disponible lorsque vous rouvrez la console. Si vous avez cr la requte sauvegarde dans une console personnalise, elle est disponible dans cette console. Pour transfrer les requtes sauvegardes vers d'autres consoles ou utilisateurs, vous pouvez les exporter sous forme de fichier XML et les importer vers le composant logiciel enfichable cible. La vue de la requte sauvegarde dans le volet des informations peut tre personnalise, comme indiqu prcdemment, avec des colonnes et le tri. L'un des avantages importants qu'offrent les requtes sauvegardes rside dans le fait que la vue personnalise est spcifique chaque requte sauvegarde. Lorsque vous ajoutez la colonne Nom la vue normale d'une unit d'organisation, elle est ajoute la vue de chaque unit d'organisation et une colonne Nom vide apparat donc, mme pour une unit d'organisation d'ordinateurs ou de groupes. Avec les requtes sauvegardes, vous pouvez ajouter la colonne Nom une recherche d'objets utilisateur et d'autres colonnes pour d'autres requtes sauvegardes. Les requtes sauvegardes sont un outil puissant pour virtualiser la vue de l'annuaire et rsoudre les problmes de comptes dsactivs ou verrouills, par exemple. Apprendre crer et grer des requtes sauvegardes n'est pas du temps perdu.
2-53
Atelier pratique B : Recherche d'objets dans Active Directory
Scnario
Contoso couvre maintenant cinq sites gographiques dans le monde et compte plus de 1 000 employs. Maintenant que le domaine contient un grand nombre d'objets, il est plus difficile de rechercher des objets en le parcourant. On vous demande de dfinir des meilleures pratiques pour rechercher des objets dans Active Directory pour le reste de l'quipe d'administrateurs. On vous demande galement de surveiller le fonctionnement de certains types de comptes.
2-54
Exercice 1 : Recherche d'objets dans Active Directory

Dans cet exercice, vous allez utiliser plusieurs outils et interfaces qui facilitent la recherche d'un objet dans Active Directory. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Examiner le comportement de la bote de dialogue Slectionner Contrler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Utiliser la commande Rechercher. Dterminer l'emplacement d'un objet.
Tche 1 : Analyse du comportement de la bote de dialogue

Slectionner
Remarque importante : les tapes de cette tche expliquent en dtail comment utiliser diverses interfaces importantes Utilisateurs et ordinateurs Active Directory. Cette tche vous permet, en quelque sorte, de visiter les interfaces et leurs fonctions. Les modifications que vous effectuez sont moins importantes que l'exprience que vous acqurez avec les nuances de ces interfaces. Suivez exactement les tapes rpertories et ne vous proccupez pas de ce que vous faites ; concentrez-vous sur la manire dont vous le faites et sur le comportement des interfaces.
L'ordinateur virtuel doit tre dj dmarr et disponible aprs avoir termin l'atelier A. S'il ne l'est pas, vous devez le dmarrer et effectuer les exercices de l'atelier A avant de continuer. 1. Ouvrez une session HQDC01 sous le nom Pat.Coleman avec le mot de passe Pa$$w0rd et excutez votre console personnalise, C:\AdminTools\MyConsole.msc, comme administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Vous pouvez galement excuter la console prcre D:\AdminTools\ADConsole.msc en tant qu'administrateur. Dans l'arborescence de la console, dveloppez le composant enfichable Utilisateurs et ordinateurs Active Directory, le domaine contoso.com et l'unit d'organisation User Accounts, puis cliquez sur l'unit d'organisation Employees.
2.
2-55
3. 4. 5. 6. 7. 8. 9.
Cliquez avec le bouton droit de la souris sur Pat Coleman, puis cliquez sur Proprits. Cliquez sur l'onglet Membre de. Cliquez sur Ajouter. Dans la bote de dialogue Slectionner, tapez le nom Special. Cliquez sur OK. Le nom est converti en Special Project. Cliquez nouveau sur OK pour fermer la bote de dialogue Proprits. Dans l'arborescence de la console, dveloppez l'unit d'organisation Groups, puis cliquez sur l'unit d'organisation Role.
10. Dans le volet d'informations, cliquez avec le bouton droit de la souris sur le groupe Special Project et cliquez sur Proprits 11. Cliquez sur longlet Membres. 12. Cliquez sur Ajouter. La bote de dialogue Slectionner des utilisateurs, des contacts, des ordinateurs ou des groupes saffiche. 13. Tapez linda;joan et cliquez sur le bouton Vrifier les noms. La bote de dialogue Slectionner convertit les noms en Linda Mitchell et Joanna Rybka et elle les souligne pour indiquer qu'ils ont t rsolus. 14. Cliquez sur OK. 15. Cliquez sur Ajouter. 16. Tapez carole et cliquez sur OK. La bote de dialogue Slectionner convertit le nom en Carole Poland et se ferme. Carole Poland figure dans la liste Membres . Lorsque vous cliquez sur le bouton OK, les noms sont vrifis avant la fermeture de la bote de dialogue. Il est inutile de cliquer sur le bouton Vrifier les noms si vous ne voulez pas vrifier les noms et rester dans la bote de dialogue Slectionner. 17. Cliquez sur Ajouter. 18. Tapez tony;jeff et cliquez sur OK. tant donn qu'il existe plusieurs utilisateurs correspondant "tony", la bote Noms multiples trouvs s'affiche.
2-56
19. Cliquez sur Tony Krijnen et sur OK. tant donn qu'il existe plusieurs utilisateurs correspondant "jeff", la bote Noms multiples trouvs s'affiche. 20. Cliquez sur Jeff Ford et sur OK. Cliquez sur OK pour fermer la bote de dialogue Proprits de Special Project Lorsqu'il existe plusieurs objets correspondant aux informations que vous entrez, la vrification des noms vous permet de choisir l'objet appropri. 21. Dans l'arborescence de la console, cliquez sur l'unit d'organisation Application sous l'unit d'organisation Groups. 22. Dans le volet d'informations, cliquez avec le bouton droit de la souris sur APP_Office, puis cliquez sur Proprits. 23. Cliquez sur longlet Membres. 24. Cliquez sur Ajouter. 25. Dans la bote de dialogue Slectionner, tapez DESKTOP101. 26. Cliquez sur Vrifier les noms. A La bote de dialogue Nom introuvable s'affiche pour indiquer que l'objet que vous avez dfini n'a pas pu tre rsolu. 27. Cliquez sur Annuler pour fermer la bote de dialogue Nom introuvable. 28. Dans la zone Slectionner, cliquez sur Types d'objets. 29. Cochez la case Ordinateurs et cliquez sur OK. 30. Cliquez sur Vrifier les noms. Le nom va tre rsolu ds lors que la zone Slectionner contient les ordinateurs dans sa rsolution. 31. Cliquez sur OK. 32. Cliquez sur OK pour fermer la bote de dialogue Proprits APP_Office.
2-57
Tche 2 : Contrler la vue des objets dans le composant logiciel

enfichable Utilisateurs et ordinateurs Active Directory
1. Dans l'arborescence de la console, dveloppez le domaine contoso.com et l'unit d'organisation User Accounts et cliquez sur l'unit d'organisation Employees. Cliquez sur le menu Afficher et sur Ajouter/supprimer des colonnes. Dans la liste Colonnes disponibles, cliquez sur Nom. Cliquez sur le bouton Ajouter. Dans la liste Colonnes affiches, cliquez sur Nom et sur Monter deux fois. Dans la liste Colonnes affiches, cliquez sur Type et sur Supprimer. Cliquez sur OK. Dans l'arborescence de la console, dveloppez le domaine contoso.com et l'unit d'organisation User Accounts et cliquez sur l'unit d'organisation Employees. Dans le volet des informations, cliquez sur l'en-tte de colonne Nom pour trier les noms par ordre alphabtique.
2. 3. 4. 5. 6. 7. 8.
9.
10. Cliquez sur le menu Afficher et sur Ajouter/supprimer des colonnes. 11. Dans la liste Colonnes disponibles, cliquez sur Nom d'ouverture de session antrieur Windows 2000. 12. Cliquez sur le bouton Ajouter. 13. Dans la liste Colonnes affiches, cliquez sur Nom d'ouverture de session antrieur Windows 2000 et sur Monter. 14. Cliquez sur OK. 15. Dans l'arborescence de la console, dveloppez le domaine contoso.com et l'unit d'organisation User Accounts et cliquez sur l'unit d'organisation Employees.
2-58
Tche 3 : Utiliser la commande Rechercher.

1. Dans l'arborescence de la console, dveloppez le domaine contoso.com et l'unit d'organisation User Accounts et cliquez sur l'unit d'organisation Employees. Cliquez sur le bouton Rechercher dans la barre d'outils. Dans la zone Nom, tapez Dan, puis cliquez sur Rechercher. Combien d'lments ont t trouvs ? Consultez la barre d'tat au bas de la fentre Rechercher des utilisateurs, contacts ou groupes. Cliquez sur la liste droulante Dans et sur Tout l'annuaire. Cliquez sur Rechercher. Combien d'lments ont t trouvs ? Consultez la barre d'tat au bas de la fentre Rechercher des utilisateurs, contacts ou groupes. Fermez la bote de dialogue Rechercher des utilisateurs, contacts ou groupes.
2. 3. 4. 5. 6. 7. 8.
Tche 4 : Dterminer l'emplacement d'un objet.

1. 2. Activez la vue Fonctionnalits avances du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Utilisez la commande Rechercher pour rechercher dans le domaine les utilisateurs dont le nom commence par Pat.Coleman. Deux rsultats doivent s'afficher. Utilisez les proprits de Pat Coleman (Admin) pour dterminer l'emplacement de l'utilisateur dans Active Directory.
Rsultats : Dans cet exercice, vous avez appris qu'il existe plusieurs interfaces qui permettent d'effectuer des recherches dans Active Directory et contrler la vue dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
3.
2-59
Exercice 2 : Utilisation des requtes sauvegardes

Dans cet exercice, vous allez crer des requtes sauvegardes pour excuter plus efficacement les tches d'administration. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Crer une requte sauvegarde qui affiche tous les comptes d'utilisateur du domaine. Crer une requte sauvegarde qui affiche tous les comptes d'utilisateurs avec des mots de passe qui n'expirent pas. Transfrer une requte vers un autre ordinateur.
Tche 1 : Cration d'une requte sauvegarde qui affiche tous les

comptes d'utilisateur du domaine
Crez la requte sauvegarde Tous les objets utilisateur qui affiche tous les utilisateurs du domaine.
Tche 2 : Cration d'une requte sauvegarde qui affiche tous les

comptes d'utilisateur avec des mots de passe qui n'expirent pas
Crez la requte sauvegarde Mots de passe qui n'expirent pas qui affiche tous les utilisateurs du domaine dont les mots de passe n'expirent pas. Notez que pour utiliser un seul mot de passe simple pour tous les utilisateurs dans ce cours, tous les comptes d'utilisateur sont configurs pour que les mots de passe n'expirent pas. Dans un environnement de production, ne configurez jamais les comptes d'utilisateur avec des mots de passe qui n'expirent pas.
2-60
Tche 3 : Transfert d'une requte vers un autre ordinateur

1. 2. 3. 4. Exportez la requte Mots de passe qui n'expirent pas vers C:\AdminTools\Query_NonExpPW.xml. Supprimez la requte Mots de passe qui n'expirent pas . Importez la requte C:\AdminTools\Query_NonExpPW.xml. Fermez la session sur HQDC01.
Rsultats : la fin de cet exercice, vous disposez de deux requtes sauvegardes. La premire, Tous les objets utilisateur, montre qu'une requte sauvegarde peut crer une vue virtualise du domaine en permettant d'identifier les objets qui rpondent des critres, quelle que soit l'unit d'organisation dans laquelle ils se trouvent. La seconde, Mots de passe qui n'expirent pas, montre que vous pouvez utiliser des requtes sauvegardes pour surveiller l'intgrit de l'environnement.
2-61
Exercice 3 (facultatif avanc) : Analyse des requtes sauvegardes

Les exercices avancs facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplmentaires. Le corrig de l'atelier pratique ne contient pas de rponses. Les tches principales de cet exercice sont les suivantes : 1. 2. Excuter la console prcre D:\AdminTools\ADConsole.msc comme administrateur et l'explorer. Examiner les requtes utilises dans le noeud Requtes sauvegardes du composant logiciel enfichable Utilisateurs et ordinateurs. Notez que les administrateurs qui utilisent cet outil n'auront vraisemblablement jamais descendre dans la structure de l'unit d'organisation sous le domaine contoso.com dans l'arborescence de la console. La majorit des tches d'administration quotidiennes peuvent tre excutes avec les vues de Requtes sauvegardes.
Remarque : n'arrtez pas l'ordinateur virtuel lorsque vous avez termin l'atelier, car vous allez utiliser les paramtres que vous avez dfinis ici dans l'atelier C.

Question : Dans le cadre de votre travail, quand tes-vous amen effectuer des recherches dans Active Directory ? Question : Quels types de requtes sauvegardes pouvez-vous crer pour excuter les tches d'administration plus efficacement ?
2-62
Leon 4
Utilisation des commandes DS pour administrer Active Directory
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : identifier le nom unique (DN), le nom unique relatif (RDN) et le nom commun (CN) d'un objet Active Directory ; utiliser les commandes DS pour administrer Active Directory depuis la ligne de commande.
2-63
Noms uniques, Noms uniques relatifs (RDN) et Noms communs
Les noms uniques (DN) sont un type de chemin d'accs un objet dans Active Directory. Chaque objet dans Active Directory a un nom unique. L'utilisateur Jeff Ford a le nom unique suivant : CN=Jeff Ford,OU=Employees,,OU=User Accounts,DC=contoso,DC=com Voici l'explication : le nom DN est un chemin qui part de l'objet et se termine dans le domaine de niveau suprieur dans l'espace de noms DNS contoso.com. CN signifie Nom commun. Vous avez tudi cette proprit prcdemment : lorsque vous crez un utilisateur, vous utilisez la zone Nom complet pour crer le nom CN de l'objet utilisateur. Comme vous le savez, UO signifie unit d'organisation. Et DC signifie Composant de domaine. La partie du DN avant la premire unit d'organisation, ou conteneur, s'appelle le nom unique relatif ou RDN. Dans le cas de Jeff Ford, le nom unique relatif de l'objet est CN= Jeff Ford. Les noms uniques relatifs ne sont pas tous des noms communs. Le nom DN de l'unit d'organisation Employees est OU=Employees,OU=User Accounts,DC=contoso,DC=com. Le nom RDN de l'unit d'organisation Employees est donc OU=Employees.
2-64
tant donn que le nom DN d'un objet doit tre unique dans le service d'annuaire, le nom RDN d'un objet doit tre unique dans son conteneur. C'est la raison pour laquelle vous affecterez un nom CN diffrent une seconde personne nomme Jeff Ford que vous embauchez si les deux objets utilisateur doivent se trouver dans la mme unit d'organisation. Cette logique s'applique aux fichiers d'un dossier : un mme dossier ne peut pas contenir deux fichiers portant des noms identiques. Vous utiliserez rgulirement des noms DN en travaillant avec Active Directory, de la mme manire que vous utilisez des chemins de fichier lorsque vous utilisez des fichiers et des dossiers. Il est trs important de savoir les lire et les interprter.
2-65
Commandes DS
Points cls
Windows fournit des utilitaires de ligne de commande qui excutent une fonctionnalit similaire celle du composant logiciel enfichable Utilisateurs et ordinateurs. La majorit des commandes commencent par les lettres DS, c'est la raison pour laquelle on les appelle Commandes DS. Les commandes DS suivantes sont disponibles dans Windows Server 2008 : DSQuery. Excute une requte en fonction des paramtres dfinis sur la ligne de commande et renvoie la liste des objets correspondants. DSGet. Renvoie les attributs dfinis d'un objet. DSMod. Modifie les attributs dfinis d'un objet. DSMove. Transfre un objet vers un nouveau conteneur ou une nouvelle UO. DSAdd. Cre un objet dans l'annuaire. DSRm. Supprime un objet ou tous les objets dans l'arborescence sous un objet conteneur ou les deux.
2-66
Chaque commande est bien documente. Tapez le nom de la commande suivi de /? (par exemple, dsquery /?) pour afficher l'aide de la commande.
2-67
Recherche d'objets avec DSQuery
Points cls
DSQuery permet de rechercher des objets dans Active Directory. Tapez dsquery.exe /? pour apprendre sa syntaxe et l'utiliser. Vous utilisez la plupart des commandes DS en dfinissant le type d'objet sur lequel vous voulez les excuter. Par exemple, entrez dsquery user pour rechercher un utilisateur ou dsquery computer, dsquery group, and dsquery ou pour rechercher son type d'objet. Si vous utilisez la commande dsquery objectType seule, elle retourne les noms uniques de tous les utilisateurs du domaine. Pour viter d'excuter une requte interminable, DSQuery se limite 100 rsultats. Utilisez l'option -limit pour dfinir le nombre de rsultats retourner. Utilisez -limit 0 pour retourner tous les objets.
2-68
la suite du spcificateur objectType, vous pouvez utiliser des options pour indiquer les critres de la requte. Par exemple, vous pouvez rechercher chaque objet par son nom avec l'option -name. Vous pouvez rechercher la plupart des objets en fonction de la description (-desc). Vous pouvez rechercher des entits de scurit en fonction de leur nom d'ouverture de session antrieur Windows 2000 (-samid). Pour connatre les proprits que vous pouvez rechercher, tapez dsquery objecttype /?, par exemple, dsquery user /?. Par exemple, si vous voulez rechercher tous les utilisateurs dont le nom commence par Ton, entrez la commande suivante : dsquery user -name ton*. Aprs l'option de proprit, -name, en l'occurrence, vous pouvez entrer les critres qui ne respectent pas la casse et qui peuvent contenir des caractres gnriques, tels que l'astrisque qui correspond aucun ou plusieurs caractres. La commande DSQuery retourne les objets correspondants avec leur nom DN par dfaut, comme indiqu cidessous :
Si vous ne voulez pas afficher les noms DN, ajoutez l'option o la commande DSQuery. Vous pouvez ajouter o samid,, par exemple, pour afficher les rsultats avec les noms d'ouverture de session antrieurs Windows 2000 ouo upn pour afficher la liste des noms d'ouverture de session utilisateur appels Noms d'utilisateur principaux (UPN). DSQuery peut excuter des requtes en utilisant des caractres gnriques, tels que l'astrisque qui reprsente aucun caractre ou plusieurs caractres. La commande suivante extrait tous les utilisateurs dont le nom commence par Dan :
dsquery user -name "Dan*"
Notez que les critres DSQuery ne respectent pas la casse.
2-69
Enfin, vous pouvez limiter l'tendue de la recherche excute par DSQuery en ajoutant le nom DN d'une UO ou d'un conteneur aprs l'lment objectType de la commande. Par exemple, la commande suivante recherche les utilisateurs dont le nom commence par Dan, mais uniquement dans l'UO Admins :
dsquery user "ou=Admins,dc=contoso,dc=com" -name "Dan*"
Par dfaut, la recherche contient toutes les sous-UO de la base. Vous pouvez utiliser le paramtre -base pour limiter davantage la recherche l'UO dfinie sans ses sous-UO, par exemple.
2-70
Extraction des attributs des objets avec DSGet
Points cls
La commande DSGet renvoie les attributs d'un ou plusieurs objets. Par exemple, la commande suivante renvoie l'adresse lectronique de Jeff Ford :
dsget user "cn=Jeff Ford,ou=Employees,ou=User Accounts,dc=contoso,dc=com" -email
Cette commande montre un thme commun pour la plupart des commandes DS. La majorit des commandes DS utilisent deux modificateurs situs aprs la commande : le type d'objet et le nom DN de l'objet. Dans l'exemple prcdent, le type d'objet, user, suit immdiatement la commande. Le nom DN de l'objet figure aprs le type d'objet. Lorsque le nom DN d'un objet contient un espace, placez le nom entre guillemets.
2-71
La commande DSGet peut extraire diffrents attributs pour chaque type d'objet. Mais, malheureusement, le nom de paramtre d'une commande DS qui reprsente un attribut ne correspond pas toujours au nom de l'interface Utilisateurs et ordinateurs Active Directory ou au nom d'attribut rel dans le schma. Par exemple, la commande DSGet utilise le paramtre -samid pour retourner le nom d'ouverture de session antrieur Windows 2000 de l'utilisateur, qui est l'attribut sAMAccountName dans le schma. Enfin, la commande DSGet peut renvoyer uniquement un sous-ensemble des attributs disponibles pour un type d'objet. Pour connatre les attributs que peut rechercher la commande DSGet d'un type d'objet, tapez :
dsget objectType /?.
Question : Expliquez la diffrence entre la commande DSQuery et la commande DSGet.
2-72
Envoi des noms DN d'autres commandes DS
Points cls
Dans la rubrique prcdente, vous avez appris que la commande suivante renvoie l'adresse lectronique de Jeff Ford :
dsget user "cn=Jeff Ford,ou=Employees,ou=User Accounts,dc=contoso,dc=com" -email
Taper le nom DN d'un objet dans la ligne de commandes prend du temps et peut entraner des erreurs. Il existe une mthode plus simple. Vous pouvez canaliser les noms DN de la commande DSQuery vers d'autres commandes DS. Souvenez-vous que la commande DSQuery recherche les objets en fonction de critres de recherche et retourne les noms DN comme sortie. D'autres commandes DS, telles que DSGet, ncessitent le nom DN de l'objet ou des objets sur lesquels elles portent ; elles utilisent les nom DN comme entre. Vous pouvez chaner deux commandes pour que la sortie de la commande DSQuery devienne l'entre de la commande DSGet ou d'une autre commande DS. Cette opration s'appelle le "piping", car vous envoyez la sortie d'une commande via un "pipe" une autre commande. Le piping s'effectue en utilisant le caractre | (pipe).
2-73
Examinez la commande suivante :

dsquery user -name "Jeff Ford" | dsget user -email
Vous savez que la premire partie de la commande retourne le nom DN d'un objet dont l'attribut de nom (CN) est Jeff Ford . Vous savez aussi que la seconde partie de la commande renvoie l'attribut d'adresse lectronique d'un utilisateur. Toutefois, notez que le nom DN ne figure pas dans la commande DSGet. Vous crez ainsi la fin de l'entre du pipe. La sortie de DSQUery est envoye via le pipe et non pas retourne la console sous la forme d'un texte. Par consquent, la commande retourne galement l'adresse lectronique de Jeff Ford sans avoir identifier et taper correctement le nom DN de cet objet utilisateur. La commande suivante extrait les adresses lectroniques de tous les utilisateurs dont le nom commence par Dan :
dsquery user -name "Dan*" | dsget user -email
Important : DSGet peut retourner un ou plusieurs noms DN lorsqu'elle extrait certains attributs, notamment les attributs member and memberof. Lorsque la commande DSGet produit des noms DN, vous pouvez envoyer les rsultats une autre commande DS par pipe.
2-74
Modification des attributs des objets avec DSMod
Points cls
La commande DSMod modifie les attributs dfinis d'un ou de plusieurs objets. La syntaxe de base est la suivante :
dsmod objectType "objectDN" -attribute "nouvelle valeur"
Par exemple, cette commande remplace l'attribut de service de Jeff Ford par Information Technology :
dsmod user "cn=Jeff Ford,ou=Employees,ou=User Accounts,dc=contoso,dc=com" -dept "Information Technology"
Vous pouvez spcifier plusieurs attributs modifier sur une seule ligne de commande. Pour connatre les attributs qui peuvent tre modifis pour un type d'objet, tapez dsmod objectType /?, par exemple, dsmod user /?.
2-75
Les rsultats de DSQuery peuvent tre envoys DSMod par pipe. Vous pouvez changer l'attribut de service de tous les utilisateurs dans l'UO Admins avec la commande suivante :
dsquery user "ou=Admins,dc=contoso,dc=com" | dsmod user -department "Information Technology"
2-76
Suppression d'un objet avec DSRm
Points cls
La commande DSRm supprime un objet d'Active Directory. tant donn que DSRm supprime des objets sans demander de confirmation, utilisez la commande avec prcaution. La syntaxe de la commande est simple :
dsrm objectDN
Par exemple, cette commande supprime l'ordinateur DESKTOP234 :

dsrm "cn=DESKTOP234,ou=Client Computers,dc=contoso,dc=com"
Si vous dfinissez le nom DN d'un ordinateur ou d'une unit d'organisation, DSRm, par dfaut, supprime le conteneur et tous ses sous-conteneurs ou sous-UO. Les rsultats de DSQuery peuvent tre envoys DSRm par pipe. Vous pouvez supprimer tous les ordinateurs qui n'ont pas ouvert de session depuis plus de 90 jours avec la commande suivante :
dsquery computer -stalepwd 90 | dsrm
2-77
Transfert d'un objet ave DSMove
Points cls
La commande DSMove transfre un objet vers un nouveau conteneur ou une nouvelle UO. La syntaxe est trs simple :
dsmove objectDN -newparent targetOUDN
Dans la syntaxe, objectDN est le nom DN de l'objet dplacer et targetOUDN est le nom DN de l'UO de destination de l'objet. DSMove permet galement de renommer le nom RDN d'un objet avec le paramtre -newname :
dsmove objectDN -newname newName
2-78
Ajout d'un objet avec DSAdd
Points cls
DSAdd cre un objet dans l'annuaire. La syntaxe de base est la suivante :
dsadd objectType objectDN
Dans la syntaxe, objectType est la classe de l'objet crer : utilisateur, groupe ou UO et objectDN est le nom DN du nouvel objet. Le paramtre objectDN est ncessaire, car il reprsente le nom DN de l'UO ou du conteneur dans lequel l'objet est cr et le nom RDN de l'objet lui-mme. Par exemple, la commande suivante cre l'UO de niveau suprieur Lab :
dsadd ou "ou=Lab,dc=contoso,dc=com"
2-79
La plupart des classes d'objets ont des paramtres que vous devez dfinir lorsque vous crez un objet. Par exemple, les comptes d'utilisateur ncessitent un nom d'ouverture de session antrieur Windows 2000 (attribut sAMAccountName). Dans d'autres modules, vous apprendrez utiliser des commandes DS pour crer, rechercher, modifier et supprimer des utilisateurs, des groupes et des ordinateurs. Dans ces modules, vous apprendrez utiliser DSAdd avec les paramtres correspondants ces types d'objets.
2-80
Administration sans l'interface graphique utilisateur
Points cls
Il existe d'autres outils que vous pouvez utiliser pour administrer AD DS sans les outils d'administration de l'interface graphique utilisateur. Vous en utiliserez un certain nombre dans les modules suivants.
2-81
Atelier pratique C : Utilisation des commandes DS pour administrer Active Directory
Scnario
La socit Contoso se dveloppe et il est ncessaire de modifier des objets dans Active Directory. Vous tes administrateur d'AD DS et vous savez que vous pouvez simplifier la cration, la suppression et la modification des objets en utilisant l'invite de commande plutt que Utilisateurs et ordinateurs Directory.
2-82
Exercice 1 : Utilisation des commandes DS pour administrer Active Directory

Dans cet exercice, vous allez utiliser des commandes DS pour excuter des tches d'administration de base. Certaines de ces tches seraient difficiles voire impossibles excuter dans l'interface Utilisateurs et ordinateurs Active Directory. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. Prparer l'atelier pratique. Rechercher des objets avec DSQuery. Extraire les attributs des objets avec DSGet. Envoyer les noms DN de la commande DSQuery d'autres commandes DS. Envoyer les noms DN de la commande DSGet la commande DSMod (avanc, facultatif).
Souvenez-vous que vous pouvez toujours taper la commande suivie de l'option /? pour afficher l'aide de la commande. Lorsqu'une commande fonctionne avec un type d'objet donn, tapez command objectType /? pour afficher plus d'informations d'aide.

L'ordinateur virtuel doit tre dj dmarr et disponible aprs avoir termin les ateliers A et B. S'il ne l'est pas, vous devez le dmarrer et effectuer les exercices des ateliers A et B avant de continuer. 1. 2. 3. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Ouvrez D:\Labfiles\Lab02ac. Excutez Lab02c_Setup.bat avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Le script d'installation de l'atelier pratique s'excute. la fin de l'excution, appuyez sur n'importe quelle touche. Fermez la fentre de l'Explorateur Windows, Lab02c.
4. 5.
2-83
Tche 2 : Rechercher des objets avec DSQuery.

1. Ouvrez l'invite de commandes avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Utilisez DSQuery pour rechercher tous les utilisateurs dont le nom commence par Mitchell.
2.
Tche 3 : Extraire les attributs des objets avec DSGet.

1. Depuis l'invite de commandes, extrayez l'adresse de courrier lectronique de Tony Krijnen. Le nom unique du compte d'utilisateur de Tony est : cn=Tony Krijnen,ou=Employees,ou=User Accounts,dc=contoso,dc=com 2. Depuis l'invite de commandes, affichez la liste des membres du groupe Finance Managers. Le nom unique du groupe est cn=Finance Managers,ou=Role,ou=Groups,dc=contoso,dc=com
Tche 4 : Envoyer par pipe les noms DN de la commande DSQuery

d'autres commandes DS.
Scott et Linda Mitchell rejoignent l'quipe Special Project. Ce sont les deux seuls employs portant le nom Mitchell chez Contoso. Ils travaillent dans le bureau de Vancouver. 1. Ajoutez les Mitchell au groupe Special Project en utilisant une seule commande. Excutez cette tape sans taper le nom DN des comptes d'utilisateur Mitchell. Le nom DN du groupe Special Project est "cn= Special Project,ou=Role,ou=Groups,dc=contoso,dc=com" Si vous recevez une erreur indiquant que le nom dfini est dj membre du groupe, utilisez Utilisateurs et ordinateurs Active Directory pour supprimer Scott Mitchell et Linda Mitchell du groupe Special Project et ressayez. Vous pouvez recevoir une erreur Accs refus. Quelle est l'origine de cette erreur et comment pouvez-vous rsoudre le problme ?
2-84
2.
Extrayez l'adresse lectronique de tous les utilisateurs du bureau de Vancouver en utilisant une seule commande. Le champ Description contient le mot Vancouver pour les utilisateurs de ce bureau. Si vous recevez un avertissement indiquant que DSQuery a atteint sa limite, que devez-vous faire pour recevoir tous les rsultats ?
3.
Remplacez l'attribut office des personnes nommes Mitchell par Vancouver en utilisant une seule commande.
Exercice 5 (facultatif avanc) : Envoyer par pipe les noms DN de la

commande DSGet la commande DSMod
Les exercices avancs facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplmentaires. Le corrig de l'atelier pratique ne contient pas de rponses. Contoso procde une relocalisation et centralise l'quipe dirigeante des bureaux rgionaux Seatlle. Remplacez l'attribut office de tous les membres du groupe Executives par Headquarters en utilisant une seule commande. Effectuez cette opration sans taper le nom DN du groupe Executives.
Exercice 6 (facultatif avanc) : DSQuery *

Les exercices avancs facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplmentaires. Le corrig de l'atelier pratique ne contient pas de rponses. Tapez dsquery /? et examinez la syntaxe de dsquery.exe *. Notez que vous pouvez utiliser cette forme de DSQuery pour afficher un groupe arbitraire d'attributs en utilisant le nom dfini par le schma de l'attribut.
Rsultats : la fin de cet exercice, les Mitchell appartiennent au groupe Special Project. L'attribut office des Mitchell est affect de la valeur Vancouver et l'attribut office des membres du groupe Executives est affect de la valeur Headquarters. Vous venez d'apprendre administrer Active Directory depuis la ligne de commande avec des commande DS.
Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
2-85

Question : Que pouvez-vous faire pour ne pas avoir taper les DN des utilisateurs, des groupes et des ordinateurs dans DSGet et les autres commandes DS ? Question : Quelle est la diffrence entre des recherches excutes avec DSQuery en utilisant des caractres gnriques et des recherches effectues avec la commande Rechercher dans Utilisateurs et ordinateurs Active Directory ? En d'autres termes, quelle recherche effectue dans cet atelier n'aurait pas pu tre effectue avec l'interface de base de la commande Rechercher ?
Gestion des utilisateurs
3-1
Module 3
Table des matires :
Leon 1 : Cration et administration des comptes d'utilisateur Atelier pratique A : Cration et administration des comptes d'utilisateur Leon 2 : Dfinition des attributs des objets utilisateur Atelier pratique B : Dfinition des attributs des objets utilisateur Leon 3 : Automatisation de la cration des comptes d'utilisateur Atelier pratique C : Automatisation de la cration des comptes d'utilisateur 3-4 3-29 3-35 3-51 3-61 3-70
3-2
Dans ce module vous allez apprendre crer et grer les comptes d'utilisateur. Les comptes d'utilisateur stocks dans l'annuaire constituent le composant fondamental de l'identit. Compte tenu de leur importance, la connaissance des comptes d'utilisateur et les tches lies leur gestion sont essentielles l'efficacit d'un administrateur dans une entreprise Windows. Chaque jour, un rseau d'entreprise apporte son lot de dfis en matire de gestion des utilisateurs. Des employs sont embauchs, transfrs, se marient, divorcent et quittent l'entreprise. Ils commettent des erreurs, telles qu'oublier leurs mots de passe ou verrouiller leurs comptes en se connectant incorrectement. Les administrateurs doivent rpondre toutes ces situations et la gestion efficace des comptes d'utilisateur peut avoir un impact considrable sur votre productivit gnrale. Ce module aborde en premier lieu les options de cration de comptes d'utilisateur l'aide du composant logiciel enfichable Utilisateur et ordinateurs Active Directory et la commande DSAdd. Ces comptences, qui permettent de crer efficacement un compte d'utilisateur ou un petit nombre de comptes d'utilisateur, peuvent s'avrer peu pratiques et inefficaces lorsque vous grez de nombreux comptes. Le module porte donc galement sur diverses options d'automatisation de la cration d'utilisateurs.
3-3
Naturellement, la cration d'un utilisateur n'est que la premire tape dans le cycle de vie d'un utilisateur dans un domaine. Aprs avoir cr l'utilisateur, vous devez dfinir les attributs qui spcifient les proprits de l'entit de scurit (le compte ) et les proprits qui dfinissent et grent l'utilisateur. Vous devez savoir administrer le compte et quand l'administrer, pour rinitialiser le mot de passe et dverrouiller le compte, par exemple. Vous devez pouvoir transfrer l'utilisateur entre les units d'organisation et finalement supprimer les privilges d'accs au compte en le dsactivant ou en le supprimant. Ce module couvre les procdures de gestion d'un objet utilisateur dans son cycle de vie, savoir les procdures que vous pouvez excuter en utilisant l'interface Windows et les outils de ligne de commande et d'automatisation.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : crer et dfinir les proprits de compte d'un objet utilisateur ; identifier la fonction et les conditions des attributs d'un compte d'utilisateur ; excuter les tches d'administration courantes pour grer les comptes d'utilisateur, notamment rinitialiser un mot de passe et dverrouiller un compte ; activer et dsactiver des comptes d'utilisateur ; supprimer, dplacer et renommer des comptes d'utilisateur ; afficher et modifier les attributs masqus des objets utilisateur ; identifier la fonction et les conditions des attributs d'un objet utilisateur ; crer des utilisateurs partir de modles de comptes d'utilisateur ; modifier simultanment les attributs de plusieurs utilisateurs ; exporter les attributs d'un utilisateur avec CSVDE ; importer des utilisateurs avec CSVDE ; importer des utilisateurs avec LDIFDE.
3-4
Leon 1
Cration et administration des comptes d'utilisateur
Un compte d'utilisateur est le principal lment de l'identit et de l'accs (IDA) dans les services de domaine Active Directory. Par consquent, des processus cohrents, efficaces et srs d'administration des comptes d'utilisateur sont essentiels la gestion de la scurit de l'entreprise.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : crer et dfinir les proprits de compte d'un objet utilisateur ; identifier la fonction et les conditions des attributs d'un compte d'utilisateur ; excuter les tches d'administration courantes pour grer les comptes d'utilisateur, notamment rinitialiser un mot de passe et dverrouiller un compte ; activer et dsactiver des comptes d'utilisateur ; supprimer, dplacer et renommer des comptes d'utilisateur.
3-5
Compte dutilisateur
Points cls
Les objets utilisateur s'appellent gnralement des comptes d'utilisateur. Mais y regarder de plus prs, ce que l'on appelle un compte (le nom d'utilisateur, le mot de passe et ventuellement l'identificateur de scurit ou DIS) est simplement un sous-ensemble d'attributs d'un objet utilisateur. Les objets utilisateur Active Directory comportent de nombreux attributs qui sont soit lis indirectement au compte (tels que la proprit de chemin de profil) soit des attributs de la personne que le compte reprsente (tels que l'adresse lectronique, le numro de tlphone et les proprits de gestionnaire). Les comptes d'utilisateur, les attributs de compte rels de l'objet utilisateur, ont deux fonctions. Ils activent l'authentification, le processus d'ouverture de session au cours duquel l'identit de l'utilisateur est valide en comparant le nom et le mot de passe d'ouverture de session de l'utilisateur. Une fois que l'utilisateur a ouvert une session, le SID de son compte est compar aux autorisations sur les ressources auxquelles l'utilisateur tente d'accder. Le module 1 dcrit le processus d'ouverture de session, la gnration du jeton de scurit qui inclut le SID de l'utilisateur et le mcanisme par lequel les autorisations dans une liste de contrle d'accs sont compares au SID dans le jeton pour dterminer le niveau d'accs une ressource.
3-6
Un compte d'utilisateur peut tre cr et stock dans Active Directory. Un compte d'utilisateur de domaine permet d'ouvrir une session sur un ordinateur du domaine et d'accder aux ressources dans le domaine. Naturellement, les deux groupes d'activits dpendent des droits d'ouverture de session, des privilges et des autorisations affects au compte. En outre, bien que les comptes Active Directory soient le sujet principal de ce cours, les comptes peuvent tre galement stocks dans la base de donnes SAM (Security Accounts Manager) pour activer l'ouverture de session locale et l'accs aux ressources locales. Les comptes d'utilisateur locaux sont abords brivement dans ce cours, car ils n'en constituent pas le sujet principal.
3-7
Dmonstration : Cration d'un objet utilisateur
Points cls
Un objet utilisateur, appel gnralement compte d'utilisateur, contient le nom et le mot de passe de l'utilisateur qui servent d'informations d'identification d'ouverture de session. Un objet utilisateur contient galement d'autres attributs qui dcrivent et grent l'utilisateur. Pour crer un objet utilisateur : 1. 2. 3. Cliquez avec le bouton droit de la souris sur l'UO ou le conteneur dans lequel vous voulez crer l'utilisateur, pointez sur Nouveau et cliquez sur Utilisateur. Dans Prnom, tapez le prnom de l'utilisateur. Dans Deuxime prnom, tapez le deuxime prnom de l'utilisateur. Notez que cette proprit est destine au deuxime prnom de l'utilisateur et qu'elle ne correspond pas aux initiales du prnom et du nom. 4. Dans Nom, tapez le nom de l'utilisateur.
3-8
5.
Le champ Nom complet est rempli automatiquement. Modifiez-le, si ncessaire. Le champ Nom complet permet de crer des attributs pour un objet utilisateur, notamment les proprits de nom commun (CN) et de nom d'affichage. Le nom commun d'un utilisateur est celui qui s'affiche dans le volet d'informations du composant logiciel. Il doit tre unique dans le conteneur ou l'UO. Par consquent, si vous crez un objet utilisateur pour une personne portant le mme nom qu'un autre utilisateur dans une mme UO ou un mme conteneur, vous devez entrer un nom unique dans le champ Nom complet.
6.
Dans Nom d'ouverture de session de l'utilisateur, tapez le nom avec lequel l'utilisateur ouvrira des sessions, puis dans la liste droulante, slectionnez le suffixe UPN qui sera ajout au nom d'ouverture de session la suite du symbole @. Dans Active Directory, les noms d'utilisateur peuvent contenir certains caractres spciaux (notamment des points, des tirets et des apostrophes), ce qui permet de gnrer des noms exacts, tels que OHare et Smith-Bates. Toutefois, certaines applications peuvent avoir d'autres restrictions ; par consquent, il est recommand d'utiliser uniquement des lettres et des chiffres standard jusqu' ce que vous ayez test compltement les applications pour dterminer la compatibilit avec les caractres spciaux dans les noms d'ouverture de session. La liste des suffixes UPN disponibles peut tre gre en utilisant le composant logiciel enfichable Domaines et approbations Active Directory. Cliquez avec le bouton droit de la souris sur la racine du composant logiciel enfichable, Domaines et approbations Active Directory, cliquez sur Proprits et utilisez l'onglet Suffixes UPN pour ajouter ou supprimer des suffixes. Le nom DNS du domaine Active Directory est toujours disponible comme suffixe et vous ne pouvez pas le supprimer.
7.
Dans la zone Nom douverture de session de lutilisateur (antrieur Windows 2000), tapez le nom d'ouverture de session antrieur Windows 2000, gnralement appel nom d'ouverture de session de "bas niveau" Dans la base de donnes Active Directory, cet attribut s'appelle sAMAccountName. Cliquez sur Suivant. Entrez le mot de passe initial de l'utilisateur dans les zones Mot de passe et Confirmer le mot de passe.
8. 9.
3-9
10. Slectionnez L'utilisateur doit changer le mot de passe la prochaine ouverture de session. Il est recommand de toujours slectionner cette option pour que l'utilisateur puisse crer un mot de passe inconnu du service informatique. Les techniciens habilits du service informatique peuvent toujours rinitialiser le mot de passe de l'utilisateur plus tard s'ils doivent se connecter sous le nom de l'utilisateur ou accder ses ressources. Mais, seuls les utilisateurs doivent connatre leur mot de passe au jour le jour. 11. Cliquez sur Suivant. 12. Vrifiez le rsum et cliquez sur Terminer. L'interface Nouvel objet Utilisateur permet de dfinir un nombre limit de proprits de compte, telles que les paramtres de nom et de mot de passe. Toutefois, un objet utilisateur dans Active Directory a des dizaines d'autres proprits. Ces proprits peuvent tre dfinies aprs la cration de l'objet. 1. 2. 3. Cliquez avec le bouton droit de la souris sur lobjet utilisateur, puis cliquez sur Proprits. Dfinissez les proprits utilisateur. Cliquez sur OK.
Aide de Utilisateurs et ordinateurs Active Directory : Gestion des utilisateurs : http://go.microsoft.com/fwlink/?LinkId=168742 Cration d'un compte d'utilisateur : http://go.microsoft.com/fwlink/?LinkId=168743
3-10
Cration d'utilisateurs avec DSAdd
Points cls
Utilisez la commande DSAdd pour crer des objets dans Active Directory. La commande DSAdd User cre un objet utilisateur et accepte les paramtres qui dfinissent les proprits de l'utilisateur. La commande suivante montre les paramtres de base ncessaires la cration d'un compte d'utilisateur :
dsadd user "UserDN" samid nom d'ouverture de session antrieur Windows 2000 -pwd {mot de pass | *} mustchpwd yes
Le paramtre -pwd dfinit le mot de passe. Si vous entrez un astrisque (*), un message demande d'entrer un mot de passe d'utilisateur. Le paramtre -mustchpwd indique que l'utilisateur doit changer le mot de passe lors de l'ouverture de session suivante. DSAdd User accepte des paramtres qui dfinissent les proprits de l'objet utilisateur.
3-11
La commande suivante cre un utilisateur avec certains des champs les plus importants complts :
dsadd user "cn=Amy Strande,ou=Employees,ou=User Accounts,dc=contoso,dc=com" samid Amy.Strande -fn Amy ln Strande display "Strande, Amy" -pwd Pa$$w0rd -desc "Vice President, IT"
La plupart des noms de paramtre sont explicites : -email, -profile et -company, par exemple. Tapez dsadd user /? ou consultez le Centre d'aide et de support Windows Server 2008 qui contient la documentation complte des paramtres de la commande DSAdd User. Le jeton spcial $username$ reprsente le nom d'ouverture de session (antrieur Windows 2000), l'attribut sAMAccountName, dans la valeur des paramtres -email, -hmdir, -profile et -webpg. Par exemple, pour dfinir le dossier de base d'un utilisateur lors de la cration de l'utilisateur avec la commande DSAdd User de l'exemple prcdent, ajoutez le paramtre suivant :
-hmdir \\server01\users\$username$\documents
DSAdd : http://go.microsoft.com/fwlink/?LinkId=168744
3-12
Attributs de nom
Points cls
Il existe plusieurs attributs qui sont lis au nom d'un objet utilisateur et un compte. Il est important de comprendre ce qui les distingue. Le nom d'ouverture de session (antrieur Windows 2000) est, en arrireplan, l'attribut sAMAccountName. On l'appelle parfois le samid. Il doit tre unique dans l'ensemble du domaine. Le nom d'ouverture de session de l'utilisateur est l'attribut userPrincipalName dont l'abrviation est UPN. L'UPN est constitu du nom d'ouverture de session et d'un suffixe UPN qui est par dfaut le nom DNS du domaine dans lequel vous crez l'objet. L'UPN doit tre unique dans l'ensemble de la fort. Les adresses lectroniques, qui doivent tre uniques dans le monde entier, rpondent cette condition. Utilisez les adresses lectroniques comme UPN. Si le nom de domaine Active Directory n'est pas identique votre nom de domaine de messagerie, vous devez ajouter le nom de domaine de messagerie comme suffixe UPN disponible. Pour ce faire, ouvrez le composant logiciel enfichable Domaines et approbations Active Directory, cliquez avec le bouton droit de la souris sur la racine du composant enfichable et cliquez sur Proprits.
3-13
Le nom d'un utilisateur figure dans la premire colonne du volet des dtails du composant enfichable Domaines et approbations Active Directory et comme nom complet dans certaines interfaces, notamment dans la bote de dialogue Nouvel objet. Il doit tre unique dans l'UO. Le champ Nom est en fait le nom commun (CN) stock comme attribut cn. L'attribut cn doit tre unique dans l'UO, car il correspond au premier lment du nom unique, l'attribut distinguishedName, qui doit tre unique dans la fort. Le nom complet est l'attribut displayName qui apparat dans la liste d'adresses globale (DAL) Microsoft Exchange. Il est plus ais de rechercher des utilisateurs dans cette liste s'ils sont tris en fonction de leur nom. Par consquent, vous pouvez crer une convention d'affectation de nom pour votre entreprise qui indique que l'attribut utilise la syntaxe LastName, FirstName. Il n'existe pas de condition d'unicit pour l'attribut displayName, mais il est plus ais de rechercher des utilisateurs dans la liste GAL si chaque utilisateur un nom complet unique !
Question : Que devez vous faire dans votre entreprise pour assurer l'unicit des attributs de nom et quelle convention d'affectation de nom utilisez-vous ?
Noms d'objet : http://go.microsoft.com/fwlink/?LinkId=168745
3-14
Modification du compte d'un utilisateur
Points cls
Lorsque devez changer le nom de compte d'un utilisateur, vous devez modifier un ou plusieurs attributs. Pour renommer un utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. 2. Cliquez avec le bouton droit de la souris sur l'utilisateur, puis cliquez sur Renommer. Tapez le nouveau nom commun (CN) de l'utilisateur et appuyez sur ENTRE. La bote de dialogue Modification du nom de l'utilisateur s'affiche et demande d'entrer des attributs de nom supplmentaires. 3. 4. 5. 6. Tapez le nom complet (qui est associ aux attributs cn et name) Tapez le prnom et le nom. Tapez le nom d'affichage. Tapez le nom d'ouverture de session de l'utilisateur et le nom d'ouverture de session de l'utilisateur (antrieur Windows 2000).
3-15
Dans l'invite de commandes, vous pouvez utiliser la commande DSMod, comme suit :
dsmod user UserDN [-upn UPN][-fn FirstName][-mi Initial][-ln LastName] [-dn DisplayName][-email EmailAddress]
o UserDN est le nom unique (DN) de l'objet utilisateur. Chaque paramtre, tel que -dn, est prcd d'un tiret et suivi de la valeur que recevra l'attribut correspondant. Vous ne pouvez pas changer l'attribut samAccountName en utilisant DSMod et vous ne pouvez pas non plus modifier le nom commun (CN) de l'objet en utilisant DSMod. Utilisez la commande DSMove avec le paramtre -newname pour changer le nom commun de l'objet.
3-16
Attributs de compte
Points cls
Dans l'onglet Compte de la bote de dialogue des proprits d'un utilisateur figurent les attributs associs directement au fait que l'utilisateur est une entit de scurit, ce qui implique qu'il s'agit d'une identit laquelle vous pouvez affecter des autorisations et des droits.
3-17
Le tableau ci-dessous rpertorie les attributs de compte.

Proprit Horaires daccs Description Cliquez sur Horaires d'accs pour dfinir les heures auxquelles l'utilisateur est autoris ouvrir une session sur le rseau. Cliquez sur Se connecter si vous voulez limiter les postes de travail sur lesquels l'utilisateur peut ouvrir une session. Cette limitation s'appelle Restrictions d'ordinateurs dans d'autres parties de l'interface et elle est associe l'attribut userWorkstations. Vous devez activer NetBIOS over TCP/IP pour pouvoir utiliser cette fonction, car elle utilise le nom de l'ordinateur au lieu de l'adresse MAC (Media Access Control) de sa carte rseau pour limiter les ouvertures de session. Cochez cette case si vous voulez que l'utilisateur change le mot de passe que vous avez entr la premire fois qu'il ouvre une session. Vous ne pouvez pas slectionner cette option si vous avez slectionn Le mot de passe n'expire jamais. La slection de cette option dsactive automatiquement l'option mutuellement exclusive Lutilisateur ne peut pas changer de mot de passe. Cochez cette case si plusieurs personnes utilisent le mme compte d'utilisateur de domaine (tel que Invit) ou pour grer le contrle des mots de passe de compte d'utilisateur. Cette option est gnralement utilise pour grer les mots de passe de compte de service. Vous ne pouvez pas slectionner cette option si vous avez slectionn lutilisateur doit changer le mot de passe la prochaine ouverture de session. Cochez cette case si vous voulez que le mot de passe n'expire jamais. Cette option dsactive automatiquement l'option L'utilisateur doit changer le mot de passe la prochaine ouverture de session, car elles s'excluent mutuellement. Cette option est gnralement utilise pour grer les mots de passe de compte de service.
Se connecter
Lutilisateur doit changer le mot de passe la prochaine ouverture de session
Lutilisateur ne peut pas changer de mot de passe.
Le mot de passe n'expire jamais
3-18
(suite)
Proprit Le compte est dsactiv. Description Cochez cette case pour dsactiver le compte d'utilisateur, par exemple, lorsque vous crez un objet pour un nouvel employ qui ne doit pas encore accder au rseau. Cette option, qui stocke le mot de passe dans Active Directory sans utiliser l'algorithme puissant de hachage du chiffrement non rversible, permet de prendre en charge les applications qui doivent connatre le mot de passe de l'utilisateur. Si ce n'est pas absolument ncessaire, n'activez pas cette option, car elle affaiblit de manire significative la scurit des mots de passe. Les mots de passe stocks en utilisant le chiffrement rversible sont similaires ceux stocks sous la forme d'un texte ordinaire. Une carte puce est un matriel portable protg contre les falsifications qui stocke les informations d'identification uniques d'un utilisateur. Elle est lie un systme ou insre dans un systme et fournit un composant d'identification physique supplmentaire au processus d'authentification. Cette option permet un compte de service d'emprunter l'identit d'un utilisateur pour accder aux ressources du rseau pour le compte de l'utilisateur. Elle n'est gnralement pas slectionne et certainement pas pour un objet utilisateur qui est une personne. Elle est gnralement utilise pour les comptes de service dans les architectures d'application trois niveaux (multiniveaux). Utilisez les contrles Le compte expire pour indiquer quand le compte expire.
Enregistrer le mot de passe en utilisant un chiffrement rversible
Une carte puce est ncessaire pour ouvrir une session interactive
Le compte est approuv pour la dlgation
Le compte expire
Onglet Proprits de l'utilisateur - Compte : http://go.microsoft.com/fwlink/?LinkId=168746
3-19
Rinitialisation du mot de passe d'un utilisateur
Points cls
Si l'utilisateur oublie son mot de passe et tente d'ouvrir une session, il reoit un message d'ouverture de session. Pour qu'il puisse ouvrir une session, vous devez rinitialiser son mot de passe. Pour ce faire, vous n'avez pas besoin de connatre son mot de passe. Pour rinitialiser le mot de passe d'un utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. Cliquez avec le bouton droit de la souris sur l'objet utilisateur et cliquez sur Rinitialiser le mot de passe. La bote de dialogue Rinitialiser le mot de passe saffiche. 2. Entrez le nouveau mot de passe dans les zones Nouveau mot de passe et Confirmer le mot de passe. Il est judicieux d'affecter un mot de passe trs difficile deviner, unique et temporaire l'utilisateur.
3-20
3.
Cochez la case L'utilisateur doit changer le mot de passe la prochaine ouverture de session. Il est judicieux d'obliger l'utilisateur changer de mot de passe lors de sa prochaine ouverture de session afin qu'il choisisse un mot de passe que lui seul connat.
4. 5.
Cliquez sur OK. Communiquez le mot de passe temporaire l'utilisateur en utilisant une mthode scurise.
Vous pouvez utiliser galement la commande DSMod pour rinitialiser le mot de passe et ventuellement forcer l'utilisateur changer le mot de passe lors de l'ouverture de session suivante. Tapez la commande suivante :
dsmod user UserDN pwd NewPassword -mustchpwd yes
o UserDN est le nom unique (DN) de l'objet utilisateur et NewPassword, le nouveau mot de passe. Le paramtre -mustchpwd yes force l'utilisateur changer le mot de passe lors de l'ouverture de session suivante.
Conseil : configurez des mots de passe trs complexes pour les comptes de service. Les services ncessitent des informations d'identification pour accder aux ressources systme. La majorit des services ncessitent un compte d'utilisateur de domaine pour s'authentifier et il convient gnralement d'indiquer que le mot de passe du compte n'expire jamais. Dans ce cas, veillez choisir un mot de passe long et complexe. Si le compte de service est utilis par des services sur un nombre limit de systmes, vous pouvez renforcer la scurit du compte en dfinissant la proprit Se connecter avec la liste des systmes qui utilisent le compte de service.
Question : Quelles sont les implications de scurit associes la possibilit pour les administrateurs de rinitialiser les mots de passe des utilisateurs ? Question : Qui doit pouvoir rinitialiser le mot de passe des utilisateurs standard ? Celui des comptes avec des privilges d'administration ? Celui des comptes de service ? Question : Quelles sont les stratgies de rinitialisation des mots de passe en vigueur dans votre entreprise ?
Rinitialisation du mot de passe d'un utilisateur : http://go.microsoft.com/fwlink/?LinkId=168747
3-21
Dverrouillage du compte d'un utilisateur
Points cls
Un domaine Active Directory prend en charge des stratgies de verrouillage de compte. Une stratgie de verrouillage vise empcher un utilisateur de tenter de pntrer dans le rseau de l'entreprise en ouvrant des sessions de manire rpte en utilisant divers mots de passe jusqu' ce qu'il dcouvre le mot de passe correct. Lorsqu'un utilisateur tente d'ouvrir une session avec un mot de passe incorrect, un chec d'ouverture de session se produit. Lorsqu'un trop grand nombre d'checs se produisent pendant un dlai donn, dfini par la stratgie de verrouillage, le compte est verrouill. Lors de la prochaine tentative d'ouverture de session, l'utilisateur reoit une notification indiquant clairement que son compte est verrouill. Vous apprendrez dfinir des stratgies de verrouillage dans le module 9. Votre stratgie de verrouillage peut dfinir le dlai aprs lequel un compte verrouill est automatiquement dverrouill. Cependant, lorsqu'un utilisateur tente d'ouvrir une session et constate que son compte est verrouill, il contactera vraisemblablement le support technique.
3-22
Pour dverrouiller un compte d'utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. 2. 3. Cliquez avec le bouton droit sur lobjet utilisateur, puis cliquez sur Proprits. Cliquez sur longlet Compte. Cochez la case Dverrouiller le compte.
Windows Server 2008 permet galement de dverrouiller le compte d'un utilisateur lorsque vous choisissez la commande Rinitialiser le mot de passe. Pour dverrouiller un compte en rinitialisant le mot de passe d'un utilisateur : Dans la bote de dialogue Rinitialiser le mot de passe, cochez la case Dverrouiller le compte de l'utilisateur.
Cette mthode est particulirement pratique lorsque le compte d'un utilisateur est verrouill la suite de l'oubli du mot de passe par l'utilisateur. Dsormais, vous pouvez affecter un nouveau mot de passe, indiquer que l'utilisateur doit changer le mot de passe lors de l'ouverture de session suivante et dverrouiller le compte de l'utilisateur dans une seule bote de dialogue. Attention aux lecteurs associs des informations d'identification secondaires : l'association d'un lecteur des informations d'identification secondaires est souvent l'origine du verrouillage d'un compte. Si le mot de passe des informations d'identification secondaires est modifi et que le client Windows tente plusieurs fois de se connecter au lecteur, le compte se verrouille. Question : Outre l'oubli des mots de passe, quelles autres situations de verrouillage de compte avez-vous t confront ?
Le module 9 explique en dtail les stratgies de verrouillage de compte.
3-23
Dsactivation et activation des comptes d'utilisateur
Points cls
Les comptes d'utilisateur sont des entits de scurit, savoir des identits qui peuvent tre autorises accder aux ressources rseau. tant donn que chaque utilisateur est membre du groupe Utilisateurs du domaine et de l'identit spciale Utilisateurs authentifis, chaque compte d'utilisateur dispose au minimum d'un accs en lecture un important volume d'informations dans Active Directory et dans les systmes de fichiers, moins que vous vous soyez astreint verrouiller les listes de contrle d'accs (ACL) et soyez particulirement efficace en la matire. C'est la raison pour laquelle il est important de ne pas laisser les comptes d'utilisateur ouverts. Ceci implique que vous devez dfinir des stratgies de mot de passe et mettre en place des contrles (abords dans d'autres modules) et des procdures pour vous assurer que les comptes sont utiliss bon escient. Si un compte d'utilisateur est accessible avant qu'il soit ncessaire ou qu'un employ est absent pendant une longue priode, dsactivez le compte
3-24
Pour dsactiver un compte dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : Cliquez avec le bouton droit sur l'utilisateur, puis cliquez sur Dsactiver le compte.
Si le compte est dj dsactiv, la commande Activer le compte apparat lorsque vous cliquez avec le bouton droit de la souris sur l'utilisateur. Dans l'invite de commandes, vous pouvez utiliser la commande DSMod, comme suit :
dsmod user UserDN disabled yes
L'activation d'un compte revient remplacer yes par no pour la commande DSMod :
dsmod user UserDN disabled no
Dans chaque commande, UserDN est le nom unique (DN) de l'objet utilisateur et le paramtre -disabled {yes|no} active ou dsactive le compte. Question : Quelles sont les stratgies de dsactivation et d'activation de compte en vigueur dans votre entreprise ? Question : Quelles sont les implications de scurit associes la possibilit pour un utilisateur de dsactiver ou d'activer les comptes des utilisateurs ? Question : Dans quel cas choisiriez-vous de dsactiver un compte dutilisateur plutt que de le supprimer ?
Dsactivation ou activation du compte d'un utilisateur : http://go.microsoft.com/fwlink/?LinkId=168748
3-25
Suppression d'un compte dutilisateur
Points cls
Lorsqu'un compte devient inutile, vous pouvez le supprimer de l'annuaire. Pour supprimer un compte d'utilisateur dans Utilisateurs et ordinateurs Active Directory : 1. Slectionnez l'utilisateur et appuyez sur Suppr. ou cliquez avec le bouton droit de la souris sur l'utilisateur et cliquez sur Supprimer. Un message vous demande de confirmer la suppression compte tenu des implications importantes de la suppression d'une entit de scurit. 2. Confirmez la suppression.
Vous pouvez supprimer des objets d'Active Directory en utilisant la commande DSRm et une autre commande DS. La syntaxe de DSRm est simple :
dsrm UserDN
3-26
o UserDN est le nom unique (DN) de l'objet utilisateur. Notez que, contrairement aux autres commandes DS, DSRm n'est pas suivie de la classe d'objets utilisateur. Il est important de savoir que lorsqu'un compte est supprim, il est supprim de l'ensemble de l'annuaire. Vous ne pouvez pas simplement recrer un compte avec le nom du compte supprim en esprant qu'il ait les mmes membres de groupe et accs aux ressources ; il n'en est rien. La perte du SID de l'utilisateur et de ses appartenances aux groupes peut gnrer de graves problmes si vous ralisez par la suite que vous avez besoin du compte. C'est la raison pour laquelle les entreprises dsaffectent gnralement les comptes d'utilisateur par tapes. Tout d'abord, le compte est dsactiv. Aprs un certain dlai, il est supprim. Active Directory gre un sous-ensemble des proprits du compte, notamment son SID, pendant un certain dlai appel dure de vie de temporisation, qui est de 180 jours par dfaut. Pass ce dlai, l'enregistrement du compte est supprim de l'annuaire. Vous pouvez galement envisager de recycler un compte d'utilisateur. Si un utilisateur quitte l'entreprise, il est possible que l'entreprise embauche une nouvelle personne qui ait besoin d'accs, d'appartenances et de droits d'utilisateur trs similaires ceux de l'utilisateur prcdent. Vous pouvez dsactiver le compte jusqu'au remplacement de la personne, puis le renommer en fonction du nom du nouvel utilisateur. Le SID, les appartenances aux groupes et les accs aux ressources de l'utilisateur prcdent sont alors transfrs la nouvelle personne. Question : Quelles sont les pratiques de votre entreprise relatives la dsaffectation des comptes d'utilisateur ?
Suppression d'un compte dutilisateur : http://go.microsoft.com/fwlink/?LinkId=168749
3-27
Transfert d'un compte d'utilisateur
Points cls
Pour transfrer un objet utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. 2. Cliquez avec le bouton droit de la souris sur l'utilisateur, puis cliquez sur Dplacer. Cliquez sur le dossier de destination du compte d'utilisateur, puis cliquez sur OK.
Vous pouvez galement faire glisser l'objet utilisateur et le dposer sur l'UO de destination.
Pour transfrer un utilisateur avec un outil de ligne de commande, utilisez DSMove. La syntaxe de DSMove est la suivante :
dsmove UserDN newparent TargetOUDN
3-28
La commande DSMove ne dfinit pas la classe d'objets utilisateur. Elle indique simplement le nom unique (DN) de l'utilisateur et, dans l'espace rserv TargetOUDN, le nom DN de l'UO de destination de l'utilisateur. Sachez que lorsque vous transfrez un utilisateur, vous pouvez changer les objets Stratgie de groupe (GPO) qui s'appliquent l'utilisateur. Les objets Stratgie de groupe seront abords dans un autre module. Vous pouvez utiliser la commande DSMove avec le paramtre -newname pour changer le nom commun (CN) de l'objet.
Transfert d'un compte d'utilisateur : http://go.microsoft.com/fwlink/?LinkId=168750
3-29
Atelier pratique A : Cration et administration des comptes d'utilisateur
Scnario
Vous tes l'administrateur de Contoso, Ltd., une universit en ligne pour la formation des adultes. Deux nouveaux employs ont t embauchs : Chris Mayo et Amy Strande. Vous devez crer les comptes de ces utilisateurs. Le temps passe, Chris Mayo quitte l'entreprise et son compte doit tre administr conformment la stratgie de la socit de gestion du cycle de vie des comptes d'utilisateur.
3-30
Exercice 1 : Cration de comptes d'utilisateur

Dans cet exercice, vous allez crer les comptes d'utilisateur avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory et l'invite de commandes. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Prparer l'atelier pratique. Crer un compte dutilisateur standard avec Utilisateurs et ordinateurs Active Directory. Crer un compte d'utilisateur avec la commande DSAdd.

Dmarrez 6238B-HQDC01-A. Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Excutez D:\Labfiles\Lab03b\Lab03a_Setup.bat avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tche 2 : Cration d'un compte d'utilisateur avec Utilisateurs et

ordinateurs Active Directory
Excutez Utilisateurs et ordinateurs Active Directory avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd Crez un compte d'utilisateur pour Chris Mayo dans l'UO Employees. Prnom : Chris Nom : Mayo Nom douverture de session de lutilisateur : Chris.Mayo Nom d'ouverture de session de l'utilisateur (antrieur Windows 2000) : Chris.Mayo Mot de passe : Pa$$w0rd Indiquez qu'il doit changer son mot de passe lors de l'ouverture de session suivante.
3-31
Tche 3 : Crer un compte d'utilisateur avec la commande DSAdd.

Excutez l'invite de commandes avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'invite de commandes, crez un compte d'utilisateur pour Amy Strande dans l'UO Employees. Prnom : Amy Nom : Strande Nom d'entit de scurit de l'utilisateur : Amy.Strande@contoso.com Nom d'ouverture de session de l'utilisateur (antrieur Windows 2000) : Amy.Strande Nom d'affichage : Strande, Amy Description : Vice President, IT
Dans Utilisateurs et ordinateurs Active Directory, ouvrez les proprits du compte d'administrateur que vous venez de crer et vrifiez que les attributs ont t correctement dfinis.
Rsultats : Dans cet exercice, vous crez les comptes d'utilisateur Chris Mayo et Amy Strand dans l'UO Employees.
3-32
Exercice 2 : Administrer les comptes d'utilisateur

Dans cet exercice, vous allez excuter des tches courantes de gestion des comptes d'utilisateur pendant leur cycle de vie dans Active Directory. Les tches principales de cet exercice sont les suivantes : 1. 2. Administrer un compte d'utilisateur. Administrer le cycle de vie d'un compte d'utilisateur.
Tche 1 : Administrer un compte d'utilisateur.

Le compte d'utilisateur d'Amy Strande est dsactiv, car aucun mot de passe n'a t dfini avec la commande DSAdd. 1. 2. Quel paramtre devez-vous utiliser avec la commande DSAdd pour dfinir un mot de passe ? Dans Utilisateurs et ordinateurs Active Directory, rinitialisez le mot de passe d'Amy Strande, Pa$$w0rd et indiquez-lui qu'elle doit changer le mot de passe lors de l'ouverture de session suivante. Dans Utilisateurs et ordinateurs Active Directory, activez le compte d'utilisateur d'Amy Strande. Quelle commande pouvez-vous utiliser dans l'invite de commandes pour rinitialiser le mot de passe, indiquer que le mot de passe doit tre chang lors de l'ouverture de session suivante et activer le compte ? crivez la commande en incluant tous les paramtres.
Rsultats : la fin de cet exercice, le compte d'Amy Strande est activ.
3. 4.
Tche 2 : Administrer le cycle de vie d'un compte d'utilisateur.

1. La stratgie Contoso de gestion du cycle de vie des comptes d'utilisateur stipule que : Lorsqu'un utilisateur quitte l'entreprise ou qu'il est absent, le compte de l'utilisateur doit tre dsactiv immdiatement et transfr vers l'UO des comptes dsactivs appele Disabled Accounts. Soixante jours aprs le dpart d'un utilisateur, le compte doit tre supprim.
2.
Chris Mayo a quitt Contoso, Ltd. Dsactivez son compte et transfrez-le vers l'UO Disabled Accounts.
3-33
3.
Vous avez dsactiv le compte de Chris Mayo il y a 60 jours et les procdures de la socit stipulent qu'aprs 60 jours, un compte dsactiv doit tre supprim. Supprimez le compte d'utilisateur de Chris Mayo. Fermez la session sur HQDC01.
Rsultats : la fin de cet exercice, le compte de Chris Mayo est supprim.
4.
Remarque : n'arrtez pas les ordinateurs virtuels lorsque vous avez termin l'atelier, car vous allez utiliser les paramtres que vous avez dfinis ici dans l'atelier B.
3-34
Exercice 3 (facultatif avanc) : Analyse des attributs de nom d'un compte d'utilisateur
Les exercices avancs facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplmentaires. Le corrig de l'atelier pratique ne contient pas de rponses. Les tches principales de cet exercice sont les suivantes : 1. 2. Crez un exemple de compte dutilisateur. Dans la zone Nom complet, tapez le nom de l'utilisateur en utilisant le format LastName, FirstName. Observez l'affichage de l'utilisateur dans le volet des dtails Utilisateurs et ordinateurs Active Directory. L'utilisateur doit apparatre sous la forme LastName, FirstName. Dans les proprits de l'objet utilisateur, cliquez sur l'onglet diteur d'attributs et examinez la valeur relle de l'attribut cn. Utilisez le composant logiciel enfichable Schma Active Directory pour examiner l'attribut sAMAccountName. Quelle est la limite de longueur dfinie par le schma ? Essayez de crer un nom d'utilisateur de 30 caractres dans la zone Nom d'ouverture de session de l'utilisateur (antrieur Windows 2000). Essayez de dterminer la longueur maximale de l'attribut sAMAccountName. Active Directory limite l'attribut sAMAccountName des objets utilisateur une longueur sensiblement plus courte que celle dfinie par le schma.
3. 4.
5.

Question : Dans cet atelier, quels sont les attributs qui peuvent tre modifis lorsque vous crez un compte d'utilisateur avec l'invite de commandes, mais qui ne peuvent pas l'tre lorsque vous le crez avec Utilisateurs et ordinateurs Active Directory ? Question : Que se passe-t-il lorsque vous crez un compte d'utilisateur disposant d'un mot de passe qui ne rpond pas aux conditions du domaine ?
3-35
Leon 2
Dfinition des attributs des objets utilisateur
Points cls
Un objet utilisateur dans Active Directory ne se limite pas quelques proprits associes l'identit de scurit d'un utilisateur ou d'un compte. Un objet utilisateur comprend des attributs qui dcrivent le personne et sa relation l'entreprise, ainsi que les informations de contact et la configuration de l'environnement de l'utilisateur sur son ordinateur. Dans cette leon, vous allez explorer de nombreux attributs plus utiles des objets utilisateur et apprendre les administrer pour un ou plusieurs utilisateurs.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : afficher et modifier les attributs masqus des objets utilisateur ; identifier la fonction et les conditions des attributs d'un objet utilisateur ;
3-36
modifier simultanment les attributs de plusieurs utilisateurs ; grer les attributs d'utilisateur depuis l'invite de commandes ; crer des utilisateurs partir de modles de comptes d'utilisateur.
3-37
Dmonstration : Dcouverte des attributs utilisateur
Points cls
Lorsque vous crez un utilisateur dans l'Assistant Nouvel objet Utilisateur du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, l'Assistant demande de dfinir des proprits courantes, notamment le nom d'ouverture de session, le mot de passe, le prnom et le nom. Toutefois, dans Active Directory, un objet utilisateur utilise des dizaines de proprits supplmentaires que vous pouvez dfinir tout moment avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
3-38
Pour lire et modifier les attributs d'un objet utilisateur, cliquez avec le bouton droit de la souris sur l'utilisateur et cliquez sur Proprits.
Les attributs d'un objet utilisateur sont classs dans plusieurs grandes catgories qui apparaissent dans les onglets de la bote de dialogue. Attributs de compte : Onglet Compte. Ces proprits comprennent les noms d'ouverture de session, les mots de passe et les indicateurs de compte. La plupart de ces attributs peuvent tre dfinis lorsque vous crez un utilisateur avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. La section Proprits d'un compte dcrit en dtail les attributs d'un compte.
3-39
Informations personnelles : Onglets Gnral, Adresse, Tlphones et Organisation. L'onglet gnral contient les proprits de nom que vous dfinissez lorsque vous crez un objet utilisateur, ainsi que la description de base et les informations de contact. Les onglets Adresse et Tlphones fournissent des informations de contact dtailles. L'onglet Tlphones est galement l'emplacement dans lequel Microsoft a choisi de placer le champ Commentaires qui est associ l'attribut info. Il s'agit d'un champ de texte gnral trs utile qui n'est pas suffisamment exploit par les entreprises. L'onglet Organisation indique la fonction, le service, la socit et les relations organisationnelles. Gestion de la configuration de l'utilisateur : Onglet Profil. Dans cet onglet, vous dfinissez le chemin de profil, le script d'ouverture de session et le dossier de base de l'utilisateur. Appartenance aux groupes : Onglet Membre de. Vous pouvez ajouter l'utilisateur des groupes ou l'en retirer et modifier son groupe principal. L'appartenance des groupes et le groupe principal seront tudis dans un autre module. Services Terminal Server : Onglets Profil de services Terminal Server, Environnement, Contrle distance et Sessions. Ces quatre onglets permettent de dfinir et de grer l'environnement de l'utilisateur lorsqu'il est connect une session de services Terminal Server. Accs distance : Onglet Appel entrant. Vous pouvez activer et dfinir l'autorisation d'accs distance d'un utilisateur dans cet onglet. Applications : Onglet COM+. Cet onglet permet d'affecter l'utilisateur un groupe de partitions Active Directory COM+. Cette fonction facilite la gestion des applications distribues.
3-40
Affichage de tous les attributs
Points cls
L'diteur d'attributs permet d'afficher et de modifier tous les attributs d'un objet utilisateur. L'onglet diteur d'attributs n'est pas visible tant que vous n'activez pas les fonctions avances dans le menu Affichage de la console MMC. Cet diteur contient tous les attributs systme de l'objet slectionn. Le bouton Filtre permet d'afficher des attributs supplmentaires, notamment les liens prcdents et les attributs construits. Les liens prcdents sont les attributs qui rsultent de rfrences l'objet dans d'autres objets. La comprhension des liens prcdents est plus aise en utilisant un exemple : l'attribut memberOf. Lorsque vous ajoutez un utilisateur un groupe, l'attribut member du groupe est modifi : le nom unique de l'utilisateur est ajout cet attribut multivaleur. Par consquent, l'attribut member d'un groupe s'appelle un attribut de lien suivant. L'attribut memberOf d'un utilisateur est mis jour automatiquement par Active Directory lorsque l'attribut member d'un groupe fait rfrence l'utilisateur. Vous n'crivez jamais directement dans l'attribut memberOf d'un utilisateur ; il est gr dynamiquement par Active Directory.
3-41
Un attribut construit est un attribut qui rsulte d'un calcul effectu par Active Directory. L'attribut tokenGroups est un exemple d'attribut construit. Cet attribut correspond la liste des identificateurs de scurit (SID) de tous les groupes auxquels l'utilisateur appartient, y compris les groupes imbriqus. Pour dterminer la valeur de tokenGroups, Active Directory doit calculer l'appartenance effective de l'utilisateur, ce qui ncessite un temps de traitement. Par consquent, l'attribut n'est pas stock dans l'objet utilisateur ni gr dynamiquement. Il est calcul lorsque cela est ncessaire. Compte tenu du temps de traitement ncessaire la gnration des attributs construits, l'diteur d'attributs ne les affiche pas par dfaut. Vous ne pouvez pas non plus les utiliser dans les requtes LDAP (Lightweight Directory Access Protocol). Question : Utilisez-vous des attributs masqus dans votre entreprise ? Si tel est le cas, interagissez-vous avec ces attributs (les lisez-vous et les modifiez-vous) ?
3-42
Modification des attributs de plusieurs utilisateurs
Points cls
Le composant logiciel Utilisateurs et ordinateurs Active Directory permet de modifier simultanment les proprits de plusieurs objets utilisateur. Pour modifier les attributs de plusieurs utilisateurs dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. Slectionnez plusieurs objets utilisateur en maintenant la touche CTRL enfonce et en cliquant sur chaque utilisateur ou en utilisant une autre technique de slection multiple. Veillez slectionner uniquement les objets d'une seule classe, telle que Utilisateurs. 2. Les objets tant slectionns, cliquez dessus avec le bouton droit de la souris et cliquez sur Proprits.
3-43
Lorsque vous slectionnez plusieurs objets utilisateur, vous pouvez modifier un sous-ensemble de proprits. Gnral : Description, Bureau, Numro de tlphone, Tlcopie, Page Web, Messagerie Compte : Suffixe UPN, Heures d'accs, Restrictions d'ordinateurs (postes de travail d'ouverture de session), Toutes les options du compte, Le compte expire Adresse : Rue, Bote postale, Ville, Dpartement, Code postal, Pays/Rgion Profil : Chemin de profil, Script d'ouverture de session, Dossier de base Organisation : Titre, Service, Socit, Gestionnaire
3-44
Gestion des attributs d'utilisateur avec DSMod et DSGet
Points cls
Les commandes DSMod et DSGet sont deux outils de ligne de commande Active Directory, appels galement commandes DS. DSMod DSMod modifie les attributs d'un ou de plusieurs objets existants. La syntaxe de base est la suivante :
dsmod user UserDN [-parameter value]
Le paramtre UserDN indique le nom unique de l'utilisateur modifier. Les autres paramtres indiquent l'attribut changer et la nouvelle valeur. Par exemple, la commande suivante remplace l'attribut office par Tony Krijnen :
dsmod user "cn=Tony Krijnen,ou=Employees,OU=User Accounts,dc=contoso,dc=com" office "Stockholm"
3-45
Les paramtres d'attributs ne sont pas associs directement aux noms des attributs LDAP d'un objet utilisateur. Par exemple, le paramtre -dept de la commande DSMod User modifie l'attribut department d'un objet utilisateur. En outre, la commande DSMod User peut modifier uniquement un sous-ensemble d'attributs d'utilisateur. Tapez dsmod user /? pour afficher les informations d'utilisation et la liste des paramtres pris en charge. Envoi de plusieurs DN dans DSMod Il n'est pas ncessaire d'entrer le paramtre UserDN de la commande DSMod directement dans l'invite de commandes. Vous pouvez envoyer les DN vers la commande de deux manires. La premire mthode consiste entrer les DN dans la console. Supposez que vous deviez changer l'attribut office de deux utilisateurs, Linda Mitchell et Scott Mitchell, pour indiquer qu'ils travaillent dans le bureau de Sydney. l'invite de commandes, tapez ce qui suit :
dsmod user office "Sydney"
Le paramtre UserDN manque. La console (l'invite de commandes) attend que vous entriez les DN des utilisateurs. Entrez un DN par ligne entre guillemets et appuyez sur ENTRE aprs chaque DN. Aprs avoir entr le dernier DN et appuy sur ENTRE, appuyez sur CTRL+Z au dbut de la ligne suivante et sur ENTRE pour indiquer que vous avez termin. La commande s'excute sur chaque DN que vous avez entr. Une mthode plus complexe pour envoyer les DN la commande DSMod consiste envoyer le rsultat d'une commande DSQuery. DSQuery recherche dans Active Directory les critres dfinis et renvoie les DN des objets correspondants. Par exemple, pour remplacer l'attribut office des comptes de Linda et Scott Mitchell par Sydney, utilisez la commande suivante :
dsquery user name "* Mitchell" | dsmod user office "Sydney"
La commande DSQuery User recherche dans Active Directory les utilisateurs dont le nom se termine par Mitchell. Les DN des objets rsultant sont envoys DSMod User qui remplace l'attribut office par Sydney. Voici un autre exemple. Supposez que vous vouliez affecter tous les utilisateurs un dossier de base sur SERVER01. La commande suivante change les attributs homeDirectory et homeDrive des objets utilisateur dans l'UO User Accounts :
dsquery user "ou= User Accounts,dc=contoso,dc=com" | dsmod user -hmdir "\\server01\users\$username$\documents" hmdrv "U:"
3-46
Le jeton spcial $username$ peut tre utilis pour reprsenter le sAMAccountName des objets utilisateur lorsque vous utilisez des commandes DS pour dfinir la valeur des paramtres email, -hmdir, -profile et -webpg. DSGet La commande DSGet obtient les attributs slectionns d'un ou de plusieurs objets. Sa syntaxe est similaire celle de DSMod :
dsget user UserDN... [-parameter]
Vous pouvez fournir les DN d'un ou de plusieurs objets en les spcifiant dans la commande, spars par un espace, en les entrant dans la console ou en envoyant les rsultats d'une commande DSQuery User par pipe. Contrairement la commande DSMod, DSGet utilise uniquement un paramtre et non pas une valeur associe. Par exemple, DSGet utilise le paramtre -samid comme la commande DSMod, mais pas une valeur. En fait, il signale la valeur actuelle de l'attribut. Par exemple, pour afficher le nom d'ouverture de session antrieur Windows 2000 de Jeff Ford dans l'UO Employees, utilisez la commande suivante :
dsget user "cn=Jeff Ford,ou= Employees,ou=User Accounts,dc=contoso,dc=com" samid
Pour afficher les adresses lectroniques de tous les utilisateurs dont l'attribut de description indique qu'ils se trouvent Sydney, utilisez la commande suivante :
dsquery user desc "*Sydney*" | dsget user email
3-47
Dmonstration : Cration d'utilisateurs avec des modles
Points cls
En rgle gnrale, les utilisateurs d'un domaine ont de nombreuses proprits similaires. Par exemple, tous les reprsentants peuvent appartenir aux mmes groupe de scurit, ouvrir des sessions sur le rseau aux mmes heures et avoir des dossiers de base et des profils d'itinrance stocks sur le mme serveur. Lorsque vous crez un utilisateur, il suffit de copier un compte d'utilisateur existant au lieu de crer un compte vierge et de dfinir chaque proprit. Depuis Windows NT 4.0, Windows repose sur le concept de modles de comptes d'utilisateur. Un modle de compte d'utilisateur est un compte d'utilisateur gnrique prrempli avec des proprits communes. Par exemple, vous pouvez crer un modle de compte pour les reprsentants, qui est prdfini avec des membres de groupe, des heures d'ouverture de session, un dossier de base et un chemin de profil d'itinrance.
3-48
Pour crer un modle de compte d'utilisateur : 1. Crez un compte d'utilisateur et prremplissez-le avec les attributs appropris.
Conseil : utilisez une convention d'affectation de nom standard qui facilite la recherche des modles. Par exemple, dfinissez le nom complet en le faisant prcder du caractre de soulignement (_), comme dans _Sales User. En procdant ainsi, tous les modles apparatront au dbut de la liste des utilisateurs dans une UO.
2.
Dsactivez le modle de compte d'utilisateur. Le modle de compte lui-mme ne doit pas tre utilis pour ouvrir une session sur le rseau. Par consquent, veillez le dsactiver.
Pour crer un utilisateur partir du modle : 1. 2. 3. 4. 5. Cliquez avec le bouton droit de la souris sur le modle et cliquez sur Copier. L'Assistant Copier l'objet Utilisateur s'affiche. Dans Prnom, tapez le prnom de l'utilisateur. Dans Nom, tapez le nom de l'utilisateur. Modifiez le nom complet, si ncessaire. Dans Nom d'ouverture de session de l'utilisateur, tapez le nom correspondant, puis slectionnez le suffixe du nom d'entit de scurit appropri (UPN) dans la liste droulante. Dans Nom d'ouverture de session de l'utilisateur (antrieur Windows 2000), tapez le nom correspondant de l'utilisateur. Cliquez sur Suivant. Dans Mot de passe et Confirmer le mot de passe, tapez le mot de passe de l'utilisateur. Slectionnez les options de mot de passe appropries.
6. 7. 8. 9.
10. Si le compte d'utilisateur partir duquel le nouveau compte d'utilisateur a t copi tait dsactiv, dsactivez Le compte est dsactiv pour activer le nouveau compte.
Copie d'un compte d'utilisateur : http://go.microsoft.com/fwlink/?LinkId=168751
3-49
Cration d'utilisateurs avec des modles
Points cls
Il est important de savoir que les attributs ne sont pas tous copis. La liste cidessous rpertoire les attributs qui sont copis. Il n'est pas ncessaire de dfinir les autres attributs du modle, car ils ne sont pas copis. Onglet Gnral : aucune proprit de cet onglet n'est copie. Onglet adresse : seuls la bote postale, la ville, le dpartement ou le code postal et le pays sont copis. Notez que la rue n'est pas copie. Onglet Compte : les heures d'ouverture de session, les postes de travail d'ouverture de session, les options de compte et l'expiration du compte sont copis. Onglet Profil : le chemin de profil, le script d'ouverture de session, le lecteur de base et le chemin du dossier de base sont copis. Onglet Organisation : le service, la socit et le gestionnaire sont copis. Onglet Membre de : les membres des groupes et le groupe principal sont copis.
3-50
Remarque : d'autres attributs sont copis qui ne sont pas visibles dans la bote de dialogue des proprits de l'utilisateur. Ces attributs incluent assistant, division et employee type.
Question : Quelles autres mthodes utilisez-vous pour crer des comptes d'utilisateur ayant des attributs communs ?
3-51
Atelier pratique B : Dfinition des attributs des objets utilisateur
Scnario
Vous tes l'administrateur de Contoso, Ltd., une universit en ligne pour la formation des adultes. Des changements dans le service commercial impliquent de modifier les attributs des utilisateurs du service. En outre, vous dcidez de faciliter la cration des comptes des commerciaux en prparant un modle de compte d'utilisateur.
3-52
Exercice 1 : Dfinition des attributs des objets utilisateur

Dans cet exercice, vous allez examiner les attributs d'un objet utilisateur. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Prparer l'atelier pratique. Explorer les proprits d'un objet utilisateur Active Directory. Explorer tous les attributs d'un objet utilisateur Active Directory. Analyser les attributs d'affectation de nom et d'affichage d'un objet utilisateur.

