Professional Documents
Culture Documents
6238B
Volume 1
Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008
N'oubliez pas d'accder au contenu de formation supplmentaire du CD-ROM d'accompagnement du cours qui se trouve au dos de votre livre.
Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008
xv
xvi
Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008
Module 7 : Gestion de la configuration et de la scurit de l'entreprise avec les paramtres de stratgie de groupe
Leon 1 : Dlgation du support technique des ordinateurs Atelier pratique A : Dlgation du support technique des ordinateurs Leon 2 : Gestion des paramtres de scurit Atelier pratique B : Gestion des paramtres de scurit Leon 3 : Gestion de logiciels avec GPSI 7-4 7-16 7-20 7-49 7-62
Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008
xvii
Atelier pratique C : Gestion de logiciels avec GPSI Leon 4 : Audit Atelier pratique D : Audit de l'accs aux systmes de fichiers
Module 9 : Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Leon 1 : Configuration des stratgies de mot de passe et de verrouillage Atelier pratique A : Configuration des stratgies de mot de passe et de verrouillage de compte Leon 2 : Audit de l'authentification Atelier pratique B : Audit de l'authentification Leon 3 : Configuration des contrleurs de domaine en lecture seule Atelier pratique C : Configuration des contrleurs de domaine en lecture seule 9-4 9-24 9-30 9-40 9-45 9-66
propos de ce cours
propos de ce cours
Cette section dcrit brivement le cours, le profil des stagiaires, les connaissances pralables requises et les objectifs du cours.
Description du cours
Ce cours de 5 jours a pour objectif d'apprendre aux spcialistes de la technologie Active Directory configurer les services de domaine Active Directory (AD DS) dans un environnement distribu, implmenter une stratgie de groupe, effectuer des sauvegardes et des restaurations et rsoudre les problmes lis Active Directory. la fin de ce cours, les stagiaires seront mme d'implmenter et de configurer les services de domaine Active Directory dans leur environnement d'entreprise.
Public concern
Ce cours s'adresse principalement aux spcialistes de la technologie Active Directory, administrateurs de serveurs et administrateurs d'entreprise qui souhaitent apprendre implmenter Active Directory dans un environnement distribu, scuriser des domaines l'aide de stratgies de groupe, effectuer des sauvegardes et des restaurations, ainsi qu' contrler et rsoudre les problmes de configuration Active Directory, afin d'assurer un fonctionnement harmonieux.
Connaissances pralables
Pour pouvoir suivre ce cours, vous devez rpondre aux critres suivants : Connaissances de base dans le domaine des rseaux. Vous devez connatre le fonctionnement de TCP/IP et avoir des connaissances de base dans les domaines de l'adressage, de la rsolution des noms (Domain Name System [DNS]/Windows Internet Name Service [WINS]) et des mthodes de connexion (cbl, sans fil, rseau priv virtuel [VPN]) et NET+ ou quivalent. Niveau de connaissances intermdiaire des systmes d'exploitation rseau. Vous devez avoir des connaissances intermdiaires dans le domaine des systmes d'exploitation, tels que Windows 2000, Windows XP ou Windows Server 2003. Des connaissances dans le systme d'exploitation Windows Vista sont un avantage. Connaissances des meilleures pratiques de scurit. Vous devez avoir des connaissances en matire d'autorisations lies aux systmes de fichiers, de mthodes d'authentification et de renforcement de la scurit des serveurs, etc.
ii
propos de ce cours
Connaissances lmentaires des matriels serveur. Vous devez avoir un niveau de premier cycle ou quivalent. Exprience dans la cration d'objets dans Active Directory. Concepts de base des processus de sauvegarde et de restauration dans un environnement Windows Server. Vous devez avoir des connaissances de base en matire de types de sauvegardes, de mthodes de sauvegarde, de topologies de sauvegarde, etc.
Objectifs du cours
Ce cours va permettre au stagiaires d'atteindre les objectifs suivants : positionner le rle stratgique d'un service d'annuaire dans une entreprise par rapport aux identits et aux accs ; expliquer les processus d'authentification et d'autorisation ; identifier les principaux composants d'AD DS ; comprendre les exigences d'installation d'un contrleur de domaine pour crer une nouvelle fort ; identifier les rles et les relations entre AD DS, Services Active Directory Lightweight Directory (AD LDS), Services Active Directory Lightweight Directory (AD RMS), Services ADFS (Active Directory Federation Services) (AD FS) et Services de certificats Active Directory (AD CS) ; installer, rechercher et dcrire les composants logiciels enfichables pour administrer les services de domaine Active Directory (AD DS) ; excuter des tches d'administration de base avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ; crer une console MMC (Microsoft Management Console) personnalise pour l'administration ; excuter des tches d'administration en ayant ouvert une session comme utilisateur ; contrler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ; rechercher des objets dans Active Directory ; utiliser des requtes enregistres ;
propos de ce cours
iii
identifier le nom unique (DN), le nom unique relatif (RDN) et le nom commun (CN) d'un objet Active Directory ; utiliser les commandes DS pour administrer Active Directory depuis la ligne de commande ; crer et dfinir les proprits de compte d'un objet utilisateur ; identifier la fonction et les conditions des attributs d'un compte d'utilisateur ; excuter les tches d'administration courantes pour grer les comptes d'utilisateur, notamment rinitialiser un mot de passe et dverrouiller un compte ; activer et dsactiver des comptes d'utilisateur ; supprimer, dplacer et renommer des comptes d'utilisateur ; afficher et modifier les attributs masqus des objets utilisateur ; identifier la fonction et les conditions des attributs d'un objet utilisateur ; crer des utilisateurs partir de modles de comptes d'utilisateur. modifier simultanment les attributs de plusieurs utilisateurs ; exporter des attributs d'utilisateur avec CSVDE (Comma Separated Value Directory Exchange) ; importer des utilisateurs avec CSVDE ; importer des utilisateurs avec LDAP Lightweight Directory Access Protocol) LDIFDE (Data Interchange Format Directory Exchange) ; crer des groupes dlgus scuriss correctement documents ; expliquer les types de groupes, l'tendue et l'imbrication ; comprendre la meilleure pratique d'imbrication de groupe pour grer en fonction de rles ; crer, supprimer et grer des groupes avec des commandes DS, CSVDE et LDIFDE ; numrer et copier les membres des groupes ; expliquer les groupes par dfaut (intgrs) ; expliquer les identits spciales ; expliquer la relation entre un membre d'un domaine et le domaine en termes d'identit et d'accs ;
iv
propos de ce cours
identifier les conditions d'ajout d'un ordinateur un domaine ; implmenter des processus de meilleures pratiques d'ajout d'ordinateurs , scuriser AD DS pour empcher la cration de comptes d'ordinateurs non grs ; grer les objets ordinateur et leurs attributs en utilisant l'interface Windows et les outils de ligne de commande ; administrer les comptes d'ordinateurs pendant leur cycle de vie ; identifier les facteurs professionnels de la gestion de configuration ; comprendre les composants et les technologies qui constituent la structure d'une stratgie de groupe ; grer des objets Stratgie de groupe (GPO) ; configurer et comprendre les divers types de paramtres d'une stratgie ; dfinir la porte des objets GPO l'aide de liens, de groupes de scurit, de filtres WMI, de traitement par boucle de rappel et du ciblage des Prfrences ; expliquer le stockage, la rplication et la gestion des versions des objets GPO ; administrer l'infrastructure d'une stratgie de groupe ; valuer l'hritage, la priorit et le jeu de stratgie rsultant (RSoP) ; localiser les journaux d'vnements contenant les vnements lis une stratgie de groupe ; dlguer l'administration des ordinateurs ; modifier ou activer les membres des groupes l'aide des stratgies de groupes restreints ; modifier les membres de groupes l'aide des prfrences de stratgie de groupe ; configurer les paramtres de scurit l'aide de la stratgie de scurit locale ; crer et appliquer des modles de scurit pour grer une configuration de scurit ; analyser une configuration de scurit base sur des modles de scurit ; crer, modifier et appliquer des stratgies de scurit en utilisant l'Assistant Configuration de la scurit ; dployer la configuration de la scurit l'aide d'une stratgie de groupe ;
propos de ce cours
dployer des logiciels l'aide de l'installation logicielle d'une stratgie de groupe (GPSI) ; supprimer les logiciels installs initialement avec GPSI ; dcrire l'objectif de la dlgation pour une entreprise ; affecter des autorisations des objets Active Directory l'aide des interfaces utilisateur d'diteur de scurit et de l'Assistant Dlgation de contrle ; afficher et signaler les autorisations sur les objets Active Directory en utilisant l'interface utilisateur et des outils de ligne de commande ; rtablir les autorisations par dfaut sur un objet ; dcrire la relation entre une conception de dlgation et une conception d'unit d'organisation ; configurer l'audit des modifications du service d'annuaire ; spcifier les paramtres d'audit au niveau des objets Active Directory ; identifier les entres de journaux d'vnements cres par l'audit d'accs l'annuaire et l'audit des modifications du service d'annuaire ; implmenter votre stratgie de mot de passe de domaine et de verrouillage de compte ; configurer et affecter des stratgies de mot de passe affines ; configurer l'audit des activits lies l'authentification ; faire la distinction entre les vnements de connexion de comptes et les vnements Ouverture de session ; identifier les vnements lis l'authentification dans le journal de scurit ; identifier les besoins pour les contrleurs de domaine en lecture seule ; installer un contrleur de domaine en lecture seule ; configurer une stratgie de rplication de mot de passe ; contrler la mise en cache des informations d'identification sur un contrleur de domaine en lecture seule ; expliquer le rle structure, la structure et la fonctionnalit du systme de noms de domaine (DNS) ; dcrire les processus de rsolution des noms de client et de serveur ; installer le service DNS ;
vi
propos de ce cours
grer les enregistrements DNS ; configurer les paramtres du serveur DNS ; comprendre l'intgration entre AD DS et DNS ; choisir un domaine DNS pour un domaine Active Directory ; crer une dlgation de zone pour un nouveau domaine Active Directory ; configurer la rplication des zones intgres Active Directory ; dcrire la fonction des enregistrements SRV dans le processus d'emplacement des contrleurs d'un domaine ; comprendre le fonctionnement des serveurs DNS en lecture seule ; comprendre et configurer la rsolution des noms en une partie ; configurer les paramtres avancs du serveur DNS ; auditer, grer et dpanner le rle de serveur DNS ; installer un contrleur de domaine standard ou en lecture seule dans des arborescences ou des domaines, nouveaux ou existants ; ajouter et supprimer des contrleurs de domaine l'aide de diverses mthodes d'interface graphique utilisateur ou de ligne de commande ; configurer un contrleur de domaine sur Server Core ; comprendre et identifier les rles de matre d'oprations ; grer l'emplacement, le transfert et la cessation des rles de matre d'oprations ; migrer la rplication SYSVOL du service de rplication de fichiers (FRS) vers la rplication du systme de fichiers DFS (DFS-R) ; configurer des sites et des sous-rseaux ; comprendre l'emplacement des contrleurs de domaine et grer les contrleurs de domaine dans les sites ; configurer la rplication du jeu d'attributs partiels vers les serveurs de catalogues globaux ; implmenter la mise en cache de l'appartenance au groupe universel ; comprendre la fonction des partitions de l'annuaire d'applications ; configurer la topologie de rplication avec des objets de connexion, des serveurs tte de pont, des liens de sites et des ponts de liens de sites ;
propos de ce cours
vii
gnrer des rapports, analyser et rsoudre les problmes de rplication avec les outils repadmin.exe et dcdiag.exe ; contrler les performances et les vnements en temps rel avec le Gestionnaire des tches, l'Observateur d'vnements et le Moniteur de fiabilit et de performances Windows ; tirer parti des nouvelles fonctionnalits de l'Observateur d'vnements de Windows Server 2008, notamment des vues personnalises et des abonnements aux vnements ; contrler les performances en temps rel et enregistres avec l'Analyseur de performances, des jeux d'lments de collecte de donnes et des rapports ; identifier les sources d'informations relatives aux performances et aux vnements des contrleurs de domaine AD DS ; crer des alertes en fonction d'vnements et de mesures de performances ; grer et optimiser la base de donnes Active Directory ; sauvegarder et restaurer AD DS et les contrleurs de domaine ; restaurer les objets et les attributs supprims ; comprendre les niveaux fonctionnels des domaines et des forts ; lever les niveaux fonctionnels des domaines et des forts ; identifier les fonctions ajoutes par chaque niveau fonctionnel ; concevoir un domaine et une arborescence de domaine efficaces pour AD DS ; identifier le rle de l'Outil de migration Active Directory et les problmes lis la migration d'objet et la restructuration de domaine ; comprendre les relations d'approbation ; configurer, administrer et scuriser les relations d'approbation.
viii
propos de ce cours
Plan du cours
Cette section dcrit la structure du cours : Module 1. Ce module explique comment installer et configurer les services de domaine Active Directory et un contrleur de domaine en lecture seule. Module 2. Ce module explique comment travailler en toute scurit et efficacement dans Active Directoy. Module 3. Ce module explique comment grer et prendre en charge les comptes d'utilisateur dans Active Directory. Module 4. Ce module explique comment crer, modifier, supprimer et grer des objets groupe dans Active Directory. Module 5. Ce module explique comment crer et configurer des comptes d'ordinateur. Module 6. Ce module dcrit la stratgie de groupe, son fonctionnement et comment optimiser son implmentation dans votre entreprise. Module 7. Ce module explique comment grer la scurit et l'installation des logiciels, et comment auditer les fichiers, ainsi que les dossiers. Module 8. Ce module explique comment administrer les services de domaine Active Directory. Module 9. Ce module explique les composants de domaine de l'authentification, notamment les stratgies qui dfinissent les conditions de mot de passe et l'audit des activits d'authentification. Module 10. Ce module explique comment implmenter DNS pour prendre en charge la rsolution de nom dans votre domaine AD DS et en dehors de votre domaine et votre intranet. Module 11. Ce module explique comment administrer les contrleurs de domaine dans une fort. Module 12. Ce module explique comment crer un service d'annuaire distribu qui prend en charge des contrleurs de domaine dans des parties du rseau spares par des liaisons coteuses, lentes ou non fiables.
propos de ce cours
ix
Module 13. Ce module explique les technologies et les outils disponibles pour garantir l'intgrit et la longvit du service d'annuaire. Vous allez apprendre exploiter certains outils pour surveiller les performances en temps rel et enregistrer au fur et mesure ces performances dans un journal pour garder un il sur les tendances et dceler les problmes potentiels. Module 14. Ce module explique comment lever les niveaux de fonctionnalit d'un domaine et d'une fort dans votre environnement, concevoir une infrastructure AD DS optimale pour votre entreprise, migrer des objets entre des domaines et des forts et activer l'authentification et les accs aux ressources dans plusieurs domaines et forts.
propos de ce cours
Documents de cours
Votre kit de formation contient les documents suivants : Guide du cours. Le guide du cours contient les sujets traits en cours. Il est doit tre utilis avec le CD-ROM d'accompagnement du cours. CD-ROM d'accompagnement du cours. Ce CD-ROM contient la totalit du cours, y compris le contenu dvelopp de chaque page de rubrique, l'ensemble des exercices pratiques et leurs corrigs, les ressources classes par rubriques et par catgories et des liens Web. Il doit tre utilis pendant le cours et en dehors du cours.
Remarque : pour accder au contenu du cours, insrez le CD-ROM d'accompagnement du cours dans votre lecteur de CD-ROM, puis double-cliquez sur le fichier StartCD.exe dans le rpertoire principal du CD-ROM.
valuation du cours. la fin du cours, vous pourrez remplir une fiche d'valuation en ligne pour faire part de vos commentaires sur le cours, le centre de formation et l'instructeur.
Pour formuler des commentaires supplmentaires sur le cours, vous pouvez envoyer un courrier lectronique l'adresse support@mscourseware.com. Pour obtenir des informations sur le programme MCP (Microsoft Certified Professional), envoyez un courrier lectronique l'adresse mcphelp@microsoft.com.
propos de ce cours
xi
Le tableau suivant rpertorie le rle de chaque ordinateur virtuel utilis dans ce cours :
Ordinateur virtuel 6238B-HQDC01-A 6238B-HQDC01-B 6238B-HQDC01-D 6238B-HQDC02-A 6238B-HQDC02-B 6238B-HQDC03-A 6238B-HQDC03-B 6238B-DESKTOP101-A 6238B-BRANCHDC01-A 6238B-BRANCHDC01-B 6238B-SERVER01-A 6238B-SERVER01-B 6238B-TSTDC01-A Rle Contrleur de domaine Windows Server 2008 dans le domaine Contoso Contrleur de domaine Windows Server 2008 dans le domaine Contoso Membre de groupe de travail Windows Server 2008 Membre de groupe de travail Windows Server 2008 Contrleur de domaine Windows Server 2008 dans le domaine Contoso Windows Server 2008 Server Core dans le groupe de travail Windows Server 2008 Server Core dans le domaine Contoso Client Windows Vista dans le domaine Contoso Membre de groupe de travail Windows Server 2008 Contrleur de domaine Windows Server 2008 Server Core dans le domaine Contoso Contrleur de domaine Windows Server 2008 dans le domaine Contoso Membre de groupe de travail Windows Server 2008 Contrleur de domaine Windows Server 2008 dans le domaine Tailspintoys
Configuration logicielle
Les logiciels suivants sont installs sur l'ordinateur virtuel : Windows Server 2008 Entreprise Windows Vista Entreprise
xii
propos de ce cours
Chaque ordinateur du cours fait office d'hte pour cinq ordinateurs virtuels excuts dans Virtual Server 2005 R2 SP1. La dure de la configuration de la salle de cours est de 140 minutes (2 h 20) environ.
1-1
Module 1
Prsentation des services de domaine Active Directory (AD DS)
Table des matires :
Leon 1 : Prsentation d'Active Directory, des identits et des accs Leon 2 : Composants et concepts Active Directory Leon 3 : Installation des services de domaine Active Directory Atelier pratique : Installation d'un contrleur de domaine AD DS pour crer une seule fort de domaines Leon 4 : Extension d'IDA avec les services Active Directory 1-4 1-21 1-47 1-57 1-66
1-2
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Active Directory et ses services connexes constituent la base des rseaux d'entreprise fonctionnant sous le systme d'exploitation Windows. En effet, ils agissent ensemble pour stocker des informations sur l'identit des utilisateurs, des ordinateurs et des services, pour authentifier un utilisateur ou un ordinateur et pour fournir l'utilisateur ou l'ordinateur un mcanisme d'accs aux ressources de l'entreprise. Dans ce module, vous commencerez votre exploration d'Active Directory Windows Server 2008 en installant le rle Services de domaine Active Directory (AD DS) et en crant un contrleur de domaine (DC) dans une nouvelle fort Active Directory. Vous constaterez que Windows Server 2008 poursuit l'volution d'Active Directory en amliorant la plupart des concepts et des fonctionnalits que vous connaissez de par votre exprience avec Active Directory. Ce module se concentre sur la cration d'une nouvelle fort Active Directory un domaine dans un contrleur de domaine unique. L'atelier pratique de ce module vous guidera travers les tapes de cration d'un domaine nomm contoso.com que vous utiliserez pour tous les autres ateliers pratiques du cours. Dans les modules ultrieurs, vous apprendrez implmenter d'autres scnarios, notamment des forts plusieurs domaines, des mises niveau de forts existantes de Windows Server 2008 et des options d'installation avances.
1-3
Plus important encore, ce module plante le dcor de l'ensemble du cours en prsentant une vue gnrale d'Active Directory. Vous y tudierez les concepts cls de l'authentification, des autorisations et des services d'annuaire, et vous porterez un regard global sur les principaux composants d'Active Directory et comment ils se compltent. Si vous tes trs expriment avec Active Directory ou une version plus rcente de la plateforme, ce module vous permettra de comprendre dans quelle direction ce cours vous mne.
Objectifs
Ce module va vous permettre d'atteindre les objectifs suivants : positionner le rle stratgique d'un service d'annuaire dans une entreprise par rapport aux identits et aux accs ; expliquer les processus d'authentification et d'autorisation ; identifier les principaux composants d'AD DS ; comprendre les exigences d'installation d'un contrleur de domaine pour crer une nouvelle fort ; identifier les rles et les relations entre AD DS, AD LDS, AD RMS, AD FS et AD CS.
1-4
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 1
Les services de domaine Active Directory (AD DS) fournissent les fonctionnalits d'une solution d'identit et d'accs (IDA) pour des rseaux d'entreprise. La leon passe en revue les concepts cls d'IDA et d'Active Directory.
Objectifs
Cette leon va vous permettre d'atteindre les objectifs suivants : expliquer les concepts, la terminologie, les processus et les technologies d'authentification et d'autorisation ; positionner le rle stratgique d'un service d'annuaire dans une entreprise au regard des identits et des accs.
1-5
Points cls
Pour faire simple, le travail d'un professionnel des technologies de l'information est de connecter des utilisateurs aux donnes dont ils ont besoin pour accomplir leur travail. Ce serait plutt facile si nous n'avions pas nous soucier d'un petit dtail appel scurit . tant donn que les utilisateurs ncessitent diffrents niveaux d'accs diffrentes classes d'informations, nous devons grer l'association des utilisateurs corrects aux niveaux d'accs correspondants : c'est la protection des informations. En informatique, il y a plusieurs approches possibles pour protger des informations. Cette mare d'abrviations et d'acronymes de structures reprsente simplement des perspectives diffrentes d'un mme problme : IDA : Identity and Access (identit et accs). Les utilisateurs et les autres entits de scurit (qui peuvent inclure des services, des ordinateurs et des groupes) sont reprsents par des identits (souvent appeles comptes ) auxquelles nous accordons un accs (des autorisations) des informations, des ressources ou des systmes.
1-6
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
AAA : Authentication, Authorization, and Accounting (authentification, autorisation et gestion des comptes). Les utilisateurs fournissent des informations d'identification telles qu'un nom d'utilisateur et un mot de passe. Ils sont authentifis que s'ils fournissent des informations d'identification valides. Les utilisateurs reoivent des autorisations d'accs des ressources (contrle d'accs) qui sont utilises pour autoriser des demandes d'accs. L'accs est surveill par une gestion des comptes et un audit. Dans certains documents, l'audit est reprsent par un A distinct de la gestion des comptes. L'acronyme devient donc AAAA . CIA : Confidentiality, Integrity, and Availability (confidentialit, intgrit et disponibilit). Les informations sont protges afin qu'elles ne soient pas divulgues des personnes non autorises (confidentialit) et qu'elles ne soient pas modifies de manire incorrecte (intgrit), que ce soit intentionnellement ou par inadvertance. Les informations sont disponibles lorsqu'elles sont ncessaires (disponibilit).
Lectures complmentaires
Microsoft Identity and Access Solutions (en anglais) http://go.microsoft.com/fwlink/?LinkId=168485
1-7
Points cls
Deux concepts essentiels sont au cur de la protection des informations : l'identit et l'accs (IDA). Consacrons quelques minutes passer en revue les principes de base, les composants, les processus et les technologies associs l'identit et l'accs sur les systmes Windows. Vous devez certainement connatre la plupart ou l'ensemble de ces informations de par votre exprience passe avec Windows, mais il est important de planter le dcor pour le rle d'Active Directory et de clarifier la terminologie, les composants et les processus qu'impliquent IDA. Dans un systme scuris, chaque utilisateur est reprsent par une identit. Dans les systmes Windows, l'identit est le compte d'utilisateur. Les comptes d'un ou plusieurs utilisateurs sont conservs dans un magasin d'identits, galement appel base de donnes d'annuaire. Une identit est appele une entit de scurit dans les systmes Windows. Les entits de scurit sont identifies de manire unique par un attribut appel identificateur de scurit (SID).
1-8
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
l'autre extrmit du systme se trouve la ressource laquelle l'utilisateur demande l'accs. La ressource est scurise par des autorisations, et chaque autorisation spcifie l'association d'un niveau d'accs particulier une identit. De nombreuses ressources de Windows, notamment les fichiers et les dossiers sur des volumes NTFS, sont scurises par un descripteur de scurit judicieusement nomm qui contient une liste de contrle d'accs discrtionnaire (DACL) dans laquelle chaque autorisation prend la forme d'une entre de contrle d'accs (ACE).
1-9
Authentification et autorisation
Points cls
Il y a certains concepts et processus importants entre l'utilisateur (entit de scurit) et l'accs aux ressources. Les quatre prochaines diapositives dcrivent en dtail ce processus.
1-10
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Authentification
Points cls
L'authentification est le processus de vrification de l'identit d'un utilisateur. L'utilisateur fournit des informations d'identification constitues d'au moins deux parties : un nom de connexion et un secret connu uniquement de l'utilisateur et du systme, tel qu'un mot de passe. Le systme valide l'exactitude des informations d'identification prsentes par l'utilisateur par rapport celles stockes pour l'identit. Il existe deux types d'authentifications : locale et distance. Une ouverture de session locale ou interactive se produit lorsqu'un utilisateur ouvre une session sur un ordinateur directement, par exemple lorsque vous vous connectez votre ordinateur portable le matin. Une connexion distance ou rseau se produit lorsque vous vous connectez un autre ordinateur, tel qu'un serveur de fichiers, un serveur de messagerie ou mme un contrleur de domaine pour rcuprer un script d'ouverture de session.
1-11
Jetons d'accs
Points cls
Une fois qu'un utilisateur a t authentifi, l'autorit de scurit locale (LSA) gnre un jeton d'accs de scurit (galement appel jeton de scurit ou jeton d'accs) qui reprsente l'utilisateur auprs du systme en collectant le SID de l'utilisateur et les SID de tous les groupes auxquels l'utilisateur appartient. Le jeton d'accs reprsente galement des privilges (galement appels droits d'utilisateur) dtenus par l'utilisateur sur le systme, par exemple le droit d'arrter le systme ou encore le droit d'ouvrir une session sur le systme de faon interactive (localement). Il est important de se souvenir que le jeton d'accs est gnr et conserv localement, sur l'ordinateur qui a authentifi l'utilisateur. Lorsqu'un utilisateur ouvre une session sur son ordinateur de bureau (ouverture de session interactive ou locale), ce dernier cre un jeton de scurit et, en supposant que l'utilisateur a le droit d'ouvrir une session sur le systme de faon interactive, il appelle le processus Explorateur Windows, ce qui cre le Bureau.
1-12
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Lorsqu'un utilisateur se connecte ensuite un serveur pour accder un fichier partag (ouverture de session distance ou rseau), le serveur authentifie l'utilisateur et gnre un jeton d'accs sur le serveur qui reprsente l'utilisateur avec le SID de l'utilisateur et les SID de tous les groupes auxquels cet utilisateur appartient. Le jeton d'accs sur le serveur est distinct du jeton d'accs sur l'ordinateur de bureau de l'utilisateur. Un jeton d'accs n'est jamais transmis sur le rseau, et la LSA d'un systme Windows n'accepte jamais un jeton d'accs gnr par une autre LSA. Cela devrait pourtant tre le cas car un utilisateur appartient probablement diffrents groupes locaux sur le serveur plutt que sur l'ordinateur de bureau et dtient sans doute diffrents privilges (droits d'utilisateur) sur le serveur plutt que sur l'ordinateur de bureau.
1-13
Points cls
Le descripteur de scurit d'une ressource scurise, telle qu'un fichier ou un dossier sur un volume NTFS, dcrit l'ensemble des caractristiques de scurit de la ressource. Le descripteur de scurit contient la liste de contrle d'accs discrtionnaire (DACL), qui son tour contient les entres de contrle d'accs (ACE ou autorisations ). Chaque autorisation est constitue d'un indicateur qui dtermine si l'ACE est Autoriser ou Refuser, un Client approuv (le SID d'un utilisateur ou d'un groupe), et un masque d'accs spcifiant un niveau d'accs. L'ACE dfinit donc qui (le Client approuv reprsent par le SID) peut ou ne peut pas faire quoi (reprsent par le masque d'accs). Le descripteur de scurit englobe galement la liste de contrle d'accs systme (SACL) qui contient des paramtres d'audit et des attributs tels que le propritaire de l'objet. tant donn que la DACL est au centre de la majorit de la gestion de la scurit quotidienne d'une ressource, le nom et l'acronyme sont souvent abrgs. Par consquent, la liste de contrle d'accs (ACL) abrge, bien que techniquement imprcise, est utilise par de nombreux administrateurs et dans beaucoup de documents (y compris ce cours) pour faire rfrence la DACL.
1-14
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Autorisation
Points cls
L'autorisation est le processus qui dtermine s'il faut accorder ou refuser un utilisateur un niveau d'accs demand une ressource. Une demande d'accs est effectue en indiquant la ressource, le niveau d'accs et le jeton de scurit qui reprsentent l'utilisateur. Le sous-systme de scurit examine ensuite l'ACL de la ressource, en comparant les SID dans les ACE aux SID dans le jeton de scurit. La premire ACE qui correspond la fois un SID dans le jeton et au type souhait d'accs dtermine si l'accs la ressource est autoris (si l'ACE est Autoriser) ou refus (si l'ACE est Refuser) l'utilisateur. Si aucune correspondance n'est trouve, l'accs est refus.
Lectures complmentaires
Logon and Authentication Technologies (en anglais) : http://go.microsoft.com/fwlink/?LinkId=168486 Authorization and Access Control Technologies (en anglais) : http://go.microsoft.com/fwlink/?LinkId=168488
1-15
Points cls
Dans une configuration autonome des systmes Windows, galement appele groupe de travail, chaque ordinateur conserve un et un seul magasin d'identits approuves : une liste locale des utilisateurs et des groupes stocke dans le Registre appele base de donnes du Gestionnaire des comptes de scurit (SAM). Du fait que les systmes Windows sont scuriss, un utilisateur ne peut mme pas ouvrir une session sur un ordinateur sans un compte d'utilisateur sur le systme en question. L'utilisateur doit prsenter des informations d'identification qui sont valides en fonction des identits du SAM. Une fois qu'un utilisateur a t authentifi et autoris ouvrir une session locale, le processus de l'Explorateur Windows est lanc, ce qui gnre le Bureau Windows habituel.
1-16
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Si l'utilisateur souhaite accder un dossier partag sur un serveur, un problme se pose immdiatement : le serveur n'approuve pas une identit qui lui est soumise car elle a t authentifie par un systme inconnu et non approuv. Le serveur approuve uniquement son propre magasin d'identits (SAM). Par consquent, pour permettre l'utilisateur d'ouvrir une session distance sur le serveur, le Gestionnaire des comptes de scurit du serveur doit avoir une identit (compte d'utilisateur) pour l'utilisateur en question. Si le nom de connexion et le mot de passe de l'identit sont identiques aux informations d'identification de l'identit du poste de travail, le processus d'authentification se produit de manire transparente pour l'utilisateur. Toutefois, si le nom de connexion ou le mot de passe ne correspondent pas, l'utilisateur est invit saisir des informations d'identification valides pour le serveur lorsqu'il tente de se connecter la ressource partage. L'ACL sur une ressource scurise sur le serveur ne peut pas contenir d'autorisations faisant rfrence des identits non approuves. Par consquent, tous les utilisateurs dsirant accder la ressource doivent avoir un compte sur le serveur. Les dfis de gestion sont immdiatement vidents. Si l'utilisateur modifie son mot de passe sur l'ordinateur de bureau, les deux comptes ne sont plus synchroniss et l'utilisateur sera invit fournir les informations d'identification au moment de se connecter au serveur. Le problme se complique si vous ajoutez plusieurs utilisateurs, ressources et systmes Windows l'environnement. Les dfis de gestion de plusieurs identits pour chaque utilisateur deviennent rapidement inextricables.
1-17
Points cls
Les dfis de scurit et de gestion d'un groupe de travail sont relevs par la centralisation du magasin d'identits, afin qu'il n'y ait qu'une seule identit (compte d'utilisateur) requise pour tout utilisateur. Ce magasin d'identits doit tre approuv par tous les ordinateurs. Cette unit d'identit fiable s'effectue par le biais d'un domaine Active Directory. Un domaine Active Directory fournit un magasin d'identits centralis approuv par tous les membres du domaine, c'est--dire tous les ordinateurs qui grent euxmmes des comptes dans le domaine. Un domaine offre galement un service d'authentification centralis. Un serveur jouant le rle d'un contrleur de domaine hberge le magasin d'identits (la base de donnes Active Directory) ainsi que le service d'authentification, avec un certain nombre d'autres composants et services que nous traiterons plus loin dans ce cours.
1-18
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Comme nous l'avons mentionn dans les introductions du module et de cette leon, Active Directory fournit la solution d'identit et d'accs (IDA) pour les rseaux d'entreprise sous Windows. IDA est ncessaire pour prserver la scurit des ressources de l'entreprise telles que les fichiers, les e-mails, les applications et les bases de donnes. L'infrastructure IDA devrait effectuer les oprations suivantes :
1-19
Stocker des informations sur les utilisateurs, les groupes, les ordinateurs et les autres identits. Comme nous l'avons vu, une identit est une reprsentation d'une entit qui effectue des actions sur le rseau de l'entreprise. Par exemple, un utilisateur ouvre des documents dans un dossier partag sur un serveur. Vous savez que le document est scuris avec des autorisations sur une liste ACL. L'accs au document est gr par le sous-systme de scurit du serveur qui compare l'identit de l'utilisateur aux identits de l'ACL pour dterminer si la demande d'accs de l'utilisateur est accorde ou refuse. Des ordinateurs, des groupes, des services et d'autres objets effectuent galement des actions sur le rseau ; ils doivent tre reprsents par des identits. Parmi les informations stockes sur une identit, il y a les proprits qui identifient de manire unique l'objet, telles qu'un nom d'utilisateur ou un SID et le mot de passe de l'identit. Le magasin d'identits est donc un composant d'une infrastructure IDA. La banque de donnes Active Directory, galement appele annuaire est un magasin d'identits. L'annuaire lui-mme est hberg et gr par un contrleur de domaine : un serveur jouant le rle AD DS. Authentifier une identit. Le serveur n'accorde pas l'utilisateur l'accs au document moins qu'il ne soit sr de la validit de l'identit prsente dans la demande d'accs. Pour valider l'identit, l'utilisateur fournit des secrets connus uniquement par lui-mme et l'infrastructure IDA. Ces secrets sont compars aux informations du magasin d'identits lors d'un processus appel authentification. Dans un domaine Active Directory, un protocole appel Kerberos est utilis pour authentifier les identits. Lorsqu'un utilisateur ou un ordinateur ouvre une session sur le domaine, Kerberos authentifie ses informations d'identification et met un ensemble d'informations appel ticket d'accord de ticket (TGT). Pour que l'utilisateur puisse se connecter au serveur et demander le document, une requte Kerberos est envoye un contrleur de domaine avec le TGT qui permet d'identifier l'utilisateur authentifi. Le contrleur de domaine envoie l'utilisateur un autre ensemble d'informations appel ticket de service qui identifie l'utilisateur authentifi sur le serveur. L'utilisateur prsente le ticket de service au serveur qui l'accepte comme preuve d'authentification de l'utilisateur. Ces transactions Kerberos conduisent une connexion rseau unique, ou authentification unique. Aprs l'ouverture de session initiale de l'utilisateur ou de l'ordinateur et la remise d'un TGT, l'utilisateur est authentifi dans l'ensemble du domaine et peut recevoir des tickets de service qui l'identifient auprs de n'importe quel service. Toute cette activit de tickets est gre par les clients et services Kerberos intgrs Windows et est transparente pour l'utilisateur.
1-20
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Contrler l'accs. L'infrastructure IDA est responsable de la protection des informations confidentielles telles que les informations stockes dans le document. L'accs aux informations confidentielles doit tre gr conformment aux stratgies de l'entreprise. L'ACL sur le document reflte une stratgie de scurit compose d'autorisations qui spcifient des niveaux d'accs pour des identits particulires. Le sous-systme de scurit du serveur dans cet exemple effectue la fonctionnalit de contrle d'accs dans l'infrastructure IDA. Fournir une piste d'audit. Une entreprise peut souhaiter surveiller les modifications et les activits au sein de l'infrastructure IDA. Elle doit donc fournir un mcanisme permettant de grer les audits.
Les services de domaine Active Directory constituent le plus important composant d'une infrastructure IDA, mais d'autres composants IDA sont aussi pris en charge par Windows Server 2008. Avec Windows Server 2008, Microsoft a regroup un certain nombre de composants auparavant distincts dans une plate-forme IDA intgre. Plus loin dans ce module, vous dcouvrirez les services Active Directory suivants : Services AD LDS (Active Directory Lightweight Directory Services) Services de certificats Active Directory (AD CS) Services AD RMS (Active Directory Rights Management Services) Services ADFS (Active Directory Federation Services)
Chacun de ces services joue un rle dans l'extension d'IDA pour prendre en charge des configurations et des scnarios plus complexes. Une fois de plus, ces informations seront traites plus loin dans ce module.
1-21
Leon 2
Du module 2 jusqu'au module 14 de ce cours, il est question de l'installation, de la configuration, de la gestion et du dpannage des services de domaine Active Directory. Il est intressant de donner d'abord une vue d'ensemble des composants, des technologies et des concepts lis Active Directory.
Objectifs
Cette leon va vous permettre d'atteindre les objectifs suivants : identifier les principaux composants d'AD DS.
1-22
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Active Directory est en fin de compte une base de donnes des configurations et des ressources de l'entreprise. Une suite de services prend en charge cette base de donnes et utilise les informations qu'elle contient pour fournir les identits et les accs de l'entreprise. Dans la terminologie des bases de donnes, chaque enregistrement d'une base de donnes Active Directory est un objet Active Directory, tel qu'un utilisateur, un groupe ou un ordinateur. Chaque champ est un attribut, galement appel proprit, d'un objet. Les attributs comprennent le nom, le mot de passe, la description, l'appartenance ou l'identificateur de scurit de l'objet. Les entits de scurit, galement appeles comptes , constituent un type d'objet particulier dans les services de domaine Active Directory. Elles ont plusieurs attributs uniques, dont le plus important est l'identificateur de scurit. Comme vous l'avez appris dans la leon prcdente, l'identificateur de scurit sert affecter aux comptes les accs aux ressources.
1-23
La leon prcdente tait axe sur une seule entit de scurit : l'utilisateur. Toutefois, il est plus facile de grer les accs aux ressources en affectant des autorisations des groupes. Il existe une classe d'objets de groupe, appele groupe de scurit, qui est galement une entit de scurit. Les ordinateurs dans un domaine sont galement des entits de scurit. En fait, l'objet ordinateur est trs similaire l'objet utilisateur : il possde un nom de connexion et un mot de passe que l'ordinateur utilise pour s'authentifier auprs du domaine au dmarrage. Enfin, il y a une classe d'objets appele inetOrgPerson. Cette classe d'objets est utilise dans des situations trs particulires pour prendre en charge l'interoprabilit avec une poigne de services d'annuaire tiers. inetOrgPerson est galement une entit de scurit et, pour tre concis, trs semblable un compte d'utilisateur. La base de donnes Active Directory est prise en charge et utilise par un certain nombre de services, notamment Kerberos (charg de l'authentification), DNS (charg de la rsolution de noms) et l'agent de rplication de rpertoire (DRA), charg de la rplication de la base de donnes entre les contrleurs de domaine. La base de donnes Active Directory est accessible de diffrentes manires, l'aide d'une varit d'outils, d'interfaces et de composants Windows, ou par programmation via des API, ou l'aide du protocole LDAP (Lightweight Directory Access Protocol).
1-24
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Dans cette dmonstration, votre instructeur va vous prsenter le rle et la structure du schma en tudiant le schma Active Directory. Le schma est souvent compar un modle pour Active Directory. Il dfinit les attributs et les types d'objets qui peuvent tre stocks dans l'annuaire. Par exemple, c'est le schma qui dtermine le fait qu'Active Directory peut avoir des objets utilisateur, et que ces objets utilisateur sont tenus d'avoir un nom de connexion et ventuellement une adresse de messagerie. Le schma possde deux conteneurs principaux. Le conteneur Attributes renferme les dfinitions de chaque attribut pris en charge par Active Directory. Vous pouvez ouvrir les attributs de proprits que vous connaissez dj : objectSID : identificateur de scurit. sAMAccountName : le nom de connexion pr-Windows 2000, que la plupart des administrateurs dsignent comme nom d'utilisateur .
1-25
unicodePwd : le stockage du mot de passe. Cet attribut stocke un mot de passe sous forme de code de hachage qui rsulte d'une fonction unidirectionnelle. Vous ne pouvez lire ou driver le mot de passe rel depuis cet attribut sans effectuer une sorte d'attaque en force par dictionnaire (piratage).
member : l'attribut qui stocke la liste des membres d'un objet de groupe.
Le conteneur objectClasses dfinit les types d'objets qui peuvent tre instancis (crs) dans l'annuaire, y compris les utilisateurs et les groupes. Les classes d'objets sont associes des attributs dfinis dans le conteneur Attributes. Ces associations dterminent quelles classes d'objets ont quels attributs, et lesquels parmi ces attributs sont obligatoires pour une classe d'objets particulire.
tapes de la dmonstration
1. Sur l'ordinateur virtuel 6238B-HQDC01-A, ouvrez D:\AdminTools\ADConsole.msc. Dveloppez les nuds Active Directory > Active Directory Schema [HQDC01.contoso.com]. Recherchez le conteneur Attributes. Ouvrez les proprits des lment suivants. objectSID sAMAccountName (ce que la plupart des administrateurs appellent nom d'utilisateur ) unicodePwd member description 3. Ouvrez le conteneur Classes. Notez les classes d'objets habituelles, dont l'utilisateur, l'ordinateur et le groupe.
2.
Lectures complmentaires
What Is the Active Directory Schema? (en anglais) http://go.microsoft.com/fwlink/?LinkId=104448
1-26
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Units d'organisation
Points cls
Active Directory comme base de donnes hirarchique. Les objets d'une banque de donnes peuvent tre regroups dans des conteneurs. Un des types de conteneurs est la classe d'objets appele conteneur. Vous avez vu les conteneurs par dfaut, notamment Users, Computers et Builtin, lorsque vous ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Un autre type de conteneur est l'unit d'organisation (UO). Les units d'organisation fournissent non seulement un conteneur pour les objets, mais aussi une tendue permettant de grer les objets. En effet, les units d'organisation peuvent tre lies des objets appels Objets de stratgie de groupe. Les objets de stratgie de groupe peuvent contenir des paramtres de configuration qui seront ensuite automatiquement appliqus par les utilisateurs ou les ordinateurs dans une unit d'organisation.
Lectures complmentaires
Les modules 6 et 8 traitent de la finalit, de la gestion et de la conception des units d'organisation.
1-27
Points cls
L'administration base de stratgies facilite la gestion des plus grands et des plus complexes rseaux en fournissant un point unique de configuration des paramtres qui sont ensuite dploys sur plusieurs systmes. Une stratgie de groupe permet de dfinir des paramtres de scurit ainsi que des milliers d'autres paramtres de configuration pour un ou plusieurs utilisateurs ou ordinateurs de votre entreprise. Par exemple, c'est la stratgie de groupe qui dfinit les stratgies de mot de passe et de verrouillage pour un domaine. Elle indique la longueur minimale des mots de passe et tablit la stratgie d'expiration des mots de passe. Une stratgie de groupe peut spcifier des paramtres d'audit, par exemple pour contrler l'accs aux dossiers du serveur, ou pour surveiller les modifications apportes des groupes sensibles de scurit dans Active Directory, tels que les Administrateurs du domaine. Une stratgie de groupe peut galement grer la configuration, par exemple en spcifiant une page d'accueil de Microsoft Internet Explorer pour un groupe d'utilisateurs ou en empchant les utilisateurs d'accder aux outils de modifications du Registre.
1-28
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Le concept le plus important comprendre au sujet d'une stratgie de groupe ce stade du cours est qu'elle permet de dfinir la configuration dans un objet appel Objet de stratgie de groupe. Un objet de stratgie de groupe peut ensuite tre tendu (appliqu) un ou plusieurs utilisateurs ou ordinateurs. Un autre exemple de gestion base de stratgies est une stratgie de mot de passe et de verrouillage affine, une nouvelle fonctionnalit de Windows Server 2008. Vous pouvez maintenant spcifier diffrentes stratgies de mot de passe et de verrouillage pour diffrents groupes d'utilisateurs dans votre environnement. Par exemple, vous pouvez configurer la longueur minimale des mots de passe et tablir une stratgie de changement plus frquent des mots de passe pour les membres Administrateurs du domaine que pour les utilisateurs normaux. Il est intressant et important de noter que ces technologies permettent Active Directory de dpasser la simple gestion des identits et des accs, et de contribuer sensiblement une gestion plus large de votre rseau d'entreprise.
Lectures complmentaires
Les modules 6, 7, 8 et 9 traitent en dtail de la gestion base de stratgies.
1-29
Points cls
Comme mentionn dans la leon prcdente, les AD DS stockent leurs identits dans l'annuaire : une banque de donnes hberge sur des contrleurs de domaine. L'annuaire est un fichier unique nomm ntds.dit et qui se situe par dfaut dans le dossier %systemroot%\ntds sur un contrleur de domaine. La base de donnes est divise en plusieurs partitions. Celles-ci seront traites en dtail dans les modules suivants. Ces partitions sont : Schma : trait dans une rubrique prcdente. Contexte de changement de nom de domaine : une partition particulirement importante pour l'administration quotidienne car elle contient les donnes sur les objets au sein d'un domaine : les utilisateurs, les groupes et les ordinateurs, par exemple. Lorsque vous apportez des modifications Active Directory l'aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, vous modifiez le contenu du contexte de dnomination de domaine.
1-30
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Configuration : contient des informations sur les domaines, les services et la topologie. DNS : si vous utilisez le DNS intgr Active Directory, les zones DNS et les enregistrements de ressources sont stocks dans une partition. Jeu d'attributs partiel : cette partition est utilise par le catalogue global, qui est dcrit dans une rubrique ultrieure de cette leon et dans le module 12.
Active Directory stocke galement des informations dans une structure de dossiers appele SYSVOL. Par dfaut, ce dossier se situe dans le dossier %systemroot% (c:\windows). SYSVOL contient des lments, notamment des scripts d'ouverture de session et des fichiers associs des objets de stratgie de groupe.
Lectures complmentaires
Vous en apprendrez plus sur les partitions d'Active Directory et SYSVOL tout au long de ce cours. Le DNS est le sujet du module 10. Le PAS est trait en dtail dans le module 12. Le contenu de SYSVOL est explor dans le module 6 et les objets stocks dans la configuration sont couverts dans le module 12. Les objets dans la partition du domaine sont couverts dans les modules 3 6 et la maintenance de la base de donnes et les tches d'administration sont abordes en dtail dans les modules 9 et 13.
1-31
Contrleurs de domaine
Points cls
Les contrleurs de domaine sont des serveurs qui excutent le rle AD DS. Dans le cadre de ce rle, ils hbergent et rpliquent la base de donnes Active Directory (NTDS.dit) et SYSVOL. Les contrleurs de domaine excutent galement le service Centre de distribution de cls Kerberos, qui se charge de l'authentification et d'autres services Active Directory. tant donn que l'authentification est critique pour l'entreprise, il va sans dire qu'il vaut mieux avoir au moins deux contrleurs de domaine disponibles. Ainsi, en cas d'indisponibilit de l'un, les clients peuvent accder l'autre.
1-32
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Outre la disponibilit, vous devez vous assurer que les contrleurs de domaine sont scuriss. En plus de la scurit physique (par exemple, en plaant les contrleurs de domaine dans des centres de donnes scuriss), il existe deux options pour amliorer leur scurit : Sever Core : vous pouvez installer Windows Server 2008 avec l'option d'installation Server Core. Cette option installe une configuration minimale de Windows Server 2008 qui offre une interface utilisateur d'invite de commandes plutt que l'Explorateur. Vous installerez un contrleur de domaine Server Core dans l'atelier pratique du module 11. Contrleurs de domaine en lecture seule (RODC). Les contrleurs de domaine en lecture seule vous permettent d'authentifier des utilisateurs dans des environnements moins scuriss, tels que des succursales, par la mise en cache des informations d'identification uniquement pour leurs utilisateurs. Les mots de passe des autres utilisateurs ne sont pas rpliqus sur le contrleur de domaine en lecture seule. En outre, le contrleur de domaine en lecture seule n'autorise aucune modification d'Active Directory, ce qui rduit la vulnrabilit du domaine AD DS vis--vis des dommages accidentels ou volontaires sur un site moins scuris. Les contrleurs de domaine en lecture seule sont traits en dtail dans le module 9.
Lectures complmentaires
Les contrleurs de domaine sont abords tout au long de ce cours, mais les modules 11 et 12 sont consacrs spcifiquement leur administration et placement. Le module 9 traite des contrleurs de domaine en lecture seule.
1-33
Domaine
Points cls
Un ou plusieurs contrleurs de domaine sont ncessaires pour crer un domaine Active Directory. Un domaine est une unit d'administration au sein de laquelle certaines caractristiques et fonctions sont partages. Tout d'abord, tous les contrleurs de domaine rpliquent la partition du domaine de la banque de donnes qui contient, entre autres choses, les donnes sur les identits pour les utilisateurs, les groupes et les ordinateurs du domaine. tant donn que tous les contrleurs de domaine conservent le mme magasin d'identits, ils peuvent tous authentifier une identit quelconque dans un domaine. De plus, un domaine est un champ d'application de stratgies d'administration telles que la complexit du mot de passe et les stratgies de verrouillage de compte. De telles stratgies configures dans un domaine affectent tous les comptes du domaine, mais pas les comptes dans d'autres domaines.
1-34
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Des modifications peuvent tre apportes aux objets de la base de donnes Active Directory par n'importe quel contrleur de domaine et seront rpliques sur tous les autres contrleurs de domaine. Par consquent, dans les rseaux o la rplication de toutes les donnes entre les contrleurs de domaine ne peut pas tre prise en charge, il peut s'avrer ncessaire d'implmenter plusieurs domaines afin de grer la rplication des sous-ensembles d'identits.
Lectures complmentaires
Vous en apprendrez plus sur les domaines tout au long de ce cours. Le module 14 est consacr aux considrations de conception lies au nombre de domaines avoir dans votre entreprise.
1-35
Rplication
Points cls
Les services de rplication distribuent les donnes de l'annuaire sur le rseau. Cela inclut la fois la banque de donnes elle-mme ainsi que les donnes ncessaires l'implmentation des stratgies et de la configuration, y compris les scripts d'ouverture de session. Comme vous le verrez dans le module 12, la rplication Active Directory est la fois efficace et robuste. Active Directory conserve une partition spare de la banque de donnes nomme Configuration qui contient des informations sur la configuration, la topologie et les services du rseau : le contexte de changement de nom de la configuration.
Lectures complmentaires
La rplication Active Directory est traite en dtail dans le module 12. La rplication SYSVOL est prsente dans le module 9.
1-36
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Sites
Points cls
En envisageant la topologie du rseau d'une entreprise distribue, vous aborderez certainement la question des sites du rseau. Toutefois, dans Active Directory, les sites ont une signification trs particulire car il y a une classe d'objets spcifique appele site. Un site Active Directory est un objet qui reprsente une partie de l'entreprise dans laquelle la connectivit rseau est bonne. Un site dlimite l'utilisation du service et la rplication. Les contrleurs de domaine dans un site rpliquent les modifications en quelques secondes. Les modifications sont rpliques entre les sites de manire contrle en supposant que les connexions intersites sont lentes, coteuses ou peu fiables par rapport aux connexions au sein d'un site. En outre, les clients prfrent utiliser des services distribus fournis par des serveurs dans leur site, ou le site le plus proche. Par exemple, lorsqu'un utilisateur ouvre une session sur le domaine, le client Windows tente d'abord de s'authentifier auprs d'un contrleur de domaine dans son site. C'est seulement si aucun contrleur de domaine n'est disponible sur le site que le client tentera de s'authentifier auprs d'un contrleur de domaine dans un autre site.
1-37
Lectures complmentaires
Le site Active Directory et les objets de sous-rseau sont abords dans le module 12.
1-38
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Arborescence
Points cls
L'espace de noms d'un systme de noms de domaine (DNS) des domaines d'une fort cre des arborescences dans la fort. Si un domaine est un sous-domaine d'un autre domaine, les deux domaines sont considrs comme une arborescence. Par exemple, si la fort treyresearch.net contient deux domaines, treyresearch.net et antarctica.treyresearch.net, ces domaines constituent une partie contigu de l'espace de noms DNS. Ils forment donc une arborescence unique. Par contre, si les deux domaines sont treyresearch.net et proseware.com, non contigus dans l'espace de noms DNS, la fort est alors compose de deux arborescences. Les arborescences sont le rsultat direct des noms DNS choisis pour les domaines de la fort.
1-39
La diapositive illustre une fort Active Directory pour Trey Research qui possde une petite activit dans une station locale dans l'Antarctique. tant donn que la liaison entre l'Antarctique et le sige social est onreuse, lente et peu fiable, Antarctica est configur comme un domaine distinct. Le nom DNS de la fort est treyresearch.net. Le domaine Antarctica est un domaine enfant dans l'espace de noms DNS, antarctica.treyresearch.net. Il est donc considr comme un domaine enfant dans l'arborescence du domaine. Le domaine proseware.com qui ne partage pas un espace de noms DNS contigu, est une autre arborescence dans la mme fort.
Lectures complmentaires
Les concepts et la conception d'une fort plusieurs domaines sont abords dans le module 14.
1-40
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Fort
Points cls
Une fort est un ensemble d'un ou plusieurs domaines Active Directory. Le premier domaine install dans une fort est appel domaine racine de la fort. Une fort contient une dfinition unique de la configuration du rseau et une seule instance du schma de l'annuaire. En d'autres termes, tout contrleur de domaine dans une fort rplique les partitions Schma et Configuration. Une fort est une instance unique de l'annuaire : aucune donne n'est rplique par Active Directory en dehors des limites de la fort. Par consquent, la fort dfinit la fois une rplication et une limite de scurit.
Lectures complmentaires
Les concepts et la conception d'une fort plusieurs domaines sont abords dans le module 14.
1-41
Catalogue global
Points cls
Plusieurs composants et technologies vous permettent d'interroger Active Directory et rechercher des objets dans la banque de donnes. Une partition de la banque de donnes appele catalogue global (galement appele jeu d'attributs partiel) contient des informations sur chaque objet dans l'annuaire. C'est un type d'index qui peut tre utilis pour trouver des objets dans l'annuaire. Cela est particulirement important si vous recherchez des objets dans un autre domaine d'une fort. tant donn que les contrleurs de domaine de votre domaine ne contiennent pas d'informations sur les objets dans d'autres domaines, vous devez compter sur le catalogue global qui possde le jeu d'attributs partiel index pour tous les objets des autres domaines.
Lectures complmentaires
Le catalogue global est tudi en dtail dans le module 12.
1-42
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Niveau fonctionnel
Points cls
Les fonctionnalits disponibles dans un domaine Active Directory ou une fort dpendent de son niveau fonctionnel. Le niveau fonctionnel est un paramtre AD DS qui permet l'activation de fonctionnalits avances l'chelle du domaine ou de la fort AD DS. Il existe trois niveaux fonctionnels de domaine : Windows 2000 natif, Windows Server 2003 et Windows Server 2008 ; et deux niveaux fonctionnels de fort, Windows Server 2003 et Windows Server 2008. mesure que vous augmentez le niveau fonctionnel d'un domaine ou d'une fort, les fonctionnalits offertes par la version de Windows en question sont mises la disposition des AD DS. Par exemple, lorsque le niveau fonctionnel du domaine est lev vers Windows Server 2008, un nouvel attribut devient disponible pour rvler la dernire fois qu'un utilisateur a correctement ouvert une session sur un ordinateur, l'ordinateur sur lequel il a ouvert sa dernire session et le nombre de tentatives choues depuis la dernire ouverture de session. Le plus important savoir au sujet des niveaux fonctionnels est qu'ils dterminent les versions de Windows autorises sur les contrleurs de domaine. Avant d'lever le niveau fonctionnel du domaine vers Windows Server 2008, tous les contrleurs de domaine doivent excuter Windows Server 2008.
1-43
Lectures complmentaires
Les niveaux fonctionnels sont traits en dtail dans le module 14.
1-44
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Active Directory et DNS ont une relation trs troite. Tout d'abord, il y a une relation un--un entre un nom DNS et un domaine Active Directory. Ensuite, ils se reposent entirement sur le DNS pour trouver les ordinateurs et les services dans le domaine. Enfin, il est trs courant de configurer les contrleurs de domaine pour servir galement de serveurs DNS. Dans ce cas, vous avez la possibilit de stocker des donnes DNS, appeles zone, dans Active Directory mme. La banque de donnes Active Directory peut galement tre utilise pour prendre en charge les applications et les services qui ne sont pas directement lis aux AD DS. Au sein de la base de donnes, des partitions d'applications peuvent stocker des donnes pour prendre en charge des applications qui ncessitent des donnes rpliques. Le service de systme de noms de domaine (DNS) sur un serveur Windows Server 2008 peut stocker ses informations dans une base de donnes appele zone Active Directory intgre qui est gre comme une partition d'applications dans les AD DS et rplique l'aide des services de rplication d'Active Directory.
Lectures complmentaires
Le DNS est abord dans le module 10.
1-45
Relations d'approbation
Points cls
Au dbut de ce module, vous avez tudi la configuration groupe de travail de Windows Server par dfaut et autonome. Vous avez ensuite appris que lorsqu'un ordinateur rejoint un domaine, l'Autorit de scurit locale du systme commence approuver le magasin d'identits et les services d'authentification fournis par le domaine. Ceci permet un compte d'utilisateur stock dans le domaine d'tre authentifi et d'accder aux ressources sur le serveur. Le mme concept peut tre tendu d'autres domaines. Un domaine peut authentifier des utilisateurs d'un autre domaine et leur permettre d'accder ses ressources. Cela est rendu possible en tablissant une relation d'approbation entre les domaines.
1-46
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Dans une relation d'approbation, le domaine d'approbation tend son domaine d'approbation pour approuver le magasin d'identits et les services d'authentification du domaine approuv. Les comptes d'utilisateurs dans le domaine d'approbation peuvent tre mieux authentifis, et les identificateurs de scurit des comptes d'utilisateurs dans le domaine approuv peuvent tre ajouts la listes de contrle d'accs du domaine d'approbation. Dans une fort, chaque domaine approuve tous les autres domaines. Vous devez tablir manuellement les relations d'approbation entre les domaines prsents dans les diffrentes forts.
Lectures complmentaires
Les relations d'approbation sont abordes dans le module 14.
1-47
Leon 3
Cette leon explique comment installer les services de domaine Active Directory et comment configurer un contrleur de domaine.
Objectifs
Cette leon va vous permettre d'atteindre les objectifs suivants : comprendre les exigences d'installation d'un contrleur de domaine pour crer une nouvelle fort ; configurer un contrleur de domaine avec le rle AD DS, l'aide de l'interface Windows.
1-48
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
L'installation de Windows Server 2008 est un processus simple : 1. 2. Insrez le DVD d'installation de Windows Server 2008. Mettez le systme sous tension. Si le disque dur du systme est vide, l'ordinateur dmarre partir du DVD. Si des informations sont prsentes sur le disque, vous serez peut-tre invit appuyer sur une touche pour dmarrer partir du DVD. Si le systme ne dmarre pas partir du DVD ou n'affiche pas un menu de dmarrage, ouvrez les paramtres du BIOS de l'ordinateur et configurez l'ordre de dmarrage de sorte que le systme dmarre partir du DVD.
1-49
L'Assistant Installation de Windows s'affiche, comme illustr dans la capture d'cran suivante :
3.
Slectionnez la langue, les paramtres rgionaux et la disposition du clavier adapte votre systme, puis cliquez sur Suivant.
1-50
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
4.
Cliquez sur Installer maintenant. Une liste des versions installer vous est prsente, comme illustr dans la capture d'cran suivante. Si vous utilisez un ordinateur x64, les versions x64 vous seront prsentes au lieu des versions x86.
5. 6. 7. 8.
Slectionnez le systme d'exploitation appropri, puis cliquez sur Suivant. Cliquez sur J'accepte les termes du contrat de licence, puis choisissez Suivant. Cliquez sur Personnalis (avanc). Dans la page O souhaitez-vous installer Windows ?, slectionnez le disque sur lequel installer Windows Server 2008. Si vous devez crer, supprimer, tendre ou formater des partitions, ou si vous devez charger un pilote de stockage de masse personnalis afin d'accder au sous-systme du disque, cliquez sur Options avances.
1-51
9.
Cliquez sur Suivant. La bote de dialogue Installation de Windows s'affiche, comme illustr dans la capture d'cran suivante. La fentre vous informe de la progression de l'installation de Windows.
L'installation de Windows Server 2008, l'instar de Windows Vista, est base sur une image. Par consquent, l'installation est considrablement plus rapide que dans les versions prcdentes de Windows, mme si les systmes d'exploitation sont beaucoup plus volumineux qu'auparavant. L'ordinateur redmarre une ou plusieurs fois pendant l'installation. Une fois l'installation termine, un message vous indique que le mot de passe doit tre modifi avant d'ouvrir une session pour la premire fois. 10. Cliquez sur OK.
1-52
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
11. Saisissez un mot de passe pour le compte d'administrateur dans les zones Nouveau mot de passe et Confirmer le mot de passe, puis appuyez sur ENTRE. Le mot de passe doit comporter au moins sept caractres dont au moins trois des quatre types de caractres : Majuscule : de A Z Minuscule : de a z Chane numrique : de 0 9 Chane non alphanumrique : des symboles tels que $, #, @ et !
12. Cliquez sur OK. Si vous avez slectionn Installation complte, le Bureau du compte Administrateur s'affiche. Si vous avez install Server Core, une invite de commandes s'affiche.
1-53
Gestionnaire de serveur et configuration base sur les rles de Windows Server 2008
Points cls
Afin de rduire les frais de gestion et attnuer l'exposition aux failles de scurit, le programme d'installation de Windows Server 2008 installe uniquement les composants de base du systme d'exploitation. Toutefois, contrairement aux prcdentes versions de Windows, il en rsulte une installation minimale plutt qu'un serveur tout-en-un. Par consquent, aprs avoir install le systme d'exploitation, vous devez ajouter les composants requis par le serveur en fonction du rle qu'il tiendra dans votre entreprise. Windows Server 2008 est configur en ajoutant des rles et des fonctionnalits. La console Gestionnaire de serveur permet d'ajouter et supprimer des rles. Elle expose galement les composants logiciels enfichables d'administration les plus courants selon le rle du serveur.
1-54
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Avant d'installer le rle AD DS sur un serveur et promouvoir son action en contrleur de domaine, vous devez planifier votre infrastructure Active Directory. Les informations rassembler pour crer un contrleur de domaine sont les suivantes : Le nom du domaine et le nom DNS. Un domaine doit avoir un nom DNS unique, par exemple contoso.com, ainsi qu'un nom court, par exemple CONTOSO, qui est le nom NetBIOS. NetBIOS est un protocole rseau qui est utilis depuis les premires versions de Windows NT et qui est toujours utilis par certaines applications hrites. Savoir si le domaine devra prendre en charge des contrleurs de domaine excutant des versions prcdentes de Windows. Lors de la cration d'une nouvelle fort Active Directory, vous configurez le niveau fonctionnel. Si le domaine inclut uniquement des contrleurs de domaine de Windows Server 2008, vous pouvez dfinir le niveau fonctionnel en consquence pour bnficier des fonctionnalits amliores offertes par cette version de Windows.
1-55
Des dtails sur la manire dont le DNS sera implment pour prendre en charge Active Directory. Il est recommand d'implmenter le DNS pour vos zones de domaine Windows l'aide du service DNS de Windows, comme vous le verrez dans le module 9, mais il est aussi possible de prendre en charge un domaine Windows sur un service DNS tiers. Configuration IP du contrleur de domaine. Les contrleurs de domaine ncessitent des adresses IP statiques et des valeurs de masque de sous-rseau. De plus, le contrleur de domaine doit tre configur selon une adresse de serveur DNS avec laquelle effectuer la rsolution de noms. Si vous crez une nouvelle fort et que vous excutez le service DNS de Windows sur le contrleur de domaine, vous pouvez configurer l'adresse DNS pour pointer vers l'adresse IP du serveur. Une fois le service DNS install, le serveur peut se tourner vers lui-mme pour rsoudre les noms DNS. Le nom d'utilisateur et le mot de passe d'un compte dans le groupe Administrateurs du serveur. Le compte doit avoir un mot de passe et ce dernier ne peut pas tre vide. L'emplacement dans lequel la banque de donnes (dont ntds.dit) et le volume systme (SYSVOL) doivent tre installs. Par dfaut, ces banques sont cres dans %systemroot%, par exemple c:\windows, dans les dossiers NTDS et SYSVOL, respectivement. Lors de la cration d'un contrleur de domaine, vous pouvez rediriger ces banques vers d'autres lecteurs.
Lectures complmentaires Cette liste comprend les paramtres que vous serez invit configurer lors de la cration d'un contrleur de domaine. Il y a un certain nombre d'lments supplmentaires prendre en compte pour le dploiement des AD DS dans un environnement d'entreprise. Pour plus d'informations, voir la Bibliothque technique Windows Server 2008 (en anglais) l'adresse http://go.microsoft.com/fwlink/?LinkId=168483.
1-56
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Pour installer et configurer un contrleur de domaine Windows Server 2008, vous devez d'abord installer le rle AD DS l'aide du Gestionnaire de serveur. Ce faisant, vous ajoutez les fichiers et les composants Registre ncessaires pour que le serveur devienne plus tard un contrleur de domaine. Toutefois, l'ajout du rle ne suffit pas rellement configurer et activer le serveur comme un contrleur de domaine. Cette tape s'effectue en excutant l'Assistant Installation des services de domaine Active Directory. Cet Assistant, galement appel DCPromo du fait que l'Assistant peut tre lanc l'aide de la commande dcpromo.exe, vous guide travers les tapes du processus de slection de la configuration du dploiement, en ajoutant des fonctions de contrleur de domaine supplmentaires telles que le rle DNS, en spcifiant l'emplacement des fichiers Active Directory et en configurant le Mot de passe administrateur de restauration des services d'annuaire. Ce mot de passe est utilis lors de la restauration d'Active Directory partir d'une sauvegarde, comme vous le verrez dans le module 13.
1-57
Atelier pratique : Installation d'un contrleur de domaine de services de domaine Active Directory pour crer une fort de domaine unique
Scnario
Vous avez t embauch afin d'amliorer la gestion des identits et des accs chez Contoso, Ltd. La socit dispose actuellement d'un serveur dans une configuration de groupe de travail. Les employs se connectent au serveur partir de leurs ordinateurs clients personnels. En prvision d'une croissance court terme, vous avez t charg d'amliorer la facilit de gestion et la scurit des ressources de l'entreprise. Vous dcidez d'implmenter une fort et un domaine AD DS en affectant au serveur le rle de contrleur de domaine. Vous venez d'achever l'installation de Windows Server 2008 partir du DVD d'installation.
1-58
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
1-59
1-60
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
4.
Cliquez sur le lien Redmarrer en regard du message d'tat. Un message vous demande Voulez-vous redmarrer maintenant ?
5.
1-61
Exercice 2 : Installation d'une nouvelle fort Windows Server 2008 l'aide de l'interface Windows
Maintenant que vous avez prpar le serveur avec un nom et une configuration IP appropris, vous tes prt configurer HQDC01 en contrleur de domaine. Dans cet exercice, vous allez ajouter le rle AD DS et crer la fort et le domaine par la promotion de HQDC01 de sorte qu'il soit le premier contrleur de domaine dans la fort contoso.com. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Ajoutez le rle Services de domaine Active Directory HQDC01. Configurez une nouvelle fort Windows Server 2008 nomme contoso.com avec HQDC01 comme premier contrleur de domaine. Examinez la configuration par dfaut du domaine et de la fort contoso.com. Arrtez l'ordinateur virtuel.
1-62
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
4.
Dans la page Compatibilit du systme d'exploitation, lisez l'avertissement sur les paramtres de scurit par dfaut pour les contrleurs de domaine Windows Server 2008, puis cliquez sur Suivant. Dans la page Choisissez une configuration de dploiement, slectionnez Crer un domaine dans une nouvelle fort, puis choisissez Suivant. Dans la page Nommez le domaine racine de la fort, tapez contoso.com, puis cliquez sur Suivant. Le systme effectue une vrification pour s'assurer que les noms DNS et NetBIOS ne sont pas dj utiliss sur le rseau.
5. 6.
7.
Dans la page Dfinir le niveau fonctionnel de la fort, slectionnez Windows Server 2008, puis cliquez sur Suivant. La page Options supplmentaires pour le contrleur de domaine s'affiche. Chacun des niveaux fonctionnels est dcrit dans la zone Dtails de la page. Le choix du niveau fonctionnel de la fort Windows Server 2008 garantit que tous les domaines de la fort fonctionnent au niveau fonctionnel du domaine Windows Server 2008, ce qui permet d'activer plusieurs nouvelles fonctionnalits offertes par Windows Server 2008. Dans un environnement de production, il faudrait choisir le niveau fonctionnel de la fort Windows Server 2008 lors de la cration d'une nouvelle fort dans le cas o les fonctionnalits offertes par le niveau fonctionnel du domaine de Windows Server 2008 seraient ncessaires, et si aucun contrleur de domaine excutant un systme d'exploitation antrieur Windows Server 2008 ne sera ajout. Serveur DNS est slectionn par dfaut. L'Assistant Installation des services de domaine Active Directory cre une infrastructure DNS au cours de l'installation des AD DS. Le premier contrleur de domaine dans une fort doit tre un serveur de catalogue global et ne peut pas tre un contrleur de domaine en lecture seule.
8.
Cliquez sur Suivant. L'avertissement Attribution IP statique s'affiche. tant donn que le sujet d'IPv6 dpasse le cadre de ce kit de formation, vous n'avez pas affect une adresse IPv6 statique au serveur au cours de l'exercice 2. Vous avez affect une adresse IPv4 statique dans l'exercice 1 et les autres ateliers pratiques de ce cours utiliseront IPv4. Vous pouvez donc ignorer cette erreur dans le cadre de l'exercice.
1-63
9.
Cliquez sur Oui, l'ordinateur utilisera une adresse IP attribue dynamiquement (non recommand). Un avertissement s'affiche pour vous informer qu'il n'est pas possible de crer une dlgation pour le serveur DNS. Vous pouvez ignorer cette erreur dans le cadre de cet exercice. Les dlgations de domaines DNS seront abordes ultrieurement dans ce cours.
10. Cliquez sur Oui pour fermer le message d'avertissement de l'Assistant Installation de services de domaine Active Directory. 11. Dans la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, acceptez les emplacements par dfaut pour le fichier de base de donnes, les fichiers journaux du service d'annuaire et les fichiers SYSVOL, puis cliquez sur Suivant. Dans un environnement de production, il est conseill de stocker ces fichiers sur trois volumes distincts qui ne contiennent pas d'applications ni d'autres fichiers non lis aux AD DS. Ceci amliore les performances et augmente l'efficacit de la sauvegarde et de la restauration. 12. Dans la page Mot de passe administrateur de restauration des services d'annuaire, tapez Pa$$w0rd dans les zones Mot de passe et Confirmer le mot de passe. Cliquez sur Suivant. Dans un environnement de production, vous devrez utiliser un mot de passe trs fort pour l'administrateur de restauration des services d'annuaire. Ne perdez pas le mot de passe que vous affectez l'administrateur de restauration des services d'annuaire. 13. Dans la page Rsum, vrifiez vos slections. Si l'un des paramtres est incorrect, cliquez sur Prcdent pour le modifier. 14. Cliquez sur Suivant. La configuration des AD DS commence. Aprs quelques minutes de configuration, la page Fin de l'Assistant Installation des services de domaine de Active Directory s'affiche. 15. Cliquez sur Terminer. 16. Cliquez sur Redmarrer maintenant. L'ordinateur redmarre. 17. Poursuivez avec la tche 3 (facultative) ou passez la tche 4.
1-64
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
1-65
Rcapitulatif
Au terme de cet atelier pratique, vous aurez : effectu des tches post-installation en nommant un serveur HQDC01, en configurant le fuseau horaire correct, avec une rsolution d'affichage d'au moins 1024 x 768 pixels et en dfinissant les informations relatives son adresse IP ; configur une fort un domaine nomme contoso.com avec un contrleur de domaine unique nomm HQDC01.
1-66
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 4
Les services de domaine Active Directory ne constituent pas le seul composant IDA pris en charge par Windows Server 2008. Avec Windows Server 2008, Microsoft a regroup un certain nombre de composants auparavant distincts dans une plateforme IDA intgre. Active Directory lui-mme comprend maintenant cinq technologies diffrentes. Chacune d'entre elles jouent un rle dans l'extension d'Active Directory pour prendre en charge des applications, des identits et la protection des informations.
Objectifs
Cette leon va vous permettre d'atteindre les objectifs suivants : identifier les rles et les relations entre AD DS, AD LDS, AD RMS, AD FS et AD CS.
1-67
Points cls
Active Directory Lightweight Directory Services (AD LDS) est essentiellement une version autonome d'Active Directory accessible par les applications l'aide de LDAP (Lightweight Directory Access Protocol). Les AD LDS remplacent Active Directory en mode application (ADAM). Le nom de la version prcdente de l'outil indique sa finalit : AD LDS sont destins offrir une prise en charge des applications utilisant un annuaire. Ils peuvent tre utiliss pour des applications qui requirent un magasin d'annuaires, mais qui ne ncessitent pas le type d'infrastructure fourni par un domaine Active Directory. Chaque instance des AD LDS peut avoir ses propres schma, configuration et partitions d'applications. Cela permet de crer un magasin d'annuaires trs personnalis sans impact sur votre infrastructure IDA de production base sur les AD DS. Les AD LDS ne dpendent pas des AD DS. Cependant, dans un environnement de domaine, les AD LDS sont en mesure d'utiliser l'authentification AD DS des entits de scurit de Windows (utilisateurs, ordinateurs et groupes).
1-68
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Les AD LDS peuvent tre configurs dans un environnement de groupe de travail ou autonome. Il est mme possible d'excuter plusieurs instances sur un mme systme, chacune ayant ses propres ports SSL et LDAP uniques. Lorsque vous ajoutez une application utilisant un annuaire votre environnement, en particulier une application qui modifie le schma, vous pouvez envisager d'utiliser les AD LDS comme alternative. tant donn qu'ils constituent un sousensemble des fonctionnalits des AD DS (les AD LDS offrent mme la possibilit de rpliquer), la plupart des applications peuvent travailler avec ces services. Les AD LDS vous permettent aussi d'tendre un annuaire des emplacements o vous ne mettriez pas normalement vos contrleurs de domaine AD DS en vue de prendre en charge des applications se trouvant dans la zone dmilitarise de votre pare-feu, par exemple.
1-69
Points cls
Les services de certificats Active Directory (AD CS) tendent le concept d'approbation afin qu'un utilisateur, un ordinateur, une organisation ou un service puisse prouver son identit l'extrieur ou l'intrieur de la limite de votre fort Active Directory. Les certificats sont dlivrs par une autorit de certification. Lorsqu'un utilisateur, un ordinateur ou un service utilise un certificat pour prouver son identit, le client dans la transaction doit approuver l'autorit de certification mettrice. Une liste d'autorits de certification racine approuves, dont VeriSign et Thawte, par exemple, est tenue jour par Windows et actualise lors de la mise jour de Windows. Repensez votre dernier achat sur un site Intranet. Il s'agissait probablement d'un site utilisant le protocole Secure Sockets Layer (SSL) avec une adresse HTTPS://. Le serveur prouve son identit auprs du client (votre navigateur) en prsentant un certificat dlivr par une autorit de certification approuve par votre navigateur, telle que VeriSign ou Thawte.
1-70
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Une infrastructure cl publique (PKI) est base sur une chane de confiance. Une autorit de certification peut crer un certificat pour une autre autorit de certification. La seconde autorit de certification peut alors dlivrer des certificats aux utilisateurs, ordinateurs, organismes ou services qui seront approuvs par tout client qui approuve l'autorit de certification racine, en amont. Les certificats peuvent servir des fins multiples dans un rseau d'entreprise, notamment pour crer des canaux scuriss comme dans l'exemple SSL mentionn plus haut et pour des rseaux privs virtuels (VPN) et la scurit sans fil, ainsi que pour l'authentification, lors d'une ouverture de session par carte puce. Les AD CS vous offrent les technologies et les outils ncessaires pour crer et grer une infrastructure cl publique. Bien que les AD CS puissent tre excuts sur un serveur autonome, il est beaucoup plus frquent et plus puissant de les excuter de manire intgre aux AD DS, qui peuvent agir comme un magasin de certificats et fournir un cadre pour la gestion de la dure de vie des certificats : obtention, renouvellement et rvocation.
1-71
Points cls
Les services AD RMS (Active Directory Rights Management Services) crent un cadre qui permet de garantir l'intgrit des informations, tant l'intrieur qu' l'extrieur de votre organisation. Dans un modle traditionnel de protection des informations, les listes de contrle d'accs (ACL) sont utilises pour dfinir la manire dont les informations sont accessibles. Par exemple, un utilisateur peut recevoir l'autorisation de lire un document. Toutefois, rien ne peut empcher cet utilisateur d'effectuer un nombre illimit d'actions une fois que ce document a t ouvert. L'utilisateur peut y apporter des modifications et l'enregistrer n'importe quel emplacement, l'imprimer, le transmettre par courrier lectronique un utilisateur qui ne dispose pas de l'autorisation de lecture du document, et ainsi de suite.
1-72
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Les AD RMS rglent entre autres ce type de scnarios en appliquant des stratgies d'utilisation des informations. Cela est accompli au moyen de licences et de chiffrement pour protger les informations, et l'aide d'applications de gestion des droits susceptibles d'utiliser les licences, de crer des stratgies d'utilisation, d'ouvrir du contenu protg et d'appliquer des stratgies d'utilisation. Les AD RMS sont parmi les services Active Directory les plus complexes implmenter dans la mesure o ils dpendent des AD DS, ainsi que d'un certain nombre d'autres technologies, notamment IIS, une base de donnes (Microsoft SQL Server en production ou la base de donnes interne de Windows pour les tests), des applications de gestion des droits, et, si l'utilisation et la protection des informations doivent tre tendues au-del des limites de votre fort Active Directory, Active Directory Federation Services (AD FS).
1-73
Points cls
Les Active Directory Federation Services (AD FS) permettent une organisation d'tendre l'autorit du service d'annuaire pour l'authentification des utilisateurs dans plusieurs organisations, plates-formes et environnements rseau. La relation d'approbation des domaines Windows traditionnelle cre une confiance o le domaine d'approbation permet au domaine approuv d'authentifier des utilisateurs. Toutefois, il en rsulte que tous les utilisateurs du domaine approuv sont approuvs. En outre, afin de maintenir une approbation, plusieurs exceptions de pare-feu doivent tre mises en place. Celles-ci ne seront pas du got de nombreuses organisations, particulirement pour la prise en charge des applications Web.
1-74
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Des projets AD FS ont authentifi des identits de votre service d'annuaire AD DS (ou AD LDS) l'aide d'un modle de services Web qui a plusieurs effets trs importants. Interplateformes. Le modle des services Web permet aux applications non Windows d'utiliser l'identit d'un utilisateur dans un annuaire approuv. Connexion Internet. tant donn que les transactions avec AD FS sont effectues via le port 443, de manire scurise et chiffre, il est beaucoup plus facile de prendre en charge des applications utilisant un annuaire hberges dans votre primtre rseau. base de rgles. L'environnement d'approbation a la possibilit de spcifier les identits qui sont approuves.
Les AD FS sont extrmement utiles pour tendre l'autorit d'un annuaire dans des scnarios de partenariat interentreprise, ainsi que pour la prise en charge des applications Web authentification unique.
2-1
Module 2
Administration scurise et efficace d'Active Directory
Table des matires :
Leon 1 : Utilisation des composants logiciels enfichables Active Directory Leon 2 : Consoles personnalises et privilges minimum Atelier pratique A : Cration et excution d'une console d'administration personnalise Leon 3 : Recherche d'objets dans Active Directory Atelier pratique B : Recherche d'objets dans Active Directory Atelier pratique C : Utilisation des commandes DS pour administrer Active Directory 2-4 2-14 2-25 2-36 2-53
Leon 4 : Utilisation des commandes DS pour administrer Active Directory 2-62 2-81
2-2
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
En rgle gnrale, lorsque les administrateurs utilisent Active Directory pour la premire fois, ils ouvrent Utilisateurs et ordinateurs Active Directory et crent des objets utilisateur, ordinateur ou groupe dans les units d'organisation (UO) d'un domaine. Malheureusement, dans la majorit des cas, ils ne prennent pas le temps d'tendre leurs comptences avec les outils d'administration Active Directory. Que vous soyez un administrateur dbutant ou trs expriment, vous devez travailler en toute scurit et efficacement. C'est la raison pour laquelle ce module aborde galement les secrets d'une administration efficace qui, bien souvent, ne sont dcouverts qu'aprs plusieurs mois ou annes d'exprience.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : installer, rechercher et dcrire les composants logiciels enfichables pour administrer les services de domaine Active Directory (AD DS) ; excuter des tches d'administration de base avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ;
2-3
crer une console MMC pour l'administration ; excuter des tches d'administration en ayant ouvert une session comme utilisateur ; contrler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ; rechercher des objets dans Active Directory ; utiliser des requtes sauvegardes ; identifier le nom unique (DN), le nom unique relatif (RDN) et le nom commun (CN) d'un objet Active Directory ; utiliser les commandes DS pour administrer Active Directory depuis la ligne de commande.
2-4
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 1
Les outils d'administration Active Directory, ou composants logiciels enfichables, fournissent la fonctionnalit dont vous avez besoin pour prendre en charge le service d'annuaire. Dans cette leon, vous allez identifier et rechercher les composants logiciels enfichables Active Directory les plus importants.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : identifier les composants logiciels enfichables dans le Gestionnaire de serveur et les consoles natives utilises pour administrer AD DS ; installer les Outils dadministration de serveur distant (RSAT) ; excuter des tches d'administration de base avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2-5
La console MMC
Points cls
Les outils d'administration Windows partagent une infrastructure appele Microsoft Management Console (MMC). La console MMC affiche des outils d'administration, appels composants logiciels enfichables, dans une fentre personnalisable comportant un volet qui contient l'arborescence de la console (similaire l'arborescence de l'Explorateur Windows) et un volet central o s'affichent des informations. Le volet Actions, sur la droite, contient des commandes appeles actions dans la console MMC. La diapositive ci-dessus montre les principaux composants de la console MMC : Arborescence de la console. Le volet sur la gauche contient l'arborescence de la console. Ce volet s'appelle galement le volet d'tendue. Bouton Afficher/masquer l'arborescence de la console. Ce bouton active ou dsactive l'arborescence de la console. Composants logiciels enfichables. Outils qui fournissent les fonctionnalits d'administration.
2-6
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Volet des informations. Ce volet contient des informations sur l'tendue slectionne dans l'arborescence de la console. Volet Actions. Ce volet contient les commandes que vous pouvez excuter sur l'tendue slectionne dans l'arborescence de la console ou sur l'lment ou les lments slectionns dans le volet des informations. Menu Action. Ce menu affiche galement des commandes que vous pouvez excuter sur l'tendue slectionne ou les lments slectionns. Menu contextuel (non reprsent). Ce menu s'affiche lorsque vous cliquez sur un lment avec le bouton droit de la souris dans l'tendue ou le volet des informations ; vous pouvez excuter des actions depuis ce troisime emplacement. Bouton Afficher/Masquer le volet des actions. Ce bouton active ou dsactive le volet des actions.
Question : Quelles consoles d'administration comportant un composant logiciel enfichable avez-vous utilises ? Question : Quelles consoles d'administration comportant plusieurs composants logiciels enfichables avez-vous utilises ?
Lectures complmentaires
Microsoft Management Console 3.0 : http://go.microsoft.com/fwlink/?LinkId=168714
2-7
Points cls
La majorit des tches d'administration Active Directory s'effectuent avec les composants logiciels enfichables et les consoles suivants : Utilisateurs et ordinateurs Active Directory. Ce composant logiciel enfichable gre les ressources les plus communment utilises tous les jours, savoir les utilisateurs, les groupes, les ordinateurs, les imprimantes et les dossiers partags. Il s'agit probablement du composant logiciel enfichable le plus utilis par un administrateur Active Directory. Sites et services Active Directory. Cet outil gre la rplication, la topologie du rseau et les services associs. Domaines et approbations Active Directory. Cet outil configure et gre les relations d'approbation et le niveau fonctionnel du domaine et de la fort. Schma Active Directory. Ce schma examine et modifie la dfinition des attributs et des classes d'objets Active Directory. Il s'agit du "plan" d'Active Directory. Vous l'affichez rarement et le modifiez encore moins souvent. C'est la raison pour laquelle ce composant logiciel enfichable Active Directory n'est pas install par dfaut.
2-8
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Lectures complmentaires
Services de domaine Active Directory : http://go.microsoft.com/fwlink/?LinkId=168715 Gestion d'Active Directory depuis la console MMC : http://go.microsoft.com/fwlink/?LinkId=168716 Installation du composant logiciel enfichable Schma Active Directory : http://go.microsoft.com/fwlink/?LinkId=168717
2-9
Points cls
Les composants logiciels enfichables et les consoles Active Directory sont installs lorsque vous ajoutez le rle AD DS un serveur. Deux outils d'administration Active Directory communment utiliss sont ajouts au Gestionnaire de serveur lorsque vous installez le rle AD DS : il s'agit des composant affichables Utilisateurs et ordinateurs et Sites et services Active Directory. Pour pouvoir administrer Active Directory depuis un systme qui n'est pas un contrleur de domaine, vous devez installer les Outils d'administration de serveur distant (RSAT). RSAT est une fonction que vous pouvez installer depuis le nud Fonctionnalits du Gestionnaire de serveur sous Windows Server 2008. Vous pouvez galement installer RSAT sur les clients Windows utilisant Windows Vista Service Pack 1 (ou une version ultrieure) et Windows 7. Tlchargez simplement les fichiers d'installation RSAT depuis le site Web www.microsoft.com/downloads. L'Assistant d'installation vous aide effectuer l'installation. Aprs avoir install RSAT, vous devez activer les outils que vous voulez afficher. Pour ce faire, utilisez la commande Activer ou dsactiver des fonctionnalits Windows dans l'application Programmes et fonctionnalit du Panneau de configuration.
2-10
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Aprs avoir install et activ toutes les consoles d'administration Active Directory, elles se trouvent dans le dossier Outils d'administration du Panneau de configuration. Ce dossier s'affiche dans la vue classique du Panneau de configuration. Dans la vue Page daccueil du Panneau de configuration, les outils d'administration se trouvent dans Systme et maintenance.
Lectures complmentaires
Packs des outils dadministration de serveur distant : http://go.microsoft.com/fwlink/?LinkId=168718
2-11
Points cls
Affichage des objets Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory affiche les objets qui se trouvent dans le conteneur (domaine, unit d'organisation ou conteneur) slectionn dans l'arborescence de la console. Actualisation de la vue La vue n'est pas actualise automatiquement. Pour afficher les dernires modifications apportes la vue des objets, slectionnez le conteneur dans l'arborescence de la console, puis cliquez sur le bouton Actualiser dans la barre d'outils du composant logiciel ou appuyez sur F5. Vous devez slectionner le conteneur dans l'arborescence de la console avant de cliquer sur Actualiser (ou d'appuyer sur F5). Cliquer dans une zone vide du volet d'informations ne suffit pas. C'est une anomalie du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2-12
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Cration d'objets Pour crer des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit de la souris sur le domaine, un conteneur (tel que Utilisateurs et ordinateurs) ou une unit d'organisation. Pointez ensuite sur Nouveau, puis cliquez sur le type d'objet crer. Lorsque vous crez un objet, un message vous demande de dfinir quelques-unes des proprits les plus basiques de l'objet, notamment les proprits ncessaires pour ce type d'objet. Dfinition des attributs des objets Aprs avoir cr un objet, vous pouvez accder ses proprits. Cliquez avec le bouton droit sur lobjet, puis cliquez sur Proprits. La bote de dialogue Proprits qui s'affiche contient la plupart des proprits courantes de l'objet. Les proprits sont regroupes dans des onglets pour faciliter leur recherche. Vous pouvez dfinir un nombre illimit de proprits dans autant d'onglets que vous le souhaitez. Cliquez une fois sur Appliquer ou OK pour enregistrer toutes les modifications. Si vous cliquez sur OK, vous fermez la bote de dialogue Proprits, alors que si vous cliquez sur Appliquer, vous enregistrez les modifications et maintenez la bote de dialogue ouverte pour pouvoir effectuer d'autres modifications. Affichage de tous les attributs des objets Un objet utilisateur a beaucoup plus de proprits que n'en montre sa bote de dialogue Proprits. Certaines proprits, dites masques, peuvent tre trs utiles votre entreprise. Pour afficher les attributs utilisateur masqus, vous devez activer l'diteur d'attribut, une nouvelle fonction de Windows Server 2008. Pour activer l'diteur d'attribut dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : Cliquez sur le menu Afficher, puis slectionnez l'option Fonctionnalits avances.
2-13
Pour ouvrir l'diteur d'attribut pour un objet Active Directory donn : 1. 2. Cliquez avec le bouton droit sur l'objet, puis cliquez sur Proprits. Cliquez sur l'onglet diteur d'attributs. L'onglet diteur d'attributs de la bote de dialogue Proprits s'affiche :
Comme le montre la capture d'cran ci-dessus, certains attributs d'un objet utilisateur peuvent s'avrer trs utiles, notamment : division employeeID, employeeNumber et employeeType. Bien que ces attributs n'apparaissent pas dans les onglets standard d'un objet utilisateur, ils sont dsormais disponibles via l'diteur d'attributs. Pour modifier la valeur d'un attribut, double-cliquez sur la valeur. Vous pouvez galement accder aux attributs l'aide d'un programme avec Windows PowerShell, Windows Visual Basic Scripting Edition ou Microsoft .NET Framework.
2-14
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 2
Dans cette leon, vous n'allez pas vous limiter au dossier Outils d'administration pour travailler avec plus de scurit et plus efficacement. Vous allez apprendre crer des consoles d'administration personnalises et travailler dans un environnement avec des privilges minimum dans lequel vous ouvrez une session en tant qu'utilisateur non-administrateur, mais o vous excutez des tches d'administrateur.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : crer une console MMC pour l'administration ; excuter des tches d'administration en ayant ouvert une session comme utilisateur ;
2-15
Dmonstration : Cration d'une console MMC personnalise pour administrer Active Directory
Points cls
Il est plus ais d'administrer Windows lorsque les outils ncessaires se trouvent dans un mme emplacement et qu'ils peuvent tre personnaliss en fonction de vos besoins. Pour ce faire, vous crez une console d'administration MMC personnalise qui contient les composants logiciels enfichables dont vous avez besoin pour excuter les tches d'administration. Lorsque vous crez une console MMC personnalise, vous pouvez : ajouter des composants logiciels enfichable afin de ne pas avoir changer de console pour excuter les tches et pouvoir lancer une seule console pour excuter les tches d'administration ; enregistrer la console pour pouvoir l'utiliser rgulirement ; distribuer la console d'autres administrateurs ; enregistrer la console, et d'autres consoles, dans un emplacement partag pour une administration personnalise unifie.
2-16
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Pour crer une console MMC personnalise : 1. 2. Cliquez sur Dmarrer. Dans la zone Rechercher, tapez mmc.exe et appuyez sur ENTRE. Cliquez sur le menu Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable
La bote de dialogue Ajouter/Supprimer un composant logiciel enfichable permet d'ajouter, de supprimer, de rorganiser et de grer les composants logiciels enfichables de la console. Aprs avoir install RSAT, les quatre composants logiciels enfichables Active Directory sont installs. Toutefois, le composant logiciel enfichable Schma Active Directory n'apparat pas dans la bote de dialogue Ajouter/Supprimer un composant logiciel enfichable tant que vous n'avez pas enregistr le composant. Pour enregistrer le composant Schma Active Directory : 1. 2. Ouvrez une invite de commandes en cliquant sur Dmarrer, en tapant cmd.exe et en appuyant sur ENTRE. Tapez regsvr32.exe schmmgmt.dll et appuyez sur ENTRE.
Question : Avez-vous cr une console MMC personnalise ? Question : Quels composants logiciels enfichables avez-vous trouvs utiles ? Question : Pourquoi avez-vous cr votre propre console ?
Lectures complmentaires
Ajout, suppression et organisation des composants logiciels enfichables et des extensions dans MMC 3.0 : http://go.microsoft.com/fwlink/?LinkId=168724
2-17
Administration scurise avec des privilges minimum, Excuter en tant qu'administrateur et Contrle de compte d'utilisateur
Points cls
En rgle gnrale, les administrateurs ouvrent une session sur leur ordinateur en utilisant leur compte d'administration. Cette pratique est dangereuse, car un compte d'administration a plus de privilges et un accs plus tendu au rseau qu'un compte d'utilisateur standard. Par consquent, un programme malveillant lanc avec des informations d'identification d'administrateur peut provoquer des dommages importants. Pour viter ce problme, n'ouvrez pas une session en tant qu'administrateur. Ouvrez une session comme utilisateur standard et utilisez la fonction Excuter en tant qu'administrateur pour lancer les outils d'administration dans le contexte de scurit d'un compte d'administration.
2-18
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
1.
Cliquez avec le bouton droit de la souris sur le raccourci d'un fichier excutable, d'une applet du Panneau de configuration ou de la console MMC lancer, puis cliquez sur Excuter en tant qu'administrateur. Si vous ne voyez pas la commande, maintenez la touche MAJ enfonce et cliquez avec le bouton droit de la souris. La bote de dialogue Contrle de compte d'utilisateur s'affiche pour vous demander les informations d'identification d'administrateur.
2. 3. 4.
Cliquez sur Utiliser un autre compte. Entrez le nom d'utilisateur et le mot de passe de votre compte d'administrateur. Cliquez sur OK.
Conseil : si vous allez excuter une application rgulirement en tant qu'administrateur, crez un raccourci qui prconfigure Excuter en tant qu'administrateur. Crez un raccourci et ouvrez la bote de dialogue Proprits du raccourci. Cliquez sur le bouton Avanc et slectionnez Excuter en tant qu'administrateur. Lorsque vous lancez le raccourci, la bote de dialogue Contrle de compte d'utilisateur s'affiche.
Lectures complmentaires
Excuter en tant que : http://go.microsoft.com/fwlink/?LinkId=168725
2-19
Dmonstration : Administration scurise avec Contrle de compte d'utilisateur et Excuter en tant qu'administrateur
Points cls
Lorsque vous lancez un processus en tant qu'administrateur, le compte d'administration peut ne pas avoir accs aux mmes emplacements que votre compte d'utilisateur. Par consquent, il est recommand d'enregistrer les consoles personnalises dans un emplacement accessible aux deux comptes. Pour excuter des actions en tant qu'administrateur : 1. Cliquez avec le bouton droit de la souris sur le raccourci d'un fichier excutable, d'une applet du Panneau de configuration ou de la console MMC lancer, puis cliquez sur Excuter en tant qu'administrateur. Si vous ne voyez pas la commande, maintenez la touche MAJ enfonce et cliquez avec le bouton droit de la souris. La bote de dialogue Contrle de compte d'utilisateur s'affiche pour vous demander les informations d'identification d'administrateur. 2. Cliquez sur Utiliser un autre compte.
2-20
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3. 4.
Entrez le nom d'utilisateur et le mot de passe de votre compte d'administrateur. Cliquez sur OK.
Lectures complmentaires
Excuter en tant que : http://go.microsoft.com/fwlink/?LinkId=168725
2-21
Points cls
Vous pouvez tendre votre console MMC d'administration personnalise pour excuter des tches d'administration en utilisant des informations d'identification leves, qui sont difficiles, voire impossibles excuter autrement. Scnario 1 : Vous devez prendre en charge un dossier partag pour affecter des autorisations, etc. Votre compte d'administration (secondaire) dispose d'un large ventail d'autorisations sur le dossier partag, contrairement votre compte standard (ouverture de session interactive). Vous pouvez associer un lecteur rseau en utilisant des informations d'identification secondaires, mais Windows vous en empche si vous vous tes connect au mme serveur en utilisant vos informations d'identification standard. L'Explorateur Windows ne prend pas en charge plusieurs connexions un mme serveur avec diffrentes informations d'identification. Toutefois, dans la console MMC, le contrle ActiveX prsent par le composant logiciel enfichable Lien vers une adresse Web se connecte en utilisant les informations d'identification de la console elle-mme.
2-22
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Pour crer une vue de dossier partag : 1. 2. Cliquez sur le menu Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable. Dans la liste Composants logiciels enfichables disponibles, cliquez sur Lien vers une adresse Web, puis sur le bouton Ajouter. L'Assistant Lien vers une adresse Web s'affiche. 3. Dans Chemin d'accs ou URL, tapez le chemin d'accs UNC (Universal Naming Convention) au dossier partag, par exemple, \\NomServeur\NomPartage, puis cliquez sur Suivant. Tapez un nom descriptif pour le nom du composant logiciel enfichable. Ce nom apparatra dans l'arborescence de la console. Cliquez sur Terminer. Cliquez sur OK.
4. 5.
Pour pouvoir utiliser le composant logiciel enfichable, le serveur que vous ciblez doit se trouver dans la zone de scurit Intranet local ou Sites de confiance d'Internet Explorer. Vous devez le dfinir pour les informations d'identification d'administrateur, car elles sont utilises par le processus mmc.exe et le composant logiciel enfichable. 1. 2. 3. 4. 5. 6. 7. Ouvrez une session sur l'ordinateur en utilisant vos informations d'identification d'administrateur. Cliquez sur le bouton Dmarrer, puis sur Panneau de configuration. Double-cliquez sur Options Internet. Cliquez sur l'onglet Scurit. Cliquez sur Intranet local ou sur Sites de confiance. Cliquez sur le bouton Sites. Tapez \\NomServeur, cliquez sur le bouton Ajouter, puis sur OK.
Il existe un grand nombre de commandes et d'applications qu'un administrateur doit pouvoir excuter et qui ne sont pas des composants logiciels enfichables MMC. Il peut s'avrer fastidieux de lancer chaque commande ou application avec des informations d'identification leves. Pour rduire les inconvnients de l'administration des privilges minimum, vous pouvez ajouter ces commandes et applications la console MMC. tant donn que la console MMC s'excute avec des informations d'identification d'administrateur, toute commande d'environnement excute depuis la console hrite automatiquement des informations d'identification d'administrateur.
2-23
Pour crer une "zone de lancement Administrateurs" depuis laquelle vous pouvez ouvrir d'autres outils : 1. 2. 3. 4. 5. Cliquez sur le menu Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.. Dans la liste Composants logiciels enfichables disponibles, cliquez successivement sur Dossier, Ajouter et OK Dans larborescence de la console, cliquez avec le bouton droit sur Dossier, puis cliquez sur Renommer. Tapez un nom, tel que Administrators Launch Pad, puis appuyez sur ENTRE. Cliquez avec le bouton droit sur le dossier, puis cliquez sur Nouvelle vue de la liste des tches. L'Assistant Nouvelle vue de la liste des tches apparat. 6. 7. 8. 9. Cliquez sur Suivant. Dans la page Style de la liste des tches, cliquez sur Aucune Liste, puis sur Suivant. Dans la page Rutilisation de la liste des tches, cliquez sur lment d'arborescence slectionn, puis sur Suivant. Dans la page Nom et administration, acceptez le nom par dfaut, puis cliquez sur Suivant.
10. Dslectionnez la case Ajouter des tches cette liste aprs la fermeture de l'Assistant et cliquez sur Terminer. Pour ajouter des applications et des commandes la zone de lancement d'administration : 1. 2. 3. Cliquez avec le bouton droit sur la zone de lancement d'administration et choisissez Modifier la vue de la liste des tches. Cliquez sur longlet Tches. Cliquez sur le bouton Nouveau. L'Assistant Nouvelle tche apparat. 4. 5. Cliquez sur Suivant. Dans la page Type de commande, cliquez sur Commande d'environnement, puis sur Suivant.
2-24
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
6.
Dans la page Ligne de commande, entrez les donnes demandes, puis cliquez sur Suivant. Par exemple, pour lancer l'invite de commandes, tapez cmd.exe pour la commande. Si la commande ne se trouve pas dans le chemin systme, savoir le dossier System32, vous devez entrer son chemin complet.
7. 8.
Tapez un nom de tche et cliquez sur Suivant. Slectionnez une icne de tche, puis cliquez sur Suivant. Vous pouvez choisir une icne personnalise. Les sources suivantes peuvent fournir des icnes utiles : l'excutable de la commande lui-mme, %systemroot%\system32\shell32.dll et %systemroot%\System32\Imageres.dll. Par exemple, vous pouvez utiliser %systemroot%\system32\cmd.exe comme source pour l'icne de l'invite de commande.
9.
2-25
Scnario
Dans cet exercice, vous vous appelez Pat Coleman et tes administrateur chez Contoso, Ltd. Vous tes responsable de diverses tches de support Active Directory et vous ouvrez constamment plusieurs consoles depuis le dossier Outils d'administration dans le Panneau de configuration. Vous avez dcid de crer une seule console qui contient tous les composants logiciels enfichables dont vous avez besoin. En outre, la stratgie de scurit informatique de Contoso change et vous ne pouvez plus vous connecter un systme avec les informations d'identification disposant des privilges d'administration, sauf en cas d'urgence. Vous devez ouvrir une session avec des informations d'identification sans privilges.
2-26
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Exercice 1 : Excuter des tches d'administration de base en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Dans cet exercice, vous allez excuter des tches d'administration de base dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. Prparer l'atelier pratique. Afficher des objets. Actualiser la vue. Crer des objets. Dfinir des attributs d'objets. Afficher tous les attributs des objets.
2-27
2. 3. 4. 5.
2-28
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2-29
2-30
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Exercice 3 : Excuter des tches d'administration avec des privilges minimum et utiliser Excuter en tant qu'administrateur et Contrle de compte d'utilisateur
Dans cet exercice, vous allez excuter des tches d'administration en ayant ouvert une session en utilisant les informations d'identification utilisateur standard. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. Ouvrir une session avec des informations d'identification n'ayant pas de privilges d'administration. Excuter le Gestionnaire de serveur en tant quadministrateur. Examiner les informations d'identification utilises par les processus actifs. Excuter l'invite de commandes en tant qu'administrateur. Excuter Outils administratifs en tant qu'administrateur. Excuter une console d'administration personnalise en tant qu'administrateur.
2-31
Question : Quels sont les processus excuts par Pat.Coleman_Admin ? Quelles applications les processus reprsentent-ils ?
2-32
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3.
2-33
3.
2-34
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
4. 5.
6. 7.
8.
9.
10. Fermer les sessions DESKTOP101 et HQDC01. Ne pas arrter ni rinitialiser les ordinateurs virtuels.
Remarque : n'arrtez pas les ordinateurs virtuels lorsque vous avez termin l'atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans l'atelier pratique B.
2-35
2-36
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 3
mesure que vous ajoutez Active Directory des objets utilisateur, groupe, ordinateur, etc., il peut devenir difficile de rechercher des objets modifier. Dans cette leon, vous allez tudier plusieurs mthodes de recherche d'objets dans Active Directory.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : contrler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ; rechercher des objets dans Active Directory ; utiliser des requtes sauvegardes.
2-37
Vous avez appris crer des objets dans Active Directory. Mais quoi servent les informations d'un service d'annuaire si vous ne pouvez pas les extraire de l'annuaire ? Vous serez amen rechercher des objets dans Active Directory dans diverses situations : Octroi d'autorisations. Lorsque vous dfinissez les autorisations d'un dossier ou d'un fichier, vous devez slectionner le groupe (ou l'utilisateur) auquel vous voulez affecter des autorisations. Ajout de membres des groupes. Un groupe peut tre constitu d'utilisateurs, d'ordinateurs, de groupes ou d'une combinaison des trois. Lorsque vous ajoutez un objet en tant que membre d'un groupe, vous devez slectionner l'objet. Cration de liens. Les proprits lies sont les proprits d'un objet qui font rfrence un autre objet. L'appartenance un groupe est en fait une proprit lie. Il existe d'autres proprits lies, telles que l'attribut Gr par, qui sont galement des liens. Lorsque vous dfinissez l'attribut Managed By name (Gr en fonction du nom), vous devez slectionner l'utilisateur ou le groupe appropri. Recherche d'un objet. Vous pouvez rechercher n'importe quel objet dans votre domaine Active Directory.
2-38
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Il existe bien d'autres situations dans lesquelles vous devrez effectuer des recherches dans Active Directory. Vous utiliserez diverses interfaces. Cette leon fournit des astuces d'utilisation pour chacune d'entre elles.
2-39
Dmonstration : Utilisation de la bote de dialogue Slectionner des utilisateurs, des contacts, des ordinateurs ou des groupes
Lorsque vous ajoutez un membre un groupe, affectez une autorisation ou crez une proprit lie, la bote de dialogue Slectionnez des utilisateurs, des contacts, des ordinateurs ou des groupes s'affiche.
2-40
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Si vous connaissez les noms des objets dont vous avez besoin, vous pouvez les taper directement dans la grande zone de texte. Vous pouvez entrer plusieurs noms en les sparant par un point-virgule, comme indiqu ci-dessus. Lorsque vous cliquez sur OK, Windows recherche chaque lment de la liste et le convertit en lien d'accs l'objet et il ferme la bote de dialogue. Le bouton Vrifier les noms convertit galement chaque nom en lien, mais laisse la bote de dialogue ouvert, comme indiqu ici :
Il est inutile de taper le nom complet ; vous pouvez taper le prnom ou le nom de l'utilisateur ou mme une partie de son prnom ou de son nom. Par exemple, la premire capture d'cran indique le prnom linda, le nom danseglio, le nom partiel joan et le nom tony. Lorsque vous cliquez sur OK ou Vrifier les noms, Windows tente de convertir le nom partiel dans l'objet correct. S'il existe un seul objet correspondant, les noms sont rsolus, comme indiqu dans la seconde capture d'cran.
2-41
S'il existe plusieurs correspondances, telles que le nom Tony, la zone Noms multiples trouvs indique ci-dessous s'affiche. Slectionnez le ou les noms corrects et cliquez sur OK.
Par dfaut, la bote de dialogue de slection effectue les recherches dans l'ensemble du domaine. Si vous obtenez une multitude de rsultats et voulez restreindre l'tendue de la recherche ou que vous voulez effectuer des recherches dans un autre domaine ou dans les utilisateurs et groupes locaux dans un membre de domaine, cliquez sur Emplacements.
2-42
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
En outre, la bote de dialogue Slectionner, contrairement ce qu'indique son nom complet, Slectionner des utilisateurs, des contacts, des ordinateurs ou des groupes, recherche rarement les quatre types d'objets. Lorsque vous ajoutez des membres un groupe, par exemple, la recherche ne porte pas, par dfaut, sur les ordinateurs. Si vous tapez un nom d'ordinateur, il n'est pas rsolu correctement. Lorsque vous dfinissez le nom dans l'onglet Gr par, par dfaut, la recherche ne porte pas sur les groupes. Vous devez vrifier que l'tendue de la bote de dialogue Slectionner est dfinie pour rsoudre les types d'objets slectionner. Cliquez sur le bouton Types d'objets, utilisez la bote de dialogue Types d'objets pour slectionner les types corrects et cliquez sur OK.
2-43
Si vous ne parvenez pas trouver les objets appropris, cliquez sur le bouton Avanc dans la bote de dialogue. La vue avance, reprsente ci-dessous, permet de faire porter la recherche sur les champs de nom et de description, ainsi que sur les comptes dsactivs, les mots de passe qui n'expirent pas et les comptes obsoltes qui n'ont pas ouvert de session depuis un certain temps.
Certains champs de l'onglet des requtes courantes peuvent tre dsactivs en fonction du type d'objet que vous recherchez. Cliquez sur le bouton Types d'objets pour dfinir exactement le type d'objet rechercher.
2-44
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Bien que vous puissiez naviguer dans Active Directory pour rechercher un objet, vous trouverez gnralement plus rapidement l'objet en utilisant le tri et la recherche.
Lectures complmentaires
Recherches dans Active Directory : http://go.microsoft.com/fwlink/?LinkId=168729
2-45
Dmonstration : Contrle de laffichage des objets dans Utilisateurs et ordinateurs Active Directory.
Points cls
Vous pouvez personnaliser le volet des informations du composant logiciel enfichable Utilisateurs et ordinateurs pour travailler plus efficacement avec les objets de l'annuaire. Utilisez la commande Ajouter/Supprimer des colonnes dans le menu Afficher pour ajouter des colonnes au panneau des informations. Les attributs ne sont pas tous disponibles pour tre affichs sous la forme d'une colonne, mais vous trouverez certainement des colonnes utiles afficher, telles que Nom douverture de session de lutilisateur. Vous pouvez galement trouver des colonnes inutiles. Si vos units d'organisation ne disposent que d'un seul type d'objet (utilisateur ou ordinateur, par exemple), la colonne Type peut ne pas tre utile. Lorsqu'une colonne est visible, vous pouvez changer l'ordre des colonnes en faisant glisser leur en-tte vers la gauche ou vers la droite. Vous pouvez galement trier la vue dans le volet des informations en cliquant sur la colonne : le premier clic trie dans l'ordre croissant et le second, dans l'ordre dcroissant, comme dans l'Explorateur Windows.
2-46
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Une personnalisation courante consiste ajouter la colonne Nom une vue d'utilisateurs pour pouvoir les trier en fonction du nom de famille. Il est gnralement plus simple de rechercher les utilisateurs en fonction de leur nom plutt qu'en fonction de la colonne Nom qui correspond au nom commun qui est gnralement constitu du prnom et du nom. Pour ajouter la colonne Nom au volet des informations : 1. 2. 3. 4. 5. 6. 7. Cliquez sur le menu Afficher et sur Ajouter/supprimer des colonnes. Dans la liste des colonnes disponibles, cliquez sur Nom. Cliquez sur le bouton Ajouter. Dans la liste Colonnes affiches, cliquez sur Nom et sur Monter deux fois. Dans la liste Colonnes affiches, cliquez sur Type et Supprimer. Cliquez sur OK. Dans le volet des informations, cliquez sur l'en-tte de colonne Nom pour trier les noms par ordre alphabtique.
2-47
Les systmes Windows fournissent l'outil de requte Active Directory appel bote de recherche par les administrateurs. Vous pouvez lancer cette bote de diffrentes manires, notamment en cliquant sur le bouton Rechercher des objets dans les services de domaine Active Directory dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Le bouton et la bote de recherche correspondante sont reprsents ci-dessous.
2-48
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Utilisez la liste droulante Rechercher pour dfinir le ou les types d'objets rechercher ou slectionnez Requtes communes ou Recherche personnalises. La liste droulante Dans dfinit l'tendue de la recherche. Dans la mesure du possible, il est recommand de restreindre l'tendue des recherches afin de ne pas les faire porter sur l'ensemble du domaine et d'viter ainsi d'affecter les performances. Conjointement, les listes Rechercher et Dans dfinissent l'tendue d'une recherche. Ensuite, dfinissez des critres de recherche. Les champs communment utiliss sont disponibles comme critres en fonction du type de requte que vous excutez. Aprs avoir dfini l'tendue et les critres de la recherche, cliquez sur Rechercher. Le rsultat s'affiche. Vous pouvez cliquer avec le bouton droit de la souris sur un lment dans les rsultats et choisir des commandes d'administration, telles que Dplacer, Supprimer et Proprits.
2-49
Points cls
Il peut arriver parfois que vous vouliez rechercher un objet en utilisant la commande Rechercher, car vous ne connaissez pas l'emplacement de l'objet. Pour dterminer l'emplacement d'un objet : 1. 2. 3. 4. Cliquez sur le menu Afficher, puis sur Fonctionnalits avances. Cliquez sur le bouton Rechercher et recherchez l'objet. Cliquez avec le bouton droit de la souris, puis cliquez sur Proprits et l'onglet Objet. Nom canonique de l'objet indique le chemin de l'objet partir du domaine.
2-50
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Dans la bote de dialogue Rechercher, vous pouvez galement afficher la colonne Publi . 1. 2. 3. Dans la bote de dialogue Rechercher, cliquez sur le menu Afficher et sur Choisir les colonnes. Dans la liste Colonnes disponibles, cliquez sur Publi et sur Ajouter. Cliquez sur OK.
2-51
Points cls
Windows Server 2003 a introduit le nud Requtes sauvegardes du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cette fonction puissante permet de crer des vues du domaine base de rgles en affichant les objets d'une ou plusieurs units d'organisation. Pour crer une requte sauvegarde : 1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Les requtes sauvegardes ne sont pas disponibles dans le composant Utilisateurs et ordinateurs Active Directory qui fait partie du Gestionnaire de serveur. Vous devez utiliser la console Utilisateurs et ordinateurs Active Directory ou une console personnalise avec le composant logiciel enfichable. 2. 3. Cliquez avec le bouton droit de la souris sur Requtes sauvegardes, pointez sur Nouveau, puis cliquez sur Requte. Entrez le nom de la requte.
2-52
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
4. 5.
Vous pouvez galement entrer une description. Cliquez sur Parcourir pour rechercher la racine de la requte. La recherche est limite au domaine ou l'unit d'organisation que vous slectionnez. Il est recommand de limiter la recherche autant que possible pour amliorer les performance de la recherche.
6. 7.
Cliquez sur Dfinir la requte pour dfinir la requte. Dans la bote de dialogue Rechercher, slectionnez le type de l'objet rechercher. Les onglets dans la bote de dialogue et les contrles d'entre de chaque onglet fournissent des options associes la requte slectionne.
8. 9.
Aprs avoir cr la requte, elle est enregistre avec l'instance du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Ainsi, si vous avez ouvert la console Utilisateurs et ordinateurs Active Directory (dsa.msc), la requte est disponible lorsque vous rouvrez la console. Si vous avez cr la requte sauvegarde dans une console personnalise, elle est disponible dans cette console. Pour transfrer les requtes sauvegardes vers d'autres consoles ou utilisateurs, vous pouvez les exporter sous forme de fichier XML et les importer vers le composant logiciel enfichable cible. La vue de la requte sauvegarde dans le volet des informations peut tre personnalise, comme indiqu prcdemment, avec des colonnes et le tri. L'un des avantages importants qu'offrent les requtes sauvegardes rside dans le fait que la vue personnalise est spcifique chaque requte sauvegarde. Lorsque vous ajoutez la colonne Nom la vue normale d'une unit d'organisation, elle est ajoute la vue de chaque unit d'organisation et une colonne Nom vide apparat donc, mme pour une unit d'organisation d'ordinateurs ou de groupes. Avec les requtes sauvegardes, vous pouvez ajouter la colonne Nom une recherche d'objets utilisateur et d'autres colonnes pour d'autres requtes sauvegardes. Les requtes sauvegardes sont un outil puissant pour virtualiser la vue de l'annuaire et rsoudre les problmes de comptes dsactivs ou verrouills, par exemple. Apprendre crer et grer des requtes sauvegardes n'est pas du temps perdu.
2-53
Scnario
Contoso couvre maintenant cinq sites gographiques dans le monde et compte plus de 1 000 employs. Maintenant que le domaine contient un grand nombre d'objets, il est plus difficile de rechercher des objets en le parcourant. On vous demande de dfinir des meilleures pratiques pour rechercher des objets dans Active Directory pour le reste de l'quipe d'administrateurs. On vous demande galement de surveiller le fonctionnement de certains types de comptes.
2-54
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
L'ordinateur virtuel doit tre dj dmarr et disponible aprs avoir termin l'atelier A. S'il ne l'est pas, vous devez le dmarrer et effectuer les exercices de l'atelier A avant de continuer. 1. Ouvrez une session HQDC01 sous le nom Pat.Coleman avec le mot de passe Pa$$w0rd et excutez votre console personnalise, C:\AdminTools\MyConsole.msc, comme administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Vous pouvez galement excuter la console prcre D:\AdminTools\ADConsole.msc en tant qu'administrateur. Dans l'arborescence de la console, dveloppez le composant enfichable Utilisateurs et ordinateurs Active Directory, le domaine contoso.com et l'unit d'organisation User Accounts, puis cliquez sur l'unit d'organisation Employees.
2.
2-55
3. 4. 5. 6. 7. 8. 9.
Cliquez avec le bouton droit de la souris sur Pat Coleman, puis cliquez sur Proprits. Cliquez sur l'onglet Membre de. Cliquez sur Ajouter. Dans la bote de dialogue Slectionner, tapez le nom Special. Cliquez sur OK. Le nom est converti en Special Project. Cliquez nouveau sur OK pour fermer la bote de dialogue Proprits. Dans l'arborescence de la console, dveloppez l'unit d'organisation Groups, puis cliquez sur l'unit d'organisation Role.
10. Dans le volet d'informations, cliquez avec le bouton droit de la souris sur le groupe Special Project et cliquez sur Proprits 11. Cliquez sur longlet Membres. 12. Cliquez sur Ajouter. La bote de dialogue Slectionner des utilisateurs, des contacts, des ordinateurs ou des groupes saffiche. 13. Tapez linda;joan et cliquez sur le bouton Vrifier les noms. La bote de dialogue Slectionner convertit les noms en Linda Mitchell et Joanna Rybka et elle les souligne pour indiquer qu'ils ont t rsolus. 14. Cliquez sur OK. 15. Cliquez sur Ajouter. 16. Tapez carole et cliquez sur OK. La bote de dialogue Slectionner convertit le nom en Carole Poland et se ferme. Carole Poland figure dans la liste Membres . Lorsque vous cliquez sur le bouton OK, les noms sont vrifis avant la fermeture de la bote de dialogue. Il est inutile de cliquer sur le bouton Vrifier les noms si vous ne voulez pas vrifier les noms et rester dans la bote de dialogue Slectionner. 17. Cliquez sur Ajouter. 18. Tapez tony;jeff et cliquez sur OK. tant donn qu'il existe plusieurs utilisateurs correspondant "tony", la bote Noms multiples trouvs s'affiche.
2-56
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
19. Cliquez sur Tony Krijnen et sur OK. tant donn qu'il existe plusieurs utilisateurs correspondant "jeff", la bote Noms multiples trouvs s'affiche. 20. Cliquez sur Jeff Ford et sur OK. Cliquez sur OK pour fermer la bote de dialogue Proprits de Special Project Lorsqu'il existe plusieurs objets correspondant aux informations que vous entrez, la vrification des noms vous permet de choisir l'objet appropri. 21. Dans l'arborescence de la console, cliquez sur l'unit d'organisation Application sous l'unit d'organisation Groups. 22. Dans le volet d'informations, cliquez avec le bouton droit de la souris sur APP_Office, puis cliquez sur Proprits. 23. Cliquez sur longlet Membres. 24. Cliquez sur Ajouter. 25. Dans la bote de dialogue Slectionner, tapez DESKTOP101. 26. Cliquez sur Vrifier les noms. A La bote de dialogue Nom introuvable s'affiche pour indiquer que l'objet que vous avez dfini n'a pas pu tre rsolu. 27. Cliquez sur Annuler pour fermer la bote de dialogue Nom introuvable. 28. Dans la zone Slectionner, cliquez sur Types d'objets. 29. Cochez la case Ordinateurs et cliquez sur OK. 30. Cliquez sur Vrifier les noms. Le nom va tre rsolu ds lors que la zone Slectionner contient les ordinateurs dans sa rsolution. 31. Cliquez sur OK. 32. Cliquez sur OK pour fermer la bote de dialogue Proprits APP_Office.
2-57
2. 3. 4. 5. 6. 7. 8.
9.
10. Cliquez sur le menu Afficher et sur Ajouter/supprimer des colonnes. 11. Dans la liste Colonnes disponibles, cliquez sur Nom d'ouverture de session antrieur Windows 2000. 12. Cliquez sur le bouton Ajouter. 13. Dans la liste Colonnes affiches, cliquez sur Nom d'ouverture de session antrieur Windows 2000 et sur Monter. 14. Cliquez sur OK. 15. Dans l'arborescence de la console, dveloppez le domaine contoso.com et l'unit d'organisation User Accounts et cliquez sur l'unit d'organisation Employees.
2-58
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3. 4. 5. 6. 7. 8.
3.
2-59
2-60
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2-61
Remarque : n'arrtez pas l'ordinateur virtuel lorsque vous avez termin l'atelier, car vous allez utiliser les paramtres que vous avez dfinis ici dans l'atelier C.
2-62
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 4
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : identifier le nom unique (DN), le nom unique relatif (RDN) et le nom commun (CN) d'un objet Active Directory ; utiliser les commandes DS pour administrer Active Directory depuis la ligne de commande.
2-63
Les noms uniques (DN) sont un type de chemin d'accs un objet dans Active Directory. Chaque objet dans Active Directory a un nom unique. L'utilisateur Jeff Ford a le nom unique suivant : CN=Jeff Ford,OU=Employees,,OU=User Accounts,DC=contoso,DC=com Voici l'explication : le nom DN est un chemin qui part de l'objet et se termine dans le domaine de niveau suprieur dans l'espace de noms DNS contoso.com. CN signifie Nom commun. Vous avez tudi cette proprit prcdemment : lorsque vous crez un utilisateur, vous utilisez la zone Nom complet pour crer le nom CN de l'objet utilisateur. Comme vous le savez, UO signifie unit d'organisation. Et DC signifie Composant de domaine. La partie du DN avant la premire unit d'organisation, ou conteneur, s'appelle le nom unique relatif ou RDN. Dans le cas de Jeff Ford, le nom unique relatif de l'objet est CN= Jeff Ford. Les noms uniques relatifs ne sont pas tous des noms communs. Le nom DN de l'unit d'organisation Employees est OU=Employees,OU=User Accounts,DC=contoso,DC=com. Le nom RDN de l'unit d'organisation Employees est donc OU=Employees.
2-64
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
tant donn que le nom DN d'un objet doit tre unique dans le service d'annuaire, le nom RDN d'un objet doit tre unique dans son conteneur. C'est la raison pour laquelle vous affecterez un nom CN diffrent une seconde personne nomme Jeff Ford que vous embauchez si les deux objets utilisateur doivent se trouver dans la mme unit d'organisation. Cette logique s'applique aux fichiers d'un dossier : un mme dossier ne peut pas contenir deux fichiers portant des noms identiques. Vous utiliserez rgulirement des noms DN en travaillant avec Active Directory, de la mme manire que vous utilisez des chemins de fichier lorsque vous utilisez des fichiers et des dossiers. Il est trs important de savoir les lire et les interprter.
2-65
Commandes DS
Points cls
Windows fournit des utilitaires de ligne de commande qui excutent une fonctionnalit similaire celle du composant logiciel enfichable Utilisateurs et ordinateurs. La majorit des commandes commencent par les lettres DS, c'est la raison pour laquelle on les appelle Commandes DS. Les commandes DS suivantes sont disponibles dans Windows Server 2008 : DSQuery. Excute une requte en fonction des paramtres dfinis sur la ligne de commande et renvoie la liste des objets correspondants. DSGet. Renvoie les attributs dfinis d'un objet. DSMod. Modifie les attributs dfinis d'un objet. DSMove. Transfre un objet vers un nouveau conteneur ou une nouvelle UO. DSAdd. Cre un objet dans l'annuaire. DSRm. Supprime un objet ou tous les objets dans l'arborescence sous un objet conteneur ou les deux.
2-66
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Chaque commande est bien documente. Tapez le nom de la commande suivi de /? (par exemple, dsquery /?) pour afficher l'aide de la commande.
2-67
Points cls
DSQuery permet de rechercher des objets dans Active Directory. Tapez dsquery.exe /? pour apprendre sa syntaxe et l'utiliser. Vous utilisez la plupart des commandes DS en dfinissant le type d'objet sur lequel vous voulez les excuter. Par exemple, entrez dsquery user pour rechercher un utilisateur ou dsquery computer, dsquery group, and dsquery ou pour rechercher son type d'objet. Si vous utilisez la commande dsquery objectType seule, elle retourne les noms uniques de tous les utilisateurs du domaine. Pour viter d'excuter une requte interminable, DSQuery se limite 100 rsultats. Utilisez l'option -limit pour dfinir le nombre de rsultats retourner. Utilisez -limit 0 pour retourner tous les objets.
2-68
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
la suite du spcificateur objectType, vous pouvez utiliser des options pour indiquer les critres de la requte. Par exemple, vous pouvez rechercher chaque objet par son nom avec l'option -name. Vous pouvez rechercher la plupart des objets en fonction de la description (-desc). Vous pouvez rechercher des entits de scurit en fonction de leur nom d'ouverture de session antrieur Windows 2000 (-samid). Pour connatre les proprits que vous pouvez rechercher, tapez dsquery objecttype /?, par exemple, dsquery user /?. Par exemple, si vous voulez rechercher tous les utilisateurs dont le nom commence par Ton, entrez la commande suivante : dsquery user -name ton*. Aprs l'option de proprit, -name, en l'occurrence, vous pouvez entrer les critres qui ne respectent pas la casse et qui peuvent contenir des caractres gnriques, tels que l'astrisque qui correspond aucun ou plusieurs caractres. La commande DSQuery retourne les objets correspondants avec leur nom DN par dfaut, comme indiqu cidessous :
Si vous ne voulez pas afficher les noms DN, ajoutez l'option o la commande DSQuery. Vous pouvez ajouter o samid,, par exemple, pour afficher les rsultats avec les noms d'ouverture de session antrieurs Windows 2000 ouo upn pour afficher la liste des noms d'ouverture de session utilisateur appels Noms d'utilisateur principaux (UPN). DSQuery peut excuter des requtes en utilisant des caractres gnriques, tels que l'astrisque qui reprsente aucun caractre ou plusieurs caractres. La commande suivante extrait tous les utilisateurs dont le nom commence par Dan :
dsquery user -name "Dan*"
2-69
Enfin, vous pouvez limiter l'tendue de la recherche excute par DSQuery en ajoutant le nom DN d'une UO ou d'un conteneur aprs l'lment objectType de la commande. Par exemple, la commande suivante recherche les utilisateurs dont le nom commence par Dan, mais uniquement dans l'UO Admins :
dsquery user "ou=Admins,dc=contoso,dc=com" -name "Dan*"
Par dfaut, la recherche contient toutes les sous-UO de la base. Vous pouvez utiliser le paramtre -base pour limiter davantage la recherche l'UO dfinie sans ses sous-UO, par exemple.
2-70
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
La commande DSGet renvoie les attributs d'un ou plusieurs objets. Par exemple, la commande suivante renvoie l'adresse lectronique de Jeff Ford :
dsget user "cn=Jeff Ford,ou=Employees,ou=User Accounts,dc=contoso,dc=com" -email
Cette commande montre un thme commun pour la plupart des commandes DS. La majorit des commandes DS utilisent deux modificateurs situs aprs la commande : le type d'objet et le nom DN de l'objet. Dans l'exemple prcdent, le type d'objet, user, suit immdiatement la commande. Le nom DN de l'objet figure aprs le type d'objet. Lorsque le nom DN d'un objet contient un espace, placez le nom entre guillemets.
2-71
La commande DSGet peut extraire diffrents attributs pour chaque type d'objet. Mais, malheureusement, le nom de paramtre d'une commande DS qui reprsente un attribut ne correspond pas toujours au nom de l'interface Utilisateurs et ordinateurs Active Directory ou au nom d'attribut rel dans le schma. Par exemple, la commande DSGet utilise le paramtre -samid pour retourner le nom d'ouverture de session antrieur Windows 2000 de l'utilisateur, qui est l'attribut sAMAccountName dans le schma. Enfin, la commande DSGet peut renvoyer uniquement un sous-ensemble des attributs disponibles pour un type d'objet. Pour connatre les attributs que peut rechercher la commande DSGet d'un type d'objet, tapez :
dsget objectType /?.
2-72
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Dans la rubrique prcdente, vous avez appris que la commande suivante renvoie l'adresse lectronique de Jeff Ford :
dsget user "cn=Jeff Ford,ou=Employees,ou=User Accounts,dc=contoso,dc=com" -email
Taper le nom DN d'un objet dans la ligne de commandes prend du temps et peut entraner des erreurs. Il existe une mthode plus simple. Vous pouvez canaliser les noms DN de la commande DSQuery vers d'autres commandes DS. Souvenez-vous que la commande DSQuery recherche les objets en fonction de critres de recherche et retourne les noms DN comme sortie. D'autres commandes DS, telles que DSGet, ncessitent le nom DN de l'objet ou des objets sur lesquels elles portent ; elles utilisent les nom DN comme entre. Vous pouvez chaner deux commandes pour que la sortie de la commande DSQuery devienne l'entre de la commande DSGet ou d'une autre commande DS. Cette opration s'appelle le "piping", car vous envoyez la sortie d'une commande via un "pipe" une autre commande. Le piping s'effectue en utilisant le caractre | (pipe).
2-73
Vous savez que la premire partie de la commande retourne le nom DN d'un objet dont l'attribut de nom (CN) est Jeff Ford . Vous savez aussi que la seconde partie de la commande renvoie l'attribut d'adresse lectronique d'un utilisateur. Toutefois, notez que le nom DN ne figure pas dans la commande DSGet. Vous crez ainsi la fin de l'entre du pipe. La sortie de DSQUery est envoye via le pipe et non pas retourne la console sous la forme d'un texte. Par consquent, la commande retourne galement l'adresse lectronique de Jeff Ford sans avoir identifier et taper correctement le nom DN de cet objet utilisateur. La commande suivante extrait les adresses lectroniques de tous les utilisateurs dont le nom commence par Dan :
dsquery user -name "Dan*" | dsget user -email
Important : DSGet peut retourner un ou plusieurs noms DN lorsqu'elle extrait certains attributs, notamment les attributs member and memberof. Lorsque la commande DSGet produit des noms DN, vous pouvez envoyer les rsultats une autre commande DS par pipe.
2-74
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
La commande DSMod modifie les attributs dfinis d'un ou de plusieurs objets. La syntaxe de base est la suivante :
dsmod objectType "objectDN" -attribute "nouvelle valeur"
Par exemple, cette commande remplace l'attribut de service de Jeff Ford par Information Technology :
dsmod user "cn=Jeff Ford,ou=Employees,ou=User Accounts,dc=contoso,dc=com" -dept "Information Technology"
Vous pouvez spcifier plusieurs attributs modifier sur une seule ligne de commande. Pour connatre les attributs qui peuvent tre modifis pour un type d'objet, tapez dsmod objectType /?, par exemple, dsmod user /?.
2-75
Les rsultats de DSQuery peuvent tre envoys DSMod par pipe. Vous pouvez changer l'attribut de service de tous les utilisateurs dans l'UO Admins avec la commande suivante :
dsquery user "ou=Admins,dc=contoso,dc=com" | dsmod user -department "Information Technology"
2-76
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
La commande DSRm supprime un objet d'Active Directory. tant donn que DSRm supprime des objets sans demander de confirmation, utilisez la commande avec prcaution. La syntaxe de la commande est simple :
dsrm objectDN
Si vous dfinissez le nom DN d'un ordinateur ou d'une unit d'organisation, DSRm, par dfaut, supprime le conteneur et tous ses sous-conteneurs ou sous-UO. Les rsultats de DSQuery peuvent tre envoys DSRm par pipe. Vous pouvez supprimer tous les ordinateurs qui n'ont pas ouvert de session depuis plus de 90 jours avec la commande suivante :
dsquery computer -stalepwd 90 | dsrm
2-77
Points cls
La commande DSMove transfre un objet vers un nouveau conteneur ou une nouvelle UO. La syntaxe est trs simple :
dsmove objectDN -newparent targetOUDN
Dans la syntaxe, objectDN est le nom DN de l'objet dplacer et targetOUDN est le nom DN de l'UO de destination de l'objet. DSMove permet galement de renommer le nom RDN d'un objet avec le paramtre -newname :
dsmove objectDN -newname newName
2-78
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
DSAdd cre un objet dans l'annuaire. La syntaxe de base est la suivante :
dsadd objectType objectDN
Dans la syntaxe, objectType est la classe de l'objet crer : utilisateur, groupe ou UO et objectDN est le nom DN du nouvel objet. Le paramtre objectDN est ncessaire, car il reprsente le nom DN de l'UO ou du conteneur dans lequel l'objet est cr et le nom RDN de l'objet lui-mme. Par exemple, la commande suivante cre l'UO de niveau suprieur Lab :
dsadd ou "ou=Lab,dc=contoso,dc=com"
2-79
La plupart des classes d'objets ont des paramtres que vous devez dfinir lorsque vous crez un objet. Par exemple, les comptes d'utilisateur ncessitent un nom d'ouverture de session antrieur Windows 2000 (attribut sAMAccountName). Dans d'autres modules, vous apprendrez utiliser des commandes DS pour crer, rechercher, modifier et supprimer des utilisateurs, des groupes et des ordinateurs. Dans ces modules, vous apprendrez utiliser DSAdd avec les paramtres correspondants ces types d'objets.
2-80
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Il existe d'autres outils que vous pouvez utiliser pour administrer AD DS sans les outils d'administration de l'interface graphique utilisateur. Vous en utiliserez un certain nombre dans les modules suivants.
2-81
Scnario
La socit Contoso se dveloppe et il est ncessaire de modifier des objets dans Active Directory. Vous tes administrateur d'AD DS et vous savez que vous pouvez simplifier la cration, la suppression et la modification des objets en utilisant l'invite de commande plutt que Utilisateurs et ordinateurs Directory.
2-82
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Souvenez-vous que vous pouvez toujours taper la commande suivie de l'option /? pour afficher l'aide de la commande. Lorsqu'une commande fonctionne avec un type d'objet donn, tapez command objectType /? pour afficher plus d'informations d'aide.
4. 5.
2-83
2.
2-84
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2.
Extrayez l'adresse lectronique de tous les utilisateurs du bureau de Vancouver en utilisant une seule commande. Le champ Description contient le mot Vancouver pour les utilisateurs de ce bureau. Si vous recevez un avertissement indiquant que DSQuery a atteint sa limite, que devez-vous faire pour recevoir tous les rsultats ?
3.
Remplacez l'attribut office des personnes nommes Mitchell par Vancouver en utilisant une seule commande.
Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
2-85
3-1
Module 3
Gestion des utilisateurs
Table des matires :
Leon 1 : Cration et administration des comptes d'utilisateur Atelier pratique A : Cration et administration des comptes d'utilisateur Leon 2 : Dfinition des attributs des objets utilisateur Atelier pratique B : Dfinition des attributs des objets utilisateur Leon 3 : Automatisation de la cration des comptes d'utilisateur Atelier pratique C : Automatisation de la cration des comptes d'utilisateur 3-4 3-29 3-35 3-51 3-61 3-70
3-2
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Dans ce module vous allez apprendre crer et grer les comptes d'utilisateur. Les comptes d'utilisateur stocks dans l'annuaire constituent le composant fondamental de l'identit. Compte tenu de leur importance, la connaissance des comptes d'utilisateur et les tches lies leur gestion sont essentielles l'efficacit d'un administrateur dans une entreprise Windows. Chaque jour, un rseau d'entreprise apporte son lot de dfis en matire de gestion des utilisateurs. Des employs sont embauchs, transfrs, se marient, divorcent et quittent l'entreprise. Ils commettent des erreurs, telles qu'oublier leurs mots de passe ou verrouiller leurs comptes en se connectant incorrectement. Les administrateurs doivent rpondre toutes ces situations et la gestion efficace des comptes d'utilisateur peut avoir un impact considrable sur votre productivit gnrale. Ce module aborde en premier lieu les options de cration de comptes d'utilisateur l'aide du composant logiciel enfichable Utilisateur et ordinateurs Active Directory et la commande DSAdd. Ces comptences, qui permettent de crer efficacement un compte d'utilisateur ou un petit nombre de comptes d'utilisateur, peuvent s'avrer peu pratiques et inefficaces lorsque vous grez de nombreux comptes. Le module porte donc galement sur diverses options d'automatisation de la cration d'utilisateurs.
3-3
Naturellement, la cration d'un utilisateur n'est que la premire tape dans le cycle de vie d'un utilisateur dans un domaine. Aprs avoir cr l'utilisateur, vous devez dfinir les attributs qui spcifient les proprits de l'entit de scurit (le compte ) et les proprits qui dfinissent et grent l'utilisateur. Vous devez savoir administrer le compte et quand l'administrer, pour rinitialiser le mot de passe et dverrouiller le compte, par exemple. Vous devez pouvoir transfrer l'utilisateur entre les units d'organisation et finalement supprimer les privilges d'accs au compte en le dsactivant ou en le supprimant. Ce module couvre les procdures de gestion d'un objet utilisateur dans son cycle de vie, savoir les procdures que vous pouvez excuter en utilisant l'interface Windows et les outils de ligne de commande et d'automatisation.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : crer et dfinir les proprits de compte d'un objet utilisateur ; identifier la fonction et les conditions des attributs d'un compte d'utilisateur ; excuter les tches d'administration courantes pour grer les comptes d'utilisateur, notamment rinitialiser un mot de passe et dverrouiller un compte ; activer et dsactiver des comptes d'utilisateur ; supprimer, dplacer et renommer des comptes d'utilisateur ; afficher et modifier les attributs masqus des objets utilisateur ; identifier la fonction et les conditions des attributs d'un objet utilisateur ; crer des utilisateurs partir de modles de comptes d'utilisateur ; modifier simultanment les attributs de plusieurs utilisateurs ; exporter les attributs d'un utilisateur avec CSVDE ; importer des utilisateurs avec CSVDE ; importer des utilisateurs avec LDIFDE.
3-4
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 1
Un compte d'utilisateur est le principal lment de l'identit et de l'accs (IDA) dans les services de domaine Active Directory. Par consquent, des processus cohrents, efficaces et srs d'administration des comptes d'utilisateur sont essentiels la gestion de la scurit de l'entreprise.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : crer et dfinir les proprits de compte d'un objet utilisateur ; identifier la fonction et les conditions des attributs d'un compte d'utilisateur ; excuter les tches d'administration courantes pour grer les comptes d'utilisateur, notamment rinitialiser un mot de passe et dverrouiller un compte ; activer et dsactiver des comptes d'utilisateur ; supprimer, dplacer et renommer des comptes d'utilisateur.
3-5
Compte dutilisateur
Points cls
Les objets utilisateur s'appellent gnralement des comptes d'utilisateur. Mais y regarder de plus prs, ce que l'on appelle un compte (le nom d'utilisateur, le mot de passe et ventuellement l'identificateur de scurit ou DIS) est simplement un sous-ensemble d'attributs d'un objet utilisateur. Les objets utilisateur Active Directory comportent de nombreux attributs qui sont soit lis indirectement au compte (tels que la proprit de chemin de profil) soit des attributs de la personne que le compte reprsente (tels que l'adresse lectronique, le numro de tlphone et les proprits de gestionnaire). Les comptes d'utilisateur, les attributs de compte rels de l'objet utilisateur, ont deux fonctions. Ils activent l'authentification, le processus d'ouverture de session au cours duquel l'identit de l'utilisateur est valide en comparant le nom et le mot de passe d'ouverture de session de l'utilisateur. Une fois que l'utilisateur a ouvert une session, le SID de son compte est compar aux autorisations sur les ressources auxquelles l'utilisateur tente d'accder. Le module 1 dcrit le processus d'ouverture de session, la gnration du jeton de scurit qui inclut le SID de l'utilisateur et le mcanisme par lequel les autorisations dans une liste de contrle d'accs sont compares au SID dans le jeton pour dterminer le niveau d'accs une ressource.
3-6
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Un compte d'utilisateur peut tre cr et stock dans Active Directory. Un compte d'utilisateur de domaine permet d'ouvrir une session sur un ordinateur du domaine et d'accder aux ressources dans le domaine. Naturellement, les deux groupes d'activits dpendent des droits d'ouverture de session, des privilges et des autorisations affects au compte. En outre, bien que les comptes Active Directory soient le sujet principal de ce cours, les comptes peuvent tre galement stocks dans la base de donnes SAM (Security Accounts Manager) pour activer l'ouverture de session locale et l'accs aux ressources locales. Les comptes d'utilisateur locaux sont abords brivement dans ce cours, car ils n'en constituent pas le sujet principal.
3-7
Points cls
Un objet utilisateur, appel gnralement compte d'utilisateur, contient le nom et le mot de passe de l'utilisateur qui servent d'informations d'identification d'ouverture de session. Un objet utilisateur contient galement d'autres attributs qui dcrivent et grent l'utilisateur. Pour crer un objet utilisateur : 1. 2. 3. Cliquez avec le bouton droit de la souris sur l'UO ou le conteneur dans lequel vous voulez crer l'utilisateur, pointez sur Nouveau et cliquez sur Utilisateur. Dans Prnom, tapez le prnom de l'utilisateur. Dans Deuxime prnom, tapez le deuxime prnom de l'utilisateur. Notez que cette proprit est destine au deuxime prnom de l'utilisateur et qu'elle ne correspond pas aux initiales du prnom et du nom. 4. Dans Nom, tapez le nom de l'utilisateur.
3-8
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
5.
Le champ Nom complet est rempli automatiquement. Modifiez-le, si ncessaire. Le champ Nom complet permet de crer des attributs pour un objet utilisateur, notamment les proprits de nom commun (CN) et de nom d'affichage. Le nom commun d'un utilisateur est celui qui s'affiche dans le volet d'informations du composant logiciel. Il doit tre unique dans le conteneur ou l'UO. Par consquent, si vous crez un objet utilisateur pour une personne portant le mme nom qu'un autre utilisateur dans une mme UO ou un mme conteneur, vous devez entrer un nom unique dans le champ Nom complet.
6.
Dans Nom d'ouverture de session de l'utilisateur, tapez le nom avec lequel l'utilisateur ouvrira des sessions, puis dans la liste droulante, slectionnez le suffixe UPN qui sera ajout au nom d'ouverture de session la suite du symbole @. Dans Active Directory, les noms d'utilisateur peuvent contenir certains caractres spciaux (notamment des points, des tirets et des apostrophes), ce qui permet de gnrer des noms exacts, tels que OHare et Smith-Bates. Toutefois, certaines applications peuvent avoir d'autres restrictions ; par consquent, il est recommand d'utiliser uniquement des lettres et des chiffres standard jusqu' ce que vous ayez test compltement les applications pour dterminer la compatibilit avec les caractres spciaux dans les noms d'ouverture de session. La liste des suffixes UPN disponibles peut tre gre en utilisant le composant logiciel enfichable Domaines et approbations Active Directory. Cliquez avec le bouton droit de la souris sur la racine du composant logiciel enfichable, Domaines et approbations Active Directory, cliquez sur Proprits et utilisez l'onglet Suffixes UPN pour ajouter ou supprimer des suffixes. Le nom DNS du domaine Active Directory est toujours disponible comme suffixe et vous ne pouvez pas le supprimer.
7.
Dans la zone Nom douverture de session de lutilisateur (antrieur Windows 2000), tapez le nom d'ouverture de session antrieur Windows 2000, gnralement appel nom d'ouverture de session de "bas niveau" Dans la base de donnes Active Directory, cet attribut s'appelle sAMAccountName. Cliquez sur Suivant. Entrez le mot de passe initial de l'utilisateur dans les zones Mot de passe et Confirmer le mot de passe.
8. 9.
3-9
10. Slectionnez L'utilisateur doit changer le mot de passe la prochaine ouverture de session. Il est recommand de toujours slectionner cette option pour que l'utilisateur puisse crer un mot de passe inconnu du service informatique. Les techniciens habilits du service informatique peuvent toujours rinitialiser le mot de passe de l'utilisateur plus tard s'ils doivent se connecter sous le nom de l'utilisateur ou accder ses ressources. Mais, seuls les utilisateurs doivent connatre leur mot de passe au jour le jour. 11. Cliquez sur Suivant. 12. Vrifiez le rsum et cliquez sur Terminer. L'interface Nouvel objet Utilisateur permet de dfinir un nombre limit de proprits de compte, telles que les paramtres de nom et de mot de passe. Toutefois, un objet utilisateur dans Active Directory a des dizaines d'autres proprits. Ces proprits peuvent tre dfinies aprs la cration de l'objet. 1. 2. 3. Cliquez avec le bouton droit de la souris sur lobjet utilisateur, puis cliquez sur Proprits. Dfinissez les proprits utilisateur. Cliquez sur OK.
Lectures complmentaires
Aide de Utilisateurs et ordinateurs Active Directory : Gestion des utilisateurs : http://go.microsoft.com/fwlink/?LinkId=168742 Cration d'un compte d'utilisateur : http://go.microsoft.com/fwlink/?LinkId=168743
3-10
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Utilisez la commande DSAdd pour crer des objets dans Active Directory. La commande DSAdd User cre un objet utilisateur et accepte les paramtres qui dfinissent les proprits de l'utilisateur. La commande suivante montre les paramtres de base ncessaires la cration d'un compte d'utilisateur :
dsadd user "UserDN" samid nom d'ouverture de session antrieur Windows 2000 -pwd {mot de pass | *} mustchpwd yes
Le paramtre -pwd dfinit le mot de passe. Si vous entrez un astrisque (*), un message demande d'entrer un mot de passe d'utilisateur. Le paramtre -mustchpwd indique que l'utilisateur doit changer le mot de passe lors de l'ouverture de session suivante. DSAdd User accepte des paramtres qui dfinissent les proprits de l'objet utilisateur.