L'ordinateur virtuel doit tre dj dmarr et disponible aprs avoir termin l'atelier A. S'il ne l'est pas, vous devez le dmarrer et effectuer les exercices de l'atelier A avant de continuer. Dmarrez 6238B-HQDC01-A. Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Excutez D:\Labfiles\Lab03b\Lab03a_Setup.bat avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tche 2 : Explorer les proprits d'un objet utilisateur Active Directory

Excutez Utilisateurs et ordinateurs Active Directory avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd Ouvrez les proprits de Tony Krijnen dans l'UO Employees. Dans cet exemple de domaine contoso.com, des attributs ont t dfinis dans les onglets Gnral, Adresse, Compte et Organisation. Examinez chaque onglet, puis fermez la bote de dialogue Proprits.
3-53
Tche 3 : Explorer tous les attributs d'un objet utilisateur Active

Directory
Activez la vue Fonctionnalits avances du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Examinez l'onglet diteur d'attributs de la bote de dialogue Proprits de Tony Krijnen.
Tche 4 : Analyser les attributs d'affectation de nom et d'affichage de

l'objet utilisateur
Pour chacun des attributs suivants dans la bote de dialogue des proprits de Tony Krijnen, identifiez le nom d'attribut correspondant dans l'onglet diteur d'attributs :
Onglet de la bote de dialogue Proprits Gnral Gnral Gnral Gnral Gnral Gnral Gnral Adresse Adresse Adresse Adresse Organisation Organisation Organisation Nom de proprit Prnom Nom Nom d'affichage Description Bureau Numro de tlphone Courrier lectronique Rue Ville Code postal Pays Fonction Service Socit Nom d'attribut figurant dans l'onglet diteur d'attributs
3-54
Question : 1. Utilisez l'onglet diteur d'attributs pour rpondre aux questions suivantes : L'attribut employeeID dans l'onglet diteur d'attributs figure-t-il dans un onglet standard dans la bote de dialogue Proprits ? Si oui, lequel ? Et propos de carLicense ? Dans l'onglet diteur d'attributs, quel est le nom unique (DN) de l'objet Tony Krijnen ? Dans l'onglet diteur d'attributs, quel est le nom d'entit de scurit (UPN) de l'utilisateur Tony ? Dans quel autre onglet l'attribut apparat-il et comment s'appelle-t-il et est-il affich ?
2.
Questions complexes : Essayez de rpondre aux questions suivantes. Il se peut que vous ne trouviez pas la rponse. Ce n'est pas grave. Aprs avoir tent de rpondre une question, vous pouvez vous reporter au corrig de l'atelier pratique. Pourquoi l'attribut sn peut-il s'appeler sn ? Quel est la fonction de l'attribut c ?
3-55
Exercice 2 : Grer les attributs des objets utilisateur

Dans cet exercice, vous allez grer les attributs des objets utilisateur. Les tches principales de cet exercice sont les suivantes : 1. 2. Modifier simultanment les attributs de plusieurs utilisateurs. Grer les attributs d'utilisateur depuis l'invite de commandes.
Tche 1 : Modifier simultanment les attributs de plusieurs utilisateurs

Une quipe Marketing spciale a t cre par Ariane Berthier, le vice prsident Marketing. Les membres de l'quipe sont transfrs au sige social et seront directement sous les ordres d'Ariane. Slectionnez les utilisateurs suivants dans l'UO Employees : Adam Barr, Adrian Lannin, Ajay Manchepalli, Ajay Solanki, Allan Guinot, Anav Silverman et Andrs Tth. Dfinissez les proprits suivantes des utilisateurs : Bureau : Headquarters. Description : Marketing Task Force. Gestionnaire : Ariane Berthier.
Aprs avoir modifi les attributs, ouvrez les proprits d'Adam Barr et examinez les attributs que vous venez de modifier. L'attribut Gestionnaire est un attribut li. L'autre extrmit du lien est l'attribut Collaborateurs directs. Ouvrez les proprits d'Ariane Berthier et examinez Collaborateurs directs.
Tche 2 : Grer les attributs utilisateur depuis l'invite de commandes

Ouvrez l'invite de commandes avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. Utilisez les commandes DS pour afficher la liste des adresses lectroniques de tous les utilisateurs de l'quipe Marketing Task Force.
Conseil : Les utilisateurs de l'quipe Marketing Task Force ont la mme proprit Description.
3-56
Utilisez les commandes DS pour dfinir le dossier de base de tous les utilisateurs de l'quipe Marketing Task Force pour qu'ils aient chacun le lecteur U associ \\FILE01\TaskForceUsers\username, o username est le nom d'ouverture de session unique de l'utilisateur. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que les modifications que vous avez apportes ont t appliques correctement en examinant les proprits de Adam Barr.
3-57
Exercice 3 : Cration d'utilisateurs partir d'un modle

Dans cet exercice, vous allez crer un modle de compte d'utilisateur et gnrer un nouveau compte d'utilisateur partir du modle. Les tches principales de cet exercice sont les suivantes : 1. 2. Crer un modle de compte d'utilisateur pour Sales. Crer un compte dutilisateur partir d'un modle.
Tche 1 : Cration d'un modle de compte d'utilisateur pour le

dpartement Sales
Dans l'UO Employees, crez un modle de compte pour les nouveaux commerciaux avec les proprits suivantes : Prnom et Nom : vides. Nom complet : _Sales User (notez le caractre de soulignement au dbut du nom). Nom douverture de session de lutilisateur : Template.Sales. Mot de passe : Pa$$w0rd. Lutilisateur doit changer le mot de passe la prochaine ouverture de session. Le compte est dsactiv. Membre de : Sales. Service : Sales. Socit : Contoso, Ltd. Gestionnaire : Anibal Sousa. Le compte expire : dernier jour de l'anne actuelle.
Tche 2 : Cration d'un compte d'utilisateur partir d'un modle

Dans l'UO Employees, crez un compte pour un nouveau commercial partir du modle _Sales User. Le compte doit avoir les proprits suivantes : Prnom : Rob. Nom : Young.
3-58
Nom douverture de session de lutilisateur : Rob.Young. Mot de passe : Pa$$w0rd. Le compte est dsactiv.
Rsultats : la fin de cet exercice, vous disposez du compte d'utilisateur Rob Young dans l'UO Employees. Le compte a tous les attributs dfinis pour le modle _Sales User.
3-59
Exercice 4 (facultatif avanc) : Crer des utilisateurs dans un fichier de commandes

Les exercices avancs facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplmentaires. Le corrig de l'atelier pratique ne contient pas de rponses. Les tches principales de cet exercice sont les suivantes : 1. Crez le script User_Provision.bat qui utilise DSAdd pour placer un utilisateur dans l'UO Employees. Le but est de pouvoir excuter le script avec deux paramtres : prnom et nom. Le fichier de commandes doit utiliser ces deux paramtres et crer un compte d'utilisateur ayant les attributs suivants : le prnom et le nom dfinis dans les paramtres dans la ligne de commande ; le nom dans le format FirstName LastName ; le sAMAccountName dans le format FirstName.LastName ; le userPrincipalName dans le format FirstName.LastName@contoso.com ; l'adresse lectronique dans le mme format que l'UPN ; le displayName dans le format LastName, FirstName ; le mot de passe initial Pa$$w0rd que l'utilisateur doit changer lors de la premire ouverture de session.
Conseil : lorsque vous excutez un script de commandes avec des paramtres, le script peut faire rfrence au premier paramtre sous la forme %1 et le second, sous la forme %2.
2.
Excutez l'invite de commandes avec les informations d'identification d'administrateur et testez le script pour crer un exemple de compte d'utilisateur. Vrifiez que l'utilisateur a t cr et que tous les attributs sont remplis conformment aux instructions ci-dessus. Comparez les rsultats D:\Labfiles\Lab03b\User_Provision.bat.
3.
Remarque : n'arrtez pas l'ordinateur virtuel lorsque vous avez termin l'atelier, car vous allez utiliser les paramtres que vous avez dfinis ici dans l'atelier C.
3-60

Question : Quelles options avez-vous apprises pour modifier les attributs des utilisateurs nouveaux et existants ? Question : Quels sont les avantages et les inconvnients de chaque option ?
3-61
Leon 3
Automatisation de la cration des comptes d'utilisateur
Bien que les procdures tudies dans les leons 1 et 2 puissent tre appliques pour crer un petit nombre d'utilisateurs, vous avez besoin de techniques plus avances pour automatiser la cration des comptes d'utilisateur lorsqu'il est ncessaire d'ajouter de nombreux utilisateurs au domaine. Dans cette leon, vous allez apprendre ces techniques. la fin de cette leon, vous serez mme d'effectuer les tches suivantes : Exporter les attributs d'un utilisateur avec CSVDE Importer des utilisateurs avec CSVDE Importer des utilisateurs avec LDIFDE
3-62
Exporter des utilisateurs avec CSVDE
Points cls
CSVDE est un outil de ligne de commande qui exporte ou importe les objets Active Directory vers et depuis un fichier texte dlimit par des virgules (appel galement fichier texte de valeur spares par des virgules ou .csv). Les fichiers dlimits par des virgules peuvent tre crs, modifis et ouverts avec des outils courants, tels que le Bloc-notes et Microsoft Office Excel. La syntaxe de base de la commande CSVDE pour l'exportation est :
csvde -f filename
Toutefois, cette commande exporte tous les objets dans le domaine Active Directory. Vous devez limiter l'tendue de l'exportation avec les quatre paramtres suivants : -d RootDN. Dfinit le nom unique du conteneur de la source d'exportation. La valeur par dfaut est le domaine.
3-63
-p SearchScope. Dfinit l'tendue de la recherche par rapport au conteneur dfini par -d. SearchScope peut tre base (l'objet uniquement), onelevel (les objets dans le conteneur) ou subtree (le conteneur et tous ses sousconteneurs). La valeur par dfaut est subtree. -r Filter. Filtre les objets retourns dans l'tendue dfinie par -d et -p. Le filtre est une commande de requte LDAP (Lightweight Directory Access Protocol). Vous utiliserez un filtre dans l'atelier de cette leon. La commande de requte LDAP n'entre pas dans le cadre de ce cours. Voir http://go.microsoft.com/fwlink/?LinkId=168752 pour plus d'informations. -l ListOfAttributes. Dfinit les attributs exporter. Utilisez le nom LDAP de chaque attribut spar par une virgule, comme dans -l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
La sortie d'une exportation CSVDE correspond la liste de tous les noms d'attribut LDAP sur la premire ligne. Les objets suivent sur une ligne distincte et doivent contenir exactement les attributs figurant sur la premire ligne. Voici un exemple de fichier :
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName "CN=David Jones,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@c ontoso.com "CN=Lisa Andrews,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrew s@contoso.com
3-64
Importer des utilisateurs avec CSVDE
Points cls
CSVDE peut galement crer des comptes d'utilisateur en important un fichier .csv. Si vous disposez d'informations d'utilisateurs dans une base de donnes Excel ou Microsoft Office Access, vous constaterez que CSVDE est un outil puissant qui permet d'exploiter ces informations pour automatiser la cration des comptes d'utilisateur. La syntaxe de base de la commande CSVDE pour l'importation est :
csvde -i -f filename -k
Le paramtre -i dfinit le mode d'importation ; sans ce paramtre le mode par dfaut de la commande CSVDE est l'exportation. Le paramtre -f dfinit le nom de fichier source de l'importation ou cible de l'exportation. Le paramtre -k est utile au cours de l'importation, car il indique CSVDE d'ignorer les erreurs, y compris le message indiquant que l'objet existe dj.
3-65
Le fichier d'importation est un fichier texte dlimit par des virgules (.csv ou .txt) dans lequel la premire ligne dfinit les attributs d'importation en fonction de leurs nom d'attribut LDAP. Les objets suivent sur une ligne distincte et doivent contenir exactement les attributs figurant sur la premire ligne. Voici un exemple de fichier :
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName "CN=David Jones,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@c ontoso.com "CN=Lisa Andrews,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrew s@contoso.com
Lors de l'importation par la commande CSVDE, ce fichier cre un objet utilisateur pour Lisa Andrews dans l'UO Employees. Les noms d'ouverture session, le nom et le prnom des utilisateurs sont dfinis par le fichier. Vous ne pouvez pas utiliser la commande CSVDE pour importer les mots de passe et sans mot de passe un compte d'utilisateur est initialement dsactiv. Aprs avoir rinitialis le mot de passe, vous pouvez activer l'objet. Pour plus d'informations sur CSVDE et les dtails relatifs ses paramtres et l'utilisation des objets annuaire, tapez csvde /? ou consultez le centre du support technique Windows Server 2008.
3-66
Importer des utilisateurs avec LDIFDE
Points cls
Vous pouvez galement utiliser LDIFDE.exe pour importer ou exporter des objets Active Directory, notamment des utilisateurs. LDIF est une norme provisoire Internet de format de fichier qui peut tre utilise pour excuter des actions par lot sur des annuaires conformes aux normes LDAP. LDIF prend en charge l'importation et l'exportation et les oprations par lot qui modifient les objets dans l'annuaire. La commande LDIFDE implmente ces oprations par lot en utilisant des fichiers LDIF.
3-67
Le format de fichier LDIF est constitu d'un bloc de lignes qui forme une seule opration. Dans un mme fichier, plusieurs oprations sont spares par une ligne blanche. Chaque ligne comprenant une opration est constitue d'un nom d'attribut suivi de deux points et de la valeur de l'attribut. Supposons que vous vouliez importer les objets utilisateur des deux reprsentants Bonnie Kearney et Bobby Moore. Le contenu du fichier LDIF se prsente comme suit :
dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=contoso,DC=com Changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: Bonnie Kearney sn: Kearney title: Operations description: Operations (London) givenName: Bonnie displayName: Kearney, Bonnie company: Contoso, Ltd. sAMAccountName: bonnie.kearney userPrincipalName: bonnie.kearney@contoso.com mail: bonnie.kearney@contoso.com dn: CN=Bobby Moore,OU=Employees,OU=User Accounts,DC=contoso,DC=com changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: Bobby Moore sn: Moore title: Legal description: Legal (New York) givenName: Bobby displayName: Moore, Bobby company: Contoso, Ltd. sAMAccountName: bobby.moore userPrincipalName: bobby.moore@contoso.com mail: bobby.moore@contoso.com
Chaque opration commence par l'attribut DN de l'objet qui est la cible de l'opration. La ligne suivante, changeType, dfinit le type de l'opration : add (ajouter), modify (modifier) ou delete (supprimer).
3-68
Comme vous pouvez le constater, le format de fichier LDIF n'est pas un format texte dlimit par des virgules intuitif ou familier. Toutefois, tant donn que le format LDIF est galement un format standard, la majorit des services et des bases de donnes d'annuaire peuvent exporter des fichier LDIF. Aprs avoir cr ou obtenu un fichier LDIF, vous pouvez excuter les oprations dfinies par le fichier en utilisant la commande LDIFDE. Depuis une invite de commandes, tapez ldifde /? pour afficher les informations d'utilisation. Les deux options les plus importantes de la commande sont : -i. Active le mode d'importation. Sans ce paramtre la commande LDIFDE exporte les informations. -f filename. Fichier source de l'importation ou de destination de l'exportation.
Par exemple, la commande suivante importe les objets du fichier Newusers.ldf :

ldifde i f newusers.ldf
3-69
La commande accepte diverses modifications en utilisant des paramtres. Les paramtres les plus utiles sont rpertoris ci-dessous :
Commande Paramtres gnraux -i -f filename -s servername -c FromDN ToDN -v -j path -? Mode d'importation (le mode par dfaut est l'exportation) Nom du fichier d'importation ou d'exportation Contrleur de domaine auquel se connecter pour la requte Conversion des occurrences de FromDN en ToDN. Utile pour importer des objets d'un autre domaine, par exemple. Active le mode comment Emplacement du fichier journal Aide Utilisation
Paramtres d'exportation -d RootDN -r Filter -p SearchScope Racine de la recherche LDAP. La valeur par dfaut est la racine du domaine. Filtre de recherche LDAP. La valeur par dfaut est (objectClass=*), savoir tous les objets. tendue de la recherche. Peut tre subtree (le conteneur et tous les sous-conteneurs), base (les objets enfant immdiats du conteneur uniquement) ou onelevel (le conteneur et ses conteneurs enfant immdiats). Liste d'attributs spars par des virgules inclure dans l'exportation des objets rsultants. Utile pour exporter un nombre limit d'attributs. Liste d'attributs (spars par des virgules) omettre dans l'exportation pour les objets rsultants. Utile pour exporter quelques attributs.
-l list
-o list
Paramtres d'importation -k Ignore les erreurs et continue le traitement si des erreurs de violation de contraintes ou d'existence d'objet se produisent.
3-70
Atelier pratique C : Automatisation de la cration des comptes d'utilisateur
Scnario
Vous tes l'administrateur de Contoso, Ltd., une universit en ligne pour la formation des adultes. Vous embauchez plusieurs employs. Le service des Ressources Humaines vous a fourni des informations de sa base de donnes dans un fichier de format texte dlimit par des virgules et dans le format LDIF. Vous voulez importer ces fichiers de donnes pour crer des comptes d'utilisateur pour les nouveaux employs.
3-71
Exercice 1 : Exportation et importation d'utilisateurs avec CSVDE

Dans cet exercice, vous allez utiliser la commande CSVDE pour exporter les attributs d'utilisateur et crer des comptes d'utilisateur depuis un fichier texte dlimit par des virgules. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Prparer l'atelier pratique. Exporter des utilisateurs avec CSVDE. Importer des utilisateurs avec CSVDE.

L'ordinateur virtuel doit tre dj dmarr et disponible la fin des ateliers A et B. S'il ne l'est pas, vous devez le dmarrer et effectuer les exercices des ateliers A et B avant de continuer. Dmarrez 6238B-HQDC01-A. Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Excutez D:\Labfiles\Lab03b\Lab03a_Setup.bat avec les informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tche 2 : Exportation d'utilisateurs avec CSVDE

Ouvrez l'invite de commandes avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. Tapez la commande suivante :
csvde -f D:\Labfiles\Lab03c\UsersNamedApril.csv -r "(name=April*)" -l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
et appuyez sur ENTRE. Ouvrez D:\Labfiles\Lab03c\UsersNamedApril.csv dans Bloc-notes. Examinez le fichier et fermez-le.
3-72
Tche 3 : Importation d'utilisateurs avec CSVDE

Ouvrez D:\Labfiles\Lab03c\NewUsers.csv dans Bloc-notes. Examinez les informations sur les utilisateurs rpertoris dans le fichier. Tapez la commande suivante :
csvde -i -f D:\Labfiles\Lab03c\NewUsers.csv -k
et appuyez sur ENTRE. Les deux utilisateurs sont imports. Excutez Utilisateurs et ordinateurs Active Directory avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd Vrifiez que les utilisateurs ont t crs. Si vous avez ouvert le composant logiciel enfichable Utilisateur et ordinateurs Active Directory au cours de l'exercice, il se peut que vous deviez actualiser la vue pour afficher les nouveaux comptes.
Examinez les comptes et vrifiez que le prnom, le nom, l'unit de scurit utilisateur et le nom d'ouverture de session antrieure Windows 2000 sont remplis conformment au instructions dans NewUsers.txt. Rinitialisez le mot de passe des deux comptes pour utiliser Pa$$w0rd. Activez les deux comptes. Fermez le fichier NewUsers.csv.
3-73
Exercice 2 : Importation d'utilisateurs avec LDIFDE

l'instar de CSVDE, vous pouvez utiliser LDIFDE pour importer des utilisateurs. Toutefois, le format de fichier LDIF n'est pas un fichier texte dlimit standard. Dans cet exercice, vous allez utiliser LDIFDE pour importer deux utilisateurs. Les tches principales de cet exercice sont les suivantes : Importer des utilisateurs avec LDIFDE.
Tche 1 : Importer des utilisateurs avec LDIFDE

Ouvrez D:\Labfiles\Lab03c\NewUsers.ldf dans le Bloc-notes. Examinez les informations sur les utilisateurs rpertoris dans le fichier. Tapez la commande suivante :
ldifde -i -f D:\Labfiles\Lab03c\NewUsers.ldf -k
et appuyez sur ENTRE. Les deux utilisateurs sont imports. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que les utilisateurs ont t crs. Si vous avez ouvert le composant logiciel enfichable Utilisateur et ordinateurs Active Directory au cours de l'exercice, il se peut que vous deviez actualiser la vue pour afficher les nouveaux comptes.
Examinez les comptes pour vrifier que les proprits des utilisateurs sont remplies conformment aux instructions dans NewUsers.ldf. Rinitialisez le mot de passe des deux comptes pour utiliser Pa$$w0rd. Activez les deux comptes. Fermez le fichier NewUsers.ldf. Fermez la session HQDC01.
Rsultats : Dans cet exercice, vous avez import les comptes de Lisa Andres, David Jones, Bobby Moore et Bonnie Kearney.
3-74
Question de contrle des acquis

Question : Dans quelles situations importez-vous des utilisateurs avec CSVDE et LDIFDE ?
Gestion des groupes
4-1
Module 4
Gestion des groupes
Table des matires :
Leon 1 : Gestion d'une entreprise avec des groupes Leon 2 : Administration des groupes Atelier pratique A : Administration des groupes Leon 3 : Meilleures pratiques de gestion des groupes Atelier pratique B : Meilleures pratiques de gestion des groupes 4-4 4-45 4-66 4-74 4-89
4-2
Si les utilisateurs et les ordinateurs et mme les services voluent dans le temps, les rles et les rgles de l'entreprise, quant eux, tendent rester stables. Il est fort probable que votre socit compte un rle financier qui ncessite certaines fonctions. L'utilisateur ou les utilisateurs qui excutent ce rle changent, mais pas le rle. C'est la raison pour laquelle, la gestion d'une entreprise en affectant des droits et des autorisations une identit d'utilisateur, d'ordinateur ou de service n'est pas pratique. Les tches de gestion doivent tre associes des groupes. Dans ce cours, vous allez utiliser des groupes pour identifier les rles d'administration et d'utilisateur, pour filtrer la stratgie de groupe et affecter des stratgies de mot de passe uniques, ainsi que des droits et des autorisations, entre autres. Pour prparer ces tches, vous allez apprendre dans ce module crer, modifier, supprimer et grer des objets groupe dans un domaine Active Directory.
Gestion des groupes
4-3
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : expliquer le rle des groupes dans la gestion d'une entreprise ; crer des groupes dlgus scuriss correctement documents ; expliquer les types de groupes, l'tendue et l'imbrication ; comprendre la meilleure pratique d'imbrication de groupe pour grer en fonction de rles ; crer, supprimer et grer des groupes avec CSVDE et LDIFDE ; numrer et copier les membres des groupes ; expliquer les groupes par dfaut (intgrs) ; expliquer les identits spciales.
4-4
Leon 1
Gestion d'une entreprise avec des groupes
Vous connaissez certainement la fonction des groupes : ils rassemblent des lments et les grent sous forme d'entit unique. L'implmentation de la gestion des groupes dans Active Directory n'est pas intuitive ; Active Directory prend en charge les grands environnements distribus et inclut donc diffrents types de groupes : deux types de groupes de domaines avec trois tendues chacun et des groupes de scurit locaux. Dans cette leon, vous allez apprendre la fonction de chacun de ces groupes et aligner les besoins de votre entreprise sur les options potentiellement complexes que fournit Active Directory.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : expliquer le rle des groupes dans la gestion d'une entreprise ; dfinir des conventions d'affectation de noms de groupe ; expliquer les types de groupes ;
Gestion des groupes
4-5
expliquer l'tendue d'un groupe ; identifier les membres groupes et les possibilits d'imbrication ; expliquer la meilleure pratique d'imbrication de groupe pour grer en fonction de rles.
4-6
Dmonstration : Cration d'un objet groupe
Points cls
Les groupes sont une classe d'objets importante, car ils permettent de collecter les utilisateurs, les ordinateurs et d'autres groupes pour crer un "point de gestion unique". L'utilisation la plus simple et la plus courante d'un groupe est l'octroi d'autorisations sur un dossier partag. Si vous affectez un groupe un accs en lecture sur un dossier, par exemple, les membres du groupe peuvent lire le dossier. Vous n'avez pas affecter l'accs en lecture directement chacun des membres ; vous pouvez grer l'accs au dossier en ajoutant et supprimant simplement des membres dans le groupe. Pour crer un groupe : 1. 2. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Dans l'arborescence de la console, dveloppez le noeud de votre domaine (contoso.com, par exemple) et accdez l'unit d'organisation (UO) ou au conteneur (Users, par exemple) dans lequel vous voulez crer le groupe.
Gestion des groupes
4-7
3.
Cliquez avec le bouton droit de la souris sur lunit dorganisation ou le conteneur, pointez sur Nouveau, puis cliquez sur Groupe. La bote de dialogue Nouvel objet - Groupe s'affiche.
4.
Tapez le nom du nouveau groupe dans la zone Nom du groupe. La plupart des entreprise appliquent des conventions d'affectation de nom qui dfinissent la manire dont les noms de groupe doivent tre crs. Veillez appliquer les directives de votre entreprise. Par dfaut, le nom que vous tapez apparat galement comme nom de groupe (antrieur Windows 2000). Il est vivement recommand de conserver les deux mmes noms.
5. 6.
Ne changez pas le nom dans la zone Nom du groupe (antrieure Windows 2000). Choisissez Type de groupe. Un groupe de scurit est un groupe auquel vous pouvez affecter des autorisations sur des ressources. Vous pouvez galement le configurer sous la forme d'une liste de distribution de courrier lectronique. Un groupe de distribution est un groupe de messagerie auquel vous ne pouvez pas affecter des autorisations sur des ressources ; il est donc utilis uniquement lorsqu'un groupe est une liste de distribution de courrier lectronique qui ne doit pas accder aux ressources.
Le type de groupe sera abord plus en dtail plus loin dans ce module.
4-8
7.
Slectionnez tendue du groupe. Un groupe global permet gnralement d'identifier les utilisateurs en fonction de critres, tels que leur fonction, leur emplacement, etc. Un groupe local de domaine permet de collecter les utilisateurs et les groupes qui doivent accder des ressources similaires, tels que tous les utilisateurs qui doivent pouvoir modifier un rapport de projet. Un groupe universel permet gnralement de collecter les utilisateurs et les groupes de plusieurs domaines.
L'tendue d'un groupe sera aborde plus en dtail plus loin dans ce module. 8. Cliquez sur OK.
Les objets groupe ont des proprits qu'il est utile de dfinir. Ces proprits peuvent tre dfinies aprs la cration de l'objet. Pour dfinir les proprits d'un groupe : 1. 2. Cliquez avec le bouton droit de la souris sur le groupe, puis cliquez sur Proprits. Entrez les proprits du groupe. Veillez suivre les conventions d'affectation de nom et les autres directives de votre entreprise. Les onglets Membres et Membre de d'un groupe indiquent qui appartient au groupe et les groupes du groupe. La zone Description d'un groupe, du fait qu'elle figure dans le volet des dtails du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, est l'emplacement appropri pour rsumer la fonction du groupe et les informations de contact de la ou des personnes qui dcident de l'appartenance au groupe. La zone Commentaires peut tre utilise pour fournir des informations complmentaires sur le groupe.
Gestion des groupes
4-9
L'onglet Gr par permet de crer un lien d'accs l'utilisateur ou au groupe responsable du groupe. Les informations de contact dans l'onglet Gr par proviennent du compte dfini dans la zone Nom. L'onglet Gr par est gnralement utilis pour les informations de contact pour que, dans le cas o un utilisateur veuille se joindre au groupe, vous puissiez dfinir la personne contacter pour autoriser le nouveau membre. Toutefois, si vous slectionnez l'option Le gestionnaire peut mettre jour la liste des membres, le compte dfini dans la zone Nom est autoris ajouter et supprimer des membres dans le groupe. C'est une mthode de dlgation du contrle de l'administration du groupe. Pour changer l'utilisateur ou le groupe rfrenc dans l'onglet Gr par, cliquez sur le bouton Modifier sous la zone Nom. Par dfaut, la bote de dialogue Slectionner un utilisateur, un contact ou un groupe qui s'affiche ne permet pas, contrairement ce que son nom indique, de rechercher des groupes. Pour rechercher des groupes, vous devez cliquer sur le bouton Types d'objets et slectionner Groupes.
3.
Cliquez sur OK.
Cration d'un groupe : http://go.microsoft.com/fwlink/?LinkId=168757
4-10
Gestion des accs sans utiliser des groupes
Points cls
Supposez que les 100 utilisateurs du service commercial (Sales) aient besoin de lire le dossier partag Sales sur un serveur. Affecter des autorisations chaque utilisateur n'est pas grable. Lorsque de nouveaux commerciaux sont embauchs, vous devez ajouter les nouveaux comptes la liste de contrle d'accs du dossier. Lorsque vous supprimez des comptes, vous devez supprimer les autorisations dans la liste de contrle d'accs, car sinon, vous terminez avec une entre de compte manquante dans la liste, comme indiqu ci-dessous, qui rsulte d'un SID dans la liste qui fait rfrence un compte non rsolu.
Gestion des groupes
4-11
Supposez que les 100 utilisateurs du service commercial (Sales) aient besoin de lire trois dossiers partags sur un trois serveurs diffrents. Les problmes de gestion deviennent plus aigus. Combien d'autorisations devez-vous appliquer pour simplement dfinir l'accs aux trois dossiers sur trois serveurs diffrents pour les 100 utilisateurs ? 300 ! Lorsque vous grez les autorisations en ajoutant et en supprimant des identits dans une liste de contrle d'accs, il devient plus difficile de dterminer les personnes devant tre autorises lire le dossier Sales. Pour pouvoir le dterminer, vous devez rtroconcevoir la liste. Et dans, l'exemple plus large o les dossiers Sales sont distribus sur trois serveurs, vous devez valuer trois listes de contrle d'accs distinctes pour le dterminer.
4-12
Gestion des ajouts aux groupes
Points cls L'exemple de la section prcdente peut paratre extrme, car vous savez sans doute que, bien que vous puissiez affecter des autorisations d'accs une ressource une identit individuelle, un utilisateur ou un ordinateur, la meilleure pratique consiste affecter une seule autorisation un groupe et grer les accs la ressource en changeant simplement l'appartenance au groupe. Dans cet exemple, vous pouvez crer le groupe Sales et autoriser le groupe lire le dossier Sales. Dsormais, vous disposez d'un point unique de gestion. Le groupe Sales gre efficacement l'accs au dossier partag. Vous pouvez ajouter de nouveaux commerciaux au groupe et ils accderont au dossier partag. Lorsque vous supprimez un compte, vous le supprimez systmatiquement du groupe et il n'existe donc pas de SID non rsolus dans la liste de contrle d'accs. Et vous pouvez dterminer plus aisment les personnes devant tre autorises lire le dossier Sales. Vous pouvez simplement numrer les membres du groupe Ventes. Le groupe Sales est devenu l'lment central des tches de gestion des accs.
Gestion des groupes
4-13
Il existe un autre avantage : tant donn que la liste de contrle d'accs ne change pas et que le groupe Sales dispose de l'autorisation de lecture, les sauvegardes sont plus aises. Lorsque vous changez la liste de contrle d'accs d'un dossier, la liste s'applique tous les fichiers et dossiers enfant, en dfinissant l'indicateur Archive et en demandant la sauvegarde de tous les fichiers, mme si le contenu des fichiers n'a pas chang
4-14
volutivit des ajouts aux groupes
Points cls
Si les commerciaux ncessitent un accs en lecture trois dossiers sur trois serveurs diffrents, vous pouvez autoriser le groupe Sales lire les trois dossiers. Aprs avoir affect les trois autorisations, le groupe Sales fournit un point de gestion unique pour l'accs aux ressources. Le groupe Sales gre efficacement l'accs aux trois dossiers partags. Vous pouvez ajouter de nouveaux commerciaux au groupe et ils accderont aux trois dossiers partags sur les trois serveurs. Lorsque vous supprimez un compte, vous le supprimez systmatiquement du groupe et il n'existe donc pas de SID non rsolus dans la liste de contrle d'accs.
Gestion des groupes
4-15
Un seul type de groupe ne suffit pas
Points cls
Supposez maintenant que d'autres personnes doivent pouvoir lire les dossiers. Les dirigeants (Executives), les employs du service Marketing et le conseiller commercial embauch par votre entreprise doivent galement pouvoir lire les mmes dossiers. Vous pouvez ajouter ces groupes la liste de contrle d'accs des dossiers en leur affectuant un accs en lecture, mais dans ce cas, vous disposez d'une liste avec plusieurs autorisations en effectant cette fois-ci l'autorisation de lecture des groupes et non pas des utilisateurs. Pour permettre aux trois groupes et un utilisateur d'accder aux trois dossiers sur les trois serveurs, vous devez ajouter douze autorisations ! Le groupe suivant ncessitant un accs impliquera d'effectuer trois modifications supplmentaires pour accorder les autorisations dans les LCA des trois dossiers partags. Et que se passe-t-il si huit utilisateurs qui ne sont pas commerciaux, employs du service Marketing ou dirigeants doivent pouvoir lire les trois dossiers ? Ajoutezvous leur compte d'utilisateur aux listes de contrle d'accs ? Dans ce cas, vous devez ajouter et grer 24 autorisations supplmentaires !
4-16
Comme vous pouvez le constater, l'utilisation d'un seul type de groupe, un groupe de rles qui dfinit les rles des utilisateurs, rend rapidement inefficace la gestion des accs aux trois dossiers. Si la rgle de gestion indique que trois rles et neuf utilisateurs supplmentaires doivent accder la ressource, vous affectez 36 autorisations au total dans les listes de contrle d'accs. Dans ce cas, il est trs difficile de respecter la conformit et d'exercer un contrle. Mme la question de savoir quels sont les utilisateurs autoriss lire les dossiers Sales devient problmatique.
Gestion des groupes
4-17
Gestion base sur les rles : groupes de rles et groupes de rgles
Points cls
La solution est de savoir qu'il existe deux types de gestion qui doivent tre utiliss pour grer efficacement dans ce scnario. Vous devez grer les utilisateurs sous forme de collections en fonction de leurs rles dans l'entreprise et, sparment, vous devez grer l'accs aux trois dossiers. Les trois dossiers sont galement une collection d'lments : ils reprsentent une seule ressource, une collection de dossiers Sales, qui est simplement distribue dans trois dossiers sur trois serveurs. Et vous tentez de grer l'accs en lecture la ressource. Vous avez besoin d'un seul point de gestion pour grer l'accs la ressource. Vous avez alors besoin d'un autre groupe, d'un groupe qui reprsente l'accs en lecture au trois dossiers sur les trois serveurs. Supposez que vous crez le groupe ACL_Sales Folders_Read. que vous l'autorisez lire les trois dossiers. et que les groupes Sales, Marketing et Executives, et chaque utilisateur, seront membres du groupe ACL_Sales Folders_Read. Vous affectez uniquement trois autorisations : une sur chaque dossier, en affectant l'accs en lecture au groupe ACL_Sales Folders_Read.
4-18
Le groupe ACL_Sales Folders_Read devient l'lment principal de la gestion des accs. Lorsque des groupes ou des utilisateurs supplmentaires doivent accder aux dossiers, il suffit de les ajouter ce groupe. Ainsi, il est plus ais galement de savoir qui accde aux dossiers. Au lieu d'examiner les listes de contrle d'accs dans chacun des dix dossiers, vous examinez simplement l'appartenance au groupe ACL_Sales Folders_Read. Pour pouvoir grer efficacement mme une entreprise un peu complexe, vous avez besoin de deux "types" de groupes ayant deux fonctions distinctes : Groupes qui dfinissent les rles : ces groupes, appels groupes de rles, contiennent les utilisateurs, les ordinateurs et d'autres groupes de rles qui reposent sur des caractristiques professionnelles communes, telles que l'emplacement, la fonction, etc. Groupes qui dfinissent des rgles gestion : ces groupes, appels groupes de rgles, dfinissent la manire dont une ressource d'entreprise est gre.
Cette mthode de gestion d'entreprise avec des groupes s'appelle la gestion base de rles. Vous dfinissez les rles des utilisateurs en fonction de caractristiques professionnelles, telles que le service ou la division des utilisateurs (Sales, Marketing et Executives) et vous dfinissez des rgles, telles que la rgle qui gre l'accs des rles et des personnes aux trois dossiers. Vous pouvez excuter les tches de gestion en utilisant des groupes dans un annuaire. Les rles sont reprsents par des groupes qui contiennent des utilisateurs, des ordinateurs et d'autres rles. Trs bien. Les rles peuvent inclure d'autres rles. Par exemple, le rle Gestionnaires peut inclure les rles Directeurs des ventes, Directeurs financiers et Directeurs de la production. Les rgles de gestion, telles que la rgle qui dfinit et gre l'accs en lecture aux trois dossiers, sont reprsentes par des groupes galement. Les groupes de rgles contiennent des groupes et, ventuellement des utilisateurs et des ordinateurs individuels, tels que le conseiller commercial et huit autres utilisateurs dans cet exemple. Le principal avantage, c'est qu'il existe deux "types" de groupes : un groupe qui dfinit le rle et un groupe qui dfinit la manire de grer une ressource.
Pour plus d'informations sur la gestion base de rles, voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008).
Gestion des groupes
4-19
Dfinition des conventions d'affectation de noms de groupe.
Points cls
Au dbut de cette leon, vous avez appris crer des groupes en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory en cliquant avec le bouton droit de la souris sur l'UO dans laquelle vous voulez crer un groupe, en pointant sur Nouveau et en cliquant sur Groupe. La bote de dialogue Nouvel objet - Groupe, reprsente ci-dessous, permet de dfinir les principales proprits du nouveau groupe.
4-20
Vous pouvez dfinir les proprits de nom suivantes ici : Nom de groupe : le nom cn et le nom de l'objet groupe doivent tre uniques uniquement dans l'UO. Nom de groupe (antrieur Windows 2000) : sAMAccountName du groupe, unique dans le domaine.
Meilleure pratique importante : utilisez le mme nom (uniquement dans le domaine) pour les deux proprits.
Gestion des groupes
4-21
Les premires proprits que vous devez dfinir sont les noms des groupes. Un groupe, tel qu'un utilisateur ou un ordinateur, a plusieurs noms. Le premier, indiqu dans la zone de nom de groupe ci-dessus, est utilis par Windows 2000 et les systmes ultrieurs pour identifier l'objet ; il devient le nom commun (cn) et les attributs de nom de l'objet. Le second, le nom antrieur Windows 2000, est le sAMAccountName qui permet d'identifier le groupe vis vis des ordinateurs qui excutent Windows NT 4.0 et de certains priphriques, tels que les priphriques NAS (Network Attached Storage) qui excutent des systmes d'exploitation nonMicrosoft. Le nom commun et les attributs de nom doivent tre uniques seulement dans le conteneur, l'UO, o se trouve le groupe. sAMAccountName doit tre unique dans l'ensemble du domaine. Techniquement, la valeur de sAMAccountName peut ne pas correspondre au nom commun et au nom, mais il est vivement recommand de ne pas changer ces valeurs. Slectionnez un nom unique dans le domaine et utilisez-le dans les deux zones de nom de la bote de dialogue Nouvel objet - Groupe. Il est recommand d'appliquer les conventions d'affectation de nom suivante : Groupes de rles. Nom simple unique, tel que Sales ou Consultants Groupes de gestion. Par exemple, ACL_Sales Folders_Read Prfixe. Il identifie la fonction de gestion du groupe, telle que Liste de contrle d'accs pour les groupes qui grent les autorisations d'accs aux ressources partages. Identificateur de ressource. Identificateur unique de l'lment grer. Suffixe. Pour les groupes d'accs aux ressources, il s'agit du type d'accs que le groupe gre. Dlimiteur. Il s'agit d'un marqueur, tel que le caractre de soulignement (_), qui doit tre utilis de manire cohrente pour sparer le prfixe, l'identificateur et le suffixe. Ne placez pas le dlimiteur dans un autre endroit dans un nom ; utilisez -le uniquement comme dlimiteur.
Le nom que vous choisissez doit faciliter la gestion du groupe et de l'entreprise au jour le jour. Il est recommand d'appliquer un convention d'affectation de nom qui identifie le type de groupe et la fonction du groupe.
4-22
Le nom de groupe ACL_Sales Folders_Read est utilis dans l'exemple prcdent. Prfixe : le prfixe identifie la fonction de gestion du groupe. Dans ce cas, il s'agit d'un groupe qui gre les autorisations d'accs un dossier. Il est utilis dans les listes de contrle d'accs et le prfixe ACL est donc utilis. Identificateur de ressource : la partie principale du nom identifie de manire unique la ressource grer avec le groupe (Dossiers Sales, dans cet exemple). Suffixe : le suffixe dfinit plus prcisment l'lment que doit grer le groupe. Dans le cas des groupes de gestion des accs aux ressources, le suffixe dfinit le niveau d'accs accord aux membres du groupe. Dans l'exemple, le niveau d'accs est Lecture. Dlimiteur : un dlimiteur, le caractre de soulignement, en l'occurrence, sert sparer les parties du nom. Notez que le dlimiteur n'est pas utilis entre les mots Sales et Folder. Vous pouvez insrer des espaces dans les noms de groupe ; il suffit de placer les noms de groupe entre guillemets lorsque vous y faites rfrence dans des commandes ou des scripts. Vous pouvez crer des scripts qui utilisent le dlimiteur pour dconstruire les noms de groupe pour faciliter le contrle et la gnration de rapports.
Notez que des groupes de rles qui dfinissent des rles d'utilisateur seront souvent utiliss par les non-techniciens. Par exemple, vous pouvez activer la fonction de messagerie du groupe Sales pour qu'il puisse tre utiliser comme liste de distribution de courrier lectronique. Par consquent, il est recommand d'utiliser une convention d'affectation de nom qui permette d'affecter des noms simples aux groupes de rles. En d'autres termes, la convention d'affectation de nom des groupes de rles ne doit pas utiliser des prfixes ni des suffixes ni des dlimiteurs, mais uniquement des noms simples descriptifs.
Pour plus d'informations sur la gestion efficace des groupes, voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008).
Gestion des groupes
4-23
Type de groupe
Points cls
Il existe deux types de groupes : scurit et distribution. Lorsque vous crez un groupe, vous slectionnez son type dans la bote de dialogue Nouvel objet Groupe. Les groupes de distribution sont utiliss principalement par les applications de messagerie. La scurit de ces groupes n'tant pas active, ils n'ont pas de SID, ils ne peuvent pas accder aux ressources. Lenvoi dun message un groupe de distribution envoie le message tous les membres du groupe. Les groupes de scurit sont des entits de scurit avec des SID. Par consquent, vous pouvez utiliser ces groupes dans des entres d'autorisation dans les listes ACL pour contrler la scurit des accs aux ressources. Les groupes de scurit peuvent tre galement utiliss comme groupes de distribution par les applications de messagerie. Si vous utilisez un groupe pour grer la scurit, ce groupe doit tre un groupe de scurit.
4-24
tant donn que les groupes de scurit peuvent tre utiliss pour accder aux ressources et distribuer du courrier, les entreprises utilisent gnralement des groupes de scurit uniquement. Toutefois, il est recommand de crer le groupe comme groupe de distribution si le groupe doit tre utilis uniquement pour distribuer le courrier. Autrement, le groupe est affect d'un SID et ce dernier est ajout au jeton d'accs de scurit de l'utilisateur, ce qui peut encombrer inutilement le jeton.
Gestion des groupes
4-25
tendue du groupe
Points cls
Les groupes contiennent des membres : savoir des utilisateurs, des ordinateurs et d'autres groupes. Les groupes peuvent tre membres d'autres groupes et rfrencs par des listes ACL, des filtres d'objet Stratgie de groupe et d'autres composants de gestion. L'tendue d'un groupe a un impact sur les caractristiques suivantes du groupe : son contenu, son appartenance et son emplacement d'utilisation. Il existe quatre tendues de groupe : globale, local de domaine, locale et universelle.
4-26
Les caractristiques qui dfinissent chaque tendue sont classes dans les catgories suivantes : Rplication. O le groupe est-il dfini et sur quels systmes est-il rpliqu ? Appartenance. Quels types d'entits de scurit le groupe peut-il contenir ? Le groupe peut-il contenir des entits de scurit des domaines valids ? Dans le module 14, vous apprendrez le concept de relations approuves ou approbations. Une approbation permet un domaine de se rfrer un autre pour authentifier les utilisateurs, d'inclure les entits de scurit d'un autre domaine comme membres d'un groupe et d'affecter des autorisations aux entits de scurit de l'autre domaine. La terminologie utilise peut prter confusion. Si le domaine A approuve le domaine B, le domaine A est le domaine d'approbation et le domaine B est le domaine approuv. Le domaine A accepte les informations d'identification des utilisateurs du domaine B. Il envoie les demandes des utilisateurs du domaine B pour les authentifier auprs d'un contrleur dans le domaine B, car il approuve le magasin d'identits et le service authentification du domaine B. Le domaine A peut ajouter les entits de scurit du domaine B ses groupes et listes ACL. Disponibilit. O le groupe peut-il tre utilis ? Le groupe peut-il tre ajout un autre groupe ? Peut-il tre ajout une liste ACL ?
Tenez compte de ces grandes caractristiques lorsque vous explorez les informations de chaque tendue de groupe.
Gestion des groupes
4-27
Groupes locaux
Points cls
Les groupes locaux sont vritablement locaux ; ils sont dfinis et disponibles sur un seul ordinateur. Les groupes locaux sont crs dans la base de donnes Gestionnaire de comptes de scurit d'un ordinateur membre d'un domaine. Les postes de travail et les serveurs ont des groupes locaux. Les groupes locaux ont les caractristiques suivantes : Rplication. Un groupe local est dfini uniquement dans la base de donnes Gestionnaire de comptes de scurit d'un membre d'un domaine. Le groupe et ses membres ne sont pas rpliqus sur un autre systme. Membres. Un groupe local peut contenir : les entits de scurit du domaine : utilisateurs, ordinateurs, groupes globaux ou groupes locaux de domaine utilisateurs, ordinateurs et groupes globaux d'un domaine de la fort utilisateurs, ordinateurs et groupes locaux d'un domaine approuv groupes universels dfinis dans un domaine de la fort
4-28
Disponibilit. Un groupe local a une tendue limite l'ordinateur. Il peut tre utilis dans les ACL sur l'ordinateur local uniquement. Un groupe local ne peut pas appartenir un autre groupe.
Meilleure pratique Dans un groupe de travail, vous utilisez des groupes locaux pour grer la scurit des ressources d'un systme. Toutefois, dans un domaine, la gestion des groupes locaux d'ordinateurs individuels devient complique et elle est en grande partie inutile. Il est recommand de ne pas crer des groupes personnaliss dans les membres d'un domaine. L'utilisation de groupes locaux dans un environnement de domaine rpond quelques situations. Dans la plupart des cas, les groupes locaux Utilisateurs et Administrateurs sont les seuls groupes grer dans un environnement de domaine.
Gestion des groupes
4-29
Groupes locaux de domaine
Points cls
Les groupes locaux de domaine sont utiliss principalement pour grer les autorisations d'accs aux ressources. Par exemple, le groupe ACL_Sales Folders_Read tudi prcdemment serait cr comme groupe local de domaine. Les groupes locaux de domaine ont les caractristiques suivantes : Rplication. Un groupe local de domaine est dfini dans le contexte d'affectation de nom de domaine. L'objet Groupe et ses membres (attribut member) sont rpliqus sur chaque contrleur du domaine. Membres. Un groupe local de domaine peut contenir : les entits de scurit du domaine : utilisateurs, ordinateurs, groupes globaux ou autres groupes locaux de domaine utilisateurs, ordinateurs et groupes globaux d'un domaine de la fort utilisateurs, ordinateurs et groupes globaux d'un domaine approuv groupes universels dfinis dans un domaine de la fort
4-30
Disponibilit. Un groupe local de domaine peut tre ajout aux listes ACL dans n'importe quelle ressource de n'importe quel membre de domaine. En outre, un groupe local de domaine peut tre membre d'autres groupes locaux de domaine ou mme de groupes locaux d'ordinateurs.
Les fonctions d'appartenance d'un groupe local de domaine (les groupes auxquels un groupe local de domaine peut appartenir) sont identiques celles des groupes locaux, mais la rplication et la disponibilit du groupe local de domaine le rendent utiles dans l'ensemble du domaine. Meilleure pratique Les groupes de domaine locaux constituent une excellente solution pour dfinir des rgles de gestion d'entreprise, telles que les rgles d'accs aux ressources, car le groupe peut tre appliqu n'importe o dans le domaine et il peut contenir n'importe quel type de membre dans le domaine, ainsi que les membres des domaines approuvs. Par exemple, le groupe de scurit local de domaine ACL_Sales Folders_Read peut tre utilis pour grer l'accs en lecture une collection de dossiers qui contiennent des informations commerciales sur un ou plusieurs serveurs.
Gestion des groupes
4-31
Groupes globaux
Points cls
Les groupes globaux permettent principalement de dfinir des collections d'objets domaine en fonction de rles professionnels. Les groupes de rles, tels que les groupes Sales et Marketing mentionns prcdemment, ainsi que les rles d'ordinateurs, tels qu'un groupe Sales Lapstop, sont crs en tant que groupes globaux. Les groupes globaux ont les caractristiques suivantes : Rplication. Un groupe global est dfini dans le contexte d'affectation de nom de domaine. L'objet groupe, y compris l'attribut de membre, est rpliqu sur tous les contrleurs du domaine. Membres. Un groupe global peut tre contenir uniquement les utilisateurs, les ordinateurs et les autres groupes globaux d'un mme domaine. Disponibilit. Un groupe global peut tre utilis par tous les membres d'un domaine et par tous les autres domaines de la fort et tous les domaines externes approuveurs. Un groupe global peut tre membre d'un groupe local ou universel du domaine ou de la fort. Il peut tre galement membre d'un groupe local d'un domaine approuveur. Enfin, un groupe global peut tre ajout aux listes ACL du domaine, de la fort ou des domaines approuveurs.
4-32
Comme vous pouvez le constater, l'appartenance aux groupes globaux est la plus limite (utilisateurs, ordinateurs et groupes globaux d'un mme domaine uniquement), mais leur disponibilit dans le domaine, la fort et les domaines approuveurs elle est la plus tendue. Meilleures pratiques Les groupes globaux sont adapts pour dfinir des rles, car les rles sont gnralement des collections d'objets d'un mme annuaire. Par exemple, les groupes de scurit globaux Consultants et Sales peuvent tre utiliss pour dfinir respectivement les utilisateurs Consultants et Salespeople.
Gestion des groupes
4-33
Groupes universels
Points cls
Les groupes universels ont les caractristiques suivantes : Rplication. Un groupe universel est dfini dans un seul domaine de la fort, mais il est rpliqu dans le catalogue global. Le catalogue est abord dans le module 12. Les objets dans ce catalogue seront accessibles dans la fort. Membres. Un groupe universel peut contenir les utilisateurs, les groupes globaux et les autres groupes universels d'un domaine de la fort. Disponibilit. Un groupe universel peut tre membre d'un groupe universel ou d'un groupe local de domaine n'importe o dans la fort. En outre, un groupe universel peut tre utilis pour grer les ressources, par exemple, pour affecter des autorisations n'importe o dans la fort.
4-34
Les groupes universels sont utiles dans les forts multidomaines. Ils permettent de dfinir des rles ou de grer les ressources qui couvrent plusieurs domaines. Illustrons les groupes universels par un exemple : Trey Research dispose d'une fort comportant trois domaines : Amriques, Asie et Europe. Chaque domaine a des comptes d'utilisateur et le groupe global Directeurs rgionaux qui contient les responsables de la rgion correspondante. Souvenez-vous que les groupes globaux peuvent contenir uniquement les utilisateurs d'un mme domaine. Le groupe universel Directeurs rgionaux Trey Research est cr et trois groupes Directeurs rgionaux lui sont ajouts. Par consquent, le groupe Directeurs rgionaux Trey Research dfinit un rle dans l'ensemble de la fort. Lors de l'ajout d'utilisateurs l'un des groupes Directeurs rgionaux, les utilisateurs, par l'imbrication, deviennent membres de Directeurs rgionaux Trey Research Regional. Trey Research envisage de commercialer un nouveau produit impliquant la collaboration de ses rgions. Les ressources associes au projet se trouvent sur des serveurs de fichiers dans chaque domaine. Pour pouvoir dfinir les personnes autorises modifier les fichiers relatifs au nouveau produit, le groupe universel ACL_New Product_Modify est cr. Ce groupe est autoris modifier les dossiers partags sur chacun des serveurs de fichiers dans chacun des domaines. Le groupe Directeurs rgionaux Trey Research est plac dans le groupe the ACL_New Product_Modify, avec divers groupes globaux et quelques utilisateurs de chaque rgion. Meilleure pratique Comme le montre l'exemple, les groupes universels permettent de reprsenter et de regrouper les rles qui couvrent les domaines d'une fort et de dfinir des rgles qui peuvent tre appliques dans la fort.
Gestion des groupes
4-35
Possibilits d'tendues de groupe Rcapitulatif
Points cls
Dans le cadre des examens de certification et de l'administration quotidienne, il est important de matriser compltement les caractristiques de l'appartenance de chaque tendue de groupe.
4-36
Le tableau ci-dessous rcapitule les objets pouvant tre membres de chaque tendue de groupe.
tendue du groupe Locale Membres d'un mme domaine Utilisateurs Ordinateurs Groupes globaux Groupes universels Groupes locaux de domaine galement les utilisateurs locaux dfinis sur un mme ordinateur comme groupe local Locale de domaine Utilisateurs Ordinateurs Groupes globaux Groupes locaux de domaine Groupes universels Universelle Utilisateurs Ordinateurs Groupes globaux Groupes universels Globale Utilisateurs Groupes globaux Utilisateurs Ordinateurs Groupes globaux Groupes universels S/O S/O S/O Utilisateurs Ordinateurs Groupes globaux Groupes universels Utilisateurs Ordinateurs Groupes globaux Membres d'un autre domaine d'une mme fort Utilisateurs Ordinateurs Groupes globaux Groupes universels Membres d'un domaine externe approuv Utilisateurs Ordinateurs Groupes globaux
Question : Quels sont les objets qui peuvent tre membres d'un groupe global dans un domaine ?
Gestion des groupes
4-37
Gestion des membres des groupes
Points cls
Lorsque vous devez ajouter ou supprimer des membres dans un groupe, vous pouvez procder de diverses manires. Onglet Membres Pour grer les membres des groupes en utilisant l'onglet Membres : 1. 2. 3. Ouvrez la bote de dialogue Proprits du groupe. Cliquez sur longlet Membres. Pour supprimer un membre, slectionnez-le et cliquez sur Supprimer.
4-38
4.
Pour ajouter un membre, cliquez sur le bouton Ajouter. La bote de dialogue Slectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes, reprsente ci-dessous, saffiche.
Quelques conseils propos de cette procdure : Dans la bote de dialogue de slection, dans la zone Entrez les noms d'objets, vous pouvez taper plusieurs comptes en les sparant avec un point-virgule. Dans la capture d'cran ci-dessus, sales et finance sont entrs. Ils sont spars par un point-virgule. Vous pouvez entrer des noms de compte partiels ; il est inutile de taper le nom complet. Windows recherche dans Active Directory les comptes qui commencent par le nom que vous avez entr. S'il existe une seule correspondance, Windows la slectionne automatiquement. Si plusieurs comptes correspondent, la bote de dialogue Noms multiples trouvs s'affiche pour vous permettre de slectionner l'objet appropri. Ce raccourci, taper des noms partiels, peut faire gagner du temps lorsque vous ajoutez des membres des groupes et tre utile lorsque vous ne vous ne souvenez pas du nom exact d'un membre. Par dfaut, Windows recherche uniquement les utilisateurs et les groupes qui correspondent aux noms que vous entrez dans la bote de dialogue de slection. Si vous voulez ajouter des ordinateurs un groupe, vous devez cliquer sur le bouton Options et slectionner Ordinateurs.
Gestion des groupes
4-39
Par dfaut, Windows recherche uniquement les groupes de domaine. Si vous voulez ajouter des comptes locaux, cliquez sur le bouton Emplacement dans la bote de dialogue de slection. Si vous ne trouvez pas le membre ajouter, cliquez sur le bouton Avanc dans la bote de dialogue de slection. Une fentre de requte plus puissante s'affiche avec des options supplmentaires pour effectuer la recherche dans Active Directory.
Onglet Membre de Pour grer les membres des groupes en utilisant l'onglet Membre de : 1. 2. 3. Ouvrez les proprits de l'objet membre et cliquez sur son onglet Membre de. Pour supprimer l'objet d'un groupe, slectionnez le groupe et cliquez sur le bouton Supprimer. Pour ajouter l'objet un groupe, cliquez sur le bouton Ajouter et slectionnez le groupe.
Commande Ajouter un groupe Pour grer les groupes en utilisant la commande Ajouter un groupe : 1. 2. 3. Cliquez avec le bouton droit de la souris sur les objets slectionns dans le volet des dtails Utilisateurs et ordinateurs Active Directory. Cliquez sur la commande Ajouter un groupe. Utilisez la bote de dialogue Slectionner pour dfinir le groupe.
Les attributs Member et MemberOf Lorsque vous ajoutez un membre un groupe, vous changez l'attribut member du groupe. L'attribut member est un attribut plusieurs valeurs : chaque membre est une valeur reprsente par le nom unique (DN) du membre. Si vous renommez ou dplacez le membre, Active Directory met automatiquement jour les attributs member des groupes qui contiennent le membre. Lorsque vous ajoutez un membre un groupe, l'attribut memberOf du membre est galement mis jour indirectement. L'attribut memberOf est un type spcial d'attribut appel lien prcdent. Active Directory le met jour lorsqu'un attribut de lien suivant, tel qu'un membre, fait rfrence l'objet. Lorsque vous ajoutez un membre un groupe, vous changez toujours l'attribut member. Par consquent, lorsque vous utilisez l'onglet Membre de d'un objet pour l'ajouter un groupe, vous changez en fait l'attribut member du groupe. Active Directory met jour automatiquement l'attribut memberOf.
4-40
Application immdiate de la modification de l'appartenance Lorsque vous ajoutez un utilisateur un groupe, l'appartenance n'est pas applique immdiatement. L'appartenance aux groupes est value l'ouverture de session pour un utilisateur (lors du dmarrage d'un ordinateur). Par consquent, l'utilisateur doit fermer la session et rouvrir une session pour que l'appartenance soit applique au jeton de l'utilisateur. De plus, il peut exister un dlai pendant la rplication de la modification de l'appartenance un groupe (la rplication sera aborde dans le module 12). Ceci est particulirement vraie si l'entreprise dispose de plusieurs sites Active Directory. Vous pouvez acclrer l'impact d'une modification sur un utilisateur en effectuant la modification dans un contrleur de domaine du site de l'utilisateur. Cliquez avec le bouton droit de la souris sur le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, puis cliquez sur Modifier le contrleur de domaine.
Gestion des groupes
4-41
Dveloppement d'une stratgie de gestion des groupes (IGDLA)
Points cls
L'ajout de groupes d'autres groupes, processus appel imbrication, peut crer une hirarchie de groupes qui prend en charge vos rles professionnels et rgles de gestion. Maintenant que vous connaissez la fonction et les caractristiques techniques des groupes, il est temps de les exploiter dans une stratgie de gestion des groupes. Au dbut de cette leon, vous avez appris les types d'objets qui peuvent tre membres de chaque tendue de groupe. Maintenant, vous allez identifier les types d'objets qui doivent tre membres de chaque tendue de groupe. Ceci vous amne la meilleure pratique de l'imbrication de groupe appele IGDLA : Identits (comptes d'utilisateur et d'ordinateurs) membres de. Groupes globaux qui reprsentent les rles professionnels. Ces groupes de rles (groupes globaux) sont membres de.
4-42
Groupes de Domaine Locaux qui reprsentent les rgles de gestion ; dtermination de qui est autoris lire une collection de dossiers, par exemple. Ces groupes de rgles (groupes locaux de domaine) sont accords. Accs aux ressources. Dans le cas d'un dossier partag, l'accs est accord en ajoutant le groupe local de domaine la liste de contrle d'accs (ACL) du dossier avec une autorisation qui fournit le niveau d'accs appropri.
Dans une fort multidomaine, il existe galement des groupes universels qui se situent entre les groupes globaux et les groupes locaux de domaine. Les groupes globaux de plusieurs domaines sont membres d'un seul groupe universel. Ce groupe universel est membre de groupes locaux de plusieurs domaines. Vous pouvez mmoriser l'imbrication sous la formule IGUDLA. La meilleure pratique pour implmenter l'imbrication de groupes est efficace, mme dans des scnarios plusieurs domaines. Reportez-vous la figure cidessous.
Cette figure reprsente une implmentation de groupes qui reflte non seulement la vue technique des meilleures pratiques de gestion des groupes (IGDLA), mais galement la vue de la gestion base de rgles et de rles de l'entreprise.
Gestion des groupes
4-43
Voici un scnario : les services commerciaux de Contoso, Ltd. viennent de terminer leur exercice financier. Les fichiers des ventes de l'anne prcdente se trouvent dans le dossier Sales. Les services commerciaux doivent pouvoir lire ces dossiers. En outre, un groupe d'auditeurs de Woodgrove Bank, un investisseur potentiel, ncessite de lire les dossiers des ventes pour pouvoir raliser un audit. Les tapes de l'implmentation de la scurit ncessaire dans ce scnario sont les suivantes : 1. Affecter les utilisateurs ayant des fonctions ou d'autres caractristiques communes des groupes de rles implments comme groupes de scurit globaux. Ceci s'effectue sparment dans chaque domaine. Les commerciaux de Contoso sont ajouts un groupe de rles Sales. Les auditeurs de Woodgrove Bank sont ajouts un groupe de rles Auditors. Crer un groupe pour grer les accs aux dossiers Sales avec l'autorisation Lecture. Ceci est implment dans le domaine contenant la ressource grer. Dans ce cas, il s'agit du domaine Contoso o se trouvent les dossiers Sales. Le groupe de rgles de gestion des accs aux ressources est cr sous la forme d'un groupe local de domaine, ACL_Sales Folders_Read. Ajouter les groupes de rles au groupe de rgles de gestion des accs aux ressources pour reprsenter la rgle de gestion. Ces groupes peuvent provenir d'un domaine de la fort ou d'un domaine approuv, tel que Woodgrove Bank. Les groupes globaux des domaines externes approuve ou d'un domaine de la mme fort peuvent tre membres d'un groupe local de domaine. Affecter l'autorisation qui implmente le niveau d'accs ncessaire. Dans ce cas, accorder l'autorisation de lecture au groupe local de domaine.
2.
3.
4.
Cette stratgie fournit des points de gestion uniques rduisant ainsi la charge de gestion. Il existe un point de gestion qui dtermine les membres de Sales ou Auditors. Ces rles, naturellement, auront vraisemblablement accs diverses ressources qui ne se limitent pas aux dossiers des ventes. Il existe un autre point de gestion pour dterminer qui peut lire les dossiers des ventes. Naturellement, ces dossiers peuvent ne pas se limiter un seul dossier sur un seul serveur : il peut s'agir d'une collection de dossiers couvrant plusieurs serveurs, chacun d'entre eux affectant l'autorisation de lecture un seul groupe local de domaine.
4-44
Gestion base de rles et stratgie de gestion des groupes Windows
Points cls
La gestion base de rle est un concept utilis en informatique et dans la protection des informations et elle est accessible avec les fonctions standard d'Active Directory. IGDLA est l'implmentation de la gestion base de rles en utilisant des groupes Active Directory.
Gestion des groupes
4-45
Leon 2
Administration des groupes
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : crer des groupes avec DSADD, CSVDE et LDIFDE ; grer et convertir un type de groupe et une tendue ; grer les membres des groupes avec DSMOD et LDIFDE ; numrer les membres des groupes avec DSGET ; supprimer un groupe avec DSRM ; copier les membres des groupes.
4-46
Cration de groupes avec DSAdd
Points cls
La commande DSAdd permet d'ajouter des objets Active Directory. Pour ajouter un groupe, tapez la commande :
dsadd group GroupDN
o GroupDN est le nom unique (DN) du groupe, tel que "CN=Finance Managers,OU=Role,OU=Groups,DC=contoso,DC=com." Veillez placer le nom DN entre guillemets s'il contient des espaces. Par exemple, pour crer le groupe de scurit global Marketing, tapez la commande :
dsadd group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" samid Marketing secgrp yes scope g
Gestion des groupes
4-47
Vous pouvez dfinir galement le paramtre GroupDN de l'une des manires suivantes : Fournissez le paramtre en envoyant une liste de noms DN depuis une autre commande, telle que DSQuery. Entrez-le en tapant chaque nom DN sur l'invite de commande en le sparant par un espace. Entrez-le en laissant le paramtre DN vide ; dans ce cas, vous pouvez tapez les noms DN l'un aprs l'autre dans la console de clavier de l'invite de commande. Appuyez sur ENTRE aprs chaque nom DN. Appuyez sur CTRL+Z et ENTRE aprs le dernier DN.
Ces trois options permettent de gnrer plusieurs groupes simultanment avec DSAdd. La commande DSAdd peut galement dfinir les attributs des groupes que vous crez avec les paramtres facultatifs suivants : -secgrp { yes | no }. Ce paramtre dfinit le type de groupe : security (yes) ou distribution (no). -scope { l | g | u }. Ce paramtre dfinit l'tendue de groupe : domain local (l), global (g) ou universal (u). -samid Name. Ce paramtre dfinit l'attribut sAMAccountName du groupe. Si vous ne le dfinissez pas, le nom du groupe provenant de son DN est utilis. Il est recommand que sAMAccountName et le groupe name soient identiques afin de ne pas avoir dfinir ce paramtre lors de l'utilisation de la commande DSAdd. -desc Description. Ce paramtre dfinit la description du groupe. -members MemberDN . Ce paramtre ajoute des membres au groupe. Les membres sont dfinis par leurs noms DN dans une liste spare par des espaces. -memberof GroupDN . Ce paramtre place le nouveau groupe dans un ou plusieurs groupes existants. Les groupes sont dfinis par leurs noms DN dans une liste spare par des espaces.
4-48
Importation de groupes avec CSVDE
Points cls
CSVDE importe des donnes partir de fichiers de valeurs spares par des virgules (.csv). Elle permet galement d'exporter des donnes vers un fichier .csv. L'exemple suivant porte que un fichier .csv qui cre un groupe, Marketing, et le remplit avec deux membres initiaux : Linda Mitchell et Scott Mitchell.
objectClass,sAMAccountName,DN,member group,Marketing,"CN=Marketing,OU=Role,OU=Groups, DC=contoso,DC=com","CN=Linda Mitchell,OU=Employees, OU=User Accounts,DC=contoso,DC=com; CN=Scott Mitchell,OU=Employees,OU=User Accounts, DC=contoso,DC=com"
Les objets rpertoris dans l'attribut member doivent dj exister dans le service d'annuaire. Leurs noms uniques (DN) sont spars par un point-virgule dans la colonne member.
Gestion des groupes
4-49
Notez l'utilisation des guillemets dans l'exemple ci-dessus. Les guillemets sont ncessaires lorsqu'un attribut contient une virgule pour que cette dernire ne soit pas interprte comme dlimiteur. Le nom DN du groupe contient des virgules et il doit donc avoir une virgule. Dans le cas d'un attribut plusieurs valeurs, tel que member, chaque valeur doit tre spare par un point-virgule ; il existe deux valeurs dans member dans l'exemple ci-dessus. L'ensemble de l'attribut est plac entre des guillemets et non pas chaque valeur de l'attribut member . Vous pouvez importer ce fichier vers Active Directory en utilisant la commande suivante :
csvde -i -f "filename" [-k]
Le paramtre i dfinit le mode d'importation. Dans ce paramtre, la commande CSVDE utilise le mode d'exportation. Le paramtre f prcde le nom de fichier et le paramtre k permet au traitement de continuer, mme si des erreurs se produisent, comme lorsque les objets existent dj ou que le membre est introuvable. Vous pouvez utiliser la commande CSVDE pour crer des objets, mais pas pour modifier des objets existants. Vous ne pouvez pas utiliser la commande CSVDE pour importer des groupes existants.
4-50
Importation de groupes avec LDIFDE
Points cls
LDIFDE est un outil qui importe et exporte des fichiers dans le format LDIF (Lightweight Directory Access Protocol Data Interchange Format). Les fichiers LDIF sont des fichiers texte dans lesquels des oprations sont dfinies par un bloc de lignes spar par une ligne blanche. Chaque opration commence par l'attribut DN de l'objet qui est la cible de l'opration. La ligne suivante, changeType, dfinit le type de l'opration : add (ajouter), modify (modifier) ou delete (supprimer).
Gestion des groupes
4-51
Le fichier LDIF suivant cre les deux groupes Finance et Research :

DN: CN=Finance,OU=Role,OU=Groups,DC=contoso,DC=com changeType: add CN: Finance description: Finance Users objectClass: group sAMAccountName: Finance DN: CN=Research,OU=Role,OU=Groups,DC=contoso,DC=com changeType: add CN: Research description: Research Users objectClass: group sAMAccountName: Research
La convention doit proposer d'enregistrer le fichier avec l'extension .ldf, par exemple, groups.ldf. Pour importer les groupes vers l'annuaire, excutez la commande ldifde.exe, comme suit :
ldifde i f groups.ldf
Le paramtre i dfinit le mode d'importation. Sans ce paramtre, la commande utilise le mode d'exportation. Le paramtre f prcde le nom de fichier et le paramtre k permet au traitement de continuer, mme si des erreurs se produisent (par exemple, l'objet existe dj).
4-52
Conversion d'tendue et de type de groupe
Points cls
Aprs avoir cr un groupe, vous pouvez modifier l'tendue ou le type du groupe, si ncessaire. Ouvrez les proprits d'un groupe existant ; l'tendue et le type existants figurent dans l'onglet Gnral, reprsent ci-dessous. Au moins une tendue et un type sont disponibles pour tre slectionns.
Gestion des groupes
4-53
Vous pouvez convertir le type tout moment en changeant la slection dans la section Type de groupe de l'onglet Gnral. Attention, toutefois. Lorsque vous convertissez un groupe de scurit en groupe de distribution, les ressources sur lesquelles le groupe dispose d'autorisations ne sont pas accessibles de la mme manire. Lorsque le groupe devient un groupe de distribution, le jeton d'accs de scurit des utilisateurs qui ouvrent une session dans le domaine ne contient plus le SID du groupe. Vous pouvez changer l'tendue du groupe de l'une des manires suivantes : Global en universel Local de domaine en universel Universel en global Universel en local de domaine
Les seules conversions d'tendues que vous ne pouvez pas raliser directement sont global en local de domaine et local de domaine en global. Toutefois, vous pouvez effectuer ces modifications indirectement en convertissant l'tendue en tendue universelle, puis dans l'tendue approprie. Par consquent, vous pouvez changer toutes les tendues.
4-54
Toutefois, notez que l'tendue d'un groupe dtermine les types d'objets pouvant tre membres du groupe. Si un groupe contient dj des membres ou qu'il est membre d'un autre groupe, vous ne pouvez pas changer l'tendue. Par exemple, si un groupe global est membre d'un autre groupe global, vous ne pouvez pas convertir l'tendue du premier groupe en tendue universelle, car un groupe universel ne peut pas tre membre d'un groupe global. Vous recevez un message d'erreur explicatif, tel que celui indiqu ci-dessous. Vous devez liminer le conflit d'appartenance pour pouvoir changer l'tendue du groupe.
Vous pouvez utiliser la commande DSMod pour changer le type et l'tendue d'un groupe en utilisant la syntaxe suivante :
dsmod group GroupDN secgrp { yes | no } scope { l | g | u }
L'attribut GroupDN est le nom unique du groupe modifier. Les deux paramtres suivants affectent l'tendue et le type du groupe : -secgrp { yes | no }. Dfinit le type du groupe : scurit (yes) ou distribution (no) -scope { l | g | u }. Dfinit l'tendue du groupe : locale du domaine (l), globale (g), ou universelle (u)
Gestion des groupes
4-55
Modification des membres des groupes avec DSMod
Points cls
La syntaxe de base de la commande DSMod est la suivante :
dsmod group "GroupDN" [options]
Vous pouvez utiliser des options, telles que -samid et -desc pour modifier les attributs sAMAccountName et description du groupe. Toutefois, les options les plus utiles sont celles qui permettent de modifier les membres du groupe :
-addmbr "Member DN"
Ce paramtre ajoute des membres au groupe.

-rmmbr "Member DN"
Ce paramtre supprime des membres du groupe.
4-56
Comme dans toutes les commandes DS, Member DN est le nom unique d'un autre objet Active Directory plac entre guillemets si le nom DN contient des espaces. Vous pouvez insrer plusieurs entres Membre DN en les sparant avec un espace. Par exemple, pour ajouter Mike Danseglio au groupe Research, utilisez la commande DSMod :
dsmod group "CN=Research,OU=Role,OU=Groups,DC=contoso,DC=com" -addmbr "CN=Mike Danseglio,OU=Employees,OU=User Accounts, DC=contoso,DC=com"
Gestion des groupes
4-57
Modification des membres des groupes avec LDIFDE
Points cls
Vous pouvez galement utiliser LDIFDE pour modifier des objets existants dans Active Directory en utilisant des oprations LDIF avec le type de modification modify. Pour ajouter deux membres au groupe Finance, utilisez la commande LDIF suivante :
dn: CN=Finance,OU=Role,OU=Groups,DC=contoso,DC=com changetype: modify add: member member: CN=April Stewart,OU=Employees,OU=User Accounts,dc=contoso,dc=com member: CN=Mike Fitzmaurice,OU=Employees,OU=User Accounts,dc=contoso,dc=com -
4-58
changeType est affect de la valeur modify, suivi de l'opration de modification : add objects to the member attribute. Chaque nouveau membre figure sur une ligne distincte qui commence par le nom d'attribut member. L'opration de modification se termine par une ligne contenant une barre oblique. Le remplacement de la troisime ligne par l'lment suivant supprime les deux membres dfinis du groupe :
delete: member
Gestion des groupes
4-59
Extraction des membres des groupes avec DSGet
Points cls
Les commandes DSGet et DSMod sont particulirement utiles pour grer les membres des groupes. Comme vous le savez, le composant logiciel enfichable Utilisateur et ordinateurs ne fournit pas d'options permettant de rpertorier tous les membres d'un groupe et les membres imbriqus. Seul l'onglet Membre d'un groupe permet d'identifier les membres directs du groupe. De mme, il n'existe pas d'options permettant de rpertorier tous les groupes d'un utilisateur ou d'un ordinateur et les groupes imbriqus. Seul l'onglet Membre de permet d'identifier l'appartenance directe d'un utilisateur ou d'un ordinateur. La commande DSGet permet d'extraire la liste complte des membres d'un groupe et des membres imbriqus en utilisant la syntaxe suivante :
dsget group "GroupDN" members [-expand]
L'option -expand permet de dvelopper les membres des groupes imbriqus.
4-60
De mme, vous pouvez utiliser la commande DSGet pour extraire la liste complte des groupes d'un utilisateur ou d'un ordinateur en utilisant l'option de dveloppement dans les commandes suivantes :
dsget user "UserDN" memberof [-expand] dsget computer "ComputerDN" memberof [-expand]
L'option memberof retourne la valeur de l'attribut memberOf de l'utilisateur ou de l'ordinateur en indiquant les groupes dont l'objet est un membre direct. En ajoutant l'option expand, ces groupes font l'objet d'une recherche rcursive en produisant la liste complte des groupes dont l'objet utilisateur est membre dans le domaine.
Gestion des groupes
4-61
Copie des membres des groupes
Points cls
Vous pouvez combiner la commande DSGet avec la commande DSMod pour copier les membres d'un groupe. Dans l'exemple ci-dessous, la commande DSGet permet d'obtenir des informations sur tous les membres du groupe Sales, puis en envoyant la liste la commande DSMod, d'ajouter ces utilisateurs au groupe Marketing :
dsget group "CN=Sales,OU=Role,OU=Groups,DC=contoso,DC=com" members | dsmod group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" addmbr
Notez l'utilisation du piping. La sortie de DSGet (noms uniques des membres du premier groupe) est envoye en utilisant le symbole "|" comme entre pour les noms DN qui manquent dans l'option -addmbr. De mme, vous pouvez utiliser conjointement les commandes DSGet et DSMod pour copier les membres d'un groupe d'un objet, tel qu'un utilisateur, vers un autre objet :
dsget user "SourceUserDN" memberof | dsmod group addmbr "TargetUserDN"
4-62
Dplacement des groupes et changement de leurs noms
Points cls
Vous pouvez dplacer et renommer les groupes dans Utilisateurs et ordinateurs Active Directory en cliquant avec le bouton droit de la souris sur un groupe et en cliquant sur la commande Dplacer ou Renommer. La commande DSMove permet de dplacer ou de renommer un objet dans un domaine. Vous pouvez l'utiliser pour transfrer des objets entre les domaines. La syntaxe de base est la suivante :
dsmove ObjectDN [-newname NewName] [-newparent TargetOUDN]
L'objet est dfini en utilisant son nom unique dans le paramtre ObjectDN. Pour renommer un objet, dfinissez un nouveau nom commun dans le paramtre newname. Pour transfrer un objet vers un autre emplacement, dfinissez le nom unique du conteneur cible dans le paramtre -newparent.
Gestion des groupes
4-63
Par exemple, pour remplacer le nom du groupe Marketing par Public Relations, tapez :
dsmove "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" newname "Public Relations"
Pour transfrer ce groupe vers l'UO Marketing, tapez :

dsmove "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com" newparent "OU=Marketing,DC=contoso,DC=com"
4-64
Suppression de groupes
Points cls
Vous pouvez supprimer un groupe dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory en cliquant avec le bouton droit de la souris sur le groupe et en choisissant la commande Supprimer. En outre, vous pouvez utiliser la commande DSRm pour supprimer un groupe ou tout autre objet Active Directory. La syntaxe de base de DSRm est la suivante :
dsrm ObjectDN ... [-subtree [-exclude]] [-noprompt] [-c]
L'objet est dfini en utilisant son nom unique dans le paramtre ObjectDN. Un message demande de confirmer la suppression de chaque objet si vous ne dfinissez pas l'option -noprompt. L'option -c place la commande DSRm en mode de fonctionnement continu dans lequel les erreurs sont signales, mais n'empchent pas de traiter d'autres objets. Sans l'option -c, le traitement s'arrte sur la premire erreur. L'option -subtree permet la commande DSRm de supprimer l'objet et tous ses objets enfant. L'option -subtree -exclude supprime tous les objets enfant, mais pas l'objet lui-mme.
Gestion des groupes
4-65
Pour supprimer le groupe Public Relations, tapez :

dsrm "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com"
Identifiez les consquences avant de supprimer un groupe Lorsque vous supprimez un groupe, vous supprimez un point de gestion dans l'entreprise. Veillez valuer l'environnement pour dterminer s'il existe des autorisations ou d'autres ressources qui dpendent du groupe. La suppression d'un groupe est une action importante qui peut avoir des consquences significatives. Lorsque vous supprimez un groupe, vous supprimez son SID. La recration du groupe avec le mme nom ne restaure pas les autorisations, car le SID du nouveau groupe est diffrent du celui du groupe d'origine. Avant de supprimer un groupe, il est recommand d'enregistrer ses membres et de supprimer tous les membres pendant une priode donne pour dterminer si les membres ont perdu leur accs aux ressources. En cas d'erreur, rajoutez simplement les membres. Si le test aboutit, supprimez le groupe.
4-66
Atelier pratique A : Administration des groupes
Scnario
Pour amliorer la gestion des accs aux ressources chez Contoso, Ltd., vous avez dcid d'implmenter la gestion base de rles. La premire application de la gestion base de rles consistera dterminer les personnes autorises accder aux informations des ventes. Vous devez crer des groupes qui grent l'accs aux informations sensibles. Les rgles de l'entreprise stipulent que les employs des services Sales et Marketing et les Consultants doivent pouvoir lire les dossiers des ventes. De plus, Bobby Moore ncessite un accs en lecture. Enfin, on vous a demand de rechercher un moyen de produire la liste des membres des groupes, y compris des membres des groupes imbriqus, et la liste des membres des groupes d'un utilisateur, y compris les membres indirects ou imbriqus.
Gestion des groupes
4-67
Exercice 1 : Implmenter la gestion base de rles en utilisant des groupes

Dans cet exercice, vous aller implmenter la gestion base de rles en utilisant des groupes et la meilleure pratique de stratgie d'imbrication de groupes, IGDLA. Vous allez crer diffrents tendues et types en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs et des outils de ligne de commande. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. 7. 8. Prparer l'atelier pratique. Crer des groupes de rles via Utilisateurs et ordinateurs Active Directory Crer des groupes de rles avec DSAdd Ajouter des utilisateurs au groupe de rles. Implmenter une hirarchie de rles dans laquelle les directeurs des ventes (Sales Managers) font partie galement du rle Sales. Crer un groupe de gestion des accs aux ressources. Affecter des autorisations au groupe de gestion des accs aux ressources Dterminer les rles et les utilisateurs qui peuvent accder une ressource.

1. 2. 3. Dmarrez 6238B-HQDC01-A. Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Excutez D:\Labfiles\Lab04b\Lab04a_Setup.bat avec les informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tche 2 : Crer des groupes de rles avec Utilisateurs et ordinateurs

Active Directory
1. Excutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Crez les groupes de scurit globaux Sales et Consultants dans l'UO Groups\Role.
2.
4-68
Tche 3 : Crer un groupe avec DSAdd

1. Excutez l'invite de commandes avec les informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. En utilisant la commande DSAdd, crez le groupe de scurit global Auditors dans l'UO Groups\Role. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que l'objet a t cr.
2. 3.
Tche 4 : Ajouter des utilisateurs au groupe de rles.

1. 2. Ajoutez Tony Krijnen au groupe Sales en utilisant l'onglet Membres du groupe Sales. Ajoutez Linda Mitchell au groupe Sales en cliquant avec le bouton droit de la souris sur Linda Mitchell et en choisissant Ajouter un groupe.
Tche 5 : Implmenter une hirarchie de rles dans laquelle les

directeurs des ventes (Sales Managers) font partie galement du rle Sales.
Ajoutez le groupe Sales Managers au groupe Sales en utilisant l'onglet Membre de du groupe Sales Managers .
Tche 6 : Crer un groupe de gestion des accs aux ressources.

Crez le groupe de scurit local de domaine ACL_Sales Folders_Read dans l'UO Groups\Access.
Tche 7 : Affecter des autorisations au groupe de gestion des accs

aux ressources
1. 2. 3. Dans D:\Data, crez le dossier Sales. Cliquez avec le bouton droit de la souris sur le dossier Sales, puis cliquez sur Proprits et sur l'onglet Scurit. Cliquez sur dition et sur Ajouter.
Gestion des groupes
4-69
4.
Tapez ACL_ et appuyez sur ENTRE. Notez que lorsque vous utilisez un prfixe pour les noms de groupe, tel que ACL_ pour les groupes d'accs aux ressources, vous pouvez les retrouver rapidement.
5. 6. 7.
Cliquez sur ACL_Sales Folders_Read et sur OK. Vrifiez que le groupe a t affect de l'autorisation de lecture et d'excution. Cliquez sur OK pour fermer la bote de dialogue ouverte.
Tche 8 : Dterminer les rles et les utilisateurs qui peuvent accder

une ressource.
Ajoutez Sales, Consultants, Auditors et Bobby Moore au groupe ACL_Sales Folders_Read.
Rsultats : Dans cet exercice, vous avez implment une gestion base de rles simple pour grer l'accs en lecture au dossier Sales.
4-70
Exercice 2 : Grer les membres des groupes depuis l'invite de commandes

Dans cet exercice, vous allez grer les membres des groupes depuis l'invite de commandes en utilisant des commandes, telles que DSGet et DSMod. Les tches principales de cet exercice sont les suivantes : 1. 2. Modifier les membres des groupes avec DSMod Extraire les membres des groupes avec DSGet
Tche 1 : Modifier les membres des groupes avec DSMod

1. Revenez l'invite de commandes. Tapez la commande ci-dessous, puis appuyez sur ENTRE.
dsmod group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com" addmbr "CN=Mike Danseglio,OU=Employees,OU=User Accounts, DC=contoso,DC=com" "CN=Finance Managers,OU=Role, OU=Groups,DC=contoso,DC=com"
2.
Dans Utilisateurs et ordinateurs Active Directory, vrifiez que les membres du groupe Auditors incluent Mike Danseglio et le groupe Finance Managers.
Tche 2 : Extraire les membres des groupes avec DSGet

1. 2. Revenez l'invite de commandes. Affichez la liste des membres directs du groupe Auditors en tapant la commande suivante et en appuyant sur ENTRE :
dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com" -members
3.
Affichez la liste de complte des membres directs du groupe Auditors en tapant la commande suivante et en appuyant sur ENTRE :
dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com" -members expand
Gestion des groupes
4-71
4.
Affichez la liste complte des membres du groupe ACL_Sales Folders_Read en tapant la commande suivante et en appuyant sur ENTRE :
dsget group "CN=ACL_Sales Folders_Read,OU=Access, OU=Groups,DC=contoso,DC=com" -members -expand
5.
Affichez la liste des membres directs du groupe Mike Danseglio en tapant la commande suivante et en appuyant sur ENTRE :
dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts, DC=contoso,DC=com" memberof
6.
Affichez la liste complte des membres du groupe Mike Danseglio en tapant la commande suivante et en appuyant sur ENTRE :
dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts, DC=contoso,DC=com" memberof -expand
Rsultats : Dans cet exercice, vous avez implment une gestion base de rles simple pour grer l'accs en lecture au dossier Sales.
4-72
Exercice 3 (facultatif avanc) : Explorer les outils de gnration de rapports des membres des groupes
Les exercices avancs facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplmentaires. Le corrig de l'atelier pratique ne contient pas de rponses. Les tches principales de cet exercice sont les suivantes : 1. 2. Ouvrez D:\AdminTools\Members_Report.hta. Entrez le nom d'un groupe et cliquez sur Rapport. Ouvrez D:\AdminTools\MemberOf_Report.hta. Entrez le nom d'un utilisateur, d'un ordinateur ou d'un groupe et cliquez sur Rapport.
Gestion des groupes
4-73
Exercice 4 (facultatif avanc) : comprhension des autorisations "Compte inconnu"

Les exercices avancs facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplmentaires. Le corrig de l'atelier pratique ne contient pas de rponses. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Dans lunit dorganisation Role, crez le groupe de scurit global Test. Affectez l'autorisation de lecture et d'excution au dossier D:\Data\Sales. Supprimez le groupe Test. Examinez l'onglet Scurit de la bote de dialogue du dossier Sales. Si le groupe Test figure toujours dans la liste, il se peut que l'Explorateur Windows masque l'association du SID au nom de groupe. Fermez la session, rouvrez une session et vrifiez de nouveau.
Remarque : n'arrtez pas les ordinateurs virtuels lorsque vous avez termin l'atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans l'atelier pratique B.