3-11
La commande suivante cre un utilisateur avec certains des champs les plus importants complts :
dsadd user "cn=Amy Strande,ou=Employees,ou=User Accounts,dc=contoso,dc=com" samid Amy.Strande -fn Amy ln Strande display "Strande, Amy" -pwd Pa$$w0rd -desc "Vice President, IT"
La plupart des noms de paramtre sont explicites : -email, -profile et -company, par exemple. Tapez dsadd user /? ou consultez le Centre d'aide et de support Windows Server 2008 qui contient la documentation complte des paramtres de la commande DSAdd User. Le jeton spcial $username$ reprsente le nom d'ouverture de session (antrieur Windows 2000), l'attribut sAMAccountName, dans la valeur des paramtres -email, -hmdir, -profile et -webpg. Par exemple, pour dfinir le dossier de base d'un utilisateur lors de la cration de l'utilisateur avec la commande DSAdd User de l'exemple prcdent, ajoutez le paramtre suivant :
-hmdir \\server01\users\$username$\documents
Lectures complmentaires
DSAdd : http://go.microsoft.com/fwlink/?LinkId=168744
3-12
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Attributs de nom
Points cls
Il existe plusieurs attributs qui sont lis au nom d'un objet utilisateur et un compte. Il est important de comprendre ce qui les distingue. Le nom d'ouverture de session (antrieur Windows 2000) est, en arrireplan, l'attribut sAMAccountName. On l'appelle parfois le samid. Il doit tre unique dans l'ensemble du domaine. Le nom d'ouverture de session de l'utilisateur est l'attribut userPrincipalName dont l'abrviation est UPN. L'UPN est constitu du nom d'ouverture de session et d'un suffixe UPN qui est par dfaut le nom DNS du domaine dans lequel vous crez l'objet. L'UPN doit tre unique dans l'ensemble de la fort. Les adresses lectroniques, qui doivent tre uniques dans le monde entier, rpondent cette condition. Utilisez les adresses lectroniques comme UPN. Si le nom de domaine Active Directory n'est pas identique votre nom de domaine de messagerie, vous devez ajouter le nom de domaine de messagerie comme suffixe UPN disponible. Pour ce faire, ouvrez le composant logiciel enfichable Domaines et approbations Active Directory, cliquez avec le bouton droit de la souris sur la racine du composant enfichable et cliquez sur Proprits.
3-13
Le nom d'un utilisateur figure dans la premire colonne du volet des dtails du composant enfichable Domaines et approbations Active Directory et comme nom complet dans certaines interfaces, notamment dans la bote de dialogue Nouvel objet. Il doit tre unique dans l'UO. Le champ Nom est en fait le nom commun (CN) stock comme attribut cn. L'attribut cn doit tre unique dans l'UO, car il correspond au premier lment du nom unique, l'attribut distinguishedName, qui doit tre unique dans la fort. Le nom complet est l'attribut displayName qui apparat dans la liste d'adresses globale (DAL) Microsoft Exchange. Il est plus ais de rechercher des utilisateurs dans cette liste s'ils sont tris en fonction de leur nom. Par consquent, vous pouvez crer une convention d'affectation de nom pour votre entreprise qui indique que l'attribut utilise la syntaxe LastName, FirstName. Il n'existe pas de condition d'unicit pour l'attribut displayName, mais il est plus ais de rechercher des utilisateurs dans la liste GAL si chaque utilisateur un nom complet unique !
Question : Que devez vous faire dans votre entreprise pour assurer l'unicit des attributs de nom et quelle convention d'affectation de nom utilisez-vous ?
Lectures complmentaires
Noms d'objet : http://go.microsoft.com/fwlink/?LinkId=168745
3-14
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Lorsque devez changer le nom de compte d'un utilisateur, vous devez modifier un ou plusieurs attributs. Pour renommer un utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. 2. Cliquez avec le bouton droit de la souris sur l'utilisateur, puis cliquez sur Renommer. Tapez le nouveau nom commun (CN) de l'utilisateur et appuyez sur ENTRE. La bote de dialogue Modification du nom de l'utilisateur s'affiche et demande d'entrer des attributs de nom supplmentaires. 3. 4. 5. 6. Tapez le nom complet (qui est associ aux attributs cn et name) Tapez le prnom et le nom. Tapez le nom d'affichage. Tapez le nom d'ouverture de session de l'utilisateur et le nom d'ouverture de session de l'utilisateur (antrieur Windows 2000).
3-15
Dans l'invite de commandes, vous pouvez utiliser la commande DSMod, comme suit :
dsmod user UserDN [-upn UPN][-fn FirstName][-mi Initial][-ln LastName] [-dn DisplayName][-email EmailAddress]
o UserDN est le nom unique (DN) de l'objet utilisateur. Chaque paramtre, tel que -dn, est prcd d'un tiret et suivi de la valeur que recevra l'attribut correspondant. Vous ne pouvez pas changer l'attribut samAccountName en utilisant DSMod et vous ne pouvez pas non plus modifier le nom commun (CN) de l'objet en utilisant DSMod. Utilisez la commande DSMove avec le paramtre -newname pour changer le nom commun de l'objet.
3-16
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Attributs de compte
Points cls
Dans l'onglet Compte de la bote de dialogue des proprits d'un utilisateur figurent les attributs associs directement au fait que l'utilisateur est une entit de scurit, ce qui implique qu'il s'agit d'une identit laquelle vous pouvez affecter des autorisations et des droits.
3-17
Se connecter
3-18
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
(suite)
Proprit Le compte est dsactiv. Description Cochez cette case pour dsactiver le compte d'utilisateur, par exemple, lorsque vous crez un objet pour un nouvel employ qui ne doit pas encore accder au rseau. Cette option, qui stocke le mot de passe dans Active Directory sans utiliser l'algorithme puissant de hachage du chiffrement non rversible, permet de prendre en charge les applications qui doivent connatre le mot de passe de l'utilisateur. Si ce n'est pas absolument ncessaire, n'activez pas cette option, car elle affaiblit de manire significative la scurit des mots de passe. Les mots de passe stocks en utilisant le chiffrement rversible sont similaires ceux stocks sous la forme d'un texte ordinaire. Une carte puce est un matriel portable protg contre les falsifications qui stocke les informations d'identification uniques d'un utilisateur. Elle est lie un systme ou insre dans un systme et fournit un composant d'identification physique supplmentaire au processus d'authentification. Cette option permet un compte de service d'emprunter l'identit d'un utilisateur pour accder aux ressources du rseau pour le compte de l'utilisateur. Elle n'est gnralement pas slectionne et certainement pas pour un objet utilisateur qui est une personne. Elle est gnralement utilise pour les comptes de service dans les architectures d'application trois niveaux (multiniveaux). Utilisez les contrles Le compte expire pour indiquer quand le compte expire.
Une carte puce est ncessaire pour ouvrir une session interactive
Le compte expire
Lectures complmentaires
Onglet Proprits de l'utilisateur - Compte : http://go.microsoft.com/fwlink/?LinkId=168746
3-19
Points cls
Si l'utilisateur oublie son mot de passe et tente d'ouvrir une session, il reoit un message d'ouverture de session. Pour qu'il puisse ouvrir une session, vous devez rinitialiser son mot de passe. Pour ce faire, vous n'avez pas besoin de connatre son mot de passe. Pour rinitialiser le mot de passe d'un utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. Cliquez avec le bouton droit de la souris sur l'objet utilisateur et cliquez sur Rinitialiser le mot de passe. La bote de dialogue Rinitialiser le mot de passe saffiche. 2. Entrez le nouveau mot de passe dans les zones Nouveau mot de passe et Confirmer le mot de passe. Il est judicieux d'affecter un mot de passe trs difficile deviner, unique et temporaire l'utilisateur.
3-20
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3.
Cochez la case L'utilisateur doit changer le mot de passe la prochaine ouverture de session. Il est judicieux d'obliger l'utilisateur changer de mot de passe lors de sa prochaine ouverture de session afin qu'il choisisse un mot de passe que lui seul connat.
4. 5.
Cliquez sur OK. Communiquez le mot de passe temporaire l'utilisateur en utilisant une mthode scurise.
Vous pouvez utiliser galement la commande DSMod pour rinitialiser le mot de passe et ventuellement forcer l'utilisateur changer le mot de passe lors de l'ouverture de session suivante. Tapez la commande suivante :
dsmod user UserDN pwd NewPassword -mustchpwd yes
o UserDN est le nom unique (DN) de l'objet utilisateur et NewPassword, le nouveau mot de passe. Le paramtre -mustchpwd yes force l'utilisateur changer le mot de passe lors de l'ouverture de session suivante.
Conseil : configurez des mots de passe trs complexes pour les comptes de service. Les services ncessitent des informations d'identification pour accder aux ressources systme. La majorit des services ncessitent un compte d'utilisateur de domaine pour s'authentifier et il convient gnralement d'indiquer que le mot de passe du compte n'expire jamais. Dans ce cas, veillez choisir un mot de passe long et complexe. Si le compte de service est utilis par des services sur un nombre limit de systmes, vous pouvez renforcer la scurit du compte en dfinissant la proprit Se connecter avec la liste des systmes qui utilisent le compte de service.
Question : Quelles sont les implications de scurit associes la possibilit pour les administrateurs de rinitialiser les mots de passe des utilisateurs ? Question : Qui doit pouvoir rinitialiser le mot de passe des utilisateurs standard ? Celui des comptes avec des privilges d'administration ? Celui des comptes de service ? Question : Quelles sont les stratgies de rinitialisation des mots de passe en vigueur dans votre entreprise ?
Lectures complmentaires
Rinitialisation du mot de passe d'un utilisateur : http://go.microsoft.com/fwlink/?LinkId=168747
3-21
Points cls
Un domaine Active Directory prend en charge des stratgies de verrouillage de compte. Une stratgie de verrouillage vise empcher un utilisateur de tenter de pntrer dans le rseau de l'entreprise en ouvrant des sessions de manire rpte en utilisant divers mots de passe jusqu' ce qu'il dcouvre le mot de passe correct. Lorsqu'un utilisateur tente d'ouvrir une session avec un mot de passe incorrect, un chec d'ouverture de session se produit. Lorsqu'un trop grand nombre d'checs se produisent pendant un dlai donn, dfini par la stratgie de verrouillage, le compte est verrouill. Lors de la prochaine tentative d'ouverture de session, l'utilisateur reoit une notification indiquant clairement que son compte est verrouill. Vous apprendrez dfinir des stratgies de verrouillage dans le module 9. Votre stratgie de verrouillage peut dfinir le dlai aprs lequel un compte verrouill est automatiquement dverrouill. Cependant, lorsqu'un utilisateur tente d'ouvrir une session et constate que son compte est verrouill, il contactera vraisemblablement le support technique.
3-22
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Pour dverrouiller un compte d'utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. 2. 3. Cliquez avec le bouton droit sur lobjet utilisateur, puis cliquez sur Proprits. Cliquez sur longlet Compte. Cochez la case Dverrouiller le compte.
Windows Server 2008 permet galement de dverrouiller le compte d'un utilisateur lorsque vous choisissez la commande Rinitialiser le mot de passe. Pour dverrouiller un compte en rinitialisant le mot de passe d'un utilisateur : Dans la bote de dialogue Rinitialiser le mot de passe, cochez la case Dverrouiller le compte de l'utilisateur.
Cette mthode est particulirement pratique lorsque le compte d'un utilisateur est verrouill la suite de l'oubli du mot de passe par l'utilisateur. Dsormais, vous pouvez affecter un nouveau mot de passe, indiquer que l'utilisateur doit changer le mot de passe lors de l'ouverture de session suivante et dverrouiller le compte de l'utilisateur dans une seule bote de dialogue. Attention aux lecteurs associs des informations d'identification secondaires : l'association d'un lecteur des informations d'identification secondaires est souvent l'origine du verrouillage d'un compte. Si le mot de passe des informations d'identification secondaires est modifi et que le client Windows tente plusieurs fois de se connecter au lecteur, le compte se verrouille. Question : Outre l'oubli des mots de passe, quelles autres situations de verrouillage de compte avez-vous t confront ?
Lectures complmentaires
Le module 9 explique en dtail les stratgies de verrouillage de compte.
3-23
Points cls
Les comptes d'utilisateur sont des entits de scurit, savoir des identits qui peuvent tre autorises accder aux ressources rseau. tant donn que chaque utilisateur est membre du groupe Utilisateurs du domaine et de l'identit spciale Utilisateurs authentifis, chaque compte d'utilisateur dispose au minimum d'un accs en lecture un important volume d'informations dans Active Directory et dans les systmes de fichiers, moins que vous vous soyez astreint verrouiller les listes de contrle d'accs (ACL) et soyez particulirement efficace en la matire. C'est la raison pour laquelle il est important de ne pas laisser les comptes d'utilisateur ouverts. Ceci implique que vous devez dfinir des stratgies de mot de passe et mettre en place des contrles (abords dans d'autres modules) et des procdures pour vous assurer que les comptes sont utiliss bon escient. Si un compte d'utilisateur est accessible avant qu'il soit ncessaire ou qu'un employ est absent pendant une longue priode, dsactivez le compte
3-24
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Pour dsactiver un compte dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : Cliquez avec le bouton droit sur l'utilisateur, puis cliquez sur Dsactiver le compte.
Si le compte est dj dsactiv, la commande Activer le compte apparat lorsque vous cliquez avec le bouton droit de la souris sur l'utilisateur. Dans l'invite de commandes, vous pouvez utiliser la commande DSMod, comme suit :
dsmod user UserDN disabled yes
L'activation d'un compte revient remplacer yes par no pour la commande DSMod :
dsmod user UserDN disabled no
Dans chaque commande, UserDN est le nom unique (DN) de l'objet utilisateur et le paramtre -disabled {yes|no} active ou dsactive le compte. Question : Quelles sont les stratgies de dsactivation et d'activation de compte en vigueur dans votre entreprise ? Question : Quelles sont les implications de scurit associes la possibilit pour un utilisateur de dsactiver ou d'activer les comptes des utilisateurs ? Question : Dans quel cas choisiriez-vous de dsactiver un compte dutilisateur plutt que de le supprimer ?
Lectures complmentaires
Dsactivation ou activation du compte d'un utilisateur : http://go.microsoft.com/fwlink/?LinkId=168748
3-25
Points cls
Lorsqu'un compte devient inutile, vous pouvez le supprimer de l'annuaire. Pour supprimer un compte d'utilisateur dans Utilisateurs et ordinateurs Active Directory : 1. Slectionnez l'utilisateur et appuyez sur Suppr. ou cliquez avec le bouton droit de la souris sur l'utilisateur et cliquez sur Supprimer. Un message vous demande de confirmer la suppression compte tenu des implications importantes de la suppression d'une entit de scurit. 2. Confirmez la suppression.
Vous pouvez supprimer des objets d'Active Directory en utilisant la commande DSRm et une autre commande DS. La syntaxe de DSRm est simple :
dsrm UserDN
3-26
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
o UserDN est le nom unique (DN) de l'objet utilisateur. Notez que, contrairement aux autres commandes DS, DSRm n'est pas suivie de la classe d'objets utilisateur. Il est important de savoir que lorsqu'un compte est supprim, il est supprim de l'ensemble de l'annuaire. Vous ne pouvez pas simplement recrer un compte avec le nom du compte supprim en esprant qu'il ait les mmes membres de groupe et accs aux ressources ; il n'en est rien. La perte du SID de l'utilisateur et de ses appartenances aux groupes peut gnrer de graves problmes si vous ralisez par la suite que vous avez besoin du compte. C'est la raison pour laquelle les entreprises dsaffectent gnralement les comptes d'utilisateur par tapes. Tout d'abord, le compte est dsactiv. Aprs un certain dlai, il est supprim. Active Directory gre un sous-ensemble des proprits du compte, notamment son SID, pendant un certain dlai appel dure de vie de temporisation, qui est de 180 jours par dfaut. Pass ce dlai, l'enregistrement du compte est supprim de l'annuaire. Vous pouvez galement envisager de recycler un compte d'utilisateur. Si un utilisateur quitte l'entreprise, il est possible que l'entreprise embauche une nouvelle personne qui ait besoin d'accs, d'appartenances et de droits d'utilisateur trs similaires ceux de l'utilisateur prcdent. Vous pouvez dsactiver le compte jusqu'au remplacement de la personne, puis le renommer en fonction du nom du nouvel utilisateur. Le SID, les appartenances aux groupes et les accs aux ressources de l'utilisateur prcdent sont alors transfrs la nouvelle personne. Question : Quelles sont les pratiques de votre entreprise relatives la dsaffectation des comptes d'utilisateur ?
Lectures complmentaires
Suppression d'un compte dutilisateur : http://go.microsoft.com/fwlink/?LinkId=168749
3-27
Points cls
Pour transfrer un objet utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. 2. Cliquez avec le bouton droit de la souris sur l'utilisateur, puis cliquez sur Dplacer. Cliquez sur le dossier de destination du compte d'utilisateur, puis cliquez sur OK.
Vous pouvez galement faire glisser l'objet utilisateur et le dposer sur l'UO de destination.
Pour transfrer un utilisateur avec un outil de ligne de commande, utilisez DSMove. La syntaxe de DSMove est la suivante :
dsmove UserDN newparent TargetOUDN
3-28
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
La commande DSMove ne dfinit pas la classe d'objets utilisateur. Elle indique simplement le nom unique (DN) de l'utilisateur et, dans l'espace rserv TargetOUDN, le nom DN de l'UO de destination de l'utilisateur. Sachez que lorsque vous transfrez un utilisateur, vous pouvez changer les objets Stratgie de groupe (GPO) qui s'appliquent l'utilisateur. Les objets Stratgie de groupe seront abords dans un autre module. Vous pouvez utiliser la commande DSMove avec le paramtre -newname pour changer le nom commun (CN) de l'objet.
Lectures complmentaires
Transfert d'un compte d'utilisateur : http://go.microsoft.com/fwlink/?LinkId=168750
3-29
Scnario
Vous tes l'administrateur de Contoso, Ltd., une universit en ligne pour la formation des adultes. Deux nouveaux employs ont t embauchs : Chris Mayo et Amy Strande. Vous devez crer les comptes de ces utilisateurs. Le temps passe, Chris Mayo quitte l'entreprise et son compte doit tre administr conformment la stratgie de la socit de gestion du cycle de vie des comptes d'utilisateur.
3-30
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3-31
Dans Utilisateurs et ordinateurs Active Directory, ouvrez les proprits du compte d'administrateur que vous venez de crer et vrifiez que les attributs ont t correctement dfinis.
Rsultats : Dans cet exercice, vous crez les comptes d'utilisateur Chris Mayo et Amy Strand dans l'UO Employees.
3-32
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3. 4.
2.
Chris Mayo a quitt Contoso, Ltd. Dsactivez son compte et transfrez-le vers l'UO Disabled Accounts.
3-33
3.
Vous avez dsactiv le compte de Chris Mayo il y a 60 jours et les procdures de la socit stipulent qu'aprs 60 jours, un compte dsactiv doit tre supprim. Supprimez le compte d'utilisateur de Chris Mayo. Fermez la session sur HQDC01.
Rsultats : la fin de cet exercice, le compte de Chris Mayo est supprim.
4.
Remarque : n'arrtez pas les ordinateurs virtuels lorsque vous avez termin l'atelier, car vous allez utiliser les paramtres que vous avez dfinis ici dans l'atelier B.
3-34
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Exercice 3 (facultatif avanc) : Analyse des attributs de nom d'un compte d'utilisateur
Les exercices avancs facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplmentaires. Le corrig de l'atelier pratique ne contient pas de rponses. Les tches principales de cet exercice sont les suivantes : 1. 2. Crez un exemple de compte dutilisateur. Dans la zone Nom complet, tapez le nom de l'utilisateur en utilisant le format LastName, FirstName. Observez l'affichage de l'utilisateur dans le volet des dtails Utilisateurs et ordinateurs Active Directory. L'utilisateur doit apparatre sous la forme LastName, FirstName. Dans les proprits de l'objet utilisateur, cliquez sur l'onglet diteur d'attributs et examinez la valeur relle de l'attribut cn. Utilisez le composant logiciel enfichable Schma Active Directory pour examiner l'attribut sAMAccountName. Quelle est la limite de longueur dfinie par le schma ? Essayez de crer un nom d'utilisateur de 30 caractres dans la zone Nom d'ouverture de session de l'utilisateur (antrieur Windows 2000). Essayez de dterminer la longueur maximale de l'attribut sAMAccountName. Active Directory limite l'attribut sAMAccountName des objets utilisateur une longueur sensiblement plus courte que celle dfinie par le schma.
3. 4.
5.
3-35
Leon 2
Points cls
Un objet utilisateur dans Active Directory ne se limite pas quelques proprits associes l'identit de scurit d'un utilisateur ou d'un compte. Un objet utilisateur comprend des attributs qui dcrivent le personne et sa relation l'entreprise, ainsi que les informations de contact et la configuration de l'environnement de l'utilisateur sur son ordinateur. Dans cette leon, vous allez explorer de nombreux attributs plus utiles des objets utilisateur et apprendre les administrer pour un ou plusieurs utilisateurs.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : afficher et modifier les attributs masqus des objets utilisateur ; identifier la fonction et les conditions des attributs d'un objet utilisateur ;
3-36
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
modifier simultanment les attributs de plusieurs utilisateurs ; grer les attributs d'utilisateur depuis l'invite de commandes ; crer des utilisateurs partir de modles de comptes d'utilisateur.
3-37
Points cls
Lorsque vous crez un utilisateur dans l'Assistant Nouvel objet Utilisateur du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, l'Assistant demande de dfinir des proprits courantes, notamment le nom d'ouverture de session, le mot de passe, le prnom et le nom. Toutefois, dans Active Directory, un objet utilisateur utilise des dizaines de proprits supplmentaires que vous pouvez dfinir tout moment avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
3-38
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Pour lire et modifier les attributs d'un objet utilisateur, cliquez avec le bouton droit de la souris sur l'utilisateur et cliquez sur Proprits.
Les attributs d'un objet utilisateur sont classs dans plusieurs grandes catgories qui apparaissent dans les onglets de la bote de dialogue. Attributs de compte : Onglet Compte. Ces proprits comprennent les noms d'ouverture de session, les mots de passe et les indicateurs de compte. La plupart de ces attributs peuvent tre dfinis lorsque vous crez un utilisateur avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. La section Proprits d'un compte dcrit en dtail les attributs d'un compte.
3-39
Informations personnelles : Onglets Gnral, Adresse, Tlphones et Organisation. L'onglet gnral contient les proprits de nom que vous dfinissez lorsque vous crez un objet utilisateur, ainsi que la description de base et les informations de contact. Les onglets Adresse et Tlphones fournissent des informations de contact dtailles. L'onglet Tlphones est galement l'emplacement dans lequel Microsoft a choisi de placer le champ Commentaires qui est associ l'attribut info. Il s'agit d'un champ de texte gnral trs utile qui n'est pas suffisamment exploit par les entreprises. L'onglet Organisation indique la fonction, le service, la socit et les relations organisationnelles. Gestion de la configuration de l'utilisateur : Onglet Profil. Dans cet onglet, vous dfinissez le chemin de profil, le script d'ouverture de session et le dossier de base de l'utilisateur. Appartenance aux groupes : Onglet Membre de. Vous pouvez ajouter l'utilisateur des groupes ou l'en retirer et modifier son groupe principal. L'appartenance des groupes et le groupe principal seront tudis dans un autre module. Services Terminal Server : Onglets Profil de services Terminal Server, Environnement, Contrle distance et Sessions. Ces quatre onglets permettent de dfinir et de grer l'environnement de l'utilisateur lorsqu'il est connect une session de services Terminal Server. Accs distance : Onglet Appel entrant. Vous pouvez activer et dfinir l'autorisation d'accs distance d'un utilisateur dans cet onglet. Applications : Onglet COM+. Cet onglet permet d'affecter l'utilisateur un groupe de partitions Active Directory COM+. Cette fonction facilite la gestion des applications distribues.
3-40
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
L'diteur d'attributs permet d'afficher et de modifier tous les attributs d'un objet utilisateur. L'onglet diteur d'attributs n'est pas visible tant que vous n'activez pas les fonctions avances dans le menu Affichage de la console MMC. Cet diteur contient tous les attributs systme de l'objet slectionn. Le bouton Filtre permet d'afficher des attributs supplmentaires, notamment les liens prcdents et les attributs construits. Les liens prcdents sont les attributs qui rsultent de rfrences l'objet dans d'autres objets. La comprhension des liens prcdents est plus aise en utilisant un exemple : l'attribut memberOf. Lorsque vous ajoutez un utilisateur un groupe, l'attribut member du groupe est modifi : le nom unique de l'utilisateur est ajout cet attribut multivaleur. Par consquent, l'attribut member d'un groupe s'appelle un attribut de lien suivant. L'attribut memberOf d'un utilisateur est mis jour automatiquement par Active Directory lorsque l'attribut member d'un groupe fait rfrence l'utilisateur. Vous n'crivez jamais directement dans l'attribut memberOf d'un utilisateur ; il est gr dynamiquement par Active Directory.
3-41
Un attribut construit est un attribut qui rsulte d'un calcul effectu par Active Directory. L'attribut tokenGroups est un exemple d'attribut construit. Cet attribut correspond la liste des identificateurs de scurit (SID) de tous les groupes auxquels l'utilisateur appartient, y compris les groupes imbriqus. Pour dterminer la valeur de tokenGroups, Active Directory doit calculer l'appartenance effective de l'utilisateur, ce qui ncessite un temps de traitement. Par consquent, l'attribut n'est pas stock dans l'objet utilisateur ni gr dynamiquement. Il est calcul lorsque cela est ncessaire. Compte tenu du temps de traitement ncessaire la gnration des attributs construits, l'diteur d'attributs ne les affiche pas par dfaut. Vous ne pouvez pas non plus les utiliser dans les requtes LDAP (Lightweight Directory Access Protocol). Question : Utilisez-vous des attributs masqus dans votre entreprise ? Si tel est le cas, interagissez-vous avec ces attributs (les lisez-vous et les modifiez-vous) ?
3-42
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Le composant logiciel Utilisateurs et ordinateurs Active Directory permet de modifier simultanment les proprits de plusieurs objets utilisateur. Pour modifier les attributs de plusieurs utilisateurs dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. Slectionnez plusieurs objets utilisateur en maintenant la touche CTRL enfonce et en cliquant sur chaque utilisateur ou en utilisant une autre technique de slection multiple. Veillez slectionner uniquement les objets d'une seule classe, telle que Utilisateurs. 2. Les objets tant slectionns, cliquez dessus avec le bouton droit de la souris et cliquez sur Proprits.
3-43
Lorsque vous slectionnez plusieurs objets utilisateur, vous pouvez modifier un sous-ensemble de proprits. Gnral : Description, Bureau, Numro de tlphone, Tlcopie, Page Web, Messagerie Compte : Suffixe UPN, Heures d'accs, Restrictions d'ordinateurs (postes de travail d'ouverture de session), Toutes les options du compte, Le compte expire Adresse : Rue, Bote postale, Ville, Dpartement, Code postal, Pays/Rgion Profil : Chemin de profil, Script d'ouverture de session, Dossier de base Organisation : Titre, Service, Socit, Gestionnaire
3-44
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Les commandes DSMod et DSGet sont deux outils de ligne de commande Active Directory, appels galement commandes DS. DSMod DSMod modifie les attributs d'un ou de plusieurs objets existants. La syntaxe de base est la suivante :
dsmod user UserDN [-parameter value]
Le paramtre UserDN indique le nom unique de l'utilisateur modifier. Les autres paramtres indiquent l'attribut changer et la nouvelle valeur. Par exemple, la commande suivante remplace l'attribut office par Tony Krijnen :
dsmod user "cn=Tony Krijnen,ou=Employees,OU=User Accounts,dc=contoso,dc=com" office "Stockholm"
3-45
Les paramtres d'attributs ne sont pas associs directement aux noms des attributs LDAP d'un objet utilisateur. Par exemple, le paramtre -dept de la commande DSMod User modifie l'attribut department d'un objet utilisateur. En outre, la commande DSMod User peut modifier uniquement un sous-ensemble d'attributs d'utilisateur. Tapez dsmod user /? pour afficher les informations d'utilisation et la liste des paramtres pris en charge. Envoi de plusieurs DN dans DSMod Il n'est pas ncessaire d'entrer le paramtre UserDN de la commande DSMod directement dans l'invite de commandes. Vous pouvez envoyer les DN vers la commande de deux manires. La premire mthode consiste entrer les DN dans la console. Supposez que vous deviez changer l'attribut office de deux utilisateurs, Linda Mitchell et Scott Mitchell, pour indiquer qu'ils travaillent dans le bureau de Sydney. l'invite de commandes, tapez ce qui suit :
dsmod user office "Sydney"
Le paramtre UserDN manque. La console (l'invite de commandes) attend que vous entriez les DN des utilisateurs. Entrez un DN par ligne entre guillemets et appuyez sur ENTRE aprs chaque DN. Aprs avoir entr le dernier DN et appuy sur ENTRE, appuyez sur CTRL+Z au dbut de la ligne suivante et sur ENTRE pour indiquer que vous avez termin. La commande s'excute sur chaque DN que vous avez entr. Une mthode plus complexe pour envoyer les DN la commande DSMod consiste envoyer le rsultat d'une commande DSQuery. DSQuery recherche dans Active Directory les critres dfinis et renvoie les DN des objets correspondants. Par exemple, pour remplacer l'attribut office des comptes de Linda et Scott Mitchell par Sydney, utilisez la commande suivante :
dsquery user name "* Mitchell" | dsmod user office "Sydney"
La commande DSQuery User recherche dans Active Directory les utilisateurs dont le nom se termine par Mitchell. Les DN des objets rsultant sont envoys DSMod User qui remplace l'attribut office par Sydney. Voici un autre exemple. Supposez que vous vouliez affecter tous les utilisateurs un dossier de base sur SERVER01. La commande suivante change les attributs homeDirectory et homeDrive des objets utilisateur dans l'UO User Accounts :
dsquery user "ou= User Accounts,dc=contoso,dc=com" | dsmod user -hmdir "\\server01\users\$username$\documents" hmdrv "U:"
3-46
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Le jeton spcial $username$ peut tre utilis pour reprsenter le sAMAccountName des objets utilisateur lorsque vous utilisez des commandes DS pour dfinir la valeur des paramtres email, -hmdir, -profile et -webpg. DSGet La commande DSGet obtient les attributs slectionns d'un ou de plusieurs objets. Sa syntaxe est similaire celle de DSMod :
dsget user UserDN... [-parameter]
Vous pouvez fournir les DN d'un ou de plusieurs objets en les spcifiant dans la commande, spars par un espace, en les entrant dans la console ou en envoyant les rsultats d'une commande DSQuery User par pipe. Contrairement la commande DSMod, DSGet utilise uniquement un paramtre et non pas une valeur associe. Par exemple, DSGet utilise le paramtre -samid comme la commande DSMod, mais pas une valeur. En fait, il signale la valeur actuelle de l'attribut. Par exemple, pour afficher le nom d'ouverture de session antrieur Windows 2000 de Jeff Ford dans l'UO Employees, utilisez la commande suivante :
dsget user "cn=Jeff Ford,ou= Employees,ou=User Accounts,dc=contoso,dc=com" samid
Pour afficher les adresses lectroniques de tous les utilisateurs dont l'attribut de description indique qu'ils se trouvent Sydney, utilisez la commande suivante :
dsquery user desc "*Sydney*" | dsget user email
3-47
Points cls
En rgle gnrale, les utilisateurs d'un domaine ont de nombreuses proprits similaires. Par exemple, tous les reprsentants peuvent appartenir aux mmes groupe de scurit, ouvrir des sessions sur le rseau aux mmes heures et avoir des dossiers de base et des profils d'itinrance stocks sur le mme serveur. Lorsque vous crez un utilisateur, il suffit de copier un compte d'utilisateur existant au lieu de crer un compte vierge et de dfinir chaque proprit. Depuis Windows NT 4.0, Windows repose sur le concept de modles de comptes d'utilisateur. Un modle de compte d'utilisateur est un compte d'utilisateur gnrique prrempli avec des proprits communes. Par exemple, vous pouvez crer un modle de compte pour les reprsentants, qui est prdfini avec des membres de groupe, des heures d'ouverture de session, un dossier de base et un chemin de profil d'itinrance.
3-48
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Pour crer un modle de compte d'utilisateur : 1. Crez un compte d'utilisateur et prremplissez-le avec les attributs appropris.
Conseil : utilisez une convention d'affectation de nom standard qui facilite la recherche des modles. Par exemple, dfinissez le nom complet en le faisant prcder du caractre de soulignement (_), comme dans _Sales User. En procdant ainsi, tous les modles apparatront au dbut de la liste des utilisateurs dans une UO.
2.
Dsactivez le modle de compte d'utilisateur. Le modle de compte lui-mme ne doit pas tre utilis pour ouvrir une session sur le rseau. Par consquent, veillez le dsactiver.
Pour crer un utilisateur partir du modle : 1. 2. 3. 4. 5. Cliquez avec le bouton droit de la souris sur le modle et cliquez sur Copier. L'Assistant Copier l'objet Utilisateur s'affiche. Dans Prnom, tapez le prnom de l'utilisateur. Dans Nom, tapez le nom de l'utilisateur. Modifiez le nom complet, si ncessaire. Dans Nom d'ouverture de session de l'utilisateur, tapez le nom correspondant, puis slectionnez le suffixe du nom d'entit de scurit appropri (UPN) dans la liste droulante. Dans Nom d'ouverture de session de l'utilisateur (antrieur Windows 2000), tapez le nom correspondant de l'utilisateur. Cliquez sur Suivant. Dans Mot de passe et Confirmer le mot de passe, tapez le mot de passe de l'utilisateur. Slectionnez les options de mot de passe appropries.
6. 7. 8. 9.
10. Si le compte d'utilisateur partir duquel le nouveau compte d'utilisateur a t copi tait dsactiv, dsactivez Le compte est dsactiv pour activer le nouveau compte.
Lectures complmentaires
Copie d'un compte d'utilisateur : http://go.microsoft.com/fwlink/?LinkId=168751
3-49
Points cls
Il est important de savoir que les attributs ne sont pas tous copis. La liste cidessous rpertoire les attributs qui sont copis. Il n'est pas ncessaire de dfinir les autres attributs du modle, car ils ne sont pas copis. Onglet Gnral : aucune proprit de cet onglet n'est copie. Onglet adresse : seuls la bote postale, la ville, le dpartement ou le code postal et le pays sont copis. Notez que la rue n'est pas copie. Onglet Compte : les heures d'ouverture de session, les postes de travail d'ouverture de session, les options de compte et l'expiration du compte sont copis. Onglet Profil : le chemin de profil, le script d'ouverture de session, le lecteur de base et le chemin du dossier de base sont copis. Onglet Organisation : le service, la socit et le gestionnaire sont copis. Onglet Membre de : les membres des groupes et le groupe principal sont copis.
3-50
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Remarque : d'autres attributs sont copis qui ne sont pas visibles dans la bote de dialogue des proprits de l'utilisateur. Ces attributs incluent assistant, division et employee type.
Question : Quelles autres mthodes utilisez-vous pour crer des comptes d'utilisateur ayant des attributs communs ?
3-51
Scnario
Vous tes l'administrateur de Contoso, Ltd., une universit en ligne pour la formation des adultes. Des changements dans le service commercial impliquent de modifier les attributs des utilisateurs du service. En outre, vous dcidez de faciliter la cration des comptes des commerciaux en prparant un modle de compte d'utilisateur.
3-52
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3-53
3-54
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Question : 1. Utilisez l'onglet diteur d'attributs pour rpondre aux questions suivantes : L'attribut employeeID dans l'onglet diteur d'attributs figure-t-il dans un onglet standard dans la bote de dialogue Proprits ? Si oui, lequel ? Et propos de carLicense ? Dans l'onglet diteur d'attributs, quel est le nom unique (DN) de l'objet Tony Krijnen ? Dans l'onglet diteur d'attributs, quel est le nom d'entit de scurit (UPN) de l'utilisateur Tony ? Dans quel autre onglet l'attribut apparat-il et comment s'appelle-t-il et est-il affich ?
2.
Questions complexes : Essayez de rpondre aux questions suivantes. Il se peut que vous ne trouviez pas la rponse. Ce n'est pas grave. Aprs avoir tent de rpondre une question, vous pouvez vous reporter au corrig de l'atelier pratique. Pourquoi l'attribut sn peut-il s'appeler sn ? Quel est la fonction de l'attribut c ?
3-55
Aprs avoir modifi les attributs, ouvrez les proprits d'Adam Barr et examinez les attributs que vous venez de modifier. L'attribut Gestionnaire est un attribut li. L'autre extrmit du lien est l'attribut Collaborateurs directs. Ouvrez les proprits d'Ariane Berthier et examinez Collaborateurs directs.
Conseil : Les utilisateurs de l'quipe Marketing Task Force ont la mme proprit Description.
3-56
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Utilisez les commandes DS pour dfinir le dossier de base de tous les utilisateurs de l'quipe Marketing Task Force pour qu'ils aient chacun le lecteur U associ \\FILE01\TaskForceUsers\username, o username est le nom d'ouverture de session unique de l'utilisateur. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que les modifications que vous avez apportes ont t appliques correctement en examinant les proprits de Adam Barr.
3-57
3-58
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Nom douverture de session de lutilisateur : Rob.Young. Mot de passe : Pa$$w0rd. Le compte est dsactiv.
Rsultats : la fin de cet exercice, vous disposez du compte d'utilisateur Rob Young dans l'UO Employees. Le compte a tous les attributs dfinis pour le modle _Sales User.
3-59
Conseil : lorsque vous excutez un script de commandes avec des paramtres, le script peut faire rfrence au premier paramtre sous la forme %1 et le second, sous la forme %2.
2.
Excutez l'invite de commandes avec les informations d'identification d'administrateur et testez le script pour crer un exemple de compte d'utilisateur. Vrifiez que l'utilisateur a t cr et que tous les attributs sont remplis conformment aux instructions ci-dessus. Comparez les rsultats D:\Labfiles\Lab03b\User_Provision.bat.
3.
Remarque : n'arrtez pas l'ordinateur virtuel lorsque vous avez termin l'atelier, car vous allez utiliser les paramtres que vous avez dfinis ici dans l'atelier C.
3-60
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3-61
Leon 3
Bien que les procdures tudies dans les leons 1 et 2 puissent tre appliques pour crer un petit nombre d'utilisateurs, vous avez besoin de techniques plus avances pour automatiser la cration des comptes d'utilisateur lorsqu'il est ncessaire d'ajouter de nombreux utilisateurs au domaine. Dans cette leon, vous allez apprendre ces techniques. la fin de cette leon, vous serez mme d'effectuer les tches suivantes : Exporter les attributs d'un utilisateur avec CSVDE Importer des utilisateurs avec CSVDE Importer des utilisateurs avec LDIFDE
3-62
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
CSVDE est un outil de ligne de commande qui exporte ou importe les objets Active Directory vers et depuis un fichier texte dlimit par des virgules (appel galement fichier texte de valeur spares par des virgules ou .csv). Les fichiers dlimits par des virgules peuvent tre crs, modifis et ouverts avec des outils courants, tels que le Bloc-notes et Microsoft Office Excel. La syntaxe de base de la commande CSVDE pour l'exportation est :
csvde -f filename
Toutefois, cette commande exporte tous les objets dans le domaine Active Directory. Vous devez limiter l'tendue de l'exportation avec les quatre paramtres suivants : -d RootDN. Dfinit le nom unique du conteneur de la source d'exportation. La valeur par dfaut est le domaine.
3-63
-p SearchScope. Dfinit l'tendue de la recherche par rapport au conteneur dfini par -d. SearchScope peut tre base (l'objet uniquement), onelevel (les objets dans le conteneur) ou subtree (le conteneur et tous ses sousconteneurs). La valeur par dfaut est subtree. -r Filter. Filtre les objets retourns dans l'tendue dfinie par -d et -p. Le filtre est une commande de requte LDAP (Lightweight Directory Access Protocol). Vous utiliserez un filtre dans l'atelier de cette leon. La commande de requte LDAP n'entre pas dans le cadre de ce cours. Voir http://go.microsoft.com/fwlink/?LinkId=168752 pour plus d'informations. -l ListOfAttributes. Dfinit les attributs exporter. Utilisez le nom LDAP de chaque attribut spar par une virgule, comme dans -l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
La sortie d'une exportation CSVDE correspond la liste de tous les noms d'attribut LDAP sur la premire ligne. Les objets suivent sur une ligne distincte et doivent contenir exactement les attributs figurant sur la premire ligne. Voici un exemple de fichier :
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName "CN=David Jones,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@c ontoso.com "CN=Lisa Andrews,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrew s@contoso.com
3-64
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
CSVDE peut galement crer des comptes d'utilisateur en important un fichier .csv. Si vous disposez d'informations d'utilisateurs dans une base de donnes Excel ou Microsoft Office Access, vous constaterez que CSVDE est un outil puissant qui permet d'exploiter ces informations pour automatiser la cration des comptes d'utilisateur. La syntaxe de base de la commande CSVDE pour l'importation est :
csvde -i -f filename -k
Le paramtre -i dfinit le mode d'importation ; sans ce paramtre le mode par dfaut de la commande CSVDE est l'exportation. Le paramtre -f dfinit le nom de fichier source de l'importation ou cible de l'exportation. Le paramtre -k est utile au cours de l'importation, car il indique CSVDE d'ignorer les erreurs, y compris le message indiquant que l'objet existe dj.
3-65
Le fichier d'importation est un fichier texte dlimit par des virgules (.csv ou .txt) dans lequel la premire ligne dfinit les attributs d'importation en fonction de leurs nom d'attribut LDAP. Les objets suivent sur une ligne distincte et doivent contenir exactement les attributs figurant sur la premire ligne. Voici un exemple de fichier :
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName "CN=David Jones,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@c ontoso.com "CN=Lisa Andrews,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrew s@contoso.com
Lors de l'importation par la commande CSVDE, ce fichier cre un objet utilisateur pour Lisa Andrews dans l'UO Employees. Les noms d'ouverture session, le nom et le prnom des utilisateurs sont dfinis par le fichier. Vous ne pouvez pas utiliser la commande CSVDE pour importer les mots de passe et sans mot de passe un compte d'utilisateur est initialement dsactiv. Aprs avoir rinitialis le mot de passe, vous pouvez activer l'objet. Pour plus d'informations sur CSVDE et les dtails relatifs ses paramtres et l'utilisation des objets annuaire, tapez csvde /? ou consultez le centre du support technique Windows Server 2008.
3-66
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Vous pouvez galement utiliser LDIFDE.exe pour importer ou exporter des objets Active Directory, notamment des utilisateurs. LDIF est une norme provisoire Internet de format de fichier qui peut tre utilise pour excuter des actions par lot sur des annuaires conformes aux normes LDAP. LDIF prend en charge l'importation et l'exportation et les oprations par lot qui modifient les objets dans l'annuaire. La commande LDIFDE implmente ces oprations par lot en utilisant des fichiers LDIF.
3-67
Le format de fichier LDIF est constitu d'un bloc de lignes qui forme une seule opration. Dans un mme fichier, plusieurs oprations sont spares par une ligne blanche. Chaque ligne comprenant une opration est constitue d'un nom d'attribut suivi de deux points et de la valeur de l'attribut. Supposons que vous vouliez importer les objets utilisateur des deux reprsentants Bonnie Kearney et Bobby Moore. Le contenu du fichier LDIF se prsente comme suit :
dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=contoso,DC=com Changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: Bonnie Kearney sn: Kearney title: Operations description: Operations (London) givenName: Bonnie displayName: Kearney, Bonnie company: Contoso, Ltd. sAMAccountName: bonnie.kearney userPrincipalName: bonnie.kearney@contoso.com mail: bonnie.kearney@contoso.com dn: CN=Bobby Moore,OU=Employees,OU=User Accounts,DC=contoso,DC=com changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: Bobby Moore sn: Moore title: Legal description: Legal (New York) givenName: Bobby displayName: Moore, Bobby company: Contoso, Ltd. sAMAccountName: bobby.moore userPrincipalName: bobby.moore@contoso.com mail: bobby.moore@contoso.com
Chaque opration commence par l'attribut DN de l'objet qui est la cible de l'opration. La ligne suivante, changeType, dfinit le type de l'opration : add (ajouter), modify (modifier) ou delete (supprimer).
3-68
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Comme vous pouvez le constater, le format de fichier LDIF n'est pas un format texte dlimit par des virgules intuitif ou familier. Toutefois, tant donn que le format LDIF est galement un format standard, la majorit des services et des bases de donnes d'annuaire peuvent exporter des fichier LDIF. Aprs avoir cr ou obtenu un fichier LDIF, vous pouvez excuter les oprations dfinies par le fichier en utilisant la commande LDIFDE. Depuis une invite de commandes, tapez ldifde /? pour afficher les informations d'utilisation. Les deux options les plus importantes de la commande sont : -i. Active le mode d'importation. Sans ce paramtre la commande LDIFDE exporte les informations. -f filename. Fichier source de l'importation ou de destination de l'exportation.
3-69
La commande accepte diverses modifications en utilisant des paramtres. Les paramtres les plus utiles sont rpertoris ci-dessous :
Commande Paramtres gnraux -i -f filename -s servername -c FromDN ToDN -v -j path -? Mode d'importation (le mode par dfaut est l'exportation) Nom du fichier d'importation ou d'exportation Contrleur de domaine auquel se connecter pour la requte Conversion des occurrences de FromDN en ToDN. Utile pour importer des objets d'un autre domaine, par exemple. Active le mode comment Emplacement du fichier journal Aide Utilisation
Paramtres d'exportation -d RootDN -r Filter -p SearchScope Racine de la recherche LDAP. La valeur par dfaut est la racine du domaine. Filtre de recherche LDAP. La valeur par dfaut est (objectClass=*), savoir tous les objets. tendue de la recherche. Peut tre subtree (le conteneur et tous les sous-conteneurs), base (les objets enfant immdiats du conteneur uniquement) ou onelevel (le conteneur et ses conteneurs enfant immdiats). Liste d'attributs spars par des virgules inclure dans l'exportation des objets rsultants. Utile pour exporter un nombre limit d'attributs. Liste d'attributs (spars par des virgules) omettre dans l'exportation pour les objets rsultants. Utile pour exporter quelques attributs.
-l list
-o list
Paramtres d'importation -k Ignore les erreurs et continue le traitement si des erreurs de violation de contraintes ou d'existence d'objet se produisent.
3-70
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
Vous tes l'administrateur de Contoso, Ltd., une universit en ligne pour la formation des adultes. Vous embauchez plusieurs employs. Le service des Ressources Humaines vous a fourni des informations de sa base de donnes dans un fichier de format texte dlimit par des virgules et dans le format LDIF. Vous voulez importer ces fichiers de donnes pour crer des comptes d'utilisateur pour les nouveaux employs.
3-71
et appuyez sur ENTRE. Ouvrez D:\Labfiles\Lab03c\UsersNamedApril.csv dans Bloc-notes. Examinez le fichier et fermez-le.
3-72
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
et appuyez sur ENTRE. Les deux utilisateurs sont imports. Excutez Utilisateurs et ordinateurs Active Directory avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd Vrifiez que les utilisateurs ont t crs. Si vous avez ouvert le composant logiciel enfichable Utilisateur et ordinateurs Active Directory au cours de l'exercice, il se peut que vous deviez actualiser la vue pour afficher les nouveaux comptes.
Examinez les comptes et vrifiez que le prnom, le nom, l'unit de scurit utilisateur et le nom d'ouverture de session antrieure Windows 2000 sont remplis conformment au instructions dans NewUsers.txt. Rinitialisez le mot de passe des deux comptes pour utiliser Pa$$w0rd. Activez les deux comptes. Fermez le fichier NewUsers.csv.
3-73
et appuyez sur ENTRE. Les deux utilisateurs sont imports. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que les utilisateurs ont t crs. Si vous avez ouvert le composant logiciel enfichable Utilisateur et ordinateurs Active Directory au cours de l'exercice, il se peut que vous deviez actualiser la vue pour afficher les nouveaux comptes.
Examinez les comptes pour vrifier que les proprits des utilisateurs sont remplies conformment aux instructions dans NewUsers.ldf. Rinitialisez le mot de passe des deux comptes pour utiliser Pa$$w0rd. Activez les deux comptes. Fermez le fichier NewUsers.ldf. Fermez la session HQDC01.
Rsultats : Dans cet exercice, vous avez import les comptes de Lisa Andres, David Jones, Bobby Moore et Bonnie Kearney.
3-74
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
4-1
Module 4
Gestion des groupes
Table des matires :
Leon 1 : Gestion d'une entreprise avec des groupes Leon 2 : Administration des groupes Atelier pratique A : Administration des groupes Leon 3 : Meilleures pratiques de gestion des groupes Atelier pratique B : Meilleures pratiques de gestion des groupes 4-4 4-45 4-66 4-74 4-89
4-2
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Si les utilisateurs et les ordinateurs et mme les services voluent dans le temps, les rles et les rgles de l'entreprise, quant eux, tendent rester stables. Il est fort probable que votre socit compte un rle financier qui ncessite certaines fonctions. L'utilisateur ou les utilisateurs qui excutent ce rle changent, mais pas le rle. C'est la raison pour laquelle, la gestion d'une entreprise en affectant des droits et des autorisations une identit d'utilisateur, d'ordinateur ou de service n'est pas pratique. Les tches de gestion doivent tre associes des groupes. Dans ce cours, vous allez utiliser des groupes pour identifier les rles d'administration et d'utilisateur, pour filtrer la stratgie de groupe et affecter des stratgies de mot de passe uniques, ainsi que des droits et des autorisations, entre autres. Pour prparer ces tches, vous allez apprendre dans ce module crer, modifier, supprimer et grer des objets groupe dans un domaine Active Directory.
4-3
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : expliquer le rle des groupes dans la gestion d'une entreprise ; crer des groupes dlgus scuriss correctement documents ; expliquer les types de groupes, l'tendue et l'imbrication ; comprendre la meilleure pratique d'imbrication de groupe pour grer en fonction de rles ; crer, supprimer et grer des groupes avec CSVDE et LDIFDE ; numrer et copier les membres des groupes ; expliquer les groupes par dfaut (intgrs) ; expliquer les identits spciales.
4-4
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 1
Vous connaissez certainement la fonction des groupes : ils rassemblent des lments et les grent sous forme d'entit unique. L'implmentation de la gestion des groupes dans Active Directory n'est pas intuitive ; Active Directory prend en charge les grands environnements distribus et inclut donc diffrents types de groupes : deux types de groupes de domaines avec trois tendues chacun et des groupes de scurit locaux. Dans cette leon, vous allez apprendre la fonction de chacun de ces groupes et aligner les besoins de votre entreprise sur les options potentiellement complexes que fournit Active Directory.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : expliquer le rle des groupes dans la gestion d'une entreprise ; dfinir des conventions d'affectation de noms de groupe ; expliquer les types de groupes ;
4-5
expliquer l'tendue d'un groupe ; identifier les membres groupes et les possibilits d'imbrication ; expliquer la meilleure pratique d'imbrication de groupe pour grer en fonction de rles.
4-6
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Les groupes sont une classe d'objets importante, car ils permettent de collecter les utilisateurs, les ordinateurs et d'autres groupes pour crer un "point de gestion unique". L'utilisation la plus simple et la plus courante d'un groupe est l'octroi d'autorisations sur un dossier partag. Si vous affectez un groupe un accs en lecture sur un dossier, par exemple, les membres du groupe peuvent lire le dossier. Vous n'avez pas affecter l'accs en lecture directement chacun des membres ; vous pouvez grer l'accs au dossier en ajoutant et supprimant simplement des membres dans le groupe. Pour crer un groupe : 1. 2. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Dans l'arborescence de la console, dveloppez le noeud de votre domaine (contoso.com, par exemple) et accdez l'unit d'organisation (UO) ou au conteneur (Users, par exemple) dans lequel vous voulez crer le groupe.
4-7
3.
Cliquez avec le bouton droit de la souris sur lunit dorganisation ou le conteneur, pointez sur Nouveau, puis cliquez sur Groupe. La bote de dialogue Nouvel objet - Groupe s'affiche.
4.
Tapez le nom du nouveau groupe dans la zone Nom du groupe. La plupart des entreprise appliquent des conventions d'affectation de nom qui dfinissent la manire dont les noms de groupe doivent tre crs. Veillez appliquer les directives de votre entreprise. Par dfaut, le nom que vous tapez apparat galement comme nom de groupe (antrieur Windows 2000). Il est vivement recommand de conserver les deux mmes noms.
5. 6.
Ne changez pas le nom dans la zone Nom du groupe (antrieure Windows 2000). Choisissez Type de groupe. Un groupe de scurit est un groupe auquel vous pouvez affecter des autorisations sur des ressources. Vous pouvez galement le configurer sous la forme d'une liste de distribution de courrier lectronique. Un groupe de distribution est un groupe de messagerie auquel vous ne pouvez pas affecter des autorisations sur des ressources ; il est donc utilis uniquement lorsqu'un groupe est une liste de distribution de courrier lectronique qui ne doit pas accder aux ressources.
Le type de groupe sera abord plus en dtail plus loin dans ce module.
4-8
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
7.
Slectionnez tendue du groupe. Un groupe global permet gnralement d'identifier les utilisateurs en fonction de critres, tels que leur fonction, leur emplacement, etc. Un groupe local de domaine permet de collecter les utilisateurs et les groupes qui doivent accder des ressources similaires, tels que tous les utilisateurs qui doivent pouvoir modifier un rapport de projet. Un groupe universel permet gnralement de collecter les utilisateurs et les groupes de plusieurs domaines.
L'tendue d'un groupe sera aborde plus en dtail plus loin dans ce module. 8. Cliquez sur OK.
Les objets groupe ont des proprits qu'il est utile de dfinir. Ces proprits peuvent tre dfinies aprs la cration de l'objet. Pour dfinir les proprits d'un groupe : 1. 2. Cliquez avec le bouton droit de la souris sur le groupe, puis cliquez sur Proprits. Entrez les proprits du groupe. Veillez suivre les conventions d'affectation de nom et les autres directives de votre entreprise. Les onglets Membres et Membre de d'un groupe indiquent qui appartient au groupe et les groupes du groupe. La zone Description d'un groupe, du fait qu'elle figure dans le volet des dtails du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, est l'emplacement appropri pour rsumer la fonction du groupe et les informations de contact de la ou des personnes qui dcident de l'appartenance au groupe. La zone Commentaires peut tre utilise pour fournir des informations complmentaires sur le groupe.
4-9
L'onglet Gr par permet de crer un lien d'accs l'utilisateur ou au groupe responsable du groupe. Les informations de contact dans l'onglet Gr par proviennent du compte dfini dans la zone Nom. L'onglet Gr par est gnralement utilis pour les informations de contact pour que, dans le cas o un utilisateur veuille se joindre au groupe, vous puissiez dfinir la personne contacter pour autoriser le nouveau membre. Toutefois, si vous slectionnez l'option Le gestionnaire peut mettre jour la liste des membres, le compte dfini dans la zone Nom est autoris ajouter et supprimer des membres dans le groupe. C'est une mthode de dlgation du contrle de l'administration du groupe. Pour changer l'utilisateur ou le groupe rfrenc dans l'onglet Gr par, cliquez sur le bouton Modifier sous la zone Nom. Par dfaut, la bote de dialogue Slectionner un utilisateur, un contact ou un groupe qui s'affiche ne permet pas, contrairement ce que son nom indique, de rechercher des groupes. Pour rechercher des groupes, vous devez cliquer sur le bouton Types d'objets et slectionner Groupes.
3.
Lectures complmentaires
Cration d'un groupe : http://go.microsoft.com/fwlink/?LinkId=168757
4-10
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Supposez que les 100 utilisateurs du service commercial (Sales) aient besoin de lire le dossier partag Sales sur un serveur. Affecter des autorisations chaque utilisateur n'est pas grable. Lorsque de nouveaux commerciaux sont embauchs, vous devez ajouter les nouveaux comptes la liste de contrle d'accs du dossier. Lorsque vous supprimez des comptes, vous devez supprimer les autorisations dans la liste de contrle d'accs, car sinon, vous terminez avec une entre de compte manquante dans la liste, comme indiqu ci-dessous, qui rsulte d'un SID dans la liste qui fait rfrence un compte non rsolu.
4-11
Supposez que les 100 utilisateurs du service commercial (Sales) aient besoin de lire trois dossiers partags sur un trois serveurs diffrents. Les problmes de gestion deviennent plus aigus. Combien d'autorisations devez-vous appliquer pour simplement dfinir l'accs aux trois dossiers sur trois serveurs diffrents pour les 100 utilisateurs ? 300 ! Lorsque vous grez les autorisations en ajoutant et en supprimant des identits dans une liste de contrle d'accs, il devient plus difficile de dterminer les personnes devant tre autorises lire le dossier Sales. Pour pouvoir le dterminer, vous devez rtroconcevoir la liste. Et dans, l'exemple plus large o les dossiers Sales sont distribus sur trois serveurs, vous devez valuer trois listes de contrle d'accs distinctes pour le dterminer.
4-12
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls L'exemple de la section prcdente peut paratre extrme, car vous savez sans doute que, bien que vous puissiez affecter des autorisations d'accs une ressource une identit individuelle, un utilisateur ou un ordinateur, la meilleure pratique consiste affecter une seule autorisation un groupe et grer les accs la ressource en changeant simplement l'appartenance au groupe. Dans cet exemple, vous pouvez crer le groupe Sales et autoriser le groupe lire le dossier Sales. Dsormais, vous disposez d'un point unique de gestion. Le groupe Sales gre efficacement l'accs au dossier partag. Vous pouvez ajouter de nouveaux commerciaux au groupe et ils accderont au dossier partag. Lorsque vous supprimez un compte, vous le supprimez systmatiquement du groupe et il n'existe donc pas de SID non rsolus dans la liste de contrle d'accs. Et vous pouvez dterminer plus aisment les personnes devant tre autorises lire le dossier Sales. Vous pouvez simplement numrer les membres du groupe Ventes. Le groupe Sales est devenu l'lment central des tches de gestion des accs.
4-13
Il existe un autre avantage : tant donn que la liste de contrle d'accs ne change pas et que le groupe Sales dispose de l'autorisation de lecture, les sauvegardes sont plus aises. Lorsque vous changez la liste de contrle d'accs d'un dossier, la liste s'applique tous les fichiers et dossiers enfant, en dfinissant l'indicateur Archive et en demandant la sauvegarde de tous les fichiers, mme si le contenu des fichiers n'a pas chang
4-14
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Si les commerciaux ncessitent un accs en lecture trois dossiers sur trois serveurs diffrents, vous pouvez autoriser le groupe Sales lire les trois dossiers. Aprs avoir affect les trois autorisations, le groupe Sales fournit un point de gestion unique pour l'accs aux ressources. Le groupe Sales gre efficacement l'accs aux trois dossiers partags. Vous pouvez ajouter de nouveaux commerciaux au groupe et ils accderont aux trois dossiers partags sur les trois serveurs. Lorsque vous supprimez un compte, vous le supprimez systmatiquement du groupe et il n'existe donc pas de SID non rsolus dans la liste de contrle d'accs.
4-15
Points cls
Supposez maintenant que d'autres personnes doivent pouvoir lire les dossiers. Les dirigeants (Executives), les employs du service Marketing et le conseiller commercial embauch par votre entreprise doivent galement pouvoir lire les mmes dossiers. Vous pouvez ajouter ces groupes la liste de contrle d'accs des dossiers en leur affectuant un accs en lecture, mais dans ce cas, vous disposez d'une liste avec plusieurs autorisations en effectant cette fois-ci l'autorisation de lecture des groupes et non pas des utilisateurs. Pour permettre aux trois groupes et un utilisateur d'accder aux trois dossiers sur les trois serveurs, vous devez ajouter douze autorisations ! Le groupe suivant ncessitant un accs impliquera d'effectuer trois modifications supplmentaires pour accorder les autorisations dans les LCA des trois dossiers partags. Et que se passe-t-il si huit utilisateurs qui ne sont pas commerciaux, employs du service Marketing ou dirigeants doivent pouvoir lire les trois dossiers ? Ajoutezvous leur compte d'utilisateur aux listes de contrle d'accs ? Dans ce cas, vous devez ajouter et grer 24 autorisations supplmentaires !
4-16
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Comme vous pouvez le constater, l'utilisation d'un seul type de groupe, un groupe de rles qui dfinit les rles des utilisateurs, rend rapidement inefficace la gestion des accs aux trois dossiers. Si la rgle de gestion indique que trois rles et neuf utilisateurs supplmentaires doivent accder la ressource, vous affectez 36 autorisations au total dans les listes de contrle d'accs. Dans ce cas, il est trs difficile de respecter la conformit et d'exercer un contrle. Mme la question de savoir quels sont les utilisateurs autoriss lire les dossiers Sales devient problmatique.
4-17
Points cls
La solution est de savoir qu'il existe deux types de gestion qui doivent tre utiliss pour grer efficacement dans ce scnario. Vous devez grer les utilisateurs sous forme de collections en fonction de leurs rles dans l'entreprise et, sparment, vous devez grer l'accs aux trois dossiers. Les trois dossiers sont galement une collection d'lments : ils reprsentent une seule ressource, une collection de dossiers Sales, qui est simplement distribue dans trois dossiers sur trois serveurs. Et vous tentez de grer l'accs en lecture la ressource. Vous avez besoin d'un seul point de gestion pour grer l'accs la ressource. Vous avez alors besoin d'un autre groupe, d'un groupe qui reprsente l'accs en lecture au trois dossiers sur les trois serveurs. Supposez que vous crez le groupe ACL_Sales Folders_Read. que vous l'autorisez lire les trois dossiers. et que les groupes Sales, Marketing et Executives, et chaque utilisateur, seront membres du groupe ACL_Sales Folders_Read. Vous affectez uniquement trois autorisations : une sur chaque dossier, en affectant l'accs en lecture au groupe ACL_Sales Folders_Read.
4-18
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Le groupe ACL_Sales Folders_Read devient l'lment principal de la gestion des accs. Lorsque des groupes ou des utilisateurs supplmentaires doivent accder aux dossiers, il suffit de les ajouter ce groupe. Ainsi, il est plus ais galement de savoir qui accde aux dossiers. Au lieu d'examiner les listes de contrle d'accs dans chacun des dix dossiers, vous examinez simplement l'appartenance au groupe ACL_Sales Folders_Read. Pour pouvoir grer efficacement mme une entreprise un peu complexe, vous avez besoin de deux "types" de groupes ayant deux fonctions distinctes : Groupes qui dfinissent les rles : ces groupes, appels groupes de rles, contiennent les utilisateurs, les ordinateurs et d'autres groupes de rles qui reposent sur des caractristiques professionnelles communes, telles que l'emplacement, la fonction, etc. Groupes qui dfinissent des rgles gestion : ces groupes, appels groupes de rgles, dfinissent la manire dont une ressource d'entreprise est gre.
Cette mthode de gestion d'entreprise avec des groupes s'appelle la gestion base de rles. Vous dfinissez les rles des utilisateurs en fonction de caractristiques professionnelles, telles que le service ou la division des utilisateurs (Sales, Marketing et Executives) et vous dfinissez des rgles, telles que la rgle qui gre l'accs des rles et des personnes aux trois dossiers. Vous pouvez excuter les tches de gestion en utilisant des groupes dans un annuaire. Les rles sont reprsents par des groupes qui contiennent des utilisateurs, des ordinateurs et d'autres rles. Trs bien. Les rles peuvent inclure d'autres rles. Par exemple, le rle Gestionnaires peut inclure les rles Directeurs des ventes, Directeurs financiers et Directeurs de la production. Les rgles de gestion, telles que la rgle qui dfinit et gre l'accs en lecture aux trois dossiers, sont reprsentes par des groupes galement. Les groupes de rgles contiennent des groupes et, ventuellement des utilisateurs et des ordinateurs individuels, tels que le conseiller commercial et huit autres utilisateurs dans cet exemple. Le principal avantage, c'est qu'il existe deux "types" de groupes : un groupe qui dfinit le rle et un groupe qui dfinit la manire de grer une ressource.
Lectures complmentaires
Pour plus d'informations sur la gestion base de rles, voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008).
4-19
Points cls
Au dbut de cette leon, vous avez appris crer des groupes en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory en cliquant avec le bouton droit de la souris sur l'UO dans laquelle vous voulez crer un groupe, en pointant sur Nouveau et en cliquant sur Groupe. La bote de dialogue Nouvel objet - Groupe, reprsente ci-dessous, permet de dfinir les principales proprits du nouveau groupe.
4-20
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Vous pouvez dfinir les proprits de nom suivantes ici : Nom de groupe : le nom cn et le nom de l'objet groupe doivent tre uniques uniquement dans l'UO. Nom de groupe (antrieur Windows 2000) : sAMAccountName du groupe, unique dans le domaine.
Meilleure pratique importante : utilisez le mme nom (uniquement dans le domaine) pour les deux proprits.
4-21
Les premires proprits que vous devez dfinir sont les noms des groupes. Un groupe, tel qu'un utilisateur ou un ordinateur, a plusieurs noms. Le premier, indiqu dans la zone de nom de groupe ci-dessus, est utilis par Windows 2000 et les systmes ultrieurs pour identifier l'objet ; il devient le nom commun (cn) et les attributs de nom de l'objet. Le second, le nom antrieur Windows 2000, est le sAMAccountName qui permet d'identifier le groupe vis vis des ordinateurs qui excutent Windows NT 4.0 et de certains priphriques, tels que les priphriques NAS (Network Attached Storage) qui excutent des systmes d'exploitation nonMicrosoft. Le nom commun et les attributs de nom doivent tre uniques seulement dans le conteneur, l'UO, o se trouve le groupe. sAMAccountName doit tre unique dans l'ensemble du domaine. Techniquement, la valeur de sAMAccountName peut ne pas correspondre au nom commun et au nom, mais il est vivement recommand de ne pas changer ces valeurs. Slectionnez un nom unique dans le domaine et utilisez-le dans les deux zones de nom de la bote de dialogue Nouvel objet - Groupe. Il est recommand d'appliquer les conventions d'affectation de nom suivante : Groupes de rles. Nom simple unique, tel que Sales ou Consultants Groupes de gestion. Par exemple, ACL_Sales Folders_Read Prfixe. Il identifie la fonction de gestion du groupe, telle que Liste de contrle d'accs pour les groupes qui grent les autorisations d'accs aux ressources partages. Identificateur de ressource. Identificateur unique de l'lment grer. Suffixe. Pour les groupes d'accs aux ressources, il s'agit du type d'accs que le groupe gre. Dlimiteur. Il s'agit d'un marqueur, tel que le caractre de soulignement (_), qui doit tre utilis de manire cohrente pour sparer le prfixe, l'identificateur et le suffixe. Ne placez pas le dlimiteur dans un autre endroit dans un nom ; utilisez -le uniquement comme dlimiteur.
Le nom que vous choisissez doit faciliter la gestion du groupe et de l'entreprise au jour le jour. Il est recommand d'appliquer un convention d'affectation de nom qui identifie le type de groupe et la fonction du groupe.
4-22
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Le nom de groupe ACL_Sales Folders_Read est utilis dans l'exemple prcdent. Prfixe : le prfixe identifie la fonction de gestion du groupe. Dans ce cas, il s'agit d'un groupe qui gre les autorisations d'accs un dossier. Il est utilis dans les listes de contrle d'accs et le prfixe ACL est donc utilis. Identificateur de ressource : la partie principale du nom identifie de manire unique la ressource grer avec le groupe (Dossiers Sales, dans cet exemple). Suffixe : le suffixe dfinit plus prcisment l'lment que doit grer le groupe. Dans le cas des groupes de gestion des accs aux ressources, le suffixe dfinit le niveau d'accs accord aux membres du groupe. Dans l'exemple, le niveau d'accs est Lecture. Dlimiteur : un dlimiteur, le caractre de soulignement, en l'occurrence, sert sparer les parties du nom. Notez que le dlimiteur n'est pas utilis entre les mots Sales et Folder. Vous pouvez insrer des espaces dans les noms de groupe ; il suffit de placer les noms de groupe entre guillemets lorsque vous y faites rfrence dans des commandes ou des scripts. Vous pouvez crer des scripts qui utilisent le dlimiteur pour dconstruire les noms de groupe pour faciliter le contrle et la gnration de rapports.
Notez que des groupes de rles qui dfinissent des rles d'utilisateur seront souvent utiliss par les non-techniciens. Par exemple, vous pouvez activer la fonction de messagerie du groupe Sales pour qu'il puisse tre utiliser comme liste de distribution de courrier lectronique. Par consquent, il est recommand d'utiliser une convention d'affectation de nom qui permette d'affecter des noms simples aux groupes de rles. En d'autres termes, la convention d'affectation de nom des groupes de rles ne doit pas utiliser des prfixes ni des suffixes ni des dlimiteurs, mais uniquement des noms simples descriptifs.
Lectures complmentaires
Pour plus d'informations sur la gestion efficace des groupes, voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008).
4-23
Type de groupe
Points cls
Il existe deux types de groupes : scurit et distribution. Lorsque vous crez un groupe, vous slectionnez son type dans la bote de dialogue Nouvel objet Groupe. Les groupes de distribution sont utiliss principalement par les applications de messagerie. La scurit de ces groupes n'tant pas active, ils n'ont pas de SID, ils ne peuvent pas accder aux ressources. Lenvoi dun message un groupe de distribution envoie le message tous les membres du groupe. Les groupes de scurit sont des entits de scurit avec des SID. Par consquent, vous pouvez utiliser ces groupes dans des entres d'autorisation dans les listes ACL pour contrler la scurit des accs aux ressources. Les groupes de scurit peuvent tre galement utiliss comme groupes de distribution par les applications de messagerie. Si vous utilisez un groupe pour grer la scurit, ce groupe doit tre un groupe de scurit.
4-24
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
tant donn que les groupes de scurit peuvent tre utiliss pour accder aux ressources et distribuer du courrier, les entreprises utilisent gnralement des groupes de scurit uniquement. Toutefois, il est recommand de crer le groupe comme groupe de distribution si le groupe doit tre utilis uniquement pour distribuer le courrier. Autrement, le groupe est affect d'un SID et ce dernier est ajout au jeton d'accs de scurit de l'utilisateur, ce qui peut encombrer inutilement le jeton.
4-25
tendue du groupe
Points cls
Les groupes contiennent des membres : savoir des utilisateurs, des ordinateurs et d'autres groupes. Les groupes peuvent tre membres d'autres groupes et rfrencs par des listes ACL, des filtres d'objet Stratgie de groupe et d'autres composants de gestion. L'tendue d'un groupe a un impact sur les caractristiques suivantes du groupe : son contenu, son appartenance et son emplacement d'utilisation. Il existe quatre tendues de groupe : globale, local de domaine, locale et universelle.
4-26
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Les caractristiques qui dfinissent chaque tendue sont classes dans les catgories suivantes : Rplication. O le groupe est-il dfini et sur quels systmes est-il rpliqu ? Appartenance. Quels types d'entits de scurit le groupe peut-il contenir ? Le groupe peut-il contenir des entits de scurit des domaines valids ? Dans le module 14, vous apprendrez le concept de relations approuves ou approbations. Une approbation permet un domaine de se rfrer un autre pour authentifier les utilisateurs, d'inclure les entits de scurit d'un autre domaine comme membres d'un groupe et d'affecter des autorisations aux entits de scurit de l'autre domaine. La terminologie utilise peut prter confusion. Si le domaine A approuve le domaine B, le domaine A est le domaine d'approbation et le domaine B est le domaine approuv. Le domaine A accepte les informations d'identification des utilisateurs du domaine B. Il envoie les demandes des utilisateurs du domaine B pour les authentifier auprs d'un contrleur dans le domaine B, car il approuve le magasin d'identits et le service authentification du domaine B. Le domaine A peut ajouter les entits de scurit du domaine B ses groupes et listes ACL. Disponibilit. O le groupe peut-il tre utilis ? Le groupe peut-il tre ajout un autre groupe ? Peut-il tre ajout une liste ACL ?