Question : Dcrivez la fonction des groupes globaux dans le cadre de la gestion base de rles. Question : Quels sont les types d'objets qui peuvent tre membres des groupes globaux ? Question : Dcrivez la fonction des groupes locaux de domaine dans le cadre de la gestion des accs aux ressources base de rles. Question : Quels sont les types d'objets qui peuvent tre membres des groupes locaux de domaine ? Question : Si vous avez implment la gestion base de rles et que l'on vous demande d'indiquer les utilisateurs qui peuvent lire les dossiers Sales, quelle commande utilisez-vous ?
4-74
Leon 3
Meilleures pratiques de gestion des groupes
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : documenter la fonction d'un groupe en utilisant les attributs du groupe ; protger un groupe contre la suppression accidentelle ; dlguer la gestion des membres des groupes en utilisant l'onglet Gr par ; expliquer les groupes secondaires ; expliquer les groupes par dfaut (intgrs) ; expliquer les identits spciales.
Gestion des groupes
4-75
Meilleures pratiques de documentation des groupes
Points cls
La cration d'un groupe dans Active Directory est simple. Mais il n'est pas aussi simple de dterminer si le groupe est utilis correctement. Vous pouvez faciliter la gestion et l'utilisation d'un groupe en documentant sa fonction pour indiquer aux administrateurs quand et comment utiliser le groupe. Il existe plusieurs meilleures pratiques qui, bien qu'elles ne feront vraisemblablement pas partie des questions de l'examen de certification, s'avrent trs utiles pour administrer les groupes dans l'entreprise.
4-76
tablir et respecter une convention d'affectation de nom stricte Une convention d'affectation de nom a t propose dans une leon prcdente. Dans le contexte de l'administration des groupes, l'tablissement et le respect des normes d'affectation de nom amliorent la productivit des administrateurs. En utilisant des prfixes pour indiquer la fonction d'un groupe et en utilisant un dlimiteur cohrent entre le prfixe et la partie descriptive des noms de groupe, vous pouvez permettre aux utilisateurs de rechercher le groupe correspondant une fonction donne. Par exemple, le prfixe APP peut tre utilis pour dsigner des groupes qui servent grer les applications et le prfixe ACL, pour les groupes affects d'autorisations dans les listes de contrle d'accs. Ces prfixes facilitent la recherche et l'interprtation de la fonction des groupes, tels que APP_Accounting et ACL_Accounting_Read, le premier tant utilis pour grer le dploiement du logiciel de comptabilit et le second pour fournir l'accs en lecture au dossier de comptabilit. Les prfixes permettent galement regrouper les noms des groupes dans l'interface utilisateur. La capture d'cran ci-dessous montre un exemple :
Lorsque vous recherchez un groupe utiliser pour affecter des autorisations un dossier, vous pouvez taper le prfixe ACL_ dans la bote de dialogue de slection et cliquer sur OK. La bote de dialogue Noms multiples trouvs apparat en indiquant uniquement les groupes ACL_ dans l'annuaire, ce qui permet d'affecter des autorisations un groupe destin grer les accs aux ressources.
Gestion des groupes
4-77
Rsumer la fonction d'un groupe avec son attribut de description Utilisez l'attribut de description d'un groupe pour rsumer la fonction du groupe. tant donn que la colonne Description est active par dfaut dans le volet des dtails du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, les administrateurs peuvent identifier trs clairement la fonction du groupe. Dtailler la fonction d'un groupe dans ses commentaires Lorsque vous ouvrez la bote de dialogue des proprits, la zone de commentaires se trouvent au bas de l'onglet Gnral. Vous pouvez utiliser cette zone pour documenter la fonction du groupe. Par exemple, vous pouvez afficher la liste des dossiers auxquels un groupe est autoris accder, comme indiqu ci-dessous :
4-78
Protection des groupes contre la suppression accidentelle
Points cls
Protgez-vous contre la suppression accidentelle d'un groupe qui peut avoir des consquence considrables en protgeant chaque groupe que vous crez contre la suppression. Windows Server 2008 facilite la protection des objets contre la suppression. Pour protger un objet, procdez comme suit : 1. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez sur le menu Affichage et cochez la case Fonctionnalits avances. Ouvrez la bote de dialogue Proprits d'un groupe. Dans l'onglet Objet, cochez la case Protger lobjet des suppressions accidentelles. Cliquez sur OK.
2. 3. 4.
Gestion des groupes
4-79
Il s'agit de l'un des quelques emplacements de Windows dans lesquels vous devez rellement cliquer sur OK. Si vous cliquez sur Appliquer, vous ne modifiez pas l'ACL en fonction de votre slection. L'option Protger lobjet des suppressions accidentelles applique une entre de contrle d'accs (ACE) l'ACL de l'objet qui empche explicitement le groupe Tout le monde d'effectuer des suppressions et de supprimer une sous-arborescence. Si vous voulez supprimer le groupe, vous pouvez retourner dans l'onglet Objet de la bote de dialogue des proprits et dslectionner la case Protger lobjet des suppressions accidentelles. La suppression d'un groupe a un impact considrable sur les administrateurs et ventuellement sur la scurit. Supposez que vous disposiez d'un groupe utilis pour grer l'accs aux ressources. Si vous supprimez le groupe, l'accs aux ressources change. Les utilisateurs qui devraient pouvoir accder aux ressources ne peuvent plus y accder soudainement, ce qui cre un dnis de service ou si vous avez utilis le groupe pour interdire l'accs une ressource avec un refus d'autorisation, il devient possible d'accder la ressource. De plus, si vous recrez le groupe, le nouvel objet groupe dispose d'un nouvel identificateur de scurit (SID) qui ne correspond pas aux SID dans les ACL des ressources. Par consquent, vous devez restaurer l'objet pour ractiver le groupe supprim avant que le dlai de dsactivation soit atteint. Lorsqu'un groupe est supprim pendant le dlai de dsactivation (60 jours par dfaut), le groupe et son SID sont supprims dfinitivement d'Active Directory. Lorsque vous ractivez un objet dsactiv, vous devez recrer la plupart de ses attributs, notamment principalement, l'attribut member des objets groupe. Cela implique que vous devez recrer les membres du groupe aprs avoir restaur l'objet supprim. Vous pouvez galement excuter une restauration faisant autorit ou, dans Windows Server 2008, utiliser vos captures instantanes Active Directory pour restaurer le groupe et ses membres. La restauration faisant autorit et les captures instantanes sont traites dans le module 13. Pour en savoir plus sur la restauration des groupes supprims et de leurs membres, consultez l'article 840001 dans la base de connaissances accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168758. De manire gnrale, il convient de souligner que la restauration d'un groupe devrait tre excute uniquement dans le cadre d'un exercice d'incendie et non pas dans un environnement de production.
4-80
Dlgation de la gestion des membres avec l'onglet Gr par
Points cls
Aprs avoir cr un groupe, vous pouvez dlguer la gestion de ses membres une quipe ou une personne responsable de la ressource que gre le groupe. Supposez que votre directeur financier doive crer le budget du prochain exercice. Vous crez un dossier pour le budget et affectez l'autorisation d'criture au groupe ACL_Budget_Edit. Si une personne doit accder au dossier du budget, elle contacte l'assistance pour faire la demande, l'assistance contacte le directeur financier pour l'approbation, puis l'assistance ajoute la personne au groupe ACL_Budget_Edit. Vous pouvez amliorer la ractivit et la partie dcisionnelle du processus en autorisant le directeur financier changer les membres du groupe. Ainsi, les utilisateurs qui doivent disposer d'un accs peuvent le demander directement au directeur financier qui peut effectuer la modification en liminant l'tape du contact de l'assistance. Pour dlguer la gestion des membres d'un groupe, vous devez affecter au responsable financier l'autorisation Allow Write Member (Autoriser criture de membre). L'attribut member est l'attribut plusieurs valeurs qui est le membre du groupe.
Gestion des groupes
4-81
La mthode la plus simple pour dlguer la gestion des membres d'un groupe consiste utiliser l'onglet Gr par. L'onglet Gr par de la bote de dialogue des proprits d'un objet groupe est reprsente ci-dessous :
Cet onglet a deux fonctions. Il fournit les informations de contact associes au responsable d'un groupe. Vous pouvez utiliser ces informations pour contacter le propritaire d'un groupe pour obtenir l'approbation avant d'ajouter un utilisateur un groupe. Il permet de grer la dlgation de l'attribut member. Notez la case cocher indique ci-dessus. Elle s'appelle Le gestionnaire peut mettre jour la liste des membres. Lorsque vous la slectionnez, l'utilisateur ou le groupe qui figure dans le champ Nom reoit l'autorisation Allow Write Member. Si vous changez ou supprimez le gestionnaire, la modification approprie est rpercute dans l'ACL du groupe.
Conseil : vous devez cliquer sur OK pour implmenter la modification. Si vous cliquez sur Appliquer vous ne changez pas l'ACL du groupe.
4-82
Insrer un groupe dans l'onglet Gr par d'un autre groupe n'est pas si simple. Lorsque vous cliquez sur le bouton Modifier, la bote de dialogue de slection d'un utilisateur, d'un contact ou d'un groupe s'affiche. Si vous entrez le nom d'un groupe et cliquez sur OK, une erreur se produit, car cette bote de dialogue n'est pas configure pour accepter les groupes comme types d'objets valides, mme si la bote de dialogue s'appelle Groupe. Pour rsoudre cette limitation trange, cliquez sur le bouton Types d'objets et cochez la case ct de Groupes. Cliquez sur OK pour fermer les botes de dialogue Types d'objets et Slectionner. Veillez cochez la case Le gestionnaire peut mettre jour la liste des membres si vous voulez affecter l'autorisation Allow Write Member au groupe. Lorsque vous utilisez un groupe dans l'onglet Gr par, aucune information de contact n'est visible, car les groupes ne contiennent pas d'attributs de contact.
Aprs avoir dlgu la gestion des membres d'un groupe, un utilisateur ne ncessite pas que Utilisateurs et ordinateurs modifie les membres du groupe. Un utilisateur peut simplement utiliser la fonction Rechercher dans Active Directory des clients Windows pour rechercher le groupe et changer ses membres. Pour rechercher un groupe : 1. 2. 3. Cliquez sur Dmarrer et sur Rseau. Cliquez sur le bouton Rechercher dans Active Directory dans la barre d'outils. Tapez le nom du groupe et cliquez sur Rechercher.
Gestion des groupes
4-83
Groupes par dfaut
Points cls
Un certain nombre de groupes sont crs automatiquement sur un serveur Windows Server 2008. Ces groupes s'appellent des groupes locaux par dfaut qui comprennent des groupes familiers, tels que Administrateurs, Oprateurs de sauvegarde et Utilisateurs du Bureau distance. D'autres groupes sont crs dans un domaine, savoir dans les conteneurs BUILTIN et Users, notamment Admins du domaine, Administrateurs de l'entreprise et Administrateurs du schma. La liste suivante rpertorie les fonctions du sous-ensemble de groupes par dfaut qui ont des autorisations et des droits significatifs associs la gestion d'Active Directory. Administrateurs de l'entreprise (conteneur Users du domaine racine de la fort) Ce groupe est membre du groupe Administrateurs dans chaque domaine de la fort, ce qui lui permet d'accder la configuration de tous les contrleurs du domaine. Il dtient galement la partition Configuration de l'annuaire et contrle compltement le contexte d'affectation de nom de domaine dans tous les domaines de la fort.
4-84
Administrateurs du schma (conteneur Users du domaine racine de la fort) Ce groupe est propritaire du schma Active Directory et le contrle compltement. Administrateurs (conteneurs BUILTIN de chaque domaine) Ce groupe contrle compltement tous les contrleurs et donnes du domaine dans le contexte d'affectation de nom de domaine. il peut changer les membres de tous les groupes d'administration du domaine et le groupe Administrateurs du domaine racine de la fort peut changer les membres de Admins du domaine, Administrateurs de l'entreprise et Administrateurs du schma. Le groupe Administrateurs dans le domaine racine de la fort est sans conteste le groupe d'administration de services le plus puissant de la fort. Admins du domaine (conteneur Users de chaque domaine) Ce groupe est ajout au groupe Administrateurs de son domaine. Par consquent, il hrite des fonctions du groupe Administrateurs. Par dfaut, il est galement ajout au groupe local Administrateurs de chaque ordinateur membre du domaine, ce qui lui donne la proprit Admins du domaine de tous les ordinateurs du domaine. Oprateurs de serveur (conteneurs BUILTIN de chaque domaine) Ce groupe peut excuter des tches de maintenance sur les contrleurs du domaine. Il peut ouvrir des sessions localement, dmarrer et arrter les services, excuter des sauvegardes et des restaurations, crer ou supprimer des partages et arrter les contrleurs du domaine. Par dfaut, ce groupe ne contient pas de membres. Oprateurs de compte (conteneurs BUILTIN de chaque domaine) Ce groupe peut crer, modifier et supprimer des comptes pour des utilisateurs, des groupes et des ordinateurs situs dans les units d'organisation du domaine (sauf l'UO Domain Controllers) et dans le conteneur Users et Computers. Les oprateurs de compte ne peuvent pas modifier les comptes membres des groupes Administrateurs ou Admins de domaine et ils ne peuvent pas non plus modifier ces groupes. Les oprateurs peuvent aussi ouvrir des sessions localement sur les contrleurs du domaine. Par dfaut, ce groupe ne contient pas de membres. Oprateurs de sauvegarde (conteneurs BUILTIN de chaque domaine) Ce groupe peut excuter des sauvegardes et des restaurations sur les contrleurs du domaine, ouvrir des sessions localement et arrter les contrleurs du domaine. Par dfaut, ce groupe ne contient pas de membres.
Gestion des groupes
4-85
Oprateurs d'impression (conteneurs BUILTIN de chaque domaine) Ce groupe peut grer les files d'attente dans les contrleurs du domaine. Il peut aussi ouvrir des sessions localement et arrter les contrleurs du domaine. Les groupes par dfaut qui fournissent des privilges d'administration doivent tre grs avec prcaution, parce que ils disposent gnralement de privilges plus tendus que ncessaire pour la plupart des environnements dlgus et qu'ils appliquent souvent une protection leurs membres. Le groupe Oprateurs de compte est un parfait exemple. Si vous examinez ses fonctions dans la liste ci-dessus, vous constatez qu'il dispose de droits trs tendus. Il peut mme ouvrir des sessions localement sur un contrleur du domaine. Dans les trs petites entreprises, ces droits sont probablement appropris pour une ou deux personnes qui sont vraisemblablement des administrateurs de domaine. Dans les grandes entreprises, les droits et autorisations accords aux oprateurs de compte sont gnralement beaucoup trop tendus. De plus, le groupe Oprateurs de compte, l'instar des autres groupes d'administration ci-dessus, est un groupe protg. Les groupes protgs sont dfinis par le systme d'exploitation et leur protection ne peut pas tre annule. Les membres d'un groupe protg sont protgs. La protection modifie les autorisations (ACL) des membres pour qu'ils n'hritent plus des autorisations de leur UO, mais pour qu'ils reoivent une copie de l'ACL qui est trs restrictive. Si, par exemple, vous ajoutez Jeff Ford au groupe Oprateurs de compte, son compte est protg et l'assistance, qui peut rinitialiser les mots de passe de tous les utilisateurs de l'UO Employees, ne peut pas rinitialiser le mot de passe de Jeff Ford. Pour plus d'informations sur les comptes protgs, voir l'article 817433 dans la base de donnes accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168759 et l'article 840001 accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168760. Si vous voulez rechercher des ressources sur Internet, utilisez le mot cl adminSDHolder. Pour ces raisons, surdlgation et protection, vitez d'ajouter des utilisateurs aux groupes ci-dessous qui ne contiennent pas de membre par dfaut : Oprateurs de compte, Oprateurs de sauvegarde, Oprateurs de serveur et Oprateurs d'impression. la place, crez des groupes personnaliss en leur affectant des autorisations et des droits d'utilisateur qui rpondent aux besoins de l'entreprise et d'administration.
4-86
Par exemple, si Scott Mitchell doit pouvoir excuter des sauvegardes et des restaurations sur un contrleur du domaine, mais ne doit pas tre autoris effectuer des restaurations qui risquent de restaurer la base de donnes ou de l'endommager et arrter un contrleur du domaine, ne placez pas Scott dans le groupe Oprateurs de sauvegarde. la place, crez un groupe et affectez-lui uniquement le droit d'utilisateur Sauvegarder les fichiers et les rpertoires, puis ajoutez Scott ce groupe. Vous trouverez sur Microsoft TechNet une rfrence complte aux groupes par dfaut dans un domaine et aux groupes locaux par dfaut. Si les groupes par dfaut et leurs fonctions ne vous sont pas familiers, prparez l'examen en les consultant. La rfrence aux groupes de domaine par dfaut est accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168761 et celle des groupes locaux par dfaut, l'adresse http://go.microsoft.com/fwlink/?LinkId=168762.
Gestion des groupes
4-87
Identits spciales
Points cls
Windows et Active Directory prennent en charge des identits spciales, des groupes dont les membres sont contrls par le systme d'exploitation. Vous ne pouvez pas afficher les groupes d'une liste (dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, par exemple), ni afficher ou modifier les membres de ces identits spciales, ni les ajouter d'autres groupes. Toutefois, vous pouvez utiliser ces groupes pour affecter des droits et des autorisations. Les identits spciales les plus importantes, gnralement appeles groupes, par souci de commodit, sont dcrites ci-dessous : Ouverture de session anonyme. Cette identit reprsente les connexions un ordinateur et ses ressources tablies sans fournir un nom d'utilisateur et un mot de passe. Avant Windows Server 2003, ce groupe tait membre du groupe Tout le monde. Depuis Windows Server 2003, ce groupe n'est plus un membre par dfaut du groupe Tout le monde. Utilisateurs authentifis. Il s'agit des identits qui ont t authentifies. Ce groupe ne contient pas Invit, mme si le compte Invit a un mot de passe.
4-88
Tout le monde. Cette identit inclut les utilisateurs authentifis et le compte Invit. Sur les ordinateurs sur lesquels des versions Windows antrieures Windows Server 2003 sont excutes, ce groupe contient Ouverture de session anonyme. Interactif. Il s'agit des utilisateurs qui accdent une ressource lorsqu'ils ont ouvert une session localement sur un ordinateur qui hberge la ressource au lieu d'accder cette dernire sur le rseau. Ds quun utilisateur accde une ressource sur un ordinateur sur lequel il a ouvert une session localement, l'utilisateur est ajout automatiquement au groupe Interactif de la ressource. Le groupe Interactif contient galement les utilisateurs qui ont ouvert une session via une connexion Bureau distance. Rseau. Il s'agit des utilisateurs qui accdent une ressource sur le rseau et non pas des utilisateurs qui ont ouvert une session localement sur l'ordinateur qui hberge la ressource. Lorsqu'un utilisateur accde une ressource sur le rseau, il est ajout automatiquement au groupe Rseau de la ressource.
Ces identits sont importantes dans la mesure o elles permettent de fournir un accs aux ressources en fonction du type d'authentification ou de la connexion et non pas du compte d'utilisateur. Par exemple, vous pouvez crer un dossier sur un systme qui permet aux utilisateurs d'afficher son contenu lorsqu'ils ouvrent une session localement sur le systme, mais pas le contenu d'un lecteur mapp sur le rseau. Pour leur permettre de l'afficher, il est ncessaire d'affecter des autorisations l'identit spciale Interactif.
Gestion des groupes
4-89
Atelier pratique B : Meilleures pratiques de gestion des groupes
Scnario
Votre implmentation de la gestion base de rles chez Contoso est trs efficace. Le nombre de groupes dans le domaine ayant augment, vous constatez qu'il est important de documenter les groupes soigneusement et d'empcher les administrateurs de supprimer accidentellement un groupe. Enfin, vous voulez permettre aux propritaires des ressources de l'entreprise de grer les accs aux ressources en dlgant aux propritaires le droit de modifier les membres des groupes.
4-90
Exercice 1 : Implmentation des meilleures pratiques de gestion des groupes

Dans cet exercice, vous allez excuter les tches ci-aprs pour documenter, dlguer et protger les groupes. 1. 2. 3. 4. 5. Prparer l'atelier pratique. Crer un groupe bien document. Protger un groupe contre la suppression accidentelle. Dlguer la gestion des membres des groupes. Valider la dlgation de la gestion des membres des groupes.

L'ordinateur virtuel doit tre dj dmarr et disponible la fin de l'atelier A. S'il ne l'est pas, vous devez le dmarrer et effectuer les exercices de l'atelier A avant de continuer. 1. 2. Dmarrez 6238B-HQDC01-A. Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
Tche 2 : Cration d'un groupe bien document

1. Excutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans les proprits du groupe ACL_Sales Folders_Read, dfinissez les lments suivants : La description qui rsume la rgle de gestion des ressources reprsente par le groupe : Sales Folders (READ) Dans la zone Commentaires, tapez les chemins suivants pour reprsenter les dossiers ayant des autorisations affectes ce groupe : \\contoso\teams\Sales (READ) \\file02\data\Sales (READ) \\file03\news\Sales (READ)
2.
Gestion des groupes
4-91
Tche 3 : Protection d'un groupe contre la suppression accidentelle

1. 2. 3. Activez la vue Fonctionnalits avances du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Protgez le groupe ACL_Sales Folders_Read contre la suppression accidentelle. Tentez de supprimer le groupe. Vrifiez que la suppression du groupe est refuse.
Tche 4 : Dlguer la gestion des membres des groupes

Dfinissez l'attribut Gr par du groupe Auditors pour faire rfrence Mike Danseglio.
Tche 5 : Valider la dlgation de la gestion des membres des groupes

1. 2. 3. 4. Fermez la session HQDC01, puis ouvrez une session en utilisant le nom d'utilisateur Mike.Danseglio et le mot de passe Pa$$w0rd. Ouvrez la fentre Rseau et utilisez Rechercher dans Active Directory pour rechercher le groupe Auditors. Ajoutez le groupe Executives au groupe Auditors. Fermez la session HQDC01.
4-92
Exercice 2 (facultatif avanc) : Gestion des membres des groupes secondaires

Les exercices avancs facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplmentaires. Le corrig de l'atelier pratique ne contient pas de rponses. Les tches principales de cet exercice sont les suivantes : 1. Vrifier que le groupe de scurit global Administrative Identities est bien prsent dans l'UO Groups\Role. Il s'agit du groupe instantan qui contient les comptes de l'UO Admin Identities. 2. Crer un script de commandes qui utilise DSQuery, DSGet et DSMod pour synchroniser les membres du groupe avec les utilisateurs de l'UO Admin Identities. Le script est excut rgulirement pour que les membres du groupe restent synchroniss avec l'UO Identits d'administration. Le script doit tenir compte des nouveaux utilisateurs ajouts l'UO et des utilisateurs qui en sont supprims. 3. Tester le script en excutant les tapes suivantes avec les informations d'identification d'administrateur : a. b. c. Excutez le script. Vrifiez que les membres du groupe Identits d'administration correspondent au contenu de l'UO Identits d'administration. Crez un compte d'utilisateur dans l'UO Identits d'administration.
d. Excutez le script. e. f. g. h. 4. Vrifiez que le groupe contient le nouvel utilisateur. Dsactivez le nouveau compte d'utilisateur et transfrez l'utilisateur vers l'UO Comptes dsactivs. Excutez le script. Vrifiez que le groupe ne contient plus l'utilisateur.
Si vous avez le temps, crez une tche planifie qui excute le script toutes les minutes. Rptez la squence de test, mais autorisez l'excution de la tche planifie au lieu d'excuter le script.
Gestion des groupes
4-93
Vous pouvez comparer le script de commandes D:\Labfiles\Lab04b\Shadow_Group.bat. Notez que les commandes DS permettent de grer un groupe secondaire, mais pas efficacement. La suppression de tous les membres et le rajout des membres augmente inutilement le trafic de rplication, notamment pour un grand groupe secondaire comportant des centaines, voire des milliers de membres. Vous pouvez utiliser un langage de script, tel que VBScript ou Windows PowerShell, pour crer un script plus efficace qui met jour les membres des groupes avec les modifications au lieu de les remplacer. Voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008) pour exemple de script.

Question : Citez des avantages de l'utilisation des champs Description et Commentaires d'un groupe ? Question : Quels sont les avantages et les inconvnients de la dlgation des membres des groupes ?
Prise en charge des comptes d'ordinateur
5-1
Module 5
Table des matires :
Leon 1 : Cration d'ordinateurs et jonction au domaine Atelier pratique A : Cration d'ordinateurs et jonction au domaine Leon 2 : Administration des objets et des comptes d'ordinateur Atelier pratique B : Administration des objets et des comptes d'ordinateur 5-4 5-34 5-42 5-62
5-2
Les ordinateurs au sein d'un domaine sont des entits de scurit, tout comme les utilisateurs. Ils possdent un compte avec un nom douverture de session et un mot de passe que Windows change automatiquement environ tous les mois. Ils sauthentifient auprs du domaine. Ils peuvent appartenir des groupes, avoir accs des ressources et tre configurs via la Stratgie de groupe. Et, linstar des utilisateurs, les ordinateurs perdent parfois la trace de leurs mots de passe, ce qui ncessite une rinitialisation, ou ils possdent des comptes qui ont besoin dtre activs ou dsactivs. L'administration des ordinateurs, aussi bien des objets dans Active Directory que des appareils physiques, est l'une des tches quotidiennes de la plupart des professionnels de l'informatique. De nouveaux systmes sont ajouts votre organisation, des ordinateurs sont mis hors connexion pour tre rpars, des machines sont changes entre utilisateurs ou rles, et lquipement ancien est dclass ou mis niveau, tape ultime avant le remplacement des systmes. Chacune de ces activits demande de grer lidentit des ordinateurs reprsents par leur objet, ou compte, et Active Directory.
5-3
Il est regrettable que la majorit des entreprises ne fassent pas preuve d'autant d'attention et de rigueur dans la cration et la gestion des comptes d'ordinateur que pour les comptes d'utilisateur, bien qu'il s'agisse dans les deux cas d'entits de scurit. Dans ce chapitre, vous allez apprendre crer des objets ordinateur dots des attributs ncessaires pour en faire des comptes. Vous apprendrez assurer le support des comptes dordinateurs tout au long de leur cycle de vie, ce qui comprend la configuration, la rsolution des problmes, la rparation et la mise hors service des objets ordinateur. Vous aurez galement loccasion dapprofondir vos connaissances sur la faon de joindre un ordinateur un domaine, ce qui vous permettra didentifier et dviter les points de dfaillance potentiels.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : comprendre la relation entre un membre de domaine et le domaine en termes didentit et daccs ; identifier les conditions de jonction d'un ordinateur un domaine ; implmenter des processus recommands pour joindre des ordinateurs ; scuriser AD DS pour empcher la cration de comptes d'ordinateurs non grs ; grer les objets ordinateur et leurs attributs en utilisant l'interface Windows et les outils de ligne de commande ; administrer les comptes d'ordinateurs pendant leur cycle de vie ;
5-4
Leon 1
Cration d'ordinateurs et jonction au domaine
Dans la configuration par dfaut de Windows Server 2008, comme dans celle des autres versions de Windows Server et des systmes dexploitation clients, lordinateur appartient un groupe de travail. Pour pouvoir ouvrir une session sur un ordinateur avec un compte de domaine, cet ordinateur doit appartenir au domaine. Pour se joindre au domaine, lordinateur doit disposer dun compte dans le domaine. Comme pour un compte dutilisateur, ce compte possde un nom douverture de session (attribut sAMAccountName), un mot de passe et un identificateur de scurit (SID) qui reprsente de manire unique lordinateur en qualit d'entit de scurit du domaine. Ces informations didentification permettent lordinateur de sauthentifier auprs du domaine et de crer une relation scurise qui permet ensuite aux utilisateurs douvrir une session sur le systme avec des comptes de domaine. Dans cette leon, vous allez dcouvrir la procdure de prparation dun domaine pour un nouveau compte dordinateur, et vous explorerez le processus qui permet de joindre un ordinateur au domaine.
5-5
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : comprendre la relation entre un membre de domaine et le domaine en termes didentit et daccs ; identifier les conditions de jonction d'un ordinateur un domaine ; prdfinir un compte dordinateur ; joindre un ordinateur au domaine ; rediriger le conteneur ordinateur par dfaut ; empcher les utilisateurs non-administrateurs de crer des ordinateurs et de les joindre au domaine ; utiliser des outils de ligne de commande pour importer, crer et joindre des ordinateurs.
5-6
Groupes de travail, domaines et approbations
Points cls
Dans un groupe de travail, chaque systme dispose dun magasin didentits de comptes dutilisateurs et de groupes partir duquel les utilisateurs peuvent sauthentifier et tablir un accs. Le magasin didentits local de chaque ordinateur correspond une base de donnes SAM (Security Accounts Manager). Si un utilisateur ouvre une session sur un ordinateur du groupe de travail, le systme authentifie lutilisateur par rapport sa base de donnes SAM locale. Si lutilisateur se connecte un autre systme (par exemple, pour accder un fichier), lutilisateur est rauthentifi par rapport au magasin didentits du systme distant. Du point de vue de la scurit, un ordinateur de groupe de travail est dans la pratique un systme autonome.
5-7
Lorsquun ordinateur se joint un domaine, il dlgue la tche dauthentification des utilisateurs au domaine. Mme si lordinateur dispose toujours de sa base de donnes SAM pour grer les comptes dutilisateurs et de groupes locaux, les comptes dutilisateurs sont gnralement crs dans lannuaire central du domaine. Lorsquun utilisateur ouvre une session sur lordinateur avec un compte de domaine, lutilisateur est alors authentifi par un contrleur de domaine, et non par le SAM. Autrement dit, lordinateur se fie dsormais une autre autorit pour valider lidentit dun utilisateur. Si lon parle gnralement de relations dapprobation dans le contexte de deux domaines, comme vous le verrez dans un autre module, une relation dapprobation stablit galement entre chaque ordinateur et le domaine dont il est membre au moment o lordinateur se joint au domaine.
5-8
Conditions requises pour joindre un ordinateur au domaine
Points cls
Les conditions remplir pour joindre un ordinateur un domaine Active Directory sont au nombre de trois : un objet ordinateur doit tre cr dans le service dannuaire ; vous devez disposer des autorisations adquates sur lobjet ordinateur. Ces autorisations vous permettent de joindre un ordinateur au domaine avec le mme nom que lobjet ; vous devez tre membre du groupe Administrateurs local sur lordinateur pour modifier son appartenance au domaine ou au groupe de travail.
Chacune de ces conditions est examine la suite dans cette leon.
5-9
Conteneur et units dorganisation (UO) de lordinateur
Points cls
Pour pouvoir crer un objet ordinateur dans le service dannuaire (la premire des trois conditions requises pour joindre un ordinateur au domaine), vous devez disposer dun emplacement prvu cet effet. Conteneur Computers par dfaut Lorsque vous crez un domaine, le conteneur des ordinateurs est cr par dfaut (CN=Computers). Ce conteneur nest pas une unit dorganisation (UO). Il sagit dun objet de type conteneur. Les diffrences entre un conteneur et une UO sont subtiles mais importantes : vous ne pouvez pas crer dUO dans un conteneur, ce qui vous interdit de subdiviser lUO Computers, et vous ne pouvez pas lier un objet Stratgie de groupe un conteneur. Par consquent, il est vivement recommand de crer des UO personnalises pour hberger les objets ordinateur au lieu dutiliser le conteneur Computers.
5-10
Des UO pour les ordinateurs La plupart des organisations crent au moins deux UO pour les objets ordinateur : une pour hberger les comptes dordinateurs des ordinateurs clients (ordinateurs de bureau, ordinateurs portables et autres systmes utilisateur) et un autre pour les serveurs. Ces deux UO sajoutent lUO Domain Controllers cre par dfaut lors de linstallation dActive Directory. Dans chacune de ces UO, des objets ordinateur sont crs. Du point de vue technique, il ny a aucune diffrence entre un objet ordinateur situ dans une UO de client et un objet ordinateur situ dans une UO de serveur ou de contrleur de domaine : les objets ordinateur sont des objets ordinateur. Mais des UO distinctes sont gnralement cres pour fournir des champs de gestion uniques de faon permettre de dlguer la gestion des objets client une quipe et celle des objets serveur une autre. Votre modle dadministration peut ncessiter une division plus pousse de vos UO de clients et serveurs. Bon nombre dorganisations crent des sous-UO en dessous dune UO de serveurs pour rassembler et grer des types spcifiques de serveurs (p. ex., une UO pour les serveurs de fichiers et dimpression et une UO pour les serveurs de bases de donnes). En procdant ainsi, lquipe dadministrateurs de chaque type de serveur peut dlguer des autorisations pour grer les objets ordinateur dans lUO approprie. De la mme faon, les organisations rparties gographiquement qui disposent dquipes locales de support des postes de travail ont souvent tendance diviser une UO parente pour les clients en sous-UO pour chaque site. Cette approche permet lquipe de support de chaque site de crer des objets ordinateur pour les ordinateurs clients du site et de joindre ces ordinateurs au domaine par le biais de ces objets ordinateur. Mais il ne sagit que dun exemple : le plus important est que votre structure dUO reflte votre modle dadministration de sorte que vos UO offrent des points de gestion uniques pour la dlgation de ladministration.

5-11 Prise en charge des comptes d'ordinateur
5-12
En outre, le fait de disposer dUO distinctes vous permet de crer diffrentes configurations de base reposant sur des objets de stratgie de groupe (GPO) distincts lis aux UO de clients et de serveurs. La Stratgie de groupe, examine en dtail dans un autre module, vous permet de spcifier une configuration pour des ensembles dordinateurs en liant des objets GPO qui contiennent des instructions de configuration pour les UO. Il est courant que les organisations sparent les clients en UO dordinateurs de bureau et dordinateurs portables. Les objets GPO spcifiant la configuration des ordinateurs de bureau ou des ordinateurs portables peuvent alors tre lis aux UO appropries. Si votre organisation dispose dune administration dcentralise base sur les sites et quelle entend grer des configurations uniques pour les ordinateurs de bureau et les ordinateurs portables, vous faites face un dilemme au niveau de la conception : avez-vous intrt diviser votre UO de clients en fonction de ladministration et de subdiviser ensuite les ordinateurs de bureau et les ordinateurs portables, ou bien est-il prfrable de diviser votre UO de clients en UO dordinateurs de bureau et dordinateurs portables pour ensuite les subdiviser en fonction de ladministration ? Ces cas de figure sont illustrs ci-dessous.
Le principal moteur de la conception dUO Active Directory tant de dlguer efficacement ladministration par lhritage de listes de contrle daccs (ACL, access control list) au niveau des UO, cest la conception de gauche qui serait recommande.
5-13
Dlgation dautorisations de cration dordinateurs

Par dfaut, les groupes Administrateurs de lentreprise, Admins du domaine, Administrateurs, et Oprateurs de compte sont autoriss crer des objets ordinateur dans une nouvelle UO. Toutefois, comme nous lavons vu dans le module consacr aux groupes, il est recommand de limiter de faon stricte lappartenance dans les trois premiers groupes et de ne pas ajouter dadministrateurs au groupe Oprateurs de compte. Il est prfrable de dlguer lautorisation de cration dobjets ordinateur des administrateurs ou du personnel de support adquat. Lautorisation requise pour crer un objet ordinateur est Crer des objets ordinateur. Lorsquelle est affecte un groupe pour une UO, cette autorisation permet aux membres de ce groupe de crer des objets ordinateur dans cette UO. Par exemple, vous pouvez autoriser votre quipe de support des ordinateurs de bureau crer des objets ordinateur dans lUO des clients et permettre vos administrateurs de serveurs de fichiers de crer des objets ordinateur dans lUO des serveurs de fichiers. Les autorisations ncessaires pour effectuer les tches de gestion dordinateurs sont rpertories dans la rubrique Scuriser la cration dordinateurs et les jonctions . Le processus de dlgation est dtaill dans le module 8.
5-14
Prdfinir un compte dordinateur
Points cls
Vous pouvez et avez tout intrt crer un compte dordinateur dans lUO correcte avant de joindre lordinateur au domaine. Prdfinir un ordinateur consiste crer un compte dordinateur lavance.
5-15
Ds lors que vous avez obtenu lautorisation de crer des objets ordinateur, vous pouvez vous lancer en cliquant avec le bouton droit sur lUO et en choisissant Ordinateur dans le menu Nouveau. La bote de dialogue Nouvel objet Ordinateur illustre ci-dessous s'affiche l'cran :
Entrez le nom dordinateur, en respectant la convention daffectation de noms de votre entreprise, et slectionnez lutilisateur ou le groupe qui doit pouvoir joindre lordinateur au domaine partir de ce compte. Les deux noms d'ordinateur Nom d'ordinateur et Nom d'ordinateur (antrieur Windows 2000) doivent tre identiques : les cas o leur configuration spare se justifie sont trs rares, pour ne pas dire inexistants.
Remarque : les autorisations appliques lutilisateur ou au groupe que vous slectionnez dans lAssistant sont plus que suffisantes pour joindre simplement un ordinateur au domaine. Lutilisateur ou le groupe slectionn a galement la possibilit de modifier lobjet ordinateur selon dautres mthodes. Pour obtenir des conseils pour une approche de dlgation de lautorisation de joindre un ordinateur un domaine base sur le principe des privilges minimum, voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008).
5-16
Lorsque vous crez un compte dordinateur avant de joindre lordinateur au domaine, on dit que vous prdfinissez un compte. Le principe de prdfinir un ordinateur revt deux avantages majeurs : le compte se trouve dans lUO correcte et les dlgations dont elle bnficie dpendent de la stratgie de scurit dfinie par la liste ACL de lUO ; lordinateur se trouve dans la porte des objets GPO lis lUO, avant que lordinateur soit joint au domaine.
5-17
Joindre un ordinateur au domaine
Points cls
En prdfinissant lobjet ordinateur, vous rpondez aux deux premires conditions requises pour joindre un ordinateur un domaine : lobjet ordinateur existe et vous avez dsign la ou les personnes autorises joindre un ordinateur de mme nom au domaine. Maintenant, un administrateur local de lordinateur peut modifier lappartenance au domaine de lordinateur et entrer les informations didentification spcifies du domaine pour terminer le processus. Pour joindre un ordinateur au domaine, procdez comme suit : 1. Ouvrez une session sur lordinateur partir des informations didentification qui appartiennent au groupe Administrateurs local de lordinateur. Seuls les administrateurs locaux peuvent modifier lappartenance dun ordinateur un domaine ou un groupe de travail.
5-18
2.
Ouvrez la bote de dialogue Proprits systme en employant lune des mthodes suivantes : Windows XP, Windows Server 2003 : Ouvrez la bote de dialogue Proprits systme en procdant de lune des manires suivantes : a. Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Proprits. Appuyez sur les touches Windows+Pause.
Windows Vista, Windows Server 2008 : Ouvrez la bote de dialogue Proprits systme en procdant de lune des manires suivantes : b. c. Cliquez avec le bouton droit sur Ordinateur, puis cliquez sur Proprits. Appuyez sur les touches Windows+Pause.
Dans la section Paramtres de nom dordinateur, de domaine et de groupe de travail, cliquez sur Modifier les paramtres. Si vous y tes invit par le Contrle du compte utilisateur, cliquez sur Continuer ou entrez les informations didentification dadministration, selon le cas.
3. 4. 5. 6.
Cliquez sur longlet Nom de lordinateur. Cliquez sur Modifier. Sous Membre de, cliquez sur Domaine. Tapez le nom du domaine auquel vous voulez vous joindre.
Remarque : utilisez le nom DNS complet du domaine. Outre la prcision et les chances de succs accrues, en cas dchec, vous aurez une indication de lexistence possible dun problme de rsolution de noms DNS quil conviendra de rectifier avant de joindre lordinateur au domaine.
5-19
7. 8.
Cliquez sur OK. Windows vous invite entrer les informations didentification de votre compte dutilisateur du domaine. Le domaine vrifie sil existe dj un objet ordinateur correspondant au nom de lordinateur. Trois cas de figure se prsentent alors : Si lobjet existe et quun ordinateur de ce nom a dj t joint au domaine, une erreur est retourne et vous ne pouvez pas joindre lordinateur au domaine. Si lobjet existe et quil est prdfini (un ordinateur de mme nom na pas t joint au domaine), le domaine confirme que les informations didentification de domaine que vous avez entres sont autorises se joindre au domaine partir de ce compte. Ces autorisations ont t dcrites dans la section Prdfinir un compte d'ordinateur . Si le compte dordinateur nest pas prdfini, Windows vrifie si vous disposez des autorisations ncessaires pour crer un objet dordinateur dans le conteneur ordinateur par dfaut. dfaut, lobjet est cr avec le nom de lordinateur. Cette mthode de jonction un domaine est prise en charge des fins de compatibilit descendante, mais elle n'est pas recommande. Il est conseill de prdfinir le compte comme indiqu prcdemment, et selon la procdure dcrite dans la prochaine section, Scuriser la cration d'ordinateurs et les jonctions .
Lordinateur se joint ensuite au domaine en prenant lidentit de son objet Active Directory. Il configure son identificateur de scurit (SID) de sorte qu'il corresponde celui du compte d'ordinateur de domaine et dfinit un mot de passe initial auprs du domaine. L'ordinateur effectue alors d'autres tches pour finaliser sa jonction au domaine. Il ajoute le groupe Admins du domaine au groupe Administrateurs local et le groupe Utilisateurs du domaine au groupe Utilisateurs local. 9. Vous tes invit redmarrer lordinateur. Cliquez sur OK pour fermer cette bote de message.
10. Cliquez sur Fermer (dans Windows Vista) ou sur OK (dans Windows XP) pour fermer la bote de dialogue Proprits systme. 11. Vous tes nouveau invit redmarrer lordinateur. Aprs quoi, le systme est membre part entire du domaine et vous pouvez ouvrir une session en utilisant les informations didentification de domaine.
5-20
Scuriser la cration d'ordinateurs et les jonctions
Points cls
Prdfinir des objets ordinateur La meilleure pratique consiste prdfinir un compte dordinateur avant de joindre la machine au domaine. Malheureusement, Windows vous permet de joindre un ordinateur un domaine sans suivre cette recommandation. Vous pouvez ouvrir une session sur un ordinateur de groupe de travail en tant qu'administrateur local et modifier l'appartenance de l'ordinateur au domaine. la demande, Windows cre un objet ordinateur dans le conteneur Ordinateurs par dfaut, vous donne l'autorisation de joindre un ordinateur cet objet, puis procde la jonction du systme au domaine. Le comportement de Windows pose trois problmes : Tout dabord, le compte dordinateur cr automatiquement par Windows est plac dans le conteneur ordinateur par dfaut, auquel lobjet ordinateur nappartient pas dans la plupart des entreprises. Ensuite, vous devez dplacer lordinateur du conteneur ordinateur par dfaut vers lUO approprie, tape supplmentaire qui est souvent omise.
5-21
Enfin, un utilisateur du domaine peut aussi effectuer cette opration : aucune autorisation administrative au niveau du domaine n'est requise. Tout utilisateur peut joindre un ordinateur au domaine si vous ne contrlez ni ne scurisez le processus. Parce quun objet ordinateur est une entit de scurit et parce que le crateur dun objet ordinateur est propritaire de lobjet et quil peut modifier ses attributs, il existe une faille de scurit potentielle. Les sections suivantes prsentent en dtail ces inconvnients.
Configuration du conteneur par dfaut des ordinateurs Lorsque vous joignez un ordinateur au domaine et que l'objet ordinateur n'existe pas encore dans Active Directory, Windows cre automatiquement un compte d'ordinateur dans le conteneur par dfaut des ordinateurs, qui est appel Computers (CN=Computers,DC=domain, par dfaut). Le problme que cela soulve a un rapport avec la conception des UO traite plus haut dans cette leon. Si vous avez implment les recommandations dcrites dans cette section, vous avez dlgu des autorisations d'administration des objets ordinateur dans des UO spcifiques de clients et de serveurs. Par ailleurs, vous avez peut-tre reli des objets GPO ces UO pour grer la configuration de ces objets ordinateur. Si un nouvel objet ordinateur est cr lextrieur de ces UO, dans le conteneur par dfaut des ordinateurs, les autorisations et la configuration quil hrite de son conteneur parent seront diffrentes de ce quil aurait d recevoir. Vous devrez donc veiller dplacer lordinateur du conteneur par dfaut vers lUO approprie aprs lavoir joint au domaine. Vous pouvez limiter les chances de rencontrer ce problme en excutant deux tapes. En premier lieu, vous devez vous efforcer de toujours prdfinir des comptes dordinateurs. Si un compte est prdfini pour un ordinateur dans lUO approprie, au moment de se joindre au domaine, lordinateur utilisera le compte existant et sera soumis la dlgation et la configuration correctes. En deuxime lieu, pour limiter l'impact li la jonction de systmes au domaine sans comptes prdfinis, vous devez changer de conteneur ordinateur par dfaut de sorte qu'il ne s'agisse pas du conteneur Computers lui-mme, mais plutt d'une UO soumise la dlgation et la configuration appropries. Par exemple, si vous disposez dune UO appele Clients, vous pouvez donner instruction Windows dutiliser cette UO comme conteneur ordinateur par dfaut, de sorte que si des ordinateurs sont joints au domaine sans comptes prdfinis, les objets seront crs dans lUO Clients. La commande redircmp.exe est utilise pour rediriger le conteneur ordinateur par dfaut avec la syntaxe suivante :
5-22
redircmp "DN de lUO pour les nouveaux objets ordinateur"
Ds lors, si un ordinateur se joint au domaine sans compte dordinateur prdfini, Windows cre lobjet ordinateur dans lunit dorganisation spcifie.
Remarque : redirection du conteneur utilisateur par dfaut. Les mmes concepts valent pour la cration de comptes dutilisateurs. Par dfaut, si un compte d'utilisateur est cr selon une pratique hrite qui ne spcifie pas d'UO pour le compte, l'objet est cr dans le conteneur utilisateur par dfaut (CN=Users,DC=domain, par dfaut). La commande redirusr.exe peut servir rediriger le conteneur par dfaut vers une UO relle ayant une dlgation et une configuration appropries. Redirusr, l'instar de redircmp, accepte une seule option : le nom unique (DN, distinguished name) de lUO qui deviendra le conteneur utilisateur par dfaut.
Limitation de la capacit des utilisateurs crer des ordinateurs Lorsquun compte dordinateur est prdfini, les autorisations au niveau du compte dterminent qui est autoris joindre cet ordinateur au domaine. Lorsquun compte nest pas prdfini, par dfaut, Windows autorise nimporte quel utilisateur authentifi crer un objet ordinateur dans le conteneur ordinateur par dfaut. De fait, Windows permet un utilisateur authentifi de crer 10 objets ordinateur dans le conteneur ordinateur par dfaut. Par dfaut, le crateur dun objet ordinateur est autoris joindre cet ordinateur au domaine. Cest par ce mcanisme que nimporte quel utilisateur peut joindre 10 ordinateurs au domaine sans disposer explicitement des autorisations prvues cette fin. Le quota de 10 ordinateurs est configur par lattribut ms-DSMachineAccountQuota du domaine. Il autorise nimporte quel utilisateur authentifi joindre un ordinateur au domaine, sans aucun questionnement. Sur le plan de la scurit, cela pose problme car les ordinateurs sont des entits de scurit. Et le crateur d'une entit de scurit est autoris grer les proprits de cet ordinateur. Dune certaine manire, le quota revient autoriser un utilisateur du domaine crer 10 comptes dutilisateurs sans aucun contrle. Il est vivement recommand de combler cette lacune de telle sorte que les utilisateurs non-administrateurs ne puissent pas joindre dordinateurs au domaine. Pour modifier lattribut ms-DS-MachineAccountQuota, procdez comme suit : 1. 2. Ouvrez la console MMC diteur ADSI partir du dossier Outils dadministration. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion.
5-23
3.
Dans la section Point de connexion, cliquez sur Slectionnez un contexte dattribution de noms connu, puis slectionnez Contexte dattribution de noms par dfaut dans la liste droulante. Cliquez sur OK. Dans larborescence de la console, dveloppez Contexte dattribution de noms par dfaut. Cliquez avec le bouton droit sur le dossier du domaine ( dc=contoso,dc=com , par exemple), puis cliquez sur Proprits. Cliquez sur ms-DS-MachineAccountQuota et sur Modifier. Tapez 0. Cliquez sur OK.
4. 5. 6. 7. 8. 9.
Le groupe Utilisateurs authentifis se voit galement attribuer le droit dutilisateur dajouter des stations de travail au domaine, mais vous navez pas besoin de modifier ce droit si vous avez modifi la valeur par dfaut de lattribut ms-DSMachineAccountQuota. Aprs avoir dfini la valeur 0 pour lattribut ms-DS-MachineAccountQuota, vous tes assur que les seuls utilisateurs en mesure dajouter des ordinateurs au domaine sont ceux qui une autorisation de joindre des objets ordinateur prdfinis ou de crer des objets ordinateur leur a t spcifiquement dlgue. Ds lors que vous avez combl cette lacune, vous devez vous assurer davoir attribu aux administrateurs appropris une autorisation explicite de cration dobjets ordinateur dans les UO appropries, comme dcrit dans la section Dlgation dautorisations de cration dordinateurs . Sinon, le message derreur suivant saffichera.
5-24
Dlgation de la gestion dordinateur La quatrime tche visant amliorer la scurit des comptes dordinateurs est de dlguer les tches de gestion dordinateur au niveau de lUO. La dlgation est traite dans le module 8. Les commandes DSACLs suivantes peuvent tre utilises pour dlguer des tches de gestion dordinateur : Crer un ordinateur :
dsacls "nom de domaine de lUO" /I:T /G "DOMAINE\groupe":CC;computer
Supprimer un ordinateur :
dsacls "nom de domaine de lUO" /I:T /G "DOMAINE\groupe":DC;computer
Joindre un ordinateur au domaine :

dsacls "nom unique de lUO" /I:S /G "DOMAINE\groupe": "Validated write to DNS host name";computer dsacls "nom unique de lUO" /I:S /G "DOMAINE\groupe": "Validated write to service principal name ";computer dsacls "nom unique de lUO" /I:S /G "DOMAINE\groupe": CA;Reset Password;computer dsacls "nom unique de lUO" /I:S /G "DOMAINE\groupe": WP;Account Restrictions;computer
Les quatre commandes rpertories ci-dessus doivent tre entres linvite de commandes sans ajouter despace aprs les deux-points. Dplacer un ordinateur Ncessite des autorisations de suppression dordinateurs dans lUO source et de cration dordinateurs dans lUO de destination. Mme si un dplacement ne supprime ni ne cre rellement le compte, il sagit de lautorisation utilise pour le contrle daccs.
Question : quels sont les deux facteurs qui dterminent si vous pouvez joindre un compte dordinateur au domaine ?
5-25
Automatiser la cration de comptes d'ordinateurs
Points cls
La mthode de cration dun compte dordinateur que vous avez apprise peut devenir contraignante si vous tes charg de crer des dizaines, voire des centaines, de comptes dordinateurs la fois. Certaines commandes, telles que CSVDE, LDIFDE et DSAdd, permettent dimporter des objets ordinateur et den automatiser la cration. Des scripts peuvent galement vous permettre de fournir des objets ordinateur, c'est--dire, de mettre en uvre une logique mtier telle que lapplication de conventions daffectation de noms dordinateurs.
5-26
Importer des ordinateurs laide de CSVDE
Points cls
CSVDE est un outil de ligne de commande qui permet dimporter ou dexporter des objets Active Directory de et vers un fichier texte spar par des virgules (galement appel fichier texte de valeurs spares par des virgules, ou fichier .csv). La commande CSVDE utilise la syntaxe de base suivante :
csvde [-i] [-f "Nom de fichier"] [-k]
Loption -i spcifie le mode importation. Sans elle, le mode par dfaut de CSVDE est lexportation. Loption -f identifie le nom du fichier importer ou exporter. Loption -k est utile lors des oprations dimportation, car elle donne instruction CSVDE dignorer des erreurs, telles que Lobjet existe dj , violation de contrainte ou Lattribut ou la valeur existe dj .
5-27
Les fichiers dlimits par des virgules peuvent tre crs, modifis et ouverts avec des outils courants, tels que Bloc-notes et Microsoft Office Excel. La premire ligne du fichier dfinit les attributs par leur nom dattribut LDAP (Lightweight Directory Access Protocol). Les objets suivent sur une ligne distincte et doivent contenir exactement les attributs figurant sur la premire ligne. Un exemple de fichier affich dans Excel vous est prsent ci-dessous.
Lors de limportation dordinateurs, veillez inclure lattribut userAccountControl, et affectez-lui la valeur 4096. Cet attribut garantit que lordinateur pourra se joindre au compte. De mme, incluez le nom douverture de session antrieur Windows 2000 de lordinateur, lattribut sAMAccountName, qui est le nom de lordinateur suivi dun symbole dollar ($), comme illustr ci-dessus.
5-28
Importer des ordinateurs laide de LDIFDE
Points cls
LDIFDE.exe importe des donnes partir de fichiers au format LDIF (Lightweight Directory Access Protocol Data Interchange Format). Les fichiers LDIF sont des fichiers texte dans lesquels des oprations sont dfinies par un bloc de lignes spar par une ligne blanche. Chaque opration commence par l'attribut DN de l'objet qui est la cible de l'opration. La ligne suivante, changeType, dfinit le type de l'opration : add (ajouter), modify (modifier) ou delete (supprimer).
5-29
Le listing ci-dessous est un fichier LDIF destin crer un compte dordinateur dans lUO Servers :
dn: CN=FILE25,OU=File,OU=Servers,DC=contoso,DC=com changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user objectClass: computer cn: FILE25 userAccountControl: 4096 sAMAccountName: FILE25$
La syntaxe de base de la commande LDIFDE est similaire celle de la commande CSVDE :

ldifde [-i] [-f "Nom de fichier"] [-k]
Par dfaut, LDIFDE est en mode exportation. Loption -i spcifie le mode importation. Vous devez spcifier -f pour identifier le fichier que vous utilisez pour limportation ou lexportation. LDIFDE sarrte lorsquil rencontre des erreurs, sauf si vous avez spcifi loption -k. Dans ce cas, LDIFDE poursuit le traitement.
5-30
Crer des ordinateurs laide de DSAdd
Points cls
La commande DSAdd permet de crer des objets dans Active Directory. Pour crer des objets ordinateur, il vous suffit de taper la commande suivante :
dsadd computer DN_ordinateur
o DN_ordinateur correspond au nom unique (DN) de lordinateur, tel que CN=DESKTOP123,OU=NYC,OU=Client Computers,DC=contoso,DC=com. Si le nom unique de lordinateur contient un espace, mettez-le entirement entre guillemets droits. Loption DN_ordinateur peut inclure plusieurs noms uniques de nouveaux objets ordinateur, ce qui fait de DSAdd Computer un moyen pratique de gnrer plusieurs objets simultanment. Loption peut tre entre de lune des faons suivantes : en tapant chaque nom unique linvite de commandes, spars par des espaces ;
5-31
en laissant loption DN vide. ce stade, vous pouvez taper les noms uniques (DN), lun aprs lautre, laide de la console clavier de linvite de commandes. Appuyez sur Entre aprs chaque nom unique. Appuyez sur Ctrl+Z et sur Entre aprs le dernier nom unique ; en mettant en pipe une liste de noms uniques partir dune autre commande, telle que DSQuery.
La commande DSAdd Computer peut prendre les options facultatives suivantes aprs loption DN : -samid Nom_ordinateur -desc Description -loc Emplacement
5-32
Crer et joindre des ordinateurs laide de NetDom
Points cls
La commande NetDom permet galement deffectuer diverses tches lies aux comptes de domaine et la scurit depuis linvite de commandes. Vous pouvez galement utiliser NetDom pour crer un compte dordinateur en tapant la commande suivante :
netdom add NomOrdinateur /domain:NomDomaine [/ou:"DN_UO"] [/UserD:NomUtilisateurDomaine /PasswordD:MotDePasseDomaine]
Cette commande cre le compte dordinateur pour NomOrdinateur dans le domaine indiqu par loption /domain, en utilisant les informations didentification spcifies par /UserD et /PasswordD. Loption /ou entrane la cration de lobjet dans lUO spcifie par le nom unique dunit dorganisation (DN_UO) qui suit loption. Si aucun DN_UO nest fourni, le compte dordinateur est cr dans le conteneur ordinateur par dfaut. Il sentend que les informations didentification utilisateur doivent tre associes des autorisations de cration dobjets ordinateur.
5-33
Utilisation de NetDom.exe La commande NetDom.exe permet de joindre un ordinateur au domaine partir de linvite de commandes. La commande utilise la syntaxe de base suivante :
netdom join NomOrdinateur /Domain:NomDomaine [/OU:"OUDN"] [/UserD:NomUtilisateurDomaine] [/PasswordD:{MotDePasseDomaine|*} ] [/UserO:NomUtilisateurLocal] [/PasswordO:{MotDePasseLocal|*} ] [/SecurePasswordPrompt] [/REBoot[:TempsEnSecondes]]
Il peut tre utile de joindre un ordinateur un domaine partir de linvite de commandes. Le premier intrt vient du fait que la jonction peut tre incluse dans un script qui effectue d'autres actions. Par exemple, vous pouvez crer un fichier de commandes qui cre le compte dordinateur l'aide de NetDom ou DSAdd (ce dernier vous permet de spcifier dautres attributs, notamment une description), puis qui joint lordinateur ce compte laide de NetDom. Ensuite, NetDom.exe permet de joindre distance un ordinateur au domaine. Enfin, NetDom.exe permet de spcifier lUO de lobjet ordinateur. La plupart des options de la commande sont explicites. /UserO et /PasswordO sont des informations didentification membres du groupe Administrateurs local de lordinateur de groupe de travail. Si vous spcifiez * pour le mot de passe, NetDom.exe rclame le mot de passe linvite de commandes. /UserD et /PasswordD sont des informations didentification de domaine assorties dune autorisation de cration dobjet ordinateur, si le compte nest pas prdfini, ou de joindre un ordinateur un compte prdfini. Loption /REBoot entrane le redmarrage du systme aprs que le domaine a t joint. Le dlai dattente par dfaut est de 30 secondes. Loption /SecurePasswordPrompt affiche une fentre automatique demandant les informations didentification lorsque * est spcifi pour /PasswordO ou /PasswordD.
Remarque : si vous souhaitez pouvoir utiliser NetDom distance, la configuration du Pare-feu Windows sur lordinateur appel tre joint au domaine doit autoriser la Dcouverte de rseau et lAdministration distance.
5-34
Atelier pratique A : Cration d'ordinateurs et jonction au domaine
Scnario
Vous tes administrateur pour Contoso, Ltd. Au cours dun audit de scurit, il est dcouvert que la cration de comptes dordinateurs ne fait lobjet daucun contrle : les clients et les serveurs sont ajouts au domaine sans aucune garantie que le processus est surveill. En fait, plusieurs comptes dordinateurs ont t dcouverts dans le conteneur Ordinateurs. Ces objets ordinateur taient des comptes dordinateurs actifs, mais les ordinateurs navaient pas t crs ou dplacs dans les UO appropries au sein des UO Client Computers ou Servers conformment aux procdures standard. Vous avez t charg damliorer les procdures.
5-35
Exercice 1 : Jonction d'un ordinateur au domaine l'aide de l'interface Windows

Dans cet exercice, vous allez joindre un ordinateur au domaine en utilisant linterface Windows, puis vous supprimerez lordinateur du domaine. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. Prparer l'atelier pratique. Identifier et corriger une erreur de configuration DNS. Joindre SERVER01 au domaine. Vrifier lemplacement du compte SERVER01. Supprimer SERVER01 du domaine. Supprimer le compte SERVER01.

1. 2. 3. 4. Dmarrez 6238B-HQDC01-A and 6238B-SERVER01-B. Sur HQDC01, ouvrez une session sous le nom Pat.Coleman avec le mot de passe Pa$$w0rd. Ouvrez D:\Labfiles\Lab05a. Excutez Lab05a_Setup.bat avec des informations didentification dadministration. Utilisez le compte Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. Le script d'installation de l'atelier pratique s'excute. Lorsqu'il est termin, appuyez sur une touche quelconque. Fermez la fentre de lExplorateur Windows, Lab05a. Dmarrez 6238B-SERVER01-B.
5. 6. 7.
5-36
Tche 2 : Identification et correction d'une erreur de configuration

DNS
1. 2. Sur SERVER01, ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd. Ouvrez Proprits systme en employant lune des mthodes suivantes : 3. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Ordinateur, puis cliquez sur Proprits. Ouvrez Systme partir du Panneau de configuration. Appuyez sur la touche WINDOWS, puis sur la touche PAUSE.
Essayez de joindre lordinateur au domaine contoso.com en veillant utiliser le nom de domaine complet (contoso.com) et pas le nom NetBIOS du domaine (contoso). Cette opration vise dterminer si le DNS est correctement configur sur le client pour la recherche du domaine.
4.
Modifiez la configuration du serveur DNS sur le client en lui attribuant la valeur 10.0.0.11.
Question : pourquoi la jonction aurait-elle pu aboutir si vous aviez utilis le nom de domaine contoso au lieu de contoso.com ? Quel problme la configuration incorrecte du domaine joint au DNS pourrait-elle entraner ?
Tche 3 : Jonction de SERVER01 au domaine

1. Joignez SERVER01 au domaine. Lorsque vous tes invit fournir les informations didentification du domaine, entrez le nom dutilisateur Aaron.Painter et le mot de passe Pa$$w0rd. Notez que Aaron.Painter est un utilisateur standard dans le domaine contoso.com . Il ne dispose daucune autorisation ou droit spcial et pourtant, il peut joindre un ordinateur au domaine. Il doit avoir ouvert une session sur lordinateur avec un compte membre du groupe Administrateurs de lordinateur. 2. Autorisez le systme redmarrer.
5-37
Tche 4 : Vrification de l'emplacement du compte SERVER01

1. Sur HQDC01, excutez Utilisateurs et ordinateurs Active Directory en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Recherchez le compte SERVER01.
2.
Question : dans quelle UO ou conteneur se trouve le compte ?
Tche 5 : Suppression de SERVER01 du domaine

1. 2. 3. Sur SERVER01, ouvrez une session en tant quAdministrateur avec le mot de passe Pa$$w0rd. Remplacez lappartenance au domaine/groupe de travail de SERVER01 par un groupe de travail nomm WORKGROUP. Redmarrez le serveur.
Tche 6 : Suppression du compte SERVER01

Question : sur HQDC01, actualisez la vue du conteneur Computers et examinez le compte SERVER01. Quel est son tat ? Question : vous avez t invit fournir les informations didentification du domaine la tche 5 et pourtant, une modification a t apporte au domaine : le compte dordinateur a t rinitialis et dsactiv. Avec quelles informations didentification cette opration a-t-elle t effectue ? Avec quelles informations didentification lappartenance au groupe de travail/domaine de SERVER01 a-t-elle t modifie ? Supprimez le compte de SERVER01.
Rsultats : lissue de cet exercice, vous connatrez les pratiques hrites classiques utilises pour joindre des ordinateurs un domaine.
5-38
Exercice 2 : Scurisation des jonctions d'ordinateurs

Dans cet exercice, vous allez implmenter les recommandations prconises pour scuriser la jonction d'ordinateurs au domaine. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Rediriger le conteneur ordinateur par dfaut. Limiter les jonctions au domaine non gres Vrifier lefficacit de ms-DS-MachineAccountQuota.
Tche 1 : Redirection du conteneur ordinateur par dfaut

1. 2. Excutez une invite de commandes en tant quadministrateur avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Utilisez la commande RedirCmp pour rediriger le conteneur ordinateurs par dfaut vers lUO New Computers du domaine contoso.com.
Tche 2 : Limiter les jonctions au domaine non gres

1. 2. Excutez la console diteur ADSI en tant quadministrateur avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Connectez-vous au domaine puis, dans les proprits du domaine, attribuez ms-DS-MachineAccountQuota la valeur zro (0).
Tche 3 : Vrification de l'efficacit de ms-DS-MachineAccountQuota

Sur SERVER01, ouvrez une session en tant quAdministrateur et essayez de joindre SERVER01 au domaine contoso.com comme vous lavez fait dans lexercice 1. Lorsque vous tes invit fournir les informations didentification, entrez le nom dutilisateur Aaron.Painter et le mot de passe Pa$$w0rd. Dans lexercice 1, Aaron Painter a pu se joindre au domaine. prsent, il ny parvient pas.
5-39
Question : quel message recevez-vous lorsquun utilisateur ne peut plus crer dobjet ordinateur cause de ms-DS-MachineAccountQuota ?
Rsultats : Au terme de cet exercice, le conteneur destin la cration de comptes d'ordinateur sera redirig vers l'UO New Computers, et les utilisateurs seront limits dans leur capacit joindre des ordinateurs au domaine sans y tre explicitement autoriss.
5-40
Exercice 3 : Gestion de la cration de comptes d'ordinateurs conformment aux meilleurs pratiques

Dans cet exercice, vous allez mettre en uvre plusieurs meilleurs pratiques pour crer des comptes dordinateurs et joindre des ordinateurs au domaine. Les tches principales de cet exercice sont les suivantes : 1. 2. Prdfinir un compte dordinateur. Joindre un ordinateur distance un compte prdfini laide de NetDom.
Tche 1 : Prdfinition d'un compte d'ordinateur

1. Excutez Utilisateurs et ordinateurs Active Directory en tant quadministrateur avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans lUO Servers\File, crez un nouvel objet ordinateur pour SERVER01 et accordez au groupe AD_Server_Deploy lautorisation de joindre lordinateur au domaine.
2.
Tche 2 : Jonction d'un ordinateur distance un compte prdfini

l'aide de NetDom
Dans cette tche, vous allez joindre SERVER01 au domaine distance en utilisant les informations didentification qui se trouvent dans le groupe Administrateurs local de SERVER01 et les informations didentification de domaine qui se trouvent dans le groupe AD_Server_Deploy. 1. Excutez linvite de commandes en tant quadministrateur, avec le nom dutilisateur Aaron.Painter_Admin et le mot de passe Pa$$w0rd. Notez que Aaron.Painter_Admin nest pas en soi un administrateur. La commande Excuter en tant quadministrateur vous permet de lancer un processus avec nimporte quelles informations didentification pourvu que leurs privilges soient suffisants pour lancer le processus lui-mme. 2. Tapez la commande whoami /groups pour afficher la liste des appartenances aux groupes du compte actuel (Aaron.Painter_Admin). Notez que lutilisateur est membre de AD_Server_Deploy et quil nest membre daucun autre groupe dadministration.
5-41
3.
Par le biais de la commande NetDom, joignez SERVER01 au domaine. Utilisez les informations didentification du compte Administrateur local pour SERVER01 et les informations didentification du domaine pour Aaron.Painter_Admin, qui est membre de AD_Server_Deploy et est ce titre autoris joindre lordinateur au domaine. Configurez le serveur de sorte quil redmarre automatiquement au bout de 5 secondes. Tapez la commande suivante, puis appuyez sur Entre :
netdom join SERVER01 /domain:contoso.com /UserO:Administrator /PasswordO:* /UserD:CONTOSO\Aaron.Painter_Admin /PasswordD:* /REBoot:5
Remarque : des exceptions de pare-feu sont configures pour SERVER01 sur les ports 135 et 139 et pour la Recherche du rseau (NB-Name-In). Ces exceptions permettent lutilisation de NetDom Join pour joindre distance SERVER01 au domaine.
4.
Le serveur redmarre.
Rsultats : lissue de cet exercice, SERVER01 sera joint au domaine avec un compte dans lUO Servers\File.
Important : n'arrtez pas les ordinateurs virtuels lorsque vous avez termin l'atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans l'atelier pratique B.

Question : quavez-vous appris propos des avantages et des inconvnients des diffrentes approches de cration de comptes dordinateurs dans un domaine AD DS ? Question : de quelles informations didentification avez-vous besoin pour joindre un ordinateur un domaine ?
5-42
Leon 2
Administration des objets et des comptes d'ordinateurs
Le cycle de vie dun compte dordinateur commence ds lors quil est cr et que lordinateur est joint au domaine. Les tches dadministration quotidiennes consistent notamment configurer les proprits de lordinateur ; dplacer lordinateur dune UO une autre ; grer lordinateur proprement dit ; et renommer, rinitialiser, dsactiver, activer et finalement supprimer lobjet ordinateur. Cette leon examine en dtail les proprits dordinateur et les procdures auxquelles ces tches font appel et vous donne les moyens dadministrer les ordinateurs dun domaine.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : configurer les proprits dun compte dordinateur ; dplacer un ordinateur dune UO vers une autre ; reconnatre les problmes de compte dordinateur ;
5-43
rinitialiser un compte dordinateur ; renommer un ordinateur ; dsactiver et activer un ordinateur.
5-44
Configurer des attributs dordinateur
Points cls
Lorsque vous crez un objet ordinateur en utilisant Utilisateurs et ordinateurs Active Directory, vous tes invit configurer uniquement les attributs de base, savoir, le nom dordinateur et la dlgation pour joindre lordinateur au domaine. Les ordinateurs possdent plusieurs proprits qui ne sont pas visibles au moment de crer lobjet ordinateur ; vous devez configurer ces proprits dans le cadre du processus de prparation du compte dordinateur. Ouvrez la bote de dialogue Proprits dun objet ordinateur afin de dfinir son emplacement et sa description, de configurer ses appartenances aux groupes et les permissions dappel, et de le lier lobjet utilisateur de lutilisateur auquel lordinateur est affect. Longlet Systme dexploitation est en lecture seule. Les informations seront vides tant quaucun ordinateur naura t joint au domaine en utilisant ce compte, moment auquel le client publiera les informations dans son compte.
5-45
Dans Active Directory, plusieurs classes dobjets prennent en charge lattribut managedBy figurant sous longlet Gr par. Cet attribut li cre une rfrence croise un objet utilisateur. Toutes les autres proprits (adresses et numros de tlphone) sont affiches directement partir de lobjet utilisateur. Elles ne sont pas stockes en tant que partie intgrante de lobjet ordinateur lui-mme. Certaines organisations utilisent longlet Gr par pour lier lordinateur lutilisateur principal de lordinateur. Vous pouvez galement choisir de lier lordinateur un groupe charg du support dun ordinateur (option qui peut savrer intressante pour les comptes dordinateurs qui reprsentent des serveurs, par exemple). Sous longlet Membre de dans la bote de dialogue Proprits dun ordinateur, vous pouvez ajouter lordinateur des groupes. La possibilit de grer des ordinateurs dans des groupes est une caractristique importante et souvent sousutilise dActive Directory. Un groupe peut servir affecter aux ordinateurs auquel ils appartiennent des autorisations daccs des ressources, filtrer lapplication dun objet Stratgie de groupe (GPO) ou tre utilis comme collection pour un outil de gestion de logiciels, tel que Microsoft System Center Configuration Manager 2007. Comme pour les utilisateurs et les groupes, il est possible de slectionner plusieurs objets ordinateur et, par la suite, de grer ou de modifier les proprits de toutes les ordinateurs slectionns, et ce simultanment. Configuration dattributs dordinateur laide de DSMod La commande DSMod permet de modifier les attributs de description et demplacement dun objet ordinateur. Elle utilise la syntaxe suivante :
dsmod computer "DN_ordinateur" [-desc "Description"] [-loc "Emplacement"]
5-46
Dplacer un ordinateur
Points cls
Nombreuses sont les organisations qui possdent plusieurs UO pour les objets ordinateur. Certains domaines, par exemple, possdent des UO dordinateurs bases sur les sites gographiques, comme expliqu plus haut dans ce module. Si vous disposez de plusieurs UO pour ordinateurs, il est probable que vous serez amen tt ou tard dplacer un ordinateur dune UO vers une autre. Pour dplacer un ordinateur laide du logiciel enfichable Utilisateurs et ordinateurs Active Directory : effectuez un glisser-dplacer ou cliquez avec le bouton droit sur lordinateur, puis cliquez sur Dplacer.
La commande DSMove vous permet de dplacer un objet ordinateur ou tout autre objet. La syntaxe de DSMove est la suivante :
dsmove DN_Objet [-newname NouveauNom] [-newparent DN_Parent]
5-47
Loption -newname permet de renommer un objet. Loption -newparent permet de dplacer un objet. Pour dplacer un ordinateur nomm DESKTOP153 du conteneur Computers vers l'UO NYC, vous taperiez la commande suivante :
dsmove "CN=DESKTOP153,CN=Computers,DC=contoso,DC=com" -newparent "OU=NYC,OU=Client Computers,DC=contoso,DC=com"
5-48
Compte dordinateur et canal scuris
Points cls
Chaque ordinateur membre dun domaine Active Directory possde un compte dordinateur avec un nom dutilisateur (sAMAccountName) et un mot de passe, comme nimporte quel compte dutilisateur. Lordinateur stocke son mot de passe sous forme de secret LSA (autorit de scurit locale) et en change auprs du domaine environ tous les 30 jours. Le service NetLogon utilise les informations didentification pour se connecter au domaine, ce qui tablit un canal scuris avec un contrleur de domaine. Les comptes dordinateurs et les relations scurises entre les ordinateurs et leur domaine sont robustes. Toutefois, dans certains cas, il peut arriver quun ordinateur ne puisse plus sauthentifier auprs du domaine. En voici quelques exemples : Aprs avoir rinstall le systme dexploitation sur une station de travail, celleci ne parvient pas sauthentifier, mme si le technicien a utilis le mme nom dordinateur. Comme la nouvelle installation a gnr un nouveau ID de scurit (SID) et comme le nouvel ordinateur ne connat pas le mot de passe du compte dordinateur du domaine, il nappartient pas au domaine et ne peut pas sy authentifier.
5-49
Un ordinateur est entirement restaur partir dune sauvegarde et ne peut pas sauthentifier. Il est probable que lordinateur a chang de mot de passe auprs du domaine aprs lopration de sauvegarde. Les ordinateurs changent de mot de passe tous les 30 jours et Active Directory se souvient des mots de passe actuels et anciens. Si lopration de restauration a restaur lordinateur avec un mot de passe nettement obsolte, lordinateur ne pourra pas sauthentifier. Le secret LSA dun ordinateur se dsynchronise avec le mot de passe connu du domaine. Vous pouvez penser que lordinateur a oubli son mot de passe. Or, il est simplement en dsaccord avec le domaine propos du mot de passe. Lorsque cela se produit, lordinateur ne peut pas sauthentifier et le canal scuris ne peut pas tre cr.
5-50
Reconnatre les problmes de compte dordinateur
Points cls
Les signes les plus courants de problmes lis aux comptes dordinateurs sont les suivants : Les messages louverture de session indiquent quun contrleur de domaine ne peut pas tre contact, que le compte dordinateur est peut-tre manquant, que le mot de passe du compte dordinateur est incorrect ou que la relation dapprobation (cest--dire, la relation scurise ) entre lordinateur et le domaine a t perdue. Un exemple est illustr ci-dessous.
5-51
Les messages derreur ou les vnements consigns dans le journal dvnements indiquent des problmes analogues ou donnent penser que des mots de passe, des approbations, des canaux scuriss ou des relations avec le domaine ou un contrleur de domaine ont chou. LID dvnement 3210 de NETLOGON est une erreur de ce type : chec de lauthentification. Celle-ci apparat dans le journal dvnements de lordinateur. Il manque un compte dordinateur dans Active Directory.
5-52
Rinitialiser un compte dordinateur
Points cls
Lorsque le canal scuris choue, vous devez le rinitialiser. De nombreux administrateurs accomplissent cette opration en supprimant lordinateur du domaine, en le plaant dans un groupe de travail, puis en le joignant nouveau au domaine. Cette mthode est dconseille, car elle risque de supprimer le compte dordinateur purement et simplement, ce qui fait perdre lID de scurit (SID) de lordinateur et, plus important encore, ses appartenances aux groupes. Au moment de joindre nouveau le domaine, mme si lordinateur a le mme nom, le compte possde un nouveau SID et toutes les appartenances aux groupes du prcdent objet ordinateur doivent tre recres. vitez de supprimer un ordinateur du domaine et de ly joindre nouveau Si lapprobation auprs du domaine a t perdue, vitez de supprimer un ordinateur du domaine et de ly joindre nouveau. Au lieu de cela, rinitialisez le canal scuris. Pour rinitialiser le canal scuris entre un membre du domaine et le domaine, utilisez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, DSMod.exe, NetDom.exe ou NLTest.exe. Si vous rinitialisez le compte, le SID de lordinateur reste inchang et il conserve ses appartenances aux groupes.
5-53
Pour rinitialiser le canal scuris laide du logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. 2. 3. Cliquez avec le bouton droit sur un ordinateur, puis cliquez sur Rinitialiser le compte. Cliquez sur Oui pour confirmer votre choix. Joignez nouveau lordinateur au domaine, puis redmarrez-le.
Pour rinitialiser le canal scuris laide de DSMod : 1. Tapez la commande suivante :

dsmod computer "DN_ordinateur" reset.
2.
Joignez nouveau lordinateur au domaine, puis redmarrez-le.
Pour rinitialiser le canal scuris laide de NetDom : Tapez la commande suivante :

netdom reset NomOrdinateur/domain NomDomaine/UserO NomUtilisateur/PasswordO {Password | *}
o les informations didentification appartiennent au groupe Administrateurs local de lordinateur. Cette commande rinitialise le canal scuris en tentant de rinitialiser le mot de passe dans l'ordinateur et dans le domaine, ceci afin d'viter d'avoir pratiquer une nouvelle jonction ou un redmarrage. Pour rinitialiser le canal scuris laide de NLTest, sur lordinateur qui a perdu son approbation, tapez la commande suivante :
NLTEST /SERVER:NOMSERVEUR /SC_RESET:DOMAIN\CONTRLEURDOMAINE
Exemple :
nltest /server:SERVER02 /sc_reset:CONTOSO\SERVER01
Cette commande, linstar de NetDom, tente de rinitialiser le canal scuris en rinitialisant le mot de passe sur lordinateur et le domaine, ceci afin dviter davoir oprer une nouvelle jonction ou un redmarrage.
5-54
Comme NLTest et NetDom rinitialisent le canal scuris sans imposer de redmarrage, vous devez dabord essayer ces commandes. Si elles naboutissent pas, et seulement dans ce cas, vous devez utiliser la commande Reset Account (Rinitialiser le compte) ou DSMod pour rinitialiser le compte dordinateur.
5-55
Renommer un ordinateur
Points cls
Lorsque vous renommez un ordinateur, veillez le faire correctement. Ne perdez pas de vue que lordinateur utilise son nom pour sauthentifier auprs du domaine. Par consquent, si vous renommez uniquement lobjet domaine ou uniquement lordinateur lui-mme, ils seront dsynchroniss. Vous devez renommer lordinateur de telle sorte que lobjet ordinateur et lobjet domaine soient tous deux modifis. Vous pouvez renommer un ordinateur correctement en ouvrant une session sur lordinateur lui-mme, soit en local, soit au moyen dune session de Bureau distance. 1. 2. 3. Ouvrez Proprits systme dans le Panneau de configuration. Dans la section Paramtres de nom dordinateur, de domaine et de groupe de travail, cliquez sur Modifier les paramtres. Si vous obtenez une invite du Contrle de compte dutilisateur, cliquez sur Continuer.
5-56
4. 5.
Cliquez sur longlet Nom de lordinateur. Cliquez sur le bouton Modifier.
6. 7.
Tapez le nouveau nom et cliquez sur OK deux reprises pour fermer les botes de dialogue. Redmarrez lordinateur pour que la modification soit prise en compte.
Dans linvite de commandes, vous pouvez utiliser la commande NetDom en utilisant la syntaxe suivante :
netdom renamecomputer NomOrdinateur /NewName:NouveauNom [/UserO:NomUtilisateurLocal] [/PasswordO:{MotDePasseLocal|*} ] [/UserD:NomUtilisateurDomaine] [/PasswordD:{MotDePasseDomaine|*} ] [/SecurePasswordPrompt] [/REBoot[:TempsEnSecondes]]
5-57
En plus de spcifier lordinateur renommer (NomOrdinateur) et le nouveau nom souhait (NouveauNom), vous devez disposer dinformations didentification qui dpendent du groupe Administrateurs local de lordinateur et dinformations didentification autorises renommer lobjet ordinateur de domaine. Par dfaut, NetDom utilise les informations didentification partir desquelles la commande est excute. Vous pouvez spcifier les informations didentification en utilisant /UserO et /PasswordO pour les informations didentification situes dans le groupe Administrateurs local de lordinateur, et /UserD et /PasswordD pour les informations didentification autorises renommer lobjet ordinateur. Si vous spcifiez * pour le mot de passe, NetDom.exe rclame le mot de passe linvite de commandes. Loption /SecurePasswordPrompt affiche une fentre automatique demandant les informations didentification lorsque * est spcifi pour /PasswordO ou /PasswordD. Vous devez redmarrer lordinateur aprs lavoir renomm. Loption /REBoot provoque le redmarrage du systme au bout de 30 secondes, moins que vous ayez spcifi une autre valeur via TempsEnSecondes. Lorsque vous renommez un ordinateur, vous pouvez perturber les services en cours dexcution sur lordinateur. Par exemple, les services de certificats Active Directory (AD CS) utilisent le nom du serveur. Avant de renommer un ordinateur, veillez prendre en compte les consquences possibles dune telle opration. Nemployez pas ces mthodes pour renommer un contrleur de domaine.
5-58
Dsactiver et activer un ordinateur
Points cls
Si un ordinateur est mis hors connexion ou est appel ne pas tre utilis pendant une longue priode, envisagez de dsactiver le compte. Cette recommandation s'appuie sur le principe de scurit selon lequel un magasin d'identits doit permettre l'authentification uniquement du nombre minimum de comptes ncessaires pour atteindre les objectifs d'une organisation. La dsactivation du compte ne modifie en rien le SID ou lappartenance aux groupes de lordinateur : une fois lordinateur remis en ligne, le compte peut tre activ. Pour dsactiver un ordinateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur lordinateur, puis cliquez sur Dsactiver le compte. Un compte dsactiv est reconnaissable licne en forme de flche vers le bas dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, ici reprsente :
5-59
Lorsquun compte est dsactiv, lordinateur ne peut pas crer de canal scuris avec le domaine. Rsultat : les utilisateurs qui nont pas dj ouvert de session sur lordinateur et qui, de ce fait, nont pas dinformations didentification dans le cache de lordinateur, ne seront pas en mesure douvrir de session tant que le canal scuris naura pas t rtabli en activant le compte. Pour activer un compte dordinateur, cliquez avec le bouton droit sur lordinateur, puis cliquez sur Activer le compte. Pour dsactiver ou activer un ordinateur partir de linvite de commandes, utilisez la commande DSMod. La syntaxe utilise pour dsactiver ou activer des ordinateurs est la suivante :
dsmod computer DN_ordinateur -disabled yes dsmod computer DN_ordinateur -disabled no
5-60
Supprimer et recycler des comptes dordinateurs
Points cls
Comme nous lavons vu, chaque compte dordinateur, linstar de chaque compte dutilisateur, possde un ID de scurit (SID) unique qui permet un administrateur de lui octroyer des autorisations. De mme, comme les comptes dutilisateurs, les ordinateurs peuvent appartenir des groupes. Par consquent, comme pour les comptes dutilisateurs, il est important de connatre les consquences dune suppression de compte dordinateur. cette occasion, les appartenances aux groupes et le SID du compte dordinateur sont perdus. Si la suppression est accidentelle et quun autre compte dordinateur est cr avec le mme nom, il sagit malgr tout dun nouveau compte dot dun nouveau SID. Les appartenances aux groupes doivent tre redfinies et les autorisations affectes lordinateur supprim doivent tre raffectes au nouveau compte. Veillez ne supprimer des objets ordinateur que lorsque vous tes certain que ces attributs de scurit dobjet ne sont plus ncessaires.
5-61
Pour supprimer un compte d'ordinateur avec Utilisateurs et ordinateurs Active Directory : 1. Cliquez avec le bouton droit sur lobjet ordinateur, puis cliquez sur Supprimer. Vous tes invit confirmer la suppression et, comme la suppression est irrversible, la rponse par dfaut linvite est Non. 2. Cliquez sur Oui pour supprimer lobjet.
La commande DSRm permet de supprimer un objet ordinateur partir de linvite de commandes. Pour supprimer un ordinateur laide de DSRm, tapez la commande suivante :
dsrm DN_Objet
o DN_Objet reprsente le nom unique de lordinateur (p.ex., CN=Desktop154, OU=NYC,OU=Client Computers,DC=contoso,DC=com). Encore cette occasion, vous serez invit confirmer la suppression. Recyclage dordinateurs Si les appartenances aux groupes et le SID dun compte dordinateur, ainsi que les autorisations affectes ce SID, sont importants pour les oprations dun domaine, la suppression de ce compte apparat peu souhaitable. Or, que faire si un ordinateur doit tre remplac par un nouveau systme, par du matriel mis niveau ? Il sagit dun autre cas o il est indiqu de rinitialiser un compte dordinateur. La rinitialisation dun compte dordinateur consiste rinitialiser son mot de passe tout en conservant ses proprits. Une fois sont mot de passe rinitialis, le compte devient utilisable. Nimporte quel ordinateur peut alors joindre le domaine en utilisant ce compte, y compris le systme mis niveau. En effet, vous avez recycl le compte dordinateur en laffectant un nouveau matriel. Vous pouvez mme renommer le compte. Le SID et les appartenances aux groupes sont inchangs. Comme nous lavons vu plus tt dans cette leon, la commande Rinitialiser le compte est accessible dans le menu contextuel qui saffiche lorsque vous cliquez avec le bouton droit sur un objet ordinateur. La commande DSMod peut galement tre utilise pour rinitialiser un compte dordinateur, lorsque vous tapez dsmod computer "DN_Ordinateur" -reset.
5-62
Atelier pratique B : Administration des objets et des comptes d'ordinateur
Scnario
Vous tes administrateur pour Contoso, Ltd. Au cours dun audit de scurit, plusieurs comptes dordinateurs sont dcouverts. Or, ces ordinateurs nexistent plus dans le domaine. Vous avez t charg damliorer la gestion des comptes dordinateurs et didentifier les meilleures pratiques pour administrer le cycle de vie entier dun compte dordinateur.
5-63
Exercice 1 : Administration des objets ordinateurs tout au long de leur cycle de vie
Dans cet exercice, vous allez configurer des attributs communs dobjets ordinateur, notamment Description et ManagedBy. Vous allez galement grer lappartenance dordinateurs des groupes et dplacer des ordinateurs dune UO vers une autre. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. Prparer l'atelier pratique. Configurer des attributs dobjet ordinateur. Ajouter des ordinateurs des groupes de gestion de logiciels. Dplacer un ordinateur dune UO vers une autre. Dsactiver, activer et supprimer des ordinateurs.