Tenez compte de ces grandes caractristiques lorsque vous explorez les informations de chaque tendue de groupe.
4-27
Groupes locaux
Points cls
Les groupes locaux sont vritablement locaux ; ils sont dfinis et disponibles sur un seul ordinateur. Les groupes locaux sont crs dans la base de donnes Gestionnaire de comptes de scurit d'un ordinateur membre d'un domaine. Les postes de travail et les serveurs ont des groupes locaux. Les groupes locaux ont les caractristiques suivantes : Rplication. Un groupe local est dfini uniquement dans la base de donnes Gestionnaire de comptes de scurit d'un membre d'un domaine. Le groupe et ses membres ne sont pas rpliqus sur un autre systme. Membres. Un groupe local peut contenir : les entits de scurit du domaine : utilisateurs, ordinateurs, groupes globaux ou groupes locaux de domaine utilisateurs, ordinateurs et groupes globaux d'un domaine de la fort utilisateurs, ordinateurs et groupes locaux d'un domaine approuv groupes universels dfinis dans un domaine de la fort
4-28
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Disponibilit. Un groupe local a une tendue limite l'ordinateur. Il peut tre utilis dans les ACL sur l'ordinateur local uniquement. Un groupe local ne peut pas appartenir un autre groupe.
Meilleure pratique Dans un groupe de travail, vous utilisez des groupes locaux pour grer la scurit des ressources d'un systme. Toutefois, dans un domaine, la gestion des groupes locaux d'ordinateurs individuels devient complique et elle est en grande partie inutile. Il est recommand de ne pas crer des groupes personnaliss dans les membres d'un domaine. L'utilisation de groupes locaux dans un environnement de domaine rpond quelques situations. Dans la plupart des cas, les groupes locaux Utilisateurs et Administrateurs sont les seuls groupes grer dans un environnement de domaine.
4-29
Points cls
Les groupes locaux de domaine sont utiliss principalement pour grer les autorisations d'accs aux ressources. Par exemple, le groupe ACL_Sales Folders_Read tudi prcdemment serait cr comme groupe local de domaine. Les groupes locaux de domaine ont les caractristiques suivantes : Rplication. Un groupe local de domaine est dfini dans le contexte d'affectation de nom de domaine. L'objet Groupe et ses membres (attribut member) sont rpliqus sur chaque contrleur du domaine. Membres. Un groupe local de domaine peut contenir : les entits de scurit du domaine : utilisateurs, ordinateurs, groupes globaux ou autres groupes locaux de domaine utilisateurs, ordinateurs et groupes globaux d'un domaine de la fort utilisateurs, ordinateurs et groupes globaux d'un domaine approuv groupes universels dfinis dans un domaine de la fort
4-30
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Disponibilit. Un groupe local de domaine peut tre ajout aux listes ACL dans n'importe quelle ressource de n'importe quel membre de domaine. En outre, un groupe local de domaine peut tre membre d'autres groupes locaux de domaine ou mme de groupes locaux d'ordinateurs.
Les fonctions d'appartenance d'un groupe local de domaine (les groupes auxquels un groupe local de domaine peut appartenir) sont identiques celles des groupes locaux, mais la rplication et la disponibilit du groupe local de domaine le rendent utiles dans l'ensemble du domaine. Meilleure pratique Les groupes de domaine locaux constituent une excellente solution pour dfinir des rgles de gestion d'entreprise, telles que les rgles d'accs aux ressources, car le groupe peut tre appliqu n'importe o dans le domaine et il peut contenir n'importe quel type de membre dans le domaine, ainsi que les membres des domaines approuvs. Par exemple, le groupe de scurit local de domaine ACL_Sales Folders_Read peut tre utilis pour grer l'accs en lecture une collection de dossiers qui contiennent des informations commerciales sur un ou plusieurs serveurs.
4-31
Groupes globaux
Points cls
Les groupes globaux permettent principalement de dfinir des collections d'objets domaine en fonction de rles professionnels. Les groupes de rles, tels que les groupes Sales et Marketing mentionns prcdemment, ainsi que les rles d'ordinateurs, tels qu'un groupe Sales Lapstop, sont crs en tant que groupes globaux. Les groupes globaux ont les caractristiques suivantes : Rplication. Un groupe global est dfini dans le contexte d'affectation de nom de domaine. L'objet groupe, y compris l'attribut de membre, est rpliqu sur tous les contrleurs du domaine. Membres. Un groupe global peut tre contenir uniquement les utilisateurs, les ordinateurs et les autres groupes globaux d'un mme domaine. Disponibilit. Un groupe global peut tre utilis par tous les membres d'un domaine et par tous les autres domaines de la fort et tous les domaines externes approuveurs. Un groupe global peut tre membre d'un groupe local ou universel du domaine ou de la fort. Il peut tre galement membre d'un groupe local d'un domaine approuveur. Enfin, un groupe global peut tre ajout aux listes ACL du domaine, de la fort ou des domaines approuveurs.
4-32
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Comme vous pouvez le constater, l'appartenance aux groupes globaux est la plus limite (utilisateurs, ordinateurs et groupes globaux d'un mme domaine uniquement), mais leur disponibilit dans le domaine, la fort et les domaines approuveurs elle est la plus tendue. Meilleures pratiques Les groupes globaux sont adapts pour dfinir des rles, car les rles sont gnralement des collections d'objets d'un mme annuaire. Par exemple, les groupes de scurit globaux Consultants et Sales peuvent tre utiliss pour dfinir respectivement les utilisateurs Consultants et Salespeople.
4-33
Groupes universels
Points cls
Les groupes universels ont les caractristiques suivantes : Rplication. Un groupe universel est dfini dans un seul domaine de la fort, mais il est rpliqu dans le catalogue global. Le catalogue est abord dans le module 12. Les objets dans ce catalogue seront accessibles dans la fort. Membres. Un groupe universel peut contenir les utilisateurs, les groupes globaux et les autres groupes universels d'un domaine de la fort. Disponibilit. Un groupe universel peut tre membre d'un groupe universel ou d'un groupe local de domaine n'importe o dans la fort. En outre, un groupe universel peut tre utilis pour grer les ressources, par exemple, pour affecter des autorisations n'importe o dans la fort.
4-34
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Les groupes universels sont utiles dans les forts multidomaines. Ils permettent de dfinir des rles ou de grer les ressources qui couvrent plusieurs domaines. Illustrons les groupes universels par un exemple : Trey Research dispose d'une fort comportant trois domaines : Amriques, Asie et Europe. Chaque domaine a des comptes d'utilisateur et le groupe global Directeurs rgionaux qui contient les responsables de la rgion correspondante. Souvenez-vous que les groupes globaux peuvent contenir uniquement les utilisateurs d'un mme domaine. Le groupe universel Directeurs rgionaux Trey Research est cr et trois groupes Directeurs rgionaux lui sont ajouts. Par consquent, le groupe Directeurs rgionaux Trey Research dfinit un rle dans l'ensemble de la fort. Lors de l'ajout d'utilisateurs l'un des groupes Directeurs rgionaux, les utilisateurs, par l'imbrication, deviennent membres de Directeurs rgionaux Trey Research Regional. Trey Research envisage de commercialer un nouveau produit impliquant la collaboration de ses rgions. Les ressources associes au projet se trouvent sur des serveurs de fichiers dans chaque domaine. Pour pouvoir dfinir les personnes autorises modifier les fichiers relatifs au nouveau produit, le groupe universel ACL_New Product_Modify est cr. Ce groupe est autoris modifier les dossiers partags sur chacun des serveurs de fichiers dans chacun des domaines. Le groupe Directeurs rgionaux Trey Research est plac dans le groupe the ACL_New Product_Modify, avec divers groupes globaux et quelques utilisateurs de chaque rgion. Meilleure pratique Comme le montre l'exemple, les groupes universels permettent de reprsenter et de regrouper les rles qui couvrent les domaines d'une fort et de dfinir des rgles qui peuvent tre appliques dans la fort.
4-35
Points cls
Dans le cadre des examens de certification et de l'administration quotidienne, il est important de matriser compltement les caractristiques de l'appartenance de chaque tendue de groupe.
4-36
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Le tableau ci-dessous rcapitule les objets pouvant tre membres de chaque tendue de groupe.
tendue du groupe Locale Membres d'un mme domaine Utilisateurs Ordinateurs Groupes globaux Groupes universels Groupes locaux de domaine galement les utilisateurs locaux dfinis sur un mme ordinateur comme groupe local Locale de domaine Utilisateurs Ordinateurs Groupes globaux Groupes locaux de domaine Groupes universels Universelle Utilisateurs Ordinateurs Groupes globaux Groupes universels Globale Utilisateurs Groupes globaux Utilisateurs Ordinateurs Groupes globaux Groupes universels S/O S/O S/O Utilisateurs Ordinateurs Groupes globaux Groupes universels Utilisateurs Ordinateurs Groupes globaux Membres d'un autre domaine d'une mme fort Utilisateurs Ordinateurs Groupes globaux Groupes universels Membres d'un domaine externe approuv Utilisateurs Ordinateurs Groupes globaux
Question : Quels sont les objets qui peuvent tre membres d'un groupe global dans un domaine ?
4-37
Points cls
Lorsque vous devez ajouter ou supprimer des membres dans un groupe, vous pouvez procder de diverses manires. Onglet Membres Pour grer les membres des groupes en utilisant l'onglet Membres : 1. 2. 3. Ouvrez la bote de dialogue Proprits du groupe. Cliquez sur longlet Membres. Pour supprimer un membre, slectionnez-le et cliquez sur Supprimer.
4-38
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
4.
Pour ajouter un membre, cliquez sur le bouton Ajouter. La bote de dialogue Slectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes, reprsente ci-dessous, saffiche.
Quelques conseils propos de cette procdure : Dans la bote de dialogue de slection, dans la zone Entrez les noms d'objets, vous pouvez taper plusieurs comptes en les sparant avec un point-virgule. Dans la capture d'cran ci-dessus, sales et finance sont entrs. Ils sont spars par un point-virgule. Vous pouvez entrer des noms de compte partiels ; il est inutile de taper le nom complet. Windows recherche dans Active Directory les comptes qui commencent par le nom que vous avez entr. S'il existe une seule correspondance, Windows la slectionne automatiquement. Si plusieurs comptes correspondent, la bote de dialogue Noms multiples trouvs s'affiche pour vous permettre de slectionner l'objet appropri. Ce raccourci, taper des noms partiels, peut faire gagner du temps lorsque vous ajoutez des membres des groupes et tre utile lorsque vous ne vous ne souvenez pas du nom exact d'un membre. Par dfaut, Windows recherche uniquement les utilisateurs et les groupes qui correspondent aux noms que vous entrez dans la bote de dialogue de slection. Si vous voulez ajouter des ordinateurs un groupe, vous devez cliquer sur le bouton Options et slectionner Ordinateurs.
4-39
Par dfaut, Windows recherche uniquement les groupes de domaine. Si vous voulez ajouter des comptes locaux, cliquez sur le bouton Emplacement dans la bote de dialogue de slection. Si vous ne trouvez pas le membre ajouter, cliquez sur le bouton Avanc dans la bote de dialogue de slection. Une fentre de requte plus puissante s'affiche avec des options supplmentaires pour effectuer la recherche dans Active Directory.
Onglet Membre de Pour grer les membres des groupes en utilisant l'onglet Membre de : 1. 2. 3. Ouvrez les proprits de l'objet membre et cliquez sur son onglet Membre de. Pour supprimer l'objet d'un groupe, slectionnez le groupe et cliquez sur le bouton Supprimer. Pour ajouter l'objet un groupe, cliquez sur le bouton Ajouter et slectionnez le groupe.
Commande Ajouter un groupe Pour grer les groupes en utilisant la commande Ajouter un groupe : 1. 2. 3. Cliquez avec le bouton droit de la souris sur les objets slectionns dans le volet des dtails Utilisateurs et ordinateurs Active Directory. Cliquez sur la commande Ajouter un groupe. Utilisez la bote de dialogue Slectionner pour dfinir le groupe.
Les attributs Member et MemberOf Lorsque vous ajoutez un membre un groupe, vous changez l'attribut member du groupe. L'attribut member est un attribut plusieurs valeurs : chaque membre est une valeur reprsente par le nom unique (DN) du membre. Si vous renommez ou dplacez le membre, Active Directory met automatiquement jour les attributs member des groupes qui contiennent le membre. Lorsque vous ajoutez un membre un groupe, l'attribut memberOf du membre est galement mis jour indirectement. L'attribut memberOf est un type spcial d'attribut appel lien prcdent. Active Directory le met jour lorsqu'un attribut de lien suivant, tel qu'un membre, fait rfrence l'objet. Lorsque vous ajoutez un membre un groupe, vous changez toujours l'attribut member. Par consquent, lorsque vous utilisez l'onglet Membre de d'un objet pour l'ajouter un groupe, vous changez en fait l'attribut member du groupe. Active Directory met jour automatiquement l'attribut memberOf.
4-40
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Application immdiate de la modification de l'appartenance Lorsque vous ajoutez un utilisateur un groupe, l'appartenance n'est pas applique immdiatement. L'appartenance aux groupes est value l'ouverture de session pour un utilisateur (lors du dmarrage d'un ordinateur). Par consquent, l'utilisateur doit fermer la session et rouvrir une session pour que l'appartenance soit applique au jeton de l'utilisateur. De plus, il peut exister un dlai pendant la rplication de la modification de l'appartenance un groupe (la rplication sera aborde dans le module 12). Ceci est particulirement vraie si l'entreprise dispose de plusieurs sites Active Directory. Vous pouvez acclrer l'impact d'une modification sur un utilisateur en effectuant la modification dans un contrleur de domaine du site de l'utilisateur. Cliquez avec le bouton droit de la souris sur le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, puis cliquez sur Modifier le contrleur de domaine.
4-41
Points cls
L'ajout de groupes d'autres groupes, processus appel imbrication, peut crer une hirarchie de groupes qui prend en charge vos rles professionnels et rgles de gestion. Maintenant que vous connaissez la fonction et les caractristiques techniques des groupes, il est temps de les exploiter dans une stratgie de gestion des groupes. Au dbut de cette leon, vous avez appris les types d'objets qui peuvent tre membres de chaque tendue de groupe. Maintenant, vous allez identifier les types d'objets qui doivent tre membres de chaque tendue de groupe. Ceci vous amne la meilleure pratique de l'imbrication de groupe appele IGDLA : Identits (comptes d'utilisateur et d'ordinateurs) membres de. Groupes globaux qui reprsentent les rles professionnels. Ces groupes de rles (groupes globaux) sont membres de.
4-42
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Groupes de Domaine Locaux qui reprsentent les rgles de gestion ; dtermination de qui est autoris lire une collection de dossiers, par exemple. Ces groupes de rgles (groupes locaux de domaine) sont accords. Accs aux ressources. Dans le cas d'un dossier partag, l'accs est accord en ajoutant le groupe local de domaine la liste de contrle d'accs (ACL) du dossier avec une autorisation qui fournit le niveau d'accs appropri.
Dans une fort multidomaine, il existe galement des groupes universels qui se situent entre les groupes globaux et les groupes locaux de domaine. Les groupes globaux de plusieurs domaines sont membres d'un seul groupe universel. Ce groupe universel est membre de groupes locaux de plusieurs domaines. Vous pouvez mmoriser l'imbrication sous la formule IGUDLA. La meilleure pratique pour implmenter l'imbrication de groupes est efficace, mme dans des scnarios plusieurs domaines. Reportez-vous la figure cidessous.
Cette figure reprsente une implmentation de groupes qui reflte non seulement la vue technique des meilleures pratiques de gestion des groupes (IGDLA), mais galement la vue de la gestion base de rgles et de rles de l'entreprise.
4-43
Voici un scnario : les services commerciaux de Contoso, Ltd. viennent de terminer leur exercice financier. Les fichiers des ventes de l'anne prcdente se trouvent dans le dossier Sales. Les services commerciaux doivent pouvoir lire ces dossiers. En outre, un groupe d'auditeurs de Woodgrove Bank, un investisseur potentiel, ncessite de lire les dossiers des ventes pour pouvoir raliser un audit. Les tapes de l'implmentation de la scurit ncessaire dans ce scnario sont les suivantes : 1. Affecter les utilisateurs ayant des fonctions ou d'autres caractristiques communes des groupes de rles implments comme groupes de scurit globaux. Ceci s'effectue sparment dans chaque domaine. Les commerciaux de Contoso sont ajouts un groupe de rles Sales. Les auditeurs de Woodgrove Bank sont ajouts un groupe de rles Auditors. Crer un groupe pour grer les accs aux dossiers Sales avec l'autorisation Lecture. Ceci est implment dans le domaine contenant la ressource grer. Dans ce cas, il s'agit du domaine Contoso o se trouvent les dossiers Sales. Le groupe de rgles de gestion des accs aux ressources est cr sous la forme d'un groupe local de domaine, ACL_Sales Folders_Read. Ajouter les groupes de rles au groupe de rgles de gestion des accs aux ressources pour reprsenter la rgle de gestion. Ces groupes peuvent provenir d'un domaine de la fort ou d'un domaine approuv, tel que Woodgrove Bank. Les groupes globaux des domaines externes approuve ou d'un domaine de la mme fort peuvent tre membres d'un groupe local de domaine. Affecter l'autorisation qui implmente le niveau d'accs ncessaire. Dans ce cas, accorder l'autorisation de lecture au groupe local de domaine.
2.
3.
4.
Cette stratgie fournit des points de gestion uniques rduisant ainsi la charge de gestion. Il existe un point de gestion qui dtermine les membres de Sales ou Auditors. Ces rles, naturellement, auront vraisemblablement accs diverses ressources qui ne se limitent pas aux dossiers des ventes. Il existe un autre point de gestion pour dterminer qui peut lire les dossiers des ventes. Naturellement, ces dossiers peuvent ne pas se limiter un seul dossier sur un seul serveur : il peut s'agir d'une collection de dossiers couvrant plusieurs serveurs, chacun d'entre eux affectant l'autorisation de lecture un seul groupe local de domaine.
4-44
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
La gestion base de rle est un concept utilis en informatique et dans la protection des informations et elle est accessible avec les fonctions standard d'Active Directory. IGDLA est l'implmentation de la gestion base de rles en utilisant des groupes Active Directory.
4-45
Leon 2
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : crer des groupes avec DSADD, CSVDE et LDIFDE ; grer et convertir un type de groupe et une tendue ; grer les membres des groupes avec DSMOD et LDIFDE ; numrer les membres des groupes avec DSGET ; supprimer un groupe avec DSRM ; copier les membres des groupes.
4-46
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
La commande DSAdd permet d'ajouter des objets Active Directory. Pour ajouter un groupe, tapez la commande :
dsadd group GroupDN
o GroupDN est le nom unique (DN) du groupe, tel que "CN=Finance Managers,OU=Role,OU=Groups,DC=contoso,DC=com." Veillez placer le nom DN entre guillemets s'il contient des espaces. Par exemple, pour crer le groupe de scurit global Marketing, tapez la commande :
dsadd group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" samid Marketing secgrp yes scope g
4-47
Vous pouvez dfinir galement le paramtre GroupDN de l'une des manires suivantes : Fournissez le paramtre en envoyant une liste de noms DN depuis une autre commande, telle que DSQuery. Entrez-le en tapant chaque nom DN sur l'invite de commande en le sparant par un espace. Entrez-le en laissant le paramtre DN vide ; dans ce cas, vous pouvez tapez les noms DN l'un aprs l'autre dans la console de clavier de l'invite de commande. Appuyez sur ENTRE aprs chaque nom DN. Appuyez sur CTRL+Z et ENTRE aprs le dernier DN.
Ces trois options permettent de gnrer plusieurs groupes simultanment avec DSAdd. La commande DSAdd peut galement dfinir les attributs des groupes que vous crez avec les paramtres facultatifs suivants : -secgrp { yes | no }. Ce paramtre dfinit le type de groupe : security (yes) ou distribution (no). -scope { l | g | u }. Ce paramtre dfinit l'tendue de groupe : domain local (l), global (g) ou universal (u). -samid Name. Ce paramtre dfinit l'attribut sAMAccountName du groupe. Si vous ne le dfinissez pas, le nom du groupe provenant de son DN est utilis. Il est recommand que sAMAccountName et le groupe name soient identiques afin de ne pas avoir dfinir ce paramtre lors de l'utilisation de la commande DSAdd. -desc Description. Ce paramtre dfinit la description du groupe. -members MemberDN . Ce paramtre ajoute des membres au groupe. Les membres sont dfinis par leurs noms DN dans une liste spare par des espaces. -memberof GroupDN . Ce paramtre place le nouveau groupe dans un ou plusieurs groupes existants. Les groupes sont dfinis par leurs noms DN dans une liste spare par des espaces.
4-48
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
CSVDE importe des donnes partir de fichiers de valeurs spares par des virgules (.csv). Elle permet galement d'exporter des donnes vers un fichier .csv. L'exemple suivant porte que un fichier .csv qui cre un groupe, Marketing, et le remplit avec deux membres initiaux : Linda Mitchell et Scott Mitchell.
objectClass,sAMAccountName,DN,member group,Marketing,"CN=Marketing,OU=Role,OU=Groups, DC=contoso,DC=com","CN=Linda Mitchell,OU=Employees, OU=User Accounts,DC=contoso,DC=com; CN=Scott Mitchell,OU=Employees,OU=User Accounts, DC=contoso,DC=com"
Les objets rpertoris dans l'attribut member doivent dj exister dans le service d'annuaire. Leurs noms uniques (DN) sont spars par un point-virgule dans la colonne member.
4-49
Notez l'utilisation des guillemets dans l'exemple ci-dessus. Les guillemets sont ncessaires lorsqu'un attribut contient une virgule pour que cette dernire ne soit pas interprte comme dlimiteur. Le nom DN du groupe contient des virgules et il doit donc avoir une virgule. Dans le cas d'un attribut plusieurs valeurs, tel que member, chaque valeur doit tre spare par un point-virgule ; il existe deux valeurs dans member dans l'exemple ci-dessus. L'ensemble de l'attribut est plac entre des guillemets et non pas chaque valeur de l'attribut member . Vous pouvez importer ce fichier vers Active Directory en utilisant la commande suivante :
csvde -i -f "filename" [-k]
Le paramtre i dfinit le mode d'importation. Dans ce paramtre, la commande CSVDE utilise le mode d'exportation. Le paramtre f prcde le nom de fichier et le paramtre k permet au traitement de continuer, mme si des erreurs se produisent, comme lorsque les objets existent dj ou que le membre est introuvable. Vous pouvez utiliser la commande CSVDE pour crer des objets, mais pas pour modifier des objets existants. Vous ne pouvez pas utiliser la commande CSVDE pour importer des groupes existants.
4-50
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
LDIFDE est un outil qui importe et exporte des fichiers dans le format LDIF (Lightweight Directory Access Protocol Data Interchange Format). Les fichiers LDIF sont des fichiers texte dans lesquels des oprations sont dfinies par un bloc de lignes spar par une ligne blanche. Chaque opration commence par l'attribut DN de l'objet qui est la cible de l'opration. La ligne suivante, changeType, dfinit le type de l'opration : add (ajouter), modify (modifier) ou delete (supprimer).
4-51
La convention doit proposer d'enregistrer le fichier avec l'extension .ldf, par exemple, groups.ldf. Pour importer les groupes vers l'annuaire, excutez la commande ldifde.exe, comme suit :
ldifde i f groups.ldf
Le paramtre i dfinit le mode d'importation. Sans ce paramtre, la commande utilise le mode d'exportation. Le paramtre f prcde le nom de fichier et le paramtre k permet au traitement de continuer, mme si des erreurs se produisent (par exemple, l'objet existe dj).
4-52
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Aprs avoir cr un groupe, vous pouvez modifier l'tendue ou le type du groupe, si ncessaire. Ouvrez les proprits d'un groupe existant ; l'tendue et le type existants figurent dans l'onglet Gnral, reprsent ci-dessous. Au moins une tendue et un type sont disponibles pour tre slectionns.
4-53
Vous pouvez convertir le type tout moment en changeant la slection dans la section Type de groupe de l'onglet Gnral. Attention, toutefois. Lorsque vous convertissez un groupe de scurit en groupe de distribution, les ressources sur lesquelles le groupe dispose d'autorisations ne sont pas accessibles de la mme manire. Lorsque le groupe devient un groupe de distribution, le jeton d'accs de scurit des utilisateurs qui ouvrent une session dans le domaine ne contient plus le SID du groupe. Vous pouvez changer l'tendue du groupe de l'une des manires suivantes : Global en universel Local de domaine en universel Universel en global Universel en local de domaine
Les seules conversions d'tendues que vous ne pouvez pas raliser directement sont global en local de domaine et local de domaine en global. Toutefois, vous pouvez effectuer ces modifications indirectement en convertissant l'tendue en tendue universelle, puis dans l'tendue approprie. Par consquent, vous pouvez changer toutes les tendues.
4-54
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Toutefois, notez que l'tendue d'un groupe dtermine les types d'objets pouvant tre membres du groupe. Si un groupe contient dj des membres ou qu'il est membre d'un autre groupe, vous ne pouvez pas changer l'tendue. Par exemple, si un groupe global est membre d'un autre groupe global, vous ne pouvez pas convertir l'tendue du premier groupe en tendue universelle, car un groupe universel ne peut pas tre membre d'un groupe global. Vous recevez un message d'erreur explicatif, tel que celui indiqu ci-dessous. Vous devez liminer le conflit d'appartenance pour pouvoir changer l'tendue du groupe.
Vous pouvez utiliser la commande DSMod pour changer le type et l'tendue d'un groupe en utilisant la syntaxe suivante :
dsmod group GroupDN secgrp { yes | no } scope { l | g | u }
L'attribut GroupDN est le nom unique du groupe modifier. Les deux paramtres suivants affectent l'tendue et le type du groupe : -secgrp { yes | no }. Dfinit le type du groupe : scurit (yes) ou distribution (no) -scope { l | g | u }. Dfinit l'tendue du groupe : locale du domaine (l), globale (g), ou universelle (u)
4-55
Points cls
La syntaxe de base de la commande DSMod est la suivante :
dsmod group "GroupDN" [options]
Vous pouvez utiliser des options, telles que -samid et -desc pour modifier les attributs sAMAccountName et description du groupe. Toutefois, les options les plus utiles sont celles qui permettent de modifier les membres du groupe :
-addmbr "Member DN"
4-56
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Comme dans toutes les commandes DS, Member DN est le nom unique d'un autre objet Active Directory plac entre guillemets si le nom DN contient des espaces. Vous pouvez insrer plusieurs entres Membre DN en les sparant avec un espace. Par exemple, pour ajouter Mike Danseglio au groupe Research, utilisez la commande DSMod :
dsmod group "CN=Research,OU=Role,OU=Groups,DC=contoso,DC=com" -addmbr "CN=Mike Danseglio,OU=Employees,OU=User Accounts, DC=contoso,DC=com"
4-57
Points cls
Vous pouvez galement utiliser LDIFDE pour modifier des objets existants dans Active Directory en utilisant des oprations LDIF avec le type de modification modify. Pour ajouter deux membres au groupe Finance, utilisez la commande LDIF suivante :
dn: CN=Finance,OU=Role,OU=Groups,DC=contoso,DC=com changetype: modify add: member member: CN=April Stewart,OU=Employees,OU=User Accounts,dc=contoso,dc=com member: CN=Mike Fitzmaurice,OU=Employees,OU=User Accounts,dc=contoso,dc=com -
4-58
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
changeType est affect de la valeur modify, suivi de l'opration de modification : add objects to the member attribute. Chaque nouveau membre figure sur une ligne distincte qui commence par le nom d'attribut member. L'opration de modification se termine par une ligne contenant une barre oblique. Le remplacement de la troisime ligne par l'lment suivant supprime les deux membres dfinis du groupe :
delete: member
4-59
Points cls
Les commandes DSGet et DSMod sont particulirement utiles pour grer les membres des groupes. Comme vous le savez, le composant logiciel enfichable Utilisateur et ordinateurs ne fournit pas d'options permettant de rpertorier tous les membres d'un groupe et les membres imbriqus. Seul l'onglet Membre d'un groupe permet d'identifier les membres directs du groupe. De mme, il n'existe pas d'options permettant de rpertorier tous les groupes d'un utilisateur ou d'un ordinateur et les groupes imbriqus. Seul l'onglet Membre de permet d'identifier l'appartenance directe d'un utilisateur ou d'un ordinateur. La commande DSGet permet d'extraire la liste complte des membres d'un groupe et des membres imbriqus en utilisant la syntaxe suivante :
dsget group "GroupDN" members [-expand]
4-60
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
De mme, vous pouvez utiliser la commande DSGet pour extraire la liste complte des groupes d'un utilisateur ou d'un ordinateur en utilisant l'option de dveloppement dans les commandes suivantes :
dsget user "UserDN" memberof [-expand] dsget computer "ComputerDN" memberof [-expand]
L'option memberof retourne la valeur de l'attribut memberOf de l'utilisateur ou de l'ordinateur en indiquant les groupes dont l'objet est un membre direct. En ajoutant l'option expand, ces groupes font l'objet d'une recherche rcursive en produisant la liste complte des groupes dont l'objet utilisateur est membre dans le domaine.
4-61
Points cls
Vous pouvez combiner la commande DSGet avec la commande DSMod pour copier les membres d'un groupe. Dans l'exemple ci-dessous, la commande DSGet permet d'obtenir des informations sur tous les membres du groupe Sales, puis en envoyant la liste la commande DSMod, d'ajouter ces utilisateurs au groupe Marketing :
dsget group "CN=Sales,OU=Role,OU=Groups,DC=contoso,DC=com" members | dsmod group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" addmbr
Notez l'utilisation du piping. La sortie de DSGet (noms uniques des membres du premier groupe) est envoye en utilisant le symbole "|" comme entre pour les noms DN qui manquent dans l'option -addmbr. De mme, vous pouvez utiliser conjointement les commandes DSGet et DSMod pour copier les membres d'un groupe d'un objet, tel qu'un utilisateur, vers un autre objet :
dsget user "SourceUserDN" memberof | dsmod group addmbr "TargetUserDN"
4-62
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Vous pouvez dplacer et renommer les groupes dans Utilisateurs et ordinateurs Active Directory en cliquant avec le bouton droit de la souris sur un groupe et en cliquant sur la commande Dplacer ou Renommer. La commande DSMove permet de dplacer ou de renommer un objet dans un domaine. Vous pouvez l'utiliser pour transfrer des objets entre les domaines. La syntaxe de base est la suivante :
dsmove ObjectDN [-newname NewName] [-newparent TargetOUDN]
L'objet est dfini en utilisant son nom unique dans le paramtre ObjectDN. Pour renommer un objet, dfinissez un nouveau nom commun dans le paramtre newname. Pour transfrer un objet vers un autre emplacement, dfinissez le nom unique du conteneur cible dans le paramtre -newparent.
4-63
Par exemple, pour remplacer le nom du groupe Marketing par Public Relations, tapez :
dsmove "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" newname "Public Relations"
4-64
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Suppression de groupes
Points cls
Vous pouvez supprimer un groupe dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory en cliquant avec le bouton droit de la souris sur le groupe et en choisissant la commande Supprimer. En outre, vous pouvez utiliser la commande DSRm pour supprimer un groupe ou tout autre objet Active Directory. La syntaxe de base de DSRm est la suivante :
dsrm ObjectDN ... [-subtree [-exclude]] [-noprompt] [-c]
L'objet est dfini en utilisant son nom unique dans le paramtre ObjectDN. Un message demande de confirmer la suppression de chaque objet si vous ne dfinissez pas l'option -noprompt. L'option -c place la commande DSRm en mode de fonctionnement continu dans lequel les erreurs sont signales, mais n'empchent pas de traiter d'autres objets. Sans l'option -c, le traitement s'arrte sur la premire erreur. L'option -subtree permet la commande DSRm de supprimer l'objet et tous ses objets enfant. L'option -subtree -exclude supprime tous les objets enfant, mais pas l'objet lui-mme.
4-65
Identifiez les consquences avant de supprimer un groupe Lorsque vous supprimez un groupe, vous supprimez un point de gestion dans l'entreprise. Veillez valuer l'environnement pour dterminer s'il existe des autorisations ou d'autres ressources qui dpendent du groupe. La suppression d'un groupe est une action importante qui peut avoir des consquences significatives. Lorsque vous supprimez un groupe, vous supprimez son SID. La recration du groupe avec le mme nom ne restaure pas les autorisations, car le SID du nouveau groupe est diffrent du celui du groupe d'origine. Avant de supprimer un groupe, il est recommand d'enregistrer ses membres et de supprimer tous les membres pendant une priode donne pour dterminer si les membres ont perdu leur accs aux ressources. En cas d'erreur, rajoutez simplement les membres. Si le test aboutit, supprimez le groupe.
4-66
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
Pour amliorer la gestion des accs aux ressources chez Contoso, Ltd., vous avez dcid d'implmenter la gestion base de rles. La premire application de la gestion base de rles consistera dterminer les personnes autorises accder aux informations des ventes. Vous devez crer des groupes qui grent l'accs aux informations sensibles. Les rgles de l'entreprise stipulent que les employs des services Sales et Marketing et les Consultants doivent pouvoir lire les dossiers des ventes. De plus, Bobby Moore ncessite un accs en lecture. Enfin, on vous a demand de rechercher un moyen de produire la liste des membres des groupes, y compris des membres des groupes imbriqus, et la liste des membres des groupes d'un utilisateur, y compris les membres indirects ou imbriqus.
4-67
2.
4-68
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3.
4-69
4.
Tapez ACL_ et appuyez sur ENTRE. Notez que lorsque vous utilisez un prfixe pour les noms de groupe, tel que ACL_ pour les groupes d'accs aux ressources, vous pouvez les retrouver rapidement.
5. 6. 7.
Cliquez sur ACL_Sales Folders_Read et sur OK. Vrifiez que le groupe a t affect de l'autorisation de lecture et d'excution. Cliquez sur OK pour fermer la bote de dialogue ouverte.
4-70
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2.
Dans Utilisateurs et ordinateurs Active Directory, vrifiez que les membres du groupe Auditors incluent Mike Danseglio et le groupe Finance Managers.
3.
Affichez la liste de complte des membres directs du groupe Auditors en tapant la commande suivante et en appuyant sur ENTRE :
dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com" -members expand
4-71
4.
Affichez la liste complte des membres du groupe ACL_Sales Folders_Read en tapant la commande suivante et en appuyant sur ENTRE :
dsget group "CN=ACL_Sales Folders_Read,OU=Access, OU=Groups,DC=contoso,DC=com" -members -expand
5.
Affichez la liste des membres directs du groupe Mike Danseglio en tapant la commande suivante et en appuyant sur ENTRE :
dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts, DC=contoso,DC=com" memberof
6.
Affichez la liste complte des membres du groupe Mike Danseglio en tapant la commande suivante et en appuyant sur ENTRE :
dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts, DC=contoso,DC=com" memberof -expand
Rsultats : Dans cet exercice, vous avez implment une gestion base de rles simple pour grer l'accs en lecture au dossier Sales.
4-72
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Exercice 3 (facultatif avanc) : Explorer les outils de gnration de rapports des membres des groupes
Les exercices avancs facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplmentaires. Le corrig de l'atelier pratique ne contient pas de rponses. Les tches principales de cet exercice sont les suivantes : 1. 2. Ouvrez D:\AdminTools\Members_Report.hta. Entrez le nom d'un groupe et cliquez sur Rapport. Ouvrez D:\AdminTools\MemberOf_Report.hta. Entrez le nom d'un utilisateur, d'un ordinateur ou d'un groupe et cliquez sur Rapport.
4-73
Remarque : n'arrtez pas les ordinateurs virtuels lorsque vous avez termin l'atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans l'atelier pratique B.
4-74
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 3
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : documenter la fonction d'un groupe en utilisant les attributs du groupe ; protger un groupe contre la suppression accidentelle ; dlguer la gestion des membres des groupes en utilisant l'onglet Gr par ; expliquer les groupes secondaires ; expliquer les groupes par dfaut (intgrs) ; expliquer les identits spciales.
4-75
Points cls
La cration d'un groupe dans Active Directory est simple. Mais il n'est pas aussi simple de dterminer si le groupe est utilis correctement. Vous pouvez faciliter la gestion et l'utilisation d'un groupe en documentant sa fonction pour indiquer aux administrateurs quand et comment utiliser le groupe. Il existe plusieurs meilleures pratiques qui, bien qu'elles ne feront vraisemblablement pas partie des questions de l'examen de certification, s'avrent trs utiles pour administrer les groupes dans l'entreprise.
4-76
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
tablir et respecter une convention d'affectation de nom stricte Une convention d'affectation de nom a t propose dans une leon prcdente. Dans le contexte de l'administration des groupes, l'tablissement et le respect des normes d'affectation de nom amliorent la productivit des administrateurs. En utilisant des prfixes pour indiquer la fonction d'un groupe et en utilisant un dlimiteur cohrent entre le prfixe et la partie descriptive des noms de groupe, vous pouvez permettre aux utilisateurs de rechercher le groupe correspondant une fonction donne. Par exemple, le prfixe APP peut tre utilis pour dsigner des groupes qui servent grer les applications et le prfixe ACL, pour les groupes affects d'autorisations dans les listes de contrle d'accs. Ces prfixes facilitent la recherche et l'interprtation de la fonction des groupes, tels que APP_Accounting et ACL_Accounting_Read, le premier tant utilis pour grer le dploiement du logiciel de comptabilit et le second pour fournir l'accs en lecture au dossier de comptabilit. Les prfixes permettent galement regrouper les noms des groupes dans l'interface utilisateur. La capture d'cran ci-dessous montre un exemple :
Lorsque vous recherchez un groupe utiliser pour affecter des autorisations un dossier, vous pouvez taper le prfixe ACL_ dans la bote de dialogue de slection et cliquer sur OK. La bote de dialogue Noms multiples trouvs apparat en indiquant uniquement les groupes ACL_ dans l'annuaire, ce qui permet d'affecter des autorisations un groupe destin grer les accs aux ressources.
4-77
Rsumer la fonction d'un groupe avec son attribut de description Utilisez l'attribut de description d'un groupe pour rsumer la fonction du groupe. tant donn que la colonne Description est active par dfaut dans le volet des dtails du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, les administrateurs peuvent identifier trs clairement la fonction du groupe. Dtailler la fonction d'un groupe dans ses commentaires Lorsque vous ouvrez la bote de dialogue des proprits, la zone de commentaires se trouvent au bas de l'onglet Gnral. Vous pouvez utiliser cette zone pour documenter la fonction du groupe. Par exemple, vous pouvez afficher la liste des dossiers auxquels un groupe est autoris accder, comme indiqu ci-dessous :
4-78
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Protgez-vous contre la suppression accidentelle d'un groupe qui peut avoir des consquence considrables en protgeant chaque groupe que vous crez contre la suppression. Windows Server 2008 facilite la protection des objets contre la suppression. Pour protger un objet, procdez comme suit : 1. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez sur le menu Affichage et cochez la case Fonctionnalits avances. Ouvrez la bote de dialogue Proprits d'un groupe. Dans l'onglet Objet, cochez la case Protger lobjet des suppressions accidentelles. Cliquez sur OK.
2. 3. 4.
4-79
Il s'agit de l'un des quelques emplacements de Windows dans lesquels vous devez rellement cliquer sur OK. Si vous cliquez sur Appliquer, vous ne modifiez pas l'ACL en fonction de votre slection. L'option Protger lobjet des suppressions accidentelles applique une entre de contrle d'accs (ACE) l'ACL de l'objet qui empche explicitement le groupe Tout le monde d'effectuer des suppressions et de supprimer une sous-arborescence. Si vous voulez supprimer le groupe, vous pouvez retourner dans l'onglet Objet de la bote de dialogue des proprits et dslectionner la case Protger lobjet des suppressions accidentelles. La suppression d'un groupe a un impact considrable sur les administrateurs et ventuellement sur la scurit. Supposez que vous disposiez d'un groupe utilis pour grer l'accs aux ressources. Si vous supprimez le groupe, l'accs aux ressources change. Les utilisateurs qui devraient pouvoir accder aux ressources ne peuvent plus y accder soudainement, ce qui cre un dnis de service ou si vous avez utilis le groupe pour interdire l'accs une ressource avec un refus d'autorisation, il devient possible d'accder la ressource. De plus, si vous recrez le groupe, le nouvel objet groupe dispose d'un nouvel identificateur de scurit (SID) qui ne correspond pas aux SID dans les ACL des ressources. Par consquent, vous devez restaurer l'objet pour ractiver le groupe supprim avant que le dlai de dsactivation soit atteint. Lorsqu'un groupe est supprim pendant le dlai de dsactivation (60 jours par dfaut), le groupe et son SID sont supprims dfinitivement d'Active Directory. Lorsque vous ractivez un objet dsactiv, vous devez recrer la plupart de ses attributs, notamment principalement, l'attribut member des objets groupe. Cela implique que vous devez recrer les membres du groupe aprs avoir restaur l'objet supprim. Vous pouvez galement excuter une restauration faisant autorit ou, dans Windows Server 2008, utiliser vos captures instantanes Active Directory pour restaurer le groupe et ses membres. La restauration faisant autorit et les captures instantanes sont traites dans le module 13. Pour en savoir plus sur la restauration des groupes supprims et de leurs membres, consultez l'article 840001 dans la base de connaissances accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168758. De manire gnrale, il convient de souligner que la restauration d'un groupe devrait tre excute uniquement dans le cadre d'un exercice d'incendie et non pas dans un environnement de production.
4-80
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Aprs avoir cr un groupe, vous pouvez dlguer la gestion de ses membres une quipe ou une personne responsable de la ressource que gre le groupe. Supposez que votre directeur financier doive crer le budget du prochain exercice. Vous crez un dossier pour le budget et affectez l'autorisation d'criture au groupe ACL_Budget_Edit. Si une personne doit accder au dossier du budget, elle contacte l'assistance pour faire la demande, l'assistance contacte le directeur financier pour l'approbation, puis l'assistance ajoute la personne au groupe ACL_Budget_Edit. Vous pouvez amliorer la ractivit et la partie dcisionnelle du processus en autorisant le directeur financier changer les membres du groupe. Ainsi, les utilisateurs qui doivent disposer d'un accs peuvent le demander directement au directeur financier qui peut effectuer la modification en liminant l'tape du contact de l'assistance. Pour dlguer la gestion des membres d'un groupe, vous devez affecter au responsable financier l'autorisation Allow Write Member (Autoriser criture de membre). L'attribut member est l'attribut plusieurs valeurs qui est le membre du groupe.
4-81
La mthode la plus simple pour dlguer la gestion des membres d'un groupe consiste utiliser l'onglet Gr par. L'onglet Gr par de la bote de dialogue des proprits d'un objet groupe est reprsente ci-dessous :
Cet onglet a deux fonctions. Il fournit les informations de contact associes au responsable d'un groupe. Vous pouvez utiliser ces informations pour contacter le propritaire d'un groupe pour obtenir l'approbation avant d'ajouter un utilisateur un groupe. Il permet de grer la dlgation de l'attribut member. Notez la case cocher indique ci-dessus. Elle s'appelle Le gestionnaire peut mettre jour la liste des membres. Lorsque vous la slectionnez, l'utilisateur ou le groupe qui figure dans le champ Nom reoit l'autorisation Allow Write Member. Si vous changez ou supprimez le gestionnaire, la modification approprie est rpercute dans l'ACL du groupe.
Conseil : vous devez cliquer sur OK pour implmenter la modification. Si vous cliquez sur Appliquer vous ne changez pas l'ACL du groupe.
4-82
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Insrer un groupe dans l'onglet Gr par d'un autre groupe n'est pas si simple. Lorsque vous cliquez sur le bouton Modifier, la bote de dialogue de slection d'un utilisateur, d'un contact ou d'un groupe s'affiche. Si vous entrez le nom d'un groupe et cliquez sur OK, une erreur se produit, car cette bote de dialogue n'est pas configure pour accepter les groupes comme types d'objets valides, mme si la bote de dialogue s'appelle Groupe. Pour rsoudre cette limitation trange, cliquez sur le bouton Types d'objets et cochez la case ct de Groupes. Cliquez sur OK pour fermer les botes de dialogue Types d'objets et Slectionner. Veillez cochez la case Le gestionnaire peut mettre jour la liste des membres si vous voulez affecter l'autorisation Allow Write Member au groupe. Lorsque vous utilisez un groupe dans l'onglet Gr par, aucune information de contact n'est visible, car les groupes ne contiennent pas d'attributs de contact.
Aprs avoir dlgu la gestion des membres d'un groupe, un utilisateur ne ncessite pas que Utilisateurs et ordinateurs modifie les membres du groupe. Un utilisateur peut simplement utiliser la fonction Rechercher dans Active Directory des clients Windows pour rechercher le groupe et changer ses membres. Pour rechercher un groupe : 1. 2. 3. Cliquez sur Dmarrer et sur Rseau. Cliquez sur le bouton Rechercher dans Active Directory dans la barre d'outils. Tapez le nom du groupe et cliquez sur Rechercher.
4-83
Points cls
Un certain nombre de groupes sont crs automatiquement sur un serveur Windows Server 2008. Ces groupes s'appellent des groupes locaux par dfaut qui comprennent des groupes familiers, tels que Administrateurs, Oprateurs de sauvegarde et Utilisateurs du Bureau distance. D'autres groupes sont crs dans un domaine, savoir dans les conteneurs BUILTIN et Users, notamment Admins du domaine, Administrateurs de l'entreprise et Administrateurs du schma. La liste suivante rpertorie les fonctions du sous-ensemble de groupes par dfaut qui ont des autorisations et des droits significatifs associs la gestion d'Active Directory. Administrateurs de l'entreprise (conteneur Users du domaine racine de la fort) Ce groupe est membre du groupe Administrateurs dans chaque domaine de la fort, ce qui lui permet d'accder la configuration de tous les contrleurs du domaine. Il dtient galement la partition Configuration de l'annuaire et contrle compltement le contexte d'affectation de nom de domaine dans tous les domaines de la fort.
4-84
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Administrateurs du schma (conteneur Users du domaine racine de la fort) Ce groupe est propritaire du schma Active Directory et le contrle compltement. Administrateurs (conteneurs BUILTIN de chaque domaine) Ce groupe contrle compltement tous les contrleurs et donnes du domaine dans le contexte d'affectation de nom de domaine. il peut changer les membres de tous les groupes d'administration du domaine et le groupe Administrateurs du domaine racine de la fort peut changer les membres de Admins du domaine, Administrateurs de l'entreprise et Administrateurs du schma. Le groupe Administrateurs dans le domaine racine de la fort est sans conteste le groupe d'administration de services le plus puissant de la fort. Admins du domaine (conteneur Users de chaque domaine) Ce groupe est ajout au groupe Administrateurs de son domaine. Par consquent, il hrite des fonctions du groupe Administrateurs. Par dfaut, il est galement ajout au groupe local Administrateurs de chaque ordinateur membre du domaine, ce qui lui donne la proprit Admins du domaine de tous les ordinateurs du domaine. Oprateurs de serveur (conteneurs BUILTIN de chaque domaine) Ce groupe peut excuter des tches de maintenance sur les contrleurs du domaine. Il peut ouvrir des sessions localement, dmarrer et arrter les services, excuter des sauvegardes et des restaurations, crer ou supprimer des partages et arrter les contrleurs du domaine. Par dfaut, ce groupe ne contient pas de membres. Oprateurs de compte (conteneurs BUILTIN de chaque domaine) Ce groupe peut crer, modifier et supprimer des comptes pour des utilisateurs, des groupes et des ordinateurs situs dans les units d'organisation du domaine (sauf l'UO Domain Controllers) et dans le conteneur Users et Computers. Les oprateurs de compte ne peuvent pas modifier les comptes membres des groupes Administrateurs ou Admins de domaine et ils ne peuvent pas non plus modifier ces groupes. Les oprateurs peuvent aussi ouvrir des sessions localement sur les contrleurs du domaine. Par dfaut, ce groupe ne contient pas de membres. Oprateurs de sauvegarde (conteneurs BUILTIN de chaque domaine) Ce groupe peut excuter des sauvegardes et des restaurations sur les contrleurs du domaine, ouvrir des sessions localement et arrter les contrleurs du domaine. Par dfaut, ce groupe ne contient pas de membres.
4-85
Oprateurs d'impression (conteneurs BUILTIN de chaque domaine) Ce groupe peut grer les files d'attente dans les contrleurs du domaine. Il peut aussi ouvrir des sessions localement et arrter les contrleurs du domaine. Les groupes par dfaut qui fournissent des privilges d'administration doivent tre grs avec prcaution, parce que ils disposent gnralement de privilges plus tendus que ncessaire pour la plupart des environnements dlgus et qu'ils appliquent souvent une protection leurs membres. Le groupe Oprateurs de compte est un parfait exemple. Si vous examinez ses fonctions dans la liste ci-dessus, vous constatez qu'il dispose de droits trs tendus. Il peut mme ouvrir des sessions localement sur un contrleur du domaine. Dans les trs petites entreprises, ces droits sont probablement appropris pour une ou deux personnes qui sont vraisemblablement des administrateurs de domaine. Dans les grandes entreprises, les droits et autorisations accords aux oprateurs de compte sont gnralement beaucoup trop tendus. De plus, le groupe Oprateurs de compte, l'instar des autres groupes d'administration ci-dessus, est un groupe protg. Les groupes protgs sont dfinis par le systme d'exploitation et leur protection ne peut pas tre annule. Les membres d'un groupe protg sont protgs. La protection modifie les autorisations (ACL) des membres pour qu'ils n'hritent plus des autorisations de leur UO, mais pour qu'ils reoivent une copie de l'ACL qui est trs restrictive. Si, par exemple, vous ajoutez Jeff Ford au groupe Oprateurs de compte, son compte est protg et l'assistance, qui peut rinitialiser les mots de passe de tous les utilisateurs de l'UO Employees, ne peut pas rinitialiser le mot de passe de Jeff Ford. Pour plus d'informations sur les comptes protgs, voir l'article 817433 dans la base de donnes accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168759 et l'article 840001 accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168760. Si vous voulez rechercher des ressources sur Internet, utilisez le mot cl adminSDHolder. Pour ces raisons, surdlgation et protection, vitez d'ajouter des utilisateurs aux groupes ci-dessous qui ne contiennent pas de membre par dfaut : Oprateurs de compte, Oprateurs de sauvegarde, Oprateurs de serveur et Oprateurs d'impression. la place, crez des groupes personnaliss en leur affectant des autorisations et des droits d'utilisateur qui rpondent aux besoins de l'entreprise et d'administration.
4-86
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Par exemple, si Scott Mitchell doit pouvoir excuter des sauvegardes et des restaurations sur un contrleur du domaine, mais ne doit pas tre autoris effectuer des restaurations qui risquent de restaurer la base de donnes ou de l'endommager et arrter un contrleur du domaine, ne placez pas Scott dans le groupe Oprateurs de sauvegarde. la place, crez un groupe et affectez-lui uniquement le droit d'utilisateur Sauvegarder les fichiers et les rpertoires, puis ajoutez Scott ce groupe. Vous trouverez sur Microsoft TechNet une rfrence complte aux groupes par dfaut dans un domaine et aux groupes locaux par dfaut. Si les groupes par dfaut et leurs fonctions ne vous sont pas familiers, prparez l'examen en les consultant. La rfrence aux groupes de domaine par dfaut est accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168761 et celle des groupes locaux par dfaut, l'adresse http://go.microsoft.com/fwlink/?LinkId=168762.
4-87
Identits spciales
Points cls
Windows et Active Directory prennent en charge des identits spciales, des groupes dont les membres sont contrls par le systme d'exploitation. Vous ne pouvez pas afficher les groupes d'une liste (dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, par exemple), ni afficher ou modifier les membres de ces identits spciales, ni les ajouter d'autres groupes. Toutefois, vous pouvez utiliser ces groupes pour affecter des droits et des autorisations. Les identits spciales les plus importantes, gnralement appeles groupes, par souci de commodit, sont dcrites ci-dessous : Ouverture de session anonyme. Cette identit reprsente les connexions un ordinateur et ses ressources tablies sans fournir un nom d'utilisateur et un mot de passe. Avant Windows Server 2003, ce groupe tait membre du groupe Tout le monde. Depuis Windows Server 2003, ce groupe n'est plus un membre par dfaut du groupe Tout le monde. Utilisateurs authentifis. Il s'agit des identits qui ont t authentifies. Ce groupe ne contient pas Invit, mme si le compte Invit a un mot de passe.
4-88
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Tout le monde. Cette identit inclut les utilisateurs authentifis et le compte Invit. Sur les ordinateurs sur lesquels des versions Windows antrieures Windows Server 2003 sont excutes, ce groupe contient Ouverture de session anonyme. Interactif. Il s'agit des utilisateurs qui accdent une ressource lorsqu'ils ont ouvert une session localement sur un ordinateur qui hberge la ressource au lieu d'accder cette dernire sur le rseau. Ds quun utilisateur accde une ressource sur un ordinateur sur lequel il a ouvert une session localement, l'utilisateur est ajout automatiquement au groupe Interactif de la ressource. Le groupe Interactif contient galement les utilisateurs qui ont ouvert une session via une connexion Bureau distance. Rseau. Il s'agit des utilisateurs qui accdent une ressource sur le rseau et non pas des utilisateurs qui ont ouvert une session localement sur l'ordinateur qui hberge la ressource. Lorsqu'un utilisateur accde une ressource sur le rseau, il est ajout automatiquement au groupe Rseau de la ressource.
Ces identits sont importantes dans la mesure o elles permettent de fournir un accs aux ressources en fonction du type d'authentification ou de la connexion et non pas du compte d'utilisateur. Par exemple, vous pouvez crer un dossier sur un systme qui permet aux utilisateurs d'afficher son contenu lorsqu'ils ouvrent une session localement sur le systme, mais pas le contenu d'un lecteur mapp sur le rseau. Pour leur permettre de l'afficher, il est ncessaire d'affecter des autorisations l'identit spciale Interactif.
4-89
Scnario
Votre implmentation de la gestion base de rles chez Contoso est trs efficace. Le nombre de groupes dans le domaine ayant augment, vous constatez qu'il est important de documenter les groupes soigneusement et d'empcher les administrateurs de supprimer accidentellement un groupe. Enfin, vous voulez permettre aux propritaires des ressources de l'entreprise de grer les accs aux ressources en dlgant aux propritaires le droit de modifier les membres des groupes.
4-90
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2.
4-91
Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
4-92
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
d. Excutez le script. e. f. g. h. 4. Vrifiez que le groupe contient le nouvel utilisateur. Dsactivez le nouveau compte d'utilisateur et transfrez l'utilisateur vers l'UO Comptes dsactivs. Excutez le script. Vrifiez que le groupe ne contient plus l'utilisateur.
Si vous avez le temps, crez une tche planifie qui excute le script toutes les minutes. Rptez la squence de test, mais autorisez l'excution de la tche planifie au lieu d'excuter le script.
4-93
Vous pouvez comparer le script de commandes D:\Labfiles\Lab04b\Shadow_Group.bat. Notez que les commandes DS permettent de grer un groupe secondaire, mais pas efficacement. La suppression de tous les membres et le rajout des membres augmente inutilement le trafic de rplication, notamment pour un grand groupe secondaire comportant des centaines, voire des milliers de membres. Vous pouvez utiliser un langage de script, tel que VBScript ou Windows PowerShell, pour crer un script plus efficace qui met jour les membres des groupes avec les modifications au lieu de les remplacer. Voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008) pour exemple de script.
5-1
Module 5
Prise en charge des comptes d'ordinateur
Table des matires :
Leon 1 : Cration d'ordinateurs et jonction au domaine Atelier pratique A : Cration d'ordinateurs et jonction au domaine Leon 2 : Administration des objets et des comptes d'ordinateur Atelier pratique B : Administration des objets et des comptes d'ordinateur 5-4 5-34 5-42 5-62
5-2
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Les ordinateurs au sein d'un domaine sont des entits de scurit, tout comme les utilisateurs. Ils possdent un compte avec un nom douverture de session et un mot de passe que Windows change automatiquement environ tous les mois. Ils sauthentifient auprs du domaine. Ils peuvent appartenir des groupes, avoir accs des ressources et tre configurs via la Stratgie de groupe. Et, linstar des utilisateurs, les ordinateurs perdent parfois la trace de leurs mots de passe, ce qui ncessite une rinitialisation, ou ils possdent des comptes qui ont besoin dtre activs ou dsactivs. L'administration des ordinateurs, aussi bien des objets dans Active Directory que des appareils physiques, est l'une des tches quotidiennes de la plupart des professionnels de l'informatique. De nouveaux systmes sont ajouts votre organisation, des ordinateurs sont mis hors connexion pour tre rpars, des machines sont changes entre utilisateurs ou rles, et lquipement ancien est dclass ou mis niveau, tape ultime avant le remplacement des systmes. Chacune de ces activits demande de grer lidentit des ordinateurs reprsents par leur objet, ou compte, et Active Directory.
5-3
Il est regrettable que la majorit des entreprises ne fassent pas preuve d'autant d'attention et de rigueur dans la cration et la gestion des comptes d'ordinateur que pour les comptes d'utilisateur, bien qu'il s'agisse dans les deux cas d'entits de scurit. Dans ce chapitre, vous allez apprendre crer des objets ordinateur dots des attributs ncessaires pour en faire des comptes. Vous apprendrez assurer le support des comptes dordinateurs tout au long de leur cycle de vie, ce qui comprend la configuration, la rsolution des problmes, la rparation et la mise hors service des objets ordinateur. Vous aurez galement loccasion dapprofondir vos connaissances sur la faon de joindre un ordinateur un domaine, ce qui vous permettra didentifier et dviter les points de dfaillance potentiels.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : comprendre la relation entre un membre de domaine et le domaine en termes didentit et daccs ; identifier les conditions de jonction d'un ordinateur un domaine ; implmenter des processus recommands pour joindre des ordinateurs ; scuriser AD DS pour empcher la cration de comptes d'ordinateurs non grs ; grer les objets ordinateur et leurs attributs en utilisant l'interface Windows et les outils de ligne de commande ; administrer les comptes d'ordinateurs pendant leur cycle de vie ;
5-4
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 1
Dans la configuration par dfaut de Windows Server 2008, comme dans celle des autres versions de Windows Server et des systmes dexploitation clients, lordinateur appartient un groupe de travail. Pour pouvoir ouvrir une session sur un ordinateur avec un compte de domaine, cet ordinateur doit appartenir au domaine. Pour se joindre au domaine, lordinateur doit disposer dun compte dans le domaine. Comme pour un compte dutilisateur, ce compte possde un nom douverture de session (attribut sAMAccountName), un mot de passe et un identificateur de scurit (SID) qui reprsente de manire unique lordinateur en qualit d'entit de scurit du domaine. Ces informations didentification permettent lordinateur de sauthentifier auprs du domaine et de crer une relation scurise qui permet ensuite aux utilisateurs douvrir une session sur le systme avec des comptes de domaine. Dans cette leon, vous allez dcouvrir la procdure de prparation dun domaine pour un nouveau compte dordinateur, et vous explorerez le processus qui permet de joindre un ordinateur au domaine.
5-5
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : comprendre la relation entre un membre de domaine et le domaine en termes didentit et daccs ; identifier les conditions de jonction d'un ordinateur un domaine ; prdfinir un compte dordinateur ; joindre un ordinateur au domaine ; rediriger le conteneur ordinateur par dfaut ; empcher les utilisateurs non-administrateurs de crer des ordinateurs et de les joindre au domaine ; utiliser des outils de ligne de commande pour importer, crer et joindre des ordinateurs.
5-6
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Dans un groupe de travail, chaque systme dispose dun magasin didentits de comptes dutilisateurs et de groupes partir duquel les utilisateurs peuvent sauthentifier et tablir un accs. Le magasin didentits local de chaque ordinateur correspond une base de donnes SAM (Security Accounts Manager). Si un utilisateur ouvre une session sur un ordinateur du groupe de travail, le systme authentifie lutilisateur par rapport sa base de donnes SAM locale. Si lutilisateur se connecte un autre systme (par exemple, pour accder un fichier), lutilisateur est rauthentifi par rapport au magasin didentits du systme distant. Du point de vue de la scurit, un ordinateur de groupe de travail est dans la pratique un systme autonome.
5-7
Lorsquun ordinateur se joint un domaine, il dlgue la tche dauthentification des utilisateurs au domaine. Mme si lordinateur dispose toujours de sa base de donnes SAM pour grer les comptes dutilisateurs et de groupes locaux, les comptes dutilisateurs sont gnralement crs dans lannuaire central du domaine. Lorsquun utilisateur ouvre une session sur lordinateur avec un compte de domaine, lutilisateur est alors authentifi par un contrleur de domaine, et non par le SAM. Autrement dit, lordinateur se fie dsormais une autre autorit pour valider lidentit dun utilisateur. Si lon parle gnralement de relations dapprobation dans le contexte de deux domaines, comme vous le verrez dans un autre module, une relation dapprobation stablit galement entre chaque ordinateur et le domaine dont il est membre au moment o lordinateur se joint au domaine.
5-8
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Les conditions remplir pour joindre un ordinateur un domaine Active Directory sont au nombre de trois : un objet ordinateur doit tre cr dans le service dannuaire ; vous devez disposer des autorisations adquates sur lobjet ordinateur. Ces autorisations vous permettent de joindre un ordinateur au domaine avec le mme nom que lobjet ; vous devez tre membre du groupe Administrateurs local sur lordinateur pour modifier son appartenance au domaine ou au groupe de travail.
5-9
Points cls
Pour pouvoir crer un objet ordinateur dans le service dannuaire (la premire des trois conditions requises pour joindre un ordinateur au domaine), vous devez disposer dun emplacement prvu cet effet. Conteneur Computers par dfaut Lorsque vous crez un domaine, le conteneur des ordinateurs est cr par dfaut (CN=Computers). Ce conteneur nest pas une unit dorganisation (UO). Il sagit dun objet de type conteneur. Les diffrences entre un conteneur et une UO sont subtiles mais importantes : vous ne pouvez pas crer dUO dans un conteneur, ce qui vous interdit de subdiviser lUO Computers, et vous ne pouvez pas lier un objet Stratgie de groupe un conteneur. Par consquent, il est vivement recommand de crer des UO personnalises pour hberger les objets ordinateur au lieu dutiliser le conteneur Computers.
5-10
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Des UO pour les ordinateurs La plupart des organisations crent au moins deux UO pour les objets ordinateur : une pour hberger les comptes dordinateurs des ordinateurs clients (ordinateurs de bureau, ordinateurs portables et autres systmes utilisateur) et un autre pour les serveurs. Ces deux UO sajoutent lUO Domain Controllers cre par dfaut lors de linstallation dActive Directory. Dans chacune de ces UO, des objets ordinateur sont crs. Du point de vue technique, il ny a aucune diffrence entre un objet ordinateur situ dans une UO de client et un objet ordinateur situ dans une UO de serveur ou de contrleur de domaine : les objets ordinateur sont des objets ordinateur. Mais des UO distinctes sont gnralement cres pour fournir des champs de gestion uniques de faon permettre de dlguer la gestion des objets client une quipe et celle des objets serveur une autre. Votre modle dadministration peut ncessiter une division plus pousse de vos UO de clients et serveurs. Bon nombre dorganisations crent des sous-UO en dessous dune UO de serveurs pour rassembler et grer des types spcifiques de serveurs (p. ex., une UO pour les serveurs de fichiers et dimpression et une UO pour les serveurs de bases de donnes). En procdant ainsi, lquipe dadministrateurs de chaque type de serveur peut dlguer des autorisations pour grer les objets ordinateur dans lUO approprie. De la mme faon, les organisations rparties gographiquement qui disposent dquipes locales de support des postes de travail ont souvent tendance diviser une UO parente pour les clients en sous-UO pour chaque site. Cette approche permet lquipe de support de chaque site de crer des objets ordinateur pour les ordinateurs clients du site et de joindre ces ordinateurs au domaine par le biais de ces objets ordinateur. Mais il ne sagit que dun exemple : le plus important est que votre structure dUO reflte votre modle dadministration de sorte que vos UO offrent des points de gestion uniques pour la dlgation de ladministration.
5-12
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
En outre, le fait de disposer dUO distinctes vous permet de crer diffrentes configurations de base reposant sur des objets de stratgie de groupe (GPO) distincts lis aux UO de clients et de serveurs. La Stratgie de groupe, examine en dtail dans un autre module, vous permet de spcifier une configuration pour des ensembles dordinateurs en liant des objets GPO qui contiennent des instructions de configuration pour les UO. Il est courant que les organisations sparent les clients en UO dordinateurs de bureau et dordinateurs portables. Les objets GPO spcifiant la configuration des ordinateurs de bureau ou des ordinateurs portables peuvent alors tre lis aux UO appropries. Si votre organisation dispose dune administration dcentralise base sur les sites et quelle entend grer des configurations uniques pour les ordinateurs de bureau et les ordinateurs portables, vous faites face un dilemme au niveau de la conception : avez-vous intrt diviser votre UO de clients en fonction de ladministration et de subdiviser ensuite les ordinateurs de bureau et les ordinateurs portables, ou bien est-il prfrable de diviser votre UO de clients en UO dordinateurs de bureau et dordinateurs portables pour ensuite les subdiviser en fonction de ladministration ? Ces cas de figure sont illustrs ci-dessous.
Le principal moteur de la conception dUO Active Directory tant de dlguer efficacement ladministration par lhritage de listes de contrle daccs (ACL, access control list) au niveau des UO, cest la conception de gauche qui serait recommande.
5-13
5-14
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Vous pouvez et avez tout intrt crer un compte dordinateur dans lUO correcte avant de joindre lordinateur au domaine. Prdfinir un ordinateur consiste crer un compte dordinateur lavance.
5-15
Ds lors que vous avez obtenu lautorisation de crer des objets ordinateur, vous pouvez vous lancer en cliquant avec le bouton droit sur lUO et en choisissant Ordinateur dans le menu Nouveau. La bote de dialogue Nouvel objet Ordinateur illustre ci-dessous s'affiche l'cran :
Entrez le nom dordinateur, en respectant la convention daffectation de noms de votre entreprise, et slectionnez lutilisateur ou le groupe qui doit pouvoir joindre lordinateur au domaine partir de ce compte. Les deux noms d'ordinateur Nom d'ordinateur et Nom d'ordinateur (antrieur Windows 2000) doivent tre identiques : les cas o leur configuration spare se justifie sont trs rares, pour ne pas dire inexistants.
Remarque : les autorisations appliques lutilisateur ou au groupe que vous slectionnez dans lAssistant sont plus que suffisantes pour joindre simplement un ordinateur au domaine. Lutilisateur ou le groupe slectionn a galement la possibilit de modifier lobjet ordinateur selon dautres mthodes. Pour obtenir des conseils pour une approche de dlgation de lautorisation de joindre un ordinateur un domaine base sur le principe des privilges minimum, voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008).
5-16
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Lorsque vous crez un compte dordinateur avant de joindre lordinateur au domaine, on dit que vous prdfinissez un compte. Le principe de prdfinir un ordinateur revt deux avantages majeurs : le compte se trouve dans lUO correcte et les dlgations dont elle bnficie dpendent de la stratgie de scurit dfinie par la liste ACL de lUO ; lordinateur se trouve dans la porte des objets GPO lis lUO, avant que lordinateur soit joint au domaine.
5-17
Points cls
En prdfinissant lobjet ordinateur, vous rpondez aux deux premires conditions requises pour joindre un ordinateur un domaine : lobjet ordinateur existe et vous avez dsign la ou les personnes autorises joindre un ordinateur de mme nom au domaine. Maintenant, un administrateur local de lordinateur peut modifier lappartenance au domaine de lordinateur et entrer les informations didentification spcifies du domaine pour terminer le processus. Pour joindre un ordinateur au domaine, procdez comme suit : 1. Ouvrez une session sur lordinateur partir des informations didentification qui appartiennent au groupe Administrateurs local de lordinateur. Seuls les administrateurs locaux peuvent modifier lappartenance dun ordinateur un domaine ou un groupe de travail.
5-18
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2.
Ouvrez la bote de dialogue Proprits systme en employant lune des mthodes suivantes : Windows XP, Windows Server 2003 : Ouvrez la bote de dialogue Proprits systme en procdant de lune des manires suivantes : a. Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Proprits. Appuyez sur les touches Windows+Pause.
Windows Vista, Windows Server 2008 : Ouvrez la bote de dialogue Proprits systme en procdant de lune des manires suivantes : b. c. Cliquez avec le bouton droit sur Ordinateur, puis cliquez sur Proprits. Appuyez sur les touches Windows+Pause.
Dans la section Paramtres de nom dordinateur, de domaine et de groupe de travail, cliquez sur Modifier les paramtres. Si vous y tes invit par le Contrle du compte utilisateur, cliquez sur Continuer ou entrez les informations didentification dadministration, selon le cas.
3. 4. 5. 6.
Cliquez sur longlet Nom de lordinateur. Cliquez sur Modifier. Sous Membre de, cliquez sur Domaine. Tapez le nom du domaine auquel vous voulez vous joindre.
Remarque : utilisez le nom DNS complet du domaine. Outre la prcision et les chances de succs accrues, en cas dchec, vous aurez une indication de lexistence possible dun problme de rsolution de noms DNS quil conviendra de rectifier avant de joindre lordinateur au domaine.
5-19
7. 8.
Cliquez sur OK. Windows vous invite entrer les informations didentification de votre compte dutilisateur du domaine. Le domaine vrifie sil existe dj un objet ordinateur correspondant au nom de lordinateur. Trois cas de figure se prsentent alors : Si lobjet existe et quun ordinateur de ce nom a dj t joint au domaine, une erreur est retourne et vous ne pouvez pas joindre lordinateur au domaine. Si lobjet existe et quil est prdfini (un ordinateur de mme nom na pas t joint au domaine), le domaine confirme que les informations didentification de domaine que vous avez entres sont autorises se joindre au domaine partir de ce compte. Ces autorisations ont t dcrites dans la section Prdfinir un compte d'ordinateur . Si le compte dordinateur nest pas prdfini, Windows vrifie si vous disposez des autorisations ncessaires pour crer un objet dordinateur dans le conteneur ordinateur par dfaut. dfaut, lobjet est cr avec le nom de lordinateur. Cette mthode de jonction un domaine est prise en charge des fins de compatibilit descendante, mais elle n'est pas recommande. Il est conseill de prdfinir le compte comme indiqu prcdemment, et selon la procdure dcrite dans la prochaine section, Scuriser la cration d'ordinateurs et les jonctions .
Lordinateur se joint ensuite au domaine en prenant lidentit de son objet Active Directory. Il configure son identificateur de scurit (SID) de sorte qu'il corresponde celui du compte d'ordinateur de domaine et dfinit un mot de passe initial auprs du domaine. L'ordinateur effectue alors d'autres tches pour finaliser sa jonction au domaine. Il ajoute le groupe Admins du domaine au groupe Administrateurs local et le groupe Utilisateurs du domaine au groupe Utilisateurs local. 9. Vous tes invit redmarrer lordinateur. Cliquez sur OK pour fermer cette bote de message.
10. Cliquez sur Fermer (dans Windows Vista) ou sur OK (dans Windows XP) pour fermer la bote de dialogue Proprits systme. 11. Vous tes nouveau invit redmarrer lordinateur. Aprs quoi, le systme est membre part entire du domaine et vous pouvez ouvrir une session en utilisant les informations didentification de domaine.
5-20
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Prdfinir des objets ordinateur La meilleure pratique consiste prdfinir un compte dordinateur avant de joindre la machine au domaine. Malheureusement, Windows vous permet de joindre un ordinateur un domaine sans suivre cette recommandation. Vous pouvez ouvrir une session sur un ordinateur de groupe de travail en tant qu'administrateur local et modifier l'appartenance de l'ordinateur au domaine. la demande, Windows cre un objet ordinateur dans le conteneur Ordinateurs par dfaut, vous donne l'autorisation de joindre un ordinateur cet objet, puis procde la jonction du systme au domaine. Le comportement de Windows pose trois problmes : Tout dabord, le compte dordinateur cr automatiquement par Windows est plac dans le conteneur ordinateur par dfaut, auquel lobjet ordinateur nappartient pas dans la plupart des entreprises. Ensuite, vous devez dplacer lordinateur du conteneur ordinateur par dfaut vers lUO approprie, tape supplmentaire qui est souvent omise.