Les ordinateurs virtuels doivent dj tre dmarrs et disponibles la fin de lAtelier pratique A. Toutefois, si ce nest pas le cas, vous devez excuter les tapes 1 3 ci-dessous, puis effectuer les exercices 1 3 de lAtelier pratique A avant de continuer. Vous ne pourrez pas effectuer lAtelier pratique B si vous navez pas achev lAtelier pratique A. 1. 2. 3. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Dmarrez 6238B-SERVER01-B.
Tche 2 : Configuration des attributs d'objet ordinateur

1. Sur HQDC01, excutez Utilisateurs et ordinateurs Active Directory en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans lUO Client Computers\SEA, utilisez longlet Gr par des objets ordinateur pour affecter LNO8538 Linda Mitchell et LOT9179 Scott Mitchell. Comme Scott et Linda Mitchell seront parfois appels utiliser mutuellement leurs ordinateurs respectifs, utilisez la slection multiple pour remplacer la description de LNO8538 et LOT9179 par Scott et Linda Mitchell.
2.
3.
5-64
Tche 3 : Ajout d'ordinateurs des groupes de gestion de logiciels

Microsoft Office Project est requis sur les ordinateurs de Scott et Linda. Contoso utilise les groupes de scurit comme collections pour dfinir la porte du dploiement de logiciels. Vous allez ajouter chacun de leurs ordinateurs au groupe APP_Project en employant deux mthodes diffrentes. 1. 2. Dans lUO Client Computers\SEA , cliquez avec le bouton droit sur LOT9179, puis cliquez sur Ajouter un groupe. Tapez APP_ et appuyez sur Entre. La bote de dialogue lments multiples trouvs saffiche. 3. Cliquez sur APP_Project, puis sur OK. Le message suivant saffiche : Lopration Ajouter au groupe est termine. 4. 5. 6. 7. 8. 9. Cliquez sur OK. Dans larborescence de la console, dveloppez lUO Groups, puis cliquez sur Application. Cliquez avec le bouton droit sur APP_Project, puis cliquez sur Proprits. Cliquez sur longlet Membres. Cliquez sur Ajouter. Tapez LNO8538, puis appuyez sur Entre. La bote de dialogue Impossible de trouver le nom saffiche. Par dfaut, linterface Slectionner les utilisateurs, les ordinateurs ou les groupes ne recherche pas les objets ordinateur. 10. Cliquez sur Types dobjets. 11. Activez la case cocher en regard de Ordinateur, puis cliquez sur OK. 12. Cliquez sur OK pour fermer la bote de Nom introuvable. Les deux ordinateurs sont prsent visibles sous longlet Membres. 13. Cliquez sur OK.
5-65
Tche 4 : Dplacement d'un ordinateur d'une UO une autre

Scott et Linda sont muts au bureau de Vancouver. Vous allez devoir dplacer leur ordinateur dans la nouvelle UO en employant deux mthodes diffrentes. 1. 2. Dans lUO Client Computers\SEA, cliquez sur LOT9179. Faites glisser LOT9179 vers lUO VAN, qui figure dans larborescence de la console. Un message saffiche pour vous rappeler que le dplacement dobjets dans Active Directory doit se faire avec prcautions. 3. 4. Cliquez sur Oui. Cliquez avec le bouton droit sur LNO8538, puis cliquez sur Dplacer. La bote de dialogue Dplacer saffiche. 5. 6. Dans larborescence de la console, dveloppez Client Computers, puis cliquez sur VAN. Cliquez sur OK.
Tche 5 : Dsactivation, activation et suppression d'ordinateurs

1. 2. Dans lUO Client Computers\SEA, dsactivez, puis activez le compte pour DEP6152. Supprimez le compte pour DEP6152.
5-66
Exercice 2 : Administration des comptes d'ordinateurs et rsolution des problmes associs

Dans cet exercice, vous allez administrer des comptes dordinateurs et le canal scuris et rsoudre des problmes associs. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Rinitialiser un compte dordinateur. Faire lexprience dun problme de canal scuris. Rinitialiser le canal scuris.
Tche 1 : Rinitialisation d'un compte d'ordinateur

Dernirement, lordinateur de Scott Mitchell a d faire lobjet dune rinstallation. Selon la convention dattribution de noms de Contoso, le nom dun objet ordinateur est son tiquette dinventaire. Il est attribu par lquipe dinventaire informatique. Scott ayant rinstall son ordinateur sur le mme matriel, le nom dordinateur est le mme : LOT9179. Il souhaite prsent joindre lordinateur au domaine, mais il existe dj un compte pour LOT9179, et ce compte est membre de groupes chargs de sassurer que les logiciels (notamment Microsoft Office Project) et la configuration appropris sont appliqus au systme. Par consquent, il est important que le compte ne soit pas supprim afin de prserver les appartenances aux groupes. Dans lUO Client Computers\VAN, rinitialisez le compte pour LOT9179. Vous pouvez dsormais joindre lordinateur rinstall de Scott au domaine.
Tche 2 : Dcouverte d'un problme de canal scuris

1. Montrez que vous pouvez ouvrir une session sur SERVER01 sous le nom Pat.Coleman avec le mot de passe Pa$$w0rd. Une fois le Bureau affich, fermez la session. Pour rompre le canal scuris, utilisez Utilisateurs et ordinateurs Active Directory sur HQDC01 afin de rinitialiser le compte pour SERVER01. Essayez d'ouvrir une session sur SERVER01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
2. 3.
5-67
Tche 3 : Rinitialisation du canal scuris

Pour rtablir une relation dapprobation rompue entre un membre du domaine et le domaine, vous pouvez rinitialiser le compte de lordinateur, dplacer lordinateur dans un groupe de travail, puis le joindre nouveau au domaine. Rinitialisez le compte dordinateur pour SERVER01. Aprs avoir rinitialis le canal scuris, vous pouvez dplacer SERVER01 dans un groupe de travail, puis le joindre nouveau au domaine. Il joindra son compte rinitialis et donc conservera ses appartenances aux groupes. Nexcutez pas cette tape pour cette fois.
Rsultats : lissue de cet exercice, le compte dutilisateur nomm Chris Mayo figurera dans lUO Employees.

Question : quavez-vous appris des problmes et des procdures concernant les comptes dordinateurs et ladministration de comptes dordinateurs tout au long de leur cycle de vie ?
Implmentation d'une infrastructure de stratgie de groupe
6-1
Module 6
Table des matires :
Leon 1 : Fonctionnement de la stratgie de groupe Leon 2 : Implmentation des objets GPO Atelier pratique A : Implmentation d'une stratgie de groupe Leon 3 : Examen approfondi des paramtres et des objets GPO Atelier pratique B : Gestion des paramtres et des objets GPO Leon 4 : Gestion de l'tendue d'une stratgie de groupe Atelier pratique C : Gestion de l'tendue d'une stratgie de groupe Leon 5 : Traitement d'une stratgie de groupe Leon 6 : Rsolution des problmes d'application de stratgie Atelier pratique D : Rsolution des problmes d'application de stratgie 6-4 6-22 6-40 6-44 6-67 6-74 6-105 6-113 6-123 6-136
6-2
Dans le Module 1, vous avez appris que les Services de domaine Active Directory (AD DS) fournissent les services de base d'une solution d'identification et d'accs aux rseaux d'entreprise excutant Windows et que les services AD DS offrent davantage en prenant en charge la gestion et la configuration des rseaux les plus vastes et les plus complexes. Dans les Modules 2 5, vous avez appris administrer les entits de scurit du service d'annuaire Active Directory : utilisateurs, groupes et ordinateurs. Vous allez prsent tudier la gestion et la configuration des utilisateurs et des ordinateurs l'aide d'une Stratgie de groupe. Une stratgie de groupe fournit une infrastructure au sein de laquelle les paramtres peuvent tre dfinis de faon centralise, puis dploys dans les ordinateurs et pour les utilisateurs de l'entreprise.
6-3
Un environnement gr par une infrastructure de stratgie de groupe bien implmente ne demande que peu de configuration, voire aucune configuration directe d'un poste de travail. Toutes les configurations sont dfinies, imposes et mises jour l'aide de paramtres stocks dans des objets de stratgie de groupe (GPO). Ces objets affectent une partie de l'entreprise aussi vaste qu'un site ou un domaine complet ou limite un seul groupe ou unit d'organisation. Dans ce module, vous allez tudier la dfinition d'une Stratgie de groupe, son fonctionnement et sa meilleure mthode d'implmentation dans votre organisation. Les modules suivants consisteront appliquer une Stratgie de groupe des tches de gestion spcifiques, telles que la configuration de la scurit, le dploiement de logiciels, la stratgie des mots de passe et l'audit.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : identifier les facteurs professionnels de la gestion de configuration ; comprendre les composants et les technologies qui constituent la structure d'une stratgie de groupe ; grer les objets GPO ; configurer et comprendre les divers types de paramtres d'une stratgie ; dfinir la porte des objets GPO l'aide de liens, de groupes de scurit, de filtres WMI, de traitement par boucle de rappel et du ciblage des Prfrences ; expliquer le stockage, la rplication et la gestion des versions des objets GPO ; administrer l'infrastructure d'une stratgie de groupe ; valuer l'hritage et la priorit des objets GPO et l'outil RSoP ; localiser les journaux contenant les vnements lis la Stratgie de groupe.
6-4
Leon 1
Fonctionnement de la Stratgie de groupe
Une infrastructure de stratgie de groupe comprend un grand nombre d'lments. Il est donc important que vous compreniez le rle de chacun de ces lments, mais aussi comment ils fonctionnent ensemble et les raisons de leur assemblage en diverses configurations. Cette leon propose une vue d'ensemble exhaustive de la Stratgie de groupe : ses composants, ses fonctions et son traitement interne.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : identifier les facteurs professionnels de la gestion de configuration ; comprendre les composants de base et la terminologie d'une stratgie du groupe ; expliquer les bases du traitement d'une stratgie de groupe.
6-5
Qu'est-ce que la gestion des configurations ?
Points cls
Si votre environnement ne comprend qu'un seul ordinateur ( votre domicile, par exemple) et que vous devez apporter une modification (comme changer l'arrireplan du Bureau), plusieurs mthodes vous permettent d'effectuer cette opration. La plupart des utilisateurs slectionneraient probablement le menu Personnalisation du Panneau de configuration et effectueraient la modification via l'interface Windows. Cette mthode convient parfaitement un utilisateur mais devient laborieuse lorsque la modification en concerne plusieurs. Imaginons, par exemple, que vous dsiriez le mme arrire-plan pour vous et votre famille. Vous devez dans ce cas effectuer la mme modification plusieurs reprises et, si vous changez ensuite d'avis et voulez nouveau modifier l'arrire-plan, il vous faudra reprendre le profil de chaque utilisateur et ritrer la modification. L'implmentation de la modification et le maintien de la cohrence d'un environnement deviennent encore plus complexes avec plusieurs ordinateurs.
6-6
En fin de compte, la gestion des configurations est une approche centralise qui consiste appliquer une ou plusieurs modifications un ou plusieurs utilisateurs ou ordinateurs. Si vous gardez cela l'esprit, le reste sera plus facile comprendre. Alors rptonsnous. Les points cls de la gestion des configurations sont ci-aprs. Dfinition centralise d'une modification, que nous appellerons galement un paramtre. Le paramtre apporte l'tat de configuration souhait pour l'utilisateur ou l'ordinateur. Dfinition des utilisateurs ou ordinateurs auxquels s'applique la modification, et que nous appellerons l'tendue ou la porte de la modification. Mcanisme garantissant que le paramtre est appliqu aux utilisateurs et ordinateurs de l'tendue. Nous appellerons ce processus l'application.
La Stratgie du groupe est une structure au sein de Windows (avec des composants qui rsident dans Active Directory, dans des contrleurs de domaine et dans chaque serveur et client Windows) qui vous permet de grer la configuration dans un domaine AD DS. Lorsque vous vous intressez la Stratgie du groupe, qui peut devenir extrmement complexe, gardez toujours l'esprit que tout se rduit, pour finir, ces quelques lments de base de la gestion des configurations.
6-7
Paramtres de stratgie (galement appels Stratgies)
Points cls
Le composant le plus granulaire de la Stratgie du groupe est un paramtre de stratgie individuel, appel simplement stratgie, qui dfinit une modification de configuration spcifique appliquer. Par exemple, il existe un paramtre de stratgie qui empche l'utilisateur d'accder aux outils de modification du Registre. Si vous dfinissez ce paramtre de stratgie et que vous l'appliquez l'utilisateur, ce dernier ne peut plus utiliser certains outils, par exemple Regedit.exe. Un autre paramtre de stratgie vous permet de renommer le compte Administrateur local. Vous pouvez par exemple utiliser ce paramtre de stratgie pour renommer le compte Administrateur dans tous les postes de travail et ordinateurs portables des utilisateurs.
6-8
Ces deux exemples mettent en vidence un point important : certains paramtres de stratgie affectent un utilisateur, quel que soit l'ordinateur sur lequel cet utilisateur ouvre une session, alors que d'autres paramtres de stratgie affectent un ordinateur, quel que soit l'utilisateur connect cet ordinateur. Les paramtres de stratgie tels que ceux qui empchent l'utilisateur d'accder aux outils de modification du Registre sont souvent appels paramtres de configuration utilisateur ou paramtres utilisateur. Les paramtres de stratgie tels que ceux qui dsactivent le compte Administrateur et autres paramtres similaires sont souvent appels paramtres de configuration ordinateur ou paramtres ordinateur. Vous entendrez galement parler de stratgies utilisateur et de stratgies ordinateur La terminologie utilise dans l'industrie est imprcise. Une Stratgie de groupe permet de grer des milliers de paramtres de stratgie et, sa structure tant extensible, elle vous permet pour finir de grer peu prs n'importe quoi. Pour dfinir un paramtre de stratgie, double-cliquez sur son entre. La bote de dialogue Proprits du paramtre de stratgie s'affiche. En voici un exemple :
Un paramtre de stratgie peut avoir trois tats : Non configur, Activ ou Dsactiv.
6-9
Dans un nouvel objet GPO, chaque paramtre de stratgie est Non configur. Cela signifie que l'objet GPO ne modifiera pas la configuration existante de ce paramtre pour un utilisateur ou un ordinateur. Si vous activez ou dsactivez un paramtre de stratgie, la modification est apporte la configuration des utilisateurs et des ordinateurs auxquels l'objet GPO s'applique. L'effet de la modification dpend du paramtre de stratgie lui-mme. Par exemple, si vous activez le paramtre de stratgie Empche l'accs aux outils de modification du Registre, les utilisateurs ne peuvent plus lancer l'diteur du registre Regedit.exe. Si vous dsactivez le paramtre de stratgie, vous tes certain que les utilisateurs peuvent lancer l'diteur du registre. Remarquez la double ngation de ce paramtre de stratgie : vous dsactivez une stratgie qui interdit une action, donc vous autorisez cette action. Certains paramtres de stratgie associent plusieurs configurations en une seule stratgie et peuvent requrir d'autres paramtres. Dans la capture d'cran prcdente, vous pouvez voir qu'en activant la stratgie qui interdit les outils de modification du Registre, vous pouvez galement dfinir si les fichiers du Registre peuvent tre fusionns discrtement dans le systme via regedit /s.
Remarque : assurez-vous de comprendre et de tester tous les paramtres de la stratgie de groupe. Nombres de paramtres de stratgie sont complexes, et l'effet de leur activation ou de leur dsactivation peut ne pas tre immdiatement vident. De mme, certains paramtres de stratgie n'affectent que certaines versions de Windows. Assurez-vous de lire le texte explicatif du paramtre de stratgie dans le volet d'informations de l'diteur de gestion des stratgies de groupe (GPME) ou dans l'onglet Expliquer de la bote de dialogue Proprits du paramtre de stratgie. De plus, testez toujours les effets d'un paramtre de stratgie et ses interactions avec les autres paramtres avant de dployer une modification dans l'environnement de production.
Vous tudierez les paramtres de stratgie et leur gestion la leon 3.
6-10
Objets de stratgie de groupe (GPO)
Points cls
Les paramtres de stratgie sont dfinis et stocks au sein d'un Objet de stratgie de groupe (GPO). Un objet GPO est un objet qui contient un ou plusieurs paramtres de stratgie et applique de ce fait un ou plusieurs paramtres de configuration un utilisateur ou un ordinateur.
6-11
Les objets GPO peuvent tre grs dans Active Directory via la Console de gestion des stratgies de groupe (GPMC), prsente ici :
Les objets GPO sont affichs dans un conteneur nomm Objets de stratgie de groupe. Pour crer un nouvel objet GPO dans un domaine, cliquez du bouton droit sur le conteneur Objets de stratgie de groupe et choisissez Nouveau. Pour modifier les paramtres de configuration d'un objet GPO, cliquez du bouton droit sur ce dernier et choisissez Modifier.
6-12
L'objet GPO s'affiche dans le composant logiciel enfichable diteur de gestion des stratgies de groupe (GPME), appel auparavant diteur d'objets de stratgie de groupe (diteur GPO), prsent ici :
L'diteur GPME organise l'affichage des milliers de paramtres de stratgie disponibles dans un objet GPO de faon hirarchique, en commenant par les diviser en paramtres ordinateur et paramtres utilisateur : les nuds Configuration ordinateur et Configuration utilisateur. Les niveaux suivants dans la hirarchie sont les deux nuds nomms Stratgies et Prfrences. Vous dcouvrirez la diffrence entre ces deux nuds dans la suite de cette leon. Si vous dtaillez encore davantage la hirarchie, vous verrez que l'diteur GPME affiche des dossiers, galement appels nuds ou groupes de paramtres de stratgie. Les dossiers contiennent les paramtres de stratgie eux-mmes. Le paramtre de stratgie 'Empche l'accs aux outils de modification du Registre' est slectionn dans la capture d'cran prsente ici. Vous tudierez l'implmentation et la gestion des objets GPO la leon 2.
6-13
tendue d'un objet GPO
Points cls
La configuration est dfinie par des paramtres de stratgie dans des objets GPO. Toutefois, les modifications de configuration apportes un objet GPO n'affectent pas les ordinateurs ou les utilisateurs de votre entreprise tant que vous ne spcifiez pas les ordinateurs ou les utilisateurs auxquels ce GPO s'applique. Il s'agit alors de l'tendue d'un objet GPO. L'tendue d'un GPO est l'ensemble des utilisateurs et ordinateurs qui appliqueront les paramtres de cet objet. Plusieurs mthodes permettent de grer l'tendue des GPO. La premire est le lien de l'objet GPO. Les objets GPO peuvent tre relis des sites, des domaines et des units d'organisation dans Active Directory. Le site, le domaine ou l'unit d'organisation devient alors l'tendue maximale du GPO. Tous les ordinateurs et utilisateurs de ce site, domaine ou unit d'organisation, y compris ceux des units d'organisation enfants, seront affects par les configurations spcifies par les paramtres de stratgie dans l'objet GPO. Un mme objet GPO peut tre reli plusieurs sites ou units d'organisation.
6-14
Deux types de filtres permettent de limiter l'tendue d'un GPO : les filtres de scurit, qui dfinissent les groupes de scurit globaux auxquels le GPO doit ou non s'appliquer, et les filtres WMI (Windows Management Instrumentation), qui dfinissent l'tendue par rapport aux caractristiques d'un systme tels que la version du systme d'exploitation ou l'espace disque disponible. Servez-vous des filtres de scurit et WMI pour restreindre ou dfinir l'tendue au sein de l'tendue initiale cre par le lien du GPO. Windows Server 2008 a introduit un nouveau composant de Stratgie de groupe : les Prfrences de stratgie de groupe. Les paramtres configurs par les Prfrences de stratgie de groupe au sein d'un objet GPO peuvent tre filtrs, ou cibls, en fonction d'un certain nombre de critres. Les prfrences cibles permettent d'affiner encore davantage l'tendue des Prfrences au sein d'un seul GPO. La dfinition de l'tendue des objets GPO est dtaille la leon 4.
6-15
Client de stratgie de groupe et extensions ct client
Points cls
Comment les paramtres de stratgie s'appliquent-ils exactement ? Lorsque l'actualisation d'une Stratgie de groupe commence, un service qui s'excute dans tous les systmes Windows (appel Client de stratgie de groupe sous Windows Vista et Windows Server 2008) dtermine les objets GPO s'appliquant l'ordinateur ou l'utilisateur. Ce service tlcharge tous les GPO qu'il n'a pas encore mis en cache. Ensuite, une srie de processus appele Extensions ct client (CSE) interprte les paramtres d'un GPO et apporte les modifications appropries l'ordinateur local ou l'utilisateur actuellement connect. Des extensions CSE existent pour chaque catgorie principale de paramtres de stratgie. Par exemple, il existe une extension CSE de scurit qui applique les modifications de la scurit, une extension CSE qui excute les scripts de dmarrage et d'ouverture de session, une extension CSE qui installe les logiciels et une extension CSE qui modifie les cls et les valeurs du Registre. Chaque version de Windows a ajout des extensions ct client de manire tendre la porte fonctionnelle de la Stratgie du groupe. Windows comprend maintenant des douzaines d'extensions CSE.
6-16
L'un des concepts majeurs en matire de Stratgie de groupe est que cette dernire est rellement pilote au niveau des clients. Le client de Stratgie de groupe extrait les objets GPO de son domaine, en dclenchant les extensions CSE pour appliquer les paramtres localement. La Stratgie de groupe n'est pas une technologie d'mission . En ralit, le comportement des extensions CSE peut tre configur l'aide de la Stratgie de groupe. La plupart des extensions CSE n'appliqueront les paramtres d'un GPO que si ce dernier a t modifi. Ce comportement amliore le traitement global des stratgies en liminant l'application redondante des mmes paramtres. La plupart des stratgies sont appliques de telle manire que les utilisateurs standard ne peuvent pas modifier le paramtre dans leur systme : ils demeureront toujours assujettis la configuration impose par la Stratgie de groupe. Certains paramtres, toutefois, peuvent tre modifis par les utilisateurs standard, et beaucoup peuvent tre modifis lorsque l'utilisateur est Administrateur de ce systme. Si certains utilisateurs de votre environnement sont administrateurs de leurs ordinateurs, pensez configurer des extensions CSE afin d'appliquer nouveau les paramtres de stratgie mme si l'objet GPO n'a pas chang. De cette manire, si un utilisateur administrateur change la configuration de sorte qu'elle ne respecte plus cette stratgie, l'tat conforme de la configuration est rinitialis ds la prochaine actualisation de la Stratgie du groupe.
Remarque : configurez des extensions CSE pour appliquer nouveau les paramtres de stratgie mme si le GPO n'a pas chang. Vous pouvez configurer des extensions CSE pour appliquer nouveau les paramtres de stratgie, mme si le GPO n'a pas chang, dans le cadre d'une actualisation excute en arrire-plan. Pour ce faire, configurez un GPO limit aux ordinateurs concerns, puis dfinissez ses paramtres dans le nud Configuration ordinateur\Stratgies\Modles d'administration\Systme\Stratgie de groupe. Pour chaque extension CSE que vous souhaitez configurer, ouvrez son paramtre de stratgie de traitement des stratgies, par exemple, Traitement de la stratgie du Registre de l'extension CSE Registre. Cliquez sur Activ, puis cochez la case intitule Traiter mme si les objets GPO n'ont pas t modifis.
Les paramtres grs par l'extension CSE Scurit sont une exception importante aux paramtres par dfaut du traitement de stratgie. Les paramtres de scurit sont appliqus rptitivement toutes les 16 heures, mme si l'objet GPO n'a pas chang.
6-17
Remarque : concernant le paramtre de stratgie Toujours attendre le rseau lors du dmarrage de l'ordinateur et de l'ouverture de session, il est fortement recommand d'activer ce paramtre pour tous les clients Windows. Sans ce paramtre, par dfaut, les clients Windows XP, Windows Vista et Windows 7 n'effectuent que des actualisations en arrire-plan, ce qui signifie qu'un client peut dmarrer et un utilisateur ouvrir une session sans recevoir les dernires stratgies du domaine. Ce paramtre est stock dans Configuration ordinateur\Stratgies\Modles d'administration\Systme\Ouverture de session. Assurez-vous de lire le texte explicatif de ce paramtre de stratgie. Le domaine contoso.com utilis dans ce cours a t prconfigur avec ce paramtre supplmentaire de stratgie de groupe.
L'application de la Stratgie de groupe est traite en dtail la leon 5.
6-18
Actualisation de la stratgie de groupe
Points cls
quel moment les stratgies sont-elles appliques ? Les paramtres de stratgie du nud Configuration ordinateur sont appliques au dmarrage du systme, puis toutes les 90 120 minutes. Les paramtres de stratgie du nud Configuration utilisateur sont appliques l'ouverture de session, puis toutes les 90 120 minutes. L'application des stratgies est appele actualisation de Stratgie de groupe. Vous pouvez galement imposer une actualisation de stratgie avec la commande GPUpdate. Vous tudierez l'actualisation de Stratgie de groupe de manire plus approfondie la leon 5.
6-19
Jeu de stratgies rsultant
Points cls
Les ordinateurs et les utilisateurs inclus dans l'tendue d'un objet GPO appliquent les paramtres de stratgie dfinis dans cet objet. Un utilisateur ou un ordinateur individuel est gnralement inclus dans l'tendue de plusieurs objets GPO relis au site, au domaine ou aux units d'organisation dans lequel cet utilisateur ou cet ordinateur existe. Il est donc possible que des paramtres de stratgie soient configurs diffremment dans plusieurs objets GPO. Vous devez tre mme de comprendre et d'valuer le Jeu de stratgie rsultant (RSoP), qui dtermine les paramtres appliqus par un client lorsqu'ils sont configurs diffremment dans plusieurs objets GPO. Les jeux de stratgie rsultants (RSoP) sont dtaills la leon 6.
6-20
Examen des composants de la Stratgie de groupe
Points cls
Examinez les composants cls d'une Stratgie de groupe.
TechNet propose des guides dtaills sur les techniques et l'exploitation des Stratgies de groupe, avec notamment : Stratgie de groupe pour Windows Server (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99449 Fonctionnement de la stratgie de groupe de base (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99468 Dploiement d'une stratgie de groupe l'aide de Windows Vista (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=169357
6-21
Rcapitulatif des paramtres de stratgie de groupe nouveaux ou dvelopps (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99450 Nouveauts de la Stratgie de groupe sous Windows Vista (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99451
6-22
Leon 2
Implmentation d'objets GPO
Maintenant que vous connaissez les stratgies de groupe et leurs composants, vous pouvez vous intresser de plus prs chaque composant. Cette section examine en dtail les objets GPO.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : crer, modifier et relier des objets GPO ; identifier les capacits de gestion des modifications et de configuration d'une stratgie de groupe ; configurer des paramtres de stratgie ; expliquer le stockage, la rplication et la gestion des versions des objets GPO.
6-23
Objets GPO locaux
Points cls
Pour grer la configuration des utilisateurs et des ordinateurs, vous devez crer des objets GPO contenant les paramtres de stratgie ncessaires. Chaque ordinateur dispose de plusieurs GPO stocks localement dans le systme (les objets GPO locaux) et peut tre inclus dans l'tendue d'un certain nombre d'objets GPO du domaine. Les ordinateurs qui excutent Windows 2000, Windows XP et Windows Server 2003 ont chacun un objet GPO local, capable de grer la configuration de ces systmes. Cet objet GPO local existe, que l'ordinateur fasse ou non partie d'un domaine, d'un groupe de travail ou d'un environnement non reli au rseau. Il est stock dans %SystemRoot%\System32\GroupPolicy. Les stratgies de l'objet GPO local affectent uniquement l'ordinateur dans lequel cet objet est stock. Par dfaut, seules les stratgies Paramtres de scurit sont configures dans l'objet GPO local d'un systme. Toutes les autres stratgies sont dfinies sur Non configur.
6-24
Lorsqu'un ordinateur n'appartient pas un domaine Active Directory, la stratgie locale se rvle trs utile pour configurer et imposer des paramtres cet ordinateur. Toutefois, dans un domaine Active Directory, les paramtres des objets GPO relis au site, au domaine ou aux units d'organisation remplacent les paramtres de l'objet GPO local et sont plus faciles grer que les GPO des ordinateurs individuels. Windows Vista, Windows Server 2008 et les versions ultrieures ont plusieurs objets GPO locaux. L'objet GPO Ordinateur local est le mme que l'objet GPO des versions prcdentes de Windows. Le nud Configuration ordinateur permet de configurer tous les paramtres relatifs l'ordinateur. Le nud Configuration utilisateur permet de configurer les paramtres que vous souhaitez appliquer tous les utilisateurs de l'ordinateur. Les paramtres utilisateur de l'objet GPO Ordinateur local peuvent tre modifis par les paramtres utilisateur dans deux nouveaux objets GPO locaux : Administrateurs et Non-administrateurs. Ces deux GPO appliquent des paramtres utilisateur aux utilisateurs connects en fonction de leur appartenance au groupe Administrateurs local (utilisation de l'objet GPO Administrateurs) ou de leur non appartenance ce groupe (utilisation de l'objet GPO Non-Administrateurs). Vous pouvez affiner davantage les paramtres utilisateur l'aide d'un GPO local s'appliquant un compte d'utilisateur spcifique. Les objets GPO locaux spcifiques l'utilisateur sont associs des comptes d'utilisateur locaux, pas des comptes de domaine. Le Jeu de stratgie rsultant (RSoP) est simple pour les paramtres ordinateur : l'objet GPO Ordinateur local est le seul GPO local susceptible d'appliquer des paramtres ordinateur. Les paramtres utilisateur d'un GPO spcifique l'utilisateur remplacent les paramtres conflictuels des GPO Administrateurs et Non administrateurs, qui remplacent eux-mmes les paramtres du GPO Ordinateur local. Le concept est simple : plus le GPO local est spcifique, plus ses paramtres sont prioritaires. Pour crer et modifier des objets GPO locaux : 1. Cliquez sur le bouton Dmarrer, tapez mmc.exe dans la zone de texte Rechercher, puis appuyez sur ENTRE. Une console MMC (Microsoft Management Console) vide s'affiche. 2. 3. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable. Slectionnez l'diteur d'objets de stratgie de groupe, puis cliquez sur Ajouter. Une bote de dialogue vous invite alors slectionner l'objet GPO modifier.
6-25
4.
L'objet GPO Ordinateur local est slectionn par dfaut. Pour modifier un autre GPO local, cliquez sur le bouton Parcourir. Dans l'onglet Utilisateurs, vous trouverez les GPO Non-administrateurs et Administrateurs et un GPO pour chaque utilisateur local. Slectionnez le GPO concern, puis cliquez sur OK. Cliquez sur Terminer, puis sur OK pour fermer les botes de dialogue.
5.
Le composant logiciel enfichable diteur d'objets de stratgie de groupe est ajout pour le GPO slectionn. Question : Si les membres d'un domaine peuvent tre grs centralement l'aide d'objets GPO relis ce domaine, dans quels cas les GPO locaux sont-ils utiles ?
Objets GPO locaux multiples (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=112463 Procdure de gestion des objets GPO locaux multiples (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99457
6-26
Objets GPO de domaine
Points cls
Les objets GPO de domaine sont crs dans Active Directory et stocks dans des contrleurs de domaine. Ils permettent de grer de manire centralise la configuration des utilisateurs et des ordinateurs du domaine. La suite de ce cours fait rfrence aux GPO de domaine et non aux GPO locaux, sauf lorsque l'inverse est explicitement prcis. Lorsque AD DS est install, deux GPO par dfaut sont crs : Stratgie de domaine par dfaut Ce GPO est reli au domaine et n'a pas de groupe de scurit ni de filtres WMI. Il affecte donc tous les utilisateurs et ordinateurs du domaine (y compris les contrleurs du domaine). Ce GPO contient les paramtres de stratgie qui dfinissent les stratgies de mots de passe, de verrouillage des comptes et Kerberos. Comme expliqu dans le Module 9, vous modifierez les paramtres par dfaut de ce GPO en fonction des stratgies de mots de passe et de verrouillage des comptes de votre entreprise. Il est prfrable de ne pas ajouter ce GPO de paramtres de stratgie non relis. Pour configurer d'autres paramtres devant s'appliquer largement votre domaine, crez d'autres GPO relis ce domaine.
6-27
Stratgie Contrleurs de domaine par dfaut Ce GPO est li l'unit d'organisation des contrleurs de domaine. Les comptes d'ordinateur des contrleurs de domaine tant gards exclusivement dans l'unit d'organisation des contrleurs de domaine, et les autres comptes d'ordinateur devant tre conservs dans d'autres units d'organisation, ce GPO affecte uniquement les contrleurs de domaine. Comme expliqu dans les Modules 7 9, le GPO Contrleurs de domaine par dfaut doit tre modifi pour implmenter vos stratgies d'audit. Il doit galement tre modifi pour affecter les droits utilisateur requis pour les contrleurs de domaine.
6-28
Dmonstration : Cration, liaison et modification d'objets GPO
Points cls
Pour crer un objet GPO, cliquez du bouton droit sur le conteneur Objets de stratgie de groupe et choisissez Nouveau. Pour crer un GPO, vous devez disposer d'une autorisation pour le conteneur Objets de stratgie de groupe. Par dfaut, seuls les groupes Administrateurs de domaine et Crateurs propritaires de la stratgie de groupe sont habilits crer des objets GPO. Pour dlguer une autorisation de cration de GPO d'autres groupes, slectionnez le conteneur Objets de stratgie de groupe dans l'arborescence de la console GPMC, puis cliquez sur l'onglet Dlgation du volet d'informations de la console. Aprs avoir cr un GPO, vous pouvez crer son tendue initiale en le reliant un site, un domaine ou une unit d'organisation.
6-29
Pour relier un GPO, cliquez du bouton droit sur le site, le domaine ou l'unit d'organisation concern(e), puis choisissez Lier un objet de stratgie de groupe existant. Vous pouvez galement crer et relier un GPO en une seule tape : cliquez du bouton droit sur un site, un domaine ou une unit d'organisation et choisissez Crer un objet GPO dans ce domaine, et le lier ici. Notez que, pour que vos sites s'affichent dans le nud Sites de la console GPMC, vous devez cliquer du bouton droit sur Sites, choisir Afficher les sites, puis slectionner les Sites que vous souhaitez grer. Vous devez tre autoris relier un GPO un site, un domaine ou une unit d'organisation. Dans la console GPMC, slectionnez le conteneur dans l'arborescence, puis ouvrez l'onglet Dlgation du volet d'informations. Dans la liste droulante Autorisation, slectionnez Lier les objets GPO. Les utilisateurs et groupes affichs disposent de l'autorisation pour l'unit d'organisation slectionne. Pour modifier la dlgation, cliquez sur le bouton Ajouter ou Supprimer. Pour modifier un objet GPO, cliquez du bouton droit sur son entre dans le conteneur Objets de stratgie de groupe et choisissez Modifier. L'objet GPO s'affiche dans le composant logiciel enfichable diteur de gestion des stratgies de groupe (GPME). Vous devez au moins disposer d'une autorisation de lecture pour ouvrir l'objet GPO de cette manire. Pour modifier un GPO, vous devez disposer d'une autorisation d'criture sur ce dernier. Pour dfinir des autorisations pour le GPO, slectionnez ce dernier dans le conteneur Objets de stratgie de groupe, puis ouvrez l'onglet Dlgation du volet d'informations. La console GPME affichera le nom du GPO en tant que nud racine. Elle affiche galement le domaine dans lequel le GPO est dfini et le serveur partir duquel le GPO a t ouvert et dans lequel les modifications seront enregistres. Le nud racine est au format NomGPO [NomServeur]. Dans la capture d'cran de la console GPME prsente prcdemment dans ce module, le nud racine est CONTOSO Standards [SERVER01.contoso.com] Policy. Le nom du GPO est CONTOSO Standards et il a t ouvert partir du serveur SERVER01.contoso.com, ce qui signifie que le GPO est dfini dans le domaine contoso.com. Par dfaut, les consoles GPMC et GPME se connectent un contrleur de domaine spcifique de votre environnement : le contrleur de domaine jouant le rle d'mulateur PDC (Primary Domain Controller, ou Contrleur principal du domaine). Vous apprendrez identifier et grer le contrleur de domaine associ ce rle dans un module ultrieur.
6-30
L'objectif est de rduire les possibilits de modification d'un seul GPO dans deux contrleurs de domaine diffrents, empchant tout rapprochement des modifications au cours de la rplication, et qu'une seule version de l'intgralit du GPO prvale et soit rplique. Le fait de concentrer les outils d'administration dans un seul contrleur de domaine permet d'tre certain que les modifications ne seront effectues qu'en un seul emplacement. Toutefois, dans un vaste environnement distribu, l'mulateur PDC peut se trouver dans un site distant, et entraner une baisse des performances des consoles GPMC. Dans ce cas, cliquez du bouton droit sur le nud racine de chaque console et connectez-vous un contrleur de domaine spcifique, plus proche de vous. N'oubliez pas le problme de rplication : lorsque vous tes seul modifier un GPO, il est parfaitement acceptable de le faire dans un contrleur de domaine local plus performant. tapes de la dmonstration Cration d'un objet GPO 1. 2. 3. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Excutez Gestion de stratgie du groupe avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez Forest: contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratgie de groupe. Dans l'arborescence de la console, cliquez du bouton droit sur le conteneur Objets de stratgie de groupe et choisissez Nouveau. Dans Nom, tapez CONTOSO Standards, puis cliquez sur OK.
4.
5. 6.
Ouverture d'un GPO pour modification 1. Dans le volet d'informations de la console Gestion de stratgie de groupe (GPMC), cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Modifier. L'diteur de gestion des stratgies de groupe (GPME) s'ouvre. 2. Fermez l'diteur GPME.
6-31
Liaison d'un objet OBJET 1. 2. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le domaine contoso.com et choisissez Lier un objet de stratgie de groupe existant. Slectionnez CONTOSO Standards, puis cliquez sur OK.
Dlgation de la gestion d'objets GPO 1. 2. 3. 4. 5. 6. 7. Dans l'arborescence de la console GPMC, cliquez sur le domaine contoso.com. Dans le volet d'informations, ouvrez l'onglet Dlgation. Examinez la dlgation par dfaut. Dans l'arborescence de la console GPMC, dveloppez le conteneur Objets de stratgie de groupe, puis cliquez sur le GPO CONTOSO Standards. Dans le volet d'informations, ouvrez l'onglet Dlgation. Examinez la dlgation par dfaut. Excutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, cliquez sur le conteneur Utilisateurs. Dans le volet d'informations, double-cliquez sur le groupe Crateurs propritaires de la stratgie de groupe, puis ouvrez l'onglet Membres.
8. 9.
10. Examinez l'appartenance par dfaut. Dlgation d'un objet GPO 1. Dans le conteneur Objets de stratgie de groupe de l'arborescence de la console GPMC, cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Supprimer. Cliquez sur Non.
2.
Connexion par dfaut l'mulateur PDC 1. 2. 3. Revenez la console GPMC. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le domaine contoso.com et choisissez Modifier le contrleur de domaine. Examinez les paramtres par dfaut.
6-32
Stockage des objets GPO
Points cls
Les paramtres de stratgie de groupe sont prsents sous forme d'objets GPO dans les outils de l'interface utilisateur Active Directory, mais un GPO est en ralit constitu de deux composants : un Conteneur de stratgie du groupe (GPC) et un Modle de stratgie de groupe (GPT). Le conteneur GPC est un objet Active Directory stock dans le conteneur Objets de stratgie de groupe au sein du contexte de changement de nom de domaine de l'annuaire. Comme tous les objets Active Directory, chaque conteneur GPC comprend un attribut Identificateur global unique (GUID) qui l'identifie de faon exclusive dans Active Directory. Le conteneur GPC dfinit les attributs de base du GPO, mais ne contient aucun des paramtres. Les paramtres sont conservs dans le modle GPT, ensemble de fichiers stock dans le rpertoire SYSVOL de chaque contrleur de domaine sous %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID, o GPOGUID correspond l'identifiant GUID du conteneur GPC. Lorsque vous modifiez les paramtres d'un GPO, ces modifications sont enregistres dans le modle GPT du serveur partir duquel ce GPO a t ouvert.
6-33
Par dfaut, lors d'une actualisation de la Stratgie de groupe, les extensions ct client n'appliquent les paramtres d'un GPO que si ce dernier a t mis jour. Le Client de stratgie de groupe peut identifier un GPO mis jour par son numro de version. Chaque GPO possde un numro de version, incrment chaque modification. Ce numro de version est stock sous la forme d'un attribut du conteneur GPC et dans un fichier texte, GPT.ini, dans le dossier GPT. Le Client de stratgie de groupe connat le numro de version de chacun des objets GPO qu'il a appliqu prcdemment. Si, lors d'une actualisation de la stratgie de groupe, le client s'aperoit que le numro de version du GPC a chang, les extensions ct client sont averties de la mise jour de cet objet GPO. Rplication d'un objet GPO La rplication des deux parties d'un GPO entre les contrleurs de domaine s'effectue par des mcanismes distincts. Dans Active Directory, le GPC est rpliqu par l'Agent de rplication d'annuaire (DRA), l'aide d'une topologie gnre par le Vrificateur de cohrence des donnes (KCC) qui peut tre dfinie ou affine manuellement. Vous tudierez la rplication Active Directory au Module 12. Le rsultat est que le GPC est rpliqu en quelques secondes dans tous les contrleurs de domaine d'un site et est rpliqu entre les sites selon votre configuration de la rplication intersites, galement traite au Module 12. Le GPT du rpertoire SYSVOL est rpliqu par l'une des deux technologies. Le Service de rplication de fichiers (FRS) est utilis pour la rplication de SYSVOL dans les domaines excutant Windows Server 2008, Windows Server 2003 et Windows 2000. Lorsque tous les contrleurs de domaine excutent Windows Server 2008, vous pouvez configurer la rplication de SYSVOL l'aide d'une Rplication distribue du systme de fichiers (DFSR), un mcanisme bien plus efficace et plus robuste. Le conteneur GPC et le modle GPT tant rpliqus sparment, ils peuvent ne plus tre synchrones pendant une courte priode. En gnral, lorsque cela se produit, le conteneur GPC effectue d'abord la rplication vers un contrleur de domaine. Les systmes qui ont obtenu leur liste trie des objets GPO partir de ce contrleur de domaine identifieront le nouveau conteneur GPC, tenteront de tlcharger le modle GPT et remarqueront que les numros de version ne sont pas identiques. Une erreur de traitement de stratgie est alors enregistre dans les journaux d'vnements. Lorsque l'inverse se produit et que l'objet GPO est rpliqu dans un contrleur de domaine avant le conteneur GPC, les clients qui obtiennent leur liste trie d'objets GPO partir de ce contrleur de domaine ne sont pas avertis du nouveau GPO avant la rplication du conteneur GPC.
6-34
Vous pouvez tlcharger l'Outil de vrification des stratgies de groupe, GPTool.exe, depuis le Centre de tlchargement Microsoft. Cet outil fait partie des Kits de ressources Windows. Il gnre des rapports sur l'tat des GPO du domaine et peut identifier les instances dans lesquelles, sur un contrleur de domaine, le conteneur GPC et le modle GPT ne prsentent pas la mme version. Pour plus d'informations sur l'outil GPTool.exe, tapez gpotool /? sur la ligne de commande.
6-35
Dmonstration : Paramtres de stratgie
Points cls
Les paramtres de stratgie de groupe, galement appels stratgies, sont stocks dans un GPO et affichs et modifis via la console GPME. Dans cette dmonstration, vous allez tudier plus en profondeur les catgories de paramtres disponibles dans un GPO. Configuration ordinateur et Configuration utilisateur Il existe deux grands groupes de paramtres de stratgie : les paramtres ordinateur, stocks dans le nud Configuration ordinateur, et les paramtres utilisateur, stocks dans le nud Configuration utilisateur. Le nud Configuration ordinateur contient les paramtres appliqus aux ordinateurs, quelle que soit la personne qui y ouvre une session. Les paramtres ordinateur sont appliqus au dmarrage du systme d'exploitation, puis lors de l'actualisation en arrire-plan toutes les 90 120 minutes. Le nud Configuration utilisateur contient les paramtres appliqus lorsqu'un utilisateur ouvre une session sur l'ordinateur, puis lors de l'actualisation en arrire-plan toutes les 90 120 minutes.
6-36
Les nuds Configuration ordinateur et Configuration utilisateur renferment les nuds Stratgies et Prfrences. Les stratgies sont des paramtres configurs et se comportent de la mme manire que les paramtres de stratgie des versions prcdentes de Windows. Les Prfrences sont apparues avec Windows Server 2008. Les sections suivantes examinent ces nuds. Les nuds Stratgies des nuds Configuration ordinateur et Configuration utilisateur renferment la hirarchie des dossiers contenant les paramtres de stratgie. Comme il existe des milliers de paramtres, l'tude de chacun d'eux dpasse la porte de ce cours. Il est cependant utile de dfinir les principales catgories de paramtres de ces dossiers. Nud Paramtres des logiciels Le premier de ces nuds est le nud Paramtres des logiciels, qui ne contient que l'extension Installation de logiciel. Cette extension d'installation de logiciel vous permet de spcifier comment les applications sont installes et gres au sein de votre entreprise. C'est galement cet emplacement que les diteurs de logiciels indpendants (ISP) ajoutent des paramtres. Le dploiement de logiciels par stratgie du groupe est trait au Module 7. Nud Paramtres Windows Dans les nuds Configuration ordinateur et Configuration utilisateur, le nud Stratgies contient un nud Paramtres Windows qui contient lui-mme les nuds Scripts, Paramtres de scurit et QoS base sur la stratgie. L'extension Scripts vous permet de spcifier deux types de scripts : Dmarrage/Arrt (dans le nud Configuration ordinateur) et Ouverture de session/Fermeture de session (dans le nud Configuration utilisateur). Les scripts Dmarrage/Arrt s'excutent au dmarrage ou l'arrt de l'ordinateur. Les scripts Ouverture de session/Fermeture de session s'excute lorsque l'utilisateur ouvre ou ferme une session sur l'ordinateur. Lorsque vous affectez plusieurs scripts Dmarrage/Arrt ou Ouverture de session/Fermeture de session un utilisateur ou un ordinateur, l'extension ct client Scripts excute les scripts de haut en bas. Vous pouvez dfinir l'ordre d'excution de plusieurs scripts dans la bote de dialogue Proprits. la fermeture d'un ordinateur, l'extension ct client commence par traiter les scripts de fermeture de session, puis les scripts d'arrt. Par dfaut, la valeur du dlai de traitement des scripts est de 10 minutes. Si le traitement des scripts de fermeture de session et d'arrt ncessite plus de 10 minutes, ajustez la valeur du dlai l'aide d'un paramtre de stratgie. Vous pouvez utiliser n'importe quel langage de script ActiveX pour rdiger des scripts. Microsoft Visual Basic Scripting Edition (VBScript), Microsoft JScript, Perl et les fichiers de commandes de style Microsoft MS-DOS (.bat et .cmd) sont quelques possibilits. Les scripts d'ouverture de session stocks dans un rpertoire rseau partag dans une autre fort sont pris en charge pour l'ouverture de session rseau entre les forts.
6-37
Le nud Paramtres de scurit permet l'administrateur de la scurit de configurer la scurit l'aide d'objets GPO. Cette opration peut tre effectue par la suite ou remplace par une dfinition l'aide d'un modle de scurit. Pour une prsentation dtaille de la scurit du systme et du nud Paramtres de scurit, reportez-vous au Module 7. Le nud QoS base sur la stratgie dfinit les stratgies qui grent le trafic rseau. Par exemple, vous pouvez faire en sorte que les utilisateurs du dpartement financier puissent excuter une application rseau stratgique en priorit pendant la priode de gnration des tats financiers de fin d'anne. Le nud QoS base sur la stratgie vous permet ce genre de configuration. Le dossier Paramtres Windows du nud Configuration utilisateur contient galement les nuds Services d'installation distance, Redirection de dossiers et Maintenance d'Internet Explorer. Les stratgies Services d'installation distance (RIS) contrlent le comportement d'une installation de systme d'exploitation distance. La Redirection de dossiers permet de rediriger les dossiers des donnes et paramtres utilisateur (AppData, Desktop, Documents, Images, Musique et Favoris, par exemple), stocks dans l'emplacement par dfaut du profil utilisateur, vers un autre emplacement du rseau autorisant une gestion centralise. La Maintenance d'Internet Explorer permet d'administrer et de personnaliser Microsoft Internet Explorer. Nud Modles d'administration Le nud Modles d'administration des nuds Configuration ordinateur et Configuration utilisateur contient les paramtres de stratgie de groupe du Registre. Ces paramtres existent par milliers et permettent de configurer l'environnement des utilisateurs et des ordinateurs. En tant qu'administrateur, la manipulation de ces paramtres peut vous prendre beaucoup de temps. Pour simplifier leur utilisation, une description de chaque paramtre de stratgie est disponible en deux emplacements : Dans l'onglet Expliquer de la bote de dialogue Proprits du paramtre. L'onglet Paramtres de la bote de dialogue Proprits du paramtre rpertorie en outre le systme d'exploitation ou les logiciels requis pour ce paramtre. Dans l'onglet tendu de la console GPME. L'onglet tendu s'affiche dans le coin infrieur droit du volet d'informations et fournit une description de chaque paramtre slectionn dans une colonne entre l'arborescence de la console et le volet des paramtres. Le systme d'exploitation ou les logiciels requis pour chaque paramtre est galement rpertori.
Le nud Modles d'administration fait l'objet d'une description dtaille plus loin dans ce module.
6-38
Nud Prfrences Le nud Prfrences est situ sous les nuds Configuration ordinateur et Configuration utilisateur. Nouveaut de Windows Server 2008, les prfrences fournissent plus de 20 extensions ct client et vous permettent de grer un nombre incroyable de paramtres supplmentaires, dont les suivants : Applications, telles que Microsoft Office 2003 et Office 2007 Lecteurs mapps Paramtres du Registre Options d'alimentation Options des dossiers Paramtres rgionaux Options du menu Dmarrer
Les prfrences vous permettent galement de dployer les lments suivants : Fichiers et dossiers Raccourcis Imprimantes Tches planifies Connexions rseau
Ces prfrences seront un avantage pour la plupart des entreprises car les options disponibles permettent d'activer ou de dsactiver des priphriques matriels ou des classes de priphriques. Vous pouvez par exemple utiliser les prfrences pour interdire la connexion de lecteurs USB, notamment des lecteurs multimdia personnels, aux ordinateurs. Pour configurer les prfrences, vous devez utiliser la nouvelle version de la console GPME. Cette nouvelle version fait partie des Outils d'administration de serveur distant (RSAT) qui peuvent tre installs sous Windows Server 2008, Windows Vista et les versions ultrieures. Pour appliquer les prfrences, les systmes ont besoin des extensions CSE Prfrences, incluses dans Windows Server 2008 et Windows 7. Les extensions CSE pour Windows XP, Windows Server 2003 et Windows Vista peuvent tre tlcharges depuis le Centre de tlchargement Microsoft.
6-39
L'interface qui vous permet de configurer la plupart des prfrences ressemble celle de Windows, dans laquelle vous effectueriez la modification manuellement.
La figure ci-dessus prsente l'lment de prfrence Options des dossiers (Windows XP), ensemble des paramtres traits par l'extension ct client Prfrences. La similitude avec l'application Options des dossiers du Panneau de configuration est flagrante.
1. 2. 3. Basculez vers HQDC01. Cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Modifier. Prenez le temps de dcouvrir les paramtres disponibles dans un GPO. N'apportez aucune modification.
6-40
Atelier pratique A : Implmentation de la Stratgie de groupe
Scnario
Vous tes charg de grer les modifications et la configuration de la socit Contoso, Ltd. Les stratgies de scurit informatique de cette socit spcifient que les ordinateurs ne doivent pas rester sans surveillance et connects pendant plus de 10 minutes. Vous allez par consquent configurer les paramtres de stratgie du dlai d'expiration et de la protection par mot de passe des crans de veille. Vous allez en outre verrouiller l'accs aux outils de modification du Registre.
6-41
Exercice 1 : Cration, modification et liaison d'objets GPO

Dans cet exercice, vous allez crer un GPO qui implmente un paramtre impos par la stratgie de scurit de la socit Contoso, Ltd., puis tendre ce paramtre tous les utilisateurs et ordinateurs du domaine. Vous tudierez ensuite l'effet de ce GPO. S'il vous reste du temps, vous pouvez en profiter pour tudier les paramtres disponibles dans un objet GPO. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. Prparer l'atelier pratique. Crer un objet GPO. Modifier les paramtres d'un objet GPO. Dfinir l'tendue d'un objet GPO par un lien GPO. Vrifier les effets de l'application de la stratgie de groupe. Explorer les paramtres des GPO.

1. 2. 3. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Dmarrez 6238B-DESKTOP101-A, mais n'ouvrez pas de session sur le systme.
Tche 2 : Cration d'un objet GPO

1. 2. Excutez Gestion des stratgies de groupe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Crez un Objet de stratgie de groupe nomm CONTOSO Standards dans le conteneur Objets de stratgie de groupe.
Tche 3 : Modification des paramtres d'un objet GPO

1. 2. Modifiez le GPO CONTOSO Standards. Accdez au dossier Configuration utilisateur, Stratgies, Modles d'administration, Systme.
6-42
3. 4. 5. 6. 7.
Empchez les utilisateurs d'excuter l'diteur du registre et la commande regedit /s. Accdez au dossier Configuration utilisateur, Stratgies, Modles d'administration, Panneau de configuration, Affichage. Examinez le texte explicatif du paramtre de stratgie du dlai d'expiration cran de veille. Configurez la stratgie de dlai cran de veille sur 600 secondes. Activez le paramtre de stratgie Un mot de passe protge l'cran de veille.
Tche 4 : Dfinition de l'tendue d'un objet GPO par un lien GPO

Reliez le GPO CONTOSO Standards au domaine contoso.com.
Tche 5 : Vrification des effets de l'application de la stratgie de

groupe
1. 2. 3. Ouvrez une session sur DESKTOP101 avec le compte Pat.Coleman. Tentez de modifier le dlai de l'cran de veille et la protection par mot de passe. La Stratgie de groupe vous empchera d'effectuer l'opration. Tentez d'excuter l'diteur de Registre. La Stratgie de groupe vous empchera d'effectuer l'opration.
Tche 6 : Exploration des paramtres des GPO

Dans HQDC01, modifiez le GPO CONTOSO Standards et prenez le temps d'examiner les paramtres disponibles dans un GPO. N'apportez aucune modification.
Rsultats : la fin de cet exercice, vous disposerez d'un GPO nomm CONTOSO Standards qui configure l'cran de veille protg par mot de passe et son dlai d'expiration, et qui interdit l'utilisation des outils de modification du Registre.
Remarque : n'teignez pas les ordinateurs virtuels la fin de cet atelier pratique car les paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants.
6-43

Question : Quels paramtres de stratgie votre entreprise a-t-elle dj dploys l'aide d'une Stratgie de groupe ? Question : Quels paramtres de stratgie avez-vous dcouverts et envisagez-vous d'implmenter dans votre entreprise ?
6-44
Leon 3
Examen approfondi des paramtres et des objets GPO
Les leons 1 et 2 vous ont donn des bases suffisantes pour implmenter une stratgie de groupe dans un domaine AD DS. Toutefois, pour rellement matriser la Stratgie de groupe et la grer dans une entreprise complexe et relle, vous devez connatre davantage d'informations sur les paramtres, les objets GPO et la gestion de la stratgie de groupe.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : comprendre les diffrences entre les stratgies, les prfrences et les paramtres grs et non grs ; crer le magasin central pour les modles d'administration ; documenter un objet GPO et ses paramtres de stratgie l'aide de commentaires ;
6-45
rechercher des paramtres de stratgie spcifiques dans un objet GPO ; crer un objet GPO partir d'un GPO Starter ; sauvegarder un objet GPO ; crer un objet GPO avec les paramtres d'un objet GPO sauvegard.
6-46
Stratgies de Registre du nud Modles d'administration
Points cls
Le nud Modles d'administration contient des milliers de paramtres qui vous permettent de contrler la plupart des aspects de Windows.
6-47
La bote de dialogue Proprits du paramtre de stratgie Empche l'accs aux outils de modification du Registre est prsente ci-dessous :
Si ce paramtre est activ et que l'utilisateur tente de dmarrer l'diteur du Registre, un message s'affiche et explique qu'un paramtre interdit cette action.
Remarque : pour empcher les utilisateurs d'employer d'autres outils d'administration, exploitez le paramtre Excuter uniquement les applications Windows spcifies ou le paramtre Stratgies de restriction logicielle, qui dpassent la porte de ce cours.
Les stratgies du nud Modles d'administration modifient le Registre. Les paramtres du nud Configuration ordinateur modifient les valeurs de la cl HKEY_LOCAL_MACHINE (HKLM) du Registre. Les paramtres du nud Modles d'administration du nud Configuration utilisateur modifient les valeurs de la cl HKEY_CURRENT_USER (HKCU) du Registre.
6-48
Dans le cas de ce paramtre de stratgie, la valeur de Registre suivante est modifie :

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disable RegeditMode
Si vous choisissez de restreindre l'excution silencieuse de Regedit, cette valeur est dfinie sur 2. Si vous choisissez de restreindre uniquement l'outil d'interface utilisateur diteur de Registre, la valeur est dfinie sur 1.
6-49
Paramtres grs et non grs, et prfrences
Points cls
Les paramtres de stratgie du Registre configurs par le nud Modles d'administration prsentent une nuance qu'il est important de comprendre : la diffrence entre les paramtres de stratgie grs et non grs. Un paramtre de stratgie gr prsente les caractristiques suivantes : L'interface utilisateur est verrouille de sorte que les utilisateurs ne puissent pas modifier le paramtre. Les paramtres de stratgie grs ont pour rsultat la dsactivation de l'interface utilisateur approprie. Par exemple, si vous configurez le paramtre de stratgie Dlai de l'cran de veille, l'utilisateur ne peut plus modifier ce dlai dans son interface. Les modifications sont apportes dans l'une des quatre cls du Registre rserves aux paramtres de stratgie grs : HKLM\Software\Policies (paramtres ordinateur) HKCU\Software\Policies (paramtres utilisateur)
6-50
HKLM\Software\Microsoft\Windows\Current Version\Policies (paramtres ordinateur) HKCU\Software\Microsoft\Windows\Current Version\Policies (paramtres utilisateur)
Ces cls sont scurises et seuls les administrateurs peuvent les modifier. Il en est de mme pour le verrouillage de l'interface utilisateur. Cela signifie que les utilisateurs non administrateurs recevront la modification spcifie par l'intermdiaire du paramtre de stratgie et ne pourront plus modifier ce paramtre dans leur ordinateur. Les modifications apportes par un paramtre de Stratgie de groupe, et le verrouillage de l'interface utilisateur, sont librs lorsque l'utilisateur ou l'ordinateur n'entre plus dans l'tendue du GPO. Par exemple, si vous supprimez un GPO, les paramtres de stratgie grs qui ont t appliqus un utilisateur seront librs. Gnralement, cela signifie que le paramtre reprend son tat prcdent. De plus, l'interface utilisateur est active pour le paramtre.
Les paramtres de stratgie de Registre dcrits jusqu' prsent et utiliss en pratique dans ce chapitre sont des exemples de paramtres de stratgie grs. Un paramtre de stratgie gr modifie la configuration d'une manire ou d'une autre lorsque le paramtre est appliqu par un GPO. Lorsque l'utilisateur ou l'ordinateur n'est plus dans l'tendue du GPO, la configuration est automatiquement libre. Par exemple, lorsqu'un GPO interdit l'accs aux outils de modification du Registre, puis est supprim, dsactiv ou lorsque son tendue est modifie de sorte qu'elle ne s'applique plus aux utilisateurs, ces derniers peuvent nouveau utiliser les outils de modification du Registre ds la prochaine actualisation de la stratgie, comportement par dfaut de Windows, sauf si une autre restriction a t implmente un autre niveau. l'inverse, un paramtre de stratgie non gr modifie dfinitivement le Registre. Mme si le GPO ne s'applique plus, le paramtre demeure. Il est souvent question dans ce cas de tatouage du Registre, c'est--dire d'une modification permanente. Pour inverser l'effet du paramtre de stratgie, vous devez dployer une modification qui ramne la configuration dans l'tat dsir. De plus, un paramtre de stratgie non gr ne verrouille pas l'interface utilisateur pour ce paramtre. Par dfaut, la console GPME masque les paramtres de stratgie non grs afin de vous dissuader d'implmenter une configuration qui sera difficile inverser. Les paramtres de stratgie non grs permettent toutefois d'effectuer la plupart des modifications utiles, en particulier lorsqu'il s'agit de grer la configuration des applications l'aide des modles d'administration personnaliss.
6-51
Pour contrler la visibilit des paramtres de stratgie, cliquez du bouton droit sur Modles d'administration, choisissez Options des filtres, puis une option dans la liste droulante Gr. Dans la suite de ce module, vous allez utiliser les prfrences de stratgie de groupe. Lorsqu'une modification est apporte par une prfrence, cette modification tatoue le systme. Une option, incluse dans certaines prfrences, permet toutefois de supprimer la prfrence lorsqu'elle ne s'applique plus l'utilisateur ou l'ordinateur. Ce n'est pas la mme chose qu'un paramtre de stratgie gr qui, une fois libr, reprend gnralement sa valeur d'origine. Lors de la suppression d'une prfrence, le paramtre est en fait entirement supprim.
6-52
Modles d'administration
Points cls
Pour quelle raison les nuds Modles d'administration sont-ils appels ainsi ? Parce que les paramtres contenus dans ces nuds drivent des fichiers appels modles d'administration.
6-53
Un modle d'administration est un fichier texte qui dfinit une modification de Registre apporter et qui gnre l'interface utilisateur permettant de configurer les paramtres de stratgie Modles d'administration dans la console GPME. La capture d'cran ci-aprs illustre la bote de dialogue Proprits du paramtre de stratgie Empche l'accs aux outils de modification du Registre :
L'existence de ce paramtre, et le fait qu'il fournisse une liste droulante permettant de dsactiver l'excution silencieuse de Regedit.exe, sont dtermins dans un modle d'administration. Le paramtre de Registre, cr en fonction de votre mode de configuration de la stratgie, est galement dfini dans le modle d'administration. Certains diteurs de logiciels proposent un mcanisme de gestion centralise de la configuration de leurs applications sous forme de modles d'administration. Par exemple, vous pouvez obtenir des modles d'administration pour toutes les versions rcentes de Microsoft Office depuis le Centre de tlchargement Microsoft. Vous pouvez galement crer vos propres modles d'administration personnaliss. Un didacticiel de cration de modles d'administration personnaliss dpasse l'objectif de ce cours.
6-54
Fichiers .ADM Les modles d'administration des versions de Windows antrieures Windows Vista ont une extension .ADM. Les fichiers .ADM prsentent plusieurs inconvnients. D'abord, toute la localisation doit tre effectue au sein du fichier .ADM. Cela signifie que, lorsque vous voulez crer un fichier .ADM pour dployer une configuration dans une organisation multilingue, vous devez utiliser des fichiers .ADM distincts pour chaque langue afin de fournir une interface utilisateur aux administrateurs qui parlent cette langue. Si vous dcidez ensuite d'apporter une modification lie aux paramtres de Registre grs par les modles, il vous faut alors modifier chaque fichier .ADM. Le second problme des fichiers .ADM est leur mode de stockage. Tout fichier .ADM est stock en tant que partie du Modle de stratgie de groupe (GPT) dans le rpertoire SYSVOL. Un fichier .ADM utilis dans plusieurs GPO est stock plusieurs reprises, ce qui contribue l'encombrement du rpertoire SYSVOL. Le maintien du contrle de version des fichiers .ADM prsentait galement des difficults. Pour ajouter des modles d'administration classiques la console GPME, cliquez du bouton droit sur le nud Modles d'administration et choisissez Ajouter/supprimer des modles. Fichiers .ADMX/.ADML Sous Windows Vista et Windows Server 2008, le modle d'administration est une paire de fichiers XML, l'un dot d'une extension .ADMX qui dfinit les modifications apporter au Registre, l'autre dot d'une extension .ADML qui fournit l'interface utilisateur en une langue spcifique dans la console GPME. Lorsque le modle d'administration doit modifier des paramtres grs, ces modifications peuvent tre apportes au seul fichier .ADMX. Tout administrateur qui modifie un GPO qui utilise le modle accde ce mme fichier .ADMX et appelle le fichier .ADML appropri pour alimenter l'interface utilisateur. Pour ajouter des modles d'administration .ADMX/.ADML la console GPME, copiez le fichier .ADMX dans le dossier %SystemRoot%\PolicyDefinitions de votre client ou dans le magasin central. Copiez le fichier .ADML dans le sous-dossier propre la langue et la rgion, par exemple en-us, du dossier %SystemRoot%\PolicyDefinitions de votre client ou dans le magasin central. Le magasin central est trait la rubrique suivante. Inutile de prendre parti Les modles d'administration .ADM et .ADMX/.ADML peuvent coexister. Les paramtres gnrs par les fichiers .ADM apparatront sous le nud Modles d'administration dans un nud intitul Modles d'administration classiques (ADM).
6-55
Migration des modles d'administration classiques (.ADM) vers des fichiers .ADMX L'outil de migration ADMX vous permet de convertir des fichiers ADM au format ADMX. Pour plus d'informations, voir : Outil de migration ADMX (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99466 Tlchargement de l'outil de migration ADMX (blog) (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=113124
6-56
Magasin central
Points cls
Comme nous l'avons vu prcdemment, les fichiers .ADM sont stocks au sein de l'objet GPO lui-mme, dans le modle GPT. Lorsque vous modifiez un GPO qui utilise des modles d'administration au format .ADM, l'diteur GPME charge le fichier .ADM depuis le GPT pour produire l'interface utilisateur. Lorsque les fichiers .ADMX/.ADML sont utiliss comme modles d'administration, le GPO contient uniquement les donnes dont le client a besoin pour traiter la Stratgie du groupe, et lorsque vous modifiez le GPO, le GPME extrait les fichiers .ADMX et .ADML de la station de travail locale. Cela convient parfaitement aux petites organisations, mais pour les environnements complexes comprenant des modles d'administration personnaliss ou ncessitant un contrle plus centralis, Windows Server 2008 a introduit le Magasin central. Le magasin central est un dossier du rpertoire SYSVOL contenant tous les fichiers .ADMX et .ADML requis. Ds lors qu'un Magasin central a t configur, l'diteur GPME le reconnat et charge tous les modles d'administration depuis ce magasin central et non plus depuis l'ordinateur local.
6-57
Pour crer un magasin central : 1. Crez un dossier nomm PolicyDefinitions dans le chemin \\FQDN\SYSVOL\FQDN\Policies. Par exemple, le magasin central du domaine contoso.com serait :
\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions
Si vous ouvrez une session sur un contrleur de domaine, localement ou l'aide du Bureau distance, le chemin local du dossier PolicyDefinitions est le suivant :
%SystemRoot%\SYSVOL\domaine\Policies\PolicyDefinitions
2.
Copiez tous les fichiers .ADMX du dossier %SystemRoot%\PolicyDefinitions d'un systme Windows Server 2008 vers le nouveau dossier SYSVOL PolicyDefinitions. Copiez les fichiers .ADML du sous-dossier propre la langue approprie du rpertoire %SystemRoot%\PolicyDefinitions dans le sous-dossier propre la langue du nouveau dossier SYSVOL PolicyDefinitions. Par exemple, les fichiers .ADML Anglais (tats-Unis) sont stocks dans le dossier %SystemRoot%\PolicyDefinitions\en-us. Copiez-les dans le dossier \\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\en-us.
3.
4.
Lorsque d'autres langues sont ncessaires, copiez le dossier contenant les fichiers .ADML de cette langue dans le magasin central.
Quand tous les fichiers .ADMX et .ADML ont t copis, le dossier PolicyDefinitions du contrleur de domaine doit contenir les fichiers .ADMX et un ou plusieurs dossiers qui contiennent des fichiers .ADML spcifiques chaque langue.
Remarque : vous pouvez utiliser le magasin central dans un environnement mixte, avec des clients et des serveurs fonctionnant sous des systmes d'exploitation antrieurs Windows Vista et Windows Server 2008. Toutefois, vous devez utiliser un systme d'exploitation Windows Vista, Windows Server 2008 ou ultrieur pour grer une stratgie de groupe. Cela signifie que votre poste de travail administratif doit excuter une version de Windows capable d'exploiter le magasin central. Les objets GPO que vous crez peuvent tre appliqus aux versions prcdentes de Windows.
6-58
Dmonstration : Fonctionnement des paramtres et des objets GPO
Points cls
Filtrage des paramtres des modles d'administration L'incapacit rechercher un paramtre de stratgie spcifique est un point faible des outils de modification de stratgie de groupe des versions prcdentes de Windows. Les choix disponibles comprenant des milliers de stratgies, il peut tre difficile de localiser avec prcision le paramtre configurer. Le nouvel diteur GPME de Windows Server 2008 rsout ce problme pour les paramtres Modles d'administration : vous pouvez prsent crer des filtres pour localiser des paramtres de stratgie spcifiques.
6-59
Pour crer un filtre : 1. 2. Cliquez du bouton droit sur Modles d'administration et choisissez Options de filtre. Pour localiser une stratgie spcifique, slectionnez Activer les filtres par mots cls, saisissez les mots rechercher, puis slectionnez les champs dans lesquels la recherche doit s'effectuer. La capture d'cran prsente ici illustre un exemple de recherche de paramtres de stratgie lis l'cran de veille :
6-60
La section suprieure de la bote de dialogue Options des filtres vous permet de filtrer la vue de manire afficher uniquement les paramtres de stratgie configurs. Cela peut vous aider localiser et modifier les paramtres dj spcifis dans le GPO. Vous pouvez galement filtrer des paramtres de stratgie de groupe qui s'appliquent des versions spcifiques de Windows, Internet Explorer et d'autres composants Windows. Malheureusement, le filtre ne s'applique qu'aux paramtres des nuds Modles d'administration. Commentaires Vous pouvez galement rechercher et filtrer sur la base des commentaires des paramtres de stratgie. Windows Server 2008 vous permet d'ajouter des commentaires aux paramtres de stratgie du nud Modles d'administration. Pour ce faire, double-cliquez sur un paramtre de stratgie, puis ouvrez l'onglet Commentaire. Une bonne pratique consiste ajouter des commentaires aux paramtres de stratgie configurs pour documenter la raison d'tre d'un paramtre et son objectif recherch. Ajoutez galement des commentaires au GPO lui-mme. Windows Server 2008 vous permet de joindre des commentaires un GPO : dans la console GPME, cliquez du bouton droit sur le nud racine de l'arborescence de la console, choisissez Proprits, puis ouvrez l'onglet Commentaire. Objets GPO Starter Les objets de stratgie de groupe Starter font partie des nouvelles fonctionnalits de stratgie de groupe de Windows Server 2008. Un GPO Starter contient les paramtres des modles d'administration. Vous pouvez crer un nouvel objet GPO partir d'un GPO Starter, auquel cas une copie des paramtres de ce dernier prrenseigne le nouvel objet. Un GPO Starter est en ralit un modle. Malheureusement, Microsoft utilisant dj le terme modle pour les modles d'administration, une autre appellation tait ncessaire. Lorsque vous crez un nouveau GPO, vous pouvez toujours choisir de commencer avec un GPO vide, mais vous pouvez galement slectionner l'un des GPO Starter prexistants ou un GPO Starter personnalis. Lorsqu'un GPO est cr partir d'un GPO Starter, aucun lien n'existe avec ce dernier. Les modifications apportes au GPO Starter n'affectent pas les GPO dj crs partir du GPO Starter.
6-61
Autres mthodes de copie des paramtres d'un objet GPO Les GPO Starter contiennent uniquement les paramtres de stratgie Modles d'administration. Deux autres mthodes permettent de copier les paramtres d'un GPO vers un nouveau GPO. Vous pouvez copier et coller des GPO entiers dans le conteneur Objets de stratgie de groupe de la console GPMC afin que le nouveau GPO inclue tous les paramtres du GPO source. Pour transfrer des paramtres entre des GPO de forts ou de domaines diffrent(e)s, cliquez du bouton droit sur un GPO et choisissez Sauvegarder. Dans le domaine cible, crez un nouveau GPO, cliquez du bouton droit sur son entre et choisissez Importer des paramtres. Cette opration vous permet d'importer les paramtres du GPO sauvegard.
Utilisation des Options de filtre pour localiser des stratgies dans les modles d'administration 1. 2. Basculez vers HQDC01. Excutez Gestion de stratgie du groupe avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez Forest: contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratgie de groupe. Dans le volet d'informations, cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Modifier. L'diteur de gestion des stratgies de groupe s'ouvre. 5. 6. 7. 8. Dans l'arborescence de la console, dveloppez Configuration utilisateur, Stratgies, puis cliquez sur Modles d'administration. Cliquez du bouton droit sur Modles d'administration et choisissez Options de filtre. Cochez la case Activer les filtres par mots cls. Dans la zone de texte Filtrer par le ou les mots, tapez cran de veille.
3.
4.
6-62
9.
Dans la liste droulante accole la zone de texte, slectionnez Exact, puis cliquez sur OK. Les paramtres de stratgie Modles d'administration sont alors filtrs et seuls ceux qui contiennent les mots cran de veille s'affichent.
10. Prenez le temps d'examiner les paramtres dtects. 11. Dans l'arborescence de la console, cliquez du bouton droit sur Modles d'administration sous Configuration utilisateur, et choisissez Options de filtre. 12. Dsactivez la case cocher Activer les filtres par mots cls. 13. Dans la liste droulante Configur, slectionnez Oui, puis cliquez sur OK. Les paramtres de stratgie Modles d'administration sont alors filtrs et seuls ceux qui ont t configurs (activs ou dsactivs) s'affichent. 14. Prenez le temps d'examiner ces paramtres. 15. Dans l'arborescence de la console, cliquez du bouton droit sur Modles d'administration sous Configuration utilisateur, et dsactivez l'option Filtre actif. Ajout de commentaires un paramtre de stratgie 1. Dans l'arborescence de la console, dveloppez successivement Configuration utilisateur, Stratgies, Modles d'administration, Panneau de configuration, puis cliquez sur Affichage. Double-cliquez sur le paramtre de stratgie cran de veille. Ouvrez l'onglet Commentaire. Tapez Stratgie de scurit informatique de l'entreprise implmente en combinaison avec la protection par mot de passe de l'cran de veille, puis cliquez sur OK. Double-cliquez sur le paramtre de stratgie Un mot de passe protge l'cran de veille. Ouvrez l'onglet Commentaire. Tapez Stratgie de scurit informatique de l'entreprise implmente en combinaison avec le dlai d'activation de l'cran de veille, puis cliquez sur OK.
2. 3. 4.
5. 6. 7.
6-63
Ajout de commentaires un objet GPO 1. 2. 3. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le nud racine CONTOSO Standards et choisissez Proprits. Ouvrez l'onglet Commentaire. Tapez Stratgies standardise de l'entreprise Contoso. Les paramtres sont tendus tous les utilisateurs et ordinateurs du domaine. Responsable de ce GPO : votre nom. Ce commentaire s'affiche dans l'onglet Dtails du GPO dans la console GPMC. 4. Cliquez sur OK.
Cration d'un nouvel objet GPO partir d'un GPO Starter 1. 2. 3. 4. 5. Dans l'arborescence de la console GPMC, cliquez sur le conteneur Objets de stratgie de groupe Starter. Dans le volet d'informations, cliquez sur le bouton Crer le dossier des objets GPO Starter. Dans l'arborescence de la console, cliquez du bouton droit sur le conteneur Objets de stratgie de groupe Starter et choisissez Nouveau. Dans Nom, tapez CONTOSO Starter GPO, puis cliquez sur OK. Dans le volet d'informations, cliquez du bouton droit sur CONTOSO Starter GPO et choisissez Modifier. L'diteur de gestion des stratgies de groupe s'ouvre. Vrifiez et modifiez les paramtres selon vos besoins. 6. 7. 8. Fermez l'diteur de gestion des stratgies de groupe. Dans le volet d'informations, cliquez du bouton droit sur CONTOSO Starter GPO et choisissez Nouvel objet GPO cr partir de l'objet GPO Starter. Dans Nom, tapez CONTOSO Desktop, puis cliquez sur OK.
Cration d'un nouveau GPO par copie d'un GPO existant 1. Dans l'arborescence de la console GPMC, dveloppez le conteneur Objets de stratgie de groupe, cliquez du bouton droit sur le GPO CONTOSO Desktop et choisissez Copier. Cliquez du bouton droit sur le conteneur Objets de stratgie de groupe, choisissez Coller, puis cliquez sur OK. Cliquez sur OK.
2. 3.
6-64
Cration d'un nouveau GPO par importation des paramtres exports partir d'un autre GPO 1. Dans l'arborescence de la console GPMC, dveloppez le conteneur Objets de stratgie de groupe, cliquez du bouton droit sur le GPO CONTOSO Desktop et choisissez Sauvegarder. Dans le champ Emplacement, tapez D:\Labfiles\Lab06b, , puis cliquez sur Sauvegarder. Lorsque la sauvegarde est termine, cliquez sur OK. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le conteneur Objets de stratgie de groupe et choisissez Nouveau. Dans Nom, tapez CONTOSO Import, puis cliquez sur OK. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le GPO CONTOSO Import et choisissez Importer des paramtres. L'Assistant Importation des paramtres s'affiche. 7. 8. 9. Cliquez sur Suivant trois reprises. Slectionnez le GPO CONTOSO Desktop, puis cliquez sur Suivant deux reprises. Cliquez sur Terminer, puis sur OK.
2. 3. 4. 5. 6.
6-65
Gestion des objets GPO et de leurs paramtres
Points cls
Lorsque vous cliquez du bouton droit sur un GPO dans la console GPMC, le menu qui s'affiche contient des commandes de gestion trs utiles : Copier : vous pouvez copier un GPO, puis cliquer du bouton droit sur le conteneur Objets de stratgie de groupe et choisir Coller pour crer une copie de ce GPO. Cette option est trs utile pour crer un nouveau GPO dans le mme domaine et commencer avec les paramtres d'un GPO existant. Elle est galement utile pour copier un GPO dans un autre domaine, par exemple entre un domaine de test et un domaine de production. Pour copier un GPO d'un domaine l'autre, ajoutez le domaine approuv cible la console GPMC. Vous devez dans ce cas tre autoris crer des GPO dans le domaine cible. Lorsque vous collez un GPO, vous avez la possibilit de copier la liste de contrle d'accs (ACL) du GPO source, ce qui prserve le filtrage de scurit, ou d'utiliser la liste de contrle d'accs par dfaut des nouveaux GPO dans le domaine cible.
6-66
Sauvegarder : comme pour toutes les donnes stratgiques, il est important de sauvegarder les GPO. Tout GPO tant compos de plusieurs fichiers, objets, autorisations et liens, la gestion de leur sauvegarde et de leur restauration peut s'avrer dlicate. Par chance, la commande Sauvegarder extrait l'ensemble de ces lments en un seul emplacement et simplifie l'extrme la restauration. Restaurer partir d'une sauvegarde : cette option permet de restaurer l'intgralit d'un GPO, y compris ses fichiers, ses objets, ses autorisations et ses liens, dans le mme domaine que le GPO d'origine. Importer les paramtres : cette option permet de n'importer que les paramtres d'un objet GPO sauvegard. Cette opration n'importe pas les autorisations ni les liens, ce qui se rvle utile pour transfrer des GPO entre des domaines non approuvs pour lesquels les oprations de copier/coller sont bannies. Lorsqu'un GPO comprend des paramtres potentiellement propres au domaine, notamment les chemins UNC ou les noms des groupes de scurit, le systme vous demande si vous souhaitez importer ces paramtres tels qu'ils ont t sauvegards ou si vous souhaitez utiliser une table de migration associant les noms sources et cibles. Enregistrer le rapport : cette option permet d'enregistrer un rapport HTML sur les paramtres du GPO. Supprimer Renommer
Fonctionnement des objets GPO (ventuellement en anglais) : http://go.microsoft.com/fwlink/?LinkId=168655 Sauvegarde, restauration, migration et copie d'objets GPO (ventuellement en anglais) : http://go.microsoft.com/fwlink/?LinkId=168656
6-67
Atelier pratique B : Gestion des paramtres et des objets GPO
Scnario
Vous avez rcemment t engag en tant qu'administrateur de domaine de la socit Contoso, Ltd. en remplacement de l'administrateur prcdent qui vient de prendre sa retraite. Comme vous n'tes pas certain de savoir quels paramtres de stratgie ont t configurs, vous dcidez de localiser et de documenter les GPO et les paramtres de stratgie. Vous dcouvrez galement que la socit n'a pas tir parti des fonctionnalits et des capacits de gestion des modles d'administration.
6-68
Exercice 1 : Utilisation du filtrage et des commentaires

Dans cet exercice, vous allez utiliser les nouvelles fonctionnalits de commentaire et de filtrage de la stratgie de groupe pour localiser et documenter les paramtres de stratgie. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Prparer l'atelier pratique. Rechercher et filtrer les paramtres de stratgie. Documenter les GPO et les paramtres l'aide de commentaires.