5-21
Enfin, un utilisateur du domaine peut aussi effectuer cette opration : aucune autorisation administrative au niveau du domaine n'est requise. Tout utilisateur peut joindre un ordinateur au domaine si vous ne contrlez ni ne scurisez le processus. Parce quun objet ordinateur est une entit de scurit et parce que le crateur dun objet ordinateur est propritaire de lobjet et quil peut modifier ses attributs, il existe une faille de scurit potentielle. Les sections suivantes prsentent en dtail ces inconvnients.
Configuration du conteneur par dfaut des ordinateurs Lorsque vous joignez un ordinateur au domaine et que l'objet ordinateur n'existe pas encore dans Active Directory, Windows cre automatiquement un compte d'ordinateur dans le conteneur par dfaut des ordinateurs, qui est appel Computers (CN=Computers,DC=domain, par dfaut). Le problme que cela soulve a un rapport avec la conception des UO traite plus haut dans cette leon. Si vous avez implment les recommandations dcrites dans cette section, vous avez dlgu des autorisations d'administration des objets ordinateur dans des UO spcifiques de clients et de serveurs. Par ailleurs, vous avez peut-tre reli des objets GPO ces UO pour grer la configuration de ces objets ordinateur. Si un nouvel objet ordinateur est cr lextrieur de ces UO, dans le conteneur par dfaut des ordinateurs, les autorisations et la configuration quil hrite de son conteneur parent seront diffrentes de ce quil aurait d recevoir. Vous devrez donc veiller dplacer lordinateur du conteneur par dfaut vers lUO approprie aprs lavoir joint au domaine. Vous pouvez limiter les chances de rencontrer ce problme en excutant deux tapes. En premier lieu, vous devez vous efforcer de toujours prdfinir des comptes dordinateurs. Si un compte est prdfini pour un ordinateur dans lUO approprie, au moment de se joindre au domaine, lordinateur utilisera le compte existant et sera soumis la dlgation et la configuration correctes. En deuxime lieu, pour limiter l'impact li la jonction de systmes au domaine sans comptes prdfinis, vous devez changer de conteneur ordinateur par dfaut de sorte qu'il ne s'agisse pas du conteneur Computers lui-mme, mais plutt d'une UO soumise la dlgation et la configuration appropries. Par exemple, si vous disposez dune UO appele Clients, vous pouvez donner instruction Windows dutiliser cette UO comme conteneur ordinateur par dfaut, de sorte que si des ordinateurs sont joints au domaine sans comptes prdfinis, les objets seront crs dans lUO Clients. La commande redircmp.exe est utilise pour rediriger le conteneur ordinateur par dfaut avec la syntaxe suivante :
5-22
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Ds lors, si un ordinateur se joint au domaine sans compte dordinateur prdfini, Windows cre lobjet ordinateur dans lunit dorganisation spcifie.
Remarque : redirection du conteneur utilisateur par dfaut. Les mmes concepts valent pour la cration de comptes dutilisateurs. Par dfaut, si un compte d'utilisateur est cr selon une pratique hrite qui ne spcifie pas d'UO pour le compte, l'objet est cr dans le conteneur utilisateur par dfaut (CN=Users,DC=domain, par dfaut). La commande redirusr.exe peut servir rediriger le conteneur par dfaut vers une UO relle ayant une dlgation et une configuration appropries. Redirusr, l'instar de redircmp, accepte une seule option : le nom unique (DN, distinguished name) de lUO qui deviendra le conteneur utilisateur par dfaut.
Limitation de la capacit des utilisateurs crer des ordinateurs Lorsquun compte dordinateur est prdfini, les autorisations au niveau du compte dterminent qui est autoris joindre cet ordinateur au domaine. Lorsquun compte nest pas prdfini, par dfaut, Windows autorise nimporte quel utilisateur authentifi crer un objet ordinateur dans le conteneur ordinateur par dfaut. De fait, Windows permet un utilisateur authentifi de crer 10 objets ordinateur dans le conteneur ordinateur par dfaut. Par dfaut, le crateur dun objet ordinateur est autoris joindre cet ordinateur au domaine. Cest par ce mcanisme que nimporte quel utilisateur peut joindre 10 ordinateurs au domaine sans disposer explicitement des autorisations prvues cette fin. Le quota de 10 ordinateurs est configur par lattribut ms-DSMachineAccountQuota du domaine. Il autorise nimporte quel utilisateur authentifi joindre un ordinateur au domaine, sans aucun questionnement. Sur le plan de la scurit, cela pose problme car les ordinateurs sont des entits de scurit. Et le crateur d'une entit de scurit est autoris grer les proprits de cet ordinateur. Dune certaine manire, le quota revient autoriser un utilisateur du domaine crer 10 comptes dutilisateurs sans aucun contrle. Il est vivement recommand de combler cette lacune de telle sorte que les utilisateurs non-administrateurs ne puissent pas joindre dordinateurs au domaine. Pour modifier lattribut ms-DS-MachineAccountQuota, procdez comme suit : 1. 2. Ouvrez la console MMC diteur ADSI partir du dossier Outils dadministration. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion.
5-23
3.
Dans la section Point de connexion, cliquez sur Slectionnez un contexte dattribution de noms connu, puis slectionnez Contexte dattribution de noms par dfaut dans la liste droulante. Cliquez sur OK. Dans larborescence de la console, dveloppez Contexte dattribution de noms par dfaut. Cliquez avec le bouton droit sur le dossier du domaine ( dc=contoso,dc=com , par exemple), puis cliquez sur Proprits. Cliquez sur ms-DS-MachineAccountQuota et sur Modifier. Tapez 0. Cliquez sur OK.
4. 5. 6. 7. 8. 9.
Le groupe Utilisateurs authentifis se voit galement attribuer le droit dutilisateur dajouter des stations de travail au domaine, mais vous navez pas besoin de modifier ce droit si vous avez modifi la valeur par dfaut de lattribut ms-DSMachineAccountQuota. Aprs avoir dfini la valeur 0 pour lattribut ms-DS-MachineAccountQuota, vous tes assur que les seuls utilisateurs en mesure dajouter des ordinateurs au domaine sont ceux qui une autorisation de joindre des objets ordinateur prdfinis ou de crer des objets ordinateur leur a t spcifiquement dlgue. Ds lors que vous avez combl cette lacune, vous devez vous assurer davoir attribu aux administrateurs appropris une autorisation explicite de cration dobjets ordinateur dans les UO appropries, comme dcrit dans la section Dlgation dautorisations de cration dordinateurs . Sinon, le message derreur suivant saffichera.
5-24
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Dlgation de la gestion dordinateur La quatrime tche visant amliorer la scurit des comptes dordinateurs est de dlguer les tches de gestion dordinateur au niveau de lUO. La dlgation est traite dans le module 8. Les commandes DSACLs suivantes peuvent tre utilises pour dlguer des tches de gestion dordinateur : Crer un ordinateur :
dsacls "nom de domaine de lUO" /I:T /G "DOMAINE\groupe":CC;computer
Supprimer un ordinateur :
dsacls "nom de domaine de lUO" /I:T /G "DOMAINE\groupe":DC;computer
Les quatre commandes rpertories ci-dessus doivent tre entres linvite de commandes sans ajouter despace aprs les deux-points. Dplacer un ordinateur Ncessite des autorisations de suppression dordinateurs dans lUO source et de cration dordinateurs dans lUO de destination. Mme si un dplacement ne supprime ni ne cre rellement le compte, il sagit de lautorisation utilise pour le contrle daccs.
Question : quels sont les deux facteurs qui dterminent si vous pouvez joindre un compte dordinateur au domaine ?
5-25
Points cls
La mthode de cration dun compte dordinateur que vous avez apprise peut devenir contraignante si vous tes charg de crer des dizaines, voire des centaines, de comptes dordinateurs la fois. Certaines commandes, telles que CSVDE, LDIFDE et DSAdd, permettent dimporter des objets ordinateur et den automatiser la cration. Des scripts peuvent galement vous permettre de fournir des objets ordinateur, c'est--dire, de mettre en uvre une logique mtier telle que lapplication de conventions daffectation de noms dordinateurs.
5-26
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
CSVDE est un outil de ligne de commande qui permet dimporter ou dexporter des objets Active Directory de et vers un fichier texte spar par des virgules (galement appel fichier texte de valeurs spares par des virgules, ou fichier .csv). La commande CSVDE utilise la syntaxe de base suivante :
csvde [-i] [-f "Nom de fichier"] [-k]
Loption -i spcifie le mode importation. Sans elle, le mode par dfaut de CSVDE est lexportation. Loption -f identifie le nom du fichier importer ou exporter. Loption -k est utile lors des oprations dimportation, car elle donne instruction CSVDE dignorer des erreurs, telles que Lobjet existe dj , violation de contrainte ou Lattribut ou la valeur existe dj .
5-27
Les fichiers dlimits par des virgules peuvent tre crs, modifis et ouverts avec des outils courants, tels que Bloc-notes et Microsoft Office Excel. La premire ligne du fichier dfinit les attributs par leur nom dattribut LDAP (Lightweight Directory Access Protocol). Les objets suivent sur une ligne distincte et doivent contenir exactement les attributs figurant sur la premire ligne. Un exemple de fichier affich dans Excel vous est prsent ci-dessous.
Lors de limportation dordinateurs, veillez inclure lattribut userAccountControl, et affectez-lui la valeur 4096. Cet attribut garantit que lordinateur pourra se joindre au compte. De mme, incluez le nom douverture de session antrieur Windows 2000 de lordinateur, lattribut sAMAccountName, qui est le nom de lordinateur suivi dun symbole dollar ($), comme illustr ci-dessus.
5-28
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
LDIFDE.exe importe des donnes partir de fichiers au format LDIF (Lightweight Directory Access Protocol Data Interchange Format). Les fichiers LDIF sont des fichiers texte dans lesquels des oprations sont dfinies par un bloc de lignes spar par une ligne blanche. Chaque opration commence par l'attribut DN de l'objet qui est la cible de l'opration. La ligne suivante, changeType, dfinit le type de l'opration : add (ajouter), modify (modifier) ou delete (supprimer).
5-29
Le listing ci-dessous est un fichier LDIF destin crer un compte dordinateur dans lUO Servers :
dn: CN=FILE25,OU=File,OU=Servers,DC=contoso,DC=com changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user objectClass: computer cn: FILE25 userAccountControl: 4096 sAMAccountName: FILE25$
Par dfaut, LDIFDE est en mode exportation. Loption -i spcifie le mode importation. Vous devez spcifier -f pour identifier le fichier que vous utilisez pour limportation ou lexportation. LDIFDE sarrte lorsquil rencontre des erreurs, sauf si vous avez spcifi loption -k. Dans ce cas, LDIFDE poursuit le traitement.
5-30
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
La commande DSAdd permet de crer des objets dans Active Directory. Pour crer des objets ordinateur, il vous suffit de taper la commande suivante :
dsadd computer DN_ordinateur
o DN_ordinateur correspond au nom unique (DN) de lordinateur, tel que CN=DESKTOP123,OU=NYC,OU=Client Computers,DC=contoso,DC=com. Si le nom unique de lordinateur contient un espace, mettez-le entirement entre guillemets droits. Loption DN_ordinateur peut inclure plusieurs noms uniques de nouveaux objets ordinateur, ce qui fait de DSAdd Computer un moyen pratique de gnrer plusieurs objets simultanment. Loption peut tre entre de lune des faons suivantes : en tapant chaque nom unique linvite de commandes, spars par des espaces ;
5-31
en laissant loption DN vide. ce stade, vous pouvez taper les noms uniques (DN), lun aprs lautre, laide de la console clavier de linvite de commandes. Appuyez sur Entre aprs chaque nom unique. Appuyez sur Ctrl+Z et sur Entre aprs le dernier nom unique ; en mettant en pipe une liste de noms uniques partir dune autre commande, telle que DSQuery.
La commande DSAdd Computer peut prendre les options facultatives suivantes aprs loption DN : -samid Nom_ordinateur -desc Description -loc Emplacement
5-32
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
La commande NetDom permet galement deffectuer diverses tches lies aux comptes de domaine et la scurit depuis linvite de commandes. Vous pouvez galement utiliser NetDom pour crer un compte dordinateur en tapant la commande suivante :
netdom add NomOrdinateur /domain:NomDomaine [/ou:"DN_UO"] [/UserD:NomUtilisateurDomaine /PasswordD:MotDePasseDomaine]
Cette commande cre le compte dordinateur pour NomOrdinateur dans le domaine indiqu par loption /domain, en utilisant les informations didentification spcifies par /UserD et /PasswordD. Loption /ou entrane la cration de lobjet dans lUO spcifie par le nom unique dunit dorganisation (DN_UO) qui suit loption. Si aucun DN_UO nest fourni, le compte dordinateur est cr dans le conteneur ordinateur par dfaut. Il sentend que les informations didentification utilisateur doivent tre associes des autorisations de cration dobjets ordinateur.
5-33
Utilisation de NetDom.exe La commande NetDom.exe permet de joindre un ordinateur au domaine partir de linvite de commandes. La commande utilise la syntaxe de base suivante :
netdom join NomOrdinateur /Domain:NomDomaine [/OU:"OUDN"] [/UserD:NomUtilisateurDomaine] [/PasswordD:{MotDePasseDomaine|*} ] [/UserO:NomUtilisateurLocal] [/PasswordO:{MotDePasseLocal|*} ] [/SecurePasswordPrompt] [/REBoot[:TempsEnSecondes]]
Il peut tre utile de joindre un ordinateur un domaine partir de linvite de commandes. Le premier intrt vient du fait que la jonction peut tre incluse dans un script qui effectue d'autres actions. Par exemple, vous pouvez crer un fichier de commandes qui cre le compte dordinateur l'aide de NetDom ou DSAdd (ce dernier vous permet de spcifier dautres attributs, notamment une description), puis qui joint lordinateur ce compte laide de NetDom. Ensuite, NetDom.exe permet de joindre distance un ordinateur au domaine. Enfin, NetDom.exe permet de spcifier lUO de lobjet ordinateur. La plupart des options de la commande sont explicites. /UserO et /PasswordO sont des informations didentification membres du groupe Administrateurs local de lordinateur de groupe de travail. Si vous spcifiez * pour le mot de passe, NetDom.exe rclame le mot de passe linvite de commandes. /UserD et /PasswordD sont des informations didentification de domaine assorties dune autorisation de cration dobjet ordinateur, si le compte nest pas prdfini, ou de joindre un ordinateur un compte prdfini. Loption /REBoot entrane le redmarrage du systme aprs que le domaine a t joint. Le dlai dattente par dfaut est de 30 secondes. Loption /SecurePasswordPrompt affiche une fentre automatique demandant les informations didentification lorsque * est spcifi pour /PasswordO ou /PasswordD.
Remarque : si vous souhaitez pouvoir utiliser NetDom distance, la configuration du Pare-feu Windows sur lordinateur appel tre joint au domaine doit autoriser la Dcouverte de rseau et lAdministration distance.
5-34
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
Vous tes administrateur pour Contoso, Ltd. Au cours dun audit de scurit, il est dcouvert que la cration de comptes dordinateurs ne fait lobjet daucun contrle : les clients et les serveurs sont ajouts au domaine sans aucune garantie que le processus est surveill. En fait, plusieurs comptes dordinateurs ont t dcouverts dans le conteneur Ordinateurs. Ces objets ordinateur taient des comptes dordinateurs actifs, mais les ordinateurs navaient pas t crs ou dplacs dans les UO appropries au sein des UO Client Computers ou Servers conformment aux procdures standard. Vous avez t charg damliorer les procdures.
5-35
5. 6. 7.
5-36
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Essayez de joindre lordinateur au domaine contoso.com en veillant utiliser le nom de domaine complet (contoso.com) et pas le nom NetBIOS du domaine (contoso). Cette opration vise dterminer si le DNS est correctement configur sur le client pour la recherche du domaine.
4.
Modifiez la configuration du serveur DNS sur le client en lui attribuant la valeur 10.0.0.11.
Question : pourquoi la jonction aurait-elle pu aboutir si vous aviez utilis le nom de domaine contoso au lieu de contoso.com ? Quel problme la configuration incorrecte du domaine joint au DNS pourrait-elle entraner ?
5-37
2.
5-38
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
5-39
Question : quel message recevez-vous lorsquun utilisateur ne peut plus crer dobjet ordinateur cause de ms-DS-MachineAccountQuota ?
Rsultats : Au terme de cet exercice, le conteneur destin la cration de comptes d'ordinateur sera redirig vers l'UO New Computers, et les utilisateurs seront limits dans leur capacit joindre des ordinateurs au domaine sans y tre explicitement autoriss.
5-40
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2.
5-41
3.
Par le biais de la commande NetDom, joignez SERVER01 au domaine. Utilisez les informations didentification du compte Administrateur local pour SERVER01 et les informations didentification du domaine pour Aaron.Painter_Admin, qui est membre de AD_Server_Deploy et est ce titre autoris joindre lordinateur au domaine. Configurez le serveur de sorte quil redmarre automatiquement au bout de 5 secondes. Tapez la commande suivante, puis appuyez sur Entre :
netdom join SERVER01 /domain:contoso.com /UserO:Administrator /PasswordO:* /UserD:CONTOSO\Aaron.Painter_Admin /PasswordD:* /REBoot:5
Remarque : des exceptions de pare-feu sont configures pour SERVER01 sur les ports 135 et 139 et pour la Recherche du rseau (NB-Name-In). Ces exceptions permettent lutilisation de NetDom Join pour joindre distance SERVER01 au domaine.
4.
Le serveur redmarre.
Rsultats : lissue de cet exercice, SERVER01 sera joint au domaine avec un compte dans lUO Servers\File.
Important : n'arrtez pas les ordinateurs virtuels lorsque vous avez termin l'atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans l'atelier pratique B.
5-42
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 2
Le cycle de vie dun compte dordinateur commence ds lors quil est cr et que lordinateur est joint au domaine. Les tches dadministration quotidiennes consistent notamment configurer les proprits de lordinateur ; dplacer lordinateur dune UO une autre ; grer lordinateur proprement dit ; et renommer, rinitialiser, dsactiver, activer et finalement supprimer lobjet ordinateur. Cette leon examine en dtail les proprits dordinateur et les procdures auxquelles ces tches font appel et vous donne les moyens dadministrer les ordinateurs dun domaine.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : configurer les proprits dun compte dordinateur ; dplacer un ordinateur dune UO vers une autre ; reconnatre les problmes de compte dordinateur ;
5-43
5-44
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Lorsque vous crez un objet ordinateur en utilisant Utilisateurs et ordinateurs Active Directory, vous tes invit configurer uniquement les attributs de base, savoir, le nom dordinateur et la dlgation pour joindre lordinateur au domaine. Les ordinateurs possdent plusieurs proprits qui ne sont pas visibles au moment de crer lobjet ordinateur ; vous devez configurer ces proprits dans le cadre du processus de prparation du compte dordinateur. Ouvrez la bote de dialogue Proprits dun objet ordinateur afin de dfinir son emplacement et sa description, de configurer ses appartenances aux groupes et les permissions dappel, et de le lier lobjet utilisateur de lutilisateur auquel lordinateur est affect. Longlet Systme dexploitation est en lecture seule. Les informations seront vides tant quaucun ordinateur naura t joint au domaine en utilisant ce compte, moment auquel le client publiera les informations dans son compte.
5-45
Dans Active Directory, plusieurs classes dobjets prennent en charge lattribut managedBy figurant sous longlet Gr par. Cet attribut li cre une rfrence croise un objet utilisateur. Toutes les autres proprits (adresses et numros de tlphone) sont affiches directement partir de lobjet utilisateur. Elles ne sont pas stockes en tant que partie intgrante de lobjet ordinateur lui-mme. Certaines organisations utilisent longlet Gr par pour lier lordinateur lutilisateur principal de lordinateur. Vous pouvez galement choisir de lier lordinateur un groupe charg du support dun ordinateur (option qui peut savrer intressante pour les comptes dordinateurs qui reprsentent des serveurs, par exemple). Sous longlet Membre de dans la bote de dialogue Proprits dun ordinateur, vous pouvez ajouter lordinateur des groupes. La possibilit de grer des ordinateurs dans des groupes est une caractristique importante et souvent sousutilise dActive Directory. Un groupe peut servir affecter aux ordinateurs auquel ils appartiennent des autorisations daccs des ressources, filtrer lapplication dun objet Stratgie de groupe (GPO) ou tre utilis comme collection pour un outil de gestion de logiciels, tel que Microsoft System Center Configuration Manager 2007. Comme pour les utilisateurs et les groupes, il est possible de slectionner plusieurs objets ordinateur et, par la suite, de grer ou de modifier les proprits de toutes les ordinateurs slectionns, et ce simultanment. Configuration dattributs dordinateur laide de DSMod La commande DSMod permet de modifier les attributs de description et demplacement dun objet ordinateur. Elle utilise la syntaxe suivante :
dsmod computer "DN_ordinateur" [-desc "Description"] [-loc "Emplacement"]
5-46
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Dplacer un ordinateur
Points cls
Nombreuses sont les organisations qui possdent plusieurs UO pour les objets ordinateur. Certains domaines, par exemple, possdent des UO dordinateurs bases sur les sites gographiques, comme expliqu plus haut dans ce module. Si vous disposez de plusieurs UO pour ordinateurs, il est probable que vous serez amen tt ou tard dplacer un ordinateur dune UO vers une autre. Pour dplacer un ordinateur laide du logiciel enfichable Utilisateurs et ordinateurs Active Directory : effectuez un glisser-dplacer ou cliquez avec le bouton droit sur lordinateur, puis cliquez sur Dplacer.
La commande DSMove vous permet de dplacer un objet ordinateur ou tout autre objet. La syntaxe de DSMove est la suivante :
dsmove DN_Objet [-newname NouveauNom] [-newparent DN_Parent]
5-47
Loption -newname permet de renommer un objet. Loption -newparent permet de dplacer un objet. Pour dplacer un ordinateur nomm DESKTOP153 du conteneur Computers vers l'UO NYC, vous taperiez la commande suivante :
dsmove "CN=DESKTOP153,CN=Computers,DC=contoso,DC=com" -newparent "OU=NYC,OU=Client Computers,DC=contoso,DC=com"
5-48
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Chaque ordinateur membre dun domaine Active Directory possde un compte dordinateur avec un nom dutilisateur (sAMAccountName) et un mot de passe, comme nimporte quel compte dutilisateur. Lordinateur stocke son mot de passe sous forme de secret LSA (autorit de scurit locale) et en change auprs du domaine environ tous les 30 jours. Le service NetLogon utilise les informations didentification pour se connecter au domaine, ce qui tablit un canal scuris avec un contrleur de domaine. Les comptes dordinateurs et les relations scurises entre les ordinateurs et leur domaine sont robustes. Toutefois, dans certains cas, il peut arriver quun ordinateur ne puisse plus sauthentifier auprs du domaine. En voici quelques exemples : Aprs avoir rinstall le systme dexploitation sur une station de travail, celleci ne parvient pas sauthentifier, mme si le technicien a utilis le mme nom dordinateur. Comme la nouvelle installation a gnr un nouveau ID de scurit (SID) et comme le nouvel ordinateur ne connat pas le mot de passe du compte dordinateur du domaine, il nappartient pas au domaine et ne peut pas sy authentifier.
5-49
Un ordinateur est entirement restaur partir dune sauvegarde et ne peut pas sauthentifier. Il est probable que lordinateur a chang de mot de passe auprs du domaine aprs lopration de sauvegarde. Les ordinateurs changent de mot de passe tous les 30 jours et Active Directory se souvient des mots de passe actuels et anciens. Si lopration de restauration a restaur lordinateur avec un mot de passe nettement obsolte, lordinateur ne pourra pas sauthentifier. Le secret LSA dun ordinateur se dsynchronise avec le mot de passe connu du domaine. Vous pouvez penser que lordinateur a oubli son mot de passe. Or, il est simplement en dsaccord avec le domaine propos du mot de passe. Lorsque cela se produit, lordinateur ne peut pas sauthentifier et le canal scuris ne peut pas tre cr.
5-50
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Les signes les plus courants de problmes lis aux comptes dordinateurs sont les suivants : Les messages louverture de session indiquent quun contrleur de domaine ne peut pas tre contact, que le compte dordinateur est peut-tre manquant, que le mot de passe du compte dordinateur est incorrect ou que la relation dapprobation (cest--dire, la relation scurise ) entre lordinateur et le domaine a t perdue. Un exemple est illustr ci-dessous.
5-51
Les messages derreur ou les vnements consigns dans le journal dvnements indiquent des problmes analogues ou donnent penser que des mots de passe, des approbations, des canaux scuriss ou des relations avec le domaine ou un contrleur de domaine ont chou. LID dvnement 3210 de NETLOGON est une erreur de ce type : chec de lauthentification. Celle-ci apparat dans le journal dvnements de lordinateur. Il manque un compte dordinateur dans Active Directory.
5-52
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Lorsque le canal scuris choue, vous devez le rinitialiser. De nombreux administrateurs accomplissent cette opration en supprimant lordinateur du domaine, en le plaant dans un groupe de travail, puis en le joignant nouveau au domaine. Cette mthode est dconseille, car elle risque de supprimer le compte dordinateur purement et simplement, ce qui fait perdre lID de scurit (SID) de lordinateur et, plus important encore, ses appartenances aux groupes. Au moment de joindre nouveau le domaine, mme si lordinateur a le mme nom, le compte possde un nouveau SID et toutes les appartenances aux groupes du prcdent objet ordinateur doivent tre recres. vitez de supprimer un ordinateur du domaine et de ly joindre nouveau Si lapprobation auprs du domaine a t perdue, vitez de supprimer un ordinateur du domaine et de ly joindre nouveau. Au lieu de cela, rinitialisez le canal scuris. Pour rinitialiser le canal scuris entre un membre du domaine et le domaine, utilisez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, DSMod.exe, NetDom.exe ou NLTest.exe. Si vous rinitialisez le compte, le SID de lordinateur reste inchang et il conserve ses appartenances aux groupes.
5-53
Pour rinitialiser le canal scuris laide du logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1. 2. 3. Cliquez avec le bouton droit sur un ordinateur, puis cliquez sur Rinitialiser le compte. Cliquez sur Oui pour confirmer votre choix. Joignez nouveau lordinateur au domaine, puis redmarrez-le.
2.
o les informations didentification appartiennent au groupe Administrateurs local de lordinateur. Cette commande rinitialise le canal scuris en tentant de rinitialiser le mot de passe dans l'ordinateur et dans le domaine, ceci afin d'viter d'avoir pratiquer une nouvelle jonction ou un redmarrage. Pour rinitialiser le canal scuris laide de NLTest, sur lordinateur qui a perdu son approbation, tapez la commande suivante :
NLTEST /SERVER:NOMSERVEUR /SC_RESET:DOMAIN\CONTRLEURDOMAINE
Exemple :
nltest /server:SERVER02 /sc_reset:CONTOSO\SERVER01
Cette commande, linstar de NetDom, tente de rinitialiser le canal scuris en rinitialisant le mot de passe sur lordinateur et le domaine, ceci afin dviter davoir oprer une nouvelle jonction ou un redmarrage.
5-54
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Comme NLTest et NetDom rinitialisent le canal scuris sans imposer de redmarrage, vous devez dabord essayer ces commandes. Si elles naboutissent pas, et seulement dans ce cas, vous devez utiliser la commande Reset Account (Rinitialiser le compte) ou DSMod pour rinitialiser le compte dordinateur.
5-55
Renommer un ordinateur
Points cls
Lorsque vous renommez un ordinateur, veillez le faire correctement. Ne perdez pas de vue que lordinateur utilise son nom pour sauthentifier auprs du domaine. Par consquent, si vous renommez uniquement lobjet domaine ou uniquement lordinateur lui-mme, ils seront dsynchroniss. Vous devez renommer lordinateur de telle sorte que lobjet ordinateur et lobjet domaine soient tous deux modifis. Vous pouvez renommer un ordinateur correctement en ouvrant une session sur lordinateur lui-mme, soit en local, soit au moyen dune session de Bureau distance. 1. 2. 3. Ouvrez Proprits systme dans le Panneau de configuration. Dans la section Paramtres de nom dordinateur, de domaine et de groupe de travail, cliquez sur Modifier les paramtres. Si vous obtenez une invite du Contrle de compte dutilisateur, cliquez sur Continuer.
5-56
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
4. 5.
6. 7.
Tapez le nouveau nom et cliquez sur OK deux reprises pour fermer les botes de dialogue. Redmarrez lordinateur pour que la modification soit prise en compte.
Dans linvite de commandes, vous pouvez utiliser la commande NetDom en utilisant la syntaxe suivante :
netdom renamecomputer NomOrdinateur /NewName:NouveauNom [/UserO:NomUtilisateurLocal] [/PasswordO:{MotDePasseLocal|*} ] [/UserD:NomUtilisateurDomaine] [/PasswordD:{MotDePasseDomaine|*} ] [/SecurePasswordPrompt] [/REBoot[:TempsEnSecondes]]
5-57
En plus de spcifier lordinateur renommer (NomOrdinateur) et le nouveau nom souhait (NouveauNom), vous devez disposer dinformations didentification qui dpendent du groupe Administrateurs local de lordinateur et dinformations didentification autorises renommer lobjet ordinateur de domaine. Par dfaut, NetDom utilise les informations didentification partir desquelles la commande est excute. Vous pouvez spcifier les informations didentification en utilisant /UserO et /PasswordO pour les informations didentification situes dans le groupe Administrateurs local de lordinateur, et /UserD et /PasswordD pour les informations didentification autorises renommer lobjet ordinateur. Si vous spcifiez * pour le mot de passe, NetDom.exe rclame le mot de passe linvite de commandes. Loption /SecurePasswordPrompt affiche une fentre automatique demandant les informations didentification lorsque * est spcifi pour /PasswordO ou /PasswordD. Vous devez redmarrer lordinateur aprs lavoir renomm. Loption /REBoot provoque le redmarrage du systme au bout de 30 secondes, moins que vous ayez spcifi une autre valeur via TempsEnSecondes. Lorsque vous renommez un ordinateur, vous pouvez perturber les services en cours dexcution sur lordinateur. Par exemple, les services de certificats Active Directory (AD CS) utilisent le nom du serveur. Avant de renommer un ordinateur, veillez prendre en compte les consquences possibles dune telle opration. Nemployez pas ces mthodes pour renommer un contrleur de domaine.
5-58
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Si un ordinateur est mis hors connexion ou est appel ne pas tre utilis pendant une longue priode, envisagez de dsactiver le compte. Cette recommandation s'appuie sur le principe de scurit selon lequel un magasin d'identits doit permettre l'authentification uniquement du nombre minimum de comptes ncessaires pour atteindre les objectifs d'une organisation. La dsactivation du compte ne modifie en rien le SID ou lappartenance aux groupes de lordinateur : une fois lordinateur remis en ligne, le compte peut tre activ. Pour dsactiver un ordinateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur lordinateur, puis cliquez sur Dsactiver le compte. Un compte dsactiv est reconnaissable licne en forme de flche vers le bas dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, ici reprsente :
5-59
Lorsquun compte est dsactiv, lordinateur ne peut pas crer de canal scuris avec le domaine. Rsultat : les utilisateurs qui nont pas dj ouvert de session sur lordinateur et qui, de ce fait, nont pas dinformations didentification dans le cache de lordinateur, ne seront pas en mesure douvrir de session tant que le canal scuris naura pas t rtabli en activant le compte. Pour activer un compte dordinateur, cliquez avec le bouton droit sur lordinateur, puis cliquez sur Activer le compte. Pour dsactiver ou activer un ordinateur partir de linvite de commandes, utilisez la commande DSMod. La syntaxe utilise pour dsactiver ou activer des ordinateurs est la suivante :
dsmod computer DN_ordinateur -disabled yes dsmod computer DN_ordinateur -disabled no
5-60
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Comme nous lavons vu, chaque compte dordinateur, linstar de chaque compte dutilisateur, possde un ID de scurit (SID) unique qui permet un administrateur de lui octroyer des autorisations. De mme, comme les comptes dutilisateurs, les ordinateurs peuvent appartenir des groupes. Par consquent, comme pour les comptes dutilisateurs, il est important de connatre les consquences dune suppression de compte dordinateur. cette occasion, les appartenances aux groupes et le SID du compte dordinateur sont perdus. Si la suppression est accidentelle et quun autre compte dordinateur est cr avec le mme nom, il sagit malgr tout dun nouveau compte dot dun nouveau SID. Les appartenances aux groupes doivent tre redfinies et les autorisations affectes lordinateur supprim doivent tre raffectes au nouveau compte. Veillez ne supprimer des objets ordinateur que lorsque vous tes certain que ces attributs de scurit dobjet ne sont plus ncessaires.
5-61
Pour supprimer un compte d'ordinateur avec Utilisateurs et ordinateurs Active Directory : 1. Cliquez avec le bouton droit sur lobjet ordinateur, puis cliquez sur Supprimer. Vous tes invit confirmer la suppression et, comme la suppression est irrversible, la rponse par dfaut linvite est Non. 2. Cliquez sur Oui pour supprimer lobjet.
La commande DSRm permet de supprimer un objet ordinateur partir de linvite de commandes. Pour supprimer un ordinateur laide de DSRm, tapez la commande suivante :
dsrm DN_Objet
o DN_Objet reprsente le nom unique de lordinateur (p.ex., CN=Desktop154, OU=NYC,OU=Client Computers,DC=contoso,DC=com). Encore cette occasion, vous serez invit confirmer la suppression. Recyclage dordinateurs Si les appartenances aux groupes et le SID dun compte dordinateur, ainsi que les autorisations affectes ce SID, sont importants pour les oprations dun domaine, la suppression de ce compte apparat peu souhaitable. Or, que faire si un ordinateur doit tre remplac par un nouveau systme, par du matriel mis niveau ? Il sagit dun autre cas o il est indiqu de rinitialiser un compte dordinateur. La rinitialisation dun compte dordinateur consiste rinitialiser son mot de passe tout en conservant ses proprits. Une fois sont mot de passe rinitialis, le compte devient utilisable. Nimporte quel ordinateur peut alors joindre le domaine en utilisant ce compte, y compris le systme mis niveau. En effet, vous avez recycl le compte dordinateur en laffectant un nouveau matriel. Vous pouvez mme renommer le compte. Le SID et les appartenances aux groupes sont inchangs. Comme nous lavons vu plus tt dans cette leon, la commande Rinitialiser le compte est accessible dans le menu contextuel qui saffiche lorsque vous cliquez avec le bouton droit sur un objet ordinateur. La commande DSMod peut galement tre utilise pour rinitialiser un compte dordinateur, lorsque vous tapez dsmod computer "DN_Ordinateur" -reset.
5-62
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
Vous tes administrateur pour Contoso, Ltd. Au cours dun audit de scurit, plusieurs comptes dordinateurs sont dcouverts. Or, ces ordinateurs nexistent plus dans le domaine. Vous avez t charg damliorer la gestion des comptes dordinateurs et didentifier les meilleures pratiques pour administrer le cycle de vie entier dun compte dordinateur.
5-63
Exercice 1 : Administration des objets ordinateurs tout au long de leur cycle de vie
Dans cet exercice, vous allez configurer des attributs communs dobjets ordinateur, notamment Description et ManagedBy. Vous allez galement grer lappartenance dordinateurs des groupes et dplacer des ordinateurs dune UO vers une autre. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. Prparer l'atelier pratique. Configurer des attributs dobjet ordinateur. Ajouter des ordinateurs des groupes de gestion de logiciels. Dplacer un ordinateur dune UO vers une autre. Dsactiver, activer et supprimer des ordinateurs.
2.
3.
5-64
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
5-65
5-66
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3.
5-67
Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
6-1
Module 6
Implmentation d'une infrastructure de stratgie de groupe
Table des matires :
Leon 1 : Fonctionnement de la stratgie de groupe Leon 2 : Implmentation des objets GPO Atelier pratique A : Implmentation d'une stratgie de groupe Leon 3 : Examen approfondi des paramtres et des objets GPO Atelier pratique B : Gestion des paramtres et des objets GPO Leon 4 : Gestion de l'tendue d'une stratgie de groupe Atelier pratique C : Gestion de l'tendue d'une stratgie de groupe Leon 5 : Traitement d'une stratgie de groupe Leon 6 : Rsolution des problmes d'application de stratgie Atelier pratique D : Rsolution des problmes d'application de stratgie 6-4 6-22 6-40 6-44 6-67 6-74 6-105 6-113 6-123 6-136
6-2
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Dans le Module 1, vous avez appris que les Services de domaine Active Directory (AD DS) fournissent les services de base d'une solution d'identification et d'accs aux rseaux d'entreprise excutant Windows et que les services AD DS offrent davantage en prenant en charge la gestion et la configuration des rseaux les plus vastes et les plus complexes. Dans les Modules 2 5, vous avez appris administrer les entits de scurit du service d'annuaire Active Directory : utilisateurs, groupes et ordinateurs. Vous allez prsent tudier la gestion et la configuration des utilisateurs et des ordinateurs l'aide d'une Stratgie de groupe. Une stratgie de groupe fournit une infrastructure au sein de laquelle les paramtres peuvent tre dfinis de faon centralise, puis dploys dans les ordinateurs et pour les utilisateurs de l'entreprise.
6-3
Un environnement gr par une infrastructure de stratgie de groupe bien implmente ne demande que peu de configuration, voire aucune configuration directe d'un poste de travail. Toutes les configurations sont dfinies, imposes et mises jour l'aide de paramtres stocks dans des objets de stratgie de groupe (GPO). Ces objets affectent une partie de l'entreprise aussi vaste qu'un site ou un domaine complet ou limite un seul groupe ou unit d'organisation. Dans ce module, vous allez tudier la dfinition d'une Stratgie de groupe, son fonctionnement et sa meilleure mthode d'implmentation dans votre organisation. Les modules suivants consisteront appliquer une Stratgie de groupe des tches de gestion spcifiques, telles que la configuration de la scurit, le dploiement de logiciels, la stratgie des mots de passe et l'audit.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : identifier les facteurs professionnels de la gestion de configuration ; comprendre les composants et les technologies qui constituent la structure d'une stratgie de groupe ; grer les objets GPO ; configurer et comprendre les divers types de paramtres d'une stratgie ; dfinir la porte des objets GPO l'aide de liens, de groupes de scurit, de filtres WMI, de traitement par boucle de rappel et du ciblage des Prfrences ; expliquer le stockage, la rplication et la gestion des versions des objets GPO ; administrer l'infrastructure d'une stratgie de groupe ; valuer l'hritage et la priorit des objets GPO et l'outil RSoP ; localiser les journaux contenant les vnements lis la Stratgie de groupe.
6-4
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 1
Une infrastructure de stratgie de groupe comprend un grand nombre d'lments. Il est donc important que vous compreniez le rle de chacun de ces lments, mais aussi comment ils fonctionnent ensemble et les raisons de leur assemblage en diverses configurations. Cette leon propose une vue d'ensemble exhaustive de la Stratgie de groupe : ses composants, ses fonctions et son traitement interne.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : identifier les facteurs professionnels de la gestion de configuration ; comprendre les composants de base et la terminologie d'une stratgie du groupe ; expliquer les bases du traitement d'une stratgie de groupe.
6-5
Points cls
Si votre environnement ne comprend qu'un seul ordinateur ( votre domicile, par exemple) et que vous devez apporter une modification (comme changer l'arrireplan du Bureau), plusieurs mthodes vous permettent d'effectuer cette opration. La plupart des utilisateurs slectionneraient probablement le menu Personnalisation du Panneau de configuration et effectueraient la modification via l'interface Windows. Cette mthode convient parfaitement un utilisateur mais devient laborieuse lorsque la modification en concerne plusieurs. Imaginons, par exemple, que vous dsiriez le mme arrire-plan pour vous et votre famille. Vous devez dans ce cas effectuer la mme modification plusieurs reprises et, si vous changez ensuite d'avis et voulez nouveau modifier l'arrire-plan, il vous faudra reprendre le profil de chaque utilisateur et ritrer la modification. L'implmentation de la modification et le maintien de la cohrence d'un environnement deviennent encore plus complexes avec plusieurs ordinateurs.
6-6
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
En fin de compte, la gestion des configurations est une approche centralise qui consiste appliquer une ou plusieurs modifications un ou plusieurs utilisateurs ou ordinateurs. Si vous gardez cela l'esprit, le reste sera plus facile comprendre. Alors rptonsnous. Les points cls de la gestion des configurations sont ci-aprs. Dfinition centralise d'une modification, que nous appellerons galement un paramtre. Le paramtre apporte l'tat de configuration souhait pour l'utilisateur ou l'ordinateur. Dfinition des utilisateurs ou ordinateurs auxquels s'applique la modification, et que nous appellerons l'tendue ou la porte de la modification. Mcanisme garantissant que le paramtre est appliqu aux utilisateurs et ordinateurs de l'tendue. Nous appellerons ce processus l'application.
La Stratgie du groupe est une structure au sein de Windows (avec des composants qui rsident dans Active Directory, dans des contrleurs de domaine et dans chaque serveur et client Windows) qui vous permet de grer la configuration dans un domaine AD DS. Lorsque vous vous intressez la Stratgie du groupe, qui peut devenir extrmement complexe, gardez toujours l'esprit que tout se rduit, pour finir, ces quelques lments de base de la gestion des configurations.
6-7
Points cls
Le composant le plus granulaire de la Stratgie du groupe est un paramtre de stratgie individuel, appel simplement stratgie, qui dfinit une modification de configuration spcifique appliquer. Par exemple, il existe un paramtre de stratgie qui empche l'utilisateur d'accder aux outils de modification du Registre. Si vous dfinissez ce paramtre de stratgie et que vous l'appliquez l'utilisateur, ce dernier ne peut plus utiliser certains outils, par exemple Regedit.exe. Un autre paramtre de stratgie vous permet de renommer le compte Administrateur local. Vous pouvez par exemple utiliser ce paramtre de stratgie pour renommer le compte Administrateur dans tous les postes de travail et ordinateurs portables des utilisateurs.
6-8
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Ces deux exemples mettent en vidence un point important : certains paramtres de stratgie affectent un utilisateur, quel que soit l'ordinateur sur lequel cet utilisateur ouvre une session, alors que d'autres paramtres de stratgie affectent un ordinateur, quel que soit l'utilisateur connect cet ordinateur. Les paramtres de stratgie tels que ceux qui empchent l'utilisateur d'accder aux outils de modification du Registre sont souvent appels paramtres de configuration utilisateur ou paramtres utilisateur. Les paramtres de stratgie tels que ceux qui dsactivent le compte Administrateur et autres paramtres similaires sont souvent appels paramtres de configuration ordinateur ou paramtres ordinateur. Vous entendrez galement parler de stratgies utilisateur et de stratgies ordinateur La terminologie utilise dans l'industrie est imprcise. Une Stratgie de groupe permet de grer des milliers de paramtres de stratgie et, sa structure tant extensible, elle vous permet pour finir de grer peu prs n'importe quoi. Pour dfinir un paramtre de stratgie, double-cliquez sur son entre. La bote de dialogue Proprits du paramtre de stratgie s'affiche. En voici un exemple :
Un paramtre de stratgie peut avoir trois tats : Non configur, Activ ou Dsactiv.
6-9
Dans un nouvel objet GPO, chaque paramtre de stratgie est Non configur. Cela signifie que l'objet GPO ne modifiera pas la configuration existante de ce paramtre pour un utilisateur ou un ordinateur. Si vous activez ou dsactivez un paramtre de stratgie, la modification est apporte la configuration des utilisateurs et des ordinateurs auxquels l'objet GPO s'applique. L'effet de la modification dpend du paramtre de stratgie lui-mme. Par exemple, si vous activez le paramtre de stratgie Empche l'accs aux outils de modification du Registre, les utilisateurs ne peuvent plus lancer l'diteur du registre Regedit.exe. Si vous dsactivez le paramtre de stratgie, vous tes certain que les utilisateurs peuvent lancer l'diteur du registre. Remarquez la double ngation de ce paramtre de stratgie : vous dsactivez une stratgie qui interdit une action, donc vous autorisez cette action. Certains paramtres de stratgie associent plusieurs configurations en une seule stratgie et peuvent requrir d'autres paramtres. Dans la capture d'cran prcdente, vous pouvez voir qu'en activant la stratgie qui interdit les outils de modification du Registre, vous pouvez galement dfinir si les fichiers du Registre peuvent tre fusionns discrtement dans le systme via regedit /s.
Remarque : assurez-vous de comprendre et de tester tous les paramtres de la stratgie de groupe. Nombres de paramtres de stratgie sont complexes, et l'effet de leur activation ou de leur dsactivation peut ne pas tre immdiatement vident. De mme, certains paramtres de stratgie n'affectent que certaines versions de Windows. Assurez-vous de lire le texte explicatif du paramtre de stratgie dans le volet d'informations de l'diteur de gestion des stratgies de groupe (GPME) ou dans l'onglet Expliquer de la bote de dialogue Proprits du paramtre de stratgie. De plus, testez toujours les effets d'un paramtre de stratgie et ses interactions avec les autres paramtres avant de dployer une modification dans l'environnement de production.
6-10
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Les paramtres de stratgie sont dfinis et stocks au sein d'un Objet de stratgie de groupe (GPO). Un objet GPO est un objet qui contient un ou plusieurs paramtres de stratgie et applique de ce fait un ou plusieurs paramtres de configuration un utilisateur ou un ordinateur.
6-11
Les objets GPO peuvent tre grs dans Active Directory via la Console de gestion des stratgies de groupe (GPMC), prsente ici :
Les objets GPO sont affichs dans un conteneur nomm Objets de stratgie de groupe. Pour crer un nouvel objet GPO dans un domaine, cliquez du bouton droit sur le conteneur Objets de stratgie de groupe et choisissez Nouveau. Pour modifier les paramtres de configuration d'un objet GPO, cliquez du bouton droit sur ce dernier et choisissez Modifier.
6-12
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
L'objet GPO s'affiche dans le composant logiciel enfichable diteur de gestion des stratgies de groupe (GPME), appel auparavant diteur d'objets de stratgie de groupe (diteur GPO), prsent ici :
L'diteur GPME organise l'affichage des milliers de paramtres de stratgie disponibles dans un objet GPO de faon hirarchique, en commenant par les diviser en paramtres ordinateur et paramtres utilisateur : les nuds Configuration ordinateur et Configuration utilisateur. Les niveaux suivants dans la hirarchie sont les deux nuds nomms Stratgies et Prfrences. Vous dcouvrirez la diffrence entre ces deux nuds dans la suite de cette leon. Si vous dtaillez encore davantage la hirarchie, vous verrez que l'diteur GPME affiche des dossiers, galement appels nuds ou groupes de paramtres de stratgie. Les dossiers contiennent les paramtres de stratgie eux-mmes. Le paramtre de stratgie 'Empche l'accs aux outils de modification du Registre' est slectionn dans la capture d'cran prsente ici. Vous tudierez l'implmentation et la gestion des objets GPO la leon 2.
6-13
Points cls
La configuration est dfinie par des paramtres de stratgie dans des objets GPO. Toutefois, les modifications de configuration apportes un objet GPO n'affectent pas les ordinateurs ou les utilisateurs de votre entreprise tant que vous ne spcifiez pas les ordinateurs ou les utilisateurs auxquels ce GPO s'applique. Il s'agit alors de l'tendue d'un objet GPO. L'tendue d'un GPO est l'ensemble des utilisateurs et ordinateurs qui appliqueront les paramtres de cet objet. Plusieurs mthodes permettent de grer l'tendue des GPO. La premire est le lien de l'objet GPO. Les objets GPO peuvent tre relis des sites, des domaines et des units d'organisation dans Active Directory. Le site, le domaine ou l'unit d'organisation devient alors l'tendue maximale du GPO. Tous les ordinateurs et utilisateurs de ce site, domaine ou unit d'organisation, y compris ceux des units d'organisation enfants, seront affects par les configurations spcifies par les paramtres de stratgie dans l'objet GPO. Un mme objet GPO peut tre reli plusieurs sites ou units d'organisation.
6-14
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Deux types de filtres permettent de limiter l'tendue d'un GPO : les filtres de scurit, qui dfinissent les groupes de scurit globaux auxquels le GPO doit ou non s'appliquer, et les filtres WMI (Windows Management Instrumentation), qui dfinissent l'tendue par rapport aux caractristiques d'un systme tels que la version du systme d'exploitation ou l'espace disque disponible. Servez-vous des filtres de scurit et WMI pour restreindre ou dfinir l'tendue au sein de l'tendue initiale cre par le lien du GPO. Windows Server 2008 a introduit un nouveau composant de Stratgie de groupe : les Prfrences de stratgie de groupe. Les paramtres configurs par les Prfrences de stratgie de groupe au sein d'un objet GPO peuvent tre filtrs, ou cibls, en fonction d'un certain nombre de critres. Les prfrences cibles permettent d'affiner encore davantage l'tendue des Prfrences au sein d'un seul GPO. La dfinition de l'tendue des objets GPO est dtaille la leon 4.
6-15
Points cls
Comment les paramtres de stratgie s'appliquent-ils exactement ? Lorsque l'actualisation d'une Stratgie de groupe commence, un service qui s'excute dans tous les systmes Windows (appel Client de stratgie de groupe sous Windows Vista et Windows Server 2008) dtermine les objets GPO s'appliquant l'ordinateur ou l'utilisateur. Ce service tlcharge tous les GPO qu'il n'a pas encore mis en cache. Ensuite, une srie de processus appele Extensions ct client (CSE) interprte les paramtres d'un GPO et apporte les modifications appropries l'ordinateur local ou l'utilisateur actuellement connect. Des extensions CSE existent pour chaque catgorie principale de paramtres de stratgie. Par exemple, il existe une extension CSE de scurit qui applique les modifications de la scurit, une extension CSE qui excute les scripts de dmarrage et d'ouverture de session, une extension CSE qui installe les logiciels et une extension CSE qui modifie les cls et les valeurs du Registre. Chaque version de Windows a ajout des extensions ct client de manire tendre la porte fonctionnelle de la Stratgie du groupe. Windows comprend maintenant des douzaines d'extensions CSE.
6-16
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
L'un des concepts majeurs en matire de Stratgie de groupe est que cette dernire est rellement pilote au niveau des clients. Le client de Stratgie de groupe extrait les objets GPO de son domaine, en dclenchant les extensions CSE pour appliquer les paramtres localement. La Stratgie de groupe n'est pas une technologie d'mission . En ralit, le comportement des extensions CSE peut tre configur l'aide de la Stratgie de groupe. La plupart des extensions CSE n'appliqueront les paramtres d'un GPO que si ce dernier a t modifi. Ce comportement amliore le traitement global des stratgies en liminant l'application redondante des mmes paramtres. La plupart des stratgies sont appliques de telle manire que les utilisateurs standard ne peuvent pas modifier le paramtre dans leur systme : ils demeureront toujours assujettis la configuration impose par la Stratgie de groupe. Certains paramtres, toutefois, peuvent tre modifis par les utilisateurs standard, et beaucoup peuvent tre modifis lorsque l'utilisateur est Administrateur de ce systme. Si certains utilisateurs de votre environnement sont administrateurs de leurs ordinateurs, pensez configurer des extensions CSE afin d'appliquer nouveau les paramtres de stratgie mme si l'objet GPO n'a pas chang. De cette manire, si un utilisateur administrateur change la configuration de sorte qu'elle ne respecte plus cette stratgie, l'tat conforme de la configuration est rinitialis ds la prochaine actualisation de la Stratgie du groupe.
Remarque : configurez des extensions CSE pour appliquer nouveau les paramtres de stratgie mme si le GPO n'a pas chang. Vous pouvez configurer des extensions CSE pour appliquer nouveau les paramtres de stratgie, mme si le GPO n'a pas chang, dans le cadre d'une actualisation excute en arrire-plan. Pour ce faire, configurez un GPO limit aux ordinateurs concerns, puis dfinissez ses paramtres dans le nud Configuration ordinateur\Stratgies\Modles d'administration\Systme\Stratgie de groupe. Pour chaque extension CSE que vous souhaitez configurer, ouvrez son paramtre de stratgie de traitement des stratgies, par exemple, Traitement de la stratgie du Registre de l'extension CSE Registre. Cliquez sur Activ, puis cochez la case intitule Traiter mme si les objets GPO n'ont pas t modifis.
Les paramtres grs par l'extension CSE Scurit sont une exception importante aux paramtres par dfaut du traitement de stratgie. Les paramtres de scurit sont appliqus rptitivement toutes les 16 heures, mme si l'objet GPO n'a pas chang.
6-17
Remarque : concernant le paramtre de stratgie Toujours attendre le rseau lors du dmarrage de l'ordinateur et de l'ouverture de session, il est fortement recommand d'activer ce paramtre pour tous les clients Windows. Sans ce paramtre, par dfaut, les clients Windows XP, Windows Vista et Windows 7 n'effectuent que des actualisations en arrire-plan, ce qui signifie qu'un client peut dmarrer et un utilisateur ouvrir une session sans recevoir les dernires stratgies du domaine. Ce paramtre est stock dans Configuration ordinateur\Stratgies\Modles d'administration\Systme\Ouverture de session. Assurez-vous de lire le texte explicatif de ce paramtre de stratgie. Le domaine contoso.com utilis dans ce cours a t prconfigur avec ce paramtre supplmentaire de stratgie de groupe.
6-18
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
quel moment les stratgies sont-elles appliques ? Les paramtres de stratgie du nud Configuration ordinateur sont appliques au dmarrage du systme, puis toutes les 90 120 minutes. Les paramtres de stratgie du nud Configuration utilisateur sont appliques l'ouverture de session, puis toutes les 90 120 minutes. L'application des stratgies est appele actualisation de Stratgie de groupe. Vous pouvez galement imposer une actualisation de stratgie avec la commande GPUpdate. Vous tudierez l'actualisation de Stratgie de groupe de manire plus approfondie la leon 5.
6-19
Points cls
Les ordinateurs et les utilisateurs inclus dans l'tendue d'un objet GPO appliquent les paramtres de stratgie dfinis dans cet objet. Un utilisateur ou un ordinateur individuel est gnralement inclus dans l'tendue de plusieurs objets GPO relis au site, au domaine ou aux units d'organisation dans lequel cet utilisateur ou cet ordinateur existe. Il est donc possible que des paramtres de stratgie soient configurs diffremment dans plusieurs objets GPO. Vous devez tre mme de comprendre et d'valuer le Jeu de stratgie rsultant (RSoP), qui dtermine les paramtres appliqus par un client lorsqu'ils sont configurs diffremment dans plusieurs objets GPO. Les jeux de stratgie rsultants (RSoP) sont dtaills la leon 6.
6-20
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Examinez les composants cls d'une Stratgie de groupe.
Lectures complmentaires
TechNet propose des guides dtaills sur les techniques et l'exploitation des Stratgies de groupe, avec notamment : Stratgie de groupe pour Windows Server (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99449 Fonctionnement de la stratgie de groupe de base (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99468 Dploiement d'une stratgie de groupe l'aide de Windows Vista (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=169357
6-21
Rcapitulatif des paramtres de stratgie de groupe nouveaux ou dvelopps (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99450 Nouveauts de la Stratgie de groupe sous Windows Vista (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99451
6-22
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 2
Maintenant que vous connaissez les stratgies de groupe et leurs composants, vous pouvez vous intresser de plus prs chaque composant. Cette section examine en dtail les objets GPO.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : crer, modifier et relier des objets GPO ; identifier les capacits de gestion des modifications et de configuration d'une stratgie de groupe ; configurer des paramtres de stratgie ; expliquer le stockage, la rplication et la gestion des versions des objets GPO.
6-23
Points cls
Pour grer la configuration des utilisateurs et des ordinateurs, vous devez crer des objets GPO contenant les paramtres de stratgie ncessaires. Chaque ordinateur dispose de plusieurs GPO stocks localement dans le systme (les objets GPO locaux) et peut tre inclus dans l'tendue d'un certain nombre d'objets GPO du domaine. Les ordinateurs qui excutent Windows 2000, Windows XP et Windows Server 2003 ont chacun un objet GPO local, capable de grer la configuration de ces systmes. Cet objet GPO local existe, que l'ordinateur fasse ou non partie d'un domaine, d'un groupe de travail ou d'un environnement non reli au rseau. Il est stock dans %SystemRoot%\System32\GroupPolicy. Les stratgies de l'objet GPO local affectent uniquement l'ordinateur dans lequel cet objet est stock. Par dfaut, seules les stratgies Paramtres de scurit sont configures dans l'objet GPO local d'un systme. Toutes les autres stratgies sont dfinies sur Non configur.
6-24
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Lorsqu'un ordinateur n'appartient pas un domaine Active Directory, la stratgie locale se rvle trs utile pour configurer et imposer des paramtres cet ordinateur. Toutefois, dans un domaine Active Directory, les paramtres des objets GPO relis au site, au domaine ou aux units d'organisation remplacent les paramtres de l'objet GPO local et sont plus faciles grer que les GPO des ordinateurs individuels. Windows Vista, Windows Server 2008 et les versions ultrieures ont plusieurs objets GPO locaux. L'objet GPO Ordinateur local est le mme que l'objet GPO des versions prcdentes de Windows. Le nud Configuration ordinateur permet de configurer tous les paramtres relatifs l'ordinateur. Le nud Configuration utilisateur permet de configurer les paramtres que vous souhaitez appliquer tous les utilisateurs de l'ordinateur. Les paramtres utilisateur de l'objet GPO Ordinateur local peuvent tre modifis par les paramtres utilisateur dans deux nouveaux objets GPO locaux : Administrateurs et Non-administrateurs. Ces deux GPO appliquent des paramtres utilisateur aux utilisateurs connects en fonction de leur appartenance au groupe Administrateurs local (utilisation de l'objet GPO Administrateurs) ou de leur non appartenance ce groupe (utilisation de l'objet GPO Non-Administrateurs). Vous pouvez affiner davantage les paramtres utilisateur l'aide d'un GPO local s'appliquant un compte d'utilisateur spcifique. Les objets GPO locaux spcifiques l'utilisateur sont associs des comptes d'utilisateur locaux, pas des comptes de domaine. Le Jeu de stratgie rsultant (RSoP) est simple pour les paramtres ordinateur : l'objet GPO Ordinateur local est le seul GPO local susceptible d'appliquer des paramtres ordinateur. Les paramtres utilisateur d'un GPO spcifique l'utilisateur remplacent les paramtres conflictuels des GPO Administrateurs et Non administrateurs, qui remplacent eux-mmes les paramtres du GPO Ordinateur local. Le concept est simple : plus le GPO local est spcifique, plus ses paramtres sont prioritaires. Pour crer et modifier des objets GPO locaux : 1. Cliquez sur le bouton Dmarrer, tapez mmc.exe dans la zone de texte Rechercher, puis appuyez sur ENTRE. Une console MMC (Microsoft Management Console) vide s'affiche. 2. 3. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable. Slectionnez l'diteur d'objets de stratgie de groupe, puis cliquez sur Ajouter. Une bote de dialogue vous invite alors slectionner l'objet GPO modifier.
6-25
4.
L'objet GPO Ordinateur local est slectionn par dfaut. Pour modifier un autre GPO local, cliquez sur le bouton Parcourir. Dans l'onglet Utilisateurs, vous trouverez les GPO Non-administrateurs et Administrateurs et un GPO pour chaque utilisateur local. Slectionnez le GPO concern, puis cliquez sur OK. Cliquez sur Terminer, puis sur OK pour fermer les botes de dialogue.
5.
Le composant logiciel enfichable diteur d'objets de stratgie de groupe est ajout pour le GPO slectionn. Question : Si les membres d'un domaine peuvent tre grs centralement l'aide d'objets GPO relis ce domaine, dans quels cas les GPO locaux sont-ils utiles ?
Lectures complmentaires
Objets GPO locaux multiples (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=112463 Procdure de gestion des objets GPO locaux multiples (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99457
6-26
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Les objets GPO de domaine sont crs dans Active Directory et stocks dans des contrleurs de domaine. Ils permettent de grer de manire centralise la configuration des utilisateurs et des ordinateurs du domaine. La suite de ce cours fait rfrence aux GPO de domaine et non aux GPO locaux, sauf lorsque l'inverse est explicitement prcis. Lorsque AD DS est install, deux GPO par dfaut sont crs : Stratgie de domaine par dfaut Ce GPO est reli au domaine et n'a pas de groupe de scurit ni de filtres WMI. Il affecte donc tous les utilisateurs et ordinateurs du domaine (y compris les contrleurs du domaine). Ce GPO contient les paramtres de stratgie qui dfinissent les stratgies de mots de passe, de verrouillage des comptes et Kerberos. Comme expliqu dans le Module 9, vous modifierez les paramtres par dfaut de ce GPO en fonction des stratgies de mots de passe et de verrouillage des comptes de votre entreprise. Il est prfrable de ne pas ajouter ce GPO de paramtres de stratgie non relis. Pour configurer d'autres paramtres devant s'appliquer largement votre domaine, crez d'autres GPO relis ce domaine.
6-27
Stratgie Contrleurs de domaine par dfaut Ce GPO est li l'unit d'organisation des contrleurs de domaine. Les comptes d'ordinateur des contrleurs de domaine tant gards exclusivement dans l'unit d'organisation des contrleurs de domaine, et les autres comptes d'ordinateur devant tre conservs dans d'autres units d'organisation, ce GPO affecte uniquement les contrleurs de domaine. Comme expliqu dans les Modules 7 9, le GPO Contrleurs de domaine par dfaut doit tre modifi pour implmenter vos stratgies d'audit. Il doit galement tre modifi pour affecter les droits utilisateur requis pour les contrleurs de domaine.
6-28
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Pour crer un objet GPO, cliquez du bouton droit sur le conteneur Objets de stratgie de groupe et choisissez Nouveau. Pour crer un GPO, vous devez disposer d'une autorisation pour le conteneur Objets de stratgie de groupe. Par dfaut, seuls les groupes Administrateurs de domaine et Crateurs propritaires de la stratgie de groupe sont habilits crer des objets GPO. Pour dlguer une autorisation de cration de GPO d'autres groupes, slectionnez le conteneur Objets de stratgie de groupe dans l'arborescence de la console GPMC, puis cliquez sur l'onglet Dlgation du volet d'informations de la console. Aprs avoir cr un GPO, vous pouvez crer son tendue initiale en le reliant un site, un domaine ou une unit d'organisation.
6-29
Pour relier un GPO, cliquez du bouton droit sur le site, le domaine ou l'unit d'organisation concern(e), puis choisissez Lier un objet de stratgie de groupe existant. Vous pouvez galement crer et relier un GPO en une seule tape : cliquez du bouton droit sur un site, un domaine ou une unit d'organisation et choisissez Crer un objet GPO dans ce domaine, et le lier ici. Notez que, pour que vos sites s'affichent dans le nud Sites de la console GPMC, vous devez cliquer du bouton droit sur Sites, choisir Afficher les sites, puis slectionner les Sites que vous souhaitez grer. Vous devez tre autoris relier un GPO un site, un domaine ou une unit d'organisation. Dans la console GPMC, slectionnez le conteneur dans l'arborescence, puis ouvrez l'onglet Dlgation du volet d'informations. Dans la liste droulante Autorisation, slectionnez Lier les objets GPO. Les utilisateurs et groupes affichs disposent de l'autorisation pour l'unit d'organisation slectionne. Pour modifier la dlgation, cliquez sur le bouton Ajouter ou Supprimer. Pour modifier un objet GPO, cliquez du bouton droit sur son entre dans le conteneur Objets de stratgie de groupe et choisissez Modifier. L'objet GPO s'affiche dans le composant logiciel enfichable diteur de gestion des stratgies de groupe (GPME). Vous devez au moins disposer d'une autorisation de lecture pour ouvrir l'objet GPO de cette manire. Pour modifier un GPO, vous devez disposer d'une autorisation d'criture sur ce dernier. Pour dfinir des autorisations pour le GPO, slectionnez ce dernier dans le conteneur Objets de stratgie de groupe, puis ouvrez l'onglet Dlgation du volet d'informations. La console GPME affichera le nom du GPO en tant que nud racine. Elle affiche galement le domaine dans lequel le GPO est dfini et le serveur partir duquel le GPO a t ouvert et dans lequel les modifications seront enregistres. Le nud racine est au format NomGPO [NomServeur]. Dans la capture d'cran de la console GPME prsente prcdemment dans ce module, le nud racine est CONTOSO Standards [SERVER01.contoso.com] Policy. Le nom du GPO est CONTOSO Standards et il a t ouvert partir du serveur SERVER01.contoso.com, ce qui signifie que le GPO est dfini dans le domaine contoso.com. Par dfaut, les consoles GPMC et GPME se connectent un contrleur de domaine spcifique de votre environnement : le contrleur de domaine jouant le rle d'mulateur PDC (Primary Domain Controller, ou Contrleur principal du domaine). Vous apprendrez identifier et grer le contrleur de domaine associ ce rle dans un module ultrieur.
6-30
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
L'objectif est de rduire les possibilits de modification d'un seul GPO dans deux contrleurs de domaine diffrents, empchant tout rapprochement des modifications au cours de la rplication, et qu'une seule version de l'intgralit du GPO prvale et soit rplique. Le fait de concentrer les outils d'administration dans un seul contrleur de domaine permet d'tre certain que les modifications ne seront effectues qu'en un seul emplacement. Toutefois, dans un vaste environnement distribu, l'mulateur PDC peut se trouver dans un site distant, et entraner une baisse des performances des consoles GPMC. Dans ce cas, cliquez du bouton droit sur le nud racine de chaque console et connectez-vous un contrleur de domaine spcifique, plus proche de vous. N'oubliez pas le problme de rplication : lorsque vous tes seul modifier un GPO, il est parfaitement acceptable de le faire dans un contrleur de domaine local plus performant. tapes de la dmonstration Cration d'un objet GPO 1. 2. 3. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Excutez Gestion de stratgie du groupe avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez Forest: contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratgie de groupe. Dans l'arborescence de la console, cliquez du bouton droit sur le conteneur Objets de stratgie de groupe et choisissez Nouveau. Dans Nom, tapez CONTOSO Standards, puis cliquez sur OK.
4.
5. 6.
Ouverture d'un GPO pour modification 1. Dans le volet d'informations de la console Gestion de stratgie de groupe (GPMC), cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Modifier. L'diteur de gestion des stratgies de groupe (GPME) s'ouvre. 2. Fermez l'diteur GPME.
6-31
Liaison d'un objet OBJET 1. 2. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le domaine contoso.com et choisissez Lier un objet de stratgie de groupe existant. Slectionnez CONTOSO Standards, puis cliquez sur OK.
Dlgation de la gestion d'objets GPO 1. 2. 3. 4. 5. 6. 7. Dans l'arborescence de la console GPMC, cliquez sur le domaine contoso.com. Dans le volet d'informations, ouvrez l'onglet Dlgation. Examinez la dlgation par dfaut. Dans l'arborescence de la console GPMC, dveloppez le conteneur Objets de stratgie de groupe, puis cliquez sur le GPO CONTOSO Standards. Dans le volet d'informations, ouvrez l'onglet Dlgation. Examinez la dlgation par dfaut. Excutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, cliquez sur le conteneur Utilisateurs. Dans le volet d'informations, double-cliquez sur le groupe Crateurs propritaires de la stratgie de groupe, puis ouvrez l'onglet Membres.
8. 9.
10. Examinez l'appartenance par dfaut. Dlgation d'un objet GPO 1. Dans le conteneur Objets de stratgie de groupe de l'arborescence de la console GPMC, cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Supprimer. Cliquez sur Non.
2.
Connexion par dfaut l'mulateur PDC 1. 2. 3. Revenez la console GPMC. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le domaine contoso.com et choisissez Modifier le contrleur de domaine. Examinez les paramtres par dfaut.
6-32
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Les paramtres de stratgie de groupe sont prsents sous forme d'objets GPO dans les outils de l'interface utilisateur Active Directory, mais un GPO est en ralit constitu de deux composants : un Conteneur de stratgie du groupe (GPC) et un Modle de stratgie de groupe (GPT). Le conteneur GPC est un objet Active Directory stock dans le conteneur Objets de stratgie de groupe au sein du contexte de changement de nom de domaine de l'annuaire. Comme tous les objets Active Directory, chaque conteneur GPC comprend un attribut Identificateur global unique (GUID) qui l'identifie de faon exclusive dans Active Directory. Le conteneur GPC dfinit les attributs de base du GPO, mais ne contient aucun des paramtres. Les paramtres sont conservs dans le modle GPT, ensemble de fichiers stock dans le rpertoire SYSVOL de chaque contrleur de domaine sous %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID, o GPOGUID correspond l'identifiant GUID du conteneur GPC. Lorsque vous modifiez les paramtres d'un GPO, ces modifications sont enregistres dans le modle GPT du serveur partir duquel ce GPO a t ouvert.
6-33
Par dfaut, lors d'une actualisation de la Stratgie de groupe, les extensions ct client n'appliquent les paramtres d'un GPO que si ce dernier a t mis jour. Le Client de stratgie de groupe peut identifier un GPO mis jour par son numro de version. Chaque GPO possde un numro de version, incrment chaque modification. Ce numro de version est stock sous la forme d'un attribut du conteneur GPC et dans un fichier texte, GPT.ini, dans le dossier GPT. Le Client de stratgie de groupe connat le numro de version de chacun des objets GPO qu'il a appliqu prcdemment. Si, lors d'une actualisation de la stratgie de groupe, le client s'aperoit que le numro de version du GPC a chang, les extensions ct client sont averties de la mise jour de cet objet GPO. Rplication d'un objet GPO La rplication des deux parties d'un GPO entre les contrleurs de domaine s'effectue par des mcanismes distincts. Dans Active Directory, le GPC est rpliqu par l'Agent de rplication d'annuaire (DRA), l'aide d'une topologie gnre par le Vrificateur de cohrence des donnes (KCC) qui peut tre dfinie ou affine manuellement. Vous tudierez la rplication Active Directory au Module 12. Le rsultat est que le GPC est rpliqu en quelques secondes dans tous les contrleurs de domaine d'un site et est rpliqu entre les sites selon votre configuration de la rplication intersites, galement traite au Module 12. Le GPT du rpertoire SYSVOL est rpliqu par l'une des deux technologies. Le Service de rplication de fichiers (FRS) est utilis pour la rplication de SYSVOL dans les domaines excutant Windows Server 2008, Windows Server 2003 et Windows 2000. Lorsque tous les contrleurs de domaine excutent Windows Server 2008, vous pouvez configurer la rplication de SYSVOL l'aide d'une Rplication distribue du systme de fichiers (DFSR), un mcanisme bien plus efficace et plus robuste. Le conteneur GPC et le modle GPT tant rpliqus sparment, ils peuvent ne plus tre synchrones pendant une courte priode. En gnral, lorsque cela se produit, le conteneur GPC effectue d'abord la rplication vers un contrleur de domaine. Les systmes qui ont obtenu leur liste trie des objets GPO partir de ce contrleur de domaine identifieront le nouveau conteneur GPC, tenteront de tlcharger le modle GPT et remarqueront que les numros de version ne sont pas identiques. Une erreur de traitement de stratgie est alors enregistre dans les journaux d'vnements. Lorsque l'inverse se produit et que l'objet GPO est rpliqu dans un contrleur de domaine avant le conteneur GPC, les clients qui obtiennent leur liste trie d'objets GPO partir de ce contrleur de domaine ne sont pas avertis du nouveau GPO avant la rplication du conteneur GPC.
6-34
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Vous pouvez tlcharger l'Outil de vrification des stratgies de groupe, GPTool.exe, depuis le Centre de tlchargement Microsoft. Cet outil fait partie des Kits de ressources Windows. Il gnre des rapports sur l'tat des GPO du domaine et peut identifier les instances dans lesquelles, sur un contrleur de domaine, le conteneur GPC et le modle GPT ne prsentent pas la mme version. Pour plus d'informations sur l'outil GPTool.exe, tapez gpotool /? sur la ligne de commande.
6-35
Points cls
Les paramtres de stratgie de groupe, galement appels stratgies, sont stocks dans un GPO et affichs et modifis via la console GPME. Dans cette dmonstration, vous allez tudier plus en profondeur les catgories de paramtres disponibles dans un GPO. Configuration ordinateur et Configuration utilisateur Il existe deux grands groupes de paramtres de stratgie : les paramtres ordinateur, stocks dans le nud Configuration ordinateur, et les paramtres utilisateur, stocks dans le nud Configuration utilisateur. Le nud Configuration ordinateur contient les paramtres appliqus aux ordinateurs, quelle que soit la personne qui y ouvre une session. Les paramtres ordinateur sont appliqus au dmarrage du systme d'exploitation, puis lors de l'actualisation en arrire-plan toutes les 90 120 minutes. Le nud Configuration utilisateur contient les paramtres appliqus lorsqu'un utilisateur ouvre une session sur l'ordinateur, puis lors de l'actualisation en arrire-plan toutes les 90 120 minutes.
6-36
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Les nuds Configuration ordinateur et Configuration utilisateur renferment les nuds Stratgies et Prfrences. Les stratgies sont des paramtres configurs et se comportent de la mme manire que les paramtres de stratgie des versions prcdentes de Windows. Les Prfrences sont apparues avec Windows Server 2008. Les sections suivantes examinent ces nuds. Les nuds Stratgies des nuds Configuration ordinateur et Configuration utilisateur renferment la hirarchie des dossiers contenant les paramtres de stratgie. Comme il existe des milliers de paramtres, l'tude de chacun d'eux dpasse la porte de ce cours. Il est cependant utile de dfinir les principales catgories de paramtres de ces dossiers. Nud Paramtres des logiciels Le premier de ces nuds est le nud Paramtres des logiciels, qui ne contient que l'extension Installation de logiciel. Cette extension d'installation de logiciel vous permet de spcifier comment les applications sont installes et gres au sein de votre entreprise. C'est galement cet emplacement que les diteurs de logiciels indpendants (ISP) ajoutent des paramtres. Le dploiement de logiciels par stratgie du groupe est trait au Module 7. Nud Paramtres Windows Dans les nuds Configuration ordinateur et Configuration utilisateur, le nud Stratgies contient un nud Paramtres Windows qui contient lui-mme les nuds Scripts, Paramtres de scurit et QoS base sur la stratgie. L'extension Scripts vous permet de spcifier deux types de scripts : Dmarrage/Arrt (dans le nud Configuration ordinateur) et Ouverture de session/Fermeture de session (dans le nud Configuration utilisateur). Les scripts Dmarrage/Arrt s'excutent au dmarrage ou l'arrt de l'ordinateur. Les scripts Ouverture de session/Fermeture de session s'excute lorsque l'utilisateur ouvre ou ferme une session sur l'ordinateur. Lorsque vous affectez plusieurs scripts Dmarrage/Arrt ou Ouverture de session/Fermeture de session un utilisateur ou un ordinateur, l'extension ct client Scripts excute les scripts de haut en bas. Vous pouvez dfinir l'ordre d'excution de plusieurs scripts dans la bote de dialogue Proprits. la fermeture d'un ordinateur, l'extension ct client commence par traiter les scripts de fermeture de session, puis les scripts d'arrt. Par dfaut, la valeur du dlai de traitement des scripts est de 10 minutes. Si le traitement des scripts de fermeture de session et d'arrt ncessite plus de 10 minutes, ajustez la valeur du dlai l'aide d'un paramtre de stratgie. Vous pouvez utiliser n'importe quel langage de script ActiveX pour rdiger des scripts. Microsoft Visual Basic Scripting Edition (VBScript), Microsoft JScript, Perl et les fichiers de commandes de style Microsoft MS-DOS (.bat et .cmd) sont quelques possibilits. Les scripts d'ouverture de session stocks dans un rpertoire rseau partag dans une autre fort sont pris en charge pour l'ouverture de session rseau entre les forts.
6-37
Le nud Paramtres de scurit permet l'administrateur de la scurit de configurer la scurit l'aide d'objets GPO. Cette opration peut tre effectue par la suite ou remplace par une dfinition l'aide d'un modle de scurit. Pour une prsentation dtaille de la scurit du systme et du nud Paramtres de scurit, reportez-vous au Module 7. Le nud QoS base sur la stratgie dfinit les stratgies qui grent le trafic rseau. Par exemple, vous pouvez faire en sorte que les utilisateurs du dpartement financier puissent excuter une application rseau stratgique en priorit pendant la priode de gnration des tats financiers de fin d'anne. Le nud QoS base sur la stratgie vous permet ce genre de configuration. Le dossier Paramtres Windows du nud Configuration utilisateur contient galement les nuds Services d'installation distance, Redirection de dossiers et Maintenance d'Internet Explorer. Les stratgies Services d'installation distance (RIS) contrlent le comportement d'une installation de systme d'exploitation distance. La Redirection de dossiers permet de rediriger les dossiers des donnes et paramtres utilisateur (AppData, Desktop, Documents, Images, Musique et Favoris, par exemple), stocks dans l'emplacement par dfaut du profil utilisateur, vers un autre emplacement du rseau autorisant une gestion centralise. La Maintenance d'Internet Explorer permet d'administrer et de personnaliser Microsoft Internet Explorer. Nud Modles d'administration Le nud Modles d'administration des nuds Configuration ordinateur et Configuration utilisateur contient les paramtres de stratgie de groupe du Registre. Ces paramtres existent par milliers et permettent de configurer l'environnement des utilisateurs et des ordinateurs. En tant qu'administrateur, la manipulation de ces paramtres peut vous prendre beaucoup de temps. Pour simplifier leur utilisation, une description de chaque paramtre de stratgie est disponible en deux emplacements : Dans l'onglet Expliquer de la bote de dialogue Proprits du paramtre. L'onglet Paramtres de la bote de dialogue Proprits du paramtre rpertorie en outre le systme d'exploitation ou les logiciels requis pour ce paramtre. Dans l'onglet tendu de la console GPME. L'onglet tendu s'affiche dans le coin infrieur droit du volet d'informations et fournit une description de chaque paramtre slectionn dans une colonne entre l'arborescence de la console et le volet des paramtres. Le systme d'exploitation ou les logiciels requis pour chaque paramtre est galement rpertori.
Le nud Modles d'administration fait l'objet d'une description dtaille plus loin dans ce module.
6-38
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Nud Prfrences Le nud Prfrences est situ sous les nuds Configuration ordinateur et Configuration utilisateur. Nouveaut de Windows Server 2008, les prfrences fournissent plus de 20 extensions ct client et vous permettent de grer un nombre incroyable de paramtres supplmentaires, dont les suivants : Applications, telles que Microsoft Office 2003 et Office 2007 Lecteurs mapps Paramtres du Registre Options d'alimentation Options des dossiers Paramtres rgionaux Options du menu Dmarrer
Les prfrences vous permettent galement de dployer les lments suivants : Fichiers et dossiers Raccourcis Imprimantes Tches planifies Connexions rseau
Ces prfrences seront un avantage pour la plupart des entreprises car les options disponibles permettent d'activer ou de dsactiver des priphriques matriels ou des classes de priphriques. Vous pouvez par exemple utiliser les prfrences pour interdire la connexion de lecteurs USB, notamment des lecteurs multimdia personnels, aux ordinateurs. Pour configurer les prfrences, vous devez utiliser la nouvelle version de la console GPME. Cette nouvelle version fait partie des Outils d'administration de serveur distant (RSAT) qui peuvent tre installs sous Windows Server 2008, Windows Vista et les versions ultrieures. Pour appliquer les prfrences, les systmes ont besoin des extensions CSE Prfrences, incluses dans Windows Server 2008 et Windows 7. Les extensions CSE pour Windows XP, Windows Server 2003 et Windows Vista peuvent tre tlcharges depuis le Centre de tlchargement Microsoft.
6-39
L'interface qui vous permet de configurer la plupart des prfrences ressemble celle de Windows, dans laquelle vous effectueriez la modification manuellement.
La figure ci-dessus prsente l'lment de prfrence Options des dossiers (Windows XP), ensemble des paramtres traits par l'extension ct client Prfrences. La similitude avec l'application Options des dossiers du Panneau de configuration est flagrante.
tapes de la dmonstration
1. 2. 3. Basculez vers HQDC01. Cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Modifier. Prenez le temps de dcouvrir les paramtres disponibles dans un GPO. N'apportez aucune modification.
6-40
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
Vous tes charg de grer les modifications et la configuration de la socit Contoso, Ltd. Les stratgies de scurit informatique de cette socit spcifient que les ordinateurs ne doivent pas rester sans surveillance et connects pendant plus de 10 minutes. Vous allez par consquent configurer les paramtres de stratgie du dlai d'expiration et de la protection par mot de passe des crans de veille. Vous allez en outre verrouiller l'accs aux outils de modification du Registre.
6-41
6-42
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3. 4. 5. 6. 7.
Empchez les utilisateurs d'excuter l'diteur du registre et la commande regedit /s. Accdez au dossier Configuration utilisateur, Stratgies, Modles d'administration, Panneau de configuration, Affichage. Examinez le texte explicatif du paramtre de stratgie du dlai d'expiration cran de veille. Configurez la stratgie de dlai cran de veille sur 600 secondes. Activez le paramtre de stratgie Un mot de passe protge l'cran de veille.
Remarque : n'teignez pas les ordinateurs virtuels la fin de cet atelier pratique car les paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants.
6-43
6-44
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 3
Les leons 1 et 2 vous ont donn des bases suffisantes pour implmenter une stratgie de groupe dans un domaine AD DS. Toutefois, pour rellement matriser la Stratgie de groupe et la grer dans une entreprise complexe et relle, vous devez connatre davantage d'informations sur les paramtres, les objets GPO et la gestion de la stratgie de groupe.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : comprendre les diffrences entre les stratgies, les prfrences et les paramtres grs et non grs ; crer le magasin central pour les modles d'administration ; documenter un objet GPO et ses paramtres de stratgie l'aide de commentaires ;
6-45
rechercher des paramtres de stratgie spcifiques dans un objet GPO ; crer un objet GPO partir d'un GPO Starter ; sauvegarder un objet GPO ; crer un objet GPO avec les paramtres d'un objet GPO sauvegard.
6-46
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Le nud Modles d'administration contient des milliers de paramtres qui vous permettent de contrler la plupart des aspects de Windows.
6-47
La bote de dialogue Proprits du paramtre de stratgie Empche l'accs aux outils de modification du Registre est prsente ci-dessous :
Si ce paramtre est activ et que l'utilisateur tente de dmarrer l'diteur du Registre, un message s'affiche et explique qu'un paramtre interdit cette action.
Remarque : pour empcher les utilisateurs d'employer d'autres outils d'administration, exploitez le paramtre Excuter uniquement les applications Windows spcifies ou le paramtre Stratgies de restriction logicielle, qui dpassent la porte de ce cours.
Les stratgies du nud Modles d'administration modifient le Registre. Les paramtres du nud Configuration ordinateur modifient les valeurs de la cl HKEY_LOCAL_MACHINE (HKLM) du Registre. Les paramtres du nud Modles d'administration du nud Configuration utilisateur modifient les valeurs de la cl HKEY_CURRENT_USER (HKCU) du Registre.
6-48
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Si vous choisissez de restreindre l'excution silencieuse de Regedit, cette valeur est dfinie sur 2. Si vous choisissez de restreindre uniquement l'outil d'interface utilisateur diteur de Registre, la valeur est dfinie sur 1.
6-49
Points cls
Les paramtres de stratgie du Registre configurs par le nud Modles d'administration prsentent une nuance qu'il est important de comprendre : la diffrence entre les paramtres de stratgie grs et non grs. Un paramtre de stratgie gr prsente les caractristiques suivantes : L'interface utilisateur est verrouille de sorte que les utilisateurs ne puissent pas modifier le paramtre. Les paramtres de stratgie grs ont pour rsultat la dsactivation de l'interface utilisateur approprie. Par exemple, si vous configurez le paramtre de stratgie Dlai de l'cran de veille, l'utilisateur ne peut plus modifier ce dlai dans son interface. Les modifications sont apportes dans l'une des quatre cls du Registre rserves aux paramtres de stratgie grs : HKLM\Software\Policies (paramtres ordinateur) HKCU\Software\Policies (paramtres utilisateur)
6-50
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Ces cls sont scurises et seuls les administrateurs peuvent les modifier. Il en est de mme pour le verrouillage de l'interface utilisateur. Cela signifie que les utilisateurs non administrateurs recevront la modification spcifie par l'intermdiaire du paramtre de stratgie et ne pourront plus modifier ce paramtre dans leur ordinateur. Les modifications apportes par un paramtre de Stratgie de groupe, et le verrouillage de l'interface utilisateur, sont librs lorsque l'utilisateur ou l'ordinateur n'entre plus dans l'tendue du GPO. Par exemple, si vous supprimez un GPO, les paramtres de stratgie grs qui ont t appliqus un utilisateur seront librs. Gnralement, cela signifie que le paramtre reprend son tat prcdent. De plus, l'interface utilisateur est active pour le paramtre.
Les paramtres de stratgie de Registre dcrits jusqu' prsent et utiliss en pratique dans ce chapitre sont des exemples de paramtres de stratgie grs. Un paramtre de stratgie gr modifie la configuration d'une manire ou d'une autre lorsque le paramtre est appliqu par un GPO. Lorsque l'utilisateur ou l'ordinateur n'est plus dans l'tendue du GPO, la configuration est automatiquement libre. Par exemple, lorsqu'un GPO interdit l'accs aux outils de modification du Registre, puis est supprim, dsactiv ou lorsque son tendue est modifie de sorte qu'elle ne s'applique plus aux utilisateurs, ces derniers peuvent nouveau utiliser les outils de modification du Registre ds la prochaine actualisation de la stratgie, comportement par dfaut de Windows, sauf si une autre restriction a t implmente un autre niveau. l'inverse, un paramtre de stratgie non gr modifie dfinitivement le Registre. Mme si le GPO ne s'applique plus, le paramtre demeure. Il est souvent question dans ce cas de tatouage du Registre, c'est--dire d'une modification permanente. Pour inverser l'effet du paramtre de stratgie, vous devez dployer une modification qui ramne la configuration dans l'tat dsir. De plus, un paramtre de stratgie non gr ne verrouille pas l'interface utilisateur pour ce paramtre. Par dfaut, la console GPME masque les paramtres de stratgie non grs afin de vous dissuader d'implmenter une configuration qui sera difficile inverser. Les paramtres de stratgie non grs permettent toutefois d'effectuer la plupart des modifications utiles, en particulier lorsqu'il s'agit de grer la configuration des applications l'aide des modles d'administration personnaliss.
6-51
Pour contrler la visibilit des paramtres de stratgie, cliquez du bouton droit sur Modles d'administration, choisissez Options des filtres, puis une option dans la liste droulante Gr. Dans la suite de ce module, vous allez utiliser les prfrences de stratgie de groupe. Lorsqu'une modification est apporte par une prfrence, cette modification tatoue le systme. Une option, incluse dans certaines prfrences, permet toutefois de supprimer la prfrence lorsqu'elle ne s'applique plus l'utilisateur ou l'ordinateur. Ce n'est pas la mme chose qu'un paramtre de stratgie gr qui, une fois libr, reprend gnralement sa valeur d'origine. Lors de la suppression d'une prfrence, le paramtre est en fait entirement supprim.
6-52
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Modles d'administration
Points cls
Pour quelle raison les nuds Modles d'administration sont-ils appels ainsi ? Parce que les paramtres contenus dans ces nuds drivent des fichiers appels modles d'administration.
6-53
Un modle d'administration est un fichier texte qui dfinit une modification de Registre apporter et qui gnre l'interface utilisateur permettant de configurer les paramtres de stratgie Modles d'administration dans la console GPME. La capture d'cran ci-aprs illustre la bote de dialogue Proprits du paramtre de stratgie Empche l'accs aux outils de modification du Registre :
L'existence de ce paramtre, et le fait qu'il fournisse une liste droulante permettant de dsactiver l'excution silencieuse de Regedit.exe, sont dtermins dans un modle d'administration. Le paramtre de Registre, cr en fonction de votre mode de configuration de la stratgie, est galement dfini dans le modle d'administration. Certains diteurs de logiciels proposent un mcanisme de gestion centralise de la configuration de leurs applications sous forme de modles d'administration. Par exemple, vous pouvez obtenir des modles d'administration pour toutes les versions rcentes de Microsoft Office depuis le Centre de tlchargement Microsoft. Vous pouvez galement crer vos propres modles d'administration personnaliss. Un didacticiel de cration de modles d'administration personnaliss dpasse l'objectif de ce cours.
6-54
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Fichiers .ADM Les modles d'administration des versions de Windows antrieures Windows Vista ont une extension .ADM. Les fichiers .ADM prsentent plusieurs inconvnients. D'abord, toute la localisation doit tre effectue au sein du fichier .ADM. Cela signifie que, lorsque vous voulez crer un fichier .ADM pour dployer une configuration dans une organisation multilingue, vous devez utiliser des fichiers .ADM distincts pour chaque langue afin de fournir une interface utilisateur aux administrateurs qui parlent cette langue. Si vous dcidez ensuite d'apporter une modification lie aux paramtres de Registre grs par les modles, il vous faut alors modifier chaque fichier .ADM. Le second problme des fichiers .ADM est leur mode de stockage. Tout fichier .ADM est stock en tant que partie du Modle de stratgie de groupe (GPT) dans le rpertoire SYSVOL. Un fichier .ADM utilis dans plusieurs GPO est stock plusieurs reprises, ce qui contribue l'encombrement du rpertoire SYSVOL. Le maintien du contrle de version des fichiers .ADM prsentait galement des difficults. Pour ajouter des modles d'administration classiques la console GPME, cliquez du bouton droit sur le nud Modles d'administration et choisissez Ajouter/supprimer des modles. Fichiers .ADMX/.ADML Sous Windows Vista et Windows Server 2008, le modle d'administration est une paire de fichiers XML, l'un dot d'une extension .ADMX qui dfinit les modifications apporter au Registre, l'autre dot d'une extension .ADML qui fournit l'interface utilisateur en une langue spcifique dans la console GPME. Lorsque le modle d'administration doit modifier des paramtres grs, ces modifications peuvent tre apportes au seul fichier .ADMX. Tout administrateur qui modifie un GPO qui utilise le modle accde ce mme fichier .ADMX et appelle le fichier .ADML appropri pour alimenter l'interface utilisateur. Pour ajouter des modles d'administration .ADMX/.ADML la console GPME, copiez le fichier .ADMX dans le dossier %SystemRoot%\PolicyDefinitions de votre client ou dans le magasin central. Copiez le fichier .ADML dans le sous-dossier propre la langue et la rgion, par exemple en-us, du dossier %SystemRoot%\PolicyDefinitions de votre client ou dans le magasin central. Le magasin central est trait la rubrique suivante. Inutile de prendre parti Les modles d'administration .ADM et .ADMX/.ADML peuvent coexister. Les paramtres gnrs par les fichiers .ADM apparatront sous le nud Modles d'administration dans un nud intitul Modles d'administration classiques (ADM).
6-55
Migration des modles d'administration classiques (.ADM) vers des fichiers .ADMX L'outil de migration ADMX vous permet de convertir des fichiers ADM au format ADMX. Pour plus d'informations, voir : Outil de migration ADMX (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99466 Tlchargement de l'outil de migration ADMX (blog) (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=113124
6-56
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Magasin central
Points cls
Comme nous l'avons vu prcdemment, les fichiers .ADM sont stocks au sein de l'objet GPO lui-mme, dans le modle GPT. Lorsque vous modifiez un GPO qui utilise des modles d'administration au format .ADM, l'diteur GPME charge le fichier .ADM depuis le GPT pour produire l'interface utilisateur. Lorsque les fichiers .ADMX/.ADML sont utiliss comme modles d'administration, le GPO contient uniquement les donnes dont le client a besoin pour traiter la Stratgie du groupe, et lorsque vous modifiez le GPO, le GPME extrait les fichiers .ADMX et .ADML de la station de travail locale. Cela convient parfaitement aux petites organisations, mais pour les environnements complexes comprenant des modles d'administration personnaliss ou ncessitant un contrle plus centralis, Windows Server 2008 a introduit le Magasin central. Le magasin central est un dossier du rpertoire SYSVOL contenant tous les fichiers .ADMX et .ADML requis. Ds lors qu'un Magasin central a t configur, l'diteur GPME le reconnat et charge tous les modles d'administration depuis ce magasin central et non plus depuis l'ordinateur local.
6-57
Pour crer un magasin central : 1. Crez un dossier nomm PolicyDefinitions dans le chemin \\FQDN\SYSVOL\FQDN\Policies. Par exemple, le magasin central du domaine contoso.com serait :
\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions
Si vous ouvrez une session sur un contrleur de domaine, localement ou l'aide du Bureau distance, le chemin local du dossier PolicyDefinitions est le suivant :
%SystemRoot%\SYSVOL\domaine\Policies\PolicyDefinitions
2.
Copiez tous les fichiers .ADMX du dossier %SystemRoot%\PolicyDefinitions d'un systme Windows Server 2008 vers le nouveau dossier SYSVOL PolicyDefinitions. Copiez les fichiers .ADML du sous-dossier propre la langue approprie du rpertoire %SystemRoot%\PolicyDefinitions dans le sous-dossier propre la langue du nouveau dossier SYSVOL PolicyDefinitions. Par exemple, les fichiers .ADML Anglais (tats-Unis) sont stocks dans le dossier %SystemRoot%\PolicyDefinitions\en-us. Copiez-les dans le dossier \\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\en-us.
3.
4.
Lorsque d'autres langues sont ncessaires, copiez le dossier contenant les fichiers .ADML de cette langue dans le magasin central.
Quand tous les fichiers .ADMX et .ADML ont t copis, le dossier PolicyDefinitions du contrleur de domaine doit contenir les fichiers .ADMX et un ou plusieurs dossiers qui contiennent des fichiers .ADML spcifiques chaque langue.
Remarque : vous pouvez utiliser le magasin central dans un environnement mixte, avec des clients et des serveurs fonctionnant sous des systmes d'exploitation antrieurs Windows Vista et Windows Server 2008. Toutefois, vous devez utiliser un systme d'exploitation Windows Vista, Windows Server 2008 ou ultrieur pour grer une stratgie de groupe. Cela signifie que votre poste de travail administratif doit excuter une version de Windows capable d'exploiter le magasin central. Les objets GPO que vous crez peuvent tre appliqus aux versions prcdentes de Windows.
6-58
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Filtrage des paramtres des modles d'administration L'incapacit rechercher un paramtre de stratgie spcifique est un point faible des outils de modification de stratgie de groupe des versions prcdentes de Windows. Les choix disponibles comprenant des milliers de stratgies, il peut tre difficile de localiser avec prcision le paramtre configurer. Le nouvel diteur GPME de Windows Server 2008 rsout ce problme pour les paramtres Modles d'administration : vous pouvez prsent crer des filtres pour localiser des paramtres de stratgie spcifiques.
6-59
Pour crer un filtre : 1. 2. Cliquez du bouton droit sur Modles d'administration et choisissez Options de filtre. Pour localiser une stratgie spcifique, slectionnez Activer les filtres par mots cls, saisissez les mots rechercher, puis slectionnez les champs dans lesquels la recherche doit s'effectuer. La capture d'cran prsente ici illustre un exemple de recherche de paramtres de stratgie lis l'cran de veille :
6-60
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
La section suprieure de la bote de dialogue Options des filtres vous permet de filtrer la vue de manire afficher uniquement les paramtres de stratgie configurs. Cela peut vous aider localiser et modifier les paramtres dj spcifis dans le GPO. Vous pouvez galement filtrer des paramtres de stratgie de groupe qui s'appliquent des versions spcifiques de Windows, Internet Explorer et d'autres composants Windows. Malheureusement, le filtre ne s'applique qu'aux paramtres des nuds Modles d'administration. Commentaires Vous pouvez galement rechercher et filtrer sur la base des commentaires des paramtres de stratgie. Windows Server 2008 vous permet d'ajouter des commentaires aux paramtres de stratgie du nud Modles d'administration. Pour ce faire, double-cliquez sur un paramtre de stratgie, puis ouvrez l'onglet Commentaire. Une bonne pratique consiste ajouter des commentaires aux paramtres de stratgie configurs pour documenter la raison d'tre d'un paramtre et son objectif recherch. Ajoutez galement des commentaires au GPO lui-mme. Windows Server 2008 vous permet de joindre des commentaires un GPO : dans la console GPME, cliquez du bouton droit sur le nud racine de l'arborescence de la console, choisissez Proprits, puis ouvrez l'onglet Commentaire. Objets GPO Starter Les objets de stratgie de groupe Starter font partie des nouvelles fonctionnalits de stratgie de groupe de Windows Server 2008. Un GPO Starter contient les paramtres des modles d'administration. Vous pouvez crer un nouvel objet GPO partir d'un GPO Starter, auquel cas une copie des paramtres de ce dernier prrenseigne le nouvel objet. Un GPO Starter est en ralit un modle. Malheureusement, Microsoft utilisant dj le terme modle pour les modles d'administration, une autre appellation tait ncessaire. Lorsque vous crez un nouveau GPO, vous pouvez toujours choisir de commencer avec un GPO vide, mais vous pouvez galement slectionner l'un des GPO Starter prexistants ou un GPO Starter personnalis. Lorsqu'un GPO est cr partir d'un GPO Starter, aucun lien n'existe avec ce dernier. Les modifications apportes au GPO Starter n'affectent pas les GPO dj crs partir du GPO Starter.
6-61
Autres mthodes de copie des paramtres d'un objet GPO Les GPO Starter contiennent uniquement les paramtres de stratgie Modles d'administration. Deux autres mthodes permettent de copier les paramtres d'un GPO vers un nouveau GPO. Vous pouvez copier et coller des GPO entiers dans le conteneur Objets de stratgie de groupe de la console GPMC afin que le nouveau GPO inclue tous les paramtres du GPO source. Pour transfrer des paramtres entre des GPO de forts ou de domaines diffrent(e)s, cliquez du bouton droit sur un GPO et choisissez Sauvegarder. Dans le domaine cible, crez un nouveau GPO, cliquez du bouton droit sur son entre et choisissez Importer des paramtres. Cette opration vous permet d'importer les paramtres du GPO sauvegard.
tapes de la dmonstration
Utilisation des Options de filtre pour localiser des stratgies dans les modles d'administration 1. 2. Basculez vers HQDC01. Excutez Gestion de stratgie du groupe avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez Forest: contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratgie de groupe. Dans le volet d'informations, cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Modifier. L'diteur de gestion des stratgies de groupe s'ouvre. 5. 6. 7. 8. Dans l'arborescence de la console, dveloppez Configuration utilisateur, Stratgies, puis cliquez sur Modles d'administration. Cliquez du bouton droit sur Modles d'administration et choisissez Options de filtre. Cochez la case Activer les filtres par mots cls. Dans la zone de texte Filtrer par le ou les mots, tapez cran de veille.
3.
4.
6-62
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
9.
Dans la liste droulante accole la zone de texte, slectionnez Exact, puis cliquez sur OK. Les paramtres de stratgie Modles d'administration sont alors filtrs et seuls ceux qui contiennent les mots cran de veille s'affichent.
10. Prenez le temps d'examiner les paramtres dtects. 11. Dans l'arborescence de la console, cliquez du bouton droit sur Modles d'administration sous Configuration utilisateur, et choisissez Options de filtre. 12. Dsactivez la case cocher Activer les filtres par mots cls. 13. Dans la liste droulante Configur, slectionnez Oui, puis cliquez sur OK. Les paramtres de stratgie Modles d'administration sont alors filtrs et seuls ceux qui ont t configurs (activs ou dsactivs) s'affichent. 14. Prenez le temps d'examiner ces paramtres. 15. Dans l'arborescence de la console, cliquez du bouton droit sur Modles d'administration sous Configuration utilisateur, et dsactivez l'option Filtre actif. Ajout de commentaires un paramtre de stratgie 1. Dans l'arborescence de la console, dveloppez successivement Configuration utilisateur, Stratgies, Modles d'administration, Panneau de configuration, puis cliquez sur Affichage. Double-cliquez sur le paramtre de stratgie cran de veille. Ouvrez l'onglet Commentaire. Tapez Stratgie de scurit informatique de l'entreprise implmente en combinaison avec la protection par mot de passe de l'cran de veille, puis cliquez sur OK. Double-cliquez sur le paramtre de stratgie Un mot de passe protge l'cran de veille. Ouvrez l'onglet Commentaire. Tapez Stratgie de scurit informatique de l'entreprise implmente en combinaison avec le dlai d'activation de l'cran de veille, puis cliquez sur OK.
2. 3. 4.
5. 6. 7.
6-63
Ajout de commentaires un objet GPO 1. 2. 3. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le nud racine CONTOSO Standards et choisissez Proprits. Ouvrez l'onglet Commentaire. Tapez Stratgies standardise de l'entreprise Contoso. Les paramtres sont tendus tous les utilisateurs et ordinateurs du domaine. Responsable de ce GPO : votre nom. Ce commentaire s'affiche dans l'onglet Dtails du GPO dans la console GPMC. 4. Cliquez sur OK.
Cration d'un nouvel objet GPO partir d'un GPO Starter 1. 2. 3. 4. 5. Dans l'arborescence de la console GPMC, cliquez sur le conteneur Objets de stratgie de groupe Starter. Dans le volet d'informations, cliquez sur le bouton Crer le dossier des objets GPO Starter. Dans l'arborescence de la console, cliquez du bouton droit sur le conteneur Objets de stratgie de groupe Starter et choisissez Nouveau. Dans Nom, tapez CONTOSO Starter GPO, puis cliquez sur OK. Dans le volet d'informations, cliquez du bouton droit sur CONTOSO Starter GPO et choisissez Modifier. L'diteur de gestion des stratgies de groupe s'ouvre. Vrifiez et modifiez les paramtres selon vos besoins. 6. 7. 8. Fermez l'diteur de gestion des stratgies de groupe. Dans le volet d'informations, cliquez du bouton droit sur CONTOSO Starter GPO et choisissez Nouvel objet GPO cr partir de l'objet GPO Starter. Dans Nom, tapez CONTOSO Desktop, puis cliquez sur OK.
Cration d'un nouveau GPO par copie d'un GPO existant 1. Dans l'arborescence de la console GPMC, dveloppez le conteneur Objets de stratgie de groupe, cliquez du bouton droit sur le GPO CONTOSO Desktop et choisissez Copier. Cliquez du bouton droit sur le conteneur Objets de stratgie de groupe, choisissez Coller, puis cliquez sur OK. Cliquez sur OK.
2. 3.
6-64
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Cration d'un nouveau GPO par importation des paramtres exports partir d'un autre GPO 1. Dans l'arborescence de la console GPMC, dveloppez le conteneur Objets de stratgie de groupe, cliquez du bouton droit sur le GPO CONTOSO Desktop et choisissez Sauvegarder. Dans le champ Emplacement, tapez D:\Labfiles\Lab06b, , puis cliquez sur Sauvegarder. Lorsque la sauvegarde est termine, cliquez sur OK. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le conteneur Objets de stratgie de groupe et choisissez Nouveau. Dans Nom, tapez CONTOSO Import, puis cliquez sur OK. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le GPO CONTOSO Import et choisissez Importer des paramtres. L'Assistant Importation des paramtres s'affiche. 7. 8. 9. Cliquez sur Suivant trois reprises. Slectionnez le GPO CONTOSO Desktop, puis cliquez sur Suivant deux reprises. Cliquez sur Terminer, puis sur OK.
2. 3. 4. 5. 6.
6-65
Points cls
Lorsque vous cliquez du bouton droit sur un GPO dans la console GPMC, le menu qui s'affiche contient des commandes de gestion trs utiles : Copier : vous pouvez copier un GPO, puis cliquer du bouton droit sur le conteneur Objets de stratgie de groupe et choisir Coller pour crer une copie de ce GPO. Cette option est trs utile pour crer un nouveau GPO dans le mme domaine et commencer avec les paramtres d'un GPO existant. Elle est galement utile pour copier un GPO dans un autre domaine, par exemple entre un domaine de test et un domaine de production. Pour copier un GPO d'un domaine l'autre, ajoutez le domaine approuv cible la console GPMC. Vous devez dans ce cas tre autoris crer des GPO dans le domaine cible. Lorsque vous collez un GPO, vous avez la possibilit de copier la liste de contrle d'accs (ACL) du GPO source, ce qui prserve le filtrage de scurit, ou d'utiliser la liste de contrle d'accs par dfaut des nouveaux GPO dans le domaine cible.
6-66
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Sauvegarder : comme pour toutes les donnes stratgiques, il est important de sauvegarder les GPO. Tout GPO tant compos de plusieurs fichiers, objets, autorisations et liens, la gestion de leur sauvegarde et de leur restauration peut s'avrer dlicate. Par chance, la commande Sauvegarder extrait l'ensemble de ces lments en un seul emplacement et simplifie l'extrme la restauration. Restaurer partir d'une sauvegarde : cette option permet de restaurer l'intgralit d'un GPO, y compris ses fichiers, ses objets, ses autorisations et ses liens, dans le mme domaine que le GPO d'origine. Importer les paramtres : cette option permet de n'importer que les paramtres d'un objet GPO sauvegard. Cette opration n'importe pas les autorisations ni les liens, ce qui se rvle utile pour transfrer des GPO entre des domaines non approuvs pour lesquels les oprations de copier/coller sont bannies. Lorsqu'un GPO comprend des paramtres potentiellement propres au domaine, notamment les chemins UNC ou les noms des groupes de scurit, le systme vous demande si vous souhaitez importer ces paramtres tels qu'ils ont t sauvegards ou si vous souhaitez utiliser une table de migration associant les noms sources et cibles. Enregistrer le rapport : cette option permet d'enregistrer un rapport HTML sur les paramtres du GPO. Supprimer Renommer
Lectures complmentaires
Fonctionnement des objets GPO (ventuellement en anglais) : http://go.microsoft.com/fwlink/?LinkId=168655 Sauvegarde, restauration, migration et copie d'objets GPO (ventuellement en anglais) : http://go.microsoft.com/fwlink/?LinkId=168656
6-67
Scnario
Vous avez rcemment t engag en tant qu'administrateur de domaine de la socit Contoso, Ltd. en remplacement de l'administrateur prcdent qui vient de prendre sa retraite. Comme vous n'tes pas certain de savoir quels paramtres de stratgie ont t configurs, vous dcidez de localiser et de documenter les GPO et les paramtres de stratgie. Vous dcouvrez galement que la socit n'a pas tir parti des fonctionnalits et des capacits de gestion des modles d'administration.
6-68
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3.
6-69
3.
6-70
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3. 4. 5. 6. 7.
6-71
12. Double-cliquez sur ControlPanelDisplay.admx. 13. Choisissez l'option Slectionner un programme dans la liste des programmes installs et cliquez sur OK. 14. Slectionnez Bloc-notes et cliquez sur OK. 15. Recherchez le texte ScreenSaverIsSecure. 16. Examinez le code du fichier, galement illustr ci-dessous :
<policy name="ScreenSaverIsSecure" class="User" displayName="$(string.ScreenSaverIsSecure)" explainText="$(string.ScreenSaverIsSecure_Help)" key="Software\Policies\Microsoft\Windows\Control Panel\Desktop" valueName="ScreenSaverIsSecure"> <parentCategory ref="Display" /> <supportedOn ref="windows:SUPPORTED_Win2kSP1" /> <enabledValue> <string>1</string> </enabledValue> <disabledValue> <string>0</string> </disabledValue> </policy>
17. Identifiez les parties du modle qui dfinissent les lments suivants : Le nom du paramtre de stratgie qui apparat dans la console GPME Le texte explicatif de ce paramtre de stratgie La cl et la valeur de Registre affectes par ce paramtre de stratgie Les donnes places dans le Registre si la stratgie est active Les donnes places dans le Registre si la stratgie est dsactive
6-72
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
6-73
2. 3. 4.
5.
Remarque : n'arrtez pas les ordinateurs virtuels la fin de cet atelier pratique car les paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants.
6-74
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 4
Un objet de stratgie de groupe n'est en soi qu'une simple collection d'instructions de configuration que les extensions ct client des ordinateurs traiteront. Avant la dfinition de son tendue, le GPO ne s'applique aucun utilisateur ou ordinateur. L'tendue du GPO dtermine les extensions ct client des ordinateurs qui devront recevoir et traiter le GPO, et seuls les ordinateurs ou utilisateurs appartenant l'tendue d'un GPO appliqueront les paramtres de ce GPO. Dans cette leon, vous allez apprendre grer l'tendue d'un objet GPO. Plusieurs mcanismes permettent de dfinir l'tendue d'un GPO : Le lien du GPO vers un site, un domaine ou une unit d'organisation, et si ce lien est activ ou non L'option Appliquer d'un GPO L'option Bloquer l'hritage pour une unit d'organisation Le filtrage par groupe de scurit Le filtrage WMI
6-75
L'activation ou la dsactivation d'un nud de stratgie Le ciblage des prfrences Le traitement des stratgies en boucle
Vous devez pouvoir dfinir les utilisateurs ou les ordinateurs pour lesquels la configuration sera dploye, donc passer matre dans l'art de dfinir l'tendue des GPO. Dans cette leon, vous allez tudier chacun des mcanismes permettant de dfinir l'tendue d'un GPO et, du mme coup, matriser les concepts d'application, d'hritage et de priorit des stratgies de groupe.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : grer les liens des objets GPO ; identifier la relation entre une structure d'units d'organisation et l'application d'un objet GPO ; valuer l'hritage et la priorit des objets GPO ; comprendre les options Bloquer l'hritage et Lien appliqu ; appliquer un filtrage de scurit pour limiter l'tendue d'un objet GPO ; appliquer un filtre WMI un objet GPO ; cibler les prfrences de la stratgie de groupe ; connatre les recommandations en matire de dfinition de l'tendue de la stratgie de groupe.
6-76
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Liens de GPO
Points cls
Un GPO peut tre reli un ou plusieurs sites Active Directory, domaines ou units d'organisation. Une fois qu'une stratgie est relie un site, un domaine ou une unit d'organisation, les utilisateurs ou les ordinateurs et les utilisateurs de ce conteneur sont inclus dans l'tendue du GPO, y compris les ordinateurs et utilisateurs des units d'organisation enfants. Comme vous l'avez appris la leon 1, vous pouvez relier un GPO au domaine ou une unit d'organisation. Pour relier un GPO, cliquez du bouton droit sur le domaine ou l'unit d'organisation dans l'arborescence de la console GPMC et choisissez Lier un objet de stratgie de groupe existant. Si vous n'avez pas encore cr de GPO, cliquez sur Crer un objet GPO dans ce domaine {Domaine | Unit d'organisation | Site} et le lier ici. Vous pouvez choisir les mmes commandes pour relier un GPO un site, mais par dfaut, vos sites Active Directory ne sont pas visibles dans la console GPMC. Pour afficher les sites dans la console GPMC, cliquez du bouton droit sur Sites dans l'arborescence et choisissez Afficher les sites.
6-77
Remarque : GPO lis des sites et placement du contrleur de domaine. Un GPO reli un site affecte tous les ordinateurs de ce dernier, quel que soit le domaine auquel ces ordinateurs appartiennent (tant que tous les ordinateurs appartiennent la mme fort Active Directory). Par consquent, lorsque vous reliez un GPO un site, ce GPO peut tre appliqu plusieurs domaines d'une mme fort. Les GPO relis un site sont stocks dans les contrleurs du domaine dans lequel le GPO a t cr. Pour que ces objets GPO s'appliquent correctement, ils doivent donc pouvoir accder aux contrleurs de ce domaine. Si vous implmentez des stratgies lies des sites, vous devez envisager l'application de cette stratgie lors de la planification de votre infrastructure rseau. Vous pouvez soit placer un contrleur du domaine du GPO dans le site auquel la stratgie est relie, soit vous assurer qu'une connexion de rseau tendu (WAN) permette d'accder un contrleur du domaine du GPO.
Lorsque vous reliez un GPO un site, un domaine ou une unit d'organisation, vous dfinissez l'tendue initiale de ce GPO. Slectionnez un GPO et ouvrez l'onglet tendue pour identifier les conteneurs auxquels le GPO est reli. Dans le volet d'informations de la console GPMC, les liens de GPO s'affichent dans la premire section de l'onglet tendue, illustre ici :
L'impact des liens du GPO est que le Client de stratgie de groupe va tlcharger le GPO lorsque les objets ordinateur ou utilisateur entrent dans l'tendue du lien. Le GPO n'est tlcharg que s'il est nouveau ou mis jour. Pour renforcer l'efficacit de l'actualisation de la stratgie, le Client de stratgie de groupe met le GPO en cache.
6-78
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Liaison d'un GPO plusieurs units d'organisation Vous pouvez relier un mme objet GPO plusieurs sites ou units d'organisation. Il est par exemple courant d'appliquer la mme configuration aux ordinateurs de plusieurs units d'organisation. Vous pouvez dfinir cette configuration dans un seul GPO et relier ce dernier chaque unit d'organisation. Si vous changez ensuite les paramtres du GPO, les modifications s'appliquent toutes les units d'organisation auxquelles le GPO est reli. Suppression ou dsactivation d'un lien d'objet GPO Aprs avoir reli un GPO, son lien s'affiche dans la console GPMC sous le site, le domaine ou l'unit d'organisation. L'icne du lien du GPO prsente une petite flche de raccourcis. Lorsque vous cliquez du bouton droit sur le lien du GPO, un menu contextuel s'affiche, illustr ici :
Pour supprimer un lien de GPO, cliquez du bouton droit sur le lien dans l'arborescence de la console GPMC et choisissez Supprimer. La suppression d'un lien de GPO ne supprime pas le GPO lui-mme, qui reste dans son conteneur. La suppression du lien modifie l'tendue du GPO de sorte qu'il ne s'applique plus aux ordinateurs et utilisateurs du site, domaine ou unit d'organisation auquel il tait prcdemment reli. Vous pouvez galement modifier un lien de GPO en le dsactivant. Pour dsactiver un lien de GPO, cliquez du bouton droit sur le lien dans l'arborescence de la console GPMC et dsactivez l'option Lien activ. La dsactivation du lien modifie galement l'tendue du GPO de sorte qu'il ne s'applique plus aux ordinateurs et utilisateurs de ce conteneur. Comme le lien demeure, il peut facilement tre ractiv.
6-79
Points cls
Un paramtre de stratgie peut tre configur dans plusieurs GPO et les GPO peuvent tre en conflit les uns avec les autres. Par exemple, un paramtre de stratgie peut tre activ dans un GPO, dsactiv dans un autre et ne pas tre configur dans un troisime. Dans ce cas, la priorit des GPO dtermine quels paramtres de stratgie le client doit appliquer. Un GPO de priorit plus leve prvaudra sur un GPO dont la priorit est moins leve. Dans la console GPMC, la priorit prend la forme d'un nombre. Plus le nombre est petit (c'est--dire proche de 1), plus la priorit est leve. Un GPO de priorit 1 sera donc prioritaire sur les autres GPO. Slectionnez le domaine ou l'unit d'organisation, puis cliquez sur l'onglet Hritage de stratgie de groupe pour afficher la priorit de chaque GPO. Lorsqu'un paramtre de stratgie est activ ou dsactiv dans un GPO de priorit plus leve, le paramtre configur prend effet. Toutefois, n'oubliez pas que ces paramtres de stratgie sont dfinis par dfaut sur Non configur. Lorsqu'un paramtre de stratgie n'est pas configur dans un GPO de priorit plus leve, le paramtre de stratgie (activ ou dsactiv) d'un GPO de priorit infrieure prend effet.
6-80
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Un site, un domaine ou une unit d'organisation peut tre reli(e) plusieurs GPO. Dans ce cas, l'ordre des liens des GPO dtermine la priorit des GPO. Les GPO dont l'ordre des liens est plus lev sont prioritaires sur les GPO dont l'ordre des liens est moins lev. Lorsque vous slectionnez une unit d'organisation dans la console GPMC, l'onglet Objets de stratgie de groupe lis prsente l'ordre des liens des GPO relis cette unit d'organisation. Le comportement par dfaut d'une stratgie du groupe est que les conteneurs de niveau infrieur hritent des GPO relis un conteneur de niveau suprieur. Lorsqu'un ordinateur dmarre ou qu'un utilisateur ouvre une session, le Client de stratgie de groupe examine l'emplacement de l'objet ordinateur ou utilisateur dans Active Directory et value les GPO dont les tendues incluent cet ordinateur ou cet utilisateur. Les extensions ct client appliquent ensuite les paramtres de stratgie issus de ces GPO. Les stratgies sont appliques en squences, en commenant par les stratgies relies au site, puis par celles relies au domaine, suivi de celles relies aux units d'organisation (de l'unit d'organisation de niveau suprieur celle dans laquelle l'objet utilisateur ou ordinateur existe). Grce cette application en couche des paramtres, un GPO appliqu ultrieurement dans le processus remplace les paramtres appliqus prcdemment dans ce processus du fait de sa priorit plus leve. L'ordre d'application par dfaut des GPO est illustr ci-aprs :
6-81
Cette application squentielle des GPO cre un effet appel hritage des stratgies. Les stratgies tant hrites, le jeu rsultant de stratgies de groupe d'un utilisateur ou d'un ordinateur cumulera les effets des stratgies des sites, domaines et units d'organisation. Par dfaut, les GPO hrits ont une priorit infrieure celle des GPO relis directement au conteneur. Par exemple, vous pouvez configurer un paramtre de stratgie qui dsactive l'utilisation des outils de modification du Registre pour tous les utilisateurs du domaine en configurant le paramtre de stratgie dans un GPO reli ce domaine. Tous les utilisateurs du domaine hritent alors de ce GPO et de son paramtre de stratgie. Toutefois, comme vous prfrerez que les administrateurs puissent utiliser les outils de modification du Registre, vous pouvez relier un GPO l'unit d'organisation contenant les comptes des administrateurs et configurer le paramtre de stratgie de manire autoriser l'utilisation de ces outils. Le GPO reli l'unit d'organisation des administrateurs tant prioritaire sur le GPO hrit, les administrateurs pourront utiliser les outils de modification du Registre. La figure ci-dessous prsente l'Hritage de stratgie de groupe :
6-82
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Priorit de plusieurs GPO relis Un site, un domaine ou une unit d'organisation peut tre reli(e) plusieurs GPO. Lorsqu'il existe plusieurs GPO, l'ordre de leurs liens dtermine leur priorit. Dans la figure ci-dessous, deux GPO sont relis l'unit d'organisation People :
Plus l'objet apparat en haut de la liste, avec un ordre de lien de 1, plus sa priorit est leve. Par consquent, les paramtres activs ou dsactivs dans le GPO Configuration des utilisateurs avec pouvoir seront prioritaires sur ces mmes paramtres du GPO Configuration des utilisateurs standard. Pour modifier la priorit du lien d'un GPO : 1. 2. 3. 4. Slectionnez le site, le domaine ou l'unit d'organisation dans l'arborescence de la console GPMC. Dans le volet d'informations, ouvrez l'onglet Objets de stratgie de groupe lis. Slectionnez le GPO. Servez-vous des flches Monter, Descendre, Dplacer en haut et Dplacer en bas pour modifier l'ordre des liens du GPO slectionn.
6-83
Blocage de l'hritage Un domaine ou une unit d'organisation peut tre configur(e) de manire empcher l'hritage des paramtres de stratgie. Pour bloquer l'hritage, cliquez du bouton droit sur le domaine ou l'unit d'organisation dans l'arborescence de la console GPMC et choisissez Bloquer l'hritage. L'option Bloquer l'hritage tant une proprit d'un domaine ou d'une unit d'organisation, elle bloque l'ensemble des paramtres de stratgie de groupe des GPO relis aux parents dans la hirarchie de la stratgie de groupe. Par exemple, lorsque vous bloquez l'hritage pour une unit d'organisation, l'application des GPO commence par tout GPO directement reli cette unit d'organisation : les GPO relis aux units d'organisation, au domaine ou au site de niveau suprieur ne s'appliquent pas.
6-84
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Il est prfrable de n'utiliser l'option Bloquer l'hritage qu'avec parcimonie, voire pas du tout. Le blocage de l'hritage complique l'valuation de la priorit et de l'hritage des stratgies de groupe. Dans une prochaine rubrique, vous apprendrez dfinir l'tendue d'un GPO de sorte qu'elle s'applique uniquement un sousensemble d'objets ou pas du tout. Avec le filtrage par groupe de scurit, vous pouvez dfinir avec soin l'tendue d'un GPO de sorte qu'elle s'applique uniquement et d'emble aux utilisateurs et ordinateurs appropris, sans que l'option Bloquer l'hritage ne soit ncessaire. Application d'un lien d'objet GPO Un lien de GPO peut tre dfini sur Appliqu. Pour appliquer un lien de GPO, cliquez du bouton droit sur son entre dans l'arborescence de la console GPMC et choisissez Appliqu dans le menu contextuel. Lorsqu'un lien de GPO est dfini sur Appliqu, le GPO prend la priorit la plus leve. Les paramtres de stratgie de ce GPO seront prioritaires sur tous les paramtres de stratgie conflictuels des autres GPO. De plus, un lien dfini sur Appliqu est impos aux conteneurs enfants mme lorsque ces derniers sont dfinis sur Bloquer l'hritage. Grce l'option Appliqu, la stratgie est impose tous les objets de son tendue. Avec cette option, les stratgies remplacent toutes les stratgies conflictuelles et sont imposes, quelle que soit la dfinition de l'option Bloquer l'hritage. Dans la figure de la page suivante, l'option Bloquer l'hritage a t applique l'unit d'organisation Business. En consquence, le GPO D, appliqu au domaine, est bloqu et ne s'applique pas lorsqu'un utilisateur de l'unit d'organisation Employees ouvre une session sur un ordinateur de l'unit d'organisation Clients. Toutefois, le GPO Scurit (GPO S), reli au domaine avec l'option Appliqu, est impos. En fait, il s'applique en dernier dans l'ordre de traitement, et ses paramtres remplacent donc ceux des GPO B, C et E.
6-85
Lorsque vous configurez un GPO qui dfinit la configuration mandate par la scurit informatique et les stratgies d'utilisation de votre entreprise, assurez-vous que ces paramtres ne soient pas remplacs par d'autres GPO. Pour ce faire, vous pouvez dfinir le lien du GPO sur Appliqu. La figure suivante illustre ce scnario :
6-86
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
La configuration mandate par les stratgies de l'entreprise est dploye dans le GPO CONTOSO Corporate IT Security & Usage, reli par un lien impos au domaine Contoso.com. L'icne du lien du GPO prsente un cadenas, indicateur visuel d'un lien impos. Dans l'unit d'organisation People, l'onglet Hritage de stratgie du groupe montre que le GPO est prioritaire, y compris sur les GPO relis l'unit d'organisation People elle-mme. valuation des priorits Pour simplifier l'valuation de la priorit des GPO, il suffit de slectionner une unit d'organisation (ou un domaine) et d'ouvrir l'onglet Hritage de stratgie de groupe. Cet onglet prsente les priorits rsultantes des GPO, en tenant compte de leurs liens, de l'ordre de ces liens, du blocage de l'hritage et de l'application des liens. L'onglet ne tient pas compte des stratgies relies un site, ni du GPO Scurit ou du filtrage WMI. Conseils relatifs l'examen Veillez mmoriser l'ordre de traitement par dfaut des stratgies de domaine : site, domaine, unit d'organisation. Rappelez-vous galement que les paramtres de stratgie de domaine s'appliquent aprs et sont donc prioritaires sur les paramtres des GPO locaux. Bien qu'il soit recommand de n'utiliser les options Bloquer l'hritage et Appliquer qu'avec modration dans votre infrastructure de stratgie de groupe, l'examen 70-640 part du principe que vous comprenez les consquences de ces deux options.
6-87
Points cls
Vous savez prsent que vous pouvez relier un GPO un site, un domaine ou une unit d'organisation. Toutefois, vous souhaiterez parfois appliquer des GPO certains groupes d'utilisateurs ou d'ordinateurs uniquement, plutt qu' tous les utilisateurs ou ordinateurs entrant dans l'tendue du GPO. Bien que vous ne puissiez pas relier directement un GPO un groupe de scurit, il est possible d'appliquer des GPO des groupes de scurit spcifiques. Les stratgies d'un GPO s'appliquent uniquement aux utilisateurs qui disposent des autorisations Lecture et Appliquer la stratgie de groupe pour ce GPO. Chaque GPO possde une liste de contrle d'accs (ACL) qui dfinit ses autorisations. Deux autorisations, Lecture et Appliquer la stratgie de groupe, sont requises pour qu'un GPO s'applique un utilisateur ou un ordinateur. Lorsque l'tendue d'un GPO comprend un ordinateur, par exemple du fait de son lien vers l'unit d'organisation de l'ordinateur, mais que cet ordinateur ne dispose pas des autorisations de lecture et d'application de stratgie de groupe, il ne tlcharge pas et n'applique pas ce GPO. En consquence, la dfinition des autorisations appropries des groupes de scurit vous permet de filtrer un GPO de sorte que ces paramtres ne s'appliquent qu'aux ordinateurs et utilisateurs que vous spcifiez.
6-88
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Par dfaut, les Utilisateurs authentifis obtiennent l'autorisation Appliquer la stratgie de groupe pour chaque nouveau GPO. Cela signifie que, par dfaut, tous les utilisateurs et ordinateurs sont affects par les GPO dfinis pour leur domaine, site ou unit d'organisation, quelle que soit leur appartenance d'autres groupes. Il existe donc deux moyens de filtrer l'tendue d'un GPO : Supprimez l'autorisation Appliquer la stratgie de groupe (actuellement dfinie sur Autoriser) pour le groupe Utilisateurs authentifis, mais sans dfinir cette autorisation sur Refuser. Identifiez ensuite les groupes auxquels le GPO doit s'appliquer et dfinissez les autorisations Lecture et Appliquer la stratgie de groupe sur Autoriser pour ces groupes. Identifiez les groupes auxquels le GPO ne doit pas s'appliquer et dfinissez l'autorisation Appliquer la stratgie de groupe sur Refuser pour ces groupes. Si vous refusez l'autorisation Appliquer la stratgie de groupe un GPO, l'utilisateur ou l'ordinateur ne peut pas appliquer les paramtres de ce GPO, mme s'il est membre d'un autre groupe autoris Appliquer la stratgie de groupe.
Filtrage d'un GPO imposer des groupes spcifiques Pour appliquer un GPO un groupe de scurit spcifique : 1. 2. Slectionnez le GPO dans le conteneur Objets de stratgie de groupe de l'arborescence de la console. Dans la section Filtrage de scurit, slectionnez le groupe Utilisateurs authentifis et cliquez sur Supprimer.
Remarque : utilisez des groupes de scurit globaux pour filtrer des objets GPO. Le filtrage des GPO n'est possible qu'avec les groupes de scurit globaux, pas avec les groupes de scurit locaux du domaine.
3. 4. 5.
Cliquez sur OK pour confirmer la modification. Cliquez sur Ajouter. Slectionnez le groupe auquel la stratgie doit s'appliquer, puis cliquez sur OK.
6-89
Le rsultat obtenu ressemblera la figure prsente ici : le groupe Utilisateurs authentifis n'apparat pas dans la liste et le groupe spcifique auquel la stratgie doit s'appliquer est rpertori.
Filtrage d'un GPO pour exclure des groupes spcifiques Malheureusement, l'onglet tendue d'un GPO ne vous permet pas d'exclure des groupes spcifiques. Pour exclure un groupe (c'est--dire lui refuser l'autorisation Appliquer la stratgie de groupe), vous devez utiliser l'onglet Dlgation. Pour refuser l'autorisation Appliquer la stratgie de groupe un groupe : 1. 2. 3. Slectionnez le GPO dans le conteneur Objets de stratgie de groupe de l'arborescence de la console. Ouvrez l'onglet Dlgation. Cliquez sur le bouton Avanc. La bote de dialogue Paramtres de scurit s'affiche. 4. 5. Cliquez sur le bouton Ajouter. Slectionnez le groupe que vous souhaitez exclure du GPO. N'oubliez pas qu'il doit s'agir d'un groupe global. Il n'est pas possible de filtrer l'tendue d'un GPO en fonction de groupes locaux de domaine.
6-90
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
6.
Cliquez sur OK. Le groupe slectionn obtient par dfaut l'autorisation de lecture.
7. 8.
Dsactivez la case cocher Autoriser la lecture. Cochez la case Refuser de l'autorisation Appliquer la stratgie du groupe. Ici, la figure prsente un exemple qui refuse au groupe Help Desk, l'autorisation Appliquer la stratgie de groupe et, par consquent, exclut ce groupe de l'tendue du GPO.
9.
Cliquez sur OK. Le systme vous rappelle que les autorisations Refuser ont toujours priorit sur les autres autorisations. Il est donc prfrable de n'utiliser les autorisations Refuser qu'avec parcimonie. Microsoft Windows vous rappelle cette recommandation par le message d'avertissement, et par le processus bien plus laborieux qui est requis pour exclure des groupes dots de l'autorisation Refuser Appliquer la stratgie de groupe que celui qui permet d'inclure des groupes dans la section Filtrage de scurit de l'onglet tendue.
6-91
Remarque : important ! Les autorisations Refuser n'apparaissent pas dans l'onglet tendue. Malheureusement, lorsque vous excluez un groupe, cette exclusion n'apparat pas dans la section Filtrage de scurit de l'onglet tendue. Encore une bonne raison de n'utiliser les autorisations Refuser qu'avec parcimonie.
6-92
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Filtres WMI
Points cls
L'Infrastructure de gestion Windows (Windows Management Instrumentation, ou WMI) est une technologie d'infrastructure de gestion qui permet aux administrateurs de surveiller et de contrler les objets grs du rseau. Une requte WMI est capable de filtrer des systmes en fonction de caractristiques, notamment de la mmoire vive, de la cadence du processeur, de la capacit des disques, d'une adresse IP, de la version d'un systme d'exploitation et du niveau de Service Pack, des applications installes et des proprits d'une imprimante. Comme l'infrastructure WMI expose la quasi-totalit des objets d'un ordinateur, la liste des attributs pouvant tre utiliss dans une requte WMI est pratiquement illimite. Les requtes WMI sont rdiges en langage WQL (WMI Query Language).
6-93
Vous pouvez utiliser un requte WMI pour crer un filtre WMI, avec lequel il est possible de filtrer un GPO. Pour bien comprendre l'objectif d'un filtre WMI, en vue d'examens de certification ou d'une implmentation concrte, le mieux est d'utiliser des exemples. La stratgie de groupe peut tre utilise pour dployer des applications logicielles et des Service Packs. Cette capacit a t traite au Module 7. Vous pouvez crer un GPO pour dployer une application, puis utiliser un filtre WMI pour prciser que la stratgie ne doit s'appliquer qu'aux ordinateurs quips d'un certain systme d'exploitation et Service Pack, Windows XP SP3, par exemple. La requte WMI qui permet d'identifier de tels systmes est la suivante :
Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft Windows XP Professional" AND CSDVersion="Service Pack 3"
Lorsque le Client de stratgie de groupe value les objets GPO qu'il a tlcharg afin d'identifier ceux que les extensions ct client doivent traiter, il excute la requte sur le systme local. Si le systme rpond aux critres de la requte, le rsultat de la requte est un True logique, et les extensions ct client peuvent traiter ce GPO. L'infrastructure WMI expose les espaces de noms, qui contiennent les classes pouvant tre interroges. De nombreuses classes utiles, notamment Win32_Operating System, sont disponibles dans la classe appele root\CIMv2. Pour crer un filtre WMI : 1. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le nud Filtres WMI et choisissez Nouveau. Saisissez le nom et la description du filtre, puis cliquez sur le bouton Ajouter. 2. 3. 4. Dans le champ Espace de noms, saisissez l'espace de noms de votre requte. Entrez la requte dans le champ Requte. Cliquez sur OK.
Pour filtrer un objet GPO l'aide d'un filtre WMI : 1. 2. 3. Slectionnez le GPO ou son lien dans l'arborescence de la console. Ouvrez l'onglet tendue. Cliquez sur la liste droulante WMI et slectionnez le filtre WMI.
6-94
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Un objet GPO ne peut tre filtr que par un seul filtre WMI, mais ce dernier peut tre une requte complexe, avec de nombreux critres. Un mme filtre WMI peut tre reli , donc utilis pour filtrer, un ou plusieurs GPO. L'onglet Gnral d'un filtre WMI, illustr dans la figure ci-aprs, prsente les GPO qui utilisent ce filtre WMI :
Trois remarques importantes doivent tre faites propos des filtres WMI. D'abord, la syntaxe WQL des requtes WMI peut tre difficile matriser. Vous trouverez de nombreux exemples sur Internet en recherchant les mots-cls filtre WMI et requte WMI, de mme que la description de la requte que vous souhaitez crer. Des exemples de filtres WMI sont disponibles l'adresse http://technet2.microsoft.com/windowsserver/en/library/a16cffa4-83b3-430bb826-9bf81c0d39a71033.mspx?mfr=true. Vous pouvez galement vous rfrer au kit de dveloppement logiciel (SDK) Windows Management Instrumentation (WMI), disponible l'adresse http://msdn2.microsoft.com/en-us/library/aa394582.aspx.
6-95
Ensuite, les filtres WMI sont trs gourmands en performances pour le traitement de la stratgie de groupe. Le Client de stratgie de groupe devant excuter la requte WMI chaque intervalle de traitement de stratgie, cette opration affecte les performances du systme toutes les 90 120 minutes. Du fait des performances des ordinateurs actuels, l'impact peut tre ngligeable, mais il est toujours prfrable de tester les effets d'un filtre WMI avant de le dployer dans l'environnement de production. Notez que la requte WMI n'est traite qu'une seule fois, mme lorsqu'elle est utilise pour filtrer l'tendue de plusieurs GPO. Enfin, les ordinateurs fonctionnant sous Windows 2000 n'excutent pas les filtres WMI. Lorsqu'un filtre WMI filtre un objet GPO, le systme Windows 2000 ignore ce filtre et traite le GPO comme si le rsultat du filtre tait True.
6-96
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Vous pouvez empcher le traitement des paramtres des nuds Configuration ordinateur ou Configuration utilisateur lors de l'actualisation de la stratgie en modifiant l'tat de l'objet de stratgie de groupe.
6-97
Pour activer ou dsactiver les nuds d'un GPO, slectionnez le GPO ou son lien dans l'arborescence de la console, ouvrez l'onglet Dtails illustr ci-dessus, puis choisissez l'un des lments suivants dans la liste droulante tat du GPO : Activ : les paramtres de Configuration ordinateur et de Configuration utilisateur seront traits par les extensions ct client lors de l'actualisation de la stratgie. Tous les paramtres dsactivs : les extensions ct client ne traiteront pas le GPO lors de l'actualisation de la stratgie. Paramtres de Configuration ordinateur dsactivs : lors de l'actualisation de la stratgie ordinateur, les paramtres de configuration ordinateur du GPO ne seront pas appliqus. Paramtres de Configuration utilisateur dsactivs : lors de l'actualisation de la stratgie utilisateur, les paramtres de configuration utilisateur du GPO ne seront pas appliqus.
6-98
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Vous pouvez configurer l'tat du GPO pour optimiser le traitement des stratgies. Lorsqu'un GPO ne contient par exemple que des paramtres utilisateur, dfinir l'option tat GPO de manire dsactiver les paramtres ordinateur empchera le Client de stratgie de groupe de tenter de traiter le GPO lors de l'actualisation de la stratgie ordinateur. Le GPO ne contenant aucun paramtre ordinateur, son traitement est inutile et quelques cycles de processeur peuvent tre conomiss.
Remarque : utilisez des GPO dsactivs en prvention des incidents. Vous pouvez dfinir une configuration ne prenant effet qu'en cas d'urgence, d'incident de scurit ou autres problmes dans un GPO, et relier le GPO de sorte que son tendue comprenne les utilisateurs et les ordinateurs appropris. Dsactivez ensuite le GPO. Ds que le dploiement de la configuration devient ncessaire, activez simplement le GPO.
6-99
Points cls
Les Prfrences, nouveauts de Windows Server 2008, offrent un mcanisme d'tendue intgr appel ciblage au niveau de l'lment. Vous pouvez avoir plusieurs lments de prfrence dans un mme GPO, et chaque lment de prfrence peut tre cibl ou filtr. Par exemple, un mme GPO peut avoir une prfrence qui spcifie les options des dossiers des ingnieurs et un autre lment qui spcifie les options des dossiers des commerciaux. Vous pouvez cibler les lments l'aide d'un groupe de scurit ou d'une unit d'organisation. Plus d'une douzaine d'autres critres peuvent tre utiliss, notamment les caractristiques du matriel et du rseau, la date et l'heure, des requtes LDAP (Lightweight Directory Access Protocol), etc.
6-100
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Remarque : les prfrences peuvent cibler l'intrieur d'un GPO. Parmi les nouveauts des prfrences, vous pouvez cibler plusieurs lments de prfrence au sein d'un mme GPO au lieu d'utiliser plusieurs GPO. Avec les stratgies traditionnelles, plusieurs GPO filtrant des groupes individuels taient souvent ncessaires pour appliquer les variations des paramtres.
Comme les filtres WMI, le ciblage au niveau de chaque lment des prfrences implique que l'extension ct client excute une requte afin de dterminer si les paramtres d'un lment de prfrences doivent tre appliqus. Vous devez tre conscient de l'impact potentiel du ciblage au niveau de l'lment sur les performances, en particulier si vous utilisez des options telles que des requtes LDAP, qui ncessitent un temps de traitement et une rponse d'un contrleur de domaine pour procder au traitement. Lors de la conception de votre infrastructure de stratgie de groupe, trouvez un quilibre entre les avantages de la gestion des configurations par ciblage au niveau de l'lment et l'impact sur les performances dtectes lors des tests en laboratoire.
6-101
Points cls
Par dfaut, les paramtres d'un utilisateur proviennent des GPO dont l'tendue comprend cet objet utilisateur dans Active Directory. Quel que soit l'ordinateur sur lequel l'utilisateur ouvre une session, le jeu de stratgies rsultant qui dtermine l'environnement de l'utilisateur est identique. Dans certains cas, toutefois, vous souhaiteriez configurer un utilisateur diffremment, selon l'ordinateur utilis. Par exemple, vous pouvez verrouiller et normaliser les postes de travail des utilisateurs lorsque ces derniers ouvrent une session sur les ordinateurs d'environnements troitement grs, tels que les salles de confrence, les zones d'accueil, les laboratoires, les salles de classe et les kiosques. Ceci est galement important pour les scnarios Infrastructure de bureau virtuel (VDI, Virtual Desktop Infrastructure), comprenant des ordinateurs virtuels distants et des services Bureau distance (Terminal Services).
6-102
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Imaginons un scnario dans lequel vous souhaitez imposer une apparence standardise au poste de travail Windows de tous les ordinateurs des salles de confrence et autres zones publiques de votre bureau. Comment pouvez-vous grer cette configuration de faon centralise l'aide d'une stratgie de groupe ? Les paramtres de stratgie qui configurent l'apparence du poste de travail sont situs dans le nud Configuration utilisateur d'un GPO. De ce fait, par dfaut, les paramtres s'appliquent aux utilisateurs, quel que soit l'ordinateur sur lequel ils ouvrent une session. Le traitement par dfaut de la stratgie ne vous permet pas de dfinir l'tendue des paramtres utilisateur de sorte qu'ils s'appliquent aux ordinateurs quel que soit l'utilisateur qui s'y connecte. C'est l qu'intervient le traitement des stratgies en boucle. Le traitement des stratgies en boucle altre l'algorithme par dfaut utilis par le client de stratgie de groupe pour obtenir la liste ordonne des GPO devant s'appliquer la configuration d'un utilisateur. Au lieu d'tre dtermine par le nud Configuration utilisateur des GPO dont l'tendue comprend l'objet utilisateur, la configuration utilisateur peut tre dtermine par les stratgies du nud Configuration utilisateur des GPO dont l'tendue comprend l'objet ordinateur.
6-103
La stratgie mode de traitement en boucle du groupe d'utilisateurs, situe dans le dossier Configuration ordinateur\Stratgies\Modles d'administration\Systme \Stratgie de groupe dans la console GPME, peut tre, comme tous les paramtres de stratgie, dfinie sur Non configur, Activ ou Dsactiv.
Lorsqu'elle est active, la stratgie peut spcifier le mode Fusion ou Remplacement. Mode de remplacement : dans ce cas, la liste des GPO pour l'utilisateur (obtenue l'tape 5 du Traitement de la stratgie de groupe la section suivante) est intgralement remplace par la liste des GPO dj obtenue pour l'ordinateur au dmarrage de celui-ci ( l'tape 2). Les paramtres des stratgies Configuration utilisateur des GPO de l'ordinateur sont appliqus l'utilisateur. Ce mode de remplacement se rvle utile dans des cas tels qu'une salle de classe, o les utilisateurs doivent obtenir une configuration standardise et non la configuration applique aux utilisateurs d'un environnement moins gr.
6-104
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Mode de fusion : dans ce cas, la liste des GPO obtenue pour l'ordinateur au dmarrage de celui-ci (tape 2 de la section Traitement de la stratgie de groupe ) est ajoute la liste des GPO obtenue pour l'utilisateur l'ouverture de session ( l'tape 5). La liste des GPO obtenue pour l'ordinateur tant applique ultrieurement, les paramtres des GPO de cette liste sont prioritaires lorsqu'ils entrent en conflit avec ceux de la liste de l'utilisateur. Ce mode se rvle trs utile pour appliquer d'autres paramtres aux configurations typiques des utilisateurs. Par exemple, vous pouvez autoriser un utilisateur recevoir sa configuration typique lorsqu'il ouvre une session sur un ordinateur d'une salle de confrence ou d'une zone d'accueil, mais remplacer le papier peint par une image standardise et dsactiver l'utilisation de certaines applications ou de certains priphriques.
Remarque : en gnral, l'accent n'est pas suffisamment mis sur le fait que, lorsque le traitement en boucle est combin au filtrage par groupes de scurit, l'application des paramtres utilisateur lors de l'actualisation de la stratgie utilise les informations d'identification de l'ordinateur afin d'identifier les GPO appliquer dans le cadre du traitement en boucle. Cependant, l'utilisateur connect doit galement disposer de l'autorisation Appliquer la stratgie de groupe pour que le GPO soit appliqu correctement.
6-105
Scnario
Vous tes administrateur du domaine contoso.com. Le GPO CONTOSO Standards, reli ce domaine, configure un paramtre de stratgie qui dfinit le dlai d'activation de l'cran de veille sur 10 minutes. Un ingnieur signale qu'une application stratgique charge d'effectuer de longs calculs se bloque lorsque l'cran de veille dmarre. Il vous demande d'empcher l'application de ce paramtre l'quipe des ingnieurs qui utilise cette application chaque jour. Il vous est galement demand de configurer les ordinateurs de la salle de confrence sur un dlai de 45 minutes, de sorte que l'cran de veille ne dmarre pas pendant une runion.
6-106
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2.
3. 4.
6-107
5. 6.
Configurez le paramtre du dlai de l'cran de veille sur Dsactiv, puis fermez la console GPME. Slectionnez l'unit d'organisation Engineers et ouvrez l'onglet Hritage de stratgie de groupe. Notez que le GPO Engineering Application Override est prioritaire sur le GPO CONTOSO Standards. Le paramtre de stratgie Dlai d'activation de l'cran de veille que vous venez de configurer dans le GPO Engineering Application Override sera appliqu aprs le paramtre du GPO CONTOSO Standards. Le nouveau paramtre remplacera donc le paramtre standard et gagnera . Le dlai d'activation de l'cran de veille sera dsactiv pour les utilisateurs entrant dans l'tendue du GPO Engineering Application Override.
7.
6-108
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2.
Question : Quels GPO continuent s'appliquer aux utilisateurs de l'unit d'organisation Engineers ? quoi ces GPO sont-ils relis ? Pourquoi ont-ils continu s'appliquer ? 3. Dsactivez l'option Bloquer l'hritage de l'unit d'organisation Engineers.
Rsultats : la fin de cet exercice, vous aurez cr un GPO nomm Engineering Application Override, et l'aurez reli l'unit d'organisation Engineers. Vous comprendrez galement l'hritage, la priorit et les effets des options Bloquer l'hritage et Lien appliqu.
6-109
2. 3.
4.
6-110
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3.
4.
6-111
Remarque : n'arrtez pas les ordinateurs virtuels la fin de cet atelier pratique car les paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants.
6-112
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
6-113
Leon 5
Vous connaissez prsent les concepts, les composants et l'tendue des stratgies de groupe. Vous tes donc prts examiner le traitement de la stratgie de groupe de manire plus dtaille.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : Comprendre, amliorer et dclencher manuellement l'actualisation d'une stratgie de groupe Implmenter le traitement des stratgies en boucle
6-114
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Cette rubrique dcrit le traitement de la stratgie de groupe en dtail. Pendant votre lecture, n'oubliez pas que la stratgie de groupe consiste appliquer les configurations dfinies par les GPO, que les GPO s'appliquent dans un certain ordre (site, domaine et unit d'organisation) et que les GPO appliqus ultrieurement sont prioritaires ; leurs paramtres, lorsqu'ils sont appliqus, remplacent les paramtres appliqus auparavant. La squence suivante dtaille le processus qui dtermine quels paramtres d'un GPO bas sur un domaine sont appliqus pour affecter un ordinateur ou un utilisateur : 1. L'ordinateur dmarre, de mme que le rseau. Les services RPCSS (Remote Procedure Call System Service) et MUP (Multiple Universal Naming Convention Provider) dmarrent. Le Client de stratgie de groupe dmarre.
6-115
2.
Le Client de stratgie de groupe obtient la liste ordonne des GPO dont l'tendue comprend l'ordinateur. L'ordre de la liste dtermine l'ordre de traitement des GPO : c'est--dire, par dfaut, les GPO locaux, les GPO de site, les GPO de domaine et les GPO d'unit d'organisation : GPO locaux : chaque ordinateur excutant Windows Server 2003, Windows XP et Windows 2000 a exactement un GPO stock localement. Windows Vista et Windows Server 2008 ont plusieurs GPO locaux. La priorit des GPO locaux est dtaille la section GPO locaux de la leon 2. GPO de site : tous les GPO relis au site sont ensuite ajouts la liste ordonne. Lorsque plusieurs GPO sont relis un site (ou un domaine ou une unit d'organisation), l'ordre des liens, configur dans l'onglet tendue, dtermine l'ordre dans lequel ils sont ajouts la liste. Le GPO qui apparat en premier dans la liste, avec un nombre proche de 1, prsente la priorit la plus leve et est ajout la liste en dernier. Il est de ce fait appliqu en dernier et ses paramtres remplacent ceux des GPO dj appliqus. GPO de domaine : plusieurs GPO relis au domaine sont ajouts selon l'ordre des liens spcifi.
Remarque : les domaines enfants n'hritent pas des stratgies relies au domaine. Les domaines enfants n'hritent pas des stratgies de leur domaine parent. Chaque domaine conserve des liens de stratgie distincts. Toutefois, les ordinateurs appartenant plusieurs domaines peuvent appartenir l'tendue d'un GPO reli un site.
GPO d'unit d'organisation : les GPO relis l'unit d'organisation la plus leve dans la hirarchie Active Directory sont ajouts la liste ordonne, suivis des GPO relis l'unit d'organisation enfant, etc. Pour finir, les GPO relis l'unit d'organisation qui contient l'ordinateur sont ajouts. Lorsque plusieurs stratgies de groupe sont relies une unit d'organisation, elles sont ajoutes dans l'ordre spcifi par l'ordre des liens.
6-116
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
GPO appliqus : les GPO appliqus sont ajouts la fin de la liste ordonne, de sorte que leurs paramtres soient appliqus la fin du processus et remplacent de ce fait les paramtres des GPO antrieurs dans la liste et dans le processus. Dtail sans importance, les GPO appliqus sont ajouts la liste en ordre inverse : unit d'organisation, domaine, puis site. Cet ordre se rvle appropri lorsque vous appliquez des stratgies de scurit d'entreprise dans un GPO appliqu et reli au domaine. Ce GPO est alors plac la fin de la liste ordonne et est appliqu en dernier. Ses paramtres seront donc prioritaires.
3.
Les GPO sont traits de faon synchrone dans l'ordre spcifi par la liste ordonne. Cela signifie que les paramtres des GPO locaux sont traits en premier, suivis des GPO relis au site, au domaine et aux units d'organisation contenant l'utilisateur ou l'ordinateur. Les GPO relis l'unit d'organisation dont est directement membre l'ordinateur ou l'utilisateur sont traits en dernier, suivis des GPO appliqus. Lors du traitement de chaque GPO, le systme dtermine si ses paramtres doivent tre appliqus en fonction de l'tat du GPO dans le nud ordinateur (activ ou dsactiv) et si l'autorisation Appliquer la stratgie de groupe est autorise pour l'ordinateur. Lorsqu'un filtre WMI est appliqu au GPO et que l'ordinateur excute Windows XP ou une version ultrieure, le systme excute la requte WQL spcifie dans le filtre.
4.
Si le GPO doit tre appliqu au systme, les extensions ct client dclenchent le traitement des paramtres du GPO. Les paramtres de stratgie des GPO remplacent alors les stratgies des GPO dj appliqus de la manire suivante : Lorsqu'un paramtre de stratgie est configur (dfini sur Activ ou sur Dsactiv) dans un GPO reli un conteneur parent (unit d'organisation, domaine ou site), et que ce mme paramtre de stratgie est dfini sur Non configur dans les GPO relis son conteneur enfant, le jeu de stratgies rsultant pour les utilisateurs et ordinateurs du conteneur enfant comprendra le paramtre de stratgie du conteneur parent. Si l'option Bloquer l'hritage est configure pour le conteneur enfant, le paramtre parent n'est pas hrit sauf si l'option Lien appliqu est configure pour le lien du GPO. Lorsqu'un paramtre de stratgie est configur (dfini sur Activ ou sur Dsactiv) pour un conteneur parent, et que ce mme paramtre de stratgie est configur pour un conteneur enfant, le paramtre de ce dernier remplace le paramtre hrit du conteneur parent. Si l'option Lien appliqu est configure pour le lien du GPO parent, le paramtre du conteneur parent est prioritaire.
6-117
Lorsqu'un paramtre de stratgie de GPO relis aux conteneurs parents est dfini sur Non configur, de mme que le paramtre de l'unit d'organisation enfant, le paramtre de stratgie rsultant est le paramtre issu du traitement des GPO locaux. Si le paramtre rsultant des GPO locaux est galement dfini sur Non configur, la configuration rsultante est le paramtre par dfaut de Windows.
5.
Lorsque l'utilisateur ouvre une session, le mme processus recommence pour les paramtres utilisateur. Le client obtient la liste ordonne des GPO dont l'tendue comprend l'utilisateur, examine chaque GPO de faon synchrone, puis transmet les GPO qui doivent s'appliquer aux extensions ct client appropries en vue de leur traitement. Cette tape est modifie si le traitement en boucle de la stratgie de groupe utilisateur est activ. Le traitement de stratgie en boucle est trait la rubrique suivante.
Remarque : certains paramtres de stratgie apparaissent la fois dans les nuds Configuration ordinateur et Configuration utilisateur. La plupart des paramtres de stratgie sont spcifiques soit au nud Configuration utilisateur, soit au nud Configuration ordinateur. Les deux nuds contiennent quelques paramtres. Bien que, dans la plupart des cas, le paramtre du nud Configuration ordinateur remplace celui du nud Configuration utilisateur, il est important de lire le texte explicatif qui accompagne chaque paramtre de stratgie pour bien comprendre son effet et son application.
6.
Aprs dmarrage de l'ordinateur, l'actualisation de la stratgie ordinateur survient toutes les 90 120 minutes, suivie de l'actualisation de la stratgie ordinateur. Le processus se rpte ensuite pour les paramtres ordinateur. Aprs ouverture de session de l'utilisateur, l'actualisation de la stratgie utilisateur survient toutes les 90 120 minutes. Le processus se rpte ensuite pour les paramtres utilisateur.
7.
6-118
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
L'installation de logiciels est l'une des tches que la stratgie de groupe permet d'automatiser et de grer. Au Module 7, vous avez dcouvert l'Installation des logiciels par stratgie de groupe (GPSI), fournie par l'extension ct client Installation logicielle. Vous pouvez configurer un objet GPO pour installer un ou plusieurs packages logiciels. Imaginons toutefois qu'un utilisateur se connecte votre rseau par une connexion bas dbit. Dans ce cas, vous prfrerez que les packages logiciels volumineux ne soient pas transfrs par cette liaison du fait des problmes de performances. Le Client de stratgie de groupe rsout ce problme en dtectant le dbit de la connexion au domaine et en dterminant si la connexion doit tre considre comme une liaison lente. Chaque extension ct client dcide ensuite d'appliquer ou non les paramtres en fonction de cette valuation. L'extension logicielle, par exemple, est configure pour renoncer au traitement de la stratgie et pour ne pas installer le logiciel lorsqu'une liaison lente est dtecte. Par dfaut, une connexion est considre comme lente lorsqu'elle est infrieure 500 kilobits par seconde (Kbits/s).
6-119
Lorsqu'un utilisateur travaille en tant dconnect du rseau, les paramtres prcdemment appliqus par la stratgie du groupe sont toujours en vigueur. L'exprience de l'utilisateur est donc identique, qu'il soit ou non connect au rseau. Cette rgle prsente des exceptions et, notamment, les scripts de dmarrage, d'ouverture de session, de fermeture de session et d'arrt ne s'excutent pas si l'utilisateur est dconnect. Lorsqu'un utilisateur distant se connecte au rseau, le client de stratgie de groupe se rveille et dtermine si une fentre d'actualisation de la stratgie de groupe a t ignore. Dans l'affirmative, il excute l'actualisation pour obtenir les derniers GPO du domaine. De nouveau, les extensions ct client dterminent, en fonction de leurs paramtres de traitement des stratgies, si les paramtres de ces GPO s'appliquent. Cette opration ne concerne pas les systmes Windows XP ou Windows Server 2003, mais uniquement les systmes d'exploitation Windows Vista, Windows Server 2008 et ultrieurs.
Lectures complmentaires
Fonctionnement de la stratgie de groupe de base (ventuellement en anglais) : http://go.microsoft.com/fwlink/?LinkId=168658
6-120
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
L'objectif est de comprendre les paramtres GPO suivants : La rplication des GPO doit survenir. Avant qu'un GPO n'entre en vigueur, le conteneur Stratgie de groupe (GPC) d'Active Directory doit tre rpliqu dans le contrleur de domaine partir duquel le client de stratgie de groupe rcupre sa liste ordonne de GPO. De plus, le modle de stratgie de groupe (GPT) du dossier SYSVOL doit tre rpliqu dans le mme contrleur de domaine. Les modifications de groupe doivent tre intgres. Enfin, si vous avez ajout un nouveau groupe, ou modifi l'appartenance d'un groupe utilis pour filtrer le GPO, cette modification doit galement tre rplique et se retrouver dans le jeton de scurit de l'ordinateur et de l'utilisateur. Ceci ncessite un redmarrage (pour que l'ordinateur actualise son appartenance aux groupes) ou une fermeture et une ouverture de session (pour que l'utilisateur actualise son appartenance aux groupes).
6-121
L'actualisation de la stratgie des groupes utilisateur ou ordinateur doit se produire. Comme vous le savez, une actualisation se produit au dmarrage (pour les paramtres ordinateur) et l'ouverture de session (pour les paramtres utilisateur) puis, par dfaut, toutes les 90 120 minutes ensuite.
Remarque : en moyenne, le dlai est de 45 60 minutes. N'oubliez pas qu'en pratique, lorsque vous modifiez votre environnement, l'impact de l'intervalle d'actualisation de la stratgie de groupe correspond en moyenne la moiti de ce dlai, soit 45 60 minutes, avant que la modification ne commence prendre effet.
Par dfaut, les clients Windows XP, Windows Vista et Windows 7 n'effectuent que des actualisations en arrire-plan au dmarrage et l'ouverture de session. Ceci signifie qu'un client peut dmarrer et un utilisateur ouvrir une session sans recevoir les dernires stratgies du domaine. Il est donc fortement recommand de modifier ce comportement par dfaut afin que les modifications de stratgie soient implmentes de manire prvisible et gre. Activez le paramtre de stratgie Toujours attendre le rseau lors du dmarrage de l'ordinateur et de l'ouverture de session pour tous les clients Windows. Le paramtre est stock dans Configuration ordinateur\Stratgies\Modles d'administration\Systme\Ouverture de session. Assurez-vous de lire le texte explicatif de ce paramtre de stratgie. Notez que ce paramtre n'affecte pas le dlai de dmarrage ou d'ouverture de session des ordinateurs non connects un rseau. Lorsque l'ordinateur s'aperoit qu'il n'est pas connect, il continue simplement sans littralement attendre le rseau. Le domaine contoso.com utilis dans ce cours a t prconfigur avec ce paramtre supplmentaire de stratgie de groupe. Les paramtres peuvent ne pas prendre effet immdiatement. Bien que la plupart des paramtres soient appliqus lors d'une actualisation en arrire-plan, certaines extensions ct client n'appliquent pas le paramtre avant le prochain dmarrage ou l'ouverture de session suivante. Les nouvelles stratgies de script de dmarrage et d'ouverture de session, par exemple, ne sont pas excutes avant la prochaine ouverture de session ou le dmarrage suivant de l'ordinateur. L'installation d'un logiciel, traite au Module 7, se produit au prochain dmarrage si le logiciel est affect dans les paramtres ordinateur. Les modifications apportes aux stratgies de redirection des dossiers n'entrent en vigueur qu' la prochaine ouverture de session.
6-122
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Actualisation manuelle de la stratgie de groupe via GPUpdate Lorsque vous testez une stratgie de groupe ou lorsque vous tentez de rsoudre un problme de traitement de stratgie de groupe, vous pouvez tre amen dclencher manuellement son actualisation plutt que d'attendre la prochaine actualisation en arrire-plan. La commande GPUpdate permet dans ce cas de dclencher une actualisation de la stratgie de groupe. Utilise de faon autonome, la commande GPUpdate dclenche le mme traitement qu'une actualisation de stratgie de groupe en arrire-plan. Les stratgies ordinateur et utilisateur sont actualises. Servez-vous du paramtre /target:computer ou /target:user pour limiter l'actualisation aux paramtres ordinateur ou utilisateur, respectivement. Par dfaut, lors d'une actualisation en arrire-plan, les paramtres ne sont appliqus que si le GPO a t mis jour. Le commutateur /force oblige le systme rappliquer tous les paramtres de tous les GPO dont l'tendue comprend l'utilisateur ou l'ordinateur. Certains paramtres de stratgie requirent une fermeture de session ou un redmarrage avant d'entrer en vigueur. Les commutateurs /logoff et /boot de la commande GPUpdate imposent une fermeture de session ou un redmarrage, respectivement, lorsque les paramtres appliqus le demande. Ainsi, la commande entranant une actualisation totale, l'application et (le cas chant) le redmarrage et l'ouverture de session pour appliquer les paramtres de stratgie mis jour est la suivante :
gpupdate /force /logoff /boot
Sous Windows 2000, la commande Secedit.exe permettait d'actualiser la stratgie. Cette commande peut donc tre mentionne dans l'examen. La plupart des extensions ct client ne rappliquent pas les paramtres si le GPO n'a pas chang. N'oubliez pas que la plupart des extensions ct client n'appliquent les paramtres d'un GPO que si ce dernier a chang. Cela signifie que, si l'utilisateur peut modifier un paramtre dfini l'origine par la stratgie de groupe, ce paramtre ne reprendra pas la valeur dfinie par le GPO avant que ce dernier ne soit modifi. Par chance, la plupart des paramtres de stratgie ne peuvent pas tre modifis par un utilisateur sans privilge. Toutefois, si l'utilisateur est administrateur de son ordinateur, ou si le paramtre de stratgie affecte une section du Registre ou du systme que l'utilisateur est autoris modifier, cela peut poser un vrai problme. Vous avez la possibilit de demander chaque extension ct client de rappliquer les paramtres des GPO, mme lorsqu'ils n'ont pas t modifis. Le comportement du traitement de chaque extension ct client peut tre configur dans les paramtres de stratgie stockes dans le dossier Configuration ordinateur\Modles d'administration\Systme\Stratgie de groupe.
6-123
Leon 6
L'application d'une stratgie de groupe peut tre difficile analyser et comprendre lorsque plusieurs paramtres de plusieurs GPO interagissent et utilisent diverses mthodes. Vous devez donc tre suffisamment quip pour valuer avec efficacit et rsoudre les problmes d'implmentation de votre stratgie de groupe, identifier les problmes potentiels avant qu'ils ne se produisent et rsoudre les difficults imprvues. Microsoft Windows fournit deux outils indispensables pour prendre en charge les stratgies de groupe : le Jeu de stratgies rsultant (RSOP) et les Journaux oprationnels de stratgie de groupe. Dans cette leon, vous allez tudier l'utilisation de ces outils pour la rsolution proactive et ractive des problmes et la prise en charge des scnarios.
6-124
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : analyser le jeu d'objets GPO et les paramtres de stratgie qui ont t appliqus un utilisateur ou un ordinateur ; modliser de faon proactive l'impact des modifications de stratgie de groupe ou d'Active Directory sur le Jeu de stratgies rsultant ; localiser les journaux contenant les vnements lis la Stratgie de groupe.
6-125
Points cls
Dans la leon 4, vous avez appris qu'un utilisateur ou un ordinateur peut appartenir l'tendue de plusieurs GPO. L'hritage des stratgies, les filtres et les exceptions sont complexes et il est souvent difficile de savoir quels paramtres de stratgie vont s'appliquer. Le Jeu de stratgies rsultant (RSoP) correspond aux consquences directes des GPO appliqus un utilisateur ou un ordinateur, en tenant compte des liens des GPO, des exceptions dues aux options Bloquer l'hritage et Lien appliqu et de l'application des filtres de scurit et WMI.
6-126
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
RSoP est galement un ensemble d'outils qui vous permettent d'valuer, de modliser et de rsoudre les problmes relatifs l'application des paramtres de la stratgie de groupe. RSoP peut interroger un ordinateur local ou distant et gnrer un rapport sur les paramtres prcis appliqus l'ordinateur et tout utilisateur ayant ouvert une session sur cet ordinateur. RSoP peut galement modliser les paramtres de stratgie qui doivent tre appliqus un utilisateur ou un ordinateur selon divers scnarios, notamment en cas de dplacement de l'objet entre des units d'organisation ou des sites ou en cas de modification de l'appartenance de l'objet des groupes. Grce ces capacits, RSoP vous permet de grer et de rsoudre les problmes de stratgies conflictuelles. Pour les analyses RSoP, Windows Server 2008 fournit les outils suivants : Assistant Rsultats de stratgie de groupe Assistant Modlisation de stratgie de groupe GPResult.exe
6-127
Points cls
Pour vous aider valuer l'effet cumul des GPO et des paramtres de stratgie sur un utilisateur ou un ordinateur de votre organisation, la console GPMC propose l'Assistant Rsultats de stratgie de groupe. Lorsque vous souhaitez comprendre avec prcision quels paramtres de stratgie ont t appliqus un utilisateur ou un ordinateur et pourquoi, l'Assistant Rsultats de stratgie de groupe est l'outil appropri. L'Assistant Rsultats de stratgie de groupe est capable d'accder au fournisseur WMI d'un ordinateur local ou distant excutant Windows Vista, Windows XP, Windows Server 2003 ou Windows Server 2008. Le fournisseur WMI gnre un rapport sur tous les lments qu'il est ncessaire de connatre pour comprendre la faon dont une stratgie de groupe a t applique au systme. Il sait quel moment le traitement a t effectu, quels GPO ont t appliqus, quels GPO ne l'ont pas t et pourquoi, les erreurs qui ont t rencontres et les paramtres de stratgie prcis ayant priorit et leur GPO source.
6-128
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
L'excution de l'Assistant Rsultats de stratgie de groupe prsente plusieurs conditions pralables : Vous devez disposer d'informations d'identification d'administrateur sur l'ordinateur cible. L'ordinateur cible doit excuter Windows XP ou une version ultrieure. L'Assistant Rsultats de stratgie de groupe ne peut pas accder aux systmes Windows 2000. Vous devez pouvoir accder l'infrastructure WMI de l'ordinateur cible. Cela signifie que cet ordinateur doit tre allum, connect au rseau et accessible via les ports 135 et 445.
Remarque : activez l'administration distance des ordinateurs clients. L'excution d'une analyse RSoP via l'Assistant Rsultats de stratgie de groupe n'est qu'un exemple d'administration distance. Pour profiter de l'administration distance, il vous faudra peut-tre configurer des rgles entrantes pour le pare-feu utilis par vos clients et serveurs.
Le service WMI doit tre dmarr dans l'ordinateur cible. Pour analyser RSoP pour un utilisateur, ce dernier doit avoir ouvert une session au moins une fois sur l'ordinateur. Il n'est pas ncessaire que l'utilisateur soit actuellement connect.
Lorsque vous avez vrifi que les conditions requises sont satisfaites, vous pouvez excuter une analyse RSoP. Pour gnrer un rapport RSoP, cliquez du bouton droit sur Rsultats de la stratgie de groupe dans l'arborescence de la console GPMC et choisissez Assistant Rsultats de la stratgie de groupe. L'Assistant vous demande de slectionner un ordinateur. Il se connecte ensuite au fournisseur WMI de cet ordinateur et fournit la liste des utilisateurs qui y ont ouvert une session. Vous pouvez alors slectionner l'un des utilisateurs ou choisir d'ignorer l'analyse RSoP des stratgies de configuration utilisateur. L'Assistant fournit un rapport RSoP dtaill au format HTML dynamique. Si la Configuration de scurit renforce d'Internet Explorer est dfinie, le systme vous invite autoriser la console afficher le contenu dynamique. Pour dvelopper ou rduire chaque section du rapport, cliquez sur le lien Afficher ou Masquer ou double-cliquez sur le titre de la section.
6-129
Le rapport est affich dans trois onglets : Rsum : l'onglet Rsum prsente l'tat du traitement de la stratgie de groupe lors de la dernire actualisation. Vous pouvez identifier les informations runies sur le systme, les GPO appliqus et refuss, l'appartenance un groupe de scurit susceptible d'avoir affect les GPO filtrs par des groupes de scurit, les filtres WMI qui ont t analyss et l'tat des extensions ct client. Paramtres : l'onglet Paramtres prsente le jeu rsultant de paramtres de stratgie appliqus l'ordinateur ou l'utilisateur. Cet onglet vous montre avec prcision quelles ont t les consquences de l'implmentation de votre stratgie de groupe pour l'utilisateur. Cet onglet permet d'obtenir une grande quantit d'informations, mais certaines donnes ne sont pas indiques, par exemple les paramtres de stratgie IPSec, sans fil et de quotas de disque. vnements de stratgie : l'onglet vnements de stratgie prsente les vnements de stratgie de groupe issus des journaux d'vnements de l'ordinateur cible.
Aprs avoir gnr un rapport RSoP via l'Assistant Rsultats de stratgie de groupe, vous pouvez cliquer du bouton droit sur ce rapport pour rexcuter la requte, imprimer le rapport ou l'enregistrer sous forme de fichier XML ou HTML qui conserve les sections dynamiques dveloppes et rduites. Les deux types de fichiers pouvant tre ouverts dans Internet Explorer, le rapport RSoP peut tre consult hors de la console GPMC. Si vous cliquez du bouton droit sur le nud du rapport lui-mme, sous le dossier Rsultats de stratgie de groupe de l'arborescence de la console, vous pouvez passer en Affichage avanc. En Affichage avanc, RSoP s'affiche dans le composant logiciel enfichable RSoP, qui prsente tous les paramtres appliqus, y compris les stratgies IPSec, sans fil et de quotas de disque. Gnration de rapports RSoP avec GPResult.exe La commande GPResult.exe est la version en ligne de commande de l'Assistant Rsultats de stratgie de groupe. GPResult accde au mme fournisseur WMI que l'Assistant, produit les mmes informations et, en fait, permet de crer les mmes rapports graphiques. GPResult s'excute sous Windows Vista, Windows XP, Windows Server 2003 et Windows Server 2008. Windows 2000 comprend une commande GPResult.exe qui produit un rapport limit du traitement des stratgies de groupe, sans tre aussi sophistique que la commande incluse dans les versions ultrieures de Windows.
6-130
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Lorsque vous excutez la commande GPResult, vous pouvez utiliser les options suivantes :
/s nomOrdinateur
Cette option spcifie le nom ou l'adresse IP d'un systme distant. Si vous utilisez un point (.) comme nom d'ordinateur, ou si vous n'incluez pas l'option /s, l'analyse RSoP s'excute dans l'ordinateur local.
/scope [utilisateur | ordinateur]
Cette commande affiche l'analyse RSoP des paramtres utilisateur ou ordinateur. Si vous omettez l'option /scope, l'analyse RSoP inclut les paramtres utilisateur et ordinateur.
/user nomUtilisateur
Cette option spcifie le nom de l'utilisateur dont les donnes RSoP doivent s'afficher.
/r
Cette option affiche des donnes RSoP dtailles, donc les informations les plus significatives.
/z
Cette option affiche des donnes hyper dtailles, notamment les dtails de tous les paramtres de stratgie appliqus au systme. Elle donne souvent plus d'informations que ce dont vous avez besoin pour une rsolution de problme de stratgie de groupe typique.
/u domaine\utilisateur /p mot de passe
Cette option fournit les informations d'identification stockes dans le groupe Administrateurs d'un systme distant. Sans ces informations d'identification, GPResult s'excute avec les informations d'identification avec lesquelles vous avez ouvert la session.
6-131
Cette option enregistre les rapports au format XML ou HTML, respectivement. Elles sont disponibles sous Windows Vista SP1 et versions ultrieures et Windows Server 2008 et versions ultrieures. Rsolution de problmes de stratgie de groupe avec l'Assistant Rsultats de stratgie de groupe et la commande GPResult.exe En tant qu'administrateur, il est probable que vous rencontriez des scnarios ncessitant un dpannage des stratgies de groupe. Vous serez alors amen diagnostiquer et rsoudre certains problmes, notamment : Certains GPO ne sont pas appliqus du tout. Le jeu rsultant des stratgies d'un ordinateur ou d'un utilisateur n'est pas ce qui tait attendu.
L'Assistant Rsultats de stratgie de groupe et la commande GPResult.exe vous donneront souvent les informations les plus pertinentes sur les problmes de traitement et d'application de la stratgie de groupe. N'oubliez pas que ces outils examinent le fournisseur RSoP WMI pour gnrer un rapport prcis sur ce qui s'est produit dans un systme. L'examen du rapport RSoP vous permettra souvent d'identifier les GPO dont l'tendue n'a pas t dfinie correctement ou les erreurs de traitement de stratgie ayant empch l'application des paramtres des GPO.
6-132
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Analyses bases sur des hypothses par l'Assistant Modlisation de stratgie de groupe
Points cls
Si vous dplacez un ordinateur ou un utilisateur entre des sites, des domaines ou des units d'organisation, ou si vous modifiez son appartenance des groupes de scurit, les GPO dont l'tendue comprend cet utilisateur ou cet ordinateur seront modifis et, de ce fait, le RSoP de l'ordinateur ou de l'utilisateur sera diffrent. Le RSoP changera galement en cas de liaison lente ou de traitement en boucle ou en cas de modification d'une caractristique du systme cibl par un filtre WMI. Avant de pouvoir apporter de telles modifications, vous devez valuer leur impact potentiel sur le RSoP de l'utilisateur ou de l'ordinateur. L'Assistant Rsultats de stratgie de groupe ne peut effectuer une analyse RSoP que sur ce qui s'est rellement produit. Pour anticiper et effectuer des analyses bases sur des hypothses, vous pouvez utiliser l'Assistant Modlisation de stratgie de groupe. Pour excuter une Modlisation de stratgie de groupe, cliquez du bouton droit sur le nud Modlisation de stratgie de groupe dans l'arborescence de la console GPMC, choisissez Assistant Modlisation de stratgie de groupe et suivez les instructions de l'Assistant.
6-133
La modlisation tant effectue via une simulation dans un contrleur de domaine, vous tes d'abord invit slectionner un contrleur de domaine fonctionnant sous Windows Server 2003 ou une version ultrieure. Vous n'avez pas besoin d'tre connect localement ce contrleur de domaine, mais la demande de modlisation sera excute sur ce dernier. Vous tes donc invit dfinir les paramtres de la simulation : Slectionnez l'objet utilisateur ou ordinateur valuer, ou spcifiez l'unit d'organisation, le site ou le domaine valuer. Indiquez si le traitement des liaisons lentes doit tre simul. Spcifiez une simulation de traitement en boucle et, dans ce cas, choisissez le mode de remplacement ou de fusion. Slectionnez le site simuler. Slectionnez les groupes de scurit de l'utilisateur et de l'ordinateur. Choisissez les filtres WMI appliquer dans le cadre de la simulation du traitement des stratgies de l'utilisateur et de l'ordinateur.
Lorsque vous avez dfini les paramtres de la simulation, le rapport produit est trs proche de celui des Rsultats de stratgie de groupe prsent prcdemment. L'onglet Rsum prsente les GPO qui seront traits et l'onglet Paramtres dtaille les paramtres de stratgie qui seront appliqus l'utilisateur ou l'ordinateur. Ce rapport peut lui aussi tre enregistr en cliquant du bouton droit sur son entre et en choisissant Enregistrer le rapport.
6-134
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Windows Vista et Windows Server 2008 amliorent votre capacit rsoudre les problmes lis aux stratgies de groupe grce aux outils RSoP, mais galement grce la journalisation amliore des vnements de la stratgie de groupe. Dans le journal Systme, vous trouverez des informations gnrales sur la stratgie de groupe, y compris les erreurs cres par le client de stratgie de groupe lorsqu'il ne peut pas se connecter un contrleur de domaine ou localiser des GPO. Le journal Application collecte les vnements enregistrs par les extensions ct client. Un nouveau journal, appel Journal oprationnel de la stratgie de groupe, donne des informations dtailles sur le traitement de la stratgie de groupe.
6-135
Pour localiser les journaux de la stratgie de groupe, ouvrez le composant logiciel enfichable ou la console Observateur d'vnements. Les journaux Systme et Application sont placs dans le nud Journaux Windows. Le Journal oprationnel de la stratgie de groupe est disponible dans le dossier Journaux des applications et des services\Microsoft\Windows\GroupPolicy\Operational.
6-136
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
Vous tes charg d'administrer et de rsoudre les problmes lis l'infrastructure de stratgie de groupe de la socit Contoso, Ltd. Vous souhaitez valuer le jeu de stratgies rsultant des utilisateurs de votre environnement afin de vrifier le bon fonctionnement de l'infrastructure de stratgie de groupe et vous assurer que toutes les stratgies sont imposes comme prvu.
6-137
3.
6-138
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3.
4.
5.
6.
6-139
5.
Tapez gpresult /z et appuyez sur ENTRE. Le rapport RSoP produit est encore plus dtaill.
6.
Tapez gpresult /h:"%userprofile%\Desktop\RSOP.html" et appuyez sur ENTRE. Un rapport RSoP est enregistr sous forme de fichier HTML sur votre Bureau.
7. 8.
Ouvrez le rapport RSoP enregistr sur votre Bureau. Comparez le rapport, ses informations et sa mise en page et le rapport RSoP que vous avez enregistr lors de la tche prcdente.
Rsultats : la fin de cet exercice, vous aurez appris obtenir un jeu rsultant de stratgies de deux manires, l'aide d'un assistant et partir de la ligne de commande.
6-140
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
6-141
11. Dans la page Options de simulation avances, cochez la case Traitement en boucle, puis cliquez sur Fusion. Bien que le GPO Conference Room Polices spcifie le traitement en boucle, vous devez demander l'Assistant Modlisation de stratgie de groupe de tenir compte du traitement en boucle dans sa simulation. 12. Cliquez sur Suivant. 13. Dans la page Autres chemins d'accs Active Directory, cliquez sur le bouton Parcourir accol Emplacement de l'ordinateur. La bote de dialogue Choisir un conteneur d'ordinateur s'affiche. 14. Dveloppez contoso.com et Kiosks, puis cliquez sur Conference Rooms. Vous simulez ainsi l'impact de DESKTOP101 en tant qu'ordinateur de la salle de confrence. 15. Cliquez sur OK. 16. Cliquez sur Suivant. 17. Dans la page Groupe de scurit utilisateur, cliquez sur Suivant. 18. Dans la page Groupe de scurit ordinateur, cliquez sur Suivant. 19. Dans Filtres WMI pour Utilisateurs, cliquez sur Suivant. 20. Dans la page Filtres WMI pour Ordinateurs, cliquez sur Suivant. 21. Vrifiez vos paramtres dans la page Aperu des slections, puis cliquez sur Suivant. 22. Cliquez sur Terminer. 23. Dans l'onglet Rsum, localisez et dveloppez ventuellement Configuration utilisateur, Objets de stratgie de groupe et Objets GPO appliqus. 24. Le GPO Conference Room Policies s'appliquera-t-il Mike Danseglio en tant que stratgie utilisateur lorsqu'il ouvrira une session sur DESKTOP101 si ce dernier est dans l'unit d'organisation Conference Rooms ? Si ce n'est pas le cas, vrifiez l'tendue du GPO Conference Room Policies. Ce dernier doit tre reli l'unit d'organisation Conference Rooms avec un filtrage de groupe de scurit appliquant le GPO l'identit spciale Utilisateurs authentifis. Pour rexcuter la requte, vous pouvez cliquer du bouton droit sur la requte de modlisation. Si le GPO ne s'applique toujours pas, tentez de supprimer, puis de recrer le rapport Group Policy Modeling en faisant bien attention de suivre chaque tape avec prcision.
6-142
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
25. Ouvrez l'onglet Paramtres. 26. Localisez et, au besoin, dveloppez Configuration utilisateur, Stratgies, Modles d'administration et Panneau de configuration/Affichage. 27. Vrifiez que le dlai d'activation de l'cran de veille est dfini sur 2 700 secondes (45 minutes), paramtre configur par le GPO Conference Room Policies qui remplace le paramtre standard de 10 minutes configur par le GPO CONTOSO Standards.
Rsultats : la fin de cet exercice, vous aurez utilis l'Assistant Modlisation de stratgie de groupe pour confirmer que le GPO Conference Room Policies applique en fait ses paramtres aux utilisateurs qui ouvrent une session sur les ordinateurs de la salle de confrence.
6-143
2. 3. 4.
Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
6-144
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Question : Dans quels cas avez-vous utilis, ou pouvez-vous envisager d'utiliser, la modlisation de stratgie de groupe ? Question : Avez-vous dj diagnostiqu un problme d'application de stratgie de groupe sur la base des vnements de l'un des journaux d'vnements ?
7-1
Module 7
Gestion de la configuration et de la scurit de l'entreprise avec les paramtres de stratgie de groupe
Table des matires :
Leon 1 : Dlgation du support technique des ordinateurs Atelier pratique A : Dlgation du support technique des ordinateurs Leon 2 : Gestion des paramtres de scurit Atelier pratique B : Gestion des paramtres de scurit Leon 3 : Gestion de logiciels avec GPSI Atelier pratique C : Gestion de logiciels avec GPSI Leon 4 : Audit Atelier pratique D : Audit de l'accs aux systmes de fichiers 7-4 7-16 7-20 7-49 7-62 7-81 7-87 7-100
7-2
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
La stratgie de groupe permet de grer la configuration d'une grande varit de composants et de fonctions de Windows. Le module prcdent explique comment configurer une infrastructure de stratgie de groupe. Dans ce module, nous allons voir comment appliquer cette infrastructure pour grer diffrents types de configuration lis la scurit et l'installation de logiciels. Il indique galement quels outils utiliser, par exemple l'Assistant Configuration de la scurit, qui aide dterminer les paramtres configurer en fonction des rles d'un serveur. Il explique galement comment configurer l'audit des fichiers et des dossiers.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : dlguer le support technique des ordinateurs ; modifier ou activer les membres des groupes l'aide des stratgies de groupes restreints ; modifier les membres de groupes l'aide des prfrences de stratgie de groupe ;
7-3
configurer les paramtres de scurit l'aide de la stratgie de scurit locale ; crer et appliquer des modles de scurit pour grer une configuration de scurit ; analyser une configuration de scurit base sur des modles de scurit ; crer, modifier et appliquer des stratgies de scurit l'aide de l'Assistant Configuration de la scurit ; dployer la configuration de la scurit l'aide d'une stratgie de groupe ; dployer des logiciels l'aide de GPSI ; supprimer les logiciels installs initialement avec GPSI.
7-4
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 1
Dans de nombreuses entreprises, le support technique (ou services d'assistance aux utilisateurs) est assur par une ou plusieurs personnes. Le personnel du support technique effectue diffrentes tches sur les ordinateurs client, notamment du dpannage et de la configuration, qui en gnral ncessitent des droits d'accs administrateur. Par consquent, le personnel du support technique doit appartenir au groupe local Administrateurs des ordinateurs client, mais il n'a pas besoin des droits d'accs haut niveau accords au groupe Admins du domaine. Il n'est donc pas recommand de l'inclure ce groupe. Il est prfrable de configurer les systmes client de faon ajouter au groupe local d'administrateurs un groupe spcifique au personnel du support technique. Cela est possible avec les stratgies de Groupes restreints. Cette leon explique comment ajouter le personnel du support technique au groupe local des administrateurs des ordinateurs client, et ainsi de dlguer le support technique de ces ordinateurs ce personnel. Cette mthode permet galement de dlguer l'administration d'un groupe d'ordinateurs l'quipe responsable de ces systmes.
7-5
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : dlguer l'administration des ordinateurs ; modifier ou activer les membres des groupes l'aide des stratgies de groupes restreints ; modifier les membres de groupes l'aide des prfrences de stratgie de groupe.
7-6
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Lorsque vous modifiez un objet de stratgie de groupe (ou objet GPO) et dveloppez le nud Configuration ordinateur, le nud Stratgies, le nud Paramtres Windows et le nud Paramtres de scurit, vous accdez au nud Groupes restreints, qui est reprsent sur la capture d'cran ci-dessous.
7-7
La stratgie de Groupes restreints permet de grer les membres des groupes. Les paramtres disponibles sont de deux types : Ce groupe est membre de (paramtre Membre de) et Membres de ce groupe (paramtre Membres).
Il est essentiel de connatre la diffrence entre ces deux paramtres. Un paramtre de type Membre de indique que le groupe dfini par la stratgie est membre d'un autre groupe. La partie gauche de la capture d'cran ci-dessus reprsente un exemple courant : le groupe CONTOSO\Help Desk est membre du groupe Administrateurs. Lorsque ce paramtre de stratgie est appliqu un ordinateur, le groupe Help Desk du domaine devient membre du groupe local Administrateurs. Si plusieurs objets GPO sont associs des stratgies de groupes restreints, chaque stratgie Membre de est applique. Par exemple, si un objet GPO li l'unit d'organisation Client Computers indique que CONTOSO\Help Desk est membre du groupe Administrateurs, et un autre objet GPO li l'unit d'organisation SEA (une sous-unit de l'unit d'organisation Client Computers) indique que CONTOSO\SEA Support est membre du groupe Administrateurs, alors un ordinateur appartenant l'unit d'organisation SEA va ajouter les groupes Help Desk et SEA Support son groupe Administrateurs, en plus des membres dj inclus ce groupe, tels que Admins du domaine. Cet exemple est reprsent sur la capture d'cran ci-dessous.
7-8
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Comme vous pouvez le voir, les stratgies de groupes restreints qui utilisent le paramtre Membre de sont cumulatives. Le second type de paramtre de stratgie de groupes restreints est Membre , qui dfinit tous les membres du groupe dfini par la stratgie. La bote de dialogue situe droite ci-dessus en est un exemple : La liste des membres du groupe Administrateurs est dfinie par CONTOSO\Help Desk. Lorsqu'un ordinateur applique ce paramtre de stratgie, le groupe local Administrateurs contient uniquement les membres CONTOSO\Help Desk. Tout membre non dfini dans la stratgie est retir, y compris Admins du domaine. Le paramtre Membres est la stratgie prioritaire : il dfinit la liste dfinitive des membres. Si plusieurs objets GPO sont associs une stratgie de groupes restreints, l'objet GPO qui l'emporte est celui qui a la priorit la plus haute. Par exemple, si un objet GPO li l'unit d'organisation Client Computers indique que le groupe Administrateurs est constitu de CONTOSO\Help Desk, et un autre objet GPO li l'unit SEA indique que le groupe Administrateurs est constitu de CONTOSO\SEA Support, les ordinateurs de l'unit SEA vont contenir uniquement le groupe SEA Support dans le groupe Administrateurs. Cet exemple est reprsent sur la capture d'cran ci-dessous.
7-9
Si vous utilisez les stratgies de groupes restreints Membres et Membre de , le paramtre de stratgie Membres prcdent dfinit les membres de base du groupe, puis les stratgies cumulatives "Membres de" compltent cette base. Dans votre entreprise, veillez dfinir et tester minutieusement les stratgies de groupes restreints afin d'obtenir les rsultats souhaits.
7-10
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Vous pouvez utiliser les stratgies de groupes restreints avec le paramtre Membre de pour dlguer les privilges d'administration des ordinateurs en procdant de la manire suivante :
tapes de la dmonstration
1. 2. Dmarrez 6238B-HQDC01-A et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Sur HQDC01, cliquez sur Dmarrer > Outils d'administration et excutez Gestion des stratgies de groupe avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez Forest:contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratgie de groupe.
3.
7-11
4. 5. 6.
Cliquez avec le bouton droit sur le conteneur Objets de stratgie de groupe, puis cliquez sur Nouveau. Dans la zone Nom, entrez Corporate Help Desk, puis cliquez sur OK. Dans le volet d'informations, cliquez avec le bouton droit sur Corporate Help Desk, puis cliquez sur Modifier. L'diteur de gestion des stratgies de groupe s'ouvre.
7.
Dans diteur de gestion des stratgies de groupe, accdez Configuration ordinateur\Stratgies\Paramtres Windows\Paramtres de scurit\Groupes restreints. Cliquez avec le bouton droit sur Groupes restreints et slectionnez Ajouter un groupe. Cliquez sur le bouton Parcourir, puis dans la bote de dialogue Slectionner des groupes, entrez le nom du groupe que vous souhaitez ajouter au groupe Administrateurs (par exemple CONTOSO\Help Desk) et cliquez sur OK.
8. 9.
10. Cliquez sur OK pour fermer la bote de dialogue Ajouter un groupe. La bote de dialogue Proprits s'affiche. 11. Cliquez sur le bouton Ajouter situ ct de la section Ce groupe est membre de. 12. Entrez Administrators et cliquez sur OK. Un exemple de bote de dialogue Proprits de paramtre de stratgie de groupe est reprsent ci-dessus gauche. 13. Cliquez nouveau sur OK pour fermer la bote de dialogue Proprits. Si l'appartenance au groupe local d'administrateurs est dlgue de cette faon, le groupe indiqu l'tape 9 est ajout ce groupe. Mais cela ne supprime aucun membre du groupe Administrators. Le paramtre de stratgie de groupe indique simplement au client de vrifier que ce groupe est membre du groupe local d'administrateurs. Cela permet d'inclure d'autres utilisateurs ou groupes au groupe local d'administrateurs d'un systme particulier. Ce paramtre de stratgie de groupe est galement cumulatif. Si plusieurs objets GPO configurent diffrentes entits de scurit de faon les inclure au groupe local d'administrateurs, elles sont toutes ajoutes ce groupe.
7-12
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Pour garder le contrle total sur le groupe local d'administrateurs, procdez comme suit :
tapes de la dmonstration
1. Dans diteur de gestion des stratgies de groupe, accdez Configuration ordinateur\Paramtres Windows\Paramtres de scurit\Groupes restreints. Cliquez avec le bouton droit sur Groupes restreints et slectionnez Ajouter un groupe. Entrez Administrators et cliquez sur OK. La bote de dialogue Proprits s'affiche. 4. 5. Cliquez sur le bouton Ajouter situ ct de la section Membres de ce groupe. Cliquez sur le bouton Parcourir, puis entrez le nom de l'unique groupe que vous souhaitez inclure au groupe Administrators (par exemple CONTOSO\Help Desk) et cliquez sur OK. Cliquez nouveau sur OK pour fermer la bote de dialogue Ajouter un membre. Un exemple de bote de dialogue Proprits de paramtre de stratgie de groupe est reprsent ci-dessus gauche. 7. Cliquez nouveau sur OK pour fermer la bote de dialogue Proprits.
2. 3.
6.
Lorsque vous utilisez le paramtre Membres d'une stratgie de groupes restreints, la liste des Membres dfinit les membres dfinitifs du groupe indiqu. Les tapes indiques permettent d'obtenir un objet GPO qui contrle totalement le groupe Administrators. Lorsqu'un ordinateur applique cet objet GPO, il ajoute les membres dfinis par l'objet GPO et retire les membres non dfinis par l'objet GPO, y compris Admins du domaine. Seul le compte local Administrateur n'est pas retir du groupe Administrators, car ce membre est permanent et ne peut pas tre supprim.
7-13
Points cls
Les prfrences de stratgie de groupe permettent galement de dfinir les membres de groupes.
7-14
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Les prfrences Groupe local sont accessibles dans Configuration ordinateur et Configuration utilisateur. Les paramtres de prfrences Groupe local sont reprsents ci-dessous.
Les trois options relatives l'utilisateur en cours sont disponibles uniquement dans les prfrences Groupe local de la Configuration utilisateur. Vous pouvez crer, supprimer, remplacer ou modifier (mettre jour) un groupe local. Comme le montre la capture d'cran prcdente, vous pouvez renommer le groupe, modifier sa description, ou changer les membres du groupe. Les prfrences Groupe local ne permettent pas de supprimer des membres d'un groupe si ces membres ont t ajouts un groupe avec un paramtre de stratgie de groupes restreints. De plus, si un paramtre de stratgie de groupes restreints utilise la mthode Membres pour dfinir les membres qui font autorit, il n'est pas possible d'ajouter ou de supprimer des membres dans les prfrences.
7-15
Les interactions entre les paramtres de stratgie de groupes restreints Membres , les paramtres de stratgie de groupes restreints Membre de , les prfrences Groupe local dlimites par les paramtres de l'ordinateur, et les prfrences Groupe local dlimites par les paramtres de l'utilisateur peuvent paratre assez complexes. Veillez tester minutieusement les rsultats si vous souhaitez implmenter plusieurs mthodes de gestion des membres de groupes avec la Stratgie de groupe.
Questions de discussion
1. Dans quels scnarios, ou pour quelles raisons, pourriez-vous supprimer tous les membres, utilisateurs ou groupes ?
2.
3.
Dans quel scnario pourriez-vous modifier les membres du groupe local Administrateurs d'un ordinateur l'aide des prfrences Groupe local, dans le nud de Configuration utilisateur d'un objet GPO qui dfinit les prfrences pour des utilisateurs particuliers et non pour des ordinateurs particuliers ?
Lectures complmentaires
Aide de la console de gestion des stratgies de groupe, Extension Utilisateurs et groupes locaux
7-16
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
L'quipe charge de la scurit de l'entreprise vous demande de verrouiller la configuration des membres du groupe Administrateurs sur les ordinateurs client. Cependant, il est ncessaire que le service de support technique puisse fournir l'assistance aux utilisateurs de l'ensemble de l'entreprise de faon centralise. De plus, l'quipe de support technique locale d'un site doit effectuer les tches administratives sur les ordinateurs client du site.
7-17
Exercice 1 : Configuration des membres du groupe Administrateurs l'aide des stratgies de groupes restreints
Dans cet exercice, vous allez utiliser la stratgie de groupes pour dlguer les membres du groupe Administrateurs. Vous allez d'abord crer un objet GPO avec un paramtre de stratgie de groupes restreints de faon ce que le groupe Help Desk soit membre du groupe Administrateurs sur tous les systmes client. Vous allez ensuite crer un objet GPO qui ajoute le groupe SEA Support au groupe Administrateurs sur les ordinateurs client de l'unit d'organisation SEA. Pour finir, vous allez vrifier que dans l'unit d'organisation SEA, les groupes Help Desk et SEA Support sont Administrateurs. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. Prparer l'atelier pratique. Dlguer l'administration de tous les clients du domaine. Crer un groupe Seattle Support. Dlguer l'administration d'une partie des clients du domaine. Vrifier l'application cumulative des stratgies Membre de .
7-18
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3.
2.
Important : n'arrtez pas les ordinateurs virtuels la fin de cet atelier car les paramtres que vous avez configurs seront utiliss dans les ateliers suivants.
7-19
7-20
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 2
La scurit est une proccupation cruciale pour tous les administrateurs Windows. Windows Server 2008 comporte de nombreux paramtres qui ont des incidences sur les services excuts, les ports ouverts, les paquets rseau autoriss entrer ou sortir du systme, les droits d'accs et les autorisations des utilisateurs, et les activits audites. Le nombre de paramtres grer peut tre trs important, et malheureusement, il n'y a pas de solution miracle qui permette d'appliquer une scurit parfaite un serveur. Pour configurer correctement la scurit d'un serveur, il faut tenir compte des rles de ce serveur, des diffrents systmes d'exploitation de l'environnement et des stratgies de scurit de l'entreprise, ainsi que des rglementations externes que l'entreprise doit respecter. Par consquent, vous devez dterminer et configurer les paramtres de scurit ncessaires aux serveurs de votre entreprise, et vous devez prparer la gestion de ces paramtres de faon centraliser et optimiser la configuration de la scurit. Windows Server 2008 comporte diffrents mcanismes qui permettent de configurer les paramtres de scurit sur un ou plusieurs systmes. Cette leon dcrit ces mcanismes et les interactions correspondantes.
7-21
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : configurer les paramtres de scurit sur un ordinateur l'aide de la stratgie de scurit locale ; crer et appliquer des modles de scurit pour grer une configuration de scurit ; analyser une configuration de scurit base sur des modles de scurit ; crer, modifier et appliquer des stratgies de scurit en utilisant l'Assistant Configuration de la scurit ; dployer la configuration de la scurit l'aide d'une stratgie de groupe.
7-22
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
La gestion des stratgies de scurit implique la conception, le dploiement, la gestion, l'analyse et la vrification des paramtres de scurit d'une ou plusieurs configurations de systme Windows. En gnral, une entreprise inclut diffrentes configurations : ordinateurs de bureau et portables, serveurs et contrleurs de domaine. Dans la plupart des entreprises, d'autres configurations sont galement dfinies, par exemple plusieurs types ou rles de serveur. Le premier point essentiel est : la stratgie de la scurit. Avant d'analyser la technologie ncessaire, vous devez connatre les besoins de votre entreprise en termes de scurit. Si aucune stratgie de scurit n'a t dfinie par crit, commencez par en crer une. Quand vous savez o vous allez, vous pouvez vous lancer. Pour dfinir la stratgie de scurit et les exigences correspondantes, vous devrez sans doute personnaliser la configuration par dfaut de la scurit des systmes d'exploitation client et serveur Windows.
7-23
Pour grer la configuration de la scurit, vous devez : crer une stratgie de scurit pour une nouvelle application ou un nouveau rle de serveur non inclus au Gestionnaire de serveur ; utiliser les outils de gestion de stratgie de scurit pour appliquer les paramtres de stratgie de scurit qui sont spcifiques votre environnement ; analyser les paramtres de scurit du serveur afin que la stratgie de scurit applique un serveur soit adapte au rle du serveur ; mettre jour la stratgie de scurit du serveur lors de la modification de la configuration du serveur.
Cette leon dcrit les outils, les concepts et les procdures permettant d'effectuer ces tches. Principaux outils utiliss dans cette leon : Stratgie de groupe locale Assistant Configuration de la scurit Modles de scurit (composant logiciel enfichable) Configuration et analyse de la scurit (composant logiciel enfichable) Stratgie de groupe de domaine
7-24
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Chaque serveur excutant Windows Server 2008 comporte un ensemble de paramtres de scurit qui peuvent tre grs l'aide de l'objet GPO local. Vous pouvez configurer l'objet GPO local l'aide de l'diteur d'objets de stratgie de groupe (qui est un composant logiciel enfichable) ou de la console de Stratgie de scurit locale. Les catgories de paramtres de stratgie disponibles sont reprsentes sur la page suivante.
7-25
Cette leon dcrit les mcanismes qui permettent de configurer et de grer les paramtres de scurit mais ne fournit pas d'informations dtailles sur les paramtres eux-mmes. D'autres sections du cours expliquent les diffrents paramtres, notamment les stratgies de compte, la stratgie d'audit et l'attribution de droits utilisateur. Les contrleurs de domaine n'tant pas associs un compte utilisateur local (mais uniquement un compte de domaine), les stratgies du conteneur Stratgies de compte de l'objet GPO local des contrleurs de domaine ne peuvent pas tre configures. Les stratgies de compte du domaine doivent tre configures dans le cadre d'un objet GPO li au domaine, par exemple l'objet GPO Stratgie de domaine par dfaut. Les stratgies de compte sont dcrites dans le Module 8.
7-26
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Les paramtres dfinis dans les stratgies de paramtres de scurit locales sont un sous-ensemble des stratgies qui peuvent tre configures l'aide de la stratgie de groupe lie au domaine, comme illustr ci-dessous :
Comme vous l'avez vu dans le Module 6, il est recommand de grer la configuration avec une stratgie de groupe lie au domaine plutt que d'utiliser une stratgie de groupe locale pour chaque ordinateur. Ceci est particulirement important pour les contrleurs de domaine. L'objet GPO Default Domain Controllers Policy par dfaut est cr lorsque le premier contrleur de domaine est associ un nouveau domaine. Li l'unit d'organisation Domain Controllers, il doit tre utilis pour grer les paramtres de scurit de base de tous les contrleurs du domaine afin que la configuration de ceux-ci soit cohrente.
Lectures complmentaires
Paramtres de stratgie de groupe de scurit : http://go.microsoft.com/fwlink/?LinkId=168675
7-27
Points cls
Le second mcanisme de gestion de la configuration de la scurit est le modle de scurit. Un modle de scurit est un ensemble de paramtres de configuration regroups dans un fichier texte d'extension .inf. Comme le montre la capture d'cran de la page suivante, un modle de scurit contient des paramtres qui constituent un sous-ensemble des paramtres disponibles dans un objet GPO li au domaine, mais un sous-ensemble un peu diffrent de ceux grs par l'objet GPO local.
7-28
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Les outils utiliss pour grer les modles de scurit affichent les paramtres sur une interface qui permet d'enregistrer les configurations de la scurit sous forme de fichiers et de les dployer au moment et l'endroit souhaits. Vous pouvez galement utiliser un modle de scurit pour analyser la conformit de la configuration d'un ordinateur par rapport la configuration de rfrence. Le stockage de la configuration de la scurit dans des modles de scurit prsente plusieurs avantages. Les modles tant des fichiers au format texte, vous pouvez travailler sur ces fichiers manuellement, par exemple pour couper et coller des sections. Ensuite, les modles facilitent le stockage de diffrents types de configuration de la scurit, ce qui facilite l'application de diffrents niveaux de scurit aux ordinateurs ayant diffrents rles. Les modles de scurit permettent de configurer les types suivants de stratgies et de paramtres : Stratgies de compte : dfinir les restrictions de mots de passe, les stratgies de verrouillage de compte et les stratgies Kerberos. Stratgies locales : configurer les stratgies d'audit, ainsi que les stratgies d'attribution de droits utilisateur et des options de scurit. Stratgies de journal des vnements : configurer la taille maximale du journal d'vnements et les stratgies de substitution. Groupes restreints : dfinir les utilisateurs autoriss appartenir des groupes particuliers.
7-29
Services systme : dfinir les types de dmarrage et les autorisations des services systme. Autorisations d'accs au Registre : dfinir les autorisations de contrle d'accs des cls de registre particulires. Autorisations du systme de fichiers : dfinir les autorisations de contrle d'accs aux dossiers et aux fichiers NTFS.
Vous pouvez dployer les modles de scurit de diffrentes manires, l'aide d'objets de stratgie de groupe Active Directory, du composant Configuration et analyse de la scurit, ou Secedit.exe. Si vous associez un modle de scurit un objet de stratgie de groupe Active Directory, les paramtres du modle est inclus l'objet GPO. Vous pouvez galement appliquer un modle de scurit directement un ordinateur. Dans ce cas, les paramtres du modle sont inclus aux stratgies locales de l'ordinateur. Ces options sont dcrites en dtail dans cette leon.
7-30
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Utilisation du composant Modles de scurit (composant logiciel enfichable) Le composant Modles de scurit facilite l'utilisation des modles de scurit. Aucune console n'est associe ce composant dans Windows Server 2008, vous devez donc en crer une l'aide de la commande Ajouter/Supprimer un composant logiciel enfichable de la console MMC. Le composant logiciel enfichable cre un dossier appel Security et un sous-dossier appel Templates dans votre dossier Documents. Le dossier Documents\Security\Templates devient le chemin de recherche des modles et c'est dans ce dossier que vous stockez les modles de scurit.
7-31
Pour crer un modle de scurit : Cliquez avec le bouton droit sur le nud qui reprsente le chemin de recherche de vos modles (C:\Users\Documents\Administrator\Security \Templates, par exemple) et slectionnez Nouveau Modle. Vous pouvez galement crer un modle qui reflte la configuration en cours d'un serveur (vous trouverez les explications ultrieurement dans cette leon). La configuration des paramtres du modle est similaire la configuration des paramtres d'un objet GPO. Le composant Modles de scurit permet de configurer les paramtres d'un modle de scurit. Cet outil est un simple diteur, il n'intervient pas dans l'application des paramtres un systme. Configurez les paramtres de scurit d'un modle l'aide du composant Modles de scurit. Mme si le modle est un fichier texte, la syntaxe peut sembler obscure. L'utilisation du composant logiciel enfichable permet d'effectuer des modifications sans risques d'erreur de syntaxe. Toutefois, il y a une exception : dans le cas de l'ajout de paramtres du Registre qui ne figurent pas dans la partie Stratgies locales\Option de scurit du modle. Lorsque de nouveaux paramtres de scurit sont identifis, s'ils peuvent tre configurs avec une cl du Registre, vous pouvez les ajouter un modle de scurit. Pour ce faire, ajoutez-les la section Valeurs du Registre du modle.
Remarque : enregistrez les paramtres. Veillez enregistrer les modifications que vous apportez un modle de scurit en cliquant avec le bouton droit sur le modle et en slectionnant Enregistrer.
Lorsque vous installez un serveur ou l'associez un contrleur de domaine, Windows applique un modle de scurit par dfaut. Ce modle se trouve dans le dossier %SystemRoot%\Security\Templates. Dans un contrleur de domaine, le modle est appel DC security.inf. Il est dconseill de modifier ce modle directement : il est prfrable de le copier dans le chemin de recherche de modles et de modifier la copie.
Remarque : modles de scurit de Windows Server 2008 et des versions prcdentes de Windows. Dans les versions prcdentes de Windows, il tait possible de modifier certains modles de scurit et de les appliquer un ordinateur. Ces modles ne sont plus utiles avec la nouvelle configuration de Windows Server 2008 fonde sur des rles et les nouvelles fonctionnalits du Gestionnaire de configuration de la scurit.
7-32
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Dploiement des modles de scurit l'aide des objets de stratgie de groupe La cration et la modification des modles de scurit n'amliorent la scurit que si vous appliquez ces modles. Pour configurer plusieurs ordinateurs en une seule opration, vous pouvez importer un modle de scurit dans l'objet de stratgie de groupe (objet GPO) d'un domaine, un site ou une unit d'organisation dans Active Directory. Pour importer un modle de scurit dans un objet GPO : Cliquez avec le bouton droit sur le nud Paramtres de scurit et slectionnez Importer une stratgie.
Dans la bote de dialogue Importer la stratgie partir de , si vous cochez l'option Effacer cette base de donnes avant d'importer , tous les paramtres de scurit de l'objet GPO sont effacs avant l'importation des paramtres du modle. Ainsi, les paramtres de scurit de l'objet GPO vont correspondre aux paramtres du modle. Si vous ne slectionnez pas l'option Effacer cette base de donnes avant d'importer , les paramtres de la stratgie de scurit de l'objet GPO sont conservs et les paramtres du modle sont imports. Tout paramtre dfini dans l'objet GPO qui est galement dfini dans le modle est remplac par le paramtre du modle.
tapes de la dmonstration
1. 2. 3. Dmarrez 6238B-HQDC01-A. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer, dans la zone de recherche entrez mmc.exe et appuyez sur Entre lorsqu'un message vous invite entrer les informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Dans la liste Composants logiciels enfichables disponibles, slectionnez Modles de scurit, puis cliquez sur Ajouter. Cliquez sur OK. Cliquez sur Fichier, puis sur Enregistrer. La bote de dialogue Enregistrer sous s'affiche. 8. Entrez D:\Security Management, puis appuyez sur Entre.
4. 5. 6. 7.
7-33
9.
10. Cliquez avec le bouton droit sur C:\Users\Pat.Coleman_Admin \Documents\Security\Templates, puis cliquez sur Nouveau modle. 11. Entrez DC Remote Desktop, puis cliquez sur OK. 12. Cliquez sur Dmarrer > Outils d'administration et excutez Gestion des stratgies de groupe en indiquant des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. 13. Dans l'arborescence de la console, dveloppez Forest:contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratgie de groupe. 14. Dans le volet d'informations, cliquez avec le bouton droit sur Corporate Help Desk, puis cliquez sur Modifier. L'diteur de gestion des stratgies de groupe s'ouvre. 15. Dans l'arborescence de la console, dveloppez Configuration ordinateur, Stratgies, Paramtres Windows, puis cliquez sur Paramtres de scurit. 16. Cliquez avec le bouton droit sur Paramtres de scurit, puis cliquez sur Importer une stratgie. 17. Slectionnez DC Remote Desktop, puis cliquez sur Ouvrir.
7-34
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Configuration et analyse de la scurit Le composant logiciel enfichable Configuration et analyse de la scurit permet d'appliquer un modle de scurit un ordinateur de faon interactive. Ce composant permet galement d'analyser la configuration de la scurit du systme et de la comparer une configuration de base enregistre sous forme de modle de scurit. Cela vous permet de dterminer rapidement si quelqu'un a modifi les paramtres de scurit d'un ordinateur et si le systme est conforme aux stratgies de scurit de votre entreprise. Comme le composant Modles de scurit, le composant Configuration et analyse de la configuration n'est associ aucune console dans Windows Server 2008. Vous devez donc ajouter ce composant une console. Cration d'une base de donnes Pour utiliser le composant Configuration et analyse de la scurit, vous devez d'abord crer une base de donnes qui va contenir un ensemble de paramtres de scurit. La base de donnes est l'interface entre les paramtres de scurit actifs sur l'ordinateur et les paramtres stocks dans les modles de scurit.
7-35
Pour crer une base de donnes (ou en ouvrir une) : Cliquez avec le bouton droit sur le nud Configuration et analyse de la scurit dans l'arborescence de la console.
Vous pouvez ensuite importer un ou plusieurs modles de scurit. Si vous importez plusieurs modles, vous devez dterminer s'il faut vider la base de donnes. Si vous effacez le contenu de la base de donnes, celle-ci contiendra alors uniquement les paramtres du nouveau modle. Si vous n'effacez pas le contenu de la base de donnes, les paramtres dfinis dans les modles ajouts vont remplacer les paramtres des modles prcdemment imports. Si les paramtres ne sont pas dfinis dans les nouveaux modles imports, les paramtres des modles prcdemment imports sont conservs dans la base de donnes. Pour rsumer, le composant Configuration et analyse de la scurit cre une base de donnes de paramtres de scurit qui stocke les paramtres des modles de scurit imports. Les paramtres de la base de donnes peuvent tre appliqus l'ordinateur ou utiliss pour analyser la conformit de l'ordinateur et les divergences avec la configuration souhaite. Notez bien que les paramtres d'une base de donnes ne modifient pas les paramtres de l'ordinateur ou les paramtres d'un modle tant que la base de donnes n'est pas utilise pour configurer l'ordinateur ou exporte dans un modle. Application des paramtres de la base de donnes un ordinateur Aprs avoir import un ou plusieurs modles pour crer la base de donnes, vous pouvez appliquer les paramtres de la base de donnes un ordinateur. Pour appliquer une base de donnes : Cliquez avec le bouton droit sur Configuration et analyse de la scurit et slectionnez Configurer l'ordinateur maintenant.
Un message vous invite indiquer le chemin du journal d'erreurs gnr lors de l'application des paramtres. Aprs avoir appliqu des paramtres, examinez le journal d'erreurs pour identifier les ventuels problmes. Analyse de la configuration de la scurit d'un ordinateur Avant d'appliquer les paramtres de la base de donnes un ordinateur, vous pouvez analyser la configuration de l'ordinateur pour identifier les divergences. Pour analyser la configuration de la scurit d'un ordinateur : Cliquez avec le bouton droit sur Configuration et analyse de la scurit et slectionnez Analyser l'ordinateur maintenant.
7-36
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Le systme vous invite indiquer l'emplacement du fichier d'erreur, puis il compare les paramtres de l'ordinateur aux paramtres de la base de donnes. Une fois l'analyse termine, la console gnre un rapport du type suivant :
Contrairement l'affichage des paramtres de stratgie dans les autres outils (diteur de gestion de stratgie de groupe, diteur d'objets de stratgie de groupe, composants Stratgie de scurit locale et Modles de scurit), le rapport indique pour chaque stratgie le paramtre dfini dans la base de donnes (issu des modles que vous avez imports) et le paramtre actuel de l'ordinateur. Les deux paramtres sont compars et le rsultat de la comparaison est signal par un indicateur plac sur le nom de la stratgie. Par exemple, le paramtre de stratgie Permettre l'ouverture d'une session locale indique une divergence entre le paramtre de la base de donnes et le paramtre de l'ordinateur. Les significations des indicateurs sont les suivants : X dans un cercle rouge. Indique que la stratgie est dfinie dans la base de donnes et sur l'ordinateur, mais que les valeurs configures ne correspondent pas. Coche verte dans un cercle blanc. Indique que la stratgie est dfinie dans la base de donnes et sur l'ordinateur, et que les valeurs configures correspondent. Point d'interrogation dans un cercle blanc. Indique que la stratgie n'est pas dfinie dans la base de donnes et, par consquent, n'a pas t analyse ou que l'utilisateur qui a excut l'analyse n'a pas les droits d'accs la stratgie de l'ordinateur. Point d'exclamation dans un cercle blanc. Indique que la stratgie est dfinie dans la base de donnes mais qu'elle n'est pas prsente sur l'ordinateur. Aucun indicateur. Indique que la stratgie n'est pas dfinie dans la base de donnes ou sur l'ordinateur.
7-37
Correction des divergences entre les paramtres de scurit Lorsque vous examinez le contenu de la base de donnes et comparez ces paramtres avec ceux de l'ordinateur, vous pouvez trouver des divergences. Vous pouvez alors modifier la configuration de l'ordinateur ou la base de donnes, afin de faire concider les paramtres. Double-cliquez sur le paramtre de stratgie modifier pour afficher la bote de dialogue Proprits qui permet de modifier la valeur dans la base de donnes. Aprs avoir effectu les modifications dans la base de donnes, vous pouvez appliquer les paramtres de la base de donnes l'ordinateur en suivant les tapes dcrites prcdemment dans la section Grer la configuration de la scurit l'aide des modles de scurit . Application ou exportation des modifications de la base de donnes Si vous modifiez la valeur d'un paramtre de stratgie dans le composant Configuration et l'analyse de la scurit, seule la valeur de la base de donnes est modifie, et pas celle du paramtre actif sur l'ordinateur. Pour que les modifications soient appliques l'ordinateur, appliquez les paramtres de la base de donnes l'ordinateur en utilisant la commande Configurer l'ordinateur maintenant ou bien exportez la base de donnes dans un nouveau modle et appliquez celui-ci l'ordinateur, l'aide d'un objet GPO ou de la commande Secedit.exe (dcrite dans la section Secedit.exe ultrieurement dans cette leon.) Vous pouvez galement modifier les paramtres de scurit de l'ordinateur directement en utilisant la console de Stratgie de scurit locale, en modifiant l'objet de stratgie de groupe appropri ou en modifiant manuellement les autorisations d'accs au systme de fichiers et au Registre. Aprs avoir effectu ces modifications, retournez dans Configuration et analyse de la scurit et slectionnez la commande Analyser l'ordinateur maintenant pour actualiser l'analyse des paramtres de l'ordinateur par rapport la base de donnes. Cration d'un modle de scurit Vous pouvez crer un modle de scurit partir de la base de donnes. Pour crer un modle de scurit partir de la base de donnes : Cliquez avec le bouton droit sur Configuration et analyse de la scurit et slectionnez Exporter un modle.
Le modle va contenir les paramtres de la base de donnes qui ont t imports d'un ou de plusieurs modles de scurit et que vous avez modifis pour qu'ils correspondent aux paramtres actuels de l'ordinateur analys. La fonction Exporter un modle cre un modle partir des paramtres prsents dans la base de donnes au moment o vous excutez la commande, et non partir des paramtres de l'ordinateur.
7-38
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Secedit.exe Secedit.exe est un utilitaire de ligne de commande qui effectue les mmes fonctions que le composant Configuration et analyse de la scurit. Mais il prsente l'avantage de pouvoir tre appel partir de scripts et de fichiers de commandes, ce qui vous permet d'automatiser les dploiements de modles de scurit. De plus, vous pouvez utiliser Secedit.exe pour appliquer une partie du modle de scurit un ordinateur, ce qui n'est pas possible avec le composant Configuration et analyse de la scurit ou les objets de stratgie de groupe (GPO). Par exemple, si vous souhaitez appliquer les autorisations du systme de fichiers partir d'un modle mais laisser tous les autres paramtres, vous pouvez le faire avec Secedit.exe. Pour utiliser Secedit.exe, excutez le programme l'invite de commande avec l'un des six principaux paramtres indiqus ci-dessous, ainsi que d'autres paramtres correspondant aux diffrentes fonctions : Configure. Appliquer l'ensemble ou une partie d'une base de donnes de scurit l'ordinateur local. Vous pouvez galement configurer le programme pour importer un modle de scurit dans la base de donnes indique avant d'appliquer les paramtres de la base de donnes l'ordinateur. Analyze. Comparer les paramtres de scurit de l'ordinateur ceux d'une base de donnes de scurit. Vous pouvez configurer le programme pour importer un modle de scurit dans la base de donnes avant d'effectuer l'analyse. Le programme enregistre les rsultats de l'analyse dans la base de donnes, ce qui vous permet de les visualiser ultrieurement avec le composant Configuration et analyse de la scurit. Import. Importer l'ensemble ou une partie d'un modle de scurit dans une base de donnes particulire. Export. Exporter l'ensemble ou une partie des paramtres d'une base de donnes de scurit dans un nouveau modle de scurit. Validate. Vrifier que la syntaxe interne d'un modle de scurit est correcte. Generaterollback. Crer un modle de scurit qui permet de restaurer la configuration initiale d'un systme aprs l'application d'un modle.
Par exemple, pour configurer l'ordinateur l'aide d'un modle appel BaselineSecurity, utilisez la commande suivante :
secedit /configure /db BaselineSecurity.sdb /cfg BaselineSecurity.inf /log BaselineSecurity.log
7-39
Pour crer un modle de restauration pour le modle BaselineSecurity, utilisez la commande suivante :
secedit /generaterollback /cfg BaselineSecurity.inf /rbk BaselineSecurityRollback.inf /log BaselineSecurityRollback.log
Lectures complmentaires
Pour obtenir des informations dtailles sur Secedit.exe et les commutateurs correspondants, voir http://go.microsoft.com/fwlink/?LinkId=168677
Question de discussion
Question : Quelle procdure permet d'appliquer un modle de scurit un ordinateur ?
7-40
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
L'assistant Configuration de la scurit permet d'amliorer la scurit d'un serveur par la fermeture des ports et la dsactivation des services non ncessaires pour les rles du serveur. Vous pouvez lancer l'Assistant Configuration de la scurit sur la page d'accueil du Gestionnaire de serveur, dans la section Informations sur la scurit, ou dans le dossier Outils d'administration. Une version ligne de commande de cet outil est disponible (scwcmd.exe). Entrez scwcmd.exe /? l'invite de commandes pour obtenir de l'aide sur la commande ou consultez la page http://go.microsoft.com/fwlink/?LinkId=168678.