1. 2. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
Tche 2 : Recherche et filtrage des paramtres de stratgie

1. Dans le dossier Configuration utilisateur\Stratgies\Modles d'administration, filtrez la vue de manire n'afficher que les paramtres de stratgie contenant l'expression cran de veille. Prenez le temps d'examiner ces paramtres. Filtrez la vue pour afficher uniquement les paramtres de stratgie configurs. Prenez le temps d'examiner ces paramtres. Dsactivez le filtre du nud Modles d'administration.
2. 3.
6-69
Tche 3 : Documentation des GPO et des paramtres l'aide de

commentaires
1. Modifiez le commentaire du GPO CONTOSO Standards et ajoutez-lui le commentaire suivant : Stratgies standardises de l'entreprise Contoso. Les paramtres sont tendus tous les utilisateurs et ordinateurs du domaine. Responsable de ce GPO : votre nom. Ce commentaire s'affiche dans l'onglet Dtails du GPO dans la console GPMC. 2. Ajoutez le commentaire suivant au paramtre de stratgie cran de veille : Stratgie de scurit informatique de l'entreprise implmente en combinaison avec la protection par mot de passe de l'cran de veille. Ajoutez le commentaire suivant au paramtre de stratgie Un mot de passe protge l'cran de veille : Stratgie de scurit informatique de l'entreprise implmente en combinaison avec le dlai d'activation de l'cran de veille.
Rsultats : la fin de cet exercice, vous aurez ajout des commentaires votre objet de stratgie de groupe et aux paramtres.
3.
6-70
Exercice 2 : Gestion des modles d'administration

Les modles d'administration fournissent les instructions qui permettent l'diteur GPME de crer une interface utilisateur pour configurer les paramtres de stratgie Modles d'administration et spcifier les modifications du Registre devant tre apportes sur la base de ces paramtres de stratgie. Dans cet exercice, vous allez examiner et grer les modles d'administration. Vous allez galement crer un magasin central de modles d'administration afin de centraliser la gestion des modles. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. tudier la syntaxe d'un modle d'administration. Grer des modles d'administration classiques (fichiers .ADM). Grer les fichiers .ADMX et .ADML. Crer le magasin central.
Tche 1 : tude de la syntaxe d'un modle d'administration

1. Dans HQDC01, cliquez sur Start, puis sur Excuter. Tapez ensuite %SystemRoot%\PolicyDefinitions et appuyez sur ENTRE. Le dossier PolicyDefinitions s'ouvre. Ouvrez le dossier en-us ou celui de votre rgion et de votre langue. Double-cliquez sur ControlPanelDisplay.adml. Choisissez l'option Slectionner un programme dans la liste des programmes installs et cliquez sur OK. Slectionnez Bloc-notes et cliquez sur OK. Cliquez sur le menu Format et slectionnez Retour automatique la ligne. Recherchez le texte ScreenSaverIsSecure. Il s'agit de la dfinition d'une variable de chane nomme ScreenSaverIsSecure. 8. 9. Notez le texte situ entre les balises <string> et </string>. Notez le nom de la variable de la ligne suivante, ScreenSaverIsSecure_Help et le texte situ entre les balises <string> et </string>.
2. 3. 4. 5. 6. 7.
10. Fermez la fentre. 11. Accdez au dossier PolicyDefinitions.
6-71
12. Double-cliquez sur ControlPanelDisplay.admx. 13. Choisissez l'option Slectionner un programme dans la liste des programmes installs et cliquez sur OK. 14. Slectionnez Bloc-notes et cliquez sur OK. 15. Recherchez le texte ScreenSaverIsSecure. 16. Examinez le code du fichier, galement illustr ci-dessous :
<policy name="ScreenSaverIsSecure" class="User" displayName="$(string.ScreenSaverIsSecure)" explainText="$(string.ScreenSaverIsSecure_Help)" key="Software\Policies\Microsoft\Windows\Control Panel\Desktop" valueName="ScreenSaverIsSecure"> <parentCategory ref="Display" /> <supportedOn ref="windows:SUPPORTED_Win2kSP1" /> <enabledValue> <string>1</string> </enabledValue> <disabledValue> <string>0</string> </disabledValue> </policy>
17. Identifiez les parties du modle qui dfinissent les lments suivants : Le nom du paramtre de stratgie qui apparat dans la console GPME Le texte explicatif de ce paramtre de stratgie La cl et la valeur de Registre affectes par ce paramtre de stratgie Les donnes places dans le Registre si la stratgie est active Les donnes places dans le Registre si la stratgie est dsactive
18. Fermez le fichier, puis l'Explorateur Windows.
6-72
Tche 2 : Gestion des modles d'administration classiques (fichiers

.ADM)
1. Ouvrez la console GPME et, dans le dossier Configuration utilisateur\Stratgies\Modles d'administration, ajoutez le modle office12.adm depuis D:\Labfiles\Lab06b\Office 2007 Administrative Templates. Les modles d'administration classiques (fichiers .ADM files) sont avant tout destins aux entreprises qui ne grent pas la stratgie de groupe avec les systmes d'exploitation Windows Vista, Windows Server 2008 ou ultrieurs. Il est prfrable d'utiliser un ordinateur excutant la version la plus rcente de Windows pour grer une stratgie de groupe. Ainsi, vous pouvez afficher et modifier tous les paramtres de stratgie disponibles, y compris ceux qui s'appliquent aux versions prcdentes de Windows. Si l'un de vos ordinateurs fonctionne sous Windows Vista, Windows Server 2008 ou une version ultrieure, utilisez-le pour grer la stratgie de groupe, vous n'aurez ainsi pas besoin des modles d'administration classiques (fichiers .ADM files) lorsque des fichiers .ADMX/.ADML sont disponibles. Remarquez que le format du modle affecte uniquement la gestion de la stratgie de groupe. Les paramtres s'appliqueront aux versions de Windows selon les descriptions de la section Pris en charge sur ou Conditions requises des proprits du paramtre de stratgie. 2. 3. Examinez les paramtres exposs par ce modle d'administration. Supprimez le modle.
Tche 3 : Gestion des fichiers .ADMX et .ADML

Copiez tous les fichiers .ADMX et le sous-dossier en-us (ou celui correspondant votre langue et votre rgion) de D:\Labfiles\Lab06b\Office 2007 Administrative Templates vers %SystemRoot%\PolicyDefinitions. Lorsque vous collez les fichiers, le systme vous invite saisir des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Fermez, puis rouvrez la console GPME pour CONTOSO Standards. Dans l'arborescence de la console, dveloppez Configuration utilisateur\Stratgies\Modles d'administration. Notez l'ajout des dossiers de paramtres de stratgie Microsoft Office 2007.
6-73
Tche 4 : Cration du magasin central

1. dans la console GPME, slectionnez le nud Modles d'administration sous Configuration utilisateur\Stratgies, puis notez le titre affich dans les rapports du volet d'informations : Dfinitions de la stratgie (fichiers ADMX) rcupres partir de l'ordinateur local. Fermez l'diteur GPME. Copiez tous les fichiers .ADMX de %systemroot%\PolicyDefinitions vers \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions. Copiez tous les fichiers .ADML de %systemroot%\PolicyDefinitions\en-us (ou du dossier correspondant votre langue et votre rgion) vers \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions\en-us (ou vers le dossier correspondant votre langue et votre rgion). Modifiez le GPO CONTOSO Standards et, dans la console GPME, slectionnez le nud Modles d'administration sous Configuration utilisateur\Stratgies, puis notez le titre affich dans les rapports du volet d'informations : Dfinitions de stratgie (fichiers ADMX) rcupres partir du magasin central.
Rsultats : la fin de cet exercice, vous aurez cr un magasin central de modles d'administration et ajout les modles Microsoft Office 2007.
2. 3. 4.
5.
Remarque : n'arrtez pas les ordinateurs virtuels la fin de cet atelier pratique car les paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants.

Question : Dcrivez la relation entre les fichiers de modle d'administration (fichiers .ADMX et .ADML) et la console GPME. Question : quel moment une entreprise obtient un magasin central ? Quels en sont les avantages ? Question : Quels sont les avantages de la gestion d'une stratgie de groupe partir d'un client excutant la dernire version de Windows ? Les paramtres que vous grez s'appliquent-ils aux versions prcdentes de Windows ?
6-74
Leon 4
Gestion de l'tendue de la stratgie de groupe
Un objet de stratgie de groupe n'est en soi qu'une simple collection d'instructions de configuration que les extensions ct client des ordinateurs traiteront. Avant la dfinition de son tendue, le GPO ne s'applique aucun utilisateur ou ordinateur. L'tendue du GPO dtermine les extensions ct client des ordinateurs qui devront recevoir et traiter le GPO, et seuls les ordinateurs ou utilisateurs appartenant l'tendue d'un GPO appliqueront les paramtres de ce GPO. Dans cette leon, vous allez apprendre grer l'tendue d'un objet GPO. Plusieurs mcanismes permettent de dfinir l'tendue d'un GPO : Le lien du GPO vers un site, un domaine ou une unit d'organisation, et si ce lien est activ ou non L'option Appliquer d'un GPO L'option Bloquer l'hritage pour une unit d'organisation Le filtrage par groupe de scurit Le filtrage WMI
6-75
L'activation ou la dsactivation d'un nud de stratgie Le ciblage des prfrences Le traitement des stratgies en boucle
Vous devez pouvoir dfinir les utilisateurs ou les ordinateurs pour lesquels la configuration sera dploye, donc passer matre dans l'art de dfinir l'tendue des GPO. Dans cette leon, vous allez tudier chacun des mcanismes permettant de dfinir l'tendue d'un GPO et, du mme coup, matriser les concepts d'application, d'hritage et de priorit des stratgies de groupe.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : grer les liens des objets GPO ; identifier la relation entre une structure d'units d'organisation et l'application d'un objet GPO ; valuer l'hritage et la priorit des objets GPO ; comprendre les options Bloquer l'hritage et Lien appliqu ; appliquer un filtrage de scurit pour limiter l'tendue d'un objet GPO ; appliquer un filtre WMI un objet GPO ; cibler les prfrences de la stratgie de groupe ; connatre les recommandations en matire de dfinition de l'tendue de la stratgie de groupe.
6-76
Liens de GPO
Points cls
Un GPO peut tre reli un ou plusieurs sites Active Directory, domaines ou units d'organisation. Une fois qu'une stratgie est relie un site, un domaine ou une unit d'organisation, les utilisateurs ou les ordinateurs et les utilisateurs de ce conteneur sont inclus dans l'tendue du GPO, y compris les ordinateurs et utilisateurs des units d'organisation enfants. Comme vous l'avez appris la leon 1, vous pouvez relier un GPO au domaine ou une unit d'organisation. Pour relier un GPO, cliquez du bouton droit sur le domaine ou l'unit d'organisation dans l'arborescence de la console GPMC et choisissez Lier un objet de stratgie de groupe existant. Si vous n'avez pas encore cr de GPO, cliquez sur Crer un objet GPO dans ce domaine {Domaine | Unit d'organisation | Site} et le lier ici. Vous pouvez choisir les mmes commandes pour relier un GPO un site, mais par dfaut, vos sites Active Directory ne sont pas visibles dans la console GPMC. Pour afficher les sites dans la console GPMC, cliquez du bouton droit sur Sites dans l'arborescence et choisissez Afficher les sites.
6-77
Remarque : GPO lis des sites et placement du contrleur de domaine. Un GPO reli un site affecte tous les ordinateurs de ce dernier, quel que soit le domaine auquel ces ordinateurs appartiennent (tant que tous les ordinateurs appartiennent la mme fort Active Directory). Par consquent, lorsque vous reliez un GPO un site, ce GPO peut tre appliqu plusieurs domaines d'une mme fort. Les GPO relis un site sont stocks dans les contrleurs du domaine dans lequel le GPO a t cr. Pour que ces objets GPO s'appliquent correctement, ils doivent donc pouvoir accder aux contrleurs de ce domaine. Si vous implmentez des stratgies lies des sites, vous devez envisager l'application de cette stratgie lors de la planification de votre infrastructure rseau. Vous pouvez soit placer un contrleur du domaine du GPO dans le site auquel la stratgie est relie, soit vous assurer qu'une connexion de rseau tendu (WAN) permette d'accder un contrleur du domaine du GPO.
Lorsque vous reliez un GPO un site, un domaine ou une unit d'organisation, vous dfinissez l'tendue initiale de ce GPO. Slectionnez un GPO et ouvrez l'onglet tendue pour identifier les conteneurs auxquels le GPO est reli. Dans le volet d'informations de la console GPMC, les liens de GPO s'affichent dans la premire section de l'onglet tendue, illustre ici :
L'impact des liens du GPO est que le Client de stratgie de groupe va tlcharger le GPO lorsque les objets ordinateur ou utilisateur entrent dans l'tendue du lien. Le GPO n'est tlcharg que s'il est nouveau ou mis jour. Pour renforcer l'efficacit de l'actualisation de la stratgie, le Client de stratgie de groupe met le GPO en cache.
6-78
Liaison d'un GPO plusieurs units d'organisation Vous pouvez relier un mme objet GPO plusieurs sites ou units d'organisation. Il est par exemple courant d'appliquer la mme configuration aux ordinateurs de plusieurs units d'organisation. Vous pouvez dfinir cette configuration dans un seul GPO et relier ce dernier chaque unit d'organisation. Si vous changez ensuite les paramtres du GPO, les modifications s'appliquent toutes les units d'organisation auxquelles le GPO est reli. Suppression ou dsactivation d'un lien d'objet GPO Aprs avoir reli un GPO, son lien s'affiche dans la console GPMC sous le site, le domaine ou l'unit d'organisation. L'icne du lien du GPO prsente une petite flche de raccourcis. Lorsque vous cliquez du bouton droit sur le lien du GPO, un menu contextuel s'affiche, illustr ici :
Pour supprimer un lien de GPO, cliquez du bouton droit sur le lien dans l'arborescence de la console GPMC et choisissez Supprimer. La suppression d'un lien de GPO ne supprime pas le GPO lui-mme, qui reste dans son conteneur. La suppression du lien modifie l'tendue du GPO de sorte qu'il ne s'applique plus aux ordinateurs et utilisateurs du site, domaine ou unit d'organisation auquel il tait prcdemment reli. Vous pouvez galement modifier un lien de GPO en le dsactivant. Pour dsactiver un lien de GPO, cliquez du bouton droit sur le lien dans l'arborescence de la console GPMC et dsactivez l'option Lien activ. La dsactivation du lien modifie galement l'tendue du GPO de sorte qu'il ne s'applique plus aux ordinateurs et utilisateurs de ce conteneur. Comme le lien demeure, il peut facilement tre ractiv.
6-79
Hritage et priorit des objets GPO
Points cls
Un paramtre de stratgie peut tre configur dans plusieurs GPO et les GPO peuvent tre en conflit les uns avec les autres. Par exemple, un paramtre de stratgie peut tre activ dans un GPO, dsactiv dans un autre et ne pas tre configur dans un troisime. Dans ce cas, la priorit des GPO dtermine quels paramtres de stratgie le client doit appliquer. Un GPO de priorit plus leve prvaudra sur un GPO dont la priorit est moins leve. Dans la console GPMC, la priorit prend la forme d'un nombre. Plus le nombre est petit (c'est--dire proche de 1), plus la priorit est leve. Un GPO de priorit 1 sera donc prioritaire sur les autres GPO. Slectionnez le domaine ou l'unit d'organisation, puis cliquez sur l'onglet Hritage de stratgie de groupe pour afficher la priorit de chaque GPO. Lorsqu'un paramtre de stratgie est activ ou dsactiv dans un GPO de priorit plus leve, le paramtre configur prend effet. Toutefois, n'oubliez pas que ces paramtres de stratgie sont dfinis par dfaut sur Non configur. Lorsqu'un paramtre de stratgie n'est pas configur dans un GPO de priorit plus leve, le paramtre de stratgie (activ ou dsactiv) d'un GPO de priorit infrieure prend effet.
6-80
Un site, un domaine ou une unit d'organisation peut tre reli(e) plusieurs GPO. Dans ce cas, l'ordre des liens des GPO dtermine la priorit des GPO. Les GPO dont l'ordre des liens est plus lev sont prioritaires sur les GPO dont l'ordre des liens est moins lev. Lorsque vous slectionnez une unit d'organisation dans la console GPMC, l'onglet Objets de stratgie de groupe lis prsente l'ordre des liens des GPO relis cette unit d'organisation. Le comportement par dfaut d'une stratgie du groupe est que les conteneurs de niveau infrieur hritent des GPO relis un conteneur de niveau suprieur. Lorsqu'un ordinateur dmarre ou qu'un utilisateur ouvre une session, le Client de stratgie de groupe examine l'emplacement de l'objet ordinateur ou utilisateur dans Active Directory et value les GPO dont les tendues incluent cet ordinateur ou cet utilisateur. Les extensions ct client appliquent ensuite les paramtres de stratgie issus de ces GPO. Les stratgies sont appliques en squences, en commenant par les stratgies relies au site, puis par celles relies au domaine, suivi de celles relies aux units d'organisation (de l'unit d'organisation de niveau suprieur celle dans laquelle l'objet utilisateur ou ordinateur existe). Grce cette application en couche des paramtres, un GPO appliqu ultrieurement dans le processus remplace les paramtres appliqus prcdemment dans ce processus du fait de sa priorit plus leve. L'ordre d'application par dfaut des GPO est illustr ci-aprs :
6-81
Cette application squentielle des GPO cre un effet appel hritage des stratgies. Les stratgies tant hrites, le jeu rsultant de stratgies de groupe d'un utilisateur ou d'un ordinateur cumulera les effets des stratgies des sites, domaines et units d'organisation. Par dfaut, les GPO hrits ont une priorit infrieure celle des GPO relis directement au conteneur. Par exemple, vous pouvez configurer un paramtre de stratgie qui dsactive l'utilisation des outils de modification du Registre pour tous les utilisateurs du domaine en configurant le paramtre de stratgie dans un GPO reli ce domaine. Tous les utilisateurs du domaine hritent alors de ce GPO et de son paramtre de stratgie. Toutefois, comme vous prfrerez que les administrateurs puissent utiliser les outils de modification du Registre, vous pouvez relier un GPO l'unit d'organisation contenant les comptes des administrateurs et configurer le paramtre de stratgie de manire autoriser l'utilisation de ces outils. Le GPO reli l'unit d'organisation des administrateurs tant prioritaire sur le GPO hrit, les administrateurs pourront utiliser les outils de modification du Registre. La figure ci-dessous prsente l'Hritage de stratgie de groupe :
6-82
Priorit de plusieurs GPO relis Un site, un domaine ou une unit d'organisation peut tre reli(e) plusieurs GPO. Lorsqu'il existe plusieurs GPO, l'ordre de leurs liens dtermine leur priorit. Dans la figure ci-dessous, deux GPO sont relis l'unit d'organisation People :
Plus l'objet apparat en haut de la liste, avec un ordre de lien de 1, plus sa priorit est leve. Par consquent, les paramtres activs ou dsactivs dans le GPO Configuration des utilisateurs avec pouvoir seront prioritaires sur ces mmes paramtres du GPO Configuration des utilisateurs standard. Pour modifier la priorit du lien d'un GPO : 1. 2. 3. 4. Slectionnez le site, le domaine ou l'unit d'organisation dans l'arborescence de la console GPMC. Dans le volet d'informations, ouvrez l'onglet Objets de stratgie de groupe lis. Slectionnez le GPO. Servez-vous des flches Monter, Descendre, Dplacer en haut et Dplacer en bas pour modifier l'ordre des liens du GPO slectionn.
6-83
Blocage de l'hritage Un domaine ou une unit d'organisation peut tre configur(e) de manire empcher l'hritage des paramtres de stratgie. Pour bloquer l'hritage, cliquez du bouton droit sur le domaine ou l'unit d'organisation dans l'arborescence de la console GPMC et choisissez Bloquer l'hritage. L'option Bloquer l'hritage tant une proprit d'un domaine ou d'une unit d'organisation, elle bloque l'ensemble des paramtres de stratgie de groupe des GPO relis aux parents dans la hirarchie de la stratgie de groupe. Par exemple, lorsque vous bloquez l'hritage pour une unit d'organisation, l'application des GPO commence par tout GPO directement reli cette unit d'organisation : les GPO relis aux units d'organisation, au domaine ou au site de niveau suprieur ne s'appliquent pas.
6-84
Il est prfrable de n'utiliser l'option Bloquer l'hritage qu'avec parcimonie, voire pas du tout. Le blocage de l'hritage complique l'valuation de la priorit et de l'hritage des stratgies de groupe. Dans une prochaine rubrique, vous apprendrez dfinir l'tendue d'un GPO de sorte qu'elle s'applique uniquement un sousensemble d'objets ou pas du tout. Avec le filtrage par groupe de scurit, vous pouvez dfinir avec soin l'tendue d'un GPO de sorte qu'elle s'applique uniquement et d'emble aux utilisateurs et ordinateurs appropris, sans que l'option Bloquer l'hritage ne soit ncessaire. Application d'un lien d'objet GPO Un lien de GPO peut tre dfini sur Appliqu. Pour appliquer un lien de GPO, cliquez du bouton droit sur son entre dans l'arborescence de la console GPMC et choisissez Appliqu dans le menu contextuel. Lorsqu'un lien de GPO est dfini sur Appliqu, le GPO prend la priorit la plus leve. Les paramtres de stratgie de ce GPO seront prioritaires sur tous les paramtres de stratgie conflictuels des autres GPO. De plus, un lien dfini sur Appliqu est impos aux conteneurs enfants mme lorsque ces derniers sont dfinis sur Bloquer l'hritage. Grce l'option Appliqu, la stratgie est impose tous les objets de son tendue. Avec cette option, les stratgies remplacent toutes les stratgies conflictuelles et sont imposes, quelle que soit la dfinition de l'option Bloquer l'hritage. Dans la figure de la page suivante, l'option Bloquer l'hritage a t applique l'unit d'organisation Business. En consquence, le GPO D, appliqu au domaine, est bloqu et ne s'applique pas lorsqu'un utilisateur de l'unit d'organisation Employees ouvre une session sur un ordinateur de l'unit d'organisation Clients. Toutefois, le GPO Scurit (GPO S), reli au domaine avec l'option Appliqu, est impos. En fait, il s'applique en dernier dans l'ordre de traitement, et ses paramtres remplacent donc ceux des GPO B, C et E.
6-85
Lorsque vous configurez un GPO qui dfinit la configuration mandate par la scurit informatique et les stratgies d'utilisation de votre entreprise, assurez-vous que ces paramtres ne soient pas remplacs par d'autres GPO. Pour ce faire, vous pouvez dfinir le lien du GPO sur Appliqu. La figure suivante illustre ce scnario :
6-86
La configuration mandate par les stratgies de l'entreprise est dploye dans le GPO CONTOSO Corporate IT Security & Usage, reli par un lien impos au domaine Contoso.com. L'icne du lien du GPO prsente un cadenas, indicateur visuel d'un lien impos. Dans l'unit d'organisation People, l'onglet Hritage de stratgie du groupe montre que le GPO est prioritaire, y compris sur les GPO relis l'unit d'organisation People elle-mme. valuation des priorits Pour simplifier l'valuation de la priorit des GPO, il suffit de slectionner une unit d'organisation (ou un domaine) et d'ouvrir l'onglet Hritage de stratgie de groupe. Cet onglet prsente les priorits rsultantes des GPO, en tenant compte de leurs liens, de l'ordre de ces liens, du blocage de l'hritage et de l'application des liens. L'onglet ne tient pas compte des stratgies relies un site, ni du GPO Scurit ou du filtrage WMI. Conseils relatifs l'examen Veillez mmoriser l'ordre de traitement par dfaut des stratgies de domaine : site, domaine, unit d'organisation. Rappelez-vous galement que les paramtres de stratgie de domaine s'appliquent aprs et sont donc prioritaires sur les paramtres des GPO locaux. Bien qu'il soit recommand de n'utiliser les options Bloquer l'hritage et Appliquer qu'avec modration dans votre infrastructure de stratgie de groupe, l'examen 70-640 part du principe que vous comprenez les consquences de ces deux options.
6-87
Filtrage de scurit pour modifier l'tendue d'un objet GPO
Points cls
Vous savez prsent que vous pouvez relier un GPO un site, un domaine ou une unit d'organisation. Toutefois, vous souhaiterez parfois appliquer des GPO certains groupes d'utilisateurs ou d'ordinateurs uniquement, plutt qu' tous les utilisateurs ou ordinateurs entrant dans l'tendue du GPO. Bien que vous ne puissiez pas relier directement un GPO un groupe de scurit, il est possible d'appliquer des GPO des groupes de scurit spcifiques. Les stratgies d'un GPO s'appliquent uniquement aux utilisateurs qui disposent des autorisations Lecture et Appliquer la stratgie de groupe pour ce GPO. Chaque GPO possde une liste de contrle d'accs (ACL) qui dfinit ses autorisations. Deux autorisations, Lecture et Appliquer la stratgie de groupe, sont requises pour qu'un GPO s'applique un utilisateur ou un ordinateur. Lorsque l'tendue d'un GPO comprend un ordinateur, par exemple du fait de son lien vers l'unit d'organisation de l'ordinateur, mais que cet ordinateur ne dispose pas des autorisations de lecture et d'application de stratgie de groupe, il ne tlcharge pas et n'applique pas ce GPO. En consquence, la dfinition des autorisations appropries des groupes de scurit vous permet de filtrer un GPO de sorte que ces paramtres ne s'appliquent qu'aux ordinateurs et utilisateurs que vous spcifiez.
6-88
Par dfaut, les Utilisateurs authentifis obtiennent l'autorisation Appliquer la stratgie de groupe pour chaque nouveau GPO. Cela signifie que, par dfaut, tous les utilisateurs et ordinateurs sont affects par les GPO dfinis pour leur domaine, site ou unit d'organisation, quelle que soit leur appartenance d'autres groupes. Il existe donc deux moyens de filtrer l'tendue d'un GPO : Supprimez l'autorisation Appliquer la stratgie de groupe (actuellement dfinie sur Autoriser) pour le groupe Utilisateurs authentifis, mais sans dfinir cette autorisation sur Refuser. Identifiez ensuite les groupes auxquels le GPO doit s'appliquer et dfinissez les autorisations Lecture et Appliquer la stratgie de groupe sur Autoriser pour ces groupes. Identifiez les groupes auxquels le GPO ne doit pas s'appliquer et dfinissez l'autorisation Appliquer la stratgie de groupe sur Refuser pour ces groupes. Si vous refusez l'autorisation Appliquer la stratgie de groupe un GPO, l'utilisateur ou l'ordinateur ne peut pas appliquer les paramtres de ce GPO, mme s'il est membre d'un autre groupe autoris Appliquer la stratgie de groupe.
Filtrage d'un GPO imposer des groupes spcifiques Pour appliquer un GPO un groupe de scurit spcifique : 1. 2. Slectionnez le GPO dans le conteneur Objets de stratgie de groupe de l'arborescence de la console. Dans la section Filtrage de scurit, slectionnez le groupe Utilisateurs authentifis et cliquez sur Supprimer.
Remarque : utilisez des groupes de scurit globaux pour filtrer des objets GPO. Le filtrage des GPO n'est possible qu'avec les groupes de scurit globaux, pas avec les groupes de scurit locaux du domaine.
3. 4. 5.
Cliquez sur OK pour confirmer la modification. Cliquez sur Ajouter. Slectionnez le groupe auquel la stratgie doit s'appliquer, puis cliquez sur OK.
6-89
Le rsultat obtenu ressemblera la figure prsente ici : le groupe Utilisateurs authentifis n'apparat pas dans la liste et le groupe spcifique auquel la stratgie doit s'appliquer est rpertori.
Filtrage d'un GPO pour exclure des groupes spcifiques Malheureusement, l'onglet tendue d'un GPO ne vous permet pas d'exclure des groupes spcifiques. Pour exclure un groupe (c'est--dire lui refuser l'autorisation Appliquer la stratgie de groupe), vous devez utiliser l'onglet Dlgation. Pour refuser l'autorisation Appliquer la stratgie de groupe un groupe : 1. 2. 3. Slectionnez le GPO dans le conteneur Objets de stratgie de groupe de l'arborescence de la console. Ouvrez l'onglet Dlgation. Cliquez sur le bouton Avanc. La bote de dialogue Paramtres de scurit s'affiche. 4. 5. Cliquez sur le bouton Ajouter. Slectionnez le groupe que vous souhaitez exclure du GPO. N'oubliez pas qu'il doit s'agir d'un groupe global. Il n'est pas possible de filtrer l'tendue d'un GPO en fonction de groupes locaux de domaine.
6-90
6.
Cliquez sur OK. Le groupe slectionn obtient par dfaut l'autorisation de lecture.
7. 8.
Dsactivez la case cocher Autoriser la lecture. Cochez la case Refuser de l'autorisation Appliquer la stratgie du groupe. Ici, la figure prsente un exemple qui refuse au groupe Help Desk, l'autorisation Appliquer la stratgie de groupe et, par consquent, exclut ce groupe de l'tendue du GPO.
9.
Cliquez sur OK. Le systme vous rappelle que les autorisations Refuser ont toujours priorit sur les autres autorisations. Il est donc prfrable de n'utiliser les autorisations Refuser qu'avec parcimonie. Microsoft Windows vous rappelle cette recommandation par le message d'avertissement, et par le processus bien plus laborieux qui est requis pour exclure des groupes dots de l'autorisation Refuser Appliquer la stratgie de groupe que celui qui permet d'inclure des groupes dans la section Filtrage de scurit de l'onglet tendue.
10. Confirmez que vous souhaitez continuer.
6-91
Remarque : important ! Les autorisations Refuser n'apparaissent pas dans l'onglet tendue. Malheureusement, lorsque vous excluez un groupe, cette exclusion n'apparat pas dans la section Filtrage de scurit de l'onglet tendue. Encore une bonne raison de n'utiliser les autorisations Refuser qu'avec parcimonie.
6-92
Filtres WMI
Points cls
L'Infrastructure de gestion Windows (Windows Management Instrumentation, ou WMI) est une technologie d'infrastructure de gestion qui permet aux administrateurs de surveiller et de contrler les objets grs du rseau. Une requte WMI est capable de filtrer des systmes en fonction de caractristiques, notamment de la mmoire vive, de la cadence du processeur, de la capacit des disques, d'une adresse IP, de la version d'un systme d'exploitation et du niveau de Service Pack, des applications installes et des proprits d'une imprimante. Comme l'infrastructure WMI expose la quasi-totalit des objets d'un ordinateur, la liste des attributs pouvant tre utiliss dans une requte WMI est pratiquement illimite. Les requtes WMI sont rdiges en langage WQL (WMI Query Language).
6-93
Vous pouvez utiliser un requte WMI pour crer un filtre WMI, avec lequel il est possible de filtrer un GPO. Pour bien comprendre l'objectif d'un filtre WMI, en vue d'examens de certification ou d'une implmentation concrte, le mieux est d'utiliser des exemples. La stratgie de groupe peut tre utilise pour dployer des applications logicielles et des Service Packs. Cette capacit a t traite au Module 7. Vous pouvez crer un GPO pour dployer une application, puis utiliser un filtre WMI pour prciser que la stratgie ne doit s'appliquer qu'aux ordinateurs quips d'un certain systme d'exploitation et Service Pack, Windows XP SP3, par exemple. La requte WMI qui permet d'identifier de tels systmes est la suivante :
Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft Windows XP Professional" AND CSDVersion="Service Pack 3"
Lorsque le Client de stratgie de groupe value les objets GPO qu'il a tlcharg afin d'identifier ceux que les extensions ct client doivent traiter, il excute la requte sur le systme local. Si le systme rpond aux critres de la requte, le rsultat de la requte est un True logique, et les extensions ct client peuvent traiter ce GPO. L'infrastructure WMI expose les espaces de noms, qui contiennent les classes pouvant tre interroges. De nombreuses classes utiles, notamment Win32_Operating System, sont disponibles dans la classe appele root\CIMv2. Pour crer un filtre WMI : 1. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le nud Filtres WMI et choisissez Nouveau. Saisissez le nom et la description du filtre, puis cliquez sur le bouton Ajouter. 2. 3. 4. Dans le champ Espace de noms, saisissez l'espace de noms de votre requte. Entrez la requte dans le champ Requte. Cliquez sur OK.
Pour filtrer un objet GPO l'aide d'un filtre WMI : 1. 2. 3. Slectionnez le GPO ou son lien dans l'arborescence de la console. Ouvrez l'onglet tendue. Cliquez sur la liste droulante WMI et slectionnez le filtre WMI.
6-94
Un objet GPO ne peut tre filtr que par un seul filtre WMI, mais ce dernier peut tre une requte complexe, avec de nombreux critres. Un mme filtre WMI peut tre reli , donc utilis pour filtrer, un ou plusieurs GPO. L'onglet Gnral d'un filtre WMI, illustr dans la figure ci-aprs, prsente les GPO qui utilisent ce filtre WMI :
Trois remarques importantes doivent tre faites propos des filtres WMI. D'abord, la syntaxe WQL des requtes WMI peut tre difficile matriser. Vous trouverez de nombreux exemples sur Internet en recherchant les mots-cls filtre WMI et requte WMI, de mme que la description de la requte que vous souhaitez crer. Des exemples de filtres WMI sont disponibles l'adresse http://technet2.microsoft.com/windowsserver/en/library/a16cffa4-83b3-430bb826-9bf81c0d39a71033.mspx?mfr=true. Vous pouvez galement vous rfrer au kit de dveloppement logiciel (SDK) Windows Management Instrumentation (WMI), disponible l'adresse http://msdn2.microsoft.com/en-us/library/aa394582.aspx.
6-95
Ensuite, les filtres WMI sont trs gourmands en performances pour le traitement de la stratgie de groupe. Le Client de stratgie de groupe devant excuter la requte WMI chaque intervalle de traitement de stratgie, cette opration affecte les performances du systme toutes les 90 120 minutes. Du fait des performances des ordinateurs actuels, l'impact peut tre ngligeable, mais il est toujours prfrable de tester les effets d'un filtre WMI avant de le dployer dans l'environnement de production. Notez que la requte WMI n'est traite qu'une seule fois, mme lorsqu'elle est utilise pour filtrer l'tendue de plusieurs GPO. Enfin, les ordinateurs fonctionnant sous Windows 2000 n'excutent pas les filtres WMI. Lorsqu'un filtre WMI filtre un objet GPO, le systme Windows 2000 ignore ce filtre et traite le GPO comme si le rsultat du filtre tait True.
6-96
Activation ou dsactivation d'objets GPO et de nuds de GPO
Points cls
Vous pouvez empcher le traitement des paramtres des nuds Configuration ordinateur ou Configuration utilisateur lors de l'actualisation de la stratgie en modifiant l'tat de l'objet de stratgie de groupe.
6-97
Pour activer ou dsactiver les nuds d'un GPO, slectionnez le GPO ou son lien dans l'arborescence de la console, ouvrez l'onglet Dtails illustr ci-dessus, puis choisissez l'un des lments suivants dans la liste droulante tat du GPO : Activ : les paramtres de Configuration ordinateur et de Configuration utilisateur seront traits par les extensions ct client lors de l'actualisation de la stratgie. Tous les paramtres dsactivs : les extensions ct client ne traiteront pas le GPO lors de l'actualisation de la stratgie. Paramtres de Configuration ordinateur dsactivs : lors de l'actualisation de la stratgie ordinateur, les paramtres de configuration ordinateur du GPO ne seront pas appliqus. Paramtres de Configuration utilisateur dsactivs : lors de l'actualisation de la stratgie utilisateur, les paramtres de configuration utilisateur du GPO ne seront pas appliqus.
6-98
Vous pouvez configurer l'tat du GPO pour optimiser le traitement des stratgies. Lorsqu'un GPO ne contient par exemple que des paramtres utilisateur, dfinir l'option tat GPO de manire dsactiver les paramtres ordinateur empchera le Client de stratgie de groupe de tenter de traiter le GPO lors de l'actualisation de la stratgie ordinateur. Le GPO ne contenant aucun paramtre ordinateur, son traitement est inutile et quelques cycles de processeur peuvent tre conomiss.
Remarque : utilisez des GPO dsactivs en prvention des incidents. Vous pouvez dfinir une configuration ne prenant effet qu'en cas d'urgence, d'incident de scurit ou autres problmes dans un GPO, et relier le GPO de sorte que son tendue comprenne les utilisateurs et les ordinateurs appropris. Dsactivez ensuite le GPO. Ds que le dploiement de la configuration devient ncessaire, activez simplement le GPO.
6-99
Ciblage des prfrences
Points cls
Les Prfrences, nouveauts de Windows Server 2008, offrent un mcanisme d'tendue intgr appel ciblage au niveau de l'lment. Vous pouvez avoir plusieurs lments de prfrence dans un mme GPO, et chaque lment de prfrence peut tre cibl ou filtr. Par exemple, un mme GPO peut avoir une prfrence qui spcifie les options des dossiers des ingnieurs et un autre lment qui spcifie les options des dossiers des commerciaux. Vous pouvez cibler les lments l'aide d'un groupe de scurit ou d'une unit d'organisation. Plus d'une douzaine d'autres critres peuvent tre utiliss, notamment les caractristiques du matriel et du rseau, la date et l'heure, des requtes LDAP (Lightweight Directory Access Protocol), etc.
6-100
Remarque : les prfrences peuvent cibler l'intrieur d'un GPO. Parmi les nouveauts des prfrences, vous pouvez cibler plusieurs lments de prfrence au sein d'un mme GPO au lieu d'utiliser plusieurs GPO. Avec les stratgies traditionnelles, plusieurs GPO filtrant des groupes individuels taient souvent ncessaires pour appliquer les variations des paramtres.
Comme les filtres WMI, le ciblage au niveau de chaque lment des prfrences implique que l'extension ct client excute une requte afin de dterminer si les paramtres d'un lment de prfrences doivent tre appliqus. Vous devez tre conscient de l'impact potentiel du ciblage au niveau de l'lment sur les performances, en particulier si vous utilisez des options telles que des requtes LDAP, qui ncessitent un temps de traitement et une rponse d'un contrleur de domaine pour procder au traitement. Lors de la conception de votre infrastructure de stratgie de groupe, trouvez un quilibre entre les avantages de la gestion des configurations par ciblage au niveau de l'lment et l'impact sur les performances dtectes lors des tests en laboratoire.
6-101
Traitement des stratgies en boucle
Points cls
Par dfaut, les paramtres d'un utilisateur proviennent des GPO dont l'tendue comprend cet objet utilisateur dans Active Directory. Quel que soit l'ordinateur sur lequel l'utilisateur ouvre une session, le jeu de stratgies rsultant qui dtermine l'environnement de l'utilisateur est identique. Dans certains cas, toutefois, vous souhaiteriez configurer un utilisateur diffremment, selon l'ordinateur utilis. Par exemple, vous pouvez verrouiller et normaliser les postes de travail des utilisateurs lorsque ces derniers ouvrent une session sur les ordinateurs d'environnements troitement grs, tels que les salles de confrence, les zones d'accueil, les laboratoires, les salles de classe et les kiosques. Ceci est galement important pour les scnarios Infrastructure de bureau virtuel (VDI, Virtual Desktop Infrastructure), comprenant des ordinateurs virtuels distants et des services Bureau distance (Terminal Services).
6-102
Imaginons un scnario dans lequel vous souhaitez imposer une apparence standardise au poste de travail Windows de tous les ordinateurs des salles de confrence et autres zones publiques de votre bureau. Comment pouvez-vous grer cette configuration de faon centralise l'aide d'une stratgie de groupe ? Les paramtres de stratgie qui configurent l'apparence du poste de travail sont situs dans le nud Configuration utilisateur d'un GPO. De ce fait, par dfaut, les paramtres s'appliquent aux utilisateurs, quel que soit l'ordinateur sur lequel ils ouvrent une session. Le traitement par dfaut de la stratgie ne vous permet pas de dfinir l'tendue des paramtres utilisateur de sorte qu'ils s'appliquent aux ordinateurs quel que soit l'utilisateur qui s'y connecte. C'est l qu'intervient le traitement des stratgies en boucle. Le traitement des stratgies en boucle altre l'algorithme par dfaut utilis par le client de stratgie de groupe pour obtenir la liste ordonne des GPO devant s'appliquer la configuration d'un utilisateur. Au lieu d'tre dtermine par le nud Configuration utilisateur des GPO dont l'tendue comprend l'objet utilisateur, la configuration utilisateur peut tre dtermine par les stratgies du nud Configuration utilisateur des GPO dont l'tendue comprend l'objet ordinateur.
6-103
La stratgie mode de traitement en boucle du groupe d'utilisateurs, situe dans le dossier Configuration ordinateur\Stratgies\Modles d'administration\Systme \Stratgie de groupe dans la console GPME, peut tre, comme tous les paramtres de stratgie, dfinie sur Non configur, Activ ou Dsactiv.
Lorsqu'elle est active, la stratgie peut spcifier le mode Fusion ou Remplacement. Mode de remplacement : dans ce cas, la liste des GPO pour l'utilisateur (obtenue l'tape 5 du Traitement de la stratgie de groupe la section suivante) est intgralement remplace par la liste des GPO dj obtenue pour l'ordinateur au dmarrage de celui-ci ( l'tape 2). Les paramtres des stratgies Configuration utilisateur des GPO de l'ordinateur sont appliqus l'utilisateur. Ce mode de remplacement se rvle utile dans des cas tels qu'une salle de classe, o les utilisateurs doivent obtenir une configuration standardise et non la configuration applique aux utilisateurs d'un environnement moins gr.
6-104
Mode de fusion : dans ce cas, la liste des GPO obtenue pour l'ordinateur au dmarrage de celui-ci (tape 2 de la section Traitement de la stratgie de groupe ) est ajoute la liste des GPO obtenue pour l'utilisateur l'ouverture de session ( l'tape 5). La liste des GPO obtenue pour l'ordinateur tant applique ultrieurement, les paramtres des GPO de cette liste sont prioritaires lorsqu'ils entrent en conflit avec ceux de la liste de l'utilisateur. Ce mode se rvle trs utile pour appliquer d'autres paramtres aux configurations typiques des utilisateurs. Par exemple, vous pouvez autoriser un utilisateur recevoir sa configuration typique lorsqu'il ouvre une session sur un ordinateur d'une salle de confrence ou d'une zone d'accueil, mais remplacer le papier peint par une image standardise et dsactiver l'utilisation de certaines applications ou de certains priphriques.
Remarque : en gnral, l'accent n'est pas suffisamment mis sur le fait que, lorsque le traitement en boucle est combin au filtrage par groupes de scurit, l'application des paramtres utilisateur lors de l'actualisation de la stratgie utilise les informations d'identification de l'ordinateur afin d'identifier les GPO appliquer dans le cadre du traitement en boucle. Cependant, l'utilisateur connect doit galement disposer de l'autorisation Appliquer la stratgie de groupe pour que le GPO soit appliqu correctement.
6-105
Atelier pratique C : Gestion de l'tendue de la stratgie de groupe
Scnario
Vous tes administrateur du domaine contoso.com. Le GPO CONTOSO Standards, reli ce domaine, configure un paramtre de stratgie qui dfinit le dlai d'activation de l'cran de veille sur 10 minutes. Un ingnieur signale qu'une application stratgique charge d'effectuer de longs calculs se bloque lorsque l'cran de veille dmarre. Il vous demande d'empcher l'application de ce paramtre l'quipe des ingnieurs qui utilise cette application chaque jour. Il vous est galement demand de configurer les ordinateurs de la salle de confrence sur un dlai de 45 minutes, de sorte que l'cran de veille ne dmarre pas pendant une runion.
6-106
Exercice 1 : Configuration de l'tendue d'un GPO avec des liens

Dans cet exercice, vous allez modifier l'tendue de plusieurs GPO l'aide de liens de GPO, et utiliser l'hritage, la priorit et les effets des options Bloquer l'hritage et Lien appliqu. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Prparer l'atelier pratique. Crer un GPO avec un paramtre de stratgie prioritaire en cas de conflit entre paramtres. Afficher l'effet du lien Appliqu d'un GPO. Appliquer l'option Bloquer l'hritage.

1. 2. 3. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Dmarrez 6238B-DESKTOP101-A, mais n'ouvrez pas de session sur le systme.
Tche 2 : Cration d'un GPO avec un paramtre de stratgie prioritaire

en cas de conflit entre paramtres
1. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'unit d'organisation User Accounts\Employees, crez une sous-unit d'organisation nomme Engineers, puis fermez Utilisateurs et ordinateurs Active Directory. Excutez la console GPMC en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Crez un nouveau GPO reli l'unit d'organisation Engineers et nomm Engineering Application Override.
2.
3. 4.
6-107
5. 6.
Configurez le paramtre du dlai de l'cran de veille sur Dsactiv, puis fermez la console GPME. Slectionnez l'unit d'organisation Engineers et ouvrez l'onglet Hritage de stratgie de groupe. Notez que le GPO Engineering Application Override est prioritaire sur le GPO CONTOSO Standards. Le paramtre de stratgie Dlai d'activation de l'cran de veille que vous venez de configurer dans le GPO Engineering Application Override sera appliqu aprs le paramtre du GPO CONTOSO Standards. Le nouveau paramtre remplacera donc le paramtre standard et gagnera . Le dlai d'activation de l'cran de veille sera dsactiv pour les utilisateurs entrant dans l'tendue du GPO Engineering Application Override.
7.
Tche 3 : Affichage de l'effet du lien Appliqu d'un GPO

1. 2. Dans l'arborescence de la console GPMC, slectionnez l'unit d'organisation Domain Controllers et ouvrez l'onglet Hritage de stratgie de groupe. Vous remarquerez que le GPO 6238B a la priorit la plus leve. Les paramtres de ce GPO remplaceront donc tous les paramtres conflictuels des autres GPO. Le GPO Default Domain Controllers spcifie, entre autres, quels groupes sont autoriss se connecter localement aux contrleurs de domaine. Pour renforcer la scurit des contrleurs de domaine, les utilisateurs standards ne sont pas autoriss se connecter localement. Pour qu'un compte d'utilisateur sans privilge tel que Pat.Coleman puisse se connecter aux contrleurs de domaine dans le cadre de ce cours, le GPO 6238B accorde aux Utilisateurs de domaine le droit de se connecter localement un ordinateur. Le GPO 6238B tant reli au domaine, ses paramtres doivent normalement tre remplacs par ceux du GPO Default Domain Controllers. Par consquent, le lien du GPO 6238B au domaine est configur sur Appliqu. Le conflit d'affectation des droits d'utilisateur entre les deux GPO est donc remport par le GPO 6238B.
6-108
Tche 4 : Application de l'option Bloquer l'hritage

1. Dans l'arborescence de la console GPMC, slectionnez l'unit d'organisation Engineers et examinez la priorit et l'hritage des GPO dans l'onglet Hritage de stratgie de groupe. Bloquez l'hritage des GPO pour l'unit d'organisation Engineers.
2.
Question : Quels GPO continuent s'appliquer aux utilisateurs de l'unit d'organisation Engineers ? quoi ces GPO sont-ils relis ? Pourquoi ont-ils continu s'appliquer ? 3. Dsactivez l'option Bloquer l'hritage de l'unit d'organisation Engineers.
Rsultats : la fin de cet exercice, vous aurez cr un GPO nomm Engineering Application Override, et l'aurez reli l'unit d'organisation Engineers. Vous comprendrez galement l'hritage, la priorit et les effets des options Bloquer l'hritage et Lien appliqu.
6-109
Exercice 2 : Configuration de l'tendue d'un GPO par filtrage

Au bout d'un certain temps, vous dcouvrez que seul un petit nombre d'ingnieurs a besoin que le dlai d'activation de l'cran de veille remplace le dlai actuellement appliqu tous les utilisateurs de l'unit d'organisation Engineers. Vous dcouvrez en outre qu'un petit nombre d'utilisateurs doit tre dispens de la stratgie de dlai d'activation de l'cran de veille et des autres paramtres configurs par le GPO CONTOSO Standards. Pour grer l'tendue des GPO, vous dcidez d'utiliser le filtrage de scurit. Dans cet exercice, vous allez modifier l'tendue des GPO l'aide du filtrage. Les tches principales de cet exercice sont les suivantes : 1. 2. Configurer l'application des stratgies avec le filtrage de scurit. Configurer une exemption par le filtrage de scurit.
Tche 1 : Configuration de l'application des stratgies avec le filtrage

de scurit
1. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'unit d'organisation Groups\Configuration, crez un groupe de scurit global nomm GPO_Engineering Application Override_Apply. Dans l'arborescence de la console GPMC, slectionnez le GPO Engineering Application Override. Remarquez que, dans la section Filtrage de scurit, le GPO s'applique par dfaut tous les utilisateurs authentifis. Configurez le GPO de sorte qu'il ne s'applique qu'au groupe GPO_Engineering Application Override_Apply.
2. 3.
4.
6-110
Tche 2 : Configuration d'une exemption par le filtrage de scurit

1. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'unit d'organisation Groups\Configuration, crez un groupe de scurit global nomm GPO_CONTOSO Standards_Exempt. Dans la console GPMC, slectionnez le GPO CONTOSO Standards. Remarquez que, dans la section Filtrage de scurit, le GPO s'applique par dfaut tous les utilisateurs authentifis. Configurez le GPO de manire refuser l'autorisation Appliquer la stratgie de groupe au groupe GPO_CONTOSO Standards_Exempt.
Rsultats : la fin de cet exercice, vous aurez configur le GPO Engineering Application Override de sorte qu'il ne s'applique qu'aux membres du GPO_Engineering Application Override_Apply. Vous aurez galement configur un groupe avec l'autorisation Refuser Appliquer la stratgie de groupe, qui remplace l'autorisation Autoriser. Lorsqu'un utilisateur doit tre exempt des stratgies du GPO CONTOSO Standards, il vous suffit d'ajouter son ordinateur au groupe GPO_CONTOSO Standards_Exempt.
2. 3.
4.
6-111
Exercice 3 : Configuration du traitement en boucle

Il vous a t demand de configurer le dlai d'activation de l'cran de veille des salles de confrence sur 45 minutes afin que l'cran de veille ne s'affiche pas au milieu d'une runion. Dans cet exercice, vous allez configurer le traitement en boucle des GPO. La tche principale de cet exercice est la suivante : Configurer le traitement en boucle.
Tche 1 : Configuration du traitement en boucle

1. 2. 3. Crez un nouvel objet GPO nomm Conference Room Policies et reliez-le l'unit d'organisation Kiosks\Conference Rooms. Vrifiez que l'tendue du GPO Conference Room Policies est dfinie sur Utilisateurs authentifis. Modifiez la stratgie Dlai d'activation de l'cran de veille de sorte que l'cran de veille dmarre aprs 45 minutes d'inactivit. Modifiez le paramtre de stratgie Mode de traitement en boucle de la stratgie de groupe utilisateur pour qu'il utilise le mode Fusion.
Rsultats : la fin de cet exercice, vous aurez cr un GPO Conference Room Policies appliquant aux utilisateurs un dlai d'activation de l'cran de veille de 45 minutes lorsqu'ils ouvrent une session sur les ordinateurs de la salle de confrence.
Remarque : n'arrtez pas les ordinateurs virtuels la fin de cet atelier pratique car les paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants.
6-112

Question : Nombre d'organisations s'appuient largement sur le filtrage des groupes de scurit pour dfinir l'tendue des GPO, au lieu de relier les GPO des units d'organisation spcifiques. Dans ces organisations, les GPO sont gnralement relis trs en amont dans la structure logique d'Active Directory : au domaine lui-mme ou une unit d'organisation de premier niveau. Quels sont les avantages de l'utilisation du filtrage des groupes de scurit par rapport la dfinition des liens de GPO pour grer l'tendue d'un GPO ? Question : Pour quelle raison la cration d'un groupe d'exemptions (groupe auquel l'autorisation Appliquer la stratgie de groupe est refuse) peut-elle se rvler utile pour chaque GPO cr ? Question : Utilisez-vous le traitement en boucle dans votre organisation ? Dans quels cas et pour quels paramtres de stratgie le traitement en boucle offre-t-il un avantage ?
6-113
Leon 5
Traitement de la stratgie de groupe
Vous connaissez prsent les concepts, les composants et l'tendue des stratgies de groupe. Vous tes donc prts examiner le traitement de la stratgie de groupe de manire plus dtaille.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : Comprendre, amliorer et dclencher manuellement l'actualisation d'une stratgie de groupe Implmenter le traitement des stratgies en boucle
6-114
Examen approfondi du traitement de la stratgie de groupe
Points cls
Cette rubrique dcrit le traitement de la stratgie de groupe en dtail. Pendant votre lecture, n'oubliez pas que la stratgie de groupe consiste appliquer les configurations dfinies par les GPO, que les GPO s'appliquent dans un certain ordre (site, domaine et unit d'organisation) et que les GPO appliqus ultrieurement sont prioritaires ; leurs paramtres, lorsqu'ils sont appliqus, remplacent les paramtres appliqus auparavant. La squence suivante dtaille le processus qui dtermine quels paramtres d'un GPO bas sur un domaine sont appliqus pour affecter un ordinateur ou un utilisateur : 1. L'ordinateur dmarre, de mme que le rseau. Les services RPCSS (Remote Procedure Call System Service) et MUP (Multiple Universal Naming Convention Provider) dmarrent. Le Client de stratgie de groupe dmarre.
6-115
2.
Le Client de stratgie de groupe obtient la liste ordonne des GPO dont l'tendue comprend l'ordinateur. L'ordre de la liste dtermine l'ordre de traitement des GPO : c'est--dire, par dfaut, les GPO locaux, les GPO de site, les GPO de domaine et les GPO d'unit d'organisation : GPO locaux : chaque ordinateur excutant Windows Server 2003, Windows XP et Windows 2000 a exactement un GPO stock localement. Windows Vista et Windows Server 2008 ont plusieurs GPO locaux. La priorit des GPO locaux est dtaille la section GPO locaux de la leon 2. GPO de site : tous les GPO relis au site sont ensuite ajouts la liste ordonne. Lorsque plusieurs GPO sont relis un site (ou un domaine ou une unit d'organisation), l'ordre des liens, configur dans l'onglet tendue, dtermine l'ordre dans lequel ils sont ajouts la liste. Le GPO qui apparat en premier dans la liste, avec un nombre proche de 1, prsente la priorit la plus leve et est ajout la liste en dernier. Il est de ce fait appliqu en dernier et ses paramtres remplacent ceux des GPO dj appliqus. GPO de domaine : plusieurs GPO relis au domaine sont ajouts selon l'ordre des liens spcifi.
Remarque : les domaines enfants n'hritent pas des stratgies relies au domaine. Les domaines enfants n'hritent pas des stratgies de leur domaine parent. Chaque domaine conserve des liens de stratgie distincts. Toutefois, les ordinateurs appartenant plusieurs domaines peuvent appartenir l'tendue d'un GPO reli un site.
GPO d'unit d'organisation : les GPO relis l'unit d'organisation la plus leve dans la hirarchie Active Directory sont ajouts la liste ordonne, suivis des GPO relis l'unit d'organisation enfant, etc. Pour finir, les GPO relis l'unit d'organisation qui contient l'ordinateur sont ajouts. Lorsque plusieurs stratgies de groupe sont relies une unit d'organisation, elles sont ajoutes dans l'ordre spcifi par l'ordre des liens.
6-116
GPO appliqus : les GPO appliqus sont ajouts la fin de la liste ordonne, de sorte que leurs paramtres soient appliqus la fin du processus et remplacent de ce fait les paramtres des GPO antrieurs dans la liste et dans le processus. Dtail sans importance, les GPO appliqus sont ajouts la liste en ordre inverse : unit d'organisation, domaine, puis site. Cet ordre se rvle appropri lorsque vous appliquez des stratgies de scurit d'entreprise dans un GPO appliqu et reli au domaine. Ce GPO est alors plac la fin de la liste ordonne et est appliqu en dernier. Ses paramtres seront donc prioritaires.
3.
Les GPO sont traits de faon synchrone dans l'ordre spcifi par la liste ordonne. Cela signifie que les paramtres des GPO locaux sont traits en premier, suivis des GPO relis au site, au domaine et aux units d'organisation contenant l'utilisateur ou l'ordinateur. Les GPO relis l'unit d'organisation dont est directement membre l'ordinateur ou l'utilisateur sont traits en dernier, suivis des GPO appliqus. Lors du traitement de chaque GPO, le systme dtermine si ses paramtres doivent tre appliqus en fonction de l'tat du GPO dans le nud ordinateur (activ ou dsactiv) et si l'autorisation Appliquer la stratgie de groupe est autorise pour l'ordinateur. Lorsqu'un filtre WMI est appliqu au GPO et que l'ordinateur excute Windows XP ou une version ultrieure, le systme excute la requte WQL spcifie dans le filtre.
4.
Si le GPO doit tre appliqu au systme, les extensions ct client dclenchent le traitement des paramtres du GPO. Les paramtres de stratgie des GPO remplacent alors les stratgies des GPO dj appliqus de la manire suivante : Lorsqu'un paramtre de stratgie est configur (dfini sur Activ ou sur Dsactiv) dans un GPO reli un conteneur parent (unit d'organisation, domaine ou site), et que ce mme paramtre de stratgie est dfini sur Non configur dans les GPO relis son conteneur enfant, le jeu de stratgies rsultant pour les utilisateurs et ordinateurs du conteneur enfant comprendra le paramtre de stratgie du conteneur parent. Si l'option Bloquer l'hritage est configure pour le conteneur enfant, le paramtre parent n'est pas hrit sauf si l'option Lien appliqu est configure pour le lien du GPO. Lorsqu'un paramtre de stratgie est configur (dfini sur Activ ou sur Dsactiv) pour un conteneur parent, et que ce mme paramtre de stratgie est configur pour un conteneur enfant, le paramtre de ce dernier remplace le paramtre hrit du conteneur parent. Si l'option Lien appliqu est configure pour le lien du GPO parent, le paramtre du conteneur parent est prioritaire.
6-117
Lorsqu'un paramtre de stratgie de GPO relis aux conteneurs parents est dfini sur Non configur, de mme que le paramtre de l'unit d'organisation enfant, le paramtre de stratgie rsultant est le paramtre issu du traitement des GPO locaux. Si le paramtre rsultant des GPO locaux est galement dfini sur Non configur, la configuration rsultante est le paramtre par dfaut de Windows.
5.
Lorsque l'utilisateur ouvre une session, le mme processus recommence pour les paramtres utilisateur. Le client obtient la liste ordonne des GPO dont l'tendue comprend l'utilisateur, examine chaque GPO de faon synchrone, puis transmet les GPO qui doivent s'appliquer aux extensions ct client appropries en vue de leur traitement. Cette tape est modifie si le traitement en boucle de la stratgie de groupe utilisateur est activ. Le traitement de stratgie en boucle est trait la rubrique suivante.
Remarque : certains paramtres de stratgie apparaissent la fois dans les nuds Configuration ordinateur et Configuration utilisateur. La plupart des paramtres de stratgie sont spcifiques soit au nud Configuration utilisateur, soit au nud Configuration ordinateur. Les deux nuds contiennent quelques paramtres. Bien que, dans la plupart des cas, le paramtre du nud Configuration ordinateur remplace celui du nud Configuration utilisateur, il est important de lire le texte explicatif qui accompagne chaque paramtre de stratgie pour bien comprendre son effet et son application.
6.
Aprs dmarrage de l'ordinateur, l'actualisation de la stratgie ordinateur survient toutes les 90 120 minutes, suivie de l'actualisation de la stratgie ordinateur. Le processus se rpte ensuite pour les paramtres ordinateur. Aprs ouverture de session de l'utilisateur, l'actualisation de la stratgie utilisateur survient toutes les 90 120 minutes. Le processus se rpte ensuite pour les paramtres utilisateur.
7.
6-118
Liaisons lentes et systmes dconnects
Points cls
L'installation de logiciels est l'une des tches que la stratgie de groupe permet d'automatiser et de grer. Au Module 7, vous avez dcouvert l'Installation des logiciels par stratgie de groupe (GPSI), fournie par l'extension ct client Installation logicielle. Vous pouvez configurer un objet GPO pour installer un ou plusieurs packages logiciels. Imaginons toutefois qu'un utilisateur se connecte votre rseau par une connexion bas dbit. Dans ce cas, vous prfrerez que les packages logiciels volumineux ne soient pas transfrs par cette liaison du fait des problmes de performances. Le Client de stratgie de groupe rsout ce problme en dtectant le dbit de la connexion au domaine et en dterminant si la connexion doit tre considre comme une liaison lente. Chaque extension ct client dcide ensuite d'appliquer ou non les paramtres en fonction de cette valuation. L'extension logicielle, par exemple, est configure pour renoncer au traitement de la stratgie et pour ne pas installer le logiciel lorsqu'une liaison lente est dtecte. Par dfaut, une connexion est considre comme lente lorsqu'elle est infrieure 500 kilobits par seconde (Kbits/s).
6-119
Lorsqu'un utilisateur travaille en tant dconnect du rseau, les paramtres prcdemment appliqus par la stratgie du groupe sont toujours en vigueur. L'exprience de l'utilisateur est donc identique, qu'il soit ou non connect au rseau. Cette rgle prsente des exceptions et, notamment, les scripts de dmarrage, d'ouverture de session, de fermeture de session et d'arrt ne s'excutent pas si l'utilisateur est dconnect. Lorsqu'un utilisateur distant se connecte au rseau, le client de stratgie de groupe se rveille et dtermine si une fentre d'actualisation de la stratgie de groupe a t ignore. Dans l'affirmative, il excute l'actualisation pour obtenir les derniers GPO du domaine. De nouveau, les extensions ct client dterminent, en fonction de leurs paramtres de traitement des stratgies, si les paramtres de ces GPO s'appliquent. Cette opration ne concerne pas les systmes Windows XP ou Windows Server 2003, mais uniquement les systmes d'exploitation Windows Vista, Windows Server 2008 et ultrieurs.
Fonctionnement de la stratgie de groupe de base (ventuellement en anglais) : http://go.microsoft.com/fwlink/?LinkId=168658
6-120
Entre en vigueur des paramtres
Points cls
L'objectif est de comprendre les paramtres GPO suivants : La rplication des GPO doit survenir. Avant qu'un GPO n'entre en vigueur, le conteneur Stratgie de groupe (GPC) d'Active Directory doit tre rpliqu dans le contrleur de domaine partir duquel le client de stratgie de groupe rcupre sa liste ordonne de GPO. De plus, le modle de stratgie de groupe (GPT) du dossier SYSVOL doit tre rpliqu dans le mme contrleur de domaine. Les modifications de groupe doivent tre intgres. Enfin, si vous avez ajout un nouveau groupe, ou modifi l'appartenance d'un groupe utilis pour filtrer le GPO, cette modification doit galement tre rplique et se retrouver dans le jeton de scurit de l'ordinateur et de l'utilisateur. Ceci ncessite un redmarrage (pour que l'ordinateur actualise son appartenance aux groupes) ou une fermeture et une ouverture de session (pour que l'utilisateur actualise son appartenance aux groupes).
6-121
L'actualisation de la stratgie des groupes utilisateur ou ordinateur doit se produire. Comme vous le savez, une actualisation se produit au dmarrage (pour les paramtres ordinateur) et l'ouverture de session (pour les paramtres utilisateur) puis, par dfaut, toutes les 90 120 minutes ensuite.
Remarque : en moyenne, le dlai est de 45 60 minutes. N'oubliez pas qu'en pratique, lorsque vous modifiez votre environnement, l'impact de l'intervalle d'actualisation de la stratgie de groupe correspond en moyenne la moiti de ce dlai, soit 45 60 minutes, avant que la modification ne commence prendre effet.
Par dfaut, les clients Windows XP, Windows Vista et Windows 7 n'effectuent que des actualisations en arrire-plan au dmarrage et l'ouverture de session. Ceci signifie qu'un client peut dmarrer et un utilisateur ouvrir une session sans recevoir les dernires stratgies du domaine. Il est donc fortement recommand de modifier ce comportement par dfaut afin que les modifications de stratgie soient implmentes de manire prvisible et gre. Activez le paramtre de stratgie Toujours attendre le rseau lors du dmarrage de l'ordinateur et de l'ouverture de session pour tous les clients Windows. Le paramtre est stock dans Configuration ordinateur\Stratgies\Modles d'administration\Systme\Ouverture de session. Assurez-vous de lire le texte explicatif de ce paramtre de stratgie. Notez que ce paramtre n'affecte pas le dlai de dmarrage ou d'ouverture de session des ordinateurs non connects un rseau. Lorsque l'ordinateur s'aperoit qu'il n'est pas connect, il continue simplement sans littralement attendre le rseau. Le domaine contoso.com utilis dans ce cours a t prconfigur avec ce paramtre supplmentaire de stratgie de groupe. Les paramtres peuvent ne pas prendre effet immdiatement. Bien que la plupart des paramtres soient appliqus lors d'une actualisation en arrire-plan, certaines extensions ct client n'appliquent pas le paramtre avant le prochain dmarrage ou l'ouverture de session suivante. Les nouvelles stratgies de script de dmarrage et d'ouverture de session, par exemple, ne sont pas excutes avant la prochaine ouverture de session ou le dmarrage suivant de l'ordinateur. L'installation d'un logiciel, traite au Module 7, se produit au prochain dmarrage si le logiciel est affect dans les paramtres ordinateur. Les modifications apportes aux stratgies de redirection des dossiers n'entrent en vigueur qu' la prochaine ouverture de session.
6-122
Actualisation manuelle de la stratgie de groupe via GPUpdate Lorsque vous testez une stratgie de groupe ou lorsque vous tentez de rsoudre un problme de traitement de stratgie de groupe, vous pouvez tre amen dclencher manuellement son actualisation plutt que d'attendre la prochaine actualisation en arrire-plan. La commande GPUpdate permet dans ce cas de dclencher une actualisation de la stratgie de groupe. Utilise de faon autonome, la commande GPUpdate dclenche le mme traitement qu'une actualisation de stratgie de groupe en arrire-plan. Les stratgies ordinateur et utilisateur sont actualises. Servez-vous du paramtre /target:computer ou /target:user pour limiter l'actualisation aux paramtres ordinateur ou utilisateur, respectivement. Par dfaut, lors d'une actualisation en arrire-plan, les paramtres ne sont appliqus que si le GPO a t mis jour. Le commutateur /force oblige le systme rappliquer tous les paramtres de tous les GPO dont l'tendue comprend l'utilisateur ou l'ordinateur. Certains paramtres de stratgie requirent une fermeture de session ou un redmarrage avant d'entrer en vigueur. Les commutateurs /logoff et /boot de la commande GPUpdate imposent une fermeture de session ou un redmarrage, respectivement, lorsque les paramtres appliqus le demande. Ainsi, la commande entranant une actualisation totale, l'application et (le cas chant) le redmarrage et l'ouverture de session pour appliquer les paramtres de stratgie mis jour est la suivante :
gpupdate /force /logoff /boot
Sous Windows 2000, la commande Secedit.exe permettait d'actualiser la stratgie. Cette commande peut donc tre mentionne dans l'examen. La plupart des extensions ct client ne rappliquent pas les paramtres si le GPO n'a pas chang. N'oubliez pas que la plupart des extensions ct client n'appliquent les paramtres d'un GPO que si ce dernier a chang. Cela signifie que, si l'utilisateur peut modifier un paramtre dfini l'origine par la stratgie de groupe, ce paramtre ne reprendra pas la valeur dfinie par le GPO avant que ce dernier ne soit modifi. Par chance, la plupart des paramtres de stratgie ne peuvent pas tre modifis par un utilisateur sans privilge. Toutefois, si l'utilisateur est administrateur de son ordinateur, ou si le paramtre de stratgie affecte une section du Registre ou du systme que l'utilisateur est autoris modifier, cela peut poser un vrai problme. Vous avez la possibilit de demander chaque extension ct client de rappliquer les paramtres des GPO, mme lorsqu'ils n'ont pas t modifis. Le comportement du traitement de chaque extension ct client peut tre configur dans les paramtres de stratgie stockes dans le dossier Configuration ordinateur\Modles d'administration\Systme\Stratgie de groupe.
6-123
Leon 6
Rsolution des problmes lis l'application des stratgies
L'application d'une stratgie de groupe peut tre difficile analyser et comprendre lorsque plusieurs paramtres de plusieurs GPO interagissent et utilisent diverses mthodes. Vous devez donc tre suffisamment quip pour valuer avec efficacit et rsoudre les problmes d'implmentation de votre stratgie de groupe, identifier les problmes potentiels avant qu'ils ne se produisent et rsoudre les difficults imprvues. Microsoft Windows fournit deux outils indispensables pour prendre en charge les stratgies de groupe : le Jeu de stratgies rsultant (RSOP) et les Journaux oprationnels de stratgie de groupe. Dans cette leon, vous allez tudier l'utilisation de ces outils pour la rsolution proactive et ractive des problmes et la prise en charge des scnarios.
6-124
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : analyser le jeu d'objets GPO et les paramtres de stratgie qui ont t appliqus un utilisateur ou un ordinateur ; modliser de faon proactive l'impact des modifications de stratgie de groupe ou d'Active Directory sur le Jeu de stratgies rsultant ; localiser les journaux contenant les vnements lis la Stratgie de groupe.
6-125
Jeu de stratgies rsultant
Points cls
Dans la leon 4, vous avez appris qu'un utilisateur ou un ordinateur peut appartenir l'tendue de plusieurs GPO. L'hritage des stratgies, les filtres et les exceptions sont complexes et il est souvent difficile de savoir quels paramtres de stratgie vont s'appliquer. Le Jeu de stratgies rsultant (RSoP) correspond aux consquences directes des GPO appliqus un utilisateur ou un ordinateur, en tenant compte des liens des GPO, des exceptions dues aux options Bloquer l'hritage et Lien appliqu et de l'application des filtres de scurit et WMI.
6-126
RSoP est galement un ensemble d'outils qui vous permettent d'valuer, de modliser et de rsoudre les problmes relatifs l'application des paramtres de la stratgie de groupe. RSoP peut interroger un ordinateur local ou distant et gnrer un rapport sur les paramtres prcis appliqus l'ordinateur et tout utilisateur ayant ouvert une session sur cet ordinateur. RSoP peut galement modliser les paramtres de stratgie qui doivent tre appliqus un utilisateur ou un ordinateur selon divers scnarios, notamment en cas de dplacement de l'objet entre des units d'organisation ou des sites ou en cas de modification de l'appartenance de l'objet des groupes. Grce ces capacits, RSoP vous permet de grer et de rsoudre les problmes de stratgies conflictuelles. Pour les analyses RSoP, Windows Server 2008 fournit les outils suivants : Assistant Rsultats de stratgie de groupe Assistant Modlisation de stratgie de groupe GPResult.exe
6-127
Gnration des rapports RSoP
Points cls
Pour vous aider valuer l'effet cumul des GPO et des paramtres de stratgie sur un utilisateur ou un ordinateur de votre organisation, la console GPMC propose l'Assistant Rsultats de stratgie de groupe. Lorsque vous souhaitez comprendre avec prcision quels paramtres de stratgie ont t appliqus un utilisateur ou un ordinateur et pourquoi, l'Assistant Rsultats de stratgie de groupe est l'outil appropri. L'Assistant Rsultats de stratgie de groupe est capable d'accder au fournisseur WMI d'un ordinateur local ou distant excutant Windows Vista, Windows XP, Windows Server 2003 ou Windows Server 2008. Le fournisseur WMI gnre un rapport sur tous les lments qu'il est ncessaire de connatre pour comprendre la faon dont une stratgie de groupe a t applique au systme. Il sait quel moment le traitement a t effectu, quels GPO ont t appliqus, quels GPO ne l'ont pas t et pourquoi, les erreurs qui ont t rencontres et les paramtres de stratgie prcis ayant priorit et leur GPO source.
6-128
L'excution de l'Assistant Rsultats de stratgie de groupe prsente plusieurs conditions pralables : Vous devez disposer d'informations d'identification d'administrateur sur l'ordinateur cible. L'ordinateur cible doit excuter Windows XP ou une version ultrieure. L'Assistant Rsultats de stratgie de groupe ne peut pas accder aux systmes Windows 2000. Vous devez pouvoir accder l'infrastructure WMI de l'ordinateur cible. Cela signifie que cet ordinateur doit tre allum, connect au rseau et accessible via les ports 135 et 445.
Remarque : activez l'administration distance des ordinateurs clients. L'excution d'une analyse RSoP via l'Assistant Rsultats de stratgie de groupe n'est qu'un exemple d'administration distance. Pour profiter de l'administration distance, il vous faudra peut-tre configurer des rgles entrantes pour le pare-feu utilis par vos clients et serveurs.
Le service WMI doit tre dmarr dans l'ordinateur cible. Pour analyser RSoP pour un utilisateur, ce dernier doit avoir ouvert une session au moins une fois sur l'ordinateur. Il n'est pas ncessaire que l'utilisateur soit actuellement connect.
Lorsque vous avez vrifi que les conditions requises sont satisfaites, vous pouvez excuter une analyse RSoP. Pour gnrer un rapport RSoP, cliquez du bouton droit sur Rsultats de la stratgie de groupe dans l'arborescence de la console GPMC et choisissez Assistant Rsultats de la stratgie de groupe. L'Assistant vous demande de slectionner un ordinateur. Il se connecte ensuite au fournisseur WMI de cet ordinateur et fournit la liste des utilisateurs qui y ont ouvert une session. Vous pouvez alors slectionner l'un des utilisateurs ou choisir d'ignorer l'analyse RSoP des stratgies de configuration utilisateur. L'Assistant fournit un rapport RSoP dtaill au format HTML dynamique. Si la Configuration de scurit renforce d'Internet Explorer est dfinie, le systme vous invite autoriser la console afficher le contenu dynamique. Pour dvelopper ou rduire chaque section du rapport, cliquez sur le lien Afficher ou Masquer ou double-cliquez sur le titre de la section.
6-129
Le rapport est affich dans trois onglets : Rsum : l'onglet Rsum prsente l'tat du traitement de la stratgie de groupe lors de la dernire actualisation. Vous pouvez identifier les informations runies sur le systme, les GPO appliqus et refuss, l'appartenance un groupe de scurit susceptible d'avoir affect les GPO filtrs par des groupes de scurit, les filtres WMI qui ont t analyss et l'tat des extensions ct client. Paramtres : l'onglet Paramtres prsente le jeu rsultant de paramtres de stratgie appliqus l'ordinateur ou l'utilisateur. Cet onglet vous montre avec prcision quelles ont t les consquences de l'implmentation de votre stratgie de groupe pour l'utilisateur. Cet onglet permet d'obtenir une grande quantit d'informations, mais certaines donnes ne sont pas indiques, par exemple les paramtres de stratgie IPSec, sans fil et de quotas de disque. vnements de stratgie : l'onglet vnements de stratgie prsente les vnements de stratgie de groupe issus des journaux d'vnements de l'ordinateur cible.
Aprs avoir gnr un rapport RSoP via l'Assistant Rsultats de stratgie de groupe, vous pouvez cliquer du bouton droit sur ce rapport pour rexcuter la requte, imprimer le rapport ou l'enregistrer sous forme de fichier XML ou HTML qui conserve les sections dynamiques dveloppes et rduites. Les deux types de fichiers pouvant tre ouverts dans Internet Explorer, le rapport RSoP peut tre consult hors de la console GPMC. Si vous cliquez du bouton droit sur le nud du rapport lui-mme, sous le dossier Rsultats de stratgie de groupe de l'arborescence de la console, vous pouvez passer en Affichage avanc. En Affichage avanc, RSoP s'affiche dans le composant logiciel enfichable RSoP, qui prsente tous les paramtres appliqus, y compris les stratgies IPSec, sans fil et de quotas de disque. Gnration de rapports RSoP avec GPResult.exe La commande GPResult.exe est la version en ligne de commande de l'Assistant Rsultats de stratgie de groupe. GPResult accde au mme fournisseur WMI que l'Assistant, produit les mmes informations et, en fait, permet de crer les mmes rapports graphiques. GPResult s'excute sous Windows Vista, Windows XP, Windows Server 2003 et Windows Server 2008. Windows 2000 comprend une commande GPResult.exe qui produit un rapport limit du traitement des stratgies de groupe, sans tre aussi sophistique que la commande incluse dans les versions ultrieures de Windows.
6-130
Lorsque vous excutez la commande GPResult, vous pouvez utiliser les options suivantes :
/s nomOrdinateur
Cette option spcifie le nom ou l'adresse IP d'un systme distant. Si vous utilisez un point (.) comme nom d'ordinateur, ou si vous n'incluez pas l'option /s, l'analyse RSoP s'excute dans l'ordinateur local.
/scope [utilisateur | ordinateur]
Cette commande affiche l'analyse RSoP des paramtres utilisateur ou ordinateur. Si vous omettez l'option /scope, l'analyse RSoP inclut les paramtres utilisateur et ordinateur.
/user nomUtilisateur
Cette option spcifie le nom de l'utilisateur dont les donnes RSoP doivent s'afficher.
/r
Cette option prsente un rcapitulatif des donnes RSoP.

/v
Cette option affiche des donnes RSoP dtailles, donc les informations les plus significatives.
/z
Cette option affiche des donnes hyper dtailles, notamment les dtails de tous les paramtres de stratgie appliqus au systme. Elle donne souvent plus d'informations que ce dont vous avez besoin pour une rsolution de problme de stratgie de groupe typique.
/u domaine\utilisateur /p mot de passe
Cette option fournit les informations d'identification stockes dans le groupe Administrateurs d'un systme distant. Sans ces informations d'identification, GPResult s'excute avec les informations d'identification avec lesquelles vous avez ouvert la session.
6-131
[/x | /h] nomFichier
Cette option enregistre les rapports au format XML ou HTML, respectivement. Elles sont disponibles sous Windows Vista SP1 et versions ultrieures et Windows Server 2008 et versions ultrieures. Rsolution de problmes de stratgie de groupe avec l'Assistant Rsultats de stratgie de groupe et la commande GPResult.exe En tant qu'administrateur, il est probable que vous rencontriez des scnarios ncessitant un dpannage des stratgies de groupe. Vous serez alors amen diagnostiquer et rsoudre certains problmes, notamment : Certains GPO ne sont pas appliqus du tout. Le jeu rsultant des stratgies d'un ordinateur ou d'un utilisateur n'est pas ce qui tait attendu.
L'Assistant Rsultats de stratgie de groupe et la commande GPResult.exe vous donneront souvent les informations les plus pertinentes sur les problmes de traitement et d'application de la stratgie de groupe. N'oubliez pas que ces outils examinent le fournisseur RSoP WMI pour gnrer un rapport prcis sur ce qui s'est produit dans un systme. L'examen du rapport RSoP vous permettra souvent d'identifier les GPO dont l'tendue n'a pas t dfinie correctement ou les erreurs de traitement de stratgie ayant empch l'application des paramtres des GPO.
6-132
Analyses bases sur des hypothses par l'Assistant Modlisation de stratgie de groupe
Points cls
Si vous dplacez un ordinateur ou un utilisateur entre des sites, des domaines ou des units d'organisation, ou si vous modifiez son appartenance des groupes de scurit, les GPO dont l'tendue comprend cet utilisateur ou cet ordinateur seront modifis et, de ce fait, le RSoP de l'ordinateur ou de l'utilisateur sera diffrent. Le RSoP changera galement en cas de liaison lente ou de traitement en boucle ou en cas de modification d'une caractristique du systme cibl par un filtre WMI. Avant de pouvoir apporter de telles modifications, vous devez valuer leur impact potentiel sur le RSoP de l'utilisateur ou de l'ordinateur. L'Assistant Rsultats de stratgie de groupe ne peut effectuer une analyse RSoP que sur ce qui s'est rellement produit. Pour anticiper et effectuer des analyses bases sur des hypothses, vous pouvez utiliser l'Assistant Modlisation de stratgie de groupe. Pour excuter une Modlisation de stratgie de groupe, cliquez du bouton droit sur le nud Modlisation de stratgie de groupe dans l'arborescence de la console GPMC, choisissez Assistant Modlisation de stratgie de groupe et suivez les instructions de l'Assistant.
6-133
La modlisation tant effectue via une simulation dans un contrleur de domaine, vous tes d'abord invit slectionner un contrleur de domaine fonctionnant sous Windows Server 2003 ou une version ultrieure. Vous n'avez pas besoin d'tre connect localement ce contrleur de domaine, mais la demande de modlisation sera excute sur ce dernier. Vous tes donc invit dfinir les paramtres de la simulation : Slectionnez l'objet utilisateur ou ordinateur valuer, ou spcifiez l'unit d'organisation, le site ou le domaine valuer. Indiquez si le traitement des liaisons lentes doit tre simul. Spcifiez une simulation de traitement en boucle et, dans ce cas, choisissez le mode de remplacement ou de fusion. Slectionnez le site simuler. Slectionnez les groupes de scurit de l'utilisateur et de l'ordinateur. Choisissez les filtres WMI appliquer dans le cadre de la simulation du traitement des stratgies de l'utilisateur et de l'ordinateur.
Lorsque vous avez dfini les paramtres de la simulation, le rapport produit est trs proche de celui des Rsultats de stratgie de groupe prsent prcdemment. L'onglet Rsum prsente les GPO qui seront traits et l'onglet Paramtres dtaille les paramtres de stratgie qui seront appliqus l'utilisateur ou l'ordinateur. Ce rapport peut lui aussi tre enregistr en cliquant du bouton droit sur son entre et en choisissant Enregistrer le rapport.
6-134
Examen des journaux d'vnements de stratgie
Points cls
Windows Vista et Windows Server 2008 amliorent votre capacit rsoudre les problmes lis aux stratgies de groupe grce aux outils RSoP, mais galement grce la journalisation amliore des vnements de la stratgie de groupe. Dans le journal Systme, vous trouverez des informations gnrales sur la stratgie de groupe, y compris les erreurs cres par le client de stratgie de groupe lorsqu'il ne peut pas se connecter un contrleur de domaine ou localiser des GPO. Le journal Application collecte les vnements enregistrs par les extensions ct client. Un nouveau journal, appel Journal oprationnel de la stratgie de groupe, donne des informations dtailles sur le traitement de la stratgie de groupe.
6-135
Pour localiser les journaux de la stratgie de groupe, ouvrez le composant logiciel enfichable ou la console Observateur d'vnements. Les journaux Systme et Application sont placs dans le nud Journaux Windows. Le Journal oprationnel de la stratgie de groupe est disponible dans le dossier Journaux des applications et des services\Microsoft\Windows\GroupPolicy\Operational.
6-136
Atelier pratique D : Rsolution des problmes lis l'application des stratgies
Scnario
Vous tes charg d'administrer et de rsoudre les problmes lis l'infrastructure de stratgie de groupe de la socit Contoso, Ltd. Vous souhaitez valuer le jeu de stratgies rsultant des utilisateurs de votre environnement afin de vrifier le bon fonctionnement de l'infrastructure de stratgie de groupe et vous assurer que toutes les stratgies sont imposes comme prvu.
6-137
Exercice 1 : Excution d'une analyse RSoP

Dans cet exercice, vous allez valuer le jeu rsultant de stratgies l'aide de l'Assistant Rsultats de stratgie de groupe et de la commande GPResults. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Prparer l'atelier pratique. Actualiser la stratgie de groupe. Crer un rapport RSoP sur les rsultats de la stratgie de groupe. Analyser RSoP avec la commande GPResults.

Les ordinateurs virtuels devraient dj avoir t dmarrs et tre disponibles aprs les Ateliers pratiques A, B et C. Toutefois, si ce n'est pas le cas, suivez la procdure ci-dessous, puis effectuez les exercices des Ateliers pratiques A, B et C avant de continuer. 1. 2. 3. 4. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Dmarrez 6238B-DESKTOP101-A. Ouvrez une session sur DESKTOP101 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
Tche 2 : Actualisation de la Stratgie de groupe

1. 2. Excutez une invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Excutez la commande gpupdate /force. Lorsque la commande est termine, prenez note de l'heure actuelle du systme, vous en aurez besoin pour l'une des prochaines tches de cet atelier. Redmarrez DESKTOP101 et attendez qu'il ait redmarr avant de passer l'tape suivante.
3.
6-138
Tche 3 : Cration d'un rapport RSoP sur les rsultats de la stratgie de

groupe
1. Dans HQDC01, excutez la console Gestion des stratgies de groupe en tant qu'administrateur, avec le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Utilisez l'Assistant Rsultats de stratgie de groupe pour gnrer un rapport RSoP pour Pat.Coleman sur DESKTOP101. Examinez les rsultats du Rsum de la Stratgie de groupe. Pour les configurations utilisateur et ordinateur, identifiez l'heure de la dernire actualisation de stratgie et la liste des GPO autoriss et refuss. Identifiez les composants qui ont t utiliss pour traiter les paramtres de stratgie. Ouvrez l'onglet Paramtres. Examinez les paramtres qui ont t imposs lors de l'application des stratgies utilisateur et ordinateur, et identifiez le GPO d'o proviennent les paramtres obtenus. Ouvrez l'onglet vnements de stratgie et localisez l'vnement correspondant la journalisation de l'actualisation de la stratgie que vous avez dclenche par la commande GPUpdate lors de la Tche 1. Ouvrez l'onglet Rsum, puis cliquez du bouton droit dans la page et choisissez Enregistrer le rapport. Enregistrez le rapport sous forme de fichier HTML dans le lecteur D en lui donnant le nom de votre choix. Ouvrez ensuite le rapport RSoP depuis le lecteur D.
2. 3.
4.
5.
6.
Tche 4 : Analyse RSoP avec la commande GPResults

1. 2. 3. Ouvrez une session sur DESKTOP101 avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Excutez l'invite de commande avec des informations d'identification d'administrateur. Tapez gpresult /r et appuyez sur ENTRE. Les rsultats du rsum RSoP s'affichent. Les informations sont trs semblables celles de l'onglet Rsum du rapport RSoP produit par l'Assistant Rsultats de stratgie de groupe. 4. Tapez gpresult /v et appuyez sur ENTRE. Le rapport RSoP produit est plus dtaill. Remarquez que ce rapport prsente la plupart des paramtres de stratgie de groupe appliqus par le client.
6-139
5.
Tapez gpresult /z et appuyez sur ENTRE. Le rapport RSoP produit est encore plus dtaill.
6.
Tapez gpresult /h:"%userprofile%\Desktop\RSOP.html" et appuyez sur ENTRE. Un rapport RSoP est enregistr sous forme de fichier HTML sur votre Bureau.
7. 8.
Ouvrez le rapport RSoP enregistr sur votre Bureau. Comparez le rapport, ses informations et sa mise en page et le rapport RSoP que vous avez enregistr lors de la tche prcdente.
Rsultats : la fin de cet exercice, vous aurez appris obtenir un jeu rsultant de stratgies de deux manires, l'aide d'un assistant et partir de la ligne de commande.
6-140
Exercice 2 : Utilisation de l'Assistant Modlisation de stratgie de groupe

Avant de dployer le GPO Conference Room Policies en production, vous souhaitez valuer son impact sur les utilisateurs qui ouvriront une session sur les ordinateurs de la salle de confrence. Dans cet exercice, vous allez utiliser l'Assistant Modlisation de stratgie de groupe pour modliser le jeu rsultant de stratgies appliques un utilisateur, Mike Danseglio, s'il avait ouvert une session sur un ordinateur de la salle de confrence, DESKTOP101. La tche principale de cet exercice est la suivante : Modlisation des rsultats de la stratgie de groupe
Tche 1 : Modlisation des rsultats de la stratgie de groupe

1. 2. 3. Basculez vers HQDC01. Dans l'arborescence de la console Gestion de stratgie de groupe, dveloppez Fort: contoso.com, puis cliquez sur Modlisation de stratgie de groupe. Cliquez du bouton droit sur Modlisation de stratgie du groupe et choisissez Assistant Modlisation de stratgie de groupe. L'Assistant Modlisation de stratgie de groupe s'affiche. 4. 5. 6. Cliquez sur Suivant. Dans la page Slection du contrleur de domaine, cliquez sur Suivant. Dans la section Informations sur l'utilisateur de la page Slection d'ordinateurs et d'utilisateurs, cliquez sur le bouton d'option Utilisateur, puis sur Parcourir. La bote de dialogue Slectionner un utilisateur s'affiche. 7. 8. Tapez Mike.Danseglio, puis appuyez sur ENTRE. Dans la section Informations sur l'ordinateur, cliquez sur le bouton d'option Ordinateur, puis sur Parcourir. La bote de dialogue Slectionner un ordinateur s'affiche. 9. Tapez DESKTOP101 et appuyez sur ENTRE.
10. Cliquez sur Suivant.
6-141
11. Dans la page Options de simulation avances, cochez la case Traitement en boucle, puis cliquez sur Fusion. Bien que le GPO Conference Room Polices spcifie le traitement en boucle, vous devez demander l'Assistant Modlisation de stratgie de groupe de tenir compte du traitement en boucle dans sa simulation. 12. Cliquez sur Suivant. 13. Dans la page Autres chemins d'accs Active Directory, cliquez sur le bouton Parcourir accol Emplacement de l'ordinateur. La bote de dialogue Choisir un conteneur d'ordinateur s'affiche. 14. Dveloppez contoso.com et Kiosks, puis cliquez sur Conference Rooms. Vous simulez ainsi l'impact de DESKTOP101 en tant qu'ordinateur de la salle de confrence. 15. Cliquez sur OK. 16. Cliquez sur Suivant. 17. Dans la page Groupe de scurit utilisateur, cliquez sur Suivant. 18. Dans la page Groupe de scurit ordinateur, cliquez sur Suivant. 19. Dans Filtres WMI pour Utilisateurs, cliquez sur Suivant. 20. Dans la page Filtres WMI pour Ordinateurs, cliquez sur Suivant. 21. Vrifiez vos paramtres dans la page Aperu des slections, puis cliquez sur Suivant. 22. Cliquez sur Terminer. 23. Dans l'onglet Rsum, localisez et dveloppez ventuellement Configuration utilisateur, Objets de stratgie de groupe et Objets GPO appliqus. 24. Le GPO Conference Room Policies s'appliquera-t-il Mike Danseglio en tant que stratgie utilisateur lorsqu'il ouvrira une session sur DESKTOP101 si ce dernier est dans l'unit d'organisation Conference Rooms ? Si ce n'est pas le cas, vrifiez l'tendue du GPO Conference Room Policies. Ce dernier doit tre reli l'unit d'organisation Conference Rooms avec un filtrage de groupe de scurit appliquant le GPO l'identit spciale Utilisateurs authentifis. Pour rexcuter la requte, vous pouvez cliquer du bouton droit sur la requte de modlisation. Si le GPO ne s'applique toujours pas, tentez de supprimer, puis de recrer le rapport Group Policy Modeling en faisant bien attention de suivre chaque tape avec prcision.
6-142
25. Ouvrez l'onglet Paramtres. 26. Localisez et, au besoin, dveloppez Configuration utilisateur, Stratgies, Modles d'administration et Panneau de configuration/Affichage. 27. Vrifiez que le dlai d'activation de l'cran de veille est dfini sur 2 700 secondes (45 minutes), paramtre configur par le GPO Conference Room Policies qui remplace le paramtre standard de 10 minutes configur par le GPO CONTOSO Standards.
Rsultats : la fin de cet exercice, vous aurez utilis l'Assistant Modlisation de stratgie de groupe pour confirmer que le GPO Conference Room Policies applique en fait ses paramtres aux utilisateurs qui ouvrent une session sur les ordinateurs de la salle de confrence.
6-143
Exercice 3 : Affichage des vnements de stratgie

Lorsqu'un client actualise une stratgie, les composants de la stratgie de groupe enregistrent des entres dans les journaux d'vnements Windows. Dans cet exercice, vous allez localiser et examiner les vnements lis aux stratgies de groupe. La tche principale de cet exercice est la suivante : Afficher les vnements de stratgie.
Tche 1 : Affichage des vnements de stratgie

1. Dans DESKTOP101, o vous avez ouvert une session en tant que Pat.Coleman_Admin, excutez l'Observateur d'vnements en tant qu'administrateur. Localisez et vrifiez les vnements de Stratgie de groupe dans le journal Systme. Localisez et vrifiez les vnements de Stratgie de groupe dans le journal Application. Dans le Journal oprationnel de la stratgie de groupe, localisez le premier vnement li l'actualisation de la Stratgie de groupe que vous avez dclenche l'Exercice 1, avec la commande GPUpdate. Vrifiez cet vnement et les suivants.
Rsultats : la fin de cet exercice, vous aurez identifi les vnements de stratgie de groupe dans les journaux d'vnements.
2. 3. 4.

Question : Dans quelles circonstances avez-vous dj utilis des rapports RSoP pour rsoudre des problmes d'application de stratgie de groupe dans votre organisation ?
6-144
Question : Dans quels cas avez-vous utilis, ou pouvez-vous envisager d'utiliser, la modlisation de stratgie de groupe ? Question : Avez-vous dj diagnostiqu un problme d'application de stratgie de groupe sur la base des vnements de l'un des journaux d'vnements ?
Gestion de la configuration et de la scurit de l'entreprise avec les paramtres de stratgie de groupe
7-1
Module 7
Table des matires :
Leon 1 : Dlgation du support technique des ordinateurs Atelier pratique A : Dlgation du support technique des ordinateurs Leon 2 : Gestion des paramtres de scurit Atelier pratique B : Gestion des paramtres de scurit Leon 3 : Gestion de logiciels avec GPSI Atelier pratique C : Gestion de logiciels avec GPSI Leon 4 : Audit Atelier pratique D : Audit de l'accs aux systmes de fichiers 7-4 7-16 7-20 7-49 7-62 7-81 7-87 7-100
7-2
La stratgie de groupe permet de grer la configuration d'une grande varit de composants et de fonctions de Windows. Le module prcdent explique comment configurer une infrastructure de stratgie de groupe. Dans ce module, nous allons voir comment appliquer cette infrastructure pour grer diffrents types de configuration lis la scurit et l'installation de logiciels. Il indique galement quels outils utiliser, par exemple l'Assistant Configuration de la scurit, qui aide dterminer les paramtres configurer en fonction des rles d'un serveur. Il explique galement comment configurer l'audit des fichiers et des dossiers.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : dlguer le support technique des ordinateurs ; modifier ou activer les membres des groupes l'aide des stratgies de groupes restreints ; modifier les membres de groupes l'aide des prfrences de stratgie de groupe ;
7-3
configurer les paramtres de scurit l'aide de la stratgie de scurit locale ; crer et appliquer des modles de scurit pour grer une configuration de scurit ; analyser une configuration de scurit base sur des modles de scurit ; crer, modifier et appliquer des stratgies de scurit l'aide de l'Assistant Configuration de la scurit ; dployer la configuration de la scurit l'aide d'une stratgie de groupe ; dployer des logiciels l'aide de GPSI ; supprimer les logiciels installs initialement avec GPSI.
7-4
Leon 1
Dlgation du support technique des ordinateurs
Dans de nombreuses entreprises, le support technique (ou services d'assistance aux utilisateurs) est assur par une ou plusieurs personnes. Le personnel du support technique effectue diffrentes tches sur les ordinateurs client, notamment du dpannage et de la configuration, qui en gnral ncessitent des droits d'accs administrateur. Par consquent, le personnel du support technique doit appartenir au groupe local Administrateurs des ordinateurs client, mais il n'a pas besoin des droits d'accs haut niveau accords au groupe Admins du domaine. Il n'est donc pas recommand de l'inclure ce groupe. Il est prfrable de configurer les systmes client de faon ajouter au groupe local d'administrateurs un groupe spcifique au personnel du support technique. Cela est possible avec les stratgies de Groupes restreints. Cette leon explique comment ajouter le personnel du support technique au groupe local des administrateurs des ordinateurs client, et ainsi de dlguer le support technique de ces ordinateurs ce personnel. Cette mthode permet galement de dlguer l'administration d'un groupe d'ordinateurs l'quipe responsable de ces systmes.
7-5
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : dlguer l'administration des ordinateurs ; modifier ou activer les membres des groupes l'aide des stratgies de groupes restreints ; modifier les membres de groupes l'aide des prfrences de stratgie de groupe.
7-6
Fonctionnement des stratgies de groupes restreints
Points cls
Lorsque vous modifiez un objet de stratgie de groupe (ou objet GPO) et dveloppez le nud Configuration ordinateur, le nud Stratgies, le nud Paramtres Windows et le nud Paramtres de scurit, vous accdez au nud Groupes restreints, qui est reprsent sur la capture d'cran ci-dessous.
7-7
La stratgie de Groupes restreints permet de grer les membres des groupes. Les paramtres disponibles sont de deux types : Ce groupe est membre de (paramtre Membre de) et Membres de ce groupe (paramtre Membres).
Il est essentiel de connatre la diffrence entre ces deux paramtres. Un paramtre de type Membre de indique que le groupe dfini par la stratgie est membre d'un autre groupe. La partie gauche de la capture d'cran ci-dessus reprsente un exemple courant : le groupe CONTOSO\Help Desk est membre du groupe Administrateurs. Lorsque ce paramtre de stratgie est appliqu un ordinateur, le groupe Help Desk du domaine devient membre du groupe local Administrateurs. Si plusieurs objets GPO sont associs des stratgies de groupes restreints, chaque stratgie Membre de est applique. Par exemple, si un objet GPO li l'unit d'organisation Client Computers indique que CONTOSO\Help Desk est membre du groupe Administrateurs, et un autre objet GPO li l'unit d'organisation SEA (une sous-unit de l'unit d'organisation Client Computers) indique que CONTOSO\SEA Support est membre du groupe Administrateurs, alors un ordinateur appartenant l'unit d'organisation SEA va ajouter les groupes Help Desk et SEA Support son groupe Administrateurs, en plus des membres dj inclus ce groupe, tels que Admins du domaine. Cet exemple est reprsent sur la capture d'cran ci-dessous.
7-8
Comme vous pouvez le voir, les stratgies de groupes restreints qui utilisent le paramtre Membre de sont cumulatives. Le second type de paramtre de stratgie de groupes restreints est Membre , qui dfinit tous les membres du groupe dfini par la stratgie. La bote de dialogue situe droite ci-dessus en est un exemple : La liste des membres du groupe Administrateurs est dfinie par CONTOSO\Help Desk. Lorsqu'un ordinateur applique ce paramtre de stratgie, le groupe local Administrateurs contient uniquement les membres CONTOSO\Help Desk. Tout membre non dfini dans la stratgie est retir, y compris Admins du domaine. Le paramtre Membres est la stratgie prioritaire : il dfinit la liste dfinitive des membres. Si plusieurs objets GPO sont associs une stratgie de groupes restreints, l'objet GPO qui l'emporte est celui qui a la priorit la plus haute. Par exemple, si un objet GPO li l'unit d'organisation Client Computers indique que le groupe Administrateurs est constitu de CONTOSO\Help Desk, et un autre objet GPO li l'unit SEA indique que le groupe Administrateurs est constitu de CONTOSO\SEA Support, les ordinateurs de l'unit SEA vont contenir uniquement le groupe SEA Support dans le groupe Administrateurs. Cet exemple est reprsent sur la capture d'cran ci-dessous.
7-9
Si vous utilisez les stratgies de groupes restreints Membres et Membre de , le paramtre de stratgie Membres prcdent dfinit les membres de base du groupe, puis les stratgies cumulatives "Membres de" compltent cette base. Dans votre entreprise, veillez dfinir et tester minutieusement les stratgies de groupes restreints afin d'obtenir les rsultats souhaits.
7-10
Dmonstration : Dlgation de l'administration l'aide de stratgies de groupes restreints
Points cls
Vous pouvez utiliser les stratgies de groupes restreints avec le paramtre Membre de pour dlguer les privilges d'administration des ordinateurs en procdant de la manire suivante :
1. 2. Dmarrez 6238B-HQDC01-A et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Sur HQDC01, cliquez sur Dmarrer > Outils d'administration et excutez Gestion des stratgies de groupe avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez Forest:contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratgie de groupe.
3.
7-11
4. 5. 6.
Cliquez avec le bouton droit sur le conteneur Objets de stratgie de groupe, puis cliquez sur Nouveau. Dans la zone Nom, entrez Corporate Help Desk, puis cliquez sur OK. Dans le volet d'informations, cliquez avec le bouton droit sur Corporate Help Desk, puis cliquez sur Modifier. L'diteur de gestion des stratgies de groupe s'ouvre.
7.
Dans diteur de gestion des stratgies de groupe, accdez Configuration ordinateur\Stratgies\Paramtres Windows\Paramtres de scurit\Groupes restreints. Cliquez avec le bouton droit sur Groupes restreints et slectionnez Ajouter un groupe. Cliquez sur le bouton Parcourir, puis dans la bote de dialogue Slectionner des groupes, entrez le nom du groupe que vous souhaitez ajouter au groupe Administrateurs (par exemple CONTOSO\Help Desk) et cliquez sur OK.
8. 9.
10. Cliquez sur OK pour fermer la bote de dialogue Ajouter un groupe. La bote de dialogue Proprits s'affiche. 11. Cliquez sur le bouton Ajouter situ ct de la section Ce groupe est membre de. 12. Entrez Administrators et cliquez sur OK. Un exemple de bote de dialogue Proprits de paramtre de stratgie de groupe est reprsent ci-dessus gauche. 13. Cliquez nouveau sur OK pour fermer la bote de dialogue Proprits. Si l'appartenance au groupe local d'administrateurs est dlgue de cette faon, le groupe indiqu l'tape 9 est ajout ce groupe. Mais cela ne supprime aucun membre du groupe Administrators. Le paramtre de stratgie de groupe indique simplement au client de vrifier que ce groupe est membre du groupe local d'administrateurs. Cela permet d'inclure d'autres utilisateurs ou groupes au groupe local d'administrateurs d'un systme particulier. Ce paramtre de stratgie de groupe est galement cumulatif. Si plusieurs objets GPO configurent diffrentes entits de scurit de faon les inclure au groupe local d'administrateurs, elles sont toutes ajoutes ce groupe.
7-12
Pour garder le contrle total sur le groupe local d'administrateurs, procdez comme suit :
1. Dans diteur de gestion des stratgies de groupe, accdez Configuration ordinateur\Paramtres Windows\Paramtres de scurit\Groupes restreints. Cliquez avec le bouton droit sur Groupes restreints et slectionnez Ajouter un groupe. Entrez Administrators et cliquez sur OK. La bote de dialogue Proprits s'affiche. 4. 5. Cliquez sur le bouton Ajouter situ ct de la section Membres de ce groupe. Cliquez sur le bouton Parcourir, puis entrez le nom de l'unique groupe que vous souhaitez inclure au groupe Administrators (par exemple CONTOSO\Help Desk) et cliquez sur OK. Cliquez nouveau sur OK pour fermer la bote de dialogue Ajouter un membre. Un exemple de bote de dialogue Proprits de paramtre de stratgie de groupe est reprsent ci-dessus gauche. 7. Cliquez nouveau sur OK pour fermer la bote de dialogue Proprits.
2. 3.
6.
Lorsque vous utilisez le paramtre Membres d'une stratgie de groupes restreints, la liste des Membres dfinit les membres dfinitifs du groupe indiqu. Les tapes indiques permettent d'obtenir un objet GPO qui contrle totalement le groupe Administrators. Lorsqu'un ordinateur applique cet objet GPO, il ajoute les membres dfinis par l'objet GPO et retire les membres non dfinis par l'objet GPO, y compris Admins du domaine. Seul le compte local Administrateur n'est pas retir du groupe Administrators, car ce membre est permanent et ne peut pas tre supprim.
7-13
Dfinition des membres de groupes l'aide des prfrences de stratgie de groupe
Points cls
Les prfrences de stratgie de groupe permettent galement de dfinir les membres de groupes.
7-14
Les prfrences Groupe local sont accessibles dans Configuration ordinateur et Configuration utilisateur. Les paramtres de prfrences Groupe local sont reprsents ci-dessous.
Les trois options relatives l'utilisateur en cours sont disponibles uniquement dans les prfrences Groupe local de la Configuration utilisateur. Vous pouvez crer, supprimer, remplacer ou modifier (mettre jour) un groupe local. Comme le montre la capture d'cran prcdente, vous pouvez renommer le groupe, modifier sa description, ou changer les membres du groupe. Les prfrences Groupe local ne permettent pas de supprimer des membres d'un groupe si ces membres ont t ajouts un groupe avec un paramtre de stratgie de groupes restreints. De plus, si un paramtre de stratgie de groupes restreints utilise la mthode Membres pour dfinir les membres qui font autorit, il n'est pas possible d'ajouter ou de supprimer des membres dans les prfrences.
7-15
Les interactions entre les paramtres de stratgie de groupes restreints Membres , les paramtres de stratgie de groupes restreints Membre de , les prfrences Groupe local dlimites par les paramtres de l'ordinateur, et les prfrences Groupe local dlimites par les paramtres de l'utilisateur peuvent paratre assez complexes. Veillez tester minutieusement les rsultats si vous souhaitez implmenter plusieurs mthodes de gestion des membres de groupes avec la Stratgie de groupe.
Questions de discussion
1. Dans quels scnarios, ou pour quelles raisons, pourriez-vous supprimer tous les membres, utilisateurs ou groupes ?
2.
Pour quelle raison pourriez-vous ajouter l'utilisateur connect ?
3.
Dans quel scnario pourriez-vous modifier les membres du groupe local Administrateurs d'un ordinateur l'aide des prfrences Groupe local, dans le nud de Configuration utilisateur d'un objet GPO qui dfinit les prfrences pour des utilisateurs particuliers et non pour des ordinateurs particuliers ?
Aide de la console de gestion des stratgies de groupe, Extension Utilisateurs et groupes locaux
7-16
Atelier pratique A : Dlgation du support technique des ordinateurs
Scnario
L'quipe charge de la scurit de l'entreprise vous demande de verrouiller la configuration des membres du groupe Administrateurs sur les ordinateurs client. Cependant, il est ncessaire que le service de support technique puisse fournir l'assistance aux utilisateurs de l'ensemble de l'entreprise de faon centralise. De plus, l'quipe de support technique locale d'un site doit effectuer les tches administratives sur les ordinateurs client du site.
7-17
Exercice 1 : Configuration des membres du groupe Administrateurs l'aide des stratgies de groupes restreints
Dans cet exercice, vous allez utiliser la stratgie de groupes pour dlguer les membres du groupe Administrateurs. Vous allez d'abord crer un objet GPO avec un paramtre de stratgie de groupes restreints de faon ce que le groupe Help Desk soit membre du groupe Administrateurs sur tous les systmes client. Vous allez ensuite crer un objet GPO qui ajoute le groupe SEA Support au groupe Administrateurs sur les ordinateurs client de l'unit d'organisation SEA. Pour finir, vous allez vrifier que dans l'unit d'organisation SEA, les groupes Help Desk et SEA Support sont Administrateurs. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. Prparer l'atelier pratique. Dlguer l'administration de tous les clients du domaine. Crer un groupe Seattle Support. Dlguer l'administration d'une partie des clients du domaine. Vrifier l'application cumulative des stratgies Membre de .

1. 2. 3. Dmarrez 6238B-HQDC01-A. Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Dmarrez 6238B-DESKTOP101-A mais n'ouvrez pas de session sur le systme.
Tche 2 : Dlgation de l'administration de tous les clients du domaine

1. 2. 3. Excutez Gestion des stratgies de groupe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Crez un objet GPO appel Corporate Help Desk, dont l'tendue est l'ensemble des ordinateurs de l'unit d'organisation Client Computers. Configurez un paramtre de stratgie de Groupes restreints de faon ce que le groupe Help Desk soit membre du groupe Administrateurs sur tous les systmes client.
7-18
Tche 3 : Cration d'un groupe Seattle Support.

1. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'unit d'organisation Groups\Role, crez un groupe de scurit global nomm SEA Support. Fermez Utilisateurs et ordinateurs Active Directory.
2. 3.
Tche 4 : Dlgation de l'administration d'une partie des clients du

domaine
1. Dans Gestion des stratgies de groupe, crez un objet GPO appel Seattle Support, dont l'tendue est l'ensemble des ordinateurs de l'unit d'organisation Client Computers\SEA. Configurez un paramtre de stratgie de Groupes restreints de faon ce que le groupe SEA Support soit membre du groupe Administrateurs sur tous les systmes client de l'unit d'organisation SEA.
2.
Tche 5 : Vrification de l'application cumulative des stratgies

Membre de .
l'aide de la Modlisation de stratgie de groupe, vrifiez qu'un ordinateur de l'unit d'organisation SEA inclut les groupes Help Desk et SEA Support dans le groupe Administrateurs.
Rsultats : au cours de cet exercice, vous crez l'objet GPO appel Corporate Help Desk, qui permet d'inclure le groupe Help Desk au groupe local Administrateurs sur tous les ordinateurs de l'unit d'organisation Client Computers. Vous crez galement l'objet GPO appel Seattle Support qui ajoute le groupe Seattle Support au groupe local Administrateurs sur les ordinateurs client de l'unit d'organisation SEA.
Important : n'arrtez pas les ordinateurs virtuels la fin de cet atelier car les paramtres que vous avez configurs seront utiliss dans les ateliers suivants.
7-19

Question : Si vous souhaitez inclure au Help Desk du groupe Support spcifique au site uniquement les membres du groupe local Administrateurs d'un ordinateur client et supprimer tous les autres membres du groupe local Administrateurs, comment procder en utilisant uniquement les stratgies de groupes restreints ?
7-20
Leon 2
Gestion des paramtres de scurit
La scurit est une proccupation cruciale pour tous les administrateurs Windows. Windows Server 2008 comporte de nombreux paramtres qui ont des incidences sur les services excuts, les ports ouverts, les paquets rseau autoriss entrer ou sortir du systme, les droits d'accs et les autorisations des utilisateurs, et les activits audites. Le nombre de paramtres grer peut tre trs important, et malheureusement, il n'y a pas de solution miracle qui permette d'appliquer une scurit parfaite un serveur. Pour configurer correctement la scurit d'un serveur, il faut tenir compte des rles de ce serveur, des diffrents systmes d'exploitation de l'environnement et des stratgies de scurit de l'entreprise, ainsi que des rglementations externes que l'entreprise doit respecter. Par consquent, vous devez dterminer et configurer les paramtres de scurit ncessaires aux serveurs de votre entreprise, et vous devez prparer la gestion de ces paramtres de faon centraliser et optimiser la configuration de la scurit. Windows Server 2008 comporte diffrents mcanismes qui permettent de configurer les paramtres de scurit sur un ou plusieurs systmes. Cette leon dcrit ces mcanismes et les interactions correspondantes.
7-21
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : configurer les paramtres de scurit sur un ordinateur l'aide de la stratgie de scurit locale ; crer et appliquer des modles de scurit pour grer une configuration de scurit ; analyser une configuration de scurit base sur des modles de scurit ; crer, modifier et appliquer des stratgies de scurit en utilisant l'Assistant Configuration de la scurit ; dployer la configuration de la scurit l'aide d'une stratgie de groupe.
7-22
Qu'est-ce que la gestion des stratgies de scurit ?
Points cls
La gestion des stratgies de scurit implique la conception, le dploiement, la gestion, l'analyse et la vrification des paramtres de scurit d'une ou plusieurs configurations de systme Windows. En gnral, une entreprise inclut diffrentes configurations : ordinateurs de bureau et portables, serveurs et contrleurs de domaine. Dans la plupart des entreprises, d'autres configurations sont galement dfinies, par exemple plusieurs types ou rles de serveur. Le premier point essentiel est : la stratgie de la scurit. Avant d'analyser la technologie ncessaire, vous devez connatre les besoins de votre entreprise en termes de scurit. Si aucune stratgie de scurit n'a t dfinie par crit, commencez par en crer une. Quand vous savez o vous allez, vous pouvez vous lancer. Pour dfinir la stratgie de scurit et les exigences correspondantes, vous devrez sans doute personnaliser la configuration par dfaut de la scurit des systmes d'exploitation client et serveur Windows.
7-23
Pour grer la configuration de la scurit, vous devez : crer une stratgie de scurit pour une nouvelle application ou un nouveau rle de serveur non inclus au Gestionnaire de serveur ; utiliser les outils de gestion de stratgie de scurit pour appliquer les paramtres de stratgie de scurit qui sont spcifiques votre environnement ; analyser les paramtres de scurit du serveur afin que la stratgie de scurit applique un serveur soit adapte au rle du serveur ; mettre jour la stratgie de scurit du serveur lors de la modification de la configuration du serveur.
Cette leon dcrit les outils, les concepts et les procdures permettant d'effectuer ces tches. Principaux outils utiliss dans cette leon : Stratgie de groupe locale Assistant Configuration de la scurit Modles de scurit (composant logiciel enfichable) Configuration et analyse de la scurit (composant logiciel enfichable) Stratgie de groupe de domaine
7-24
Configuration de la stratgie de scurit locale
Points cls
Chaque serveur excutant Windows Server 2008 comporte un ensemble de paramtres de scurit qui peuvent tre grs l'aide de l'objet GPO local. Vous pouvez configurer l'objet GPO local l'aide de l'diteur d'objets de stratgie de groupe (qui est un composant logiciel enfichable) ou de la console de Stratgie de scurit locale. Les catgories de paramtres de stratgie disponibles sont reprsentes sur la page suivante.
7-25
Cette leon dcrit les mcanismes qui permettent de configurer et de grer les paramtres de scurit mais ne fournit pas d'informations dtailles sur les paramtres eux-mmes. D'autres sections du cours expliquent les diffrents paramtres, notamment les stratgies de compte, la stratgie d'audit et l'attribution de droits utilisateur. Les contrleurs de domaine n'tant pas associs un compte utilisateur local (mais uniquement un compte de domaine), les stratgies du conteneur Stratgies de compte de l'objet GPO local des contrleurs de domaine ne peuvent pas tre configures. Les stratgies de compte du domaine doivent tre configures dans le cadre d'un objet GPO li au domaine, par exemple l'objet GPO Stratgie de domaine par dfaut. Les stratgies de compte sont dcrites dans le Module 8.
7-26
Les paramtres dfinis dans les stratgies de paramtres de scurit locales sont un sous-ensemble des stratgies qui peuvent tre configures l'aide de la stratgie de groupe lie au domaine, comme illustr ci-dessous :
Comme vous l'avez vu dans le Module 6, il est recommand de grer la configuration avec une stratgie de groupe lie au domaine plutt que d'utiliser une stratgie de groupe locale pour chaque ordinateur. Ceci est particulirement important pour les contrleurs de domaine. L'objet GPO Default Domain Controllers Policy par dfaut est cr lorsque le premier contrleur de domaine est associ un nouveau domaine. Li l'unit d'organisation Domain Controllers, il doit tre utilis pour grer les paramtres de scurit de base de tous les contrleurs du domaine afin que la configuration de ceux-ci soit cohrente.
Paramtres de stratgie de groupe de scurit : http://go.microsoft.com/fwlink/?LinkId=168675
7-27
Gestion de la configuration de la scurit l'aide des modles de scurit
Points cls
Le second mcanisme de gestion de la configuration de la scurit est le modle de scurit. Un modle de scurit est un ensemble de paramtres de configuration regroups dans un fichier texte d'extension .inf. Comme le montre la capture d'cran de la page suivante, un modle de scurit contient des paramtres qui constituent un sous-ensemble des paramtres disponibles dans un objet GPO li au domaine, mais un sous-ensemble un peu diffrent de ceux grs par l'objet GPO local.
7-28
Les outils utiliss pour grer les modles de scurit affichent les paramtres sur une interface qui permet d'enregistrer les configurations de la scurit sous forme de fichiers et de les dployer au moment et l'endroit souhaits. Vous pouvez galement utiliser un modle de scurit pour analyser la conformit de la configuration d'un ordinateur par rapport la configuration de rfrence. Le stockage de la configuration de la scurit dans des modles de scurit prsente plusieurs avantages. Les modles tant des fichiers au format texte, vous pouvez travailler sur ces fichiers manuellement, par exemple pour couper et coller des sections. Ensuite, les modles facilitent le stockage de diffrents types de configuration de la scurit, ce qui facilite l'application de diffrents niveaux de scurit aux ordinateurs ayant diffrents rles. Les modles de scurit permettent de configurer les types suivants de stratgies et de paramtres : Stratgies de compte : dfinir les restrictions de mots de passe, les stratgies de verrouillage de compte et les stratgies Kerberos. Stratgies locales : configurer les stratgies d'audit, ainsi que les stratgies d'attribution de droits utilisateur et des options de scurit. Stratgies de journal des vnements : configurer la taille maximale du journal d'vnements et les stratgies de substitution. Groupes restreints : dfinir les utilisateurs autoriss appartenir des groupes particuliers.
7-29
Services systme : dfinir les types de dmarrage et les autorisations des services systme. Autorisations d'accs au Registre : dfinir les autorisations de contrle d'accs des cls de registre particulires. Autorisations du systme de fichiers : dfinir les autorisations de contrle d'accs aux dossiers et aux fichiers NTFS.
Vous pouvez dployer les modles de scurit de diffrentes manires, l'aide d'objets de stratgie de groupe Active Directory, du composant Configuration et analyse de la scurit, ou Secedit.exe. Si vous associez un modle de scurit un objet de stratgie de groupe Active Directory, les paramtres du modle est inclus l'objet GPO. Vous pouvez galement appliquer un modle de scurit directement un ordinateur. Dans ce cas, les paramtres du modle sont inclus aux stratgies locales de l'ordinateur. Ces options sont dcrites en dtail dans cette leon.
7-30
Dmonstration : Cration des modles de scurit de dploiement
Points cls
Utilisation du composant Modles de scurit (composant logiciel enfichable) Le composant Modles de scurit facilite l'utilisation des modles de scurit. Aucune console n'est associe ce composant dans Windows Server 2008, vous devez donc en crer une l'aide de la commande Ajouter/Supprimer un composant logiciel enfichable de la console MMC. Le composant logiciel enfichable cre un dossier appel Security et un sous-dossier appel Templates dans votre dossier Documents. Le dossier Documents\Security\Templates devient le chemin de recherche des modles et c'est dans ce dossier que vous stockez les modles de scurit.
7-31
Pour crer un modle de scurit : Cliquez avec le bouton droit sur le nud qui reprsente le chemin de recherche de vos modles (C:\Users\Documents\Administrator\Security \Templates, par exemple) et slectionnez Nouveau Modle. Vous pouvez galement crer un modle qui reflte la configuration en cours d'un serveur (vous trouverez les explications ultrieurement dans cette leon). La configuration des paramtres du modle est similaire la configuration des paramtres d'un objet GPO. Le composant Modles de scurit permet de configurer les paramtres d'un modle de scurit. Cet outil est un simple diteur, il n'intervient pas dans l'application des paramtres un systme. Configurez les paramtres de scurit d'un modle l'aide du composant Modles de scurit. Mme si le modle est un fichier texte, la syntaxe peut sembler obscure. L'utilisation du composant logiciel enfichable permet d'effectuer des modifications sans risques d'erreur de syntaxe. Toutefois, il y a une exception : dans le cas de l'ajout de paramtres du Registre qui ne figurent pas dans la partie Stratgies locales\Option de scurit du modle. Lorsque de nouveaux paramtres de scurit sont identifis, s'ils peuvent tre configurs avec une cl du Registre, vous pouvez les ajouter un modle de scurit. Pour ce faire, ajoutez-les la section Valeurs du Registre du modle.
Remarque : enregistrez les paramtres. Veillez enregistrer les modifications que vous apportez un modle de scurit en cliquant avec le bouton droit sur le modle et en slectionnant Enregistrer.
Lorsque vous installez un serveur ou l'associez un contrleur de domaine, Windows applique un modle de scurit par dfaut. Ce modle se trouve dans le dossier %SystemRoot%\Security\Templates. Dans un contrleur de domaine, le modle est appel DC security.inf. Il est dconseill de modifier ce modle directement : il est prfrable de le copier dans le chemin de recherche de modles et de modifier la copie.
Remarque : modles de scurit de Windows Server 2008 et des versions prcdentes de Windows. Dans les versions prcdentes de Windows, il tait possible de modifier certains modles de scurit et de les appliquer un ordinateur. Ces modles ne sont plus utiles avec la nouvelle configuration de Windows Server 2008 fonde sur des rles et les nouvelles fonctionnalits du Gestionnaire de configuration de la scurit.
7-32
Dploiement des modles de scurit l'aide des objets de stratgie de groupe La cration et la modification des modles de scurit n'amliorent la scurit que si vous appliquez ces modles. Pour configurer plusieurs ordinateurs en une seule opration, vous pouvez importer un modle de scurit dans l'objet de stratgie de groupe (objet GPO) d'un domaine, un site ou une unit d'organisation dans Active Directory. Pour importer un modle de scurit dans un objet GPO : Cliquez avec le bouton droit sur le nud Paramtres de scurit et slectionnez Importer une stratgie.
Dans la bote de dialogue Importer la stratgie partir de , si vous cochez l'option Effacer cette base de donnes avant d'importer , tous les paramtres de scurit de l'objet GPO sont effacs avant l'importation des paramtres du modle. Ainsi, les paramtres de scurit de l'objet GPO vont correspondre aux paramtres du modle. Si vous ne slectionnez pas l'option Effacer cette base de donnes avant d'importer , les paramtres de la stratgie de scurit de l'objet GPO sont conservs et les paramtres du modle sont imports. Tout paramtre dfini dans l'objet GPO qui est galement dfini dans le modle est remplac par le paramtre du modle.
1. 2. 3. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, dans la zone de recherche entrez mmc.exe et appuyez sur Entre lorsqu'un message vous invite entrer les informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Dans la liste Composants logiciels enfichables disponibles, slectionnez Modles de scurit, puis cliquez sur Ajouter. Cliquez sur OK. Cliquez sur Fichier, puis sur Enregistrer. La bote de dialogue Enregistrer sous s'affiche. 8. Entrez D:\Security Management, puis appuyez sur Entre.
4. 5. 6. 7.
7-33
9.
Dans l'arborescence, dveloppez Modles de scurit.
10. Cliquez avec le bouton droit sur C:\Users\Pat.Coleman_Admin \Documents\Security\Templates, puis cliquez sur Nouveau modle. 11. Entrez DC Remote Desktop, puis cliquez sur OK. 12. Cliquez sur Dmarrer > Outils d'administration et excutez Gestion des stratgies de groupe en indiquant des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. 13. Dans l'arborescence de la console, dveloppez Forest:contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratgie de groupe. 14. Dans le volet d'informations, cliquez avec le bouton droit sur Corporate Help Desk, puis cliquez sur Modifier. L'diteur de gestion des stratgies de groupe s'ouvre. 15. Dans l'arborescence de la console, dveloppez Configuration ordinateur, Stratgies, Paramtres Windows, puis cliquez sur Paramtres de scurit. 16. Cliquez avec le bouton droit sur Paramtres de scurit, puis cliquez sur Importer une stratgie. 17. Slectionnez DC Remote Desktop, puis cliquez sur Ouvrir.
7-34
Utilisation de l'outil de Configuration et analyse de la scurit
Points cls
Configuration et analyse de la scurit Le composant logiciel enfichable Configuration et analyse de la scurit permet d'appliquer un modle de scurit un ordinateur de faon interactive. Ce composant permet galement d'analyser la configuration de la scurit du systme et de la comparer une configuration de base enregistre sous forme de modle de scurit. Cela vous permet de dterminer rapidement si quelqu'un a modifi les paramtres de scurit d'un ordinateur et si le systme est conforme aux stratgies de scurit de votre entreprise. Comme le composant Modles de scurit, le composant Configuration et analyse de la configuration n'est associ aucune console dans Windows Server 2008. Vous devez donc ajouter ce composant une console. Cration d'une base de donnes Pour utiliser le composant Configuration et analyse de la scurit, vous devez d'abord crer une base de donnes qui va contenir un ensemble de paramtres de scurit. La base de donnes est l'interface entre les paramtres de scurit actifs sur l'ordinateur et les paramtres stocks dans les modles de scurit.
7-35
Pour crer une base de donnes (ou en ouvrir une) : Cliquez avec le bouton droit sur le nud Configuration et analyse de la scurit dans l'arborescence de la console.
Vous pouvez ensuite importer un ou plusieurs modles de scurit. Si vous importez plusieurs modles, vous devez dterminer s'il faut vider la base de donnes. Si vous effacez le contenu de la base de donnes, celle-ci contiendra alors uniquement les paramtres du nouveau modle. Si vous n'effacez pas le contenu de la base de donnes, les paramtres dfinis dans les modles ajouts vont remplacer les paramtres des modles prcdemment imports. Si les paramtres ne sont pas dfinis dans les nouveaux modles imports, les paramtres des modles prcdemment imports sont conservs dans la base de donnes. Pour rsumer, le composant Configuration et analyse de la scurit cre une base de donnes de paramtres de scurit qui stocke les paramtres des modles de scurit imports. Les paramtres de la base de donnes peuvent tre appliqus l'ordinateur ou utiliss pour analyser la conformit de l'ordinateur et les divergences avec la configuration souhaite. Notez bien que les paramtres d'une base de donnes ne modifient pas les paramtres de l'ordinateur ou les paramtres d'un modle tant que la base de donnes n'est pas utilise pour configurer l'ordinateur ou exporte dans un modle. Application des paramtres de la base de donnes un ordinateur Aprs avoir import un ou plusieurs modles pour crer la base de donnes, vous pouvez appliquer les paramtres de la base de donnes un ordinateur. Pour appliquer une base de donnes : Cliquez avec le bouton droit sur Configuration et analyse de la scurit et slectionnez Configurer l'ordinateur maintenant.
Un message vous invite indiquer le chemin du journal d'erreurs gnr lors de l'application des paramtres. Aprs avoir appliqu des paramtres, examinez le journal d'erreurs pour identifier les ventuels problmes. Analyse de la configuration de la scurit d'un ordinateur Avant d'appliquer les paramtres de la base de donnes un ordinateur, vous pouvez analyser la configuration de l'ordinateur pour identifier les divergences. Pour analyser la configuration de la scurit d'un ordinateur : Cliquez avec le bouton droit sur Configuration et analyse de la scurit et slectionnez Analyser l'ordinateur maintenant.
7-36
Le systme vous invite indiquer l'emplacement du fichier d'erreur, puis il compare les paramtres de l'ordinateur aux paramtres de la base de donnes. Une fois l'analyse termine, la console gnre un rapport du type suivant :
Contrairement l'affichage des paramtres de stratgie dans les autres outils (diteur de gestion de stratgie de groupe, diteur d'objets de stratgie de groupe, composants Stratgie de scurit locale et Modles de scurit), le rapport indique pour chaque stratgie le paramtre dfini dans la base de donnes (issu des modles que vous avez imports) et le paramtre actuel de l'ordinateur. Les deux paramtres sont compars et le rsultat de la comparaison est signal par un indicateur plac sur le nom de la stratgie. Par exemple, le paramtre de stratgie Permettre l'ouverture d'une session locale indique une divergence entre le paramtre de la base de donnes et le paramtre de l'ordinateur. Les significations des indicateurs sont les suivants : X dans un cercle rouge. Indique que la stratgie est dfinie dans la base de donnes et sur l'ordinateur, mais que les valeurs configures ne correspondent pas. Coche verte dans un cercle blanc. Indique que la stratgie est dfinie dans la base de donnes et sur l'ordinateur, et que les valeurs configures correspondent. Point d'interrogation dans un cercle blanc. Indique que la stratgie n'est pas dfinie dans la base de donnes et, par consquent, n'a pas t analyse ou que l'utilisateur qui a excut l'analyse n'a pas les droits d'accs la stratgie de l'ordinateur. Point d'exclamation dans un cercle blanc. Indique que la stratgie est dfinie dans la base de donnes mais qu'elle n'est pas prsente sur l'ordinateur. Aucun indicateur. Indique que la stratgie n'est pas dfinie dans la base de donnes ou sur l'ordinateur.
7-37
Correction des divergences entre les paramtres de scurit Lorsque vous examinez le contenu de la base de donnes et comparez ces paramtres avec ceux de l'ordinateur, vous pouvez trouver des divergences. Vous pouvez alors modifier la configuration de l'ordinateur ou la base de donnes, afin de faire concider les paramtres. Double-cliquez sur le paramtre de stratgie modifier pour afficher la bote de dialogue Proprits qui permet de modifier la valeur dans la base de donnes. Aprs avoir effectu les modifications dans la base de donnes, vous pouvez appliquer les paramtres de la base de donnes l'ordinateur en suivant les tapes dcrites prcdemment dans la section Grer la configuration de la scurit l'aide des modles de scurit . Application ou exportation des modifications de la base de donnes Si vous modifiez la valeur d'un paramtre de stratgie dans le composant Configuration et l'analyse de la scurit, seule la valeur de la base de donnes est modifie, et pas celle du paramtre actif sur l'ordinateur. Pour que les modifications soient appliques l'ordinateur, appliquez les paramtres de la base de donnes l'ordinateur en utilisant la commande Configurer l'ordinateur maintenant ou bien exportez la base de donnes dans un nouveau modle et appliquez celui-ci l'ordinateur, l'aide d'un objet GPO ou de la commande Secedit.exe (dcrite dans la section Secedit.exe ultrieurement dans cette leon.) Vous pouvez galement modifier les paramtres de scurit de l'ordinateur directement en utilisant la console de Stratgie de scurit locale, en modifiant l'objet de stratgie de groupe appropri ou en modifiant manuellement les autorisations d'accs au systme de fichiers et au Registre. Aprs avoir effectu ces modifications, retournez dans Configuration et analyse de la scurit et slectionnez la commande Analyser l'ordinateur maintenant pour actualiser l'analyse des paramtres de l'ordinateur par rapport la base de donnes. Cration d'un modle de scurit Vous pouvez crer un modle de scurit partir de la base de donnes. Pour crer un modle de scurit partir de la base de donnes : Cliquez avec le bouton droit sur Configuration et analyse de la scurit et slectionnez Exporter un modle.
Le modle va contenir les paramtres de la base de donnes qui ont t imports d'un ou de plusieurs modles de scurit et que vous avez modifis pour qu'ils correspondent aux paramtres actuels de l'ordinateur analys. La fonction Exporter un modle cre un modle partir des paramtres prsents dans la base de donnes au moment o vous excutez la commande, et non partir des paramtres de l'ordinateur.
7-38
Secedit.exe Secedit.exe est un utilitaire de ligne de commande qui effectue les mmes fonctions que le composant Configuration et analyse de la scurit. Mais il prsente l'avantage de pouvoir tre appel partir de scripts et de fichiers de commandes, ce qui vous permet d'automatiser les dploiements de modles de scurit. De plus, vous pouvez utiliser Secedit.exe pour appliquer une partie du modle de scurit un ordinateur, ce qui n'est pas possible avec le composant Configuration et analyse de la scurit ou les objets de stratgie de groupe (GPO). Par exemple, si vous souhaitez appliquer les autorisations du systme de fichiers partir d'un modle mais laisser tous les autres paramtres, vous pouvez le faire avec Secedit.exe. Pour utiliser Secedit.exe, excutez le programme l'invite de commande avec l'un des six principaux paramtres indiqus ci-dessous, ainsi que d'autres paramtres correspondant aux diffrentes fonctions : Configure. Appliquer l'ensemble ou une partie d'une base de donnes de scurit l'ordinateur local. Vous pouvez galement configurer le programme pour importer un modle de scurit dans la base de donnes indique avant d'appliquer les paramtres de la base de donnes l'ordinateur. Analyze. Comparer les paramtres de scurit de l'ordinateur ceux d'une base de donnes de scurit. Vous pouvez configurer le programme pour importer un modle de scurit dans la base de donnes avant d'effectuer l'analyse. Le programme enregistre les rsultats de l'analyse dans la base de donnes, ce qui vous permet de les visualiser ultrieurement avec le composant Configuration et analyse de la scurit. Import. Importer l'ensemble ou une partie d'un modle de scurit dans une base de donnes particulire. Export. Exporter l'ensemble ou une partie des paramtres d'une base de donnes de scurit dans un nouveau modle de scurit. Validate. Vrifier que la syntaxe interne d'un modle de scurit est correcte. Generaterollback. Crer un modle de scurit qui permet de restaurer la configuration initiale d'un systme aprs l'application d'un modle.
Par exemple, pour configurer l'ordinateur l'aide d'un modle appel BaselineSecurity, utilisez la commande suivante :
secedit /configure /db BaselineSecurity.sdb /cfg BaselineSecurity.inf /log BaselineSecurity.log
7-39
Pour crer un modle de restauration pour le modle BaselineSecurity, utilisez la commande suivante :
secedit /generaterollback /cfg BaselineSecurity.inf /rbk BaselineSecurityRollback.inf /log BaselineSecurityRollback.log
Pour obtenir des informations dtailles sur Secedit.exe et les commutateurs correspondants, voir http://go.microsoft.com/fwlink/?LinkId=168677
Question de discussion
Question : Quelle procdure permet d'appliquer un modle de scurit un ordinateur ?
7-40
Assistant Configuration de la scurit
Points cls
L'assistant Configuration de la scurit permet d'amliorer la scurit d'un serveur par la fermeture des ports et la dsactivation des services non ncessaires pour les rles du serveur. Vous pouvez lancer l'Assistant Configuration de la scurit sur la page d'accueil du Gestionnaire de serveur, dans la section Informations sur la scurit, ou dans le dossier Outils d'administration. Une version ligne de commande de cet outil est disponible (scwcmd.exe). Entrez scwcmd.exe /? l'invite de commandes pour obtenir de l'aide sur la commande ou consultez la page http://go.microsoft.com/fwlink/?LinkId=168678.
7-41
L'assistant Configuration de la scurit est un outil de gestion de la scurit nouvelle gnration, plus avanc que le composant Configuration et analyse de la scurit. L'assistant Configuration de la scurit repose sur des rles comme la nouvelle configuration de Windows Server 2008. Cet assistant cre une stratgie de scurit (fichier .xml) qui configure les lments ci-aprs. Services Scurit du rseau, notamment les rgles du pare-feu Valeurs du Registre Stratgie d'audit Autres paramtres fonds sur les rles d'un serveur
Vous pouvez ensuite modifier cette stratgie de scurit, l'appliquer un autre serveur ou la convertir en objet GPO pour effectuer le dploiement sur plusieurs systmes. Cration d'une stratgie de scurit Pour crer une stratgie de scurit : 1. Lancez l'Assistant Configuration de la scurit du dossier Outils d'administration ou la section Informations sur la scurit de la page d'accueil du Gestionnaire de serveur. Vous pouvez ouvrir le fichier d'aide de l'Assistant Configuration de la scurit en cliquant sur le lien Assistant Configuration de la scurit sur la premire page de l'assistant. 2. 3. 4. Cliquez sur Suivant. Sur la page Action de configuration, slectionnez Crer une nouvelle stratgie de scurit, puis cliquez sur Suivant. Entrez le nom du serveur analyser, puis cliquez sur Suivant. La stratgie de scurit repose sur les rles du serveur indiqu. Vous devez tre administrateur sur ce serveur pour effectuer l'analyse de ces rles. Vrifiez galement que toutes les applications qui utilisent des ports IP entrants sont actives avant d'excuter l'Assistant Configuration de la scurit. L'Assistant Configuration de la scurit lance l'analyse des rles du serveur slectionn. Il utilise une base de donnes de configuration de la scurit qui dfinit les services et les ports requis pour chaque rle de serveur pris en charge par l'Assistant Configuration de la scurit. La base de donnes de configuration de la scurit est un ensemble de fichiers .xml installs dans %SystemRoot%\Security\Msscw\Kbs.
7-42
Remarque : centralisation de la base de donnes de configuration de la scurit. Dans un environnement d'entreprise, centralisez la base de donnes de configuration de la scurit afin que les administrateurs utilisent la mme base de donnes pour excuter l'Assistant Configuration de la scurit. Copiez les fichiers dans le dossier %SystemRoot%\Security\Msscw\Kbs dans un dossier du rseau. Puis lancez l'Assistant Configuration de la scurit avec la commande Scw.exe, en utilisant la syntaxe scw.exe /kb EmplacementBaseDonnes. Par exemple, la commande scw.exe /kb \\server01\scwkb lance l'Assistant Configuration de la scurit, en utilisant la base de donnes de configuration de la scurit qui se trouve dans le dossier partag scwkb sur SERVER01.
L'Assistant Configuration de la scurit utilise la base de donnes de configuration de la scurit pour analyser le serveur slectionn et identifie les lments suivants : Rles installs sur le serveur Rles remplis par le serveur Services installs sur le serveur mais non dfinis dans la base de donnes de configuration de la scurit Adresses IP et sous-rseaux configurs pour le serveur
Les informations dtectes relatives au serveur sont enregistres dans un fichier appel Main.xml. Ce fichier spcifique au serveur est appel Base de donnes de configuration, ne pas confondre avec la base de donnes de configuration de la scurit utilise par l'Assistant Configuration de la scurit pour effectuer l'analyse. Pour afficher la base de donnes de configuration : Sur la page Traitement de la configuration de la scurit, cliquez sur Afficher la base de donnes de configuration.
Les paramtres d'origine dans la base de donnes de configuration sont appels paramtres de base. Aprs l'analyse du serveur et la cration de la base de donnes de configuration, vous pouvez modifier la base de donnes. Celle-ci est ensuite utilise pour gnrer la stratgie de scurit pour configurer les services, les rgles du pare-feu, les paramtres du Registre et les stratgies d'audit. La stratgie de scurit peut ensuite tre applique au serveur ou aux autres serveurs jouant des rles similaires. L'Assistant Configuration de la scurit prsente ces quatre catgories de la stratgie de scurit dans une section (une suite de pages) : Configuration de service fonde sur les rles Scurit du rseau
7-43
Paramtres du Registre Stratgie d'audit
Stratgie de scurit Les trois dernires sections sont facultatives, vous pouvez ignorer celles que vous ne souhaitez pas inclure la stratgie de scurit.
la fin de ces sections de configuration, l'Assistant Configuration de la scurit affiche la section Stratgie de scurit. La page Nom du fichier de stratgie de scurit qui s'affiche dans la capture d'cran prcdente permet de dfinir le chemin, le nom et la description de la stratgie de scurit. Pour examiner les paramtres de la stratgie de scurit. Cliquez sur le bouton Afficher la stratgie de scurit.
Les paramtres sont dcrits et expliqus en dtail dans l'Assistant Configuration de la scurit. Vous pouvez galement importer un modle de scurit dans la stratgie de scurit. Cliquez sur le bouton Inclure les modles de scurit.
7-44
Les modles de scurit (dcrits plus haut dans cette leon), contiennent les paramtres non inclus la gestion de la configuration de la scurit avec les modles de scurit, notamment les groupes restreints, les stratgies de journal d'vnements, et les stratgies de scurit du systme de fichiers et du Registre. L'intgration d'un modle de scurit vous permet d'inclure un ensemble de paramtres de configuration avance la stratgie de scurit. Si des paramtres du modle de scurit sont en conflit avec l'Assistant Configuration de la scurit, les paramtres de l'Assistant Configuration de la scurit sont prioritaires. Lorsque vous cliquez sur le bouton Suivant, vous avez la possibilit d'appliquer immdiatement le modle de scurit au serveur ou d'appliquer la stratgie ultrieurement. Modification d'une stratgie de scurit Pour modifier une stratgie de scurit enregistre : 1. 2. 3. Ouvrez l'Assistant Configuration de scurit. Sur la page Action de configuration, slectionnez Modifier une stratgie de scurit existante. Cliquez sur Parcourir pour rechercher le fichier de stratgie (.xml). Lorsqu'un message vous invite slectionner un serveur, slectionnez le serveur qui a t utilis pour crer la stratgie de scurit.
Application d'une stratgie de scurit Pour appliquer une stratgie de scurit un serveur : 1. 2. 3. 4. Ouvrez l'Assistant Configuration de scurit. Sur la page Action de configuration, slectionnez Appliquer une stratgie de scurit existante. Cliquez sur Parcourir pour rechercher le fichier de stratgie (.xml). Sur la page Slectionner un serveur, slectionnez le serveur auquel appliquer la stratgie.
En gnral, les modifications effectues dans une stratgie de scurit requirent le redmarrage du serveur (notamment l'ajout de rgles de pare-feu pour les applications en cours d'excution et la dsactivation de services). Par consquent, il est prfrable de redmarrer le serveur chaque fois que vous appliquez une stratgie de scurit.
7-45
Annulation d'une stratgie de scurit applique Si l'application d'une stratgie de scurit gnre un rsultat non souhait, vous pouvez annuler les modifications. Pour annuler l'application d'une stratgie de scurit : 1. 2. Ouvrez l'Assistant Configuration de scurit. Sur la page Action de configuration, slectionnez Annuler la dernire stratgie de scurit applique.
Lorsqu'une stratgie de scurit est applique par l'Assistant Configuration de la scurit, un fichier de restauration est gnr. Ce fichier contient les paramtres d'origine du systme. Le processus d'annulation applique le fichier de restauration. Modification des paramtres d'une stratgie de scurit applique Si l'application d'un modle de scurit ne gnre pas la configuration souhaite, vous pouvez modifier manuellement les paramtres l'aide de la console de stratgie de scurit locale dcrite au dbut de cette leon dans la section Configuration de la stratgie de scurit locale . Vous aurez ainsi une vue d'ensemble de la configuration de la scurit : paramtres manuels, gnration de modles de scurit, cration de stratgies de scurit avec l'Assistant Configuration de la scurit (qui peut inclure les modles de scurit), application des stratgies de scurit, puis nouveau configuration manuelle des paramtres. Dploiement d'une stratgie de scurit l'aide d'une stratgie de groupe Pour appliquer un serveur une stratgie de scurit cre par l'Assistant Configuration de la scurit, vous pouvez utiliser cet assistant, utiliser la commande Scwcmd.exe ou convertir la stratgie de scurit en objet GPO. Pour convertir une stratgie de scurit en objet GPO : Ouvrez une session en tant qu'administrateur et excutez Scwcmd.exe avec la commande transform. Exemple :
scwcmd transform /p:"Contoso DC Security.xml /g:"Contoso DC Security GPO
Cette commande va crer un objet GPO appel Contoso DC Security GPO avec les paramtres imports du fichier de stratgie de scurit appel Contoso DC Security.xml . L'objet GPO obtenu peut tre reli un site, un domaine ou une unit d'organisation l'aide de la console Gestion des stratgies de groupe. Veillez entrer scwcmd.exe transform /? pour obtenir de l'aide et des instructions sur cette procdure.
7-46
Assistant Configuration de la scurit : http://go.microsoft.com/fwlink/?LinkId=168678
7-47
Paramtres, modles, stratgies et objets GPO
Points cls
Comme indiqu dans l'introduction de cette leon, diffrents mcanismes permettent de grer les paramtres de scurit. Vous pouvez utiliser des outils tels que la console de Stratgie de scurit locale pour modifier les paramtres d'un systme particulier. Vous pouvez utiliser des modles de scurit (qui existent depuis la version Windows 2000) pour grer les paramtres sur un ou plusieurs systmes et comparer la configuration d'un systme la configuration souhaite dfinie dans un modle. L'outil le plus rcent dans la gestion de la configuration de la scurit est la gnration des stratgies de scurit par l'Assistant Configuration de la scurit. Il s'agit de fichiers .xml reposant sur des rles qui dfinissent les modes de dmarrage des services, les rgles du pare-feu, les stratgies d'audit et certains paramtres du Registre. Les stratgies de scurit peuvent inclure des modles de scurit. Vous pouvez dployer les modles de scurit et les stratgies de scurit l'aide de la Stratgie de groupe.
7-48
tant donn la profusion d'outils disponibles, il est difficile de dterminer le meilleur moyen de grer la scurit sur un ou plusieurs systmes. Utilisez autant que possible la stratgie de groupe pour dployer la configuration de la scurit. Vous pouvez gnrer un objet GPO partir d'une stratgie de scurit fonde sur des rles gnre par l'Assistant Configuration de la scurit, qui lui-mme intgre d'autres paramtres issus d'un modle de scurit. Une fois l'objet GPO gnr, vous pouvez effectuer des modifications supplmentaires sur l'objet GPO en utilisant le composant diteur de gestion des stratgies de groupe. Les paramtres non grs par la Stratgie de groupe peuvent tre configurs pour chaque serveur, l'aide des paramtres de scurit de l'objet GPO local.
7-49
Atelier pratique B : Gestion des paramtres de scurit
Scnario
Vous tes administrateur du domaine contoso.com. Vous tes charg d'assurer la scurit du service d'annuaire. Vous souhaitez tablir une configuration de scurit appliquer aux contrleurs de domaine et qui dtermine, entre autres, qui peut se connecter aux contrleurs de domaine via le Bureau distance afin d'effectuer des tches d'administration.
7-50
Exercice 1 : Gestion des paramtres de scurit locaux

Dans cet exercice, vous allez crer un groupe qui permet de dterminer qui est autoris se connecter HQDC01 (contrleur de domaine) via le Bureau distance. Pour cela, vous allez configurer des paramtres de scurit directement sur HQDC01. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. Prparer l'atelier pratique. Activer le Bureau distance sur HQDC01. Crer un groupe de scurit global appel SYS_DC Remote Desktop. Ajouter SYS_DC Remote Desktop au groupe Utilisateurs du bureau distance. Configurer la stratgie de scurit locale de faon permettre SYS_DC Remote Desktop d'tablir des connexions Bureau distance. Rtablir les paramtres par dfaut de la stratgie de scurit locale.

1. 2. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
Tche 2 : Activaction du Bureau distance sur HQDC01.

1. 2. Excutez Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans la section Rsum serveur, cliquez sur Configurer le bureau distance, puis cliquez sur N'autoriser que la connexion des ordinateurs excutant Bureau distance avec authentification NLA (plus scuris). Fermez le Gestionnaire de serveur.
3.
7-51
Tche 3 : Cration d'un groupe de scurit global appel SYS_DC

Remote Desktop.
1. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'unit d'organisation Admins\Admin Grousp\Server Delegation, crez un groupe de scurit global nomm SYS_DC Remote Desktop.
2.
Tche 4 : Ajout de SYS_DC Remote Desktop au groupe Utilisateurs du

bureau distance.
Pour se connecter via le Bureau distance, un utilisateur doit avoir le droit d'ouvrir une session via les services Terminal Server, ce que vous allez dfinir pour le groupe SYS_DC Remote Desktop dans la tche suivante. De plus, l'utilisateur doit avoir le droit d'tablir une connexion RDP-Tcp. Par dfaut, le groupe Utilisateurs du bureau distance et le groupe Administrateurs ont le droit d'tablir une connexion RDP-Tcp. Vous devez donc ajouter l'utilisateur (ou le groupe SYS_DC Remote Desktop dans ce cas) au groupe Utilisateurs du bureau distance. 1. 2. Ajoutez le groupe SYS_DC Remote Desktop au groupe Utilisateurs du bureau distance, qui se trouve dans le conteneur Builtin. Fermez Utilisateurs et ordinateurs Active Directory.
Remarque : au lieu d'ajouter le groupe Utilisateurs du bureau distance, vous pouvez ajouter le groupe SYS_DC Remote Desktop la liste de contrle d'accs de la connexion RDP-Tcp, via la console de Configuration des services Terminal Server. Cliquez avec le bouton droit sur RDP-Tcp, slectionnez Proprits. Cliquez sur l'onglet Scurit, puis sur le bouton Ajouter et entrez SYS_DC Remote Desktop. Cliquez deux fois sur OK pour fermer les botes de dialogue.
7-52
Tche 5 : Configuration de la stratgie de scurit locale de faon

permettre SYS_DC Remote Desktop d'tablir des connexions Bureau distance.
Sur un membre du domaine (poste de travail ou serveur), le groupe Utilisateurs du Bureau distance a l'autorisation d'tablir une connexion RDP-Tcp et le droit utilisateur d'ouvrir une session via les services Terminal Server. Par consquent, sur un poste de travail ou un serveur membre du domaine, la mthode la plus simple de grer les droits utilisateur et l'autorisation de connexion RDP-Tcp est d'ajouter un utilisateur ou un groupe directement au groupe Utilisateurs du Bureau distance. Comme HQDC01 est un contrleur de domaine, seuls les Administrateurs ont le droit d'ouvrir une session via les services Terminal Server. Par consquent, vous devez accorder explicitement au groupe SYS_DC Remote Desktop le droit utilisateur d'ouvrir une session via les services Terminal Server. Excutez Stratgie de scurit locale en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Modifiez la configuration du paramtre de stratgie de droits utilisateur, Autoriser l'ouverture de session par les services Terminal Server et ajoutez SYS_DC Remote Desktop.
Tche 6 : Rtablissement des paramtres par dfaut de la stratgie de

scurit locale
Rtablissez les paramtres par dfaut de la stratgie en vue d'effectuer les exercices suivants. 1. Modifiez la configuration du paramtre de stratgie de droits utilisateur, Autoriser l'ouverture de session par les services Terminal Server et supprimez SYS_DC Remote Desktop. Fermez la fentre Stratgie de scurit locale.
Rsultats : au cours de cet exercice, vous configurez les paramtres locaux afin d'autoriser SYS_DC Remote Desktop ouvrir une session sur HQDC01 via le Bureau distance.
2.
7-53
Exercice 2 : Cration d'un modle de scurit

Dans cet exercice, vous allez crer un modle de scurit qui accorde au groupe SYS_DC Remote Desktop le droit d'ouvrir une session via le Bureau distance. Les tches principales de cet exercice sont les suivantes : 1. 2. Crer une console MMC personnalise avec le composant logiciel enfichable Modles de scurit. Crer un modle de scurit.
Tche 1 : Cration d'une console MMC personnalise avec le

composant logiciel enfichable Modles de scurit.
1. 2. 3. Excutez mmc.exe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Ajoutez le composant Modles de scurit. Enregistrez la console sous le nom D:\Security Management.msc.
Tche 2 : Cration d'un modle de scurit

1. 2. Dans le composant logiciel enfichable Modles de scurit, crez un modle de scurit appel DC Remote Desktop. Modifiez la configuration du paramtre de stratgie de droits utilisateur Autoriser l'ouverture de session par les services Terminal Server et ajoutez SYS_DC Remote Desktop. l'aide d'un paramtre Groupes restreints, configurez le modle pour ajouter le groupe SYS_DC Remote Desktop au groupe Utilisateurs du bureau distance. Enregistrez les modifications que vous avez effectues sur le modle.
Rsultats : au cours de cet exercice, vous configurez un modle de scurit appel DC Remote Desktop qui ajoute le groupe SYS_DC Remote Desktop au groupe Utilisateurs du bureau distance, et accorde au groupe SYS_DC Remote Desktop le droit utilisateur d'ouvrir une session via les services Terminal Server.
3.
4.
7-54
Exercice 3 : Utilisation de l'outil de Configuration et analyse de la scurit

Dans cet exercice, vous allez analyser la configuration de HQDC01 l'aide du modle de scurit DC Remote Desktop, afin d'identifier les carts entre la configuration du serveur et la configuration souhaite dfinie dans le modle. Vous allez ensuite crer un nouveau modle de scurit. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Ajouter le composant Configuration et analyse de la scurit une console personnalise. Crer une base de donnes de scurit et importer un modle de scurit. Analyser la configuration d'un ordinateur l'aide de la base de donnes de scurit. Configurer les paramtres de scurit l'aide d'une base de donnes de scurit.
Tche 1 : Ajout du composant Configuration et analyse de la scurit

une console personnalise.
Ajoutez le composant Configuration et analyse de la scurit une console personnalise, puis enregistrez la modification sur la console.
Tche 2 : Cration d'une base de donnes de scurit et importation

d'un modle de scurit.
Crez une base de donnes de scurit appele HQDC01Test. Importez le modle de scurit DC Remote Desktop.
Tche 3 : Analyse de la configuration d'un ordinateur l'aide de la

base de donnes de scurit.
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Analyser l'ordinateur maintenant. Cliquez sur OK pour confirmer le chemin par dfaut du journal d'erreur. Le composant logiciel enfichable effectue l'analyse.
2.
7-55
3.
Dans l'arborescence de la console, dveloppez Configuration et analyse de la scurit et Stratgies locales, puis cliquez sur Attribution des droits utilisateur. Notez que la stratgie Autoriser l'ouverture de session par les services Terminal Server est identifie par X dans un cercle rouge. Cela indique une divergence entre le paramtre de la base de donnes et le paramtre de l'ordinateur.
4.
Double-cliquez sur Autoriser l'ouverture de session par les services Terminal Server. Notez les divergences. L'ordinateur n'est pas configur pour autoriser le groupe SYS_DC Remote Desktop ouvrir une session via les services Terminal Server. Notez galement que le Paramtre de l'ordinateur autorise les Administrateurs ouvrir une session via les services Terminal Server. Il s'agit d'un paramtre important qui doit tre intgr la base de donnes.
5. 6.
Vrifiez que l'option Dfinir cette stratgie dans la base de donnes est slectionne. Cochez Administrateurs, dans la section Paramtre de base de donnes. Cela autorise les Administrateurs se connecter la base de donnes via les services Terminal Server. Cela ne modifie pas le modle et n'affecte pas la configuration en cours de l'ordinateur.
7. 8. 9.
Cliquez sur OK. Dans l'arborescence de la console, slectionnez Groupes restreints. Dans le volet d'informations, double-cliquez sur CONTOSO\SYS_DC Remote Desktop.
10. Cliquez sur l'onglet Membre de. Notez qu'au niveau de la base de donnes, le groupe SYS_DC Remote Desktop doit tre membre des Utilisateur du Bureau distance, mais que cela ne concide pas avec la configuration de l'ordinateur. 11. Vrifiez que l'option Dfinir ce groupe dans la base de donnes est slectionne. 12. Cliquez sur OK.
7-56
13. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Enregistrer. Cela enregistre la base de donnes de scurit, qui inclut les paramtres imports du modle ainsi que la modification que vous avez effectue pour autoriser les Administrateurs ouvrir une session via les services Terminal Server. Le conseil affich dans la barre d'tat lorsque vous survolez la commande Enregistrer vous suggre d'enregistrer le modle. Cela est incorrect. Vous enregistrez la base de donnes. 14. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Exporter un modle. La bote de dialogue Exporter le modle apparat. 15. Slectionnez DC Remote Desktop, puis cliquez sur Enregistrer. Vous avez remplac le modle cr dans l'exercice 2 par les paramtres dfinis dans la base de donnes du composant Configuration et analyse de la scurit.
Tche 4 : Configuration des paramtres de scurit l'aide d'une base

de donnes de scurit.
1. Fermez la console Gestion de la scurit. Si un message vous invite enregistrer les paramtres, cliquez sur Oui. Il est ncessaire de fermer et d'ouvrir nouveau la console pour actualiser l'affichage des paramtres dans le composant Modles de scurit. 2. Excutez D:\Security Management.msc en entrant des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez Modles de scurit, C:\Users\Pat.Coleman_Admin\Documents\Security\Templates, DC Remote Desktop, Stratgies locales, puis cliquez sur Attribution des droits utilisateur. Dans le volet d'informations, double-cliquez sur Autoriser l'ouverture de session par les services Terminal Server. Notez que les groupes Administrateurs et SYS_DC Remote Desktop sont autoriss ouvrir une session via les services Terminal Server dans le modle de scurit.
3.
4.
7-57
5. 6. 7.
Cliquez sur OK. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Configurer l'ordinateur maintenant. Cliquez sur OK pour confirmer le chemin du journal d'erreur. Les paramtres dans la base de donnes sont appliqus au serveur. Vous allez ensuite vrifier que la modification du droit utilisateur est applique. Excutez Stratgie de scurit locale en entrant des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez Stratgies locales, puis cliquez sur Attribution des droits utilisateur.
8.
9.
10. Double-cliquez sur Autoriser l'ouverture de session par les services Terminal Server. La bote de dialogue des proprits Autoriser l'ouverture de session par les services Terminal Server. 11. Vrifiez la prsence de Administrateurs et SYS_DC Remote Desktop. La console de Stratgie de scurit locale affiche les paramtres actuellement appliqus sur le serveur. 12. Fermez la console Stratgie de scurit locale. 13. Fermez la console personnalise Gestion de la scurit.
Rsultats : au cours de cet exercice, vous crez et appliquez un modle de scurit qui accorde au groupe SYS_DC Remote Desktop le droit d'ouvrir une session via le Bureau distance et qui ajoute le groupe au groupe Utilisateurs du Bureau distance.
7-58
Exercice 4 : Utilisation de l'Assistant Configuration de la scurit

Dans cet exercice, vous allez utiliser l'Assistant Configuration de la scurit pour crer une stratgie de scurit pour les contrleurs de domaine dans le domaine contoso.com partir de la configuration de HQDC01. Vous allez ensuite convertir la stratgie de scurit en objet GPO, que vous pouvez ensuite dployer sur tous les contrleurs de domaine l'aide de la stratgie de groupe. Les tches principales de cet exercice sont les suivantes : 1. 2. Crer une stratgie de scurit. Convertir une stratgie de scurit en objet de stratgie de groupe (GPO)
Tche 1 : Cration d'une stratgie de scurit

1. Excutez l'Assistant Configuration de la scurit, dans le dossier Outils d'administration, en entrant des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Sur la page Bienvenue dans l'Assistant Configuration de la scurit, cliquez sur Suivant. Sur la page Action de configuration, slectionnez Crer une nouvelle stratgie de scurit, puis cliquez sur Suivant. Sur la page Slectionner un serveur, acceptez le nom du serveur par dfaut HQDC01, puis cliquez sur Suivant. Sur la page Traitement de la base de donnes de configuration de la scurit, vous pouvez cliquer sur Afficher la base de donnes de configuration et consulter la configuration dtecte sur HQDC01. Cliquez sur Suivant. Sur la page d'introduction de la section Configuration des services selon les rles, cliquez sur Suivant. Sur la page Slectionnez des rles de serveur, vous pouvez consulter les paramtres dtects sur HQDC01, mais pas les modifier. Cliquez sur Suivant. Sur la page Slectionnez des fonctionnalits de clients, vous pouvez consulter les paramtres dtects sur HQDC01, mais pas les modifier. Cliquez sur Suivant.
2. 3. 4. 5.
6. 7. 8. 9.
7-59
10. Sur la page Slectionnez des options d'administration et d'autres options, vous pouvez consulter les paramtres dtects sur HQDC01, mais pas les modifier. Cliquez sur Suivant. 11. Sur la page Slectionnez des services supplmentaires, vous pouvez consulter les paramtres dtects sur HQDC01, mais pas les modifier. Cliquez sur Suivant. 12. Sur la page Gestion des services non spcifis, ne modifiez pas le paramtre par dfaut Ne pas modifier le mode de dmarrage du service. Cliquez sur Suivant. 13. Sur la page Confirmer les modifications de services, dans la liste Affichage, et slectionnez Tous les services. 14. Examinez les paramtres de la colonne Mode de dmarrage actuel, qui indiquent les modes de dmarrage de services sur HQDC01, et les compare aux paramtres de la colonne Mode de dmarrage de la stratgie. 15. Dans la liste Affichage, slectionnez Services modifis. 16. Cliquez sur Suivant. 17. Sur la page d'introduction de la section Scurit rseau, cliquez sur Suivant. 18. Sur la page Rgles de scurit rseau, vous pouvez examiner les rgles du pare-feu issues de la configuration de HQDC01. Ne modifiez aucun paramtre. Cliquez sur Suivant. 19. Sur la page d'introduction de la section Paramtres du Registre, cliquez sur Suivant. 20. Sur chaque page de la section Paramtres du Registre, examinez les paramtres (n'en modifiez aucun), puis cliquez sur Suivant. Sur la page Rsum des paramtres du Registre, examinez les paramtres et cliquez sur Suivant. 21. Sur la page d'introduction de la section Stratgie d'audit, cliquez sur Suivant. 22. Sur la page Stratgie d'audit systme, examinez les paramtres (sans les modifier). Cliquez sur Suivant. 23. Sur la page Rsum de stratgie d'audit, examinez les paramtres des colonnes Paramtre actuel et Paramtre de stratgie. Cliquez sur Suivant. 24. Sur la page d'introduction de la section Enregistrer la stratgie d'audit, cliquez sur Suivant.
7-60
25. Dans la zone de texte Nom du fichier de stratgie de scurit, cliquez sur la fin du chemin du fichier et entrez DC Security Policy. 26. Cliquez sur le bouton Inclure les modles de scurit. 27. Cliquez sur Ajouter. 28. Recherchez le modle DC Remote Desktop cr dans l'exercice 3, qui se trouve dans le dossier Documents\Security\Templates. Une fois le modle slectionn, cliquez sur Ouvrir. Veillez ajouter le fichier Documents\Security\Templates\DC Remote Desktop.inf et non le modle de scurit par dfaut DC Security.inf. 29. Cliquez sur OK pour fermer la bote de dialogue Inclure les modles de scurit. 30. Cliquez sur le bouton Afficher la stratgie de scurit. Un message vous invite confirmer l'utilisation d'un contrle ActiveX. 31. Cliquez sur Oui. 32. Examinez la stratgie de scurit. Notez que le modle DC Remote Desktop figure dans la section Modles. 33. Fermez la fentre aprs avoir examin la stratgie. 34. Dans l'Assistant Configuration de la scurit, cliquez sur Suivant. 35. Sur la page Appliquer la stratgie de scurit, acceptez le paramtre par dfaut Appliquer ultrieurement, puis cliquez sur Suivant. 36. Cliquez sur Terminer.
Tche 2 : Conversion d'une stratgie de scurit en objet de stratgie

de groupe (GPO).
1. 2. 3. 4. Excutez l'Invite de commandes en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Entrez cd c:\windows\security\msscw\policies et appuyez sur Entre. Entrez scwcmd transform /?, puis appuyez sur Entre. Utilisez la commande scwcmd.exe pour convertir la stratgie de scurit appele DC Security Policy.xml en objet GPO appel DC Security Policy .
7-61
5. 6.
Excutez Gestion des stratgies de groupe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Examinez les paramtres de l'objet GPO DC Security Policy. Vrifiez que le droit utilisateur Autoriser l'ouverture de session par les services Terminal Server est attribu aux groupes BUILTIN\Administrateurs et CONTOSO\SYS_DC Remote Desktop. Vrifiez galement que le groupe CONTOSO\SYS_DC Remote Desktop est membre du groupe BUILTIN\Utilisateurs du Bureau Distant.
Rsultats : au cours de cet exercice, vous utilisez l'Assistant Configuration de la scurit pour crer une stratgie de scurit appele DC Security Policy et vous convertissez la stratgie de scurit en objet de stratgie de groupe (GPO) appel DC Security Policy.
Important : n'arrtez pas les ordinateurs virtuels la fin de cet atelier car les paramtres que vous avez configurs seront utiliss dans les ateliers suivants.