7-41
L'assistant Configuration de la scurit est un outil de gestion de la scurit nouvelle gnration, plus avanc que le composant Configuration et analyse de la scurit. L'assistant Configuration de la scurit repose sur des rles comme la nouvelle configuration de Windows Server 2008. Cet assistant cre une stratgie de scurit (fichier .xml) qui configure les lments ci-aprs. Services Scurit du rseau, notamment les rgles du pare-feu Valeurs du Registre Stratgie d'audit Autres paramtres fonds sur les rles d'un serveur
Vous pouvez ensuite modifier cette stratgie de scurit, l'appliquer un autre serveur ou la convertir en objet GPO pour effectuer le dploiement sur plusieurs systmes. Cration d'une stratgie de scurit Pour crer une stratgie de scurit : 1. Lancez l'Assistant Configuration de la scurit du dossier Outils d'administration ou la section Informations sur la scurit de la page d'accueil du Gestionnaire de serveur. Vous pouvez ouvrir le fichier d'aide de l'Assistant Configuration de la scurit en cliquant sur le lien Assistant Configuration de la scurit sur la premire page de l'assistant. 2. 3. 4. Cliquez sur Suivant. Sur la page Action de configuration, slectionnez Crer une nouvelle stratgie de scurit, puis cliquez sur Suivant. Entrez le nom du serveur analyser, puis cliquez sur Suivant. La stratgie de scurit repose sur les rles du serveur indiqu. Vous devez tre administrateur sur ce serveur pour effectuer l'analyse de ces rles. Vrifiez galement que toutes les applications qui utilisent des ports IP entrants sont actives avant d'excuter l'Assistant Configuration de la scurit. L'Assistant Configuration de la scurit lance l'analyse des rles du serveur slectionn. Il utilise une base de donnes de configuration de la scurit qui dfinit les services et les ports requis pour chaque rle de serveur pris en charge par l'Assistant Configuration de la scurit. La base de donnes de configuration de la scurit est un ensemble de fichiers .xml installs dans %SystemRoot%\Security\Msscw\Kbs.
7-42
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Remarque : centralisation de la base de donnes de configuration de la scurit. Dans un environnement d'entreprise, centralisez la base de donnes de configuration de la scurit afin que les administrateurs utilisent la mme base de donnes pour excuter l'Assistant Configuration de la scurit. Copiez les fichiers dans le dossier %SystemRoot%\Security\Msscw\Kbs dans un dossier du rseau. Puis lancez l'Assistant Configuration de la scurit avec la commande Scw.exe, en utilisant la syntaxe scw.exe /kb EmplacementBaseDonnes. Par exemple, la commande scw.exe /kb \\server01\scwkb lance l'Assistant Configuration de la scurit, en utilisant la base de donnes de configuration de la scurit qui se trouve dans le dossier partag scwkb sur SERVER01.
L'Assistant Configuration de la scurit utilise la base de donnes de configuration de la scurit pour analyser le serveur slectionn et identifie les lments suivants : Rles installs sur le serveur Rles remplis par le serveur Services installs sur le serveur mais non dfinis dans la base de donnes de configuration de la scurit Adresses IP et sous-rseaux configurs pour le serveur
Les informations dtectes relatives au serveur sont enregistres dans un fichier appel Main.xml. Ce fichier spcifique au serveur est appel Base de donnes de configuration, ne pas confondre avec la base de donnes de configuration de la scurit utilise par l'Assistant Configuration de la scurit pour effectuer l'analyse. Pour afficher la base de donnes de configuration : Sur la page Traitement de la configuration de la scurit, cliquez sur Afficher la base de donnes de configuration.
Les paramtres d'origine dans la base de donnes de configuration sont appels paramtres de base. Aprs l'analyse du serveur et la cration de la base de donnes de configuration, vous pouvez modifier la base de donnes. Celle-ci est ensuite utilise pour gnrer la stratgie de scurit pour configurer les services, les rgles du pare-feu, les paramtres du Registre et les stratgies d'audit. La stratgie de scurit peut ensuite tre applique au serveur ou aux autres serveurs jouant des rles similaires. L'Assistant Configuration de la scurit prsente ces quatre catgories de la stratgie de scurit dans une section (une suite de pages) : Configuration de service fonde sur les rles Scurit du rseau
7-43
Stratgie de scurit Les trois dernires sections sont facultatives, vous pouvez ignorer celles que vous ne souhaitez pas inclure la stratgie de scurit.
la fin de ces sections de configuration, l'Assistant Configuration de la scurit affiche la section Stratgie de scurit. La page Nom du fichier de stratgie de scurit qui s'affiche dans la capture d'cran prcdente permet de dfinir le chemin, le nom et la description de la stratgie de scurit. Pour examiner les paramtres de la stratgie de scurit. Cliquez sur le bouton Afficher la stratgie de scurit.
Les paramtres sont dcrits et expliqus en dtail dans l'Assistant Configuration de la scurit. Vous pouvez galement importer un modle de scurit dans la stratgie de scurit. Cliquez sur le bouton Inclure les modles de scurit.
7-44
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Les modles de scurit (dcrits plus haut dans cette leon), contiennent les paramtres non inclus la gestion de la configuration de la scurit avec les modles de scurit, notamment les groupes restreints, les stratgies de journal d'vnements, et les stratgies de scurit du systme de fichiers et du Registre. L'intgration d'un modle de scurit vous permet d'inclure un ensemble de paramtres de configuration avance la stratgie de scurit. Si des paramtres du modle de scurit sont en conflit avec l'Assistant Configuration de la scurit, les paramtres de l'Assistant Configuration de la scurit sont prioritaires. Lorsque vous cliquez sur le bouton Suivant, vous avez la possibilit d'appliquer immdiatement le modle de scurit au serveur ou d'appliquer la stratgie ultrieurement. Modification d'une stratgie de scurit Pour modifier une stratgie de scurit enregistre : 1. 2. 3. Ouvrez l'Assistant Configuration de scurit. Sur la page Action de configuration, slectionnez Modifier une stratgie de scurit existante. Cliquez sur Parcourir pour rechercher le fichier de stratgie (.xml). Lorsqu'un message vous invite slectionner un serveur, slectionnez le serveur qui a t utilis pour crer la stratgie de scurit.
Application d'une stratgie de scurit Pour appliquer une stratgie de scurit un serveur : 1. 2. 3. 4. Ouvrez l'Assistant Configuration de scurit. Sur la page Action de configuration, slectionnez Appliquer une stratgie de scurit existante. Cliquez sur Parcourir pour rechercher le fichier de stratgie (.xml). Sur la page Slectionner un serveur, slectionnez le serveur auquel appliquer la stratgie.
En gnral, les modifications effectues dans une stratgie de scurit requirent le redmarrage du serveur (notamment l'ajout de rgles de pare-feu pour les applications en cours d'excution et la dsactivation de services). Par consquent, il est prfrable de redmarrer le serveur chaque fois que vous appliquez une stratgie de scurit.
7-45
Annulation d'une stratgie de scurit applique Si l'application d'une stratgie de scurit gnre un rsultat non souhait, vous pouvez annuler les modifications. Pour annuler l'application d'une stratgie de scurit : 1. 2. Ouvrez l'Assistant Configuration de scurit. Sur la page Action de configuration, slectionnez Annuler la dernire stratgie de scurit applique.
Lorsqu'une stratgie de scurit est applique par l'Assistant Configuration de la scurit, un fichier de restauration est gnr. Ce fichier contient les paramtres d'origine du systme. Le processus d'annulation applique le fichier de restauration. Modification des paramtres d'une stratgie de scurit applique Si l'application d'un modle de scurit ne gnre pas la configuration souhaite, vous pouvez modifier manuellement les paramtres l'aide de la console de stratgie de scurit locale dcrite au dbut de cette leon dans la section Configuration de la stratgie de scurit locale . Vous aurez ainsi une vue d'ensemble de la configuration de la scurit : paramtres manuels, gnration de modles de scurit, cration de stratgies de scurit avec l'Assistant Configuration de la scurit (qui peut inclure les modles de scurit), application des stratgies de scurit, puis nouveau configuration manuelle des paramtres. Dploiement d'une stratgie de scurit l'aide d'une stratgie de groupe Pour appliquer un serveur une stratgie de scurit cre par l'Assistant Configuration de la scurit, vous pouvez utiliser cet assistant, utiliser la commande Scwcmd.exe ou convertir la stratgie de scurit en objet GPO. Pour convertir une stratgie de scurit en objet GPO : Ouvrez une session en tant qu'administrateur et excutez Scwcmd.exe avec la commande transform. Exemple :
scwcmd transform /p:"Contoso DC Security.xml /g:"Contoso DC Security GPO
Cette commande va crer un objet GPO appel Contoso DC Security GPO avec les paramtres imports du fichier de stratgie de scurit appel Contoso DC Security.xml . L'objet GPO obtenu peut tre reli un site, un domaine ou une unit d'organisation l'aide de la console Gestion des stratgies de groupe. Veillez entrer scwcmd.exe transform /? pour obtenir de l'aide et des instructions sur cette procdure.
7-46
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Lectures complmentaires
Assistant Configuration de la scurit : http://go.microsoft.com/fwlink/?LinkId=168678
7-47
Points cls
Comme indiqu dans l'introduction de cette leon, diffrents mcanismes permettent de grer les paramtres de scurit. Vous pouvez utiliser des outils tels que la console de Stratgie de scurit locale pour modifier les paramtres d'un systme particulier. Vous pouvez utiliser des modles de scurit (qui existent depuis la version Windows 2000) pour grer les paramtres sur un ou plusieurs systmes et comparer la configuration d'un systme la configuration souhaite dfinie dans un modle. L'outil le plus rcent dans la gestion de la configuration de la scurit est la gnration des stratgies de scurit par l'Assistant Configuration de la scurit. Il s'agit de fichiers .xml reposant sur des rles qui dfinissent les modes de dmarrage des services, les rgles du pare-feu, les stratgies d'audit et certains paramtres du Registre. Les stratgies de scurit peuvent inclure des modles de scurit. Vous pouvez dployer les modles de scurit et les stratgies de scurit l'aide de la Stratgie de groupe.
7-48
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
tant donn la profusion d'outils disponibles, il est difficile de dterminer le meilleur moyen de grer la scurit sur un ou plusieurs systmes. Utilisez autant que possible la stratgie de groupe pour dployer la configuration de la scurit. Vous pouvez gnrer un objet GPO partir d'une stratgie de scurit fonde sur des rles gnre par l'Assistant Configuration de la scurit, qui lui-mme intgre d'autres paramtres issus d'un modle de scurit. Une fois l'objet GPO gnr, vous pouvez effectuer des modifications supplmentaires sur l'objet GPO en utilisant le composant diteur de gestion des stratgies de groupe. Les paramtres non grs par la Stratgie de groupe peuvent tre configurs pour chaque serveur, l'aide des paramtres de scurit de l'objet GPO local.
7-49
Scnario
Vous tes administrateur du domaine contoso.com. Vous tes charg d'assurer la scurit du service d'annuaire. Vous souhaitez tablir une configuration de scurit appliquer aux contrleurs de domaine et qui dtermine, entre autres, qui peut se connecter aux contrleurs de domaine via le Bureau distance afin d'effectuer des tches d'administration.
7-50
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3.
7-51
2.
Remarque : au lieu d'ajouter le groupe Utilisateurs du bureau distance, vous pouvez ajouter le groupe SYS_DC Remote Desktop la liste de contrle d'accs de la connexion RDP-Tcp, via la console de Configuration des services Terminal Server. Cliquez avec le bouton droit sur RDP-Tcp, slectionnez Proprits. Cliquez sur l'onglet Scurit, puis sur le bouton Ajouter et entrez SYS_DC Remote Desktop. Cliquez deux fois sur OK pour fermer les botes de dialogue.
7-52
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2.
7-53
3.
4.
7-54
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2.
7-55
3.
Dans l'arborescence de la console, dveloppez Configuration et analyse de la scurit et Stratgies locales, puis cliquez sur Attribution des droits utilisateur. Notez que la stratgie Autoriser l'ouverture de session par les services Terminal Server est identifie par X dans un cercle rouge. Cela indique une divergence entre le paramtre de la base de donnes et le paramtre de l'ordinateur.
4.
Double-cliquez sur Autoriser l'ouverture de session par les services Terminal Server. Notez les divergences. L'ordinateur n'est pas configur pour autoriser le groupe SYS_DC Remote Desktop ouvrir une session via les services Terminal Server. Notez galement que le Paramtre de l'ordinateur autorise les Administrateurs ouvrir une session via les services Terminal Server. Il s'agit d'un paramtre important qui doit tre intgr la base de donnes.
5. 6.
Vrifiez que l'option Dfinir cette stratgie dans la base de donnes est slectionne. Cochez Administrateurs, dans la section Paramtre de base de donnes. Cela autorise les Administrateurs se connecter la base de donnes via les services Terminal Server. Cela ne modifie pas le modle et n'affecte pas la configuration en cours de l'ordinateur.
7. 8. 9.
Cliquez sur OK. Dans l'arborescence de la console, slectionnez Groupes restreints. Dans le volet d'informations, double-cliquez sur CONTOSO\SYS_DC Remote Desktop.
10. Cliquez sur l'onglet Membre de. Notez qu'au niveau de la base de donnes, le groupe SYS_DC Remote Desktop doit tre membre des Utilisateur du Bureau distance, mais que cela ne concide pas avec la configuration de l'ordinateur. 11. Vrifiez que l'option Dfinir ce groupe dans la base de donnes est slectionne. 12. Cliquez sur OK.
7-56
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
13. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Enregistrer. Cela enregistre la base de donnes de scurit, qui inclut les paramtres imports du modle ainsi que la modification que vous avez effectue pour autoriser les Administrateurs ouvrir une session via les services Terminal Server. Le conseil affich dans la barre d'tat lorsque vous survolez la commande Enregistrer vous suggre d'enregistrer le modle. Cela est incorrect. Vous enregistrez la base de donnes. 14. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Exporter un modle. La bote de dialogue Exporter le modle apparat. 15. Slectionnez DC Remote Desktop, puis cliquez sur Enregistrer. Vous avez remplac le modle cr dans l'exercice 2 par les paramtres dfinis dans la base de donnes du composant Configuration et analyse de la scurit.
3.
4.
7-57
5. 6. 7.
Cliquez sur OK. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis cliquez sur Configurer l'ordinateur maintenant. Cliquez sur OK pour confirmer le chemin du journal d'erreur. Les paramtres dans la base de donnes sont appliqus au serveur. Vous allez ensuite vrifier que la modification du droit utilisateur est applique. Excutez Stratgie de scurit locale en entrant des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez Stratgies locales, puis cliquez sur Attribution des droits utilisateur.
8.
9.
10. Double-cliquez sur Autoriser l'ouverture de session par les services Terminal Server. La bote de dialogue des proprits Autoriser l'ouverture de session par les services Terminal Server. 11. Vrifiez la prsence de Administrateurs et SYS_DC Remote Desktop. La console de Stratgie de scurit locale affiche les paramtres actuellement appliqus sur le serveur. 12. Fermez la console Stratgie de scurit locale. 13. Fermez la console personnalise Gestion de la scurit.
Rsultats : au cours de cet exercice, vous crez et appliquez un modle de scurit qui accorde au groupe SYS_DC Remote Desktop le droit d'ouvrir une session via le Bureau distance et qui ajoute le groupe au groupe Utilisateurs du Bureau distance.
7-58
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3. 4. 5.
6. 7. 8. 9.
7-59
10. Sur la page Slectionnez des options d'administration et d'autres options, vous pouvez consulter les paramtres dtects sur HQDC01, mais pas les modifier. Cliquez sur Suivant. 11. Sur la page Slectionnez des services supplmentaires, vous pouvez consulter les paramtres dtects sur HQDC01, mais pas les modifier. Cliquez sur Suivant. 12. Sur la page Gestion des services non spcifis, ne modifiez pas le paramtre par dfaut Ne pas modifier le mode de dmarrage du service. Cliquez sur Suivant. 13. Sur la page Confirmer les modifications de services, dans la liste Affichage, et slectionnez Tous les services. 14. Examinez les paramtres de la colonne Mode de dmarrage actuel, qui indiquent les modes de dmarrage de services sur HQDC01, et les compare aux paramtres de la colonne Mode de dmarrage de la stratgie. 15. Dans la liste Affichage, slectionnez Services modifis. 16. Cliquez sur Suivant. 17. Sur la page d'introduction de la section Scurit rseau, cliquez sur Suivant. 18. Sur la page Rgles de scurit rseau, vous pouvez examiner les rgles du pare-feu issues de la configuration de HQDC01. Ne modifiez aucun paramtre. Cliquez sur Suivant. 19. Sur la page d'introduction de la section Paramtres du Registre, cliquez sur Suivant. 20. Sur chaque page de la section Paramtres du Registre, examinez les paramtres (n'en modifiez aucun), puis cliquez sur Suivant. Sur la page Rsum des paramtres du Registre, examinez les paramtres et cliquez sur Suivant. 21. Sur la page d'introduction de la section Stratgie d'audit, cliquez sur Suivant. 22. Sur la page Stratgie d'audit systme, examinez les paramtres (sans les modifier). Cliquez sur Suivant. 23. Sur la page Rsum de stratgie d'audit, examinez les paramtres des colonnes Paramtre actuel et Paramtre de stratgie. Cliquez sur Suivant. 24. Sur la page d'introduction de la section Enregistrer la stratgie d'audit, cliquez sur Suivant.
7-60
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
25. Dans la zone de texte Nom du fichier de stratgie de scurit, cliquez sur la fin du chemin du fichier et entrez DC Security Policy. 26. Cliquez sur le bouton Inclure les modles de scurit. 27. Cliquez sur Ajouter. 28. Recherchez le modle DC Remote Desktop cr dans l'exercice 3, qui se trouve dans le dossier Documents\Security\Templates. Une fois le modle slectionn, cliquez sur Ouvrir. Veillez ajouter le fichier Documents\Security\Templates\DC Remote Desktop.inf et non le modle de scurit par dfaut DC Security.inf. 29. Cliquez sur OK pour fermer la bote de dialogue Inclure les modles de scurit. 30. Cliquez sur le bouton Afficher la stratgie de scurit. Un message vous invite confirmer l'utilisation d'un contrle ActiveX. 31. Cliquez sur Oui. 32. Examinez la stratgie de scurit. Notez que le modle DC Remote Desktop figure dans la section Modles. 33. Fermez la fentre aprs avoir examin la stratgie. 34. Dans l'Assistant Configuration de la scurit, cliquez sur Suivant. 35. Sur la page Appliquer la stratgie de scurit, acceptez le paramtre par dfaut Appliquer ultrieurement, puis cliquez sur Suivant. 36. Cliquez sur Terminer.
7-61
5. 6.
Excutez Gestion des stratgies de groupe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Examinez les paramtres de l'objet GPO DC Security Policy. Vrifiez que le droit utilisateur Autoriser l'ouverture de session par les services Terminal Server est attribu aux groupes BUILTIN\Administrateurs et CONTOSO\SYS_DC Remote Desktop. Vrifiez galement que le groupe CONTOSO\SYS_DC Remote Desktop est membre du groupe BUILTIN\Utilisateurs du Bureau Distant.
Rsultats : au cours de cet exercice, vous utilisez l'Assistant Configuration de la scurit pour crer une stratgie de scurit appele DC Security Policy et vous convertissez la stratgie de scurit en objet de stratgie de groupe (GPO) appel DC Security Policy.
Important : n'arrtez pas les ordinateurs virtuels la fin de cet atelier car les paramtres que vous avez configurs seront utiliss dans les ateliers suivants.
7-62
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 3
Il est important de connatre les outils qui permettent de dployer des logiciels dans une entreprise, notamment Microsoft System Center Configuration Manager (SCCM, galement appel Gestionnaire de configuration) et son prdcesseur Microsoft Systems Management Server (SMS). Ces outils prsentent de grands avantages, notamment les fonctions de mesure de l'utilisation des logiciels et les systmes d'inventaire, mais vous pouvez dployer la plupart des logiciels sans ces outils, en utilisant uniquement GPSI (installation de logiciels de stratgie de groupe).
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : dployer des logiciels l'aide de GPSI ; supprimer les logiciels installs initialement avec GPSI.
7-63
Points cls
L'installation GPSI permet de crer un environnement de logiciels grs qui prsente les caractristiques suivantes : Les utilisateurs peuvent accder aux applications dont ils ont besoin pour effectuer leur travail, quel que soit l'ordinateur sur lequel ils ouvrent une session. Les ordinateurs comportent les applications ncessaires, sans intervention d'un technicien du support technique. Ralisation de la mise jour, la maintenance et la suppression des applications pour rpondre aux besoins de l'entreprise.
7-64
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
L'extension d'installation de logiciel est l'une des nombreuses extensions ct client permettant de grer les modifications et la configuration l'aide de la stratgie de groupe. Les extensions ct client ont t dcrites dans le Module 6. Cette extension permet de grer de faon centralise le dploiement initial, les mises jour et la suppression de logiciels. Toute configuration de dploiement de logiciels est gre dans un objet GPO, via des procdures qui sont dtailles ultrieurement dans cette leon. Packages Windows Installer GPSI utilise le service Windows Installer pour effectuer l'installation, la maintenance et la suppression de logiciels. Le service Windows Installer gre les logiciels partir des informations prsentes dans le package Windows Installer. Le package Windows Installer est un fichier d'extension .msi qui dcrit l'tat d'installation d'une application. Le package contient des instructions explicites concernant l'installation et la suppression d'une application. Vous pouvez personnaliser les packages Windows Installer avec l'un des types de fichier suivants : Fichiers de transformation (.mst) Ces fichiers permettent de personnaliser l'installation d'une application. Certaines applications incluent un assistant ou des modles qui permettent l'utilisateur de crer des transformations. Par exemple, Adobe fournit un outil de dploiement en entreprise pour Adobe Acrobat Reader qui gnre une transformation. De nombreuses entreprises utilisent la transformation pour configurer le contrat de licence de l'utilisateur final et dsactiver certaines fonctions de l'application, telles que les mises jour automatiques qui ncessitent l'accs Internet. Fichiers correctif (.msp) Ces fichiers permettent de mettre jour un fichier .msi existant avec des mises jour de scurit, des correctifs de bogues et des Service Packs. Un fichier .msp fournit des instructions sur l'application des fichiers et des cls du Registre aprs mise jour dans le correctif logiciel, le Service pack ou la mise jour de logiciel. Par exemple, les mises jour de Microsoft Office 2003 et versions ultrieures sont fournies sous forme de fichiers .msp.
Remarque : installation de fichiers .msp et .mst. Les fichiers .mst ou .msp ne peuvent tre dploys de faon autonome. Ils doivent tre appliqus un package Windows Installer existant.
7-65
L'installation GPSI peut, sous certaines conditions, utiliser des fichiers d'application non MSI (fichier .zap), galement appels packages d'application de bas niveau, qui dfinissent l'emplacement du point de distribution de logiciels et de la commande d'installation. Pour obtenir plus d'informations, voir l'article 231747 de la base de connaissances l'adresse http://support.microsoft.com/?kbid=231747. Mais la plupart des entreprises n'utilisent pas de fichiers .zap, car l'utilisateur doit avoir des droits d'administrateur pour installer l'application sur le systme. Lorsque GPSI installe une application via le package Windows Installer, l'utilisateur ne ncessite pas de droits d'administrateur, ce qui renforce la scurit de l'entreprise.
Remarque : GPSI et packages Windows Installer. GPSI peut grer entirement des applications uniquement si ces applications sont dployes via des packages Windows Installer. D'autres outils, notamment le Gestionnaire de configuration et SMS, permettent de grer des applications qui utilisent d'autres mcanismes de dploiement.
Les fichiers .msi, de transformation et les autres fichiers requis pour installer une application sont stocks dans un point de distribution de logiciels en partage.
7-66
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Vous pouvez dployer des logiciels en attribuant des applications aux utilisateurs ou aux ordinateurs, ou en publiant des applications pour les utilisateurs. Vous attribuez les logiciels ncessaires ou obligatoires aux utilisateurs ou aux ordinateurs. Vous publiez les logiciels que les utilisateurs peuvent trouver utiles pour effectuer leur travail. Attribution d'applications Lorsque vous attribuez une application un utilisateur, les paramtres du Registre local de l'application sont mis jour (notamment les extensions des noms de fichier) et des raccourcis sont crs dans le menu Dmarrer ou le Bureau, ce qui informe l'utilisateur de la disponibilit de l'application. Ces informations sur l'application suivent l'utilisateur quel que soit l'ordinateur physique sur lequel il ouvre une session. Cette application est installe lorsque l'utilisateur active pour la premire fois l'application sur l'ordinateur, soit en slectionnant l'application dans le menu Dmarrer ou en ouvrant un document associ l'application. Lorsque vous attribuez une application l'ordinateur, l'application est installe durant le processus de dmarrage de l'ordinateur.
7-67
Publication d'applications Lorsque vous publiez une application pour les utilisateurs, l'application ne semble pas installe sur les ordinateurs des utilisateurs. Aucun raccourci n'est visible sur le bureau ni le menu Dmarrer. L'application apparat sous forme d'application disponible que l'utilisateur peut installer via Ajouter ou supprimer des programmes dans le Panneau de configuration sur un systme Windows XP ou Programmes et fonctionnalits sur un systme Windows Server 2008, Windows Vista ou Windows 7. De plus, l'application peut tre installe lorsqu'un utilisateur ouvre un type de fichier associ l'application. Par exemple, si Acrobat Reader est propose aux utilisateurs, il est install lorsque l'utilisateur ouvre un fichier d'extension .pdf. tant donn que les applications peuvent tre attribues ou publies et cibles des utilisateurs ou ordinateurs, vous pouvez tablir une combinaison exploitable pour atteindre vos objectifs de gestion de logiciels. Le tableau ci-aprs rpertorie les diffrentes options de dploiement de logiciel. Options de dploiement de logiciel
Publier (Utilisateur Attribuer uniquement) (Utilisateur) Aprs le dploiement de l'objet GPO, le logiciel peut tre install : En gnral, l'utilisateur installe le logiciel depuis : la prochaine ouverture de session utilisateur. la prochaine ouverture de session utilisateur.
Ajouter ou supprimer des programmes dans le Panneau de configuration (Windows XP) ou Programmes et fonctionnalits (Windows Server 2008, Windows Vista, Windows 7).
Menu Dmarrer ou raccourci sur le bureau. Une application peut galement tre configure pour tre automatiquement installe l'ouverture de la session.
7-68
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
(suite)
Publier (Utilisateur Attribuer uniquement) (Utilisateur) Si le logiciel n'est pas install, lorsque l'utilisateur ouvre un fichier associ au logiciel, le logiciel est-il install ? L'utilisateur peut-il supprimer le logiciel via le Panneau de configuration ? Fichiers d'installation pris en charge : Oui (si l'installation automatique est active). Oui.
Oui, et il peut l'installer nouveau partir du Panneau de configuration. Packages Windows Installer (fichiers .msi), fichiers .zap.
Oui, et le logiciel peut tre install partir des raccourcis du menu Dmarrer ou des associations de fichier. Packages Windows Installer (fichiers .msi).
Non. Seul un administrateur local peut supprimer le logiciel. Un utilisateur peut lancer la rparation du logiciel. Packages Windows Installer (fichiers .msi).
Lectures complmentaires
Vue d'ensemble de l'installation de logiciels de stratgie de groupe (GPSI) : http://go.microsoft.com/fwlink/?LinkId=168691
7-69
Points cls
Maintenant que vous connaissez le fonctionnement de l'installation GPSI, vous pouvez prparer le point de distribution de logiciels. Le point de distribution de logiciels est simplement un dossier partag qui permet aux utilisateurs et aux ordinateurs d'installer des applications. Crez un dossier partag et crez un dossier distinct pour chaque application. Puis, copiez le package logiciel, les modifications et tous les autres fichiers ncessaires dans les dossiers des applications. Dfinissez les droits d'accs aux dossiers pour accorder aux utilisateurs ou aux ordinateurs les droits de Lecture et excution (autorisation minimale requise pour installer une application partir du point de distribution). Les administrateurs du point de distribution de logiciels doivent avoir le droit de modifier et supprimer des fichiers afin d'assurer la maintenance du point de distribution.
7-70
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
tapes de la dmonstration
1. 2. 3. 4. Dmarrez 6238B-HQDC01-A, ouvrez une session sous le nom Pat.Coleman avec le mot de passe Pa$$w0rd. Dmarrez 6238B-SERVER01-A mais n'ouvrez pas de session. Basculez vers HQDC01. Excutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez le domaine contoso.com et l'unit d'organisation Groupes, puis cliquez sur l'unit d'organisation Application. Cliquez avec le bouton droit sur l'unit d'organisation Application, pointez sur Nouveau, puis cliquez sur Groupe. Entrez APP_XML Notepad et appuyez sur Entre. Dans l'arborescence de la console, dveloppez le domaine contoso.com et l'unit d'organisation Serveurs, puis cliquez sur l'unit d'organisation Fichier. Dans le volet d'informations, cliquez avec le bouton droit sur SERVER01, puis cliquez sur Grer. La console Gestion de l'ordinateur s'ouvre, et SERVER01 est slectionn. 10. Dans l'arborescence de la console, dveloppez Outils systme et Dossiers partags, puis cliquez sur Partages. 11. Cliquez avec le bouton droit sur Partages, puis cliquez sur Nouveau partage. L'assistant Crer un dossier partag apparat. 12. Cliquez sur Suivant. 13. Dans la zone Chemin du dossier, entrez C:\Software, puis cliquez sur Suivant. Un message vous demande si vous souhaitez crer le dossier. 14. Cliquez sur Oui. 15. Acceptez le Nom du partage par dfaut, Software puis cliquez sur Suivant. 16. Cliquez sur Personnaliser les autorisations, puis cliquez sur le bouton Personnaliser. 17. Cliquez sur l'onglet Scurit.
5.
6. 7. 8. 9.
7-71
18. Cliquez sur Avanc... La bote de dialogue Paramtres de scurit avancs. 19. Cliquez sur Modifier. 20. Dslectionnez l'option Inclure les autorisations pouvant tre hrites du parent de cet objet. Une bote de dialogue vous demande si vous souhaitez copier ou supprimer les autorisations. 21. Cliquez sur Copier. 22. Slectionnez la premire autorisation attribue au groupe Utilisateurs, puis cliquez sur Supprimer. 23. Slectionnez l'autre autorisation attribue au groupe Utilisateurs, puis cliquez sur Supprimer. 24. Slectionnez l'autorisation attribue au groupe Crateur propritaire, puis cliquez sur Supprimer. 25. Cliquez sur OK deux fois pour fermer les botes de dialogue Paramtres de scurit avancs. 26. Dans la bote de dialogue Personnaliser les autorisations, cliquez sur l'onglet Autorisations de partage. 27. Cochez l'option Contrle total, ainsi que l'option Autoriser. Au niveau de la gestion de la scurit, il est recommand de configurer les autorisations minimales de la liste de contrle d'accs de la ressource. Cela est appliqu aux utilisateurs quelle que soit la manire dont ceux-ci se connectent la ressource. Vous pouvez alors utiliser l'autorisation Contrle total sur le dossier partag SMB. Le niveau d'accs rsultant est constitu des autorisations les plus strictes dfinies dans la liste de contrle d'accs du dossier. 28. Cliquez sur OK. 29. Cliquez sur Terminer. 30. Cliquez sur Terminer pour fermer l'assistant. 31. Cliquez sur Dmarrer, sur Excuter, entrez \\SERVER01\c$, puis appuyez sur Entre. La bote de dialogue Connexion SERVER01 s'affiche. 32. Dans la zone Nom d'utilisateur, entrez CONTOSO\Pat.Coleman_Admin.
7-72
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
33. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre. Une fentre de l'explorateur Windows s'ouvre et affiche le lecteur C sur SERVER01. 34. Ouvrez le dossier Software. 35. Cliquez sur le menu Fichier, pointez sur Nouveau, puis cliquez sur Dossier. Un Nouveau dossier est cr, il est prt tre renomm. 36. Entrez XML Notepad et appuyez sur Entre. 37. Cliquez avec le bouton droit sur le dossier XML Notepad, puis cliquez sur Proprits. 38. Cliquez sur l'onglet Scurit. 39. Cliquez sur Modifier. 40. Cliquez sur Ajouter. La bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes s'affiche. 41. Entrez APP_XML Notepad et appuyez sur Entre. Les droits par dfaut Lecture et Excution sont attribus au groupe. 42. Cliquez sur OK deux fois pour fermer les botes de dialogue. 43. Ouvrez le dossier XML Notepad. 44. Ouvrez le dossier D:\Labfiles\Lab07b dans une nouvelle fentre. 45. Cliquez avec le bouton droit sur XMLNotepad.msi, puis cliquez sur Copier. 46. Basculez vers la fentre de l'explorateur Windows qui affiche \\server01\c$\Software\XML Notepad. 47. Cliquez avec le bouton droit dans le volet d'informations, puis cliquez sur Coller. XML Notepad est copi dans le dossier situ sur SERVER01. 48. Fermez toutes les fentres de l'explorateur Windows. 49. Fermez la console Gestion de l'ordinateur.
7-73
Points cls
Pour crer un objet GPO (objet de stratgie de groupe) de dploiement de logiciel : 1. 2. 3. Sur la console Gestion des stratgies de groupe, crez un objet de stratgie de groupe (GPO) ou slectionnez-en un existant. Ouvrez l'objet dans l'diteur de gestion des stratgies de groupe. Dveloppez les nuds de la console Configuration ordinateur\Stratgies \Paramtres du logiciel\Installation de logiciel. Vous pouvez galement slectionner le nud Installation de logiciel dans Configuration utilisateur. Cliquez avec le bouton droit sur Installation de logiciel, slectionnez Nouveau, puis Package.
4.
7-74
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
5.
Recherchez le fichier .msi de l'application. Cliquez sur Ouvrir. La bote de dialogue Dploiement du logiciel s'affiche, comme dans la capture d'cran ci-dessous :
6.
Slectionnez Publi, Attribu ou Avanc. Comme vous ne pouvez pas publier une application sur des ordinateurs, l'option n'est pas disponible si vous crez le package sur le nud Installation de logiciel de Configuration ordinateur. L'option Avanc vous permet d'indiquer si l'application est publie ou attribue, ainsi que de configurer les proprits avances du package logiciel. Il est donc conseill de choisir l'option Avanc. La bote de dialogue Proprits du package s'affiche. Vous pouvez configurer diffrentes proprits, les plus importantes tant : Type de dploiement : sur l'onglet Dploiement, configurez Publi ou Attribu. Options de dploiement : en fonction du type de dploiement slectionn, diffrents choix sont affichs dans la section Options de dploiement. Ces options (ainsi que d'autres paramtres de l'onglet Dploiement) dterminent le fonctionnement de l'installation des applications. Dsinstaller cette application lorsqu'elle se trouve en dehors de l'tendue de la gestion : si vous slectionnez cette option, l'application est automatiquement supprime lorsque l'objet GPO ne s'applique plus l'utilisateur ou l'ordinateur.
7-75
Mises niveau : sur l'onglet Mises jour, vous pouvez indiquer le logiciel mettre jour avec ce package. Les mises jour sont expliques dans la section "Maintenance de logiciels dploys avec GPSI" plus loin dans cette leon. Catgories : l'onglet Catgories vous permet d'associer le package une ou plusieurs catgories. Les Catgories sont utiles lorsqu'une application est publie pour un utilisateur. Lorsque l'utilisateur ouvre le Panneau de configuration pour installer un programme, les applications publies avec GPSI sont prsentes dans des groupes reposant sur ces catgories. Pour crer des catgories associer aux packages, cliquez avec le bouton droit sur Installation de logiciel et slectionnez Proprits, puis cliquez sur l'onglet Catgories.
Modifications : si un fichier de transformation (fichier .mst) personnalise le package, cliquez sur le bouton Ajouter pour associer la transformation au package. La plupart des onglets de la bote de dialogue Proprits du package sont accessibles pour vous permettre de modifier les paramtres lorsque vous le souhaitez. Cependant, l'onglet Modifications est accessible uniquement lorsque vous crez le nouveau package et choisissez l'option Avanc.
Gestion de l'tendue d'un objet GPO de dploiement de logiciel Aprs avoir cr un objet GPO de dploiement de logiciel, vous pouvez dfinir son tendue pour distribuer le logiciel aux ordinateurs ou utilisateurs souhaits. Dans la plupart des scnarios de gestion de logiciels, les applications doivent tre attribues aux ordinateurs et non aux utilisateurs. En gnral, les licences des logiciels permettent d'installer une application sur un ordinateur. Si l'application est attribue un utilisateur, l'application est installe sur chaque ordinateur sur lequel l'utilisateur va ouvrir une session. Comme l'explique le Module 6, vous pouvez dfinir l'tendue d'un objet GPO en reliant l'objet GPO une unit d'organisation ou en filtrant l'objet GPO afin qu'il s'applique uniquement un groupe de scurit global spcifique. Dans de nombreuses entreprises, il s'avre plus simple de grer les logiciels en reliant l'objet GPO d'une application au domaine et en filtrant l'objet GPO avec un groupe de scurit global qui contient les utilisateurs et les ordinateurs sur lesquels l'application doit tre dploye. Par exemple, un objet GPO qui dploie l'outil XML Notepad (disponible sur le site de tlchargement de Microsoft l'adresse http://www.microsoft.com/downloads) peut tre li au domaine et filtr pour un groupe incluant des dveloppeurs qui ont besoin de l'outil. Un nom descriptif peut tre attribu au groupe afin d'indiquer que l'objectif est la gestion du dploiement de XML Notepad, par exemple APP_XML Notepad.
7-76
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Lorsqu'un ordinateur installe une application via le package Windows Installer dfini par un objet GPO, il ne tente pas ensuite de rinstaller l'application chaque actualisation de la stratgie de groupe. Dans certains cas, il peut tre ncessaire de forcer les systmes rinstaller l'application. Par exemple, lorsque des petites modifications sont effectues sur le package Windows Installer d'origine. Pour redployer une application dploye avec la stratgie de groupe : Cliquez avec le bouton droit sur l'objet GPO Toutes les tches, puis slectionnez Redploiement des applications.
7-77
Vous pouvez galement mettre niveau une application qui a t dploye avec GPSI. 1. Crez un package pour la nouvelle version de l'application sur le nud Installation de logiciel de l'objet GPO. Le package peut se trouver dans le mme objet GPO que le package de la version prcdente ou dans un autre objet GPO. 2. 3. Cliquez avec le bouton droit sur le package et slectionnez Proprits. Cliquez sur l'onglet Mises jour, puis sur le bouton Ajouter. La bote de dialogue Ajout d'un package de mise niveau s'affiche.
4.
Indiquez si le package de la version prcdente de l'application est l'objet GPO en cours ou un autre objet GPO. Si le package prcdent est un autre objet GPO, cliquez sur le bouton Parcourir pour slectionner cet objet GPO. Puis slectionnez le package dans la liste Package mettre jour. Selon vos connaissances sur le fonctionnement des mises jour de l'application, slectionnez l'une des options de mise jour proposes au bas de la bote de dialogue. Dsinstaller le package existant, puis installer le package de mise niveau Le package peut mettre niveau le package existant
5. 6.
7.
7-78
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Vous pouvez galement supprimer une application qui a t dploye avec GPSI. 1. 2. Cliquez avec le bouton droit sur le package, cliquez sur Toutes les tches, puis slectionnez Supprimer. Dans la bote de dialogue Suppression de logiciel, slectionnez l'une des deux options suivantes : Dsinstaller immdiatement le logiciel des utilisateurs et des ordinateurs. Cette option (appele suppression force) provoque la suppression de l'application sur les ordinateurs. Si l'application a t dploye avec un package dans la partie Configuration ordinateur de l'objet GPO, l'extension d'installation de logiciel supprime l'application lorsque l'ordinateur redmarre. Si le package se trouve dans la partie Configuration utilisateur, l'application est dsinstalle lors de la session suivante de l'utilisateur. Autorise les utilisateurs continuer utiliser le logiciel, mais empche les nouvelles installations. Si ce paramtre (appel suppression facultative) est activ, l'extension d'installation de logiciel empche l'ajout du package sur des systmes sur lesquels le package n'a pas t install. Sur les ordinateurs o l'application a t prcdemment installe, l'application n'est pas dsinstalle et les utilisateurs peuvent continuer l'utiliser.
Si vous utilisez l'une de ces deux options pour supprimer le logiciel avec GPSI, il est important d'autoriser les paramtres dans l'objet GPO pour permettre la propagation tous les ordinateurs de l'tendue de l'objet GPO avant de supprimer, dsactiver ou dissocier l'objet GPO. Les clients doivent recevoir ce paramtre qui dfinit la suppression force ou facultative. Si l'objet GPO est supprim ou n'est plus appliqu avant que ce paramtre soit reu par tous les clients, le logiciel n'est pas supprim selon vos instructions. Cela est particulirement important dans les environnements o des utilisateurs mobiles quips d'ordinateurs portables ne peuvent pas se connecter au rseau rgulirement. Lors de la cration du package logiciel, si vous choisissez l'option "Dsinstaller cette application lorsqu'elle se trouve en dehors de l'tendue de la gestion", vous pouvez simplement supprimer, dsactiver ou dissocier l'objet GPO et l'application est obligatoirement supprime par tous les clients qui ont install le package avec ce paramtre.
7-79
Points cls
Si un client actualise la stratgie de groupe, il teste les performances du rseau pour dterminer si la connexion est tablie sur une liaison lente dfinie par dfaut 500 kilobits par seconde (Kbits/s). Chaque extension ct client est configure pour traiter la stratgie de groupe ou ignorer l'application des paramtres sur une liaison lente. Par dfaut, l'installation GPSI ne traite pas les paramtres de stratgie de groupe sur une liaison lente car l'installation de logiciels peut s'avrer trop longue effectuer. Vous pouvez modifier le fonctionnement du traitement de la stratgie sur liaison lente pour chaque extension ct client, l'aide des paramtres de stratgie placs dans Configuration ordinateur\Stratgies\Modles d'administration\Systme\Stratgie de groupe. Par exemple, vous pouvez modifier le comportement de l'extension d'installation de logiciel de faon traiter les stratgies sur une liaison lente.
7-80
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Vous pouvez galement modifier le seuil partir duquel la vitesse de connexion constitue une liaison lente. Grce la configuration d'un seuil infrieur pour la vitesse de connexion, une liaison lente peut paratre rapide au niveau des extensions ct client. Diffrents paramtres de Dtection d'une liaison lente d'une stratgie de groupe sont dfinis pour le traitement de la stratgie de l'ordinateur et le traitement de la stratgie de l'utilisateur. Les stratgies se trouvent dans les dossiers Modles d'administration\Systme\Stratgie de groupe, dans Configuration ordinateur et Configuration utilisateur.
7-81
Scnario
Vous tes administrateur chez Contoso, Ltd. Les dveloppeurs souhaitent utiliser XML Notepad pour modifier des fichiers XML et vous souhaitez automatiser le dploiement et la gestion du cycle de vie de l'application. Vous dcidez d'utiliser l'installation de logiciels de stratgie de groupe (GPSI). Pour la plupart des applications, la licence est associe un ordinateur. Vous allez donc dployer XML Notepad sur les ordinateurs des dveloppeurs, plutt que d'associer l'application leur compte utilisateur.
7-82
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3. 4.
Configurez l'autorisation de partage de faon accorder au groupe Tout le monde le Contrle total.
7-83
Au niveau de la gestion de la scurit, il est recommand de configurer les autorisations minimales de la liste de contrle d'accs de la ressource. Cela est appliqu aux utilisateurs quelle que soit la manire dont ceux-ci se connectent la ressource. Vous pouvez alors utiliser l'autorisation Contrle total sur le dossier partag SMB. Le niveau d'accs rsultant est constitu des autorisations les plus strictes dfinies dans la liste de contrle d'accs du dossier. 5. 6. 7. 8. 9. Ouvrez le partage administratif du lecteur C sur SERVER01 (\\SERVER01\c$) en tant que Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. Dans le dossier Software de SERVER01, crez un dossier appel XML Notepad. Ajoutez des droits au dossier XML Notepad afin que le groupe APP_XML Notepad ait des droits de Lecture et Excution. Copiez XML Notepad.msi (situ sur D:\Labfiles\Lab07b) dans \\SERVER01\c$\Software\XML Notepad. Fermez toutes les fentres de l'explorateur Windows.
6.
7-84
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
8. 9.
Sur l'onglet Gnral, notez que le nom du package indique la version : XML Notepad 2007. Cliquez sur l'onglet Dploiement. Notez que lors du dploiement de logiciel sur des ordinateurs, la seule option est Attribu. Examinez les options disponibles si vous attribuez ou publiez l'application aux utilisateurs.
10. Slectionnez Dsinstaller cette application lorsqu'elle se trouve en dehors de l'tendue de la gestion. 11. Cliquez sur OK. 12. Fermez l'diteur de gestion des stratgies de groupe. 13. Dfinissez l'tendue de l'objet GPO de faon l'appliquer uniquement aux membres de APP_XML Notepad, et pas aux Utilisateurs authentifis. 14. Associez l'objet GPO l'unit d'organisation Client Computers.
Remarque : il peut tre ncessaire d'effectuer deux dmarrages pour achever l'installation de XML Notepad. Donc si vous ne trouvez pas Notepad, redmarrez l'ordinateur virtuel. Vous devrez peut-tre le faire deux fois.
Rsultats : au cours de cet exercice, vous dployez XML Notepad sur DESKTOP101.
7-85
10. Cliquez sur l'onglet Mises niveau. 11. Cliquez sur le bouton Ajouter. 12. Cliquez sur l'option Objet de stratgie de groupe (GPO) actuel.
7-86
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
13. Dans la liste Package mettre niveau, slectionnez le package de la version prcdente, XML Notepad 2007. 14. Cliquez sur Dsinstaller le package existant, puis installer le package de mise niveau. 15. Cliquez sur OK. 16. Cliquez sur OK. Dans le cas d'une mise niveau relle, le nouveau package met jour la version prcdente de l'application car les clients ont appliqu l'objet GPO XML Notepad. Comme il s'agit d'une simulation de la mise niveau, vous pouvez supprimer le package de mise jour de la simulation. 17. Cliquez avec le bouton droit sur XML Notepad 2010, que vous avez cr pour simuler la mise niveau, pointez sur Toutes les tches, puis slectionnez Supprimer. 18. Dans la bote de dialogue Suppression de logiciel, cliquez sur Dsinstaller immdiatement le logiciel des utilisateurs et des ordinateurs, puis sur OK.
Rsultats : au cours de cet exercice, vous simulez une mise niveau de XML Notepad avec GPSI. Important : n'arrtez pas les ordinateurs virtuels la fin de cet atelier car les paramtres que vous avez configurs seront utiliss dans les ateliers suivants.
7-87
Leon 4
Audit
L'audit est un composant important de la scurit. L'audit permet de consigner des activits spcifiques de l'entreprise dans le journal de scurit Windows, que vous pouvez analyser pour comprendre ces activits et identifier les problmes traiter. L'audit permet de consigner des activits en vue de gnrer de la documentation sur les modifications. Il permet galement de consigner les checs des tentatives d'accs potentiellement malveillantes aux ressources de l'entreprise. L'audit peut faire intervenir jusqu' trois outils de gestion : stratgie d'audit, audit des paramtres sur les objets, et le journal de scurit. Cette leon explique comment configurer l'audit dans diffrents scnarios courants.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : configurer une stratgie d'audit ; configurer des paramtres d'audit sur des objets de systme de fichiers ; afficher le journal de scurit l'aide du composant Observateur d'vnements.
7-88
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Une stratgie d'audit configure un systme pour auditer des catgories d'activits. Si la stratgie d'audit n'est pas active, un serveur n'audite pas ces activits. La capture d'cran de la page suivante reprsente le nud Stratgie d'audit d'un objet GPO :
7-89
Pour configurer l'audit, vous devez dfinir le paramtre de stratgie. Double cliquez sur un paramtre de stratgie et slectionnez l'option Dfinir ces paramtres de stratgie. Puis activez l'audit des russites, l'audit des checs ou les deux. Le tableau suivant dfinit chaque stratgie d'audit et les paramtres par dfaut correspondants sur un contrleur de domaine Windows Server 2008. Stratgies d'audit
Paramtre par dfaut pour les Contrleurs de domaine Windows Server 2008 Les connexions aux comptes russies sont audites.
Description Cration d'un vnement lors de la demande d'authentification d'un utilisateur ou d'un ordinateur avec un compte Active Directory. Par exemple, lorsqu'un utilisateur ouvre une session sur un ordinateur du domaine, un vnement de connexion un compte est gnr.
7-90
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
(suite)
Paramtre par dfaut pour les Contrleurs de domaine Windows Server 2008 Les connexions russies sont audites.
Description Cration d'un vnement lorsqu'un utilisateur se connecte de faon interactive (localement) un ordinateur ou via le rseau ( distance). Par exemple, si un poste de travail et un serveur sont configurs pour auditer les connexions, le poste de travail audite la connexion d'un utilisateur directement sur ce poste de travail. Si l'utilisateur se connecte un dossier partag situ sur le serveur, le serveur consigne cette connexion distance. Lorsqu'un utilisateur se connecte, le contrleur de domaine enregistre une connexion car les stratgies et les scripts de connexion proviennent du contrleur de domaine. vnements d'audit, notamment la cration, la suppression ou la modification de comptes d'utilisateur, de groupe ou d'ordinateur et rinitialisation des mots de passe utilisateur. Audit des vnements dfinis dans la liste de contrle d'accs systme (SACL), qui s'affiche dans la bote de dialogue des Proprits des paramtres de scurit avancs de l'objet Active Directory. Outre la dfinition de la stratgie d'audit avec ce paramtre, vous devez galement configurer l'audit de l'objet ou des objets spcifiques en utilisant la liste SACL du ou des objets. Cette stratgie est similaire la stratgie Auditer l'accs aux objets, qui permet d'auditer des fichiers et des dossiers, mais elle s'applique aux objets Active Directory.
Les vnements d'accs au service d'annuaire russis sont audits, mais peu de listes SACL d'objets dfinissent les paramtres d'audit.
7-91
(suite)
Paramtre par dfaut pour les Contrleurs de domaine Windows Server 2008 Les modifications de stratgies russies sont audites. Aucun audit n'est effectu par dfaut.
Paramtre de stratgie d'audit Audit des modifications de stratgie Audit de l'utilisation des privilges Audit des vnements systme Audit du suivi des processus
Description Audit des modifications des stratgies d'attribution de droits utilisateur, des stratgies d'audit ou de stratgies d'approbation. Audit de l'utilisation d'un privilge ou un droit utilisateur. Voir la description de cette stratgie dans l'diteur de gestion des stratgies de groupe. Audit du redmarrage et de l'arrt du systme, ou des modifications qui affectent le systme ou le journal de scurit. Audit des vnements tels que l'activation de programme et la sortie de processus. Voir la description de cette stratgie dans l'diteur de gestion des stratgies de groupe. Audit de l'accs aux objets, tels que les fichiers, les dossiers, les cls du Registre et les imprimantes, associs une liste SACL spcifique. Outre l'activation de cette stratgie d'audit, vous devez configurer les entres d'audit des listes SACL des objets.
Les vnements systme russis sont audites. Aucun vnement n'est audit.
Comme vous pouvez le constater, la plupart des vnements Active Directory sont dj audits par des contrleurs de domaine, ce qui suppose que les vnements sont russis. Par consquent, la cration d'un utilisateur, la rinitialisation du mot de passe d'un utilisateur, la connexion au domaine et la rcupration des scripts de connexion d'un utilisateur sont consigns.
7-92
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Toutefois, tous les vnements d'chec sont audits par dfaut. Vous pouvez implmenter d'autres audits d'checs en fonction des stratgies et des besoins de la scurit informatique de votre entreprise. L'audit des checs de connexion aux comptes, par exemple, permet de dceler les tentatives malveillantes d'accs au domaine d'aprs des tentatives rptes de connexion un compte utilisateur de domaine sans connaissance du mot de passe du compte. L'audit des checs d'vnements de gestion de compte peut rvler des tentatives de manipulation des membres d'un groupe protg de faon spciale. L'une des tches les plus importantes que vous devez effectuer est d'quilibrer et d'adapter la stratgie d'audit en fonction des stratgies de votre entreprise et du contexte rel. La stratgie de l'entreprise peut ncessiter l'audit des checs de connexion et des modifications russies des utilisateurs et groupes Active Directory. Cela est simple obtenir dans Active Directory. Mais comment allezvous utiliser ces informations ? Les journaux d'audit dtaills sont inutiles si vous ne savez pas comment ou avec quels outils les grer efficacement. Pour implmenter l'audit, vous devez connatre les besoins d'audit de l'entreprise et disposer d'une stratgie d'audit bien configure, ainsi que des outils permettant de grer les vnements audits.
7-93
Points cls
Beaucoup d'entreprises choisissent d'auditer l'accs au systme de fichiers afin d'obtenir des informations sur l'utilisation des ressources et les problmes de scurit potentiels. Windows Server 2008 prend en charge l'audit granulaire en fonction des comptes d'utilisateur ou de groupe et des actions spcifiques effectues par ces comptes. Pour configurer l'audit, effectuez les trois tapes suivantes : dfinition des paramtres d'audit, activation de la stratgie d'audit et valuation des vnements figurant dans le journal de scurit. Vous pouvez auditer l'accs un fichier ou un dossier en ajoutant des entres d'audit la liste de contrle d'accs systme (SACL) correspondante. 1. 2. Ouvrez la bote de dialogue des proprits du fichier ou du dossier, puis cliquez sur l'onglet Scurit. Cliquez sur le bouton Avanc.
7-94
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3.
Cliquez sur l'onglet Audit. La bote de dialogue Paramtres de scurit avancs d'un dossier appel Confidential Data est reprsente sur la capture d'cran suivante :
4. 5.
Pour ajouter une entre, cliquez sur le bouton Modifier pour ouvrir l'onglet Audit en mode Modification. Cliquez sur le bouton Ajouter pour slectionner l'utilisateur, le groupe ou l'ordinateur auditer.
7-95
6.
La bote de dialogue Audit reprsente sur la capture d'cran suivante indique le type d'accs auditer :
Vous pouvez auditer les russites, les checs ou les deux lors des tentatives d'accs la ressource effectues par un utilisateur, un groupe ou un ordinateur selon un ou plusieurs niveaux d'accs granulaires. Vous pouvez auditer les russites dans les objectifs suivants : consigner l'accs aux ressources en vue des rapports et de la facturation ; analyser les accs qui semblent indiquer que les utilisateurs effectuent davantage d'actions que celles que vous avez prvues, ce qui indique que les autorisations ne sont pas assez strictes ; identifier les accs abusifs un compte, indication possible du piratage du compte d'utilisateur.
7-96
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
L'audit des checs permet d'effectuer les actions suivantes : analyser des tentatives malveillantes d'accs une ressource faisant l'objet d'un refus d'accs ; identifier les tentatives avortes d'accs un fichier ou un dossier auquel un utilisateur demande d'accder ; cela indique que les autorisations ne sont pas suffisantes pour rpondre un besoin professionnel.
L'audit des entres indique Windows d'auditer les activits russies ou les checs d'une entit de scurit (utilisateur, groupe ou ordinateur) pour utiliser une autorisation spcifique. Dans l'exemple de la capture d'cran de la bote de dialogue Audit reprsente ci-dessus, l'audit consigne les checs d'accs des utilisateurs du groupe Consultants aux donnes du dossier Confidential Data tout niveau. Cela est effectu par configuration d'une entre d'audit pour l'accs Contrle total. Le contrle total inclut tous les niveaux d'accs spcifiques, cette entre couvre donc tout type d'accs. Si un membre du groupe Consultant tente un accs et choue, l'activit est consigne. En gnral, les entres d'audit correspondent aux entres des autorisations de l'objet. En d'autres termes, vous pouvez configurer le dossier Confidential Data avec des autorisations qui empchent les Consultants d'accder son contenu. Vous pouvez alors appliquer l'audit pour identifier les Consultants qui essayent tout de mme d'accder ce dossier. Bien entendu, un membre du groupe Consultants peut galement appartenir un autre groupe qui a l'autorisation d'accder au dossier. Comme cet accs va aboutir, l'activit n'est pas consigne. Par consquent, s'il est absolument ncessaire d'empcher les utilisateurs d'accder un dossier, analysez les checs des tentatives d'accs, mais auditez galement les accs russis pour dterminer les situations dans lesquelles un utilisateur accde au dossier grce son appartenance un autre groupe, lequel peut tre potentiellement inacceptable.
Important : vitez un excs d'audit. Les journaux d'audit peuvent devenir rapidement trs volumineux. Il est donc essentiel de configurer l'audit minimum requis aux activits de l'entreprise. Si l'audit est dfini pour consigner les russites et les checs sur un dossier de donnes actif, pour le groupe Tout le monde, avec le Contrle total (toutes les autorisations), les journaux d'audit gnrs risquent d'tre extrmement volumineux et d'affecter les performances du serveur, ainsi que la recherche d'un vnement particulier.
7-97
Points cls
La configuration des entres d'audit dans le descripteur de scurit d'un fichier ou un dossier n'active pas l'audit. L'audit doit tre activ en dfinissant le paramtre Auditer l'accs aux objets, qui est prsent sur la page suivante :
7-98
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Une fois l'audit activ, le sous-systme de scurit commence surveiller les paramtres de l'audit et consigner les accs en fonction des paramtres dfinis. Le paramtre de stratgie doit tre appliqu au serveur qui contient l'objet audit. Vous pouvez configurer le paramtre de stratgie dans l'objet GPO local du serveur ou utiliser un objet GPO dont l'tendue est le serveur. Vous pouvez dfinir la stratgie, puis auditer les russites, les checs ou les deux. Le paramtre de stratgie (reprsent ci-dessus) doit dfinir l'audit des russites ou des checs correspondant au type d'entre d'audit de la liste SACL de l'objet (reprsent dans la rubrique prcdente). Par exemple, pour consigner un chec d'accs des Consultants au dossier Confidential Data, vous devez configurer la stratgie Auditer l'accs aux objets pour auditer les checs et configurer la liste SACL du dossier Confidential Data pour auditer les checs. Si seules les russites sont audites par la stratgie d'audit, les entres des checs de la liste SACL du dossier ne dclenche pas la consignation.
Remarque : vrification de la correspondance entre la stratgie d'audit et les entres d'audit. Notez bien que l'accs audit et consign est le rsultat d'une combinaison des entres d'audit des fichiers et dossiers spcifiques et des paramtres de la stratgie d'audit. Si vous configurez les entres d'audit de faon consigner les checs, et si la stratgie active uniquement la consignation des russites, les journaux d'audit restent vides.
7-99
Points cls
Lorsque vous activez le paramtre de stratgie Auditer l'accs aux objets et dfinissez l'accs auditer, en utilisant des listes SACL d'objets, le systme va commencer consigner l'accs en fonction des entres d'audit. Vous pouvez consulter les vnements obtenus dans le journal de scurit du serveur. Ouvrez la console Observateur d'vnements depuis le dossier Outils d'administration. Dveloppez Journaux Windows\Scurit.
7-100
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
Dans cet atelier, vous allez configurer les paramtres d'audit, activer des stratgies d'audit pour l'accs aux objets, et filtrer des vnements particuliers dans le journal de scurit. L'objectif de l'entreprise est de surveiller un dossier contenant des donnes confidentielles qui ne doivent pas tre consultes par les utilisateurs du groupe Consultants.
7-101
3. 4. 5. 6.
7-102
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
7-103
7-104
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Question : quelle Catgorie de tche appartient l'vnement ? Quel est l'ID de l'vnement ? Quel type d'accs a t tent ?
7-105
Rsultats : au cours de cet exercice, vous validez l'audit des checs d'accs des membres du groupe Consultants au dossier Confidential Data.
Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
Administration scurise
8-1
Module 8
Administration scurise
Table des matires :
Leon 1 : Dlgation des autorisations administratives Atelier pratique A : Dlgation de l'administration Leon 2 : Audit des modifications Active Directory Atelier pratique B : Audit des modifications Active Directory 8-4 8-27 8-36 8-42
8-2
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
La scurit est au centre des proccupations de la plupart des grandes entreprises d'aujourd'hui. Alors que les organisations uvrent la suppression des privilges administratifs superflus qui ont t attribus par le pass aux utilisateurs de stations de travail, elles sefforcent galement de verrouiller et de grer les privilges accords aux administrateurs eux-mmes. Pour grer la scurit de ladministration dActive Directory, il est indispensable de comprendre comment certaines tches dadministration sont dlgues et comment laudit des modifications apportes lannuaire est effectu.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : dcrire l'objectif de la dlgation pour une entreprise ; affecter des autorisations des objets Active Directory l'aide des interfaces utilisateur d'diteur de scurit et de l'Assistant Dlgation de contrle ; consulter et crer des rapports sur les autorisations au niveau des objets Active Directory laide doutils dinterface utilisateur et de ligne de commande ;
Administration scurise
8-3
rtablir les autorisations par dfaut dun objet ; dcrire la relation entre une conception de dlgation et une conception dunit dorganisation ; configurer l'audit des modifications du service d'annuaire ; spcifier les paramtres d'audit au niveau des objets Active Directory ; identifier les entres de journaux d'vnements cres par l'audit d'accs l'annuaire et l'audit des modifications du service d'annuaire.
8-4
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 1
Dans les modules prcdents, vous avez appris crer des utilisateurs, des groupes, des ordinateurs et des units d'organisation, et accder aux proprits de ces objets. Pour pouvoir effectuer ces oprations, il fallait faire partie du groupe Administrateurs du domaine. Or, il n'est pas question d'intgrer tous les utilisateurs de l'quipe de support technique au groupe Administrateurs du domaine pour simplement rinitialiser des mots de passe utilisateur et dverrouiller des comptes d'utilisateurs. Au lieu de cela, le support technique et chaque rle au sein de lorganisation doivent tre en mesure deffectuer des tches en rapport avec leur fonction, et pas plus. Dans cette leon, vous allez apprendre dlguer des tches administratives spcifiques dans le cadre dActive Directory. Cela consiste modifier les listes de contrle daccs (ACL, access control list) au niveau des objets Active Directory.
Administration scurise
8-5
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : dcrire l'objectif de la dlgation pour une entreprise ; affecter des autorisations des objets Active Directory l'aide des interfaces utilisateurs de l'diteur de scurit et de l'Assistant Dlgation de contrle ; consulter et crer des rapports sur les autorisations au niveau des objets Active Directory laide doutils dinterface utilisateur et de ligne de commande ; rtablir les autorisations par dfaut dun objet ; dcrire la relation entre une conception de dlgation et une conception dunit dorganisation.
8-6
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Principes de la dlgation
Points cls
La plupart des organisations comptent plusieurs administrateurs, et il nest pas rare que ces organisations rpartissent les tches dadministration entre les diffrents administrateurs ou les organisations de support mesure quelles se dveloppent. Par exemple, dans de nombreuses organisations, le support technique peut rinitialiser les mots de passe utilisateur et dverrouiller les comptes dutilisateurs qui sont verrouills. Cette capacit du support technique est une tche dadministration dlgue. En principe, le support technique ne peut pas crer de nouveaux comptes dutilisateurs, mais il peut apporter certaines modifications aux comptes dutilisateurs existants. Cette prrogative dlgue est dite spcifique, ou granulaire. Pour poursuivre cet exemple, dans la plupart des organisations, la capacit du support technique rinitialiser les mots de passe sapplique aux comptes dutilisateurs normaux, mais pas aux comptes utiliss pour ladministration ni aux comptes de service. La dlgation est alors dite limite aux comptes dutilisateurs standard.
Administration scurise
8-7
Tous les objets Active Directory, tels que les utilisateurs, les ordinateurs et les groupes que vous avez crs dans le module prcdent, peuvent tre scuriss laide dune liste dautorisations. Autrement dit, vous pouvez accorder votre quipe de support technique lautorisation de rinitialiser les mots de passe au niveau des objets utilisateur. Les autorisations appliques un objet sont appeles entres de contrle daccs (ACE, access control entry). Elles sont affectes des utilisateurs, des groupes ou des ordinateurs (appels principaux de scurit). Les entres ACE sont enregistres dans la liste de contrle daccs discrtionnaire (DACL, discretionary access control list) de lobjet. La liste DACL est un lment de la liste de contrle daccs (ACL, access control list) de lobjet, qui contient galement la liste de contrle daccs systme (SACL, system access control list) qui comprend les paramtres daudit. Cela ne vous est pas tranger si vous avez tudi les autorisations applicables aux fichiers et dossiers (les termes et les concepts sont identiques). La dlgation du contrle administratif, galement appele dlgation de contrle ou tout bonnement dlgation, consiste simplement affecter des autorisations qui grent laccs aux objets et aux proprits dans Active Directory. Tout comme vous pouvez autoriser un groupe modifier les fichiers dans un dossier, vous pouvez autoriser un groupe rinitialiser les mots de passe au niveau des objets utilisateur.
8-8
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Pour afficher la liste ACL dun objet : 1. 2. 3. 4. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cliquez sur le menu Affichage et slectionnez Fonctionnalits avances. Cliquez avec le bouton droit sur un objet et choisissez Proprits. Cliquez sur l'onglet Scurit. Si Fonctionnalits avances nest pas activ, longlet Scurit ne saffiche pas dans la bote de dialogue Proprits dun objet.
Administration scurise
8-9
5.
Cliquez sur le bouton Avanc. Longlet Scurit offre une vue densemble des principaux de scurit auxquels des droits daccs lobjet ont t attribus. Toutefois, dans le cas des listes ACL Active Directory, il est rare que longlet Scurit soit suffisamment dtaill pour fournir les informations dont vous avez besoin pour interprter ou grer une liste ACL. Vous devez toujours cliquer sur Avanc pour ouvrir la bote de dialogue Paramtres de scurit avancs. La bote de dialogue Paramtres de scurit avancs, illustre ci-dessous, saffiche lcran.
La page Autorisations de la bote de dialogue Paramtres de scurit avancs prsente la liste DACL de lobjet. Comme vous pouvez le constater dans la capture dcran, les entres ACE sont rsumes sur une ligne de la liste Entres dautorisations. Cette bote de dialogue ne contient pas les entres ACE granulaires de la liste DACL. Par exemple, lentre dautorisation mise en vidence ci-dessus est en fait constitue de deux entres ACE.
8-10
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
6.
Pour afficher les entres ACE granulaires dune entre dautorisation, slectionnez cette dernire et cliquez sur Modifier. La bote de dialogue Entre dautorisation saffiche en prsentant en dtail les entres ACE spcifiques qui constituent lentre.
Administration scurise
8-11
Points cls
La liste DACL dun objet permet daffecter des autorisations des proprits spcifiques dun objet. Par exemple, vous pouvez accorder (ou refuser) lautorisation de modifier les options de tlphone et de messagerie lectronique. De fait, il ne sagit pas l dune proprit unique, mais dun jeu de proprits qui comporte plusieurs proprits spcifiques. Les jeux de proprits permettent de grer plus facilement les autorisations daccs aux collections de proprits couramment utilises. Mais vous pouvez bnficier dune plus grande granularit et accorder ou refuser lautorisation de modifier uniquement le numro de tlphone mobile ou rien que ladresse postale. Des autorisations peuvent galement tre affectes pour grer les droits de contrle daccs, qui correspondent des oprations telles que la modification ou la rinitialisation dun mot de passe. Il est important de comprendre la diffrence entre ces deux droits de contrle daccs. Si vous avez le droit de modifier un mot de passe, vous devez connatre et entrer le mot de passe actuel avant de le modifier. Si vous avez le droit de rinitialiser un mot de passe, vous ntes pas tenu de connatre le mot de passe prcdent.
8-12
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Enfin, des autorisations peuvent tre affectes des objets. Par exemple, la capacit de modification des autorisations dun objet est contrle par lentre ACE Allow Modify Permissions (Autoriser la modification des autorisations). Les autorisations dobjet permettent galement de contrler votre capacit crer des objets enfants. Par exemple, vous pouvez octroyer votre quipe de support des ordinateurs de bureau des autorisations de cration dobjets ordinateur dans lunit dorganisation Ordinateurs clients. Dans ce cas, lentre Allow Create Computer Objects (Autoriser la cration dobjets ordinateur) doit tre affecte lquipe de support des ordinateurs de bureau au niveau de lUO. Le type et la porte des autorisations sont grs sous les onglets Objet et Proprits, via les listes droulantes Appliquer de ces onglets.
Administration scurise
8-13
Dmonstration : Affecter une autorisation partir de la bote de dialogue Paramtres de scurit avancs
Points cls
Imaginez un scnario dans lequel vous souhaiteriez autoriser le support technique modifier le mot de passe du compte dutilisateur de Jeff Ford, et uniquement ce compte-l. Dans cette section, vous allez apprendre effectuer cette opration en commenant par la mthode la plus difficile, savoir, affecter lentre ACE de la liste DACL de lobjet utilisateur. Ensuite, vous apprendrez dfinir une dlgation via lAssistant Dlgation de contrle pour toute lUO des utilisateurs, et vous dcouvrirez pourquoi cette dernire mthode est recommande.
tapes de la dmonstration
1. 2. Dmarrez lordinateur 6238B-HQDC01-A. Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Cliquez sur Dmarrer > Outils dadministration, puis excutez Utilisateurs et ordinateurs Active Directory avec des informations didentification dadministration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
8-14
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3. 4. 5. 6. 7.
Cliquez sur le menu Affichage et slectionnez Fonctionnalits avances. Cliquez avec le bouton droit sur un objet et choisissez Proprits. Cliquez sur l'onglet Scurit. Cliquez sur le bouton Avanc. Cliquez sur le bouton Ajouter. Si le Contrle de compte dutilisateur est activ, vous devrez peut-tre cliquer sur Modifier et entrer des informations didentification dadministration pour faire apparatre le bouton Ajouter.
8.
Dans la bote de dialogue Slectionner, slectionnez le principal de scurit auquel les autorisations seront affectes. Il est fortement recommand daffecter les autorisations des groupes, et non des utilisateurs individuels. Dans cet exemple, vous devez slectionner votre groupe Support technique et appuyer sur Entre. La bote de dialogue Entre dautorisation saffiche.
9.
Configurez les autorisations affecter. Pour notre exemple, sous longlet Objet, faites dfiler la liste Autorisations et slectionnez Autoriser::Rinitialiser le mot de passe.
Administration scurise
8-15
Points cls
Vous avez des sueurs froides lide davoir affecter au support technique une autorisation de rinitialisation de mot de passe pour chaque objet utilisateur individuel ? Alors rassurez-vous : vous navez pas besoin daffecter des autorisations des objets individuels dans Active Directory. Qui plus est, il sagit dune mauvaise pratique. De fait, les autorisations doivent tre affectes des units dorganisation. Tous les objets de lUO laquelle vous affectez les autorisations hritent de ces dernires. Autrement dit, si vous octroyez au support technique lautorisation de rinitialiser les mots de passe pour les objets utilisateur et que vous liez cette autorisation lUO qui contient vos utilisateurs, tous les objets utilisateur contenus dans cette UO hriteront de cette autorisation. Ainsi, en une seule opration, vous aurez dlgu cette tche dadministration. Lhritage est un concept facile comprendre. Les objets enfants hritent des autorisations du conteneur parent ou de lUO. Ce conteneur ou UO hrite son tour des autorisations de son conteneur ou UO parent ou, sil sagit dun conteneur ou dune UO de premier niveau, du domaine lui-mme. Si les objets enfants hritent des autorisations de leur parents, cest parce que loption Inclure les autorisations pouvant tre hrites du parent de cet objet est active par dfaut pour chaque nouvel objet cr.
8-16
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Toutefois, comme loption lindique, les objets enfants hritent uniquement des autorisations qui peuvent tre hrites. Certaines autorisations ne peuvent pas tre hrites. Par exemple, les objets groupe ne peuvent pas hriter de lautorisation de rinitialisation des mots de passe affecte une UO, car ces objets ne possdent pas dattribut de mot de passe. Lhritage peut donc tre limit des classes dobjet spcifiques : les mots de passe sont applicables aux objets utilisateur, et non aux groupes. De plus, vous pouvez utiliser la zone Appliquer de la bote de dialogue Entre dautorisation pour dfinir la porte de lhritage dune autorisation. Cest ce stade que le sujet peut vous paratre trs compliqu. Vous devez savoir que, par dfaut, les nouveaux objets hritent des autorisations qui peuvent tre hrites de leur objet parent (gnralement une UO ou un conteneur). Que se passe-t-il si les autorisations hrites sont mal appropries ? Vous pouvez modifier les autorisations dont hrite un objet enfant de trois faons diffrentes : Premirement, vous pouvez dsactiver lhritage en dslectionnant loption Inclure les autorisations pouvant tre hrites du parent de cet objet dans la bote de dialogue Paramtres de scurit avancs. Dans ce cas, lobjet nhrite plus des autorisations de son parent (toutes les autorisations sont alors dfinies explicitement pour lobjet enfant). En rgle gnrale, cette pratique est viter, car elle cre une exception la rgle cre par les autorisations des conteneurs parents. La deuxime possibilit consiste autoriser lhritage, mais remplacer lautorisation hrite par une autorisation spcifiquement affecte lobjet enfant (autorisation explicite). Les autorisations explicites ont toujours la priorit sur les autorisations hrites des objets parents. Cela a une consquence importante : une autorisation explicite qui autorise un accs remplacera de fait une autorisation hrite qui refuse ce mme accs. Si cela