Question : Dcrivez les relations entre les paramtres de scurit dfinis sur un serveur, la stratgie de groupe locale, les modles de scurit, la base de donnes utilise dans Configuration et analyse de la scurit, la stratgie de scurit cre par l'Assistant Configuration de la scurit et la stratgie de groupe lie au domaine.
7-62
Leon 3
Gestion de logiciels avec GPSI
Il est important de connatre les outils qui permettent de dployer des logiciels dans une entreprise, notamment Microsoft System Center Configuration Manager (SCCM, galement appel Gestionnaire de configuration) et son prdcesseur Microsoft Systems Management Server (SMS). Ces outils prsentent de grands avantages, notamment les fonctions de mesure de l'utilisation des logiciels et les systmes d'inventaire, mais vous pouvez dployer la plupart des logiciels sans ces outils, en utilisant uniquement GPSI (installation de logiciels de stratgie de groupe).
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : dployer des logiciels l'aide de GPSI ; supprimer les logiciels installs initialement avec GPSI.
7-63
Fonctionnement de l'installation de logiciels de la stratgie de groupe (GPSI)
Points cls
L'installation GPSI permet de crer un environnement de logiciels grs qui prsente les caractristiques suivantes : Les utilisateurs peuvent accder aux applications dont ils ont besoin pour effectuer leur travail, quel que soit l'ordinateur sur lequel ils ouvrent une session. Les ordinateurs comportent les applications ncessaires, sans intervention d'un technicien du support technique. Ralisation de la mise jour, la maintenance et la suppression des applications pour rpondre aux besoins de l'entreprise.
7-64
L'extension d'installation de logiciel est l'une des nombreuses extensions ct client permettant de grer les modifications et la configuration l'aide de la stratgie de groupe. Les extensions ct client ont t dcrites dans le Module 6. Cette extension permet de grer de faon centralise le dploiement initial, les mises jour et la suppression de logiciels. Toute configuration de dploiement de logiciels est gre dans un objet GPO, via des procdures qui sont dtailles ultrieurement dans cette leon. Packages Windows Installer GPSI utilise le service Windows Installer pour effectuer l'installation, la maintenance et la suppression de logiciels. Le service Windows Installer gre les logiciels partir des informations prsentes dans le package Windows Installer. Le package Windows Installer est un fichier d'extension .msi qui dcrit l'tat d'installation d'une application. Le package contient des instructions explicites concernant l'installation et la suppression d'une application. Vous pouvez personnaliser les packages Windows Installer avec l'un des types de fichier suivants : Fichiers de transformation (.mst) Ces fichiers permettent de personnaliser l'installation d'une application. Certaines applications incluent un assistant ou des modles qui permettent l'utilisateur de crer des transformations. Par exemple, Adobe fournit un outil de dploiement en entreprise pour Adobe Acrobat Reader qui gnre une transformation. De nombreuses entreprises utilisent la transformation pour configurer le contrat de licence de l'utilisateur final et dsactiver certaines fonctions de l'application, telles que les mises jour automatiques qui ncessitent l'accs Internet. Fichiers correctif (.msp) Ces fichiers permettent de mettre jour un fichier .msi existant avec des mises jour de scurit, des correctifs de bogues et des Service Packs. Un fichier .msp fournit des instructions sur l'application des fichiers et des cls du Registre aprs mise jour dans le correctif logiciel, le Service pack ou la mise jour de logiciel. Par exemple, les mises jour de Microsoft Office 2003 et versions ultrieures sont fournies sous forme de fichiers .msp.
Remarque : installation de fichiers .msp et .mst. Les fichiers .mst ou .msp ne peuvent tre dploys de faon autonome. Ils doivent tre appliqus un package Windows Installer existant.
7-65
L'installation GPSI peut, sous certaines conditions, utiliser des fichiers d'application non MSI (fichier .zap), galement appels packages d'application de bas niveau, qui dfinissent l'emplacement du point de distribution de logiciels et de la commande d'installation. Pour obtenir plus d'informations, voir l'article 231747 de la base de connaissances l'adresse http://support.microsoft.com/?kbid=231747. Mais la plupart des entreprises n'utilisent pas de fichiers .zap, car l'utilisateur doit avoir des droits d'administrateur pour installer l'application sur le systme. Lorsque GPSI installe une application via le package Windows Installer, l'utilisateur ne ncessite pas de droits d'administrateur, ce qui renforce la scurit de l'entreprise.
Remarque : GPSI et packages Windows Installer. GPSI peut grer entirement des applications uniquement si ces applications sont dployes via des packages Windows Installer. D'autres outils, notamment le Gestionnaire de configuration et SMS, permettent de grer des applications qui utilisent d'autres mcanismes de dploiement.
Les fichiers .msi, de transformation et les autres fichiers requis pour installer une application sont stocks dans un point de distribution de logiciels en partage.
7-66
Options de dploiement de logiciel
Vous pouvez dployer des logiciels en attribuant des applications aux utilisateurs ou aux ordinateurs, ou en publiant des applications pour les utilisateurs. Vous attribuez les logiciels ncessaires ou obligatoires aux utilisateurs ou aux ordinateurs. Vous publiez les logiciels que les utilisateurs peuvent trouver utiles pour effectuer leur travail. Attribution d'applications Lorsque vous attribuez une application un utilisateur, les paramtres du Registre local de l'application sont mis jour (notamment les extensions des noms de fichier) et des raccourcis sont crs dans le menu Dmarrer ou le Bureau, ce qui informe l'utilisateur de la disponibilit de l'application. Ces informations sur l'application suivent l'utilisateur quel que soit l'ordinateur physique sur lequel il ouvre une session. Cette application est installe lorsque l'utilisateur active pour la premire fois l'application sur l'ordinateur, soit en slectionnant l'application dans le menu Dmarrer ou en ouvrant un document associ l'application. Lorsque vous attribuez une application l'ordinateur, l'application est installe durant le processus de dmarrage de l'ordinateur.
7-67
Publication d'applications Lorsque vous publiez une application pour les utilisateurs, l'application ne semble pas installe sur les ordinateurs des utilisateurs. Aucun raccourci n'est visible sur le bureau ni le menu Dmarrer. L'application apparat sous forme d'application disponible que l'utilisateur peut installer via Ajouter ou supprimer des programmes dans le Panneau de configuration sur un systme Windows XP ou Programmes et fonctionnalits sur un systme Windows Server 2008, Windows Vista ou Windows 7. De plus, l'application peut tre installe lorsqu'un utilisateur ouvre un type de fichier associ l'application. Par exemple, si Acrobat Reader est propose aux utilisateurs, il est install lorsque l'utilisateur ouvre un fichier d'extension .pdf. tant donn que les applications peuvent tre attribues ou publies et cibles des utilisateurs ou ordinateurs, vous pouvez tablir une combinaison exploitable pour atteindre vos objectifs de gestion de logiciels. Le tableau ci-aprs rpertorie les diffrentes options de dploiement de logiciel. Options de dploiement de logiciel
Publier (Utilisateur Attribuer uniquement) (Utilisateur) Aprs le dploiement de l'objet GPO, le logiciel peut tre install : En gnral, l'utilisateur installe le logiciel depuis : la prochaine ouverture de session utilisateur. la prochaine ouverture de session utilisateur.
Attribuer (Ordinateur) Au prochain dmarrage de l'ordinateur.
Ajouter ou supprimer des programmes dans le Panneau de configuration (Windows XP) ou Programmes et fonctionnalits (Windows Server 2008, Windows Vista, Windows 7).
Menu Dmarrer ou raccourci sur le bureau. Une application peut galement tre configure pour tre automatiquement installe l'ouverture de la session.
Le logiciel est automatiquement install au dmarrage de l'ordinateur.
7-68
(suite)
Publier (Utilisateur Attribuer uniquement) (Utilisateur) Si le logiciel n'est pas install, lorsque l'utilisateur ouvre un fichier associ au logiciel, le logiciel est-il install ? L'utilisateur peut-il supprimer le logiciel via le Panneau de configuration ? Fichiers d'installation pris en charge : Oui (si l'installation automatique est active). Oui.
Attribuer (Ordinateur) Non applicable. Le logiciel est dj install.
Oui, et il peut l'installer nouveau partir du Panneau de configuration. Packages Windows Installer (fichiers .msi), fichiers .zap.
Oui, et le logiciel peut tre install partir des raccourcis du menu Dmarrer ou des associations de fichier. Packages Windows Installer (fichiers .msi).
Non. Seul un administrateur local peut supprimer le logiciel. Un utilisateur peut lancer la rparation du logiciel. Packages Windows Installer (fichiers .msi).
Vue d'ensemble de l'installation de logiciels de stratgie de groupe (GPSI) : http://go.microsoft.com/fwlink/?LinkId=168691
7-69
Dmonstration : Cration d'un point de distribution de logiciels
Points cls
Maintenant que vous connaissez le fonctionnement de l'installation GPSI, vous pouvez prparer le point de distribution de logiciels. Le point de distribution de logiciels est simplement un dossier partag qui permet aux utilisateurs et aux ordinateurs d'installer des applications. Crez un dossier partag et crez un dossier distinct pour chaque application. Puis, copiez le package logiciel, les modifications et tous les autres fichiers ncessaires dans les dossiers des applications. Dfinissez les droits d'accs aux dossiers pour accorder aux utilisateurs ou aux ordinateurs les droits de Lecture et excution (autorisation minimale requise pour installer une application partir du point de distribution). Les administrateurs du point de distribution de logiciels doivent avoir le droit de modifier et supprimer des fichiers afin d'assurer la maintenance du point de distribution.
7-70
1. 2. 3. 4. Dmarrez 6238B-HQDC01-A, ouvrez une session sous le nom Pat.Coleman avec le mot de passe Pa$$w0rd. Dmarrez 6238B-SERVER01-A mais n'ouvrez pas de session. Basculez vers HQDC01. Excutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez le domaine contoso.com et l'unit d'organisation Groupes, puis cliquez sur l'unit d'organisation Application. Cliquez avec le bouton droit sur l'unit d'organisation Application, pointez sur Nouveau, puis cliquez sur Groupe. Entrez APP_XML Notepad et appuyez sur Entre. Dans l'arborescence de la console, dveloppez le domaine contoso.com et l'unit d'organisation Serveurs, puis cliquez sur l'unit d'organisation Fichier. Dans le volet d'informations, cliquez avec le bouton droit sur SERVER01, puis cliquez sur Grer. La console Gestion de l'ordinateur s'ouvre, et SERVER01 est slectionn. 10. Dans l'arborescence de la console, dveloppez Outils systme et Dossiers partags, puis cliquez sur Partages. 11. Cliquez avec le bouton droit sur Partages, puis cliquez sur Nouveau partage. L'assistant Crer un dossier partag apparat. 12. Cliquez sur Suivant. 13. Dans la zone Chemin du dossier, entrez C:\Software, puis cliquez sur Suivant. Un message vous demande si vous souhaitez crer le dossier. 14. Cliquez sur Oui. 15. Acceptez le Nom du partage par dfaut, Software puis cliquez sur Suivant. 16. Cliquez sur Personnaliser les autorisations, puis cliquez sur le bouton Personnaliser. 17. Cliquez sur l'onglet Scurit.
5.
6. 7. 8. 9.
7-71
18. Cliquez sur Avanc... La bote de dialogue Paramtres de scurit avancs. 19. Cliquez sur Modifier. 20. Dslectionnez l'option Inclure les autorisations pouvant tre hrites du parent de cet objet. Une bote de dialogue vous demande si vous souhaitez copier ou supprimer les autorisations. 21. Cliquez sur Copier. 22. Slectionnez la premire autorisation attribue au groupe Utilisateurs, puis cliquez sur Supprimer. 23. Slectionnez l'autre autorisation attribue au groupe Utilisateurs, puis cliquez sur Supprimer. 24. Slectionnez l'autorisation attribue au groupe Crateur propritaire, puis cliquez sur Supprimer. 25. Cliquez sur OK deux fois pour fermer les botes de dialogue Paramtres de scurit avancs. 26. Dans la bote de dialogue Personnaliser les autorisations, cliquez sur l'onglet Autorisations de partage. 27. Cochez l'option Contrle total, ainsi que l'option Autoriser. Au niveau de la gestion de la scurit, il est recommand de configurer les autorisations minimales de la liste de contrle d'accs de la ressource. Cela est appliqu aux utilisateurs quelle que soit la manire dont ceux-ci se connectent la ressource. Vous pouvez alors utiliser l'autorisation Contrle total sur le dossier partag SMB. Le niveau d'accs rsultant est constitu des autorisations les plus strictes dfinies dans la liste de contrle d'accs du dossier. 28. Cliquez sur OK. 29. Cliquez sur Terminer. 30. Cliquez sur Terminer pour fermer l'assistant. 31. Cliquez sur Dmarrer, sur Excuter, entrez \\SERVER01\c$, puis appuyez sur Entre. La bote de dialogue Connexion SERVER01 s'affiche. 32. Dans la zone Nom d'utilisateur, entrez CONTOSO\Pat.Coleman_Admin.
7-72
33. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre. Une fentre de l'explorateur Windows s'ouvre et affiche le lecteur C sur SERVER01. 34. Ouvrez le dossier Software. 35. Cliquez sur le menu Fichier, pointez sur Nouveau, puis cliquez sur Dossier. Un Nouveau dossier est cr, il est prt tre renomm. 36. Entrez XML Notepad et appuyez sur Entre. 37. Cliquez avec le bouton droit sur le dossier XML Notepad, puis cliquez sur Proprits. 38. Cliquez sur l'onglet Scurit. 39. Cliquez sur Modifier. 40. Cliquez sur Ajouter. La bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes s'affiche. 41. Entrez APP_XML Notepad et appuyez sur Entre. Les droits par dfaut Lecture et Excution sont attribus au groupe. 42. Cliquez sur OK deux fois pour fermer les botes de dialogue. 43. Ouvrez le dossier XML Notepad. 44. Ouvrez le dossier D:\Labfiles\Lab07b dans une nouvelle fentre. 45. Cliquez avec le bouton droit sur XMLNotepad.msi, puis cliquez sur Copier. 46. Basculez vers la fentre de l'explorateur Windows qui affiche \\server01\c$\Software\XML Notepad. 47. Cliquez avec le bouton droit dans le volet d'informations, puis cliquez sur Coller. XML Notepad est copi dans le dossier situ sur SERVER01. 48. Fermez toutes les fentres de l'explorateur Windows. 49. Fermez la console Gestion de l'ordinateur.
7-73
Cration et dfinition de l'tendue d'un objet GPO de dploiement de logiciel
Points cls
Pour crer un objet GPO (objet de stratgie de groupe) de dploiement de logiciel : 1. 2. 3. Sur la console Gestion des stratgies de groupe, crez un objet de stratgie de groupe (GPO) ou slectionnez-en un existant. Ouvrez l'objet dans l'diteur de gestion des stratgies de groupe. Dveloppez les nuds de la console Configuration ordinateur\Stratgies \Paramtres du logiciel\Installation de logiciel. Vous pouvez galement slectionner le nud Installation de logiciel dans Configuration utilisateur. Cliquez avec le bouton droit sur Installation de logiciel, slectionnez Nouveau, puis Package.
4.
7-74
5.
Recherchez le fichier .msi de l'application. Cliquez sur Ouvrir. La bote de dialogue Dploiement du logiciel s'affiche, comme dans la capture d'cran ci-dessous :
6.
Slectionnez Publi, Attribu ou Avanc. Comme vous ne pouvez pas publier une application sur des ordinateurs, l'option n'est pas disponible si vous crez le package sur le nud Installation de logiciel de Configuration ordinateur. L'option Avanc vous permet d'indiquer si l'application est publie ou attribue, ainsi que de configurer les proprits avances du package logiciel. Il est donc conseill de choisir l'option Avanc. La bote de dialogue Proprits du package s'affiche. Vous pouvez configurer diffrentes proprits, les plus importantes tant : Type de dploiement : sur l'onglet Dploiement, configurez Publi ou Attribu. Options de dploiement : en fonction du type de dploiement slectionn, diffrents choix sont affichs dans la section Options de dploiement. Ces options (ainsi que d'autres paramtres de l'onglet Dploiement) dterminent le fonctionnement de l'installation des applications. Dsinstaller cette application lorsqu'elle se trouve en dehors de l'tendue de la gestion : si vous slectionnez cette option, l'application est automatiquement supprime lorsque l'objet GPO ne s'applique plus l'utilisateur ou l'ordinateur.
7-75
Mises niveau : sur l'onglet Mises jour, vous pouvez indiquer le logiciel mettre jour avec ce package. Les mises jour sont expliques dans la section "Maintenance de logiciels dploys avec GPSI" plus loin dans cette leon. Catgories : l'onglet Catgories vous permet d'associer le package une ou plusieurs catgories. Les Catgories sont utiles lorsqu'une application est publie pour un utilisateur. Lorsque l'utilisateur ouvre le Panneau de configuration pour installer un programme, les applications publies avec GPSI sont prsentes dans des groupes reposant sur ces catgories. Pour crer des catgories associer aux packages, cliquez avec le bouton droit sur Installation de logiciel et slectionnez Proprits, puis cliquez sur l'onglet Catgories.
Modifications : si un fichier de transformation (fichier .mst) personnalise le package, cliquez sur le bouton Ajouter pour associer la transformation au package. La plupart des onglets de la bote de dialogue Proprits du package sont accessibles pour vous permettre de modifier les paramtres lorsque vous le souhaitez. Cependant, l'onglet Modifications est accessible uniquement lorsque vous crez le nouveau package et choisissez l'option Avanc.
Gestion de l'tendue d'un objet GPO de dploiement de logiciel Aprs avoir cr un objet GPO de dploiement de logiciel, vous pouvez dfinir son tendue pour distribuer le logiciel aux ordinateurs ou utilisateurs souhaits. Dans la plupart des scnarios de gestion de logiciels, les applications doivent tre attribues aux ordinateurs et non aux utilisateurs. En gnral, les licences des logiciels permettent d'installer une application sur un ordinateur. Si l'application est attribue un utilisateur, l'application est installe sur chaque ordinateur sur lequel l'utilisateur va ouvrir une session. Comme l'explique le Module 6, vous pouvez dfinir l'tendue d'un objet GPO en reliant l'objet GPO une unit d'organisation ou en filtrant l'objet GPO afin qu'il s'applique uniquement un groupe de scurit global spcifique. Dans de nombreuses entreprises, il s'avre plus simple de grer les logiciels en reliant l'objet GPO d'une application au domaine et en filtrant l'objet GPO avec un groupe de scurit global qui contient les utilisateurs et les ordinateurs sur lesquels l'application doit tre dploye. Par exemple, un objet GPO qui dploie l'outil XML Notepad (disponible sur le site de tlchargement de Microsoft l'adresse http://www.microsoft.com/downloads) peut tre li au domaine et filtr pour un groupe incluant des dveloppeurs qui ont besoin de l'outil. Un nom descriptif peut tre attribu au groupe afin d'indiquer que l'objectif est la gestion du dploiement de XML Notepad, par exemple APP_XML Notepad.
7-76
Maintenance de logiciels dploys avec GPSI
Points cls
Lorsqu'un ordinateur installe une application via le package Windows Installer dfini par un objet GPO, il ne tente pas ensuite de rinstaller l'application chaque actualisation de la stratgie de groupe. Dans certains cas, il peut tre ncessaire de forcer les systmes rinstaller l'application. Par exemple, lorsque des petites modifications sont effectues sur le package Windows Installer d'origine. Pour redployer une application dploye avec la stratgie de groupe : Cliquez avec le bouton droit sur l'objet GPO Toutes les tches, puis slectionnez Redploiement des applications.
7-77
Vous pouvez galement mettre niveau une application qui a t dploye avec GPSI. 1. Crez un package pour la nouvelle version de l'application sur le nud Installation de logiciel de l'objet GPO. Le package peut se trouver dans le mme objet GPO que le package de la version prcdente ou dans un autre objet GPO. 2. 3. Cliquez avec le bouton droit sur le package et slectionnez Proprits. Cliquez sur l'onglet Mises jour, puis sur le bouton Ajouter. La bote de dialogue Ajout d'un package de mise niveau s'affiche.
4.
Indiquez si le package de la version prcdente de l'application est l'objet GPO en cours ou un autre objet GPO. Si le package prcdent est un autre objet GPO, cliquez sur le bouton Parcourir pour slectionner cet objet GPO. Puis slectionnez le package dans la liste Package mettre jour. Selon vos connaissances sur le fonctionnement des mises jour de l'application, slectionnez l'une des options de mise jour proposes au bas de la bote de dialogue. Dsinstaller le package existant, puis installer le package de mise niveau Le package peut mettre niveau le package existant
5. 6.
7.
Cliquez sur OK.
7-78
Vous pouvez galement supprimer une application qui a t dploye avec GPSI. 1. 2. Cliquez avec le bouton droit sur le package, cliquez sur Toutes les tches, puis slectionnez Supprimer. Dans la bote de dialogue Suppression de logiciel, slectionnez l'une des deux options suivantes : Dsinstaller immdiatement le logiciel des utilisateurs et des ordinateurs. Cette option (appele suppression force) provoque la suppression de l'application sur les ordinateurs. Si l'application a t dploye avec un package dans la partie Configuration ordinateur de l'objet GPO, l'extension d'installation de logiciel supprime l'application lorsque l'ordinateur redmarre. Si le package se trouve dans la partie Configuration utilisateur, l'application est dsinstalle lors de la session suivante de l'utilisateur. Autorise les utilisateurs continuer utiliser le logiciel, mais empche les nouvelles installations. Si ce paramtre (appel suppression facultative) est activ, l'extension d'installation de logiciel empche l'ajout du package sur des systmes sur lesquels le package n'a pas t install. Sur les ordinateurs o l'application a t prcdemment installe, l'application n'est pas dsinstalle et les utilisateurs peuvent continuer l'utiliser.
Si vous utilisez l'une de ces deux options pour supprimer le logiciel avec GPSI, il est important d'autoriser les paramtres dans l'objet GPO pour permettre la propagation tous les ordinateurs de l'tendue de l'objet GPO avant de supprimer, dsactiver ou dissocier l'objet GPO. Les clients doivent recevoir ce paramtre qui dfinit la suppression force ou facultative. Si l'objet GPO est supprim ou n'est plus appliqu avant que ce paramtre soit reu par tous les clients, le logiciel n'est pas supprim selon vos instructions. Cela est particulirement important dans les environnements o des utilisateurs mobiles quips d'ordinateurs portables ne peuvent pas se connecter au rseau rgulirement. Lors de la cration du package logiciel, si vous choisissez l'option "Dsinstaller cette application lorsqu'elle se trouve en dehors de l'tendue de la gestion", vous pouvez simplement supprimer, dsactiver ou dissocier l'objet GPO et l'application est obligatoirement supprime par tous les clients qui ont install le package avec ce paramtre.
7-79
GPSI et liaisons lentes
Points cls
Si un client actualise la stratgie de groupe, il teste les performances du rseau pour dterminer si la connexion est tablie sur une liaison lente dfinie par dfaut 500 kilobits par seconde (Kbits/s). Chaque extension ct client est configure pour traiter la stratgie de groupe ou ignorer l'application des paramtres sur une liaison lente. Par dfaut, l'installation GPSI ne traite pas les paramtres de stratgie de groupe sur une liaison lente car l'installation de logiciels peut s'avrer trop longue effectuer. Vous pouvez modifier le fonctionnement du traitement de la stratgie sur liaison lente pour chaque extension ct client, l'aide des paramtres de stratgie placs dans Configuration ordinateur\Stratgies\Modles d'administration\Systme\Stratgie de groupe. Par exemple, vous pouvez modifier le comportement de l'extension d'installation de logiciel de faon traiter les stratgies sur une liaison lente.
7-80
Vous pouvez galement modifier le seuil partir duquel la vitesse de connexion constitue une liaison lente. Grce la configuration d'un seuil infrieur pour la vitesse de connexion, une liaison lente peut paratre rapide au niveau des extensions ct client. Diffrents paramtres de Dtection d'une liaison lente d'une stratgie de groupe sont dfinis pour le traitement de la stratgie de l'ordinateur et le traitement de la stratgie de l'utilisateur. Les stratgies se trouvent dans les dossiers Modles d'administration\Systme\Stratgie de groupe, dans Configuration ordinateur et Configuration utilisateur.
7-81
Atelier pratique C : Gestion de logiciels avec GPSI
Scnario
Vous tes administrateur chez Contoso, Ltd. Les dveloppeurs souhaitent utiliser XML Notepad pour modifier des fichiers XML et vous souhaitez automatiser le dploiement et la gestion du cycle de vie de l'application. Vous dcidez d'utiliser l'installation de logiciels de stratgie de groupe (GPSI). Pour la plupart des applications, la licence est associe un ordinateur. Vous allez donc dployer XML Notepad sur les ordinateurs des dveloppeurs, plutt que d'associer l'application leur compte utilisateur.
7-82
Exercice 1 : Dploiement de logiciel avec GPSI

Pour effectuer cet exercice, vous allez utiliser GPSI pour dployer XML Notepad sur les ordinateurs, notamment DESKTOP101. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. Prparer l'atelier pratique. Crer un dossier de distribution de logiciel Crer un objet GPO de dploiement de logiciel Dployer le logiciel sur les ordinateurs. Vrifier le dploiement du logiciel.

1. 2. 3. Dmarrez 6238B-HQDC01-A et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Dmarrez 6238B-SERVER01-A, mais n'ouvrez pas de session. Attentez la fin du dmarrage de SERVER01 avant d'effectuer la tche suivante.
Tche 2 : Cration d'un dossier de distribution de logiciel

1. Sur HQDC01, excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'unit d'organisation Groups\Application, crez un groupe de scurit global nomm APP_XML Notepad. Dans l'unit d'organisation Servers\File, cliquez avec le bouton droit sur SERVER01 et cliquez sur Grer. l'aide du composant Dossiers partags, crez un dossier partag C:\Software, en attribuant le nom de partage Software. Configurez les autorisations NTFS de la faon suivante : Systme::Autoriser::Contrle total Administrateurs::Autoriser::Contrle total
2. 3. 4.
Configurez l'autorisation de partage de faon accorder au groupe Tout le monde le Contrle total.
7-83
Au niveau de la gestion de la scurit, il est recommand de configurer les autorisations minimales de la liste de contrle d'accs de la ressource. Cela est appliqu aux utilisateurs quelle que soit la manire dont ceux-ci se connectent la ressource. Vous pouvez alors utiliser l'autorisation Contrle total sur le dossier partag SMB. Le niveau d'accs rsultant est constitu des autorisations les plus strictes dfinies dans la liste de contrle d'accs du dossier. 5. 6. 7. 8. 9. Ouvrez le partage administratif du lecteur C sur SERVER01 (\\SERVER01\c$) en tant que Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. Dans le dossier Software de SERVER01, crez un dossier appel XML Notepad. Ajoutez des droits au dossier XML Notepad afin que le groupe APP_XML Notepad ait des droits de Lecture et Excution. Copiez XML Notepad.msi (situ sur D:\Labfiles\Lab07b) dans \\SERVER01\c$\Software\XML Notepad. Fermez toutes les fentres de l'explorateur Windows.
10. Fermez la console Gestion de lordinateur.
Tche 3 : Cration d'un objet GPO de dploiement de logiciel

1. 2. 3. 4. 5. Excutez Gestion des stratgies de groupe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans le conteneur Objets de stratgie de groupe, crez un objet GPO appel XML Notepad. Modifiez l'objet GPO. Dveloppez Configuration ordinateur, Stratgies, Paramtres du logiciel, puis cliquez sur Installation de logiciel. Cliquez avec le bouton droit sur Installation de logiciel, pointez sur Nouveau, puis cliquez sur Package Dans la zone de texte Nom de fichier, entrez le chemin d'accs rseau du dossier de distribution de logiciel, \\server01\software\XML Notepad, et appuyez sur Entre. Slectionnez le package Windows Installer XmlNotepad.msi, puis cliquez sur Ouvrir. Aprs quelques instants d'attente, la bote de dialogue Dploiement de logiciel s'affiche. 7. Cliquez sur Avanc, puis sur OK.
6.
7-84
8. 9.
Sur l'onglet Gnral, notez que le nom du package indique la version : XML Notepad 2007. Cliquez sur l'onglet Dploiement. Notez que lors du dploiement de logiciel sur des ordinateurs, la seule option est Attribu. Examinez les options disponibles si vous attribuez ou publiez l'application aux utilisateurs.
10. Slectionnez Dsinstaller cette application lorsqu'elle se trouve en dehors de l'tendue de la gestion. 11. Cliquez sur OK. 12. Fermez l'diteur de gestion des stratgies de groupe. 13. Dfinissez l'tendue de l'objet GPO de faon l'appliquer uniquement aux membres de APP_XML Notepad, et pas aux Utilisateurs authentifis. 14. Associez l'objet GPO l'unit d'organisation Client Computers.
Tche 4 : Dploiement du logiciel sur les ordinateurs

1. 2. Ajoutez DESKTOP101 au groupe APP_XML Notepad. Dmarrez 6238B-DESKTOP101-A mais n'ouvrez pas de session.
Tche 5 : Vrification du dploiement du logiciel

1. 2. Ouvrez une session sur DESKTOP101 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Vrifiez que XML Notepad a t install.
Remarque : il peut tre ncessaire d'effectuer deux dmarrages pour achever l'installation de XML Notepad. Donc si vous ne trouvez pas Notepad, redmarrez l'ordinateur virtuel. Vous devrez peut-tre le faire deux fois.
Rsultats : au cours de cet exercice, vous dployez XML Notepad sur DESKTOP101.
7-85
Exercice 2 : Mise niveau d'applications avec GPSI

Dans cet exercice, vous allez simuler le dploiement d'une mise niveau de XML Notepad. La tche principale de cet exercice est la suivante : Crer un package de mise niveau avec GPSI.
Tche 1 : Cration d'un package de mise niveau avec GPSI

1. 2. Basculez vers HQDC01. Dans l'arborescence de la console Gestion de stratgie de groupe, cliquez avec le bouton droit sur l'objet GPO XML Notepad dans le conteneur Objets de stratgie de groupe, et cliquez sur Modifier. L'diteur de gestion des stratgies de groupe s'ouvre. 3. 4. 5. Dans l'arborescence de la console, dveloppez Configuration ordinateur, Stratgies, Paramtres du logiciel, puis cliquez sur Installation de logiciel. Cliquez avec le bouton droit sur Installation de logiciel, pointez sur Nouveau, puis cliquez sur Package Dans la zone de texte Nom de fichier, entrez le chemin d'accs rseau du dossier de distribution de logiciels, \\server01\software\XML Notepad, et appuyez sur Entre. Pour cet exercice, vous allez utiliser le fichier XmlNotepad.msi, qui est une mise niveau de XML Notepad. 6. Slectionnez le package Windows Installer XmlNotepad.msi, puis cliquez sur Ouvrir. La bote de dialogue Dploiement de logiciel s'affiche. 7. 8. 9. Cliquez sur Avanc, puis sur OK. Sur l'onglet Gnral, modifiez le nom du package pour indiquer qu'il s'agit de la version suivante de l'application. Entrez XML Notepad 2010. Cliquez sur l'onglet Dploiement. Comme vous dployez l'application sur des ordinateurs, la seule option pour le type de dploiement est Attribu.
10. Cliquez sur l'onglet Mises niveau. 11. Cliquez sur le bouton Ajouter. 12. Cliquez sur l'option Objet de stratgie de groupe (GPO) actuel.
7-86
13. Dans la liste Package mettre niveau, slectionnez le package de la version prcdente, XML Notepad 2007. 14. Cliquez sur Dsinstaller le package existant, puis installer le package de mise niveau. 15. Cliquez sur OK. 16. Cliquez sur OK. Dans le cas d'une mise niveau relle, le nouveau package met jour la version prcdente de l'application car les clients ont appliqu l'objet GPO XML Notepad. Comme il s'agit d'une simulation de la mise niveau, vous pouvez supprimer le package de mise jour de la simulation. 17. Cliquez avec le bouton droit sur XML Notepad 2010, que vous avez cr pour simuler la mise niveau, pointez sur Toutes les tches, puis slectionnez Supprimer. 18. Dans la bote de dialogue Suppression de logiciel, cliquez sur Dsinstaller immdiatement le logiciel des utilisateurs et des ordinateurs, puis sur OK.
Rsultats : au cours de cet exercice, vous simulez une mise niveau de XML Notepad avec GPSI. Important : n'arrtez pas les ordinateurs virtuels la fin de cet atelier car les paramtres que vous avez configurs seront utiliss dans les ateliers suivants.

Question : Examinez les autorisations NTFS que vous avez appliques aux dossiers Software et XML Notepad sur SERVER01. Expliquez pourquoi ces autorisations sont prfrables aux autorisations par dfaut. Question : Examinez les mthodes utilises pour dfinir l'tendue du dploiement de XML Notepad : Attribution d'application aux ordinateurs, filtrage de l'objet GPO pour l'appliquer au groupe APP_XML Notepad qui contient uniquement des ordinateurs, et association de l'objet GPO l'unit d'organisation Client Computers. Pourquoi cette approche est-elle avantageuse pour le dploiement de la plupart des logiciels ? Quel est l'inconvnient si l'tendue du dploiement de logiciel est dfinie sur les utilisateurs plutt que sur les ordinateurs ?
7-87
Leon 4
Audit
L'audit est un composant important de la scurit. L'audit permet de consigner des activits spcifiques de l'entreprise dans le journal de scurit Windows, que vous pouvez analyser pour comprendre ces activits et identifier les problmes traiter. L'audit permet de consigner des activits en vue de gnrer de la documentation sur les modifications. Il permet galement de consigner les checs des tentatives d'accs potentiellement malveillantes aux ressources de l'entreprise. L'audit peut faire intervenir jusqu' trois outils de gestion : stratgie d'audit, audit des paramtres sur les objets, et le journal de scurit. Cette leon explique comment configurer l'audit dans diffrents scnarios courants.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : configurer une stratgie d'audit ; configurer des paramtres d'audit sur des objets de systme de fichiers ; afficher le journal de scurit l'aide du composant Observateur d'vnements.
7-88
Prsentation des stratgies d'audit
Points cls
Une stratgie d'audit configure un systme pour auditer des catgories d'activits. Si la stratgie d'audit n'est pas active, un serveur n'audite pas ces activits. La capture d'cran de la page suivante reprsente le nud Stratgie d'audit d'un objet GPO :
7-89
Pour configurer l'audit, vous devez dfinir le paramtre de stratgie. Double cliquez sur un paramtre de stratgie et slectionnez l'option Dfinir ces paramtres de stratgie. Puis activez l'audit des russites, l'audit des checs ou les deux. Le tableau suivant dfinit chaque stratgie d'audit et les paramtres par dfaut correspondants sur un contrleur de domaine Windows Server 2008. Stratgies d'audit
Paramtre par dfaut pour les Contrleurs de domaine Windows Server 2008 Les connexions aux comptes russies sont audites.
Paramtre de stratgie d'audit Auditer les vnements de connexion aux comptes
Description Cration d'un vnement lors de la demande d'authentification d'un utilisateur ou d'un ordinateur avec un compte Active Directory. Par exemple, lorsqu'un utilisateur ouvre une session sur un ordinateur du domaine, un vnement de connexion un compte est gnr.
7-90
(suite)
Paramtre par dfaut pour les Contrleurs de domaine Windows Server 2008 Les connexions russies sont audites.
Paramtre de stratgie d'audit Audit des vnements de connexion
Description Cration d'un vnement lorsqu'un utilisateur se connecte de faon interactive (localement) un ordinateur ou via le rseau ( distance). Par exemple, si un poste de travail et un serveur sont configurs pour auditer les connexions, le poste de travail audite la connexion d'un utilisateur directement sur ce poste de travail. Si l'utilisateur se connecte un dossier partag situ sur le serveur, le serveur consigne cette connexion distance. Lorsqu'un utilisateur se connecte, le contrleur de domaine enregistre une connexion car les stratgies et les scripts de connexion proviennent du contrleur de domaine. vnements d'audit, notamment la cration, la suppression ou la modification de comptes d'utilisateur, de groupe ou d'ordinateur et rinitialisation des mots de passe utilisateur. Audit des vnements dfinis dans la liste de contrle d'accs systme (SACL), qui s'affiche dans la bote de dialogue des Proprits des paramtres de scurit avancs de l'objet Active Directory. Outre la dfinition de la stratgie d'audit avec ce paramtre, vous devez galement configurer l'audit de l'objet ou des objets spcifiques en utilisant la liste SACL du ou des objets. Cette stratgie est similaire la stratgie Auditer l'accs aux objets, qui permet d'auditer des fichiers et des dossiers, mais elle s'applique aux objets Active Directory.
Gestion des comptes d'audit
Les activits de gestion de compte russies sont audites.
Auditer l'accs au service d'annuaire
Les vnements d'accs au service d'annuaire russis sont audits, mais peu de listes SACL d'objets dfinissent les paramtres d'audit.
7-91
(suite)
Paramtre par dfaut pour les Contrleurs de domaine Windows Server 2008 Les modifications de stratgies russies sont audites. Aucun audit n'est effectu par dfaut.
Paramtre de stratgie d'audit Audit des modifications de stratgie Audit de l'utilisation des privilges Audit des vnements systme Audit du suivi des processus
Description Audit des modifications des stratgies d'attribution de droits utilisateur, des stratgies d'audit ou de stratgies d'approbation. Audit de l'utilisation d'un privilge ou un droit utilisateur. Voir la description de cette stratgie dans l'diteur de gestion des stratgies de groupe. Audit du redmarrage et de l'arrt du systme, ou des modifications qui affectent le systme ou le journal de scurit. Audit des vnements tels que l'activation de programme et la sortie de processus. Voir la description de cette stratgie dans l'diteur de gestion des stratgies de groupe. Audit de l'accs aux objets, tels que les fichiers, les dossiers, les cls du Registre et les imprimantes, associs une liste SACL spcifique. Outre l'activation de cette stratgie d'audit, vous devez configurer les entres d'audit des listes SACL des objets.
Les vnements systme russis sont audites. Aucun vnement n'est audit.
Audit de l'accs aux objets
Aucun vnement n'est audit.
Comme vous pouvez le constater, la plupart des vnements Active Directory sont dj audits par des contrleurs de domaine, ce qui suppose que les vnements sont russis. Par consquent, la cration d'un utilisateur, la rinitialisation du mot de passe d'un utilisateur, la connexion au domaine et la rcupration des scripts de connexion d'un utilisateur sont consigns.
7-92
Toutefois, tous les vnements d'chec sont audits par dfaut. Vous pouvez implmenter d'autres audits d'checs en fonction des stratgies et des besoins de la scurit informatique de votre entreprise. L'audit des checs de connexion aux comptes, par exemple, permet de dceler les tentatives malveillantes d'accs au domaine d'aprs des tentatives rptes de connexion un compte utilisateur de domaine sans connaissance du mot de passe du compte. L'audit des checs d'vnements de gestion de compte peut rvler des tentatives de manipulation des membres d'un groupe protg de faon spciale. L'une des tches les plus importantes que vous devez effectuer est d'quilibrer et d'adapter la stratgie d'audit en fonction des stratgies de votre entreprise et du contexte rel. La stratgie de l'entreprise peut ncessiter l'audit des checs de connexion et des modifications russies des utilisateurs et groupes Active Directory. Cela est simple obtenir dans Active Directory. Mais comment allezvous utiliser ces informations ? Les journaux d'audit dtaills sont inutiles si vous ne savez pas comment ou avec quels outils les grer efficacement. Pour implmenter l'audit, vous devez connatre les besoins d'audit de l'entreprise et disposer d'une stratgie d'audit bien configure, ainsi que des outils permettant de grer les vnements audits.
7-93
Dfinition des paramtres d'audit sur un fichier ou un dossier
Points cls
Beaucoup d'entreprises choisissent d'auditer l'accs au systme de fichiers afin d'obtenir des informations sur l'utilisation des ressources et les problmes de scurit potentiels. Windows Server 2008 prend en charge l'audit granulaire en fonction des comptes d'utilisateur ou de groupe et des actions spcifiques effectues par ces comptes. Pour configurer l'audit, effectuez les trois tapes suivantes : dfinition des paramtres d'audit, activation de la stratgie d'audit et valuation des vnements figurant dans le journal de scurit. Vous pouvez auditer l'accs un fichier ou un dossier en ajoutant des entres d'audit la liste de contrle d'accs systme (SACL) correspondante. 1. 2. Ouvrez la bote de dialogue des proprits du fichier ou du dossier, puis cliquez sur l'onglet Scurit. Cliquez sur le bouton Avanc.
7-94
3.
Cliquez sur l'onglet Audit. La bote de dialogue Paramtres de scurit avancs d'un dossier appel Confidential Data est reprsente sur la capture d'cran suivante :
4. 5.
Pour ajouter une entre, cliquez sur le bouton Modifier pour ouvrir l'onglet Audit en mode Modification. Cliquez sur le bouton Ajouter pour slectionner l'utilisateur, le groupe ou l'ordinateur auditer.
7-95
6.
La bote de dialogue Audit reprsente sur la capture d'cran suivante indique le type d'accs auditer :
Vous pouvez auditer les russites, les checs ou les deux lors des tentatives d'accs la ressource effectues par un utilisateur, un groupe ou un ordinateur selon un ou plusieurs niveaux d'accs granulaires. Vous pouvez auditer les russites dans les objectifs suivants : consigner l'accs aux ressources en vue des rapports et de la facturation ; analyser les accs qui semblent indiquer que les utilisateurs effectuent davantage d'actions que celles que vous avez prvues, ce qui indique que les autorisations ne sont pas assez strictes ; identifier les accs abusifs un compte, indication possible du piratage du compte d'utilisateur.
7-96
L'audit des checs permet d'effectuer les actions suivantes : analyser des tentatives malveillantes d'accs une ressource faisant l'objet d'un refus d'accs ; identifier les tentatives avortes d'accs un fichier ou un dossier auquel un utilisateur demande d'accder ; cela indique que les autorisations ne sont pas suffisantes pour rpondre un besoin professionnel.
L'audit des entres indique Windows d'auditer les activits russies ou les checs d'une entit de scurit (utilisateur, groupe ou ordinateur) pour utiliser une autorisation spcifique. Dans l'exemple de la capture d'cran de la bote de dialogue Audit reprsente ci-dessus, l'audit consigne les checs d'accs des utilisateurs du groupe Consultants aux donnes du dossier Confidential Data tout niveau. Cela est effectu par configuration d'une entre d'audit pour l'accs Contrle total. Le contrle total inclut tous les niveaux d'accs spcifiques, cette entre couvre donc tout type d'accs. Si un membre du groupe Consultant tente un accs et choue, l'activit est consigne. En gnral, les entres d'audit correspondent aux entres des autorisations de l'objet. En d'autres termes, vous pouvez configurer le dossier Confidential Data avec des autorisations qui empchent les Consultants d'accder son contenu. Vous pouvez alors appliquer l'audit pour identifier les Consultants qui essayent tout de mme d'accder ce dossier. Bien entendu, un membre du groupe Consultants peut galement appartenir un autre groupe qui a l'autorisation d'accder au dossier. Comme cet accs va aboutir, l'activit n'est pas consigne. Par consquent, s'il est absolument ncessaire d'empcher les utilisateurs d'accder un dossier, analysez les checs des tentatives d'accs, mais auditez galement les accs russis pour dterminer les situations dans lesquelles un utilisateur accde au dossier grce son appartenance un autre groupe, lequel peut tre potentiellement inacceptable.
Important : vitez un excs d'audit. Les journaux d'audit peuvent devenir rapidement trs volumineux. Il est donc essentiel de configurer l'audit minimum requis aux activits de l'entreprise. Si l'audit est dfini pour consigner les russites et les checs sur un dossier de donnes actif, pour le groupe Tout le monde, avec le Contrle total (toutes les autorisations), les journaux d'audit gnrs risquent d'tre extrmement volumineux et d'affecter les performances du serveur, ainsi que la recherche d'un vnement particulier.
7-97
Activation de la stratgie d'audit
Points cls
La configuration des entres d'audit dans le descripteur de scurit d'un fichier ou un dossier n'active pas l'audit. L'audit doit tre activ en dfinissant le paramtre Auditer l'accs aux objets, qui est prsent sur la page suivante :
7-98
Une fois l'audit activ, le sous-systme de scurit commence surveiller les paramtres de l'audit et consigner les accs en fonction des paramtres dfinis. Le paramtre de stratgie doit tre appliqu au serveur qui contient l'objet audit. Vous pouvez configurer le paramtre de stratgie dans l'objet GPO local du serveur ou utiliser un objet GPO dont l'tendue est le serveur. Vous pouvez dfinir la stratgie, puis auditer les russites, les checs ou les deux. Le paramtre de stratgie (reprsent ci-dessus) doit dfinir l'audit des russites ou des checs correspondant au type d'entre d'audit de la liste SACL de l'objet (reprsent dans la rubrique prcdente). Par exemple, pour consigner un chec d'accs des Consultants au dossier Confidential Data, vous devez configurer la stratgie Auditer l'accs aux objets pour auditer les checs et configurer la liste SACL du dossier Confidential Data pour auditer les checs. Si seules les russites sont audites par la stratgie d'audit, les entres des checs de la liste SACL du dossier ne dclenche pas la consignation.
Remarque : vrification de la correspondance entre la stratgie d'audit et les entres d'audit. Notez bien que l'accs audit et consign est le rsultat d'une combinaison des entres d'audit des fichiers et dossiers spcifiques et des paramtres de la stratgie d'audit. Si vous configurez les entres d'audit de faon consigner les checs, et si la stratgie active uniquement la consignation des russites, les journaux d'audit restent vides.
7-99
valuation des vnements dans le journal de scurit
Points cls
Lorsque vous activez le paramtre de stratgie Auditer l'accs aux objets et dfinissez l'accs auditer, en utilisant des listes SACL d'objets, le systme va commencer consigner l'accs en fonction des entres d'audit. Vous pouvez consulter les vnements obtenus dans le journal de scurit du serveur. Ouvrez la console Observateur d'vnements depuis le dossier Outils d'administration. Dveloppez Journaux Windows\Scurit.
7-100
Atelier pratique D : Audit de l'accs au systme de fichiers
Scnario
Dans cet atelier, vous allez configurer les paramtres d'audit, activer des stratgies d'audit pour l'accs aux objets, et filtrer des vnements particuliers dans le journal de scurit. L'objectif de l'entreprise est de surveiller un dossier contenant des donnes confidentielles qui ne doivent pas tre consultes par les utilisateurs du groupe Consultants.
7-101
Exercice 1 : Configuration des autorisations et des paramtres d'audit

Dans cet exercice, vous allez configurer des autorisations dans le dossier Confidential Data pour refuser l'accs aux consultants. Vous allez ensuite activer l'audit des tentatives d'accs au dossier effectues par les consultants. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Prparer l'atelier pratique. Crer et scuriser un dossier partag. Configurer des paramtres d'audit sur un dossier.

1. 2. 3. 4. Dmarrez 6238B-HQDC01-A et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Dmarrez 6238B-SERVER01-A mais n'ouvrez pas de session. Dmarrez 6238B-DESKTOP101-A mais n'ouvrez pas de session. Attendez la fin du dmarrage de tous les ordinateurs virtuels pour passer la tche suivante.
Tche 2 : Cration et scurisation d'un dossier partag

1. 2. Basculez vers HQDC01. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'unit d'organisation Groups\Role, crez un groupe de scurit global nomm Consultants. Ajoutez Mike.Danseglio au groupe Consultants. Crez un nouveau dossier dans \\server01\c$\data appel Confidential Data. Configurez des autorisations NTFS de faon refuser au groupe Consultants l'accs au dossier.
3. 4. 5. 6.
7-102
Tche 3 : Configuration des paramtres d'audit sur un dossier

Configurez des paramtres d'audit dans le dossier Confidential Data pour auditer tout chec d'accs provenant du groupe Consultants.
7-103
Exercice 2 : Configuration de la stratgie d'audit

Dans cet exercice, vous allez activer l'audit de l'accs au systme de fichiers sur les serveurs de fichiers en utilisant la stratgie de groupe. Les tches principales de cet exercice sont les suivantes : Activer l'audit de l'accs au systme de fichiers en utilisant la stratgie de groupe.
Tche 1 : Activation de l'audit d'accs au systme de fichiers en

utilisant la stratgie de groupe
1. 2. 3. 4. Excutez Gestion des stratgies de groupe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Crez un objet GPO (ou objet de stratgie de groupe) nomm File Server Auditing. Configurez l'objet GPO de faon auditer les checs d'accs aux objets. Associez l'objet GPO l'unit d'organisation Servers\File.
Rsultats : au cours de cet exercice, vous configurez l'audit des checs d'accs aux objets du systme de fichiers sur les serveurs de l'unit d'organisation Servers\File.
7-104
Exercice 3 : Analyse des vnements de l'audit

Dans cet exercice, vous allez auditer des vnements d'chec, puis examiner les messages du journal d'vnements de scurit. Les tches principales de cet exercice sont les suivantes : 1. 2. Gnrer des vnements d'audit. Examiner les messages du journal d'vnements d'audit.
Tche 1 : Cration des vnements d'audit

1. 2. 3. 4. 5. 6. Ouvrez une session sur SERVER01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Excutez l'Invite de commandes en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Actualisez la Stratgie de groupe pour appliquer les nouveaux paramtres d'audit en excutant la commande gpupdate.exe /force. Fermez votre session sur SERVER01. Ouvrez une session sur DESKTOP101 sous le nom d'utilisateur Mike.Danseglio avec le mot de passe Pa$$w0rd. Essayez d'ouvrir \\server01\data\Confidential Data. Un message indique que l'accs est refus.
Tche 2 : Analyse des messages du journal d'vnements d'audit

1. 2. 3. Basculez vers SERVER01. Excutez l'Observateur dvnements en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Recherchez les vnements d'chec relatifs l'accs de Mike Danseglio au dossier Confidential Data.
Question : quelle Catgorie de tche appartient l'vnement ? Quel est l'ID de l'vnement ? Quel type d'accs a t tent ?
7-105
Rsultats : au cours de cet exercice, vous validez l'audit des checs d'accs des membres du groupe Consultants au dossier Confidential Data.

Question : Quelles sont les trois principales tapes de la configuration de l'audit de l'accs au systme de fichiers et aux autres objets ? Question : Sur quels systmes est-il ncessaire de configurer l'audit ? Existe-t-il une raison de ne pas auditer tous les systmes de l'entreprise ? Quels types d'accs doivent tre audits, et qui doit effectuer l'audit ? Existe-t-il une raison de ne pas auditer tous les accs de tous les utilisateurs ?
Administration scurise
8-1
Module 8
Table des matires :
Leon 1 : Dlgation des autorisations administratives Atelier pratique A : Dlgation de l'administration Leon 2 : Audit des modifications Active Directory Atelier pratique B : Audit des modifications Active Directory 8-4 8-27 8-36 8-42
8-2
La scurit est au centre des proccupations de la plupart des grandes entreprises d'aujourd'hui. Alors que les organisations uvrent la suppression des privilges administratifs superflus qui ont t attribus par le pass aux utilisateurs de stations de travail, elles sefforcent galement de verrouiller et de grer les privilges accords aux administrateurs eux-mmes. Pour grer la scurit de ladministration dActive Directory, il est indispensable de comprendre comment certaines tches dadministration sont dlgues et comment laudit des modifications apportes lannuaire est effectu.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : dcrire l'objectif de la dlgation pour une entreprise ; affecter des autorisations des objets Active Directory l'aide des interfaces utilisateur d'diteur de scurit et de l'Assistant Dlgation de contrle ; consulter et crer des rapports sur les autorisations au niveau des objets Active Directory laide doutils dinterface utilisateur et de ligne de commande ;
8-3
rtablir les autorisations par dfaut dun objet ; dcrire la relation entre une conception de dlgation et une conception dunit dorganisation ; configurer l'audit des modifications du service d'annuaire ; spcifier les paramtres d'audit au niveau des objets Active Directory ; identifier les entres de journaux d'vnements cres par l'audit d'accs l'annuaire et l'audit des modifications du service d'annuaire.
8-4
Leon 1
Dlgation des autorisations administratives
Dans les modules prcdents, vous avez appris crer des utilisateurs, des groupes, des ordinateurs et des units d'organisation, et accder aux proprits de ces objets. Pour pouvoir effectuer ces oprations, il fallait faire partie du groupe Administrateurs du domaine. Or, il n'est pas question d'intgrer tous les utilisateurs de l'quipe de support technique au groupe Administrateurs du domaine pour simplement rinitialiser des mots de passe utilisateur et dverrouiller des comptes d'utilisateurs. Au lieu de cela, le support technique et chaque rle au sein de lorganisation doivent tre en mesure deffectuer des tches en rapport avec leur fonction, et pas plus. Dans cette leon, vous allez apprendre dlguer des tches administratives spcifiques dans le cadre dActive Directory. Cela consiste modifier les listes de contrle daccs (ACL, access control list) au niveau des objets Active Directory.
8-5
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : dcrire l'objectif de la dlgation pour une entreprise ; affecter des autorisations des objets Active Directory l'aide des interfaces utilisateurs de l'diteur de scurit et de l'Assistant Dlgation de contrle ; consulter et crer des rapports sur les autorisations au niveau des objets Active Directory laide doutils dinterface utilisateur et de ligne de commande ; rtablir les autorisations par dfaut dun objet ; dcrire la relation entre une conception de dlgation et une conception dunit dorganisation.
8-6
Principes de la dlgation
Points cls
La plupart des organisations comptent plusieurs administrateurs, et il nest pas rare que ces organisations rpartissent les tches dadministration entre les diffrents administrateurs ou les organisations de support mesure quelles se dveloppent. Par exemple, dans de nombreuses organisations, le support technique peut rinitialiser les mots de passe utilisateur et dverrouiller les comptes dutilisateurs qui sont verrouills. Cette capacit du support technique est une tche dadministration dlgue. En principe, le support technique ne peut pas crer de nouveaux comptes dutilisateurs, mais il peut apporter certaines modifications aux comptes dutilisateurs existants. Cette prrogative dlgue est dite spcifique, ou granulaire. Pour poursuivre cet exemple, dans la plupart des organisations, la capacit du support technique rinitialiser les mots de passe sapplique aux comptes dutilisateurs normaux, mais pas aux comptes utiliss pour ladministration ni aux comptes de service. La dlgation est alors dite limite aux comptes dutilisateurs standard.
8-7
Tous les objets Active Directory, tels que les utilisateurs, les ordinateurs et les groupes que vous avez crs dans le module prcdent, peuvent tre scuriss laide dune liste dautorisations. Autrement dit, vous pouvez accorder votre quipe de support technique lautorisation de rinitialiser les mots de passe au niveau des objets utilisateur. Les autorisations appliques un objet sont appeles entres de contrle daccs (ACE, access control entry). Elles sont affectes des utilisateurs, des groupes ou des ordinateurs (appels principaux de scurit). Les entres ACE sont enregistres dans la liste de contrle daccs discrtionnaire (DACL, discretionary access control list) de lobjet. La liste DACL est un lment de la liste de contrle daccs (ACL, access control list) de lobjet, qui contient galement la liste de contrle daccs systme (SACL, system access control list) qui comprend les paramtres daudit. Cela ne vous est pas tranger si vous avez tudi les autorisations applicables aux fichiers et dossiers (les termes et les concepts sont identiques). La dlgation du contrle administratif, galement appele dlgation de contrle ou tout bonnement dlgation, consiste simplement affecter des autorisations qui grent laccs aux objets et aux proprits dans Active Directory. Tout comme vous pouvez autoriser un groupe modifier les fichiers dans un dossier, vous pouvez autoriser un groupe rinitialiser les mots de passe au niveau des objets utilisateur.
8-8
Afficher la liste ACL dun objet Active Directory
Points cls
Pour afficher la liste ACL dun objet : 1. 2. 3. 4. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cliquez sur le menu Affichage et slectionnez Fonctionnalits avances. Cliquez avec le bouton droit sur un objet et choisissez Proprits. Cliquez sur l'onglet Scurit. Si Fonctionnalits avances nest pas activ, longlet Scurit ne saffiche pas dans la bote de dialogue Proprits dun objet.
8-9
5.
Cliquez sur le bouton Avanc. Longlet Scurit offre une vue densemble des principaux de scurit auxquels des droits daccs lobjet ont t attribus. Toutefois, dans le cas des listes ACL Active Directory, il est rare que longlet Scurit soit suffisamment dtaill pour fournir les informations dont vous avez besoin pour interprter ou grer une liste ACL. Vous devez toujours cliquer sur Avanc pour ouvrir la bote de dialogue Paramtres de scurit avancs. La bote de dialogue Paramtres de scurit avancs, illustre ci-dessous, saffiche lcran.
La page Autorisations de la bote de dialogue Paramtres de scurit avancs prsente la liste DACL de lobjet. Comme vous pouvez le constater dans la capture dcran, les entres ACE sont rsumes sur une ligne de la liste Entres dautorisations. Cette bote de dialogue ne contient pas les entres ACE granulaires de la liste DACL. Par exemple, lentre dautorisation mise en vidence ci-dessus est en fait constitue de deux entres ACE.
8-10
6.
Pour afficher les entres ACE granulaires dune entre dautorisation, slectionnez cette dernire et cliquez sur Modifier. La bote de dialogue Entre dautorisation saffiche en prsentant en dtail les entres ACE spcifiques qui constituent lentre.
8-11
Autorisations de proprits, jeux de proprits, droits de contrle daccs et autorisations dobjet
Points cls
La liste DACL dun objet permet daffecter des autorisations des proprits spcifiques dun objet. Par exemple, vous pouvez accorder (ou refuser) lautorisation de modifier les options de tlphone et de messagerie lectronique. De fait, il ne sagit pas l dune proprit unique, mais dun jeu de proprits qui comporte plusieurs proprits spcifiques. Les jeux de proprits permettent de grer plus facilement les autorisations daccs aux collections de proprits couramment utilises. Mais vous pouvez bnficier dune plus grande granularit et accorder ou refuser lautorisation de modifier uniquement le numro de tlphone mobile ou rien que ladresse postale. Des autorisations peuvent galement tre affectes pour grer les droits de contrle daccs, qui correspondent des oprations telles que la modification ou la rinitialisation dun mot de passe. Il est important de comprendre la diffrence entre ces deux droits de contrle daccs. Si vous avez le droit de modifier un mot de passe, vous devez connatre et entrer le mot de passe actuel avant de le modifier. Si vous avez le droit de rinitialiser un mot de passe, vous ntes pas tenu de connatre le mot de passe prcdent.
8-12
Enfin, des autorisations peuvent tre affectes des objets. Par exemple, la capacit de modification des autorisations dun objet est contrle par lentre ACE Allow Modify Permissions (Autoriser la modification des autorisations). Les autorisations dobjet permettent galement de contrler votre capacit crer des objets enfants. Par exemple, vous pouvez octroyer votre quipe de support des ordinateurs de bureau des autorisations de cration dobjets ordinateur dans lunit dorganisation Ordinateurs clients. Dans ce cas, lentre Allow Create Computer Objects (Autoriser la cration dobjets ordinateur) doit tre affecte lquipe de support des ordinateurs de bureau au niveau de lUO. Le type et la porte des autorisations sont grs sous les onglets Objet et Proprits, via les listes droulantes Appliquer de ces onglets.
8-13
Dmonstration : Affecter une autorisation partir de la bote de dialogue Paramtres de scurit avancs
Points cls
Imaginez un scnario dans lequel vous souhaiteriez autoriser le support technique modifier le mot de passe du compte dutilisateur de Jeff Ford, et uniquement ce compte-l. Dans cette section, vous allez apprendre effectuer cette opration en commenant par la mthode la plus difficile, savoir, affecter lentre ACE de la liste DACL de lobjet utilisateur. Ensuite, vous apprendrez dfinir une dlgation via lAssistant Dlgation de contrle pour toute lUO des utilisateurs, et vous dcouvrirez pourquoi cette dernire mthode est recommande.
1. 2. Dmarrez lordinateur 6238B-HQDC01-A. Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer > Outils dadministration, puis excutez Utilisateurs et ordinateurs Active Directory avec des informations didentification dadministration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
8-14
3. 4. 5. 6. 7.
Cliquez sur le menu Affichage et slectionnez Fonctionnalits avances. Cliquez avec le bouton droit sur un objet et choisissez Proprits. Cliquez sur l'onglet Scurit. Cliquez sur le bouton Avanc. Cliquez sur le bouton Ajouter. Si le Contrle de compte dutilisateur est activ, vous devrez peut-tre cliquer sur Modifier et entrer des informations didentification dadministration pour faire apparatre le bouton Ajouter.
8.
Dans la bote de dialogue Slectionner, slectionnez le principal de scurit auquel les autorisations seront affectes. Il est fortement recommand daffecter les autorisations des groupes, et non des utilisateurs individuels. Dans cet exemple, vous devez slectionner votre groupe Support technique et appuyer sur Entre. La bote de dialogue Entre dautorisation saffiche.
9.
Configurez les autorisations affecter. Pour notre exemple, sous longlet Objet, faites dfiler la liste Autorisations et slectionnez Autoriser::Rinitialiser le mot de passe.
10. Cliquez sur OK pour fermer chaque bote de dialogue.
8-15
Comprendre et grer les autorisations avec hritage
Points cls
Vous avez des sueurs froides lide davoir affecter au support technique une autorisation de rinitialisation de mot de passe pour chaque objet utilisateur individuel ? Alors rassurez-vous : vous navez pas besoin daffecter des autorisations des objets individuels dans Active Directory. Qui plus est, il sagit dune mauvaise pratique. De fait, les autorisations doivent tre affectes des units dorganisation. Tous les objets de lUO laquelle vous affectez les autorisations hritent de ces dernires. Autrement dit, si vous octroyez au support technique lautorisation de rinitialiser les mots de passe pour les objets utilisateur et que vous liez cette autorisation lUO qui contient vos utilisateurs, tous les objets utilisateur contenus dans cette UO hriteront de cette autorisation. Ainsi, en une seule opration, vous aurez dlgu cette tche dadministration. Lhritage est un concept facile comprendre. Les objets enfants hritent des autorisations du conteneur parent ou de lUO. Ce conteneur ou UO hrite son tour des autorisations de son conteneur ou UO parent ou, sil sagit dun conteneur ou dune UO de premier niveau, du domaine lui-mme. Si les objets enfants hritent des autorisations de leur parents, cest parce que loption Inclure les autorisations pouvant tre hrites du parent de cet objet est active par dfaut pour chaque nouvel objet cr.
8-16
Toutefois, comme loption lindique, les objets enfants hritent uniquement des autorisations qui peuvent tre hrites. Certaines autorisations ne peuvent pas tre hrites. Par exemple, les objets groupe ne peuvent pas hriter de lautorisation de rinitialisation des mots de passe affecte une UO, car ces objets ne possdent pas dattribut de mot de passe. Lhritage peut donc tre limit des classes dobjet spcifiques : les mots de passe sont applicables aux objets utilisateur, et non aux groupes. De plus, vous pouvez utiliser la zone Appliquer de la bote de dialogue Entre dautorisation pour dfinir la porte de lhritage dune autorisation. Cest ce stade que le sujet peut vous paratre trs compliqu. Vous devez savoir que, par dfaut, les nouveaux objets hritent des autorisations qui peuvent tre hrites de leur objet parent (gnralement une UO ou un conteneur). Que se passe-t-il si les autorisations hrites sont mal appropries ? Vous pouvez modifier les autorisations dont hrite un objet enfant de trois faons diffrentes : Premirement, vous pouvez dsactiver lhritage en dslectionnant loption Inclure les autorisations pouvant tre hrites du parent de cet objet dans la bote de dialogue Paramtres de scurit avancs. Dans ce cas, lobjet nhrite plus des autorisations de son parent (toutes les autorisations sont alors dfinies explicitement pour lobjet enfant). En rgle gnrale, cette pratique est viter, car elle cre une exception la rgle cre par les autorisations des conteneurs parents. La deuxime possibilit consiste autoriser lhritage, mais remplacer lautorisation hrite par une autorisation spcifiquement affecte lobjet enfant (autorisation explicite). Les autorisations explicites ont toujours la priorit sur les autorisations hrites des objets parents. Cela a une consquence importante : une autorisation explicite qui autorise un accs remplacera de fait une autorisation hrite qui refuse ce mme accs. Si cela vous parat illogique, ravisez-vous : la rgle (Refuser) est dfinie par un parent, mais lobjet enfant a t configur comme tant une exception (Autoriser). En troisime lieu, vous pouvez modifier la porte de lhritage au niveau de lautorisation parente elle-mme en modifiant loption dans la liste droulante Appliquer de la bote de dialogue Entre dautorisation. Dans la plupart des cas, il sagit dune mthode recommande. Elle consiste en effet dfinir de faon plus prcise la stratgie de scurit sous forme de liste ACL sa source, au lieu dessayer de la remplacer un niveau infrieur dans larborescence.
8-17
Dmonstration : Dlguer des tches dadministration laide de lAssistant Dlgation de contrle
Points cls
Vous avez pu constater la complexit dune liste DACL, et vous avez probablement remarqu que la gestion des autorisations via la bote de dialogue Entre dautorisation nest pas une tche aise. Par chance, la meilleure pratique ne consiste pas grer les autorisations partir des interfaces de scurit, mais plutt utiliser lAssistant Dlgation de contrle. La procdure suivante dtaille lutilisation de lAssistant.
8-18
1. Sur lordinateur HQDC01, cliquez sur Dmarrer > Outils dadministration et excutez Utilisateurs et ordinateurs Active Directory avec des informations didentification dadministration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Cliquez avec le bouton droit sur le nud (domaine ou UO) pour lequel vous souhaitez dlguer des tches dadministration ou le contrle administratif, puis choisissez Dlgation de contrle. Dans notre exemple, vous devez slectionner lUO qui contient vos utilisateurs. LAssistant Dlgation de contrle saffiche pour vous guider tout au long de la procdure. 3. Cliquez sur Suivant. Pour commencer, vous devez slectionner le groupe dadministration auquel vous accordez des privilges. 4. 5. 6. Dans la page Utilisateurs ou groupes, cliquez sur le bouton Ajouter. Dans la bote de dialogue Slectionner, slectionnez le groupe, puis cliquez sur OK. Cliquez sur Suivant. Vous devez prsent indiquer la tche spcifique que vous souhaitez affecter ce groupe. 7. Dans la page Tches dlguer, slectionnez la tche. Dans notre exemple, vous devez slectionner Rinitialiser les mots de passe utilisateur et forcer le changement de mot de passe la prochaine ouverture de session. 8. 9. Cliquez sur Suivant. Examinez le rcapitulatif des actions qui ont t excutes, puis cliquez sur Terminer. LAssistant Dlgation de contrle applique les entres ACE requises pour permettre au groupe slectionn deffectuer la tche spcifie.
2.
8-19
Consulter et crer de rapports sur les autorisations
Points cls
Il existe plusieurs autres faons de consulter et de crer des rapports sur les autorisations lorsque vous avez besoin de savoir qui peut faire quoi. Vous avez dj dcouvert quil tait possible de consulter les autorisations au niveau de la liste DACL via les botes de dialogue Paramtres de scurit avance et Entre dautorisation. DSACLs (dsacls.exe) est galement disponible sous la forme dun outil de ligne de commande qui cre des rapports sur les objets de service dannuaire. Si vous tapez la commande suivie du nom unique dun objet, vous obtiendrez un rapport sur les autorisations de lobjet. Par exemple, cette commande gnrera un rapport sur les autorisations associes lUO User Accounts :
dsacls.exe "ou=User Accounts,dc=contoso,dc=com"
DSACLs permet galement de dfinir des autorisations ( dlguer). Tapez dsacls.exe /? pour obtenir de laide concernant la syntaxe et lutilisation de DSACLs.
8-20
Supprimer ou rinitialiser les autorisations au niveau dun objet
Points cls
Comment faire pour supprimer ou rinitialiser des autorisations qui ont t dlgues ? Hlas, il nexiste pas de commande dannulation de dlgation. Vous devez procder de lune des faons suivantes : Ouvrez les botes de dialogue Paramtres de scurit avancs et Entre dautorisation pour supprimer les autorisations. Si vous souhaitez rtablir les autorisations par dfaut de lobjet, ouvrez la bote de dialogue Paramtres de scurit avancs, puis cliquez sur Paramtres par dfaut. Les autorisations par dfaut sont dfinies par schma Active Directory de la classe dobjet. Aprs avoir rtabli les valeurs par dfaut, vous pouvez reconfigurer les autorisations explicites que vous voulez ajouter la liste DACL.
8-21
DSACLs propose galement le commutateur /s pour rinitialiser les autorisations avec les valeurs par dfaut dfinies par schma, ainsi que le commutateur /t pour modifier l arborescence toute entire (lobjet et tous ses objets enfants). Par exemple, pour rinitialiser les autorisations de lunit dorganisation Personnes et de lensemble de ses UO et objets enfants, vous devez entrer :
dsacls "ou=User Accounts,dc=contoso,dc=com" /s /t
8-22
Principes des autorisations effectives
Points cls
Les autorisations effectives sont les autorisations rsultantes dun principal de scurit, tel quun utilisateur ou un groupe, en fonction de leffet cumul de chaque entre ACE hrite et explicite. Par exemple, votre capacit rinitialiser le mot de passe dun utilisateur peut tre due au fait que vous tre membre dun groupe ayant obtenu une autorisation Rinitialiser le mot de passe pour une UO situe plusieurs niveaux audessus de lobjet utilisateur. Lautorisation hrite affecte un groupe auquel vous appartenez a engendr une autorisation effective Autoriser::Rinitialiser le mot de passe. Entre les autorisations Autoriser et Refuser, les entres ACE explicites et hrites et le fait que vous pouvez appartenir plusieurs groupes, chacun pouvant avoir des autorisations diffrentes, vos autorisations effectives peuvent tre complexes. Quelles soient affectes votre compte dutilisateur ou un groupe auquel vous appartenez, les autorisations sont quivalentes. En fin de compte, une entre ACE sapplique vous, utilisateur. Si la meilleure pratique consiste grer les autorisations en les affectant des groupes, il est galement possible daffecter les entres ACE des utilisateurs ou des ordinateurs individuels. Une autorisation qui a t directement affecte vous, utilisateur, nest ni plus importante, ni moins importante quune autorisation affecte un groupe auquel vous appartenez.
8-23
Les autorisations qui autorisent laccs (Autorisations Autoriser) sont cumulatives. Si vous appartenez plusieurs groupes et que ces groupes se sont vus affecter des autorisations qui permettent deffectuer diverses tches, vous pouvez effectuer toutes les tches affectes tous ces groupes, ainsi que les tches directement affectes votre compte dutilisateur. Les autorisations qui refusent laccs (Autorisations Refuser) se substituent aux autorisations Autoriser. Si vous faites partie la fois dun groupe qui est autoris rinitialiser les mots de passe et dun autre groupe qui ne lest pas, lautorisation Refuser vous empche de rinitialiser les mots de passe.
Remarque : en rgle gnrale, il nest pas ncessaire daffecter des autorisations Refuser : si vous naffectez pas dautorisation Autoriser, les utilisateurs ne peuvent tout simplement pas effectuer la tche. Avant daffecter une autorisation Refuser, voyez si la suppression dune autorisation Autoriser ne suffit pas atteindre votre objectif. Veillez utiliser les autorisations Refuser avec parcimonie et discernement.
Chaque autorisation est granulaire. Ce nest pas parce que lautorisation de rinitialiser les mots de passe vous a t refuse que vous ne pouvez pas, en vertu dautres autorisations Autoriser, modifier le nom douverture de session ou ladresse de messagerie de lutilisateur. Enfin, nous avons vu plus haut dans cette leon que les objets enfants hritent par dfaut des autorisations pouvant tre hrites des objets parents, et que les autorisations explicites peuvent se substituer aux autorisations pouvant tre hrites. Cela signifie quune autorisation Autoriser se substitue de fait une autorisation Refuser hrite. Malheureusement, du fait de linteraction complexe entre les autorisations utilisateur, groupe, explicites, hrites, Autoriser et Refuser, il peut tre trs difficile dvaluer les autorisations effectives. La bote de dialogue Paramtres de scurit avancs dun objet Active Directory comporte bien un onglet Autorisations effectives, mais celui-ci savre pratiquement inutile : il ne prsente pas suffisamment dautorisations pour fournir le type dinformation dtaille dont vous aurez besoin. Vous pouvez utiliser les autorisations exposes par la commande DSACLs ou par longlet Autorisations de la bote de dialogue Paramtres de scurit avancs pour commencer valuer les autorisations effectives, mais il sagira dune tche manuelle.
8-24
Le meilleur moyen de grer la dlgation dans Active Directory est dutiliser le contrle daccs bas sur les rles. Bien que lexamen de certification ne porte pas sur cette approche, il est trs utile de la connatre au moment dimplmenter la dlgation en situation relle. Voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008) pour plus dinformations.
8-25
Concevoir une structure dUO afin de prendre en charge la dlgation
Points cls
Comme vous le savez, les units dorganisation (UO) sont des conteneurs administratifs. Ils contiennent des objets qui partagent des exigences similaires en termes dadministration, de configuration et de visibilit. Vous connaissez dsormais la premire de ces exigences : ladministration. Les objets appels tre administrs de la mme manire, par les mmes administrateurs, doivent tre contenus dans une UO unique. En plaant vos utilisateurs dans une UO unique, par exemple appele User Accounts, vous pouvez dlguer lautorisation du support technique de modifier les mots de passe de tous les utilisateurs en affectant une autorisation une UO. Toute autre autorisation ayant un impact sur les tches que peut raliser un administrateur au niveau dun objet utilisateur doit tre affecte lUO User Accounts. Ainsi, vous pouvez autoriser vos cadres en ressources humaines dsactiver les comptes dutilisateurs si leur contrat de travail arrive terme. Cette autorisation est alors de nouveau dlgue lUO User Accounts.
8-26
Rappelez-vous que les administrateurs doivent ouvrir une session sur leur systme avec des informations didentification dutilisateur et lancer les outils dadministration avec les informations didentification dun compte secondaire dot dautorisations permettant deffectuer des tches dadministration. Ces comptes secondaires sont les comptes administratifs de lentreprise. Il nest pas opportun de permettre au support technique de premire ligne de rinitialiser les mots de passe de ces comptes privilgis, pas plus quil nest souhaitable que les cadres en ressources humaines dsactivent des comptes administratifs. Par consquent, les comptes administratifs ne doivent pas tre administrs de la mme faon que les comptes dutilisateurs normaux . Cest pourquoi il peut savrer utile de disposer dune UO distincte, telle que Admins, pour les objets utilisateur administratif. Cette UO fera lobjet dune dlgation assez diffrente de celle de lUO User Accounts. De la mme faon, vous pouvez dlguer lquipe de support des ordinateurs de bureau la capacit dajouter des objets ordinateur une UO appele Client Computers, qui contient vos ordinateurs de bureau et vos ordinateurs portables, mais pas lUO Servers, o seul votre groupe Administration de serveur est autoris crer et grer des objets ordinateur. Le rle principal des UO est de dfinir de faon efficace la porte de la dlgation (pour appliquer des autorisations aux objets et aux sous-UO). Lorsque vous concevez un environnement Active Directory, vous commencez toujours par concevoir une structure dUO propice une dlgation efficace (une structure limage du modle administratif de votre organisation). Il est rare que ladministration dobjets dans Active Directory ressemble votre organigramme. En rgle gnrale, tous les comptes dutilisateurs normaux sont pris en charge de la mme faon, par la mme quipe (cest ce qui explique que les objets utilisateur se trouvent souvent dans une mme UO ou une mme branche dUO). Il est assez frquent quune organisation qui dispose dune fonction de support technique centralise destine prter assistance aux utilisateurs possde galement une fonction de support des ordinateurs de bureau centralise. Auquel cas, tous les objets ordinateur client se trouvent dans une mme UO ou une branche dUO unique. En revanche, si le support des ordinateurs de bureau est dcentralis, il y a des chances pour que lUO Client Computers soit divise en sousUO qui reprsentent des lieux gographiques, chacun ayant fait lobjet dune dlgation pour autoriser lquipe de support locale ajouter des objets ordinateur au domaine du lieu correspondant. Vous devez concevoir des UO dabord pour permettre lautorisation (dlgation) efficace dobjets dans lannuaire. Ds lors que vous avez cr cette conception, vous pouvez laffiner pour faciliter la configuration des ordinateurs et des utilisateurs via la Stratgie de groupe.
Voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008) pour plus dinformations sur la conception dUO.
8-27
Atelier pratique A : Dlguer ladministration
Scnario
Lquipe charge de la scurit dentreprise de Contoso vous a demand de verrouiller les autorisations administratives dlgues au personnel de support.
8-28
Exercice 1 : Dlguer lautorisation permettant de crer et assurer le support des comptes dutilisateurs
Dans cet exercice, vous allez dlguer au support technique lautorisation de dverrouiller les comptes dutilisateurs, de rinitialiser les mots de passe et dimposer aux utilisateurs de changer de mot de passe la prochaine ouverture de session. Cette autorisation se limitera aux comptes dutilisateurs standard et ne permettra pas au support technique de modifier les mots de passe de comptes administratifs. Vous allez galement dlguer au groupe Administrateurs de comptes dutilisateurs lautorisation de crer et supprimer des comptes dutilisateurs, ainsi quun contrle total sur les comptes dutilisateurs. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. Prparer l'atelier pratique. Crer des groupes de scurit pour la gestion base sur les rles. Dlguer le contrle du support utilisateur laide de lAssistant Dlgation de contrle. Dlguer lautorisation de crer et supprimer des utilisateurs depuis linterface diteur de liste de contrle daccs. Valider limplmentation de la dlgation.
Tche 1 : Prparation de l'atelier pratique.

1. 2. 3. Dmarrez l'ordinateur 6238B-HQDC01-A. Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Excutez D:\Labfiles\Lab08a\Lab08a_Setup.bat avec des informations didentification dadministration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
8-29
Tche 2 : Crer des groupes de scurit pour la gestion base sur les
rles
1. Excutez Utilisateurs et ordinateurs Active Directory avec des informations didentification dadministration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans lUO Groups\Role, crez les groupes de rle suivants : 3. Support technique (groupe de scurit global) Administrateurs de comptes dutilisateurs (groupe de scurit global)
2.
Ajoutez les comptes administratifs des utilisateurs suivants au groupe Support technique. Veillez ne pas ajouter le compte standard sans privilges des utilisateurs. Aaron Painter Elly Nkya Julian Price Holly Dickson
4.
Ajoutez les comptes administratifs des utilisateurs suivants au groupe Administrateurs de comptes dutilisateurs. Veillez ne pas ajouter le compte standard sans privilges des utilisateurs. Pat Coleman April Meyer Max Stevens
5.
Dans lUO Admins\Admin Groups\AD Delegations, crez les groupes de gestion daccs administratif suivants : Support_Comptes dutilisateurs_AD (groupe de scurit local du domaine) Contrle total_Comptes dutilisateurs_AD (groupe de scurit local du domaine)
6. 7.
Ajoutez le groupe Support technique en tant que membre de Support_Comptes dutilisateurs_AD. Ajoutez le groupe Administrateurs de comptes dutilisateurs en tant que membre de Contrle total_Comptes dutilisateurs_AD.
8-30
Tche 3 : Dlguer le contrle du support utilisateur laide de

lAssistant Dlgation de contrle
Cliquez avec le bouton droit sur lUO User Accounts, puis cliquez sur Dlgation de contrle. Dlguez au groupe Support_Comptes dutilisateurs_AD le droit de rinitialiser les mots de passe utilisateur et de forcer les utilisateurs en changer la prochaine ouverture de session.
Tche 4 : Dlguer lautorisation de crer et supprimer des utilisateurs

depuis linterface diteur de liste de contrle daccs
1. 2. 3. Activez le mode Fonctionnalits avances du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cliquez avec le bouton droit sur lUO User Accounts, puis cliquez sur Proprits. Cliquez sur l'onglet Scurit, puis sur Avanc. Ajoutez les autorisations qui permettent au groupe Contrle total_Comptes dutilisateurs_AD de crer et supprimer des utilisateurs, ainsi que celle qui lui confre un contrle total sur les objets utilisateur. Veillez rserver lautorisation Contrle total aux objets utilisateur uniquement.
Tche 5 : Valider limplmentation de la dlgation

1. 2. Fermez Utilisateurs et ordinateurs Active Directory. Excutez Utilisateurs et ordinateurs Active Directory en tant quadministrateur, avec le nom dutilisateur Aaron.Painter_Admin et le mot de passe Pa$$w0rd. Vrifiez que vous pouvez rinitialiser le mot de passe de Jeff Ford, dans lUO Employees, et que vous pouvez le forcer modifier son mot de passe la prochaine ouverture de session. Vrifiez que vous ne pouvez pas dsactiver le compte de Jeff Ford. Vrifiez que vous ne pouvez pas rinitialiser le mot de passe de Pat Coleman (Admin) dans lUO Admin Identities. Fermez Utilisateurs et ordinateurs Active Directory. Excutez Utilisateurs et ordinateurs Active Directory en tant quadministrateur, avec le nom dutilisateur April.Meyer_Admin et le mot de passe Pa$$w0rd.
3.
4. 5. 6. 7.
8-31
8.
Vrifiez que vous pouvez crer un compte dutilisateur dans lUO Employees en crant un compte partir de vos prnom et nom, le nom dutilisateur Prnom.Nom, et le mot de passe Pa$$w0rd. Fermez Utilisateurs et ordinateurs Active Directory.
Rsultats : lissue de cet exercice, vous aurez dlgu au support technique lautorisation de dverrouiller les comptes dutilisateurs, de rinitialiser les mots de passe et de forcer les utilisateurs changer de mot de passe la prochaine ouverture de session, par le biais de lappartenance du support technique au groupe Support_Comptes dutilisateurs_AD. Vous aurez galement dlgu le contrle total des objets utilisateur au groupe Administrateurs de comptes dutilisateurs par le biais de son appartenance au groupe Contrle total_Comptes dutilisateurs_AD. Enfin, vous aurez test les deux dlgations pour vrifier quelles fonctionnent.
9.
8-32
Exercice 2 : Consulter les autorisations dlgues

Dans cet exercice, vous allez consulter, valuer et crer un rapport sur les autorisations qui ont t affectes aux objets Active Directory. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Consulter les autorisations dans les interfaces de lditeur de liste de contrle daccs. Crer un rapport sur les autorisations laide de DSACLs. valuer les autorisations effectives.
Tche 1 : Consulter les autorisations dans les interfaces de lditeur de

liste de contrle daccs
1. Excutez Utilisateurs et ordinateurs Active Directory en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Cliquez avec le bouton droit sur lUO User Accounts, puis cliquez sur Proprits. Cliquez sur l'onglet Scurit, puis sur Avanc. Triez laffichage des autorisations en fonction du groupe auquel elles sont affectes.
2. 3.
Question : combien dentres dautorisations lAssistant Dlgation de contrle a-til cr pour le groupe Support_Comptes dutilisateurs_AD ? Est-il facile didentifier les autorisations qui ont t affectes dans la liste Entres dautorisations ? Dressez la liste des autorisations affectes Support_Comptes dutilisateurs_AD.
8-33
Tche 2 : Crer un rapport sur les autorisations laide de DSACLs

Dans linvite de commandes, utilisez DSACLs pour crer un rapport sur les autorisations affectes lUO User Accounts. Tapez la commande suivante :
dsacls.exe "ou=User Accounts,dc=contoso,dc=com"
et appuyez sur Entre.
Question : quelles autorisations la commande DSACLs renvoie-t-elle pour le groupe Support_Comptes dutilisateurs_AD ?
Tche 3 : valuer les autorisations effectives

1. 2. Cliquez avec le bouton droit sur lUO User Accounts, puis cliquez sur Proprits. Cliquez sur l'onglet Scurit, puis sur Avanc. partir de la bote de dialogue Paramtres de scurit avancs, valuez les autorisations effectives pour April.Meyer_Admin. Identifiez les autorisations qui lui permettent de crer et supprimer des utilisateurs.
Question : lautorisation Rinitialiser le mot de passe figure-t-elle dans cette liste ? 3. Dans lUO Employees, cliquez avec le bouton droit sur le compte dutilisateur dAaron Lee, puis cliquez sur Proprits. Cliquez sur l'onglet Scurit, puis sur Avanc. partir de la bote de dialogue Paramtres de scurit avancs, valuez les autorisations effectives pour Aaron.Painter_Admin. Identifiez les autorisations qui lui permettent de rinitialiser le mot de passe dAaron Lee.
Rsultats : lissue de cet exercice, vous constaterez que les autorisations que vous avez affectes au cours de lexercice prcdent ont bien t appliques.
4.
8-34
Exercice 3 : Supprimer et rinitialiser des autorisations

Dans cet exercice, vous allez supprimer des autorisations dlgues et rtablir la liste ACL par dfaut dfinie par schma dune UO. Les tches principales de cet exercice sont les suivantes : 1. 2. Supprimer les autorisations affectes Support_Comptes dutilisateurs_AD. Rtablir les autorisations par dfaut de lUO User Accounts.
Tche 1 : Supprimer les autorisations affectes Support_Comptes

dutilisateurs_AD
1. 2. 3. Cliquez avec le bouton droit sur lUO User Accounts, puis cliquez sur Proprits. Cliquez sur l'onglet Scurit, puis sur Avanc. Triez laffichage des autorisations en fonction du groupe auquel elles sont affectes. Supprimez les autorisations affectes Support_Comptes dutilisateurs_AD.
Tche 2 : Rtablir les autorisations par dfaut de l'UO User Accounts

1. 2. Cliquez avec le bouton droit sur lUO User Accounts, puis cliquez sur Proprits. Cliquez sur l'onglet Scurit, puis sur Avanc. Cliquez sur Paramtres par dfaut, puis sur Appliquer.
Question : que se passe-t-il lorsque vous cliquez sur Paramtres par dfaut ? Quelles sont les autorisations restantes ?
Rsultats : lissue de cet exercice, vous aurez rtabli les autorisations par dfaut dfinies par schma de lUO User Accounts.
Remarque : ne fermez pas lordinateur virtuel lissue de cet atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans le prochain atelier pratique.
8-35

Question : comment Utilisateurs et ordinateurs Active Directory vous indique-t-il que vous ne disposez pas des autorisations ncessaires pour effectuer une tche dadministration dtermine ? Question : lorsque vous avez valu les autorisations effectives dApril Meyer dans lUO User Accounts, pourquoi cette liste ne comportait-elle pas certaines autorisations, telles que Rinitialiser le mot de passe ? Comment expliquez-vous que lautorisation se soit affiche lorsque vous avez valu les autorisations effectives dAaron Painter sur le compte dutilisateur dAaron Lee ? Question : Windows permet-il de rpondre facilement aux questions suivantes : Qui peut rinitialiser les mots de passe utilisateur ? et Quelles tches XXX peut-il effectuer en qualit dadministrateur ? . Question : quel est lavantage dune structure de groupe dadministration base sur les rles deux niveaux lors de laffectation dautorisations dans Active Directory ?
Remarque : ladministration base sur les rles est un vaste sujet, dont certains aspects, comme la discipline ou laudit, sont indispensables pour sassurer que les membres dun groupe tel que Support_Comptes d'utilisateurs_AD possdent les autorisations quils sont censs possder et que les mmes autorisations nont pas t dlgues dautre utilisateurs ou groupes.
Question : quel risque vous exposez-vous en rtablissant les valeurs par dfaut dfinies par schma de la liste ACL dune UO ?
8-36
Leon 2
Audit des modifications Active Directory
Si laudit de laccs aux fichiers et dossiers vous permet denregistrer les tentatives daccs ces types dobjets, la stratgie Auditer laccs au service dannuaire vous permet denregistrer les tentatives daccs aux objets dans Active Directory. Windows Server 2008 introduit une autre catgorie daudit pour Active Directory : Modification du service dannuaire.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : configurer une stratgie daudit pour activer laudit Modification du service dannuaire ; spcifier les paramtres d'audit au niveau des objets Active Directory ; identifier les entres de journaux d'vnements cres par l'audit d'accs l'annuaire et l'audit des modifications du service d'annuaire.
8-37
Activation de la stratgie d'audit
Points cls
Si la stratgie Auditer laccs aux objets vous permet denregistrer les tentatives daccs certains objets tels que les fichiers et les dossiers, la stratgie Auditer laccs au service dannuaire vous permet denregistrer les tentatives daccs aux objets dans Active Directory. Ce sont les mmes principes de base qui sappliquent. Vous configurez la stratgie pour auditer les vnements de russite ou dchec. Vous configurez ensuite la liste SACL de lobjet Active Directory pour spcifier les types daccs dont vous souhaitez effectuer laudit. Par exemple, si vous souhaitez surveiller les modifications apportes lappartenance dun groupe sensible sur le plan de la scurit, comme Admins du domaine, vous pouvez activer la stratgie Auditer laccs au service dannuaire pour effectuer laudit des vnements de russite. Vous pouvez ensuite ouvrir la liste SACL du groupe Admins du domaine et configurer une entre daudit pour les modifications russies de lattribut Membres du groupe. De fait, la configuration par dfaut de Windows Server 2008 effectue laudit des vnements de russite pour Accs Active Directory, ainsi que laudit de toutes les modifications apportes au groupe Admins du domaine.
8-38
Dans Windows Server 2003 et Windows 2000 Server, vous pouviez effectuer laudit de laccs au service dannuaire. Vous tiez notifi de la modification dun objet (ou de la proprit dun objet), mais vous ne pouviez pas identifier lancienne et la nouvelle valeur de lattribut modifi. Par exemple, il tait possible denregistrer un vnement indiquant quun certain utilisateur avait modifi un attribut du groupe Admins du domaine, mais il ntait pas facile didentifier lattribut qui avait fait lobjet de la modification. De plus, il nexistait aucun moyen de dterminer partir du journal daudit quelle modification avait exactement t apporte cet attribut. Windows Server 2008 ajoute une catgorie daudit appele Modification du service dannuaire. La diffrence importante qui existe entre laudit Modification du service dannuaire et laudit Accs Active Directory est que le premier permet didentifier lancienne valeur dun attribut modifi et sa valeur actuelle. Laudit Modification du service dannuaire nest pas activ par dfaut dans Windows Server 2008. En revanche, laudit Accs Active Directory est activ pour reproduire la fonctionnalit daudit des versions antrieures de Windows. Pour activer laudit des modifications russies du service dannuaire, ouvrez une invite de commandes sur un contrleur de domaine, puis entrez cette commande :
auditpol /set /subcategory:"directory service changes" /success:enable
Bien que vous puissiez utiliser la commande prcdente pour activer laudit Modification du service dannuaire dans le cadre dun atelier pratique et explorer les vnements gnrs, ne limplmentez pas dans un domaine tant que vous navez pas lu la documentation sur TechNet, commencer par le guide pas pas qui se trouve ladresse suivante : http://go.microsoft.com/fwlink/?LinkId=168805.
8-39
Dfinir les paramtres daudit pour Modification du service dannuaire
Points cls
Vous devez toujours modifier la liste SACL dobjets pour dsigner les attributs qui doivent faire lobjet dun audit. Pour accder la liste SACL et ses entres daudit : 1. 2. 3. 4. Ouvrez la bote de dialogue Proprits de lobjet dont vous souhaitez effectuer laudit. Cliquez sur l'onglet Scurit. Cliquez sur le bouton Avanc. Cliquez sur l'onglet Audit.
8-40
Pour ajouter une entre daudit : 1. 2. 3. Cliquez sur le bouton Ajouter. Slectionnez lutilisateur, le groupe ou lordinateur auditer. Il sagit souvent du groupe Tout le monde. Dans la bote de dialogue Audit de lentre, indiquez le type daccs auditer. Vous pouvez effectuer laudit des russites, des checs ou des deux au moment o lutilisateur, le groupe ou lordinateur spcifi tente daccder la ressource en utilisant un ou plusieurs niveaux daccs granulaires. Vous pouvez effectuer laudit des russites pour rpondre aux objectifs suivants : enregistrer laccs aux ressources des fins de cration de rapports et de facturation ; analyser les accs pour identifier les utilisateurs qui effectuent des oprations plus importantes que prvu, suggrant ainsi que les autorisations sont trop gnreuses ; identifier les accs abusifs un compte, indication possible du piratage du compte d'utilisateur.
Laudit des vnements en chec savre utile pour : analyser les tentatives malveillantes d'accs des ressources pourtant interdites d'accs ; identifier les tentatives avortes d'accs un fichier ou un dossier auquel un utilisateur demande d'accder. Cela indique que les autorisations ne sont pas suffisantes pour rpondre un besoin professionnel.
Remarque : vitez tout abus en matire daudit. Les journaux daudit ont tendance devenir assez vite volumineux. En matire daudit, la rgle dor est de configurer le minimum ncessaire pour accomplir les tches professionnelles. Si l'audit est dfini pour consigner les russites et les checs sur un dossier de donnes actif, pour le groupe Tout le monde, avec le Contrle total (toutes les autorisations), les journaux d'audit gnrs risquent d'tre extrmement volumineux et d'affecter les performances du serveur, ainsi que la recherche d'un vnement particulier.
8-41
Consulter les vnements audits dans le journal de scurit
Points cls
Aprs avoir activ le paramtre de stratgie daudit souhait et spcifi laccs dont vous voulez effectuer laudit laide de listes SACL dobjets, le systme commence enregistrer laccs en fonction des entres daudit. Vous pouvez consulter les vnements obtenus dans le journal de scurit du serveur. Ouvrez la console Observateur d'vnements depuis le dossier Outils d'administration. Dveloppez Journaux Windows, puis slectionnez Journal scurit. Lorsque laudit Modification du service dannuaire est activ et que les entres daudit sont configures dans la liste SACL des objets du service dannuaire, les vnements sont enregistrs dans le journal de scurit, qui indique clairement lattribut qui a t modifi, ainsi que la nature de la modification. Dans la plupart des cas, les entres du journal dvnements prsentent lancienne valeur de lattribut modifi, ainsi que sa valeur actuelle.
8-42
Atelier pratique B : Audit des modifications Active Directory
Scnario
Lquipe de scurit dentreprise de Contoso vous a demand de produire des rapports dtaills sur les modifications apportes lappartenance de groupes sensibles sur le plan de la scurit, y compris le groupe Admins du domaine. Les rapports doivent indiquer la nature de la modification qui a t apporte, le nom de son auteur et sa date de ralisation.
8-43
Exercice 1 : Effectuer laudit des modifications apportes Active Directory en utilisant la stratgie daudit par dfaut
Dans cet exercice, vous constaterez que laudit Accs Active Directory est activ par dfaut dans Windows Server 2008 et Windows Server 2003. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Prparer l'atelier pratique. Vrifier que le groupe Admins du domaine est configur pour effectuer laudit des modifications apportes son appartenance. Modifier lappartenance du groupe Admins du domaine. Examiner les vnements gnrs.

Tche 2 : Vrifier que le groupe Admins du domaine est configur

pour effectuer laudit des modifications apportes son appartenance
Excutez Utilisateurs et ordinateurs Active Directory en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Accdez aux proprits Paramtres daudit du groupe Admins du domaine. Recherchez lentre qui spcifie laudit des tentatives de modification russies de proprits du groupe, telles que lappartenance.
Question : quelle est lentre daudit qui permet datteindre cet objectif ?
8-44
Tche 3 : Modifier lappartenance du groupe Admins du domaine

Ajoutez Stuart Munson (nom douverture de session utilisateur Stuart.Munson) au groupe Admins du domaine. Veillez appliquer votre modification. Supprimez Stuart Munson du groupe Admins du domaine. Notez lheure laquelle vous avez effectu ces modifications. Il vous sera plus facile de reprer les entres daudit dans les journaux dvnements.
Tche 4 : Examiner les vnements gnrs

Excutez lObservateur dvnements en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Ouvrez le Journal de scurit et recherchez les vnements qui ont t gnrs lorsque vous avez ajout et supprim Stuart Munson.
Question : quels sont les ID dvnements qui ont t enregistrs lorsque vous avez apport vos modifications ? Quelle est la catgorie de tche ? Question : examinez les informations fournies sous l'onglet Gnral. tes-vous en mesure d'identifier les lments suivants dans l'entre du journal d'vnements ? auteur de la modification ; date de la modification ; objet ayant fait l'objet de la modification ; type d'accs utilis ; attribut ayant fait lobjet de la modification ; comment l'attribut modifi est-il identifi ? nature de la modification apporte cet attribut.
Rsultats : lissue de cet exercice,vous aurez gnr et examin des entres daudit Accs Active Directory.
8-45
Exercice 2 : Effectuer laudit des modifications apportes Active Directory laide de laudit Modification du serveur dannuaire
Dans cet exercice, vous allez implmenter la nouvelle fonctionnalit daudit Modification du service dannuaire de Windows Server 2008 pour rvler les dtails des modifications apportes au groupe Admins du domaine. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Activer laudit Modification du service dannuaire. Modifier lappartenance du groupe Admins du domaine. Examiner les vnements gnrs.
Tche 1 : Activer laudit Modification du service dannuaire

Excutez linvite de commandes en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez la commande suivante, puis appuyez sur Entre :
auditpol /set /subcategory:"directory service changes" /success:enable
Tche 2 : Modifier lappartenance du groupe Admins du domaine

Ajoutez Stuart Munson (nom douverture de session utilisateur Stuart.Munson) au groupe Admins du domaine. Veillez appliquer votre modification. Supprimez Stuart Munson du groupe Admins du domaine. Notez lheure laquelle vous avez effectu ces modifications. Il vous sera plus facile de reprer les entres daudit dans les journaux dvnements.
Tche 3 : Examiner les vnements gnrs

Excutez lObservateur dvnements en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Ouvrez le Journal de scurit et recherchez les nouveaux types dvnements qui ont t gnrs lorsque vous avez ajout et supprim Stuart Munson.
8-46
Question : quels sont les ID dvnements qui ont t enregistrs lorsque vous avez apport vos modifications ? Quelle est la catgorie de tche ? Question : examinez les informations fournies sous longlet Gnral. tes-vous en mesure didentifier les lments suivants dans lentre du journal dvnements ? type de modification effectue ; auteur de la modification ; nom du membre ajout ou supprim ; nom du groupe concern ; date de la modification.
Rsultats : lissue de cet exercice, vous aurez gnr des entres daudit Modification du service dannuaire.

Question : parmi les dtails capturs par laudit Modification du service dannuaire, quels sont ceux que laudit Accs Active Directory ne capture pas ? Question : quels types dactivits administratives souhaiteriez-vous auditer avec la fonctionnalit daudit Modification du service dannuaire ?
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-1
Module 9
Table des matires :
Leon 1 : Configuration des stratgies de mot de passe et de verrouillage Atelier pratique A : Configuration des stratgies de mot de passe et de verrouillage de compte Leon 2 : Audit de l'authentification Atelier pratique B : Audit de l'authentification Leon 3 : Configuration des contrleurs de domaine en lecture seule Atelier pratique C : Configuration des contrleurs de domaine en lecture seule 9-4 9-24 9-30 9-40 9-45 9-66
9-2
Lorsquun utilisateur se connecte un domaine Active Directory, il entre ses nom dutilisateur et mot de passe et le client utilise ces informations didentification pour authentifier lutilisateur, cest--dire, valider son identit par rapport son compte Active Directory. Dans le module 3, vous avez appris crer et grer des comptes dutilisateurs et leurs proprits, y compris leurs mots de passe. Dans ce module, vous allez explorer les composants ct domaine de lauthentification, notamment les stratgies qui spcifient les exigences relatives aux mots de passe et laudit des activits lies lauthentification. Vous allez galement dcouvrir deux fonctionnalits introduites par Windows Server 2008 qui peuvent amliorer de manire significative la scurit de lauthentification dans un domaine des services de domaine Active Directory (AD DS) : les objets PSO (mieux connus sous le nom de stratgie de mot de passe affine) et les contrleurs de domaine en lecture seule.
9-3
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : implmenter votre stratgie de mot de passe de domaine et de verrouillage de compte ; configurer et affecter des stratgies de mot de passe affines ; configurer laudit des activits lies lauthentification ; faire la distinction entre les vnements de connexion de comptes et les vnements Ouverture de session ; identifier les vnements lis l'authentification dans le journal de scurit ; identifier les besoins de lentreprise en matire de contrleurs de domaine en lecture seule ; installer un contrleur de domaine en lecture seule ; configurer une stratgie de rplication de mot de passe ; contrler la mise en cache des informations didentification sur un contrleur de domaine en lecture seule.
9-4
Leon 1
Configuration des stratgies de mot de passe et de verrouillage
Dans un domaine Windows Server 2008, les utilisateurs sont tenus de modifier leur mot de passe tous les 42 jours. Un mot de passe doit tre constitu dau moins sept caractres et doit respecter des exigences de complexit, comme notamment lutilisation de trois ou quatre types de caractres : majuscules, minuscules, nombres et caractres non alphanumriques. Ces trois stratgies de mot de passe (dure de vie maximale du mot de passe, longueur du mot de passe et complexit du mot de passe) font partie des premires stratgies que les administrateurs comme les utilisateurs rencontrent dans un domaine Active Directory. Il est rare que ces paramtres par dfaut correspondent exactement aux exigences de scurit dune organisation en matire de mots de passe. Votre organisation peut par exemple exiger que les mots de passe soient modifis de faon plus ou moins frquente ou quils soient plus longs. Dans cette leon, vous allez apprendre mettre en uvre les stratgies de mot de passe et de verrouillage de votre entreprise en modifiant lobjet GPO de la stratgie de domaine par dfaut.
9-5
Comme vous le savez, il existe des exceptions chaque rgle, et il est probable que vos stratgies de mot de passe en prsentent aussi. Pour amliorer la scurit de votre domaine, vous pouvez dfinir des exigences de mot de passe plus restrictives pour les comptes affects aux administrateurs, les comptes utiliss par les services, tels que Microsoft SQL Server, ou un utilitaire de sauvegarde. Dans les versions prcdentes de Windows, cela ntait pas possible : une mme stratgie de mot de passe sappliquait tous les comptes dun mme domaine. Dans cette leon, vous allez apprendre configurer des stratgies de mot de passe affines, nouvelle fonctionnalit de Windows Server 2008 qui vous permet daffecter diffrentes stratgies de mot de passe aux utilisateurs et aux groupes de votre domaine.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : implmenter votre stratgie de mot de passe de domaine et de verrouillage de compte ; configurer et affecter des stratgies de mot de passe affines.
9-6
Principes de la stratgie de mot de passe
Points cls
La stratgie de mot de passe de votre domaine est configure par un objet de stratgie de groupe (GPO) tendue au domaine. Dans lobjet GPO, dans le nud Configuration ordinateur > Stratgies > Paramtres Windows > Paramtres de scurit > Stratgies de comptes > Stratgie de mot de passe, vous pouvez configurer les paramtres de stratgie qui dterminent les exigences de mot de passe. Le nud Stratgie de mot de passe est illustr dans la capture dcran suivante.
9-7
Vous pouvez comprendre leffet des stratgies en examinant le cycle de vie dun mot de passe utilisateur. Un utilisateur sera appel modifier son mot de passe dans un dlai (en jours) spcifi par le paramtre de stratgie Dure de vie maximale du mot de passe. Lorsque lutilisateur entre un nouveau mot de passe, sa longueur est compare au nombre de caractres impos par la stratgie Longueur minimale du mot de passe. Si la stratgie Le mot de passe doit respecter des exigences de complexit est active, le mot de passe doit contenir au moins trois ou quatre types de caractres : Majuscules (de A Z) Minuscules (de a z) Nombres (de 0 9) Caractres non alphanumriques (symboles tels que !, #, % ou &)
Si le nouveau mot de passe respecte les exigences, Active Directory applique ce dernier un algorithme mathmatique qui produit une reprsentation du mot de passe appele code de hachage. La code de hachage est unique : deux mots de passe distincts ne peuvent pas crer un mme code de hachage. Lalgorithme utilis pour crer le code de hachage est une fonction sens unique. Vous ne pouvez pas appliquer de fonction inverse au code de hachage afin de retrouver le mot de passe. Le fait que ce soit le code de hachage, et non le mot de passe proprement dit, qui est stock dans Active Directory contribue accrotre la scurit du compte dutilisateur.
9-8
Parfois, certaines applications exigent un mot de passe dutilisateur lisible. Or, cela nest pas possible car, par dfaut, seul le code de hachage est stock dans Active Directory. Pour prendre en charge de telles applications, vous pouvez activer la stratgie Enregistrer les mots de passe en utilisant un chiffrement rversible. Cette stratgie nest pas active par dfaut. Si vous lactivez, les mots de passe utilisateur seront stocks dans un format chiffr qui pourra tre dchiffr par lapplication. Sachez toutefois que le chiffrement rversible abaisse considrablement le niveau de scurit de votre domaine. Cest pourquoi il est dsactiv par dfaut et que vous avez tout intrt liminer les applications qui exigent un accs direct aux mots de passe. De plus, Active Directory peut examiner le cache des codes de hachage prcdents de lutilisateur pour sassurer que son nouveau mot de passe est diffrent des anciens. Le nouveau mot de passe est compar un nombre danciens mots de passe dtermin par la stratgie Conserver lhistorique des mots de passe. Par dfaut, Windows conserve les 24 codes de hachage prcdents. Sil est dtermin quun utilisateur rutilise son mot de passe lissue de la priode dexpiration du mot de passe, il devra en changer 25 fois pour contourner lhistorique de mots de passe. Pour viter cela, la stratgie Dure de vie minimale du mot de passe spcifie la dure qui doit scouler entre les changements de mot de passe. Par dfaut, cette dure est dun jour. Par consquent, lutilisateur en question devra changer de mot de passe une fois par jour pendant 25 jours pour pouvoir rutiliser un mot de passe. Ce moyen de dissuasion savre gnralement efficace face ce type de comportement. Ces paramtres de stratgie (historique, dure de vie minimale et dure de vie maximale) affectent lutilisateur qui change de mot de passe. En revanche, ils nont pas deffet sur ladministrateur qui utilise la commande Rinitialiser le mot de passe pour modifier le mot de passe dun autre utilisateur.
9-9
Principes de la stratgie de verrouillage de compte
Points cls
Un intrus peut accder aux ressources de votre domaine en tablissant un nom dutilisateur et un mot de passe valides. Les noms dutilisateur sont relativement faciles identifier, car la plupart des organisations les cre laide de ladresse lectronique, des initiales, des prnom et nom combins ou de lID des employs. Une fois en possession du nom dutilisateur, lintrus doit dterminer le mot de passe. Pour cela, il peut soit le deviner, soit tester diverses combinaisons de caractres ou de mots jusqu ce quil parvienne se connecter.
9-10
Ce type dattaque, appel attaque en force brute, peut tre contrecarr en limitant le nombre de connexions incorrectes autorises. Cest exactement le principe des stratgies de verrouillage de compte. Les stratgies de verrouillage de compte sont situes dans le nud de lobjet GPO situ directement en dessous de Stratgie de mot de passe. Le nud Stratgie de verrouillage du compte est illustr dans la capture dcran suivante.
Les paramtres relatifs au verrouillage de compte sont au nombre de trois. Le premier, Seuil de verrouillage du compte, dtermine le nombre de tentatives de connexion non valides autorises dans un dlai spcifi par la stratgie Dure de verrouillage des comptes. Si une attaque engendre un nombre dchecs de connexion suprieur dans le dlai imparti, le compte dutilisateur est verrouill. Ds lors quun compte est verrouill, Active Directory refuse systmatiquement toute connexion ce compte, mme si le mot de passe spcifi est correct. Un administrateur peut dverrouiller un compte dutilisateur verrouill. Vous pouvez galement configurer Active Directory pour permettre le dverrouillage automatique du compte aprs un dlai spcifi par le paramtre de stratgie Rinitialiser le compteur de verrouillage du compte aprs.
9-11
Configurer la stratgie du domaine en matire de mot de passe et de verrouillage
Points cls
Active Directory prend en charge un seul ensemble de stratgies de mot de passe et de verrouillage par domaine. Ces stratgies sont configures dans un objet GPO tendu au domaine. Un nouveau domaine contient un objet GPO appel Stratgie de domaine par dfaut. Celui-ci est li au domaine et il contient les paramtres par dfaut des stratgies de mot de passe, de verrouillage de compte et Kerberos. Vous pouvez modifier ces paramtres en modifiant la stratgie de domaine par dfaut. La meilleure pratique consiste modifier lobjet GPO Stratgie de domaine par dfaut pour spcifier les paramtres de stratgie de mot de passe de votre organisation. Vous devez galement utiliser lobjet GPO Stratgie de domaine par dfaut pour spcifier les stratgies de verrouillage de compte et les stratgies Kerberos. En revanche, nutilisez pas lobjet GPO Stratgie de domaine par dfaut pour dployer dautres paramtres de stratgie personnalise. En dautres termes, lobjet GPO Stratgie de domaine par dfaut dfinit les stratgies de mot de passe, de verrouillage de compte et Kerberos pour le domaine, et rien dautre. Par ailleurs, les stratgies de mot de passe, de verrouillage de compte ou Kerberos du domaine ne doivent pas tre dfinies dans un autre objet GPO.
9-12
Les paramtres de mot de passe configurs dans la stratgie de domaine par dfaut affectent tous les comptes dutilisateurs du domaine. Toutefois, ces paramtres peuvent tre remplacs par les proprits relatives aux mots de passe des comptes dutilisateurs individuels. Sous longlet Compte de la bote de dialogue Proprits dun utilisateur, vous pouvez spcifier des paramtres tels que Le mot de passe nexpire jamais ou Enregistrer les mots de passe en utilisant un chiffrement rversible. Par exemple, si cinq utilisateurs disposent dune application qui exige un accs direct leurs mots de passe, vous pouvez configurer les comptes de ces utilisateurs pour quils stockent leurs mots de passe en utilisant le chiffrement rversible.
Guide de scurit Windows Server 2003, chapitre 3 : Stratgie de domaine : http://go.microsoft.com/fwlink/?LinkId=99492
9-13
Dmonstration : Configurer les stratgies de compte de domaine
Scnario
Configurez les stratgies de compte de domaine de faon respecter les exigences de mot de passe suivantes : longueur minimale de 8 caractres ; conformit avec les exigences de complexit par dfaut de Windows ; changement de mot de passe utilisateur tous les 90 jours ; pas plus dun changement de mot de passe par semaine et par utilisateur ; pas de rutilisation possible dun mme mot de passe avant une anne.
9-14
1. Excutez la Console de gestion des stratgies de groupe avec des informations didentification dadministration puis, dans larborescence de la console, dveloppez Fort:contoso.com, Domaines et contoso.com. Cliquez avec le bouton droit sur Stratgie de domaine par dfaut en dessous du domaine, contoso.com, puis cliquez sur Modifier. Dans larborescence de la console diteur de gestion des stratgies de groupe, dveloppez Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit et Stratgies de compte, puis cliquez sur Stratgie de mot de passe. Double-cliquez sur les paramtres de stratgie suivants dans le volet dinformations de la console, puis configurez les paramtres comme indiqu : 5. 6. Conserver lhistorique des mots de passe : 53 mots de passe mmoriss Dure de vie maximale du mot de passe : 90 jours Dure de vie minimale du mot de passe : 7 jours Longueur minimale du mot de passe : 8 caractres Les mots de passe doivent respecter des exigences de complexit : Activ
2. 3.
4.
Fermez la fentre diteur de gestion des stratgies de groupe. Fermez la fentre Gestion des stratgies de groupe.
9-15
Stratgie de mot de passe et de verrouillage affine
Points cls
Vous pouvez remplacer la stratgie de mot de passe et de verrouillage du domaine par le biais dune nouvelle fonctionnalit de Windows Server 2008 appele stratgie de mot de passe et de verrouillage affine, souvent abrge sous la forme stratgie de mot de passe affine. La stratgie de mot de passe affine permet de configurer une stratgie qui sapplique un ou plusieurs groupes ou utilisateurs du domaine. La stratgie de mot de passe affine est une adjonction Active Directory trs attendue. Elle peut tre utilise dans plusieurs scnarios afin damliorer la scurit de votre domaine. Les comptes utiliss par les administrateurs sont des privilges dlgus qui permettent de modifier les objets dans Active Directory ; par consquent, si un intrus compromet le compte dun administrateur, les dommages subis au niveau du domaine sont potentiellement plus importants que sil sagit dun compte dun utilisateur standard. Cest pourquoi, vous avez tout intrt mettre en uvre des exigences de mot de passe plus strictes pour les comptes administratifs. Par exemple, vous pouvez exiger une longueur de mot de passe suprieure et des changements de mot de passe plus frquents.
9-16
Un autre type de compte qui ncessite un traitement spcial dans un domaine est celui utilis par les services, tels que SQL Server. Un service excute ses tches partir dinformations didentification constitues dun nom dutilisateur et dun mot de passe, qui doivent tre authentifies exactement comme celles dun utilisateur humain. Toutefois, la plupart des services ntant pas en mesure de changer de mot de passe, les administrateurs configurent les comptes de service en ayant activ loption Le mot de passe nexpire jamais. Si un mot de passe de compte est appel ne pas changer, veillez ce quil soit difficile compromettre. Vous pouvez par exemple utiliser des stratgies de mot de passe affines afin de spcifier une longueur de mot de passe minimale importante.
Services de domaine Active Directory : Stratgies de mot de passe affines : http://go.microsoft.com/fwlink/?LinkId=99500
9-17
Principe de lobjet PSO (Password Settings Object)
Points cls
Les paramtres grs par la stratgie de mot de passe affine sont identiques ceux contenus dans les nuds Stratgie de mot de passe et Stratgies de comptes dun objet GPO. Cependant, les stratgies de mot de passe affines ne sont pas mises en uvre dans le cadre de la Stratgie de groupe, pas plus quelles ne sont appliques dans le cadre dun objet GPO. De fait, il existe dans Active Directory une classe distincte dobjet qui gre les paramtres relatifs la stratgie de mot de passe affine : lobjet PSO (Password Settings Object). La plupart des objets Active Directory peuvent tre grs laide doutils dots dune interface graphique utilisateur conviviale, tels que le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Nanmoins, la gestion des objets PSO se fait laide doutils de bas niveau comme notamment ADSIEdit, lditeur dinterface ADSI (Active Directory Service Interface).
9-18
Vous pouvez crer un ou plusieurs objets PSO dans votre domaine. Chaque objet PSO contient un jeu complet de paramtres de stratgie de mot de passe et de verrouillage. Vous pouvez appliquer un objet PSO en le liant un ou plusieurs utilisateurs ou groupes de scurit globale. Par exemple, pour configurer une stratgie de mot de passe stricte pour les comptes administratifs, crez un groupe de scurit globale, ajoutez-y les comptes dutilisateurs de service en tant que membres, puis liez un objet PSO au groupe. Il est plus facile dappliquer des stratgies de mot de passe affines un groupe de cette faon que de les appliquer individuellement chaque compte dutilisateur. Si vous crez un nouveau compte de service, il vous suffit de lajouter au groupe pour quil soit aussitt gr par lobjet PSO. Pour utiliser une stratgie de mot de passe affine, votre domaine doit se trouver au niveau fonctionnel de domaine Windows Server 2008, ce qui signifie que tous les contrleurs de domaine de votre domaine excutent Windows Server 2008, et le niveau fonctionnel de domaine a t augment pour passer Windows Server 2008. Pour vrifier et modifier le niveau fonctionnel de domaine : 1. 2. 3. Ouvrez Domaines et approbations Active Directory. Dans larborescence de la console, dveloppez Domaines et approbations Active Directory, puis dveloppez larborescence jusqu atteindre le domaine. Cliquez avec le bouton droit sur le domaine, puis choisissez Augmenter le niveau fonctionnel du domaine.
9-19
Dmonstration : Configurer une stratgie de mot de passe affine
1. Excutez Utilisateurs et ordinateurs Active Directory avec des informations didentification dadministration et vrifiez que le Niveau fonctionnel du domaine actuel est Windows Server 2008. Excutez Modification ADSI avec des informations didentification dadministration, le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion. Acceptez toutes les valeurs par dfaut. Cliquez sur OK. Dans larborescence de la console, cliquez sur Contexte dattribution de noms par dfaut. Dans larborescence de la console, dveloppez Contexte dattribution de noms par dfaut, cliquez sur DC=contoso,DC=com, puis sur CN=System.
2.
3. 4. 5. 6.
9-20
7.
Dans larborescence de la console, dveloppez CN=System, puis cliquez sur CN=Password Settings Container. Tous les objets PSO sont crs et stocks dans la classe dobjets PSC (Password Settings Container).
8.
Cliquez avec le bouton droit sur PSC, pointez sur Nouveau, puis cliquez sur Objet. La bote de dialogue Crer un objet saffiche. Vous tes invit slectionner le type dobjet crer. Il ny a quun seul choix : msDS-PasswordSettings (nom technique de la classe dobjets rfrence en tant quobjet PSO).
9.
Cliquez sur Suivant. Vous tes ensuite invit indiquer la valeur de chaque attribut dun objet PSO. Ces attributs sont comparables ceux rencontrs dans les stratgies de compte de domaine.
10. Configurez chaque attribut comme indiqu ci-dessous. Cliquez sur Suivant aprs chaque attribut. cn: My Domain Admins PSO. Il sagit du nom commun de lobjet PSO. msDS-PasswordSettingsPrecedence: 1. Cet objet PSO prsente la priorit la plus leve possible. msDS-PasswordReversibleEncryptionEnabled: False. Le mot de passe nest pas stock en utilisant le chiffrement rversible. msDS-PasswordHistoryLength: 30. Lutilisateur ne peut rutiliser aucun des 30 derniers mots de passe. msDS-PasswordComplexityEnabled: True. Les rgles de complexit de mot sappliquent. msDS-MinimumPasswordLength: 15. Les mots de passe doivent tre constitus dau moins 15 caractres. msDS-MinimumPasswordAge: 1:00:00:00. Un utilisateur ne peut pas changer de mot de passe dans le jour qui suit une premire modification. Le format est j:hh:mm:ss (jours, heures, minutes, secondes). msDS-MaximumPasswordAge: 45:00:00:00. Le mot de passe doit tre modifi tous les 45 jours. msDS-LockoutThreshold: 5. Cinq ouvertures de session non valides dans un dlai spcifi par XXX (attribut suivant) entrane un verrouillage de compte.
9-21
msDS-LockoutObservationWindow: 0:01:00:00. Cinq ouvertures de session non valides (spcifi par lattribut prcdent) en lespace dune heure entrane un verrouillage de compte. msDS-LockoutDuration: 1:00:00:00. Un compte verrouill le reste pendant une heure sil nest pas dverrouill avant manuellement. Si la valeur est gale zro, le compte reste verrouill jusqu ce quun administrateur le dverrouille.
11. Cliquez sur Terminer et fermez Modification ADSI. 12. Excutez Utilisateurs et ordinateurs Active Directory comme auparavant puis, dans larborescence de la console, dveloppez le conteneur System. Si le conteneur System nest pas visible, cliquez sur le menu Affichage de la console MMC, puis assurez-vous que Fonctionnalits avances est slectionn. 13. Dans larborescence de la console, cliquez sur Password Settings Container. 14. Cliquez avec le bouton droit sur My Domain Admins PSO, cliquez sur Proprits, puis sur longlet diteur dattributs. 15. Dans la liste Attributs, slectionnez msDS-PSOAppliesTo, puis cliquez sur Modifier. La bote de dialogue diteur valeurs multiples de noms uniques avec entits de scurit saffiche. 16. Cliquez sur Ajouter un compte Windows. La bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes saffiche. 17. Tapez Domain Admins, puis appuyez sur Entre. 18. Cliquez sur OK deux reprises et fermez les botes de dialogue ouvertes. 19. Dans larborescence de la console, dveloppez le domaine contoso.com et lUO Admins, puis cliquez sur lUO Admin Identities. 20. Cliquez avec le bouton droit sur Pat Coleman (Administrateur), puis cliquez sur Proprits. 21. Cliquez sur longlet diteur dattributs. 22. Cliquez sur le bouton Filtrer, puis sur loption Construit de faon lactiver. 23. Ouvrez la valeur de lattribut msDS-ResultantPSO.
Guide pas pas relatif la configuration des stratgies de verrouillage de compte et de mot de passe affines : http://go.microsoft.com/fwlink/?LinkId=113764
9-22
Priorit des objets PSO et objets PSO rsultants
Points cls
Un objet PSO peut tre li plusieurs groupes ou utilisateurs, un groupe ou un utilisateur individuel peut comporte plusieurs objets PSO lis et un utilisateur peut appartenir plusieurs groupes. Compte tenu de cela, quels sont les paramtres de stratgie de mot de passe et de verrouillage affine qui sappliquent un utilisateur ? Un seul et mme objet PSO dtermine les paramtres de mot de passe et de verrouillage dun utilisateur. Cet objet PSO est appel objet PSO rsultant. Chaque objet PSO possde un attribut qui dtermine la priorit des objets PSO. La valeur de priorit est un nombre suprieur 0, le nombre 1 indiquant la priorit la plus leve. Si plusieurs objets PSO sappliquent un utilisateur, cest lobjet dont la priorit est la plus leve qui prend effet. Les rgles qui dterminent la priorit sont les suivantes : Si plusieurs objets PSO sappliquent aux groupes dappartenance dun utilisateur, cest lobjet dont la priorit est la plus leve qui lemporte. Si un ou plusieurs objets PSO sont lis directement lutilisateur, les objets PSO lis aux groupes sont ignors, quelle que soit leur priorit. Cest lobjet PSO li lutilisateur dont la priorit est la plus leve qui lemporte.
9-23
Si un ou plusieurs objets PSO ont la mme valeur de priorit, Active Directory doit faire un choix. Il choisit lobjet PSO dont lidentificateur global unique (GUID) est le plus bas. Les GUID sapparentent des numros de srie pour objets Active Directory (un GUID ne peut pas tre partag par deux objets). Les GUID nayant aucune signification particulire (ce sont uniquement des identificateurs), la dcision de choisir lobjet avec le GUID le plus bas est totalement arbitraire. Vous devez configurer les objets PSO avec des valeurs de priorit uniques et spcifiques pour viter ce cas de figure.
Ces rgles dterminent lobjet PSO rsultant. Active Directory expose lobjet PSO rsultant dans un attribut dobjet utilisateur, msDS-ResultantPSO, de sorte que vous puissiez identifier facilement lobjet PSO qui affectera un utilisateur. Les objets PSO contiennent tous les paramtres de mot de passe et de verrouillage. Les paramtres ne sont donc ni hrits, ni fusionns. Lobjet PSO rsultant est lobjet PSO qui fait autorit. Pour examiner lattribut msDS-ResultantPSO dun utilisateur : 1. 2. 3. 4. 5. Assurez-vous que Fonctionnalits avances est activ dans le menu Affichage. Ouvrez les proprits du compte dutilisateur. Cliquez sur longlet diteur dattributs. Cliquez sur le bouton Filtrer et assurez-vous que Construit est slectionn. Recherchez lattribut msDS-ResultantPSO.
Objets PSO, UO et groupes instantans Les objets PSO peuvent tre lis des groupes de scurit globale ou des utilisateurs. Les objets PSO ne peuvent pas tre lis des UO. Si vous souhaitez appliquer des stratgies de mot de passe et de verrouillage aux utilisateurs dune UO, vous devez crer un groupe de scurit globale qui inclue tous les utilisateurs de lUO. Ce type de groupe est appel groupe instantan : son appartenance est une reproduction de lappartenance dune UO.
9-24
Atelier pratique A : Configuration des stratgies de mot de passe et de verrouillage de compte
Scnario
Lquipe responsable de la scurit chez Contoso vous a charg damliorer la scurit et de contrler lauthentification pour le domaine AD DS de lentreprise. Plus spcifiquement, vous devez appliquer une stratgie de mot de passe prcise pour tous les comptes dutilisateurs, ainsi quune stratgie de mot de passe plus stricte pour des comptes administratifs sensibles sur le plan de la scurit.
9-25
Exercice 1 : Configurer les stratgies du domaine en matire de mot de passe et de verrouillage

Dans cet exercice, vous allez modifier lobjet GPO Stratgie de domaine par dfaut afin de mettre en uvre une stratgie de mot de passe et de verrouillage pour les utilisateurs du domaine contoso.com. Les tches principales de cet exercice sont les suivantes : 1. 2. Prparer l'atelier pratique. Configurer les stratgies de comptes du domaine.
Tche 1 : Dmarrer les ordinateurs virtuels et ouvrir une session

Tche 2 : Configurer les stratgies de comptes du domaine

1. 2. 3. Excutez la Gestion des stratgies de groupe en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Modifiez lobjet GPO Stratgie de domaine par dfaut. Configurez les paramtres de stratgie de mot de passe ci-dessous. Conservez les valeurs par dfaut des autres paramtres. 4. Dure de vie maximale du mot de passe : 90 jours Longueur minimale du mot de passe : 10 caractres
Configurez le paramtre de stratgie de verrouillage de compte ci-dessous. Conservez les valeurs par dfaut des autres paramtres. Seuil de verrouillage de compte : 5 tentatives douverture de session non valides.
5.
Fermez lditeur de gestion des stratgies de groupe et la Gestion des stratgies de groupe.
Rsultats : lissue de cet exercice, vous aurez configur de nouveaux paramtres pour les stratgies de comptes du domaine.
9-26
Exercice 2 : Configurer une stratgie de mot de passe affine

Dans cet exercice, vous allez crer un objet PSO qui applique une stratgie de mot de passe restrictive et affine aux comptes dutilisateurs du groupe Admins du domaine. Vous allez identifier lobjet PSO qui contrle les stratgies de mot de passe et de verrouillage pour un utilisateur individuel. Enfin, vous allez supprimer lobjet PSO que vous avez cr. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Crer un objet PSO. Lier un objet PSO un groupe. Identifier lobjet PSO rsultant pour un utilisateur. Supprimer un objet PSO.
Tche 1 : Crer un objet PSO

1. Cliquez sur Dmarrer, pointez sur Outils dadministration, cliquez avec le bouton droit sur Modification ADSI, puis choisissez Excuter en tant quadministrateur. Cliquez sur Utiliser un autre compte. Dans la zone Nom dutilisateur, tapez Pat.Coleman_Admin. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre. Modification ADSI souvre. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion. Acceptez toutes les valeurs par dfaut. Cliquez sur OK. Cliquez sur Contexte dattribution de noms par dfaut dans larborescence de la console. Dveloppez Contexte dattribution de noms par dfaut, puis slectionnez DC=contoso,DC=com. Dveloppez DC=contoso,DC=com, puis slectionnez CN=System.
2. 3. 4. 5. 6. 7. 8. 9.
10. Dveloppez CN=System, puis slectionnez CN=Password Settings Container. Tous les objets PSO sont crs et stocks dans la classe dobjets PSC (Password Settings Container).
9-27
11. Cliquez avec le bouton droit sur PSC, puis choisissez Nouveau, Objet. La bote de dialogue Crer un objet saffiche. Vous tes invit slectionner le type dobjet crer. Il ny a quun seul choix : msDS-PasswordSettings (nom technique de la classe dobjets rfrence en tant quobjet PSO). 12. Cliquez sur Suivant. Vous tes ensuite invit indiquer la valeur de chaque attribut dun objet PSO. Ces attributs sont comparables ceux rencontrs dans les stratgies de compte de domaine. 13. Configurez chaque attribut comme indiqu ci-dessous. Cliquez sur Suivant aprs chaque attribut. Common-Name : My Domain Admins PSO. Il sagit du nom convivial de lobjet PSO. msDS-PasswordSettingsPrecedence: 1. Cet objet PSO prsente la priorit la plus leve possible. msDS-PasswordReversibleEncryptionEnabled: False. Le mot de passe nest pas stock en utilisant le chiffrement rversible. msDS-PasswordHistoryLength: 30. Lutilisateur ne peut rutiliser aucun des 30 derniers mots de passe. msDS-PasswordComplexityEnabled: True. Les rgles de complexit de mot sappliquent. msDS-MinimumPasswordLength: 15. Les mots de passe doivent tre constitus dau moins 15 caractres. msDS-MinimumPasswordAge: 1:00:00:00. Un utilisateur ne peut pas changer de mot de passe dans le jour qui suit une premire modification. Le format est j:hh:mm:ss (jours, heures, minutes, secondes). msDS-MaximumPasswordAge: 45:00:00:00. Le mot de passe doit tre modifi tous les 45 jours. msDS-LockoutThreshold: 5. Cinq ouvertures de session non valides dans un dlai spcifi par XXX (attribut suivant) entrane un verrouillage de compte. msDS-LockoutObservationWindow: 0:01:00:00. Cinq ouvertures de session non valides (spcifi par lattribut prcdent) en lespace dune heure entrane un verrouillage de compte. msDS-LockoutDuration: 1:00:00:00. Un compte verrouill le reste pendant une heure sil nest pas dverrouill avant manuellement. Si la valeur est gale zro, le compte reste verrouill jusqu ce quun administrateur le dverrouille.
9-28
14. Cliquez sur Terminer. 15. Fermez Modification ADSI.
Tche 2 : Lier un objet PSO un groupe

1. Excutez Utilisateurs et ordinateurs Active Directory avec des informations didentification dadministration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans larborescence de la console, dveloppez le conteneur System. Si le conteneur System nest pas visible, cliquez sur le menu Affichage de la console MMC, puis assurez-vous que Fonctionnalits avances est slectionn. 3. 4. 5. Dans larborescence de la console, cliquez sur Password Settings Container. Cliquez avec le bouton droit sur My Domain Admins PSO, puis cliquez sur longlet diteur dattributs. Dans la liste Attributs, slectionnez msDS-PSOAppliesTo, puis cliquez sur Modifier. La bote de dialogue diteur valeurs multiples de noms uniques avec entits de scurit saffiche. 6. Cliquez sur Ajouter un compte Windows. La bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes saffiche. 7. 8. Tapez Admins du domaine, puis appuyez sur Entre. Cliquez sur OK deux reprises et fermez les botes de dialogue ouvertes.
2.
Tche 3 : Identifier lobjet PSO rsultant pour un utilisateur

1. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Ouvrez lditeur dattributs dans la bote de dialogue Proprits pour le compte Pat.Coleman_Admin.
2.
9-29
3.
Cliquez sur le bouton Filtrer et assurez-vous que Construit est slectionn. Lattribut que vous trouverez ltape suivante est un attribut construit, ce qui signifie que lobjet PSO rsultant nest pas un attribut cod en dur dutilisateur ; il est calcul en examinant les objets PSO lis un utilisateur en temps rel.
Question : quel est lobjet PSO rsultant de Pat Coleman (Administrateur) ?
Tche 4 : Supprimer un objet PSO

1. Aprs avoir activ Fonctionnalits avances dans le menu Affichage dUtilisateurs et ordinateurs Active Directory, ouvrez le conteneur System et la classe dobjets PSC (Password Settings Container). Supprimez lobjet PSO que vous avez cr, My Domain Admins PSO.
Rsultats : lissue de cet exercice, vous devez avoir cr un objet PSO, lavoir appliqu au groupe Admins du domaine et vrifi quil est bien appliqu. Vous devez ensuite supprimer lobjet PSO.
2.
Remarque : ne fermez pas lordinateur virtuel lissue de cet atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans les prochains ateliers pratiques de ce module.

Question : quel endroit devez-vous dfinir les stratgies de mot de passe et de verrouillage de compte par dfaut pour les comptes dutilisateurs du domaine ? Question : quelles sont les meilleures pratiques en matire de gestion dobjets PSO dun domaine ? Question : comment dfinir une stratgie de mot de passe unique pour tous les comptes de service de lUO Comptes de service ?
9-30
Leon 2
Audit de l'authentification
Windows Server 2008 permet galement deffectuer laudit de lactivit de connexion des utilisateurs dun domaine. En effectuant laudit des connexions russies, vous pouvez rechercher les cas o un compte est utilis des heures inhabituelles ou dans des lieux inattendus, ce qui peut indiquer quun intrus se connecte au compte. Laudit des connexions ayant chou peut rvler des tentatives de compromission de compte par des intrus. Dans cette leon, vous allez apprendre configurer laudit de lauthentification de connexion.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : configurer laudit des activits lies lauthentification ; faire la distinction entre les vnements de connexion de comptes et les vnements Ouverture de session ; identifier les vnements lis l'authentification dans le journal de scurit ;
9-31
vnements de connexion aux comptes et vnements de connexion
Points cls
Cette leon examine deux paramtres de stratgie spcifiques : Auditer les vnements de connexion aux comptes et Auditer les vnements de connexion. Il est important de comprendre la diffrence entre ces deux paramtres de stratgie pourtant si proches par leur nom. Lorsquun utilisateur essaie douvrir une session sur un ordinateur du domaine en utilisant un compte dutilisateur du domaine, un contrleur de domaine authentifie la tentative de connexion au compte du domaine. Cette opration gnre un vnement de connexion de compte sur le contrleur de domaine. Lordinateur sur lequel lutilisateur ouvre une session (p.ex., lordinateur portable de lutilisateur) gnre un vnement de connexion. Lordinateur na pas authentifi lutilisateur par rapport son compte : il a transfr le compte un contrleur de domaine pour tre valid. En revanche, lordinateur a autoris lutilisateur sy connecter de faon interactive. Par consquent, lvnement est un vnement de connexion.
9-32
Lorsque lutilisateur se connecte un dossier sur un serveur du domaine, ce serveur autorise lutilisateur pour un type de connexion appel ouverture de session rseau. L encore, le serveur nauthentifie pas lutilisateur : il se fie au ticket fourni lutilisateur par le contrleur de domaine. Cependant, la connexion de lutilisateur gnre un vnement de connexion sur le serveur.
9-33
Configurer les stratgies daudit lies lauthentification
Points cls
Les vnements de connexion aux comptes et les vnements de connexion peuvent tre audits par Windows Server 2008. Ces paramtres qui grent laudit sont situs dans un objet GPO dans le nud Configuration ordinateur > Stratgies > Paramtres Windows > Paramtres de scurit > Stratgies locales > Stratgie daudit. Le nud Stratgie daudit et les deux paramtres sont illustrs dans la capture dcran suivante.
9-34
Pour configurer une stratgie daudit, double-cliquez sur la stratgie pour faire apparatre ses proprits dans une bote de dialogue. La bote de dialogue Proprits de Auditer les vnements de connexion aux comptes est illustre dans la capture dcran suivante.
Le paramtre de stratgie peut tre associ lun des quatre tats suivants : Non dfini : si la case cocher Dfinir ces paramtres de stratgie est dsactive, le paramtre de stratgie nest pas dfini. Dans ce cas, le serveur pratiquera laudit de lvnement en fonction de ses paramtres par dfaut ou des paramtres spcifis dans un autre objet GPO. Audit non dfini : si la case cocher Dfinir ces paramtres de stratgie est active, mais que les cases cocher Russite et chec sont dsactives, le serveur nassurera pas laudit de lvnement. Audit des vnements russis : si la case cocher Dfinir ces paramtres de stratgie est active et que la case cocher Russite est active, le serveur enregistrera les vnements russis dans son journal Scurit. Audit des vnements ayant chou : si la case cocher Dfinir ces paramtres de stratgie est active et que la case cocher chec est active, le serveur enregistrera les vnements non russis dans son journal Scurit.
9-35
Le comportement daudit dun serveur est dtermin par lun de ces quatre paramtres appliqu comme jeu de stratgie rsultant. Dans Windows Server 2008, le paramtre par dfaut procde laudit des vnements de connexion aux comptes russis et des vnements de connexion russis. Ainsi, les vnements des deux types sont entrs dans le journal Scurit du serveur dans la mesure o il sagit dvnements russis. Si vous souhaitez effectuer laudit des checs ou dsactiver laudit, vous devez dfinir le paramtre appropri dans la stratgie daudit.
9-36
Dfinition de la porte des stratgies daudit
Points cls
Comme pour tous les paramtres de stratgie, vous devez veiller dfinir la porte des paramtres de sorte quils sappliquent aux systmes appropris. Par exemple, si vous voulez effectuer laudit des tentatives de connexion des utilisateurs aux serveurs Bureau distance, vous pouvez configurer laudit des vnements de connexion dans un objet GPO li lUO qui contient vos serveurs Bureau distance. En revanche, si vous souhaitez effectuer laudit des connexions des utilisateurs aux ordinateurs de bureau de votre dpartement Ressources humaines, vous pouvez configurer laudit des vnements de connexion dans un objet GPO li lUO contenant les objets ordinateur des ressources humaines. Gardez lesprit que les utilisateurs du domaine qui se connectent un ordinateur client ou un serveur gnrent un vnement de connexion (et non un vnement de connexion un compte) sur ce systme.
9-37
Seuls les contrleurs de domaine gnrent des vnements de connexion aux comptes pour les utilisateurs du domaine. Noubliez pas quun vnement de connexion un compte se produit sur le contrleur de domaine qui authentifie un utilisateur du domaine, quel que soit lendroit partir duquel cet utilisateur se connecte. Si vous souhaitez effectuer laudit des connexions aux comptes du domaine, vous devez dfinir la porte de cet audit de sorte quil affecte uniquement les contrleurs du domaine. En fait, lobjet GPO Contrleurs de domaine par dfaut qui est cr lorsque vous installez votre premier contrleur de domaine est un objet GPO idal pour y configurer des stratgies daudit de connexion aux comptes.
9-38
Examiner les vnements de connexion
Points cls
Dans la mesure o ils font lobjet dun audit, les vnements de connexion aux comptes et les vnements de connexion apparaissent dans le journal Scurit du systme qui a gnr ces vnements. Un exemple est illustr dans la capture dcran suivante.
9-39
Ainsi, si vous effectuez laudit des ouvertures de session sur les ordinateurs du dpartement Ressources humaines, les vnements sont entrs dans le journal Scurit de chaque ordinateur. De la mme manire, si vous assurez laudit des connexions aux comptes ayant chou dans le but didentifier les tentatives dintrusion potentielles, les vnements sont entrs dans le journal Scurit de chaque contrleur de domaine. Cela signifie que, par dfaut, vous devrez examiner les journaux Scurit de tous les contrleurs de domaine afin dobtenir un aperu complet des vnements de connexion aux comptes de votre domaine. Il va sans dire que dans un environnement complexe constitu de plusieurs contrleurs de domaine et de nombreux utilisateurs, laudit des connexions aux comptes ou des connexions peut gnrer un nombre dvnements incalculable. La prsence dvnements trop nombreux peut rendre difficile lidentification dvnements suspects qui mriteraient un examen plus attentif. Vous devez trouver un compromis entre le volume dinformations journalises, les exigences de scurit de votre entreprise et les ressources dont vous disposez pour analyser les vnements enregistrs.
9-40
Atelier pratique B : Audit de l'authentification
Scnario
Lquipe responsable de la scurit chez Contoso vous a charg damliorer la scurit et de contrler lauthentification pour le domaine AD DS de lentreprise. Plus prcisment, vous devez crer une piste daudit des connexions.
9-41
Exercice 1 : Effectuer laudit de lauthentification

Dans cet exercice, vous allez utiliser la Stratgie de groupe pour activer laudit des connexions russies et celles ayant chou, qui ont t inities par les utilisateurs du domaine contoso.com. Vous gnrerez ensuite des vnements de connexion et examinerez les entres rsultantes dans les journaux dvnements. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. 7. Prparer l'atelier pratique. Configurer laudit des vnements de connexion aux comptes. Configurer laudit des vnements de connexion. Forcer une actualisation de la Stratgie de groupe. Gnrer des vnements de connexion un compte. Examiner les vnements de connexion aux comptes. Examiner les vnements de connexion.

1. 2. 3. 4. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Ouvrez D:\Labfiles\Lab09b. Excutez Lab09b_Setup.bat avec des informations didentification dadministration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tche 2 : Configurer laudit des vnements de connexion aux comptes

1. 2. Excutez la Gestion des stratgies de groupe en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Modifiez lobjet de stratgie de groupe de la stratgie par dfaut des contrleurs de domaine pour activer laudit des vnements de connexion aux comptes qui ont russi et ceux qui ont chou. Fermez lditeur de gestion des stratgies de groupe.
3.
9-42
Tche 3 : Configurer laudit des vnements de connexion

1. 2. 3. Crez un objet de stratgie de groupe (GPO) li lUO Servers\Important Project. Nommez lobjet GPO Server Lockdown Policy. Modifiez la Server Lockdown Policy pour activer laudit des vnements de connexion aux comptes qui ont russi et ceux qui ont chou. Fermez lditeur de gestion des stratgies de groupe et la Gestion des stratgies de groupe.
Tche 4 : Forcer une actualisation de la Stratgie de groupe

1. 2. Dmarrez SERVER01-A. Pendant le dmarrage, lordinateur applique les modifications que vous avez apportes la Stratgie de groupe. Sur HQDC01, excutez linvite de commandes en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd, puis excutez la commande gpupdate.exe /force. Fermez linvite de commandes.
Tche 5 : Gnrer des vnements de connexion un compte

1. 2. Sur SERVER01, ouvrez une session sous le nom Pat.Coleman, mais entrez un mot de passe incorrect. Aprs que louverture de session vous a t refuse, ouvrez nouveau une session avec le mot de passe correct, savoir, Pa$$w0rd.
Tche 6 : Examiner les vnements de connexion aux comptes

1. 2. Excutez l'Observateur d'vnements en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Identifiez les vnements ayant chou et les vnements russis dans le journal Scurit.
9-43
Question : quel ID dvnement est associ aux vnements dchec de connexion aux comptes ? (Conseil : recherchez la premire srie dvnements dchec au moment o vous vous tes connect de manire incorrecte SERVER01.) Question : quel est lID dvnement qui est associ la connexion russie au compte ? (Conseil : recherchez la premire srie dvnements au moment o vous vous tes connect de manire incorrecte SERVER01.)
Tche 7 : Examiner les vnements de connexion

1. Sur SERVER01, excutez lObservateur dvnements en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Identifiez les vnements ayant chou et les vnements russis dans le journal Scurit.
2.
Question : quel est lID dvnement qui est associ aux vnements dchec de connexion ? (Conseil : recherchez la premire srie dvnements dchec au moment o vous vous tes connect de manire incorrecte SERVER01.) Question : quel est lID dvnement qui est associ la connexion russie ? (Conseil : recherchez la premire srie dvnements au moment o vous vous tes connect de manire incorrecte SERVER01.)
Rsultats : lissue de cet exercice, vous aurez tabli et analys laudit des connexions russies et en chec au domaine et aux serveurs dans lUO Projet important.
Remarque : ne fermez pas lordinateur virtuel lissue de cet atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans les prochains ateliers pratiques de ce module.
9-44

Question : quel serait linconvnient de procder laudit de toutes les connexions russies et en chec sur tous les ordinateurs du domaine ? Question : vous avez t charg dassurer laudit des tentatives douverture de session sur les ordinateurs de bureau et les ordinateurs portables de la division Finances laide de comptes locaux, tels que le compte Administrateur. Quel type de stratgie daudit dfinissez-vous, et dans quel(s) objet(s) GPO ?
9-45
Leon 3
Configuration des contrleurs de domaine en lecture seule
Pour le personnel informatique dune entreprise, les filiales posent un problme unique : faut-il placer un contrleur de domaine dans une filiale qui est spare du site central par une liaison de rseau tendu (WAN, wide area network) ? Avec les versions prcdentes de Windows, il ntait pas simple de rpondre cette question. En revanche, Windows Server 2008 permet de rpondre plus facilement cette question grce au nouveau type de contrleur de domaine quil introduit : le contrleur de domaine en lecture seule. Dans cette leon, vous allez explorer les problmes lis lauthentification des filiales et au placement des contrleurs de domaine, et vous apprendrez implmenter un contrleur de domaine en lecture seule de filiale et en assurer le support.
9-46
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : identifier les besoins de lentreprise en matire de contrleurs de domaine en lecture seule ; installer un contrleur de domaine en lecture seule ; configurer une stratgie de rplication de mot de passe ; contrler la mise en cache des informations didentification sur un contrleur de domaine en lecture seule.
9-47
Authentification et placement dun contrleur de domaine dans une filiale
Points cls
Imaginons le cas dune entreprise constitue dun site central et de plusieurs filiales. Les filiales se connectent au site central au moyen de liaisons WAN qui peuvent tre congestionnes, coteuses, lentes ou peu fiables. Dans les filiales, les utilisateurs doivent tre authentifis par Active Directory pour pouvoir accder aux ressources du domaine. Faut-il placer un contrleur de domaine dans les filiales ? Dans les filiales, bon nombre de services informatiques sont centraliss sur le site central, dont la maintenance est soigneusement assure par le personnel informatique. Dans les grandes organisations, le site central peut comporter un centre de donnes robuste. Toutefois, les filiales sont souvent des sites de plus petite taille qui sont dpourvus de centre de donnes. De fait, hormis quelques serveurs, il est rare que les filiales disposent de ressources informatiques importantes. Elles ne disposent pas ncessairement dinstallations physiquement scurises pour abriter des serveurs de filiale. Le personnel informatique sur place, si tant est quil en existe un, nest pas suffisant pour assurer le support des serveurs.
9-48
En labsence dun contrleur de domaine dans la filiale, les activits dauthentification et de ticket de service sont diriges vers le site central via la liaison WAN. Lauthentification se produit lorsquun utilisateur ouvre la premire session sur son ordinateur le matin. Les tickets de service sont une composante du mcanisme dauthentification Kerberos utilis par les domaines Windows Server 2008. Vous pouvez considrer un ticket de service comme une cl mise par le contrleur de domaine pour un utilisateur. La cl permet lutilisateur de se connecter un service, tel que le service de fichiers et dimpression, sur un serveur de fichiers. Lorsquun utilisateur essaie daccder pour la premire fois un service spcifique, le client de lutilisateur demande ce qui sappelle un ticket de service auprs du contrleur de domaine. Comme les utilisateurs se connectent gnralement plusieurs services au cours dune mme journe de travail, lactivit de ticket de service se rpte rgulirement. Lactivit dauthentification et de ticket de service sur la liaison WAN entre une filiale et un site central peut entraner des ralentissements et nuire la fiabilit. Si la prsence dun contrleur de domaine dans la filiale permet une authentification bien plus efficace, cette solution prsente plusieurs risques srieux. En effet, un contrleur de domaine conserve une copie de tous les attributs de lensemble des objets du domaine, y compris des informations confidentielles telles que les mots de passe des utilisateurs. En cas daccs au contrleur de domaine voire de vol de ce dernier, il devient possible pour un expert dtermin didentifier des noms dutilisateur et des mots de passe valides, ce qui compromettra le domaine tout entier. Au minimum, vous devez rinitialiser les mots de passe de chaque compte dutilisateur du domaine. La scurit des serveurs au niveau des filiales tant souvent dfaillante, un contrleur de domaine de filiale pose un risque de scurit considrable. Autre source de proccupation : les modifications apportes la base de donnes Active Directory sur un contrleur de domaine de filiale sont rpliques sur le site central et sur tous les autres contrleurs de domaine de lenvironnement. Par consquent, la corruption dun contrleur de domaine de filiale constitue un risque pour lintgrit du service dannuaire de lentreprise. Par exemple, si ladministrateur dune filiale restaure le contrleur de domaine partir dune sauvegarde obsolte, les rpercussions au niveau du domaine tout entier risquent dtre importantes. Le troisime sujet dinquitude concerne ladministration. Un contrleur de domaine de filiale peut ncessiter des oprations de maintenance, par exemple, linstallation dun nouveau pilote de priphrique. Pour pouvoir raliser des oprations de maintenance sur un contrleur de domaine standard, vous devez ouvrir une session en tant que membre du groupe Administrateurs sur le contrleur de domaine, ce qui signifie que vous tes de facto un administrateur du domaine. Or, loctroi dun tel niveau de prrogative une quipe de support de filiale nest pas forcment indiqu.
9-49
Contrleurs de domaine en lecture seule
Points cls
Devant ces diffrents sujets dinquitude (scurit, intgrit du service dannuaire et administration) et du fait de labsence de recommandations, bon nombre dentreprises se sont trouves face des incertitudes. Avec Windows Server 2008 est apparu le contrleur de domaine en lecture seule, qui a t spcialement conu pour rpondre aux besoins des filiales. Un contrleur de domaine en lecture seule est un contrleur de domaine qui prend gnralement place dans une filiale. Il conserve une copie de tous les objets du domaine et de tous les attributs, lexception dinformations confidentielles telles que les proprits relatives aux mots de passe. Lorsquun utilisateur de la filiale ouvre une session, le contrleur de domaine en lecture seule reoit la demande et la transfre un contrle de domaine sur le site central pour tre authentifie.
9-50
Vous pouvez configurer une stratgie de rplication de mot de passe pour le contrleur de domaine en lecture seule qui spcifie les comptes dutilisateurs que ce dernier est autoris mettre en cache. Si lutilisateur qui ouvre une session est inclus dans la stratgie de rplication de mot de passe, le contrleur de domaine en lecture seule met en cache les informations didentification de lutilisateur, ce qui lui permet deffectuer la tche en local la prochaine demande dauthentification. mesure que les utilisateurs inclus dans la stratgie de rplication de mot de passe ouvrent une session, le contrleur de domaine en lecture seule se constitue un cache dinformations didentification et peut ainsi procder lauthentification de ces utilisateurs en local. Sachez que le contrleur de domaine en lecture seule conserve uniquement un sous-ensemble dinformations didentification. Autrement dit, si le contrleur de domaine en lecture seule est compromis ou vol, le risque de scurit est limit : seuls les mots de passe des comptes dutilisateurs qui ont t mis en cache sur le contrleur de domaine en lecture seule doivent tre modifis. Le contrleur de domaine en lecture seule rplique les modifications dans Active Directory partir des contrleurs de domaine du site central. La rplication est unidirectionnelle. Aucune des modifications apportes au contrleur de domaine en lecture seule nest rplique sur un autre contrleur de domaine. Cela limine tout risque de corruption du service dannuaire du fait de modifications apportes un contrleur de domaine de filiale compromis. Enfin, il existe sur les contrleurs de domaine en lecture seule lquivalent dun groupe Administrateurs local. Vous pouvez accorder une ou plusieurs personnes du service de support local le droit de grer entirement un contrleur de domaine en lecture seule sans leur octroyer lquivalence des Admins de domaine.
9-51
Dployer un contrleur de domaine en lecture seule
Points cls
Les principales tapes dinstallation dun contrleur de domaine en lecture seule sont les suivantes : 1. 2. 3. 4. Sassurer que le niveau fonctionnel de la fort est Windows Server 2003 ou une version suprieure. Si la fort prsente des contrleurs de domaine fonctionnant sous Windows Server 2003, excuter adprep /rodcprep. Sassurer quil existe au moins un contrleur de domaine accessible en criture fonctionnant sous Windows Server 2008. Installer le contrleur de domaine en lecture seule.
Chacune de ces tapes est dtaille dans les sections suivantes.
9-52
Vrification et configuration du niveau fonctionnel de la fort (Windows Server 2003 ou version suprieure) Les niveaux fonctionnels activent des fonctionnalits uniques spcifiques aux versions de Windows. Les versions de Windows excutes sur les contrleurs de domaine sont donc dterminantes. Si tous les contrleurs de domaine sexcutent sous Windows Server 2003 ou une version ultrieure, le niveau fonctionnel de domaine peut tre dfini Windows Server 2003. Si tous les domaines sont au niveau fonctionnel de domaine Windows Server 2003, le niveau fonctionnel de la fort peut tre dfini Windows Server 2003. Les niveaux fonctionnels de domaine et de fort sont traits en dtail dans un autre module. Les contrleurs de domaine en lecture seule ncessitent un niveau fonctionnel de fort Windows Server 2003 ou version suprieure. Autrement dit, tous les contrleurs de domaine de la fort entire doivent excuter Windows Server 2003 ou une version ultrieure. Pour dterminer le niveau fonctionnel de votre fort : 1. 2. 3. Ouvrez Domaines et approbations Active Directory. Cliquez avec le bouton droit sur le nom de la fort, puis cliquez sur Proprits. Vrifiez le niveau fonctionnel de la fort, comme indiqu ci-dessous. Nimporte quel utilisateur peut vrifier le niveau fonctionnel de la fort en procdant de la sorte. Il nest pas ncessaire de disposer dinformations didentification dadministration pour consulter le niveau fonctionnel dune fort.
9-53
Si le niveau fonctionnel de la fort nest pas au minimum Windows Server 2003, examinez les proprits de chaque domaine pour identifier celui ou ceux dont le niveau fonctionnel nest pas au moins Windows Server 2003. Si vous trouvez un domaine de ce type, vous devez vous assurer que tous les contrleurs de domaine excutent Windows Server 2003. Ensuite, dans Domaines et approbations Active Directory, cliquez avec le bouton droit sur le nom du domaine et choisissez Augmenter le niveau fonctionnel du domaine. Aprs avoir fait passer le niveau fonctionnel de chaque domaine au moins Windows Server 2003, cliquez avec le bouton droit sur le nud racine du composant logiciel enfichable Domaines et approbations Active Directory, puis choisissez Augmenter le niveau fonctionnel de la fort. Dans la liste droulante Slectionner un niveau fonctionnel de fort disponible, choisissez Windows Server 2003, puis cliquez sur Augmenter. Vous devez tre administrateur dun domaine pour pouvoir augmenter son niveau fonctionnel. Pour augmenter le niveau fonctionnel dune fort, vous devez soit tre membre du groupe Admins du domaine dans le domaine racine de la fort, soit faire partie du groupe Administrateurs de lentreprise. Excution de la commande ADPrep /RODCPrep Si vous dcidez de mettre niveau une fort existante de faon y inclure les contrleurs de domaine qui excutent Windows Server 2008, vous devez excuter adprep /rodcprep. Cette commande configure les autorisations pour permettre aux contrleurs de domaine en lecture seule de rpliquer les partitions dannuaire dapplications DNS. Les partitions dannuaire dapplications DNS sont traites dans un autre module. Si vous crez une nouvelle fort Active Directory et que tous les contrleurs de domaine sont appels excuter Windows Server 2008, vous navez pas besoin dexcuter adprep /rodcprep. La commande se trouve dans le dossier \sources\adprep du DVD dinstallation de Windows Server 2008. Copiez le dossier sur le contrleur de domaine qui fait office de contrleur de schma. Le rle de contrleur de schma est dcrit dans un autre module. Ouvrez une session sur le contrleur de schma en tant que membre du groupe Administrateurs de lentreprise, ouvrez une invite de commandes, modifiez les rpertoires en dsignant le dossier adprep, puis tapez adprep /rodcprep. Avant dexcuter adprep /rodcpep, vous devez excuter adprep /forestprep et adprep /domainprep. Voir le module 14 pour plus dinformations sur la prparation dun domaine et dune fort Windows Server 2003 pour le premier contrleur de domaine Windows Server 2008.
9-54
Placement dun contrleur de domaine Windows Server 2008 accessible en criture Un contrleur de domaine en lecture seule doit rpliquer les mises jour de domaine partir dun contrleur de domaine accessible en criture excutant Windows Server 2008. Il est essentiel quun contrleur de domaine en lecture seule puisse tablir une connexion de rplication avec un contrleur de domaine Windows Server 2008 accessible en criture. Dans lidal, le contrleur de domaine Windows Server 2008 accessible en criture doit se trouver sur le site le plus proche (le site central). Si vous souhaitez que le contrleur de domaine en lecture seule joue le rle de serveur DNS, le contrleur de domaine Windows Server 2008 accessible en criture doit galement hberger la zone de domaine DNS. Installation dun contrleur de domaine en lecture seule Aprs avoir excut les tapes prparatoires, vous pouvez installer un contrleur de domaine en lecture seule. Celui-ci peut consister en une installation complte ou minimale de Windows Server 2008. Avec une installation complte de Windows Server 2008, vous pouvez utiliser lAssistant Installation des services de domaine Active Directory pour crer un contrleur de domaine en lecture seule. Il vous suffit de slectionner Contrleur de domaine en lecture seule (RODC) dans la page Options supplmentaires pour le contrleur de domaine, comme indiqu cidessous.
9-55
Vous pouvez galement utiliser la commande dcpromo.exe avec le commutateur /unattend pour crer le contrleur de domaine en lecture seule. Sur une installation minimale de Windows Server 2008, vous devez utiliser la commande dcpromo.exe /unattend. Il est galement possible de dlguer linstallation du contrleur de domaine en lecture seule, ce qui permet un utilisateur qui nest pas administrateur de domaine de crer le contrleur de domaine en lecture seule, en ajoutant un nouveau serveur dans la filiale et en excutant dcpromo.exe. Pour dlguer linstallation dun contrleur de domaine en lecture seule, crez au pralable un compte dordinateur pour le contrleur de domaine en lecture seule dans lUO Domain Controllers et spcifiez les informations didentification qui seront utilises pour ajouter le contrleur de domaine en lecture seule au domaine. Cet utilisateur peut rattacher un serveur excutant Windows Server 2008 au compte du contrleur de domaine en lecture seule. Le serveur doit tre membre dun groupe de travail (pas du domaine) au moment de crer un contrleur de domaine en lecture seule via linstallation dlgue.
Pour plus dinformations sur les autres options dinstallation dun contrleur de domaine en lecture seule, y compris linstallation dlgue, voir http://go.microsoft.com/fwlink/?LinkId=168763.
9-56
Dmonstration : Stratgie de rplication de mot de passe
Points cls
Ouvrez les proprits de BRANCHDC01-A dans lUO Domain Controllers. Cliquez sur longlet Stratgie de rplication de mot de passe. La stratgie de rplication de mot de passe dsigne les utilisateurs dont les informations didentification peuvent tre mises en cache sur un contrleur de domaine en lecture seule spcifique. Si la stratgie de rplication de mot passe autorise un contrleur de domaine en lecture seule mettre en cache les informations didentification dun utilisateur, les activits dauthentification et de ticket de service de cet utilisateur peuvent tre traites par le contrleur de domaine en lecture seule. Si les informations didentification dun utilisateur ne peuvent pas tre mises en cache sur le contrleur de domaine en lecture seule, celui-ci adresse les activits dauthentification et de ticket de service un contrleur de domaine accessible en criture.
9-57
La stratgie de rplication de mot de passe dun contrleur de domaine en lecture seule est dtermine par deux attributs valeurs multiples du compte dordinateur du contrleur de domaine en lecture seule. Ces attributs sont connus sous le nom de liste verte et de liste dexclusion. Si le compte dun utilisateur se trouve dans la liste verte, les informations didentification de lutilisateur sont mises en cache. Vous pouvez inclure des groupes dans la liste verte. Dans ce cas, les informations didentification de tous les utilisateurs qui appartiennent au groupe peuvent tre mises en cache sur le contrleur de domaine en lecture seule. Si un utilisateur se trouve la fois dans la liste verte et dans la liste dexclusion, les informations didentification de cet utilisateur ne sont pas mises en cache, car la liste dexclusion est prioritaire. Configurer une stratgie de rplication de mot de passe lchelle dun domaine Pour faciliter la gestion dune stratgie de rplication de mot de passe, Windows Server 2008 cre deux groupes de scurit locale de domaine dans le conteneur Utilisateurs dActive Directory. Le premier, nomm Groupe de rplication dont le mot de passe RODC est autoris, est ajout la liste verte de chaque nouveau contrleur de domaine en lecture seule. Par dfaut, ce groupe ne possde aucun membre. Ainsi, par dfaut, un nouveau contrleur de domaine en lecture seule ne mettra en cache les informations didentification daucun utilisateur. Si vous voulez que les informations didentification de certains utilisateurs soient mises en cache par tous les contrleurs de domaine en lecture seule du domaine, ajoutez ces utilisateurs au Groupe de rplication dont le mot de passe RODC est autoris. Le deuxime groupe est nomm Groupe de rplication dont le mot de passe RODC est refus. Il est ajout la liste dexclusion de chaque nouveau contrleur de domaine en lecture seule. Si vous voulez faire en sorte que les informations didentification de certains utilisateurs ne soient jamais mises en cache par les contrleurs de domaine en lecture seule du domaine, ajoutez ces utilisateurs au Groupe de rplication dont le mot de passe RODC est refus. Par dfaut, ce groupe contient des comptes sensibles sur le plan de la scurit qui sont membres de groupes tels que Admins du domaine, Administrateurs de lentreprise et Propritaires crateurs de la stratgie de groupe.
Remarque : les ordinateurs aussi sont des acteurs. Ne perdez pas de vue que les utilisateurs ne sont pas les seuls gnrer une activit dauthentification et de ticket de service. Les ordinateurs dune filiale ont galement besoin de cette activit. Pour amliorer les performances des systmes dune filiale, autorisez aussi le contrleur de domaine en lecture seule de la filiale mettre en cache les informations didentification des ordinateurs.
9-58
Configurer une stratgie de rplication de mot de passe spcifique un contrleur de domaine en lecture seule Les deux groupes dcrits dans la section prcdente fournissent une mthode qui permet de grer la stratgie de rplication de mot de passe sur tous les contrleurs de domaine en lecture seule. Toutefois, dans un scnario de filiale, il est recommand sinon ncessaire dautoriser le contrleur de domaine en lecture seule de chaque filiale mettre en cache les informations didentification des utilisateurs de ces sites. Vous devez donc configurer la liste verte et la liste dexclusion de chaque contrleur de domaine en lecture seule. Pour configurer la stratgie de rplication de mot de passe dun contrleur de domaine en lecture seule, accdez aux proprits du compte dordinateur du contrleur de domaine en lecture seule correspondant dans lUO Domain Controllers. Sous longlet Rplication de mot de passe, illustr dans la capture dcran ci-dessous, vous pouvez consulter les paramtres de la stratgie de rplication de mot de passe active et y ajouter ou supprimer des utilisateurs ou des groupes.
9-59
1. Excutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans lUO Domain Controllers, accdez aux proprits de BRANCHDC01. Cliquez sur longlet Rplication de mot de passe et examinez la stratgie par dfaut. Fermez la fentre de proprits de BRANCHDC01. Dans larborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur le conteneur Users. Double-cliquez sur Allowed RODC Password Replication Group. Accdez longlet Membres et examinez lappartenance par dfaut de Allowed RODC Password Replication Group. Cliquez sur OK. Double-cliquez sur Denied RODC Password Replication Group et accdez longlet Membres. Cliquez sur Annuler pour fermer la fentre de proprits du Denied RODC Password Replication Group.
2. 3. 4. 5. 6.
7. 8. 9.
9-60
Dmonstration : Administration de la mise en cache des informations d'identification d'un contrleur de domaine en lecture seule
Points cls
Pour les besoins de cette dmonstration, utilisez lordinateur virtuel BRANCHDC01, puis ouvrez Utilisation de la stratgie.
9-61
Lorsque vous cliquez sur le bouton Avanc sous longlet Stratgie de rplication de mot de passe dun contrleur de domaine en lecture seule, la bote de dialogue Stratgie de rplication de mot de passe avance saffiche lcran. Un exemple est illustr dans la capture dcran suivante.
La liste droulante situe dans la partie suprieure de longlet Utilisation de la stratgie vous permet de slectionner lun des deux rapports pour le contrleur de domaine en lecture seule : Comptes dont les mots de passe sont stocks sur ce contrleur de domaine en lecture seule : affiche la liste des informations didentification dutilisateurs et dordinateurs actuellement en cache sur le contrleur de domaine en lecture seule. Cette liste permet didentifier les informations didentification mises en cache sur le contrleur de domaine en lecture seule et qui ne doivent pas ltre, et de modifier la stratgie de rplication de mot de passe en consquence. Comptes authentifis sur ce contrleur de domaine en lecture seule : affiche la liste des informations didentification dutilisateurs et dordinateurs qui ont t adresses un contrleur de domaine accessible en criture pour le traitement de lauthentification ou du ticket de service. Cette liste permet didentifier les utilisateurs ou les ordinateurs qui tentent de sauthentifier auprs du contrleur de domaine en lecture seule. Si certains de ces comptes ne sont pas mis en cache, envisagez de les ajouter la stratgie de rplication de mot de passe.
Dans la mme bote de dialogue, longlet Stratgie rsultante permet dvaluer la stratgie de mise en cache en vigueur pour un utilisateur ou un ordinateur individuel. Cliquez sur le bouton Ajouter pour slectionner un compte dutilisateur ou dordinateur en vue de lvaluer.
9-62
Vous pouvez galement utiliser la bote de dialogue Stratgie de rplication de mot de passe avance pour prremplir les informations didentification dans le cache du contrleur de domaine en lecture seule. Si un utilisateur ou un ordinateur figure dans la liste verte dun contrleur de domaine en lecture seule, les informations didentification du compte peuvent tre mises en cache sur le contrleur de domaine en lecture seule. Toutefois, elles ne le seront pas tant que les vnements dauthentification ou de ticket de service nauront pas conduit le contrleur de domaine en lecture seule rpliquer les informations didentification partir dun contrleur de domaine accessible en criture. En prremplissant les informations didentification dans le cache du contrleur de domaine en lecture seule, par exemple, pour les utilisateurs et les ordinateurs dune filiale, vous pouvez faire en sorte que lactivit dauthentification et de ticket de service soit traite localement par le contrleur de domaine en lecture seule, mme si les utilisateurs ou les ordinateurs sauthentifient pour la premire fois. Pour prremplir les informations didentification, cliquez sur le bouton Prremplir les mots de passe et slectionnez les utilisateurs et les ordinateurs appropris.
1. Sur HQDC01, dans larborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur lUO Domain Controllers et accdez aux proprits de BRANCHDC01. Cliquez sur longlet Stratgie de rplication de mot de passe. Cliquez sur le bouton Avanc. La bote de dialogue Stratgie de rplication de mot de passe avance pour BRANCHDC01 saffiche lcran. Longlet Utilisation de la stratgie affiche les comptes dont les mots de passe sont stocks sur ce contrleur de domaine en lecture seule. 4. 5. 6. Dans la liste droulante, slectionnez Comptes dont les mots de passe sont stocks sur ce contrleur de domaine en lecture seule. Dans la liste droulante, slectionnez Comptes authentifis sur ce contrleur de domaine en lecture seule. Cliquez sur longlet Stratgie rsultante, puis cliquez sur le bouton Ajouter. La bote de dialogue Slectionner des utilisateurs ou des ordinateurs s'affiche. 7. 8. Tapez Chris.Gallagher, puis appuyez sur Entre. Cliquez sur longlet Utilisation de la stratgie.
2. 3.
9-63
9.
Cliquez sur le bouton Prremplir les mots de passe. La bote de dialogue Slectionner des utilisateurs ou des ordinateurs s'affiche.
10. Tapez le nom du compte que vous souhaitez prremplir, puis cliquez sur OK. 11. Cliquez sur Oui pour confirmer que vous voulez envoyer les informations didentification au contrleur de domaine en lecture seule. Le message suivant saffiche : Les mots de passe de tous les comptes ont t correctement prremplis.
9-64
Sparation des rles dadministrateur
Points cls
Les contrleurs de domaine en lecture seule des filiales peuvent ncessiter des oprations de maintenance, comme la mise jour dun pilote de priphrique. Par ailleurs, dans les petites filiales, un mme systme peut combiner les rles de contrleur de domaine en lecture seule et de serveur de fichiers. Dans ce cas, il est important de pouvoir sauvegarder le systme. Les contrleurs de domaine en lecture seule autorisent une administration locale grce une fonctionnalit appele sparation des rles dadministrateur. Chaque contrleur de domaine en lecture seule dispose dune base de donnes locale de groupes des fins dadministration spcifiques. Vous pouvez ajouter un compte dutilisateur de domaine ces rles locaux pour permettre le support dun contrleur de domaine en lecture seule.
9-65
Vous pouvez configurer la sparation des rles dadministrateur laide de la commande dsmgmt.exe. Pour ajouter un utilisateur au rle Administrateurs dun contrleur de domaine en lecture seule, procdez comme suit : 1. 2. 3. Ouvrez un invite de commandes sur le contrleur de domaine en lecture seule. Tapez dsmgmt, puis appuyez sur Entre. Tapez local roles, puis appuyez sur Entre. linvite local roles , vous pouvez taper ? et appuyer sur Entre pour obtenir une liste de commandes. Vous pouvez galement taper list roles et appuyer sur Entre pour obtenir la liste des rles locaux. 4. Tapez add nom dutilisateur administrators, o nom dutilisateur est le nom douverture de session antrieur Windows 2000 dun utilisateur du domaine, puis appuyez sur Entre.
Vous pouvez rpter cette procdure pour ajouter dautres utilisateurs aux divers rles locaux dun contrleur de domaine en lecture seule.
Le contrleur de domaine en lecture seule est une nouveaut extrmement utile qui permet damliorer lauthentification et la scurit dans les filiales. Veillez lire la documentation dtaille sur le site Web Microsoft ladresse suivante : http://go.microsoft.com/fwlink/?LinkId=168764
9-66
Atelier pratique C : Configurer des contrleurs de domaine en lecture seule
Scnario
Lquipe responsable de la scurit chez Contoso vous a charg damliorer la scurit et de contrler lauthentification pour le domaine AD DS de lentreprise. Plus prcisment, vous devez amliorer la scurit des contrles de domaine de filiales.
9-67
Exercice 1 : Installer un contrleur de domaine en lecture seule

Dans cet exercice, vous allez configurer le serveur BRANCHDC01 en tant que contrleur de domaine en lecture seule de la filiale distante. Afin dviter les cots de dplacement, vous dcidez doprer la conversion distance, avec laide dAaron Painter, le technicien de support des ordinateurs de bureau et unique informaticien de la filiale. Aaron Painter a dj install un ordinateur Windows Server 2008 nomm BRANCHDC01 en tant que serveur dans un groupe de travail. Vous allez prdfinir linstallation dlgue dun contrleur de domaine en lecture seule pour permettre Aaron Painter de raliser linstallation. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Prparer l'atelier pratique. Prdfinir linstallation dlgue dun contrleur de domaine en lecture seule. Excuter lAssistant Installation des services de domaine Active Directory sur un serveur de groupe de travail.

1. 2. 3. 4. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Ouvrez D:\Labfiles\Lab09c. Excutez Lab09c_Setup.bat avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Le script d'installation de l'atelier pratique s'excute. Lorsqu'il est termin, appuyez sur une touche quelconque. Fermez la fentre de lExplorateur Windows, Lab09c.
5. 6.
9-68
Tche 2 : Prdfinir linstallation dlgue dun contrleur de domaine

en lecture seule
1. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Cliquez avec le bouton droit sur lUO Domain Controllers, puis cliquez sur Crer au pralable un compte de contrleur de domaine en lecture seule. Suivez les tapes de lAssistant Installation des services de domaine Active Directory en acceptant les valeurs par dfaut. Utilisez le nom dordinateur BRANCHDC01 puis, dans la page Dlgation de linstallation et de ladministration du contrleur de domaine en lecture seule (RODC), dlguez linstallation Aaron.Painter_Admin. Notez que lorsque lAssistant est termin, le serveur apparat dans lUO Domain Controllers avec la mention Compte de contrleur de domaine inoccup (Lecture seule, CG) dans la colonne Type de contrleur de domaine.
2. 3.
Tche 3 : Excuter lAssistant Installation des services de domaine

Active Directory sur un serveur de groupe de travail
1. 2. 3. 4. Dmarrez lordinateur 6238B-BRANCHDC01-A. Sur BRANCHDC01, ouvrez une session en tant qu'Administrateur avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, puis sur Excuter... Tapez dcpromo, puis appuyez sur Entre. Une fentre saffiche pour vous signaler que les fichiers binaires des services de domaine Active Directory sont en cours dinstallation. lissue de linstallation, lAssistant Installation des services de domaine Active Directory saffiche. 5. 6. 7. Cliquez sur Suivant. Dans la page Compatibilit du systme dexploitation, cliquez sur Suivant. Dans la page Choisissez une configuration de dploiement, cliquez successivement sur loption Fort existante, sur Ajouter un contrleur de domaine un domaine existant, puis sur Suivant. Dans la page Informations didentification rseau, tapez contoso.com.
8.
9-69
9.
Cliquez sur le bouton Dfinir. La bote de dialogue Scurit de Windows saffiche.
10. Dans la zone Nom dutilisateur, tapez Aaron.Painter_Admin. 11. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre. 12. Cliquez sur Suivant. 13. Dans la page Slectionnez un domaine, slectionnez contoso.com, puis cliquez sur Suivant. Un message saffiche pour vous informer que vos informations didentification nappartiennent pas au groupe Admins du domaine, ni au groupe Administrateurs de lentreprise. Comme vous avez prdfini ladministration dlgue du contrleur de domaine en lecture seule, vous pouvez poursuivre avec les informations didentification dlgues. 14. Cliquez sur Oui. Un message saffiche pour vous informer que le compte pour BRANCHDC01 a t prdfini dans Active Directory en tant que contrleur de domaine en lecture seule. 15. Cliquez sur OK. Un message davertissement saffiche qui indique que lordinateur dispose dune adresse IP affecte dynamiquement. BRANCHDC01 possde une adresse IPv6 affecte dynamiquement. En revanche, le serveur ne possde pas dadresse IPv4 fixe. Les adresses IPv6 ntant pas utilises dans ce cours, vous pouvez ignorer ce message. 16. Cliquez sur Oui, l'ordinateur utilisera une adresse IP attribue dynamiquement (non recommand). 17. Dans la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, cliquez sur Suivant. 18. Dans la page Mot de passe administrateur de restauration des services dannuaire, tapez Pa$$w0rd12345 dans les zones Mot de passe et Confirmer le mot de passe, puis cliquez sur Suivant. Dans un environnement de production, vous devez affecter un mot de passe complexe et scuris au compte Administrateur de restauration des services dannuaire. De mme, notez que nous avons modifi la longueur minimale de mot de passe dans lAtelier pratique A. ce titre, veillez respecter les nouvelles exigences de longueur de mot de passe minimale.
9-70
19. Dans la page Rsum, cliquez sur Suivant. 20. Dans la fentre de progression, activez la case cocher Redmarrer la fin de lopration. Les services de domaine Active Directory sont installs sur BRANCHDC01, le serveur redmarre.
Rsultats : lissue de cet exercice, vous aurez cr un nouveau contrleur de domaine en lecture seule nomm BRANCHDC01 dans le domaine contoso.com.
9-71
Exercice 2 : Configurer une stratgie de rplication de mot de passe

Dans cet exercice, vous allez configurer la stratgie de rplication de mot de passe lchelle du domaine et celle spcifique BRANCHDC01. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Configurer la stratgie de rplication de mot de passe lchelle du domaine. Crer un groupe pour grer la rplication de mot de passe sur le contrleur de domaine en lecture seule dune filiale. Configurer la stratgie de rplication de mot de passe pour le contrleur de domaine en lecture seule de la filiale. valuer la stratgie de rplication de mot de passe rsultante.
Tche 1 : Configurer la stratgie de rplication de mot de passe

lchelle du domaine
Qui sont les membres par dfaut du Groupe de rplication dont le mot de passe RODC est autoris ? Qui sont les membres par dfaut du Groupe de rplication dont le mot de passe RODC est refus ? Ajoutez le groupe DNSAdmins comme membre du Groupe de rplication dont le mot de passe RODC est refus. Examinez la proprit de rplication de mot de passe de BRANCHDC01. Quelle est la stratgie de rplication de mot de passe pour le Groupe de rplication dont le mot de passe RODC est autoris ? Et pour le Groupe de rplication dont le mot de passe RODC est refus ?
9-72
Tche 2 : Crer un groupe pour grer la rplication de mot de passe

sur le contrleur de domaine en lecture seule dune filiale
1. 2. Dans lUO Groups\Role, crez un groupe de scurit global sous le nom Branch Office Users. Ajoutez les utilisateurs suivants au groupe Utilisateurs de la filiale : Anav.Silverman Chris.Gallagher Christa.Geller Daniel.Roth
Tche 3 : Configurer la stratgie de rplication de mot de passe pour

le contrleur de domaine en lecture seule de la filiale
Configurez BRANCHDC01 de sorte quil mette en cache les mots de passe des utilisateurs du groupe Branch Office Users.
Tche 4 : valuer la stratgie de rplication de mot de passe rsultante

Ouvrez longlet Stratgie rsultante pour la stratgie de rplication de mot de passe de BRANCHDC01.
Question : quelle est la stratgie rsultante pour Chris.Gallagher ?

Rsultats : lissue de cet exercice, vous aurez configur la stratgie de rplication de mot de passe lchelle du domaine de faon empcher la rplication des mots de passe des membres du groupe DNSAdmins sur les contrleurs de domaine en lecture seule. Vous aurez galement configur la stratgie de rplication de mot de passe de BRANCHDC01 pour permettre la rplication des mots de passe des membres du groupe Branch Office Users.
9-73
Exercice 3 : Grer la mise en cache des informations didentification

Dans cet exercice, vous allez contrler la mise en cache des informations didentification. Les tches principales de cet exercice sont les suivantes : 1. 2. Contrler la mise en cache des informations didentification. Prremplir les informations didentification dans le cache.
Tche 1 : Contrler la mise en cache des informations didentification

1. 2. Sur BRANCHDC01, ouvrez une session sous le nom d'utilisateur Chris.Gallagher avec le mot de passe Pa$$w0rd, puis fermez la session. Sur BRANCHDC01, ouvrez une session sous le nom d'utilisateur Mike.Danseglio avec le mot de passe Pa$$w0rd, puis fermez la session. Le domaine contoso.com utilis dans ce cours comporte un objet Stratgie de groupe (nomm 6238B) qui permet aux utilisateurs de se connecter aux contrleurs de domaine. Dans un environnement de production, il nest pas recommand daccorder le droit aux utilisateurs de se connecter aux contrleurs de domaine. 3. Sur HQDC01, dans Utilisateurs et ordinateurs Active Directory, examinez la stratgie de rplication de mot de passe de BRANCHDC01.
Question : quels mots de passe dutilisateurs sont actuellement en cache sur BRANCHDC01 ? Question : quels utilisateurs ont t authentifis par BRANCHDC01 ?
9-74
Tche 2 : Prremplir les informations didentification dans le cache

Dans la stratgie de rplication de mot de passe de BRANCHDC01, prremplissez le mot de passe de Christa Geller.
Rsultats : lissue de cet exercice, vous aurez identifi les comptes qui ont t mis en cache sur BRANCHDC01 ou qui ont t transfrs un autre contrleur de domaine afin dtre authentifis. Vous aurez galement prrempli dans le cache les informations didentification de Christa Geller.

Question : pourquoi devez-vous vous assurer que la liste verte de la stratgie de rplication de mot de passe dun contrleur de domaine en lecture seule dune filiale contient les comptes des ordinateurs de la filiale, ainsi que les utilisateurs ? Question : quel serait le moyen le plus simple de sassurer que les ordinateurs dune filiale figurent dans la liste verte de la stratgie de rplication de mot de passe dun contrleur de domaine en lecture seule ? Question : le prremplissage des informations didentification pour lensemble des utilisateurs et des ordinateurs dune filiale sur le contrleur de domaine en lecture seule de ladite filiale prsente des avantages et des incovnients. Quels sont-ils ?
Remarques
Remarques
Remarques
Remarques

Active Directory - Volume1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Active Directory - Volume1

Uploaded by

Copyright:

Available Formats

PRODUIT OFFICIEL DE FORMATION MICROSOFT

Table des matires

Module 2 : Administration scurise et efficace d'Active Directory

Module 3 : Gestion des utilisateurs

Module 4 : Gestion des groupes

Module 5 : Prise en charge des comptes d'ordinateur

Module 6 : Implmentation d'une infrastructure de stratgie de groupe

7-81 7-87 7-100

Module 8 : Administration scurise

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Environnement de l'ordinateur virtuel

Configuration de l'ordinateur virtuel

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Installation de la salle de classe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Niveau des lments matriels du cours

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Prsentation des services de domaine Active Directory (AD DS)

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Vue d'ensemble du module

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Prsentation des services de domaine Active Directory (AD DS)

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Prsentation d'Active Directory, des identits et des accs

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Prsentation des services de domaine Active Directory (AD DS)

Protection des informations en quelques mots

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Prsentation des services de domaine Active Directory (AD DS)

Identit et accs (IDA)

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Prsentation des services de domaine Active Directory (AD DS)

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Prsentation des services de domaine Active Directory (AD DS)

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Prsentation des services de domaine Active Directory (AD DS)

Descripteurs de scurit, listes de contrle d'accs et entres de contrle d'accs

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Prsentation des services de domaine Active Directory (AD DS)

Authentication autonome (groupe de travail)

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Prsentation des services de domaine Active Directory (AD DS)

Domaines Active Directory : magasin d'identits approuves

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Active Directory et services d'accs et d'identit

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Prsentation des services de domaine Active Directory (AD DS)

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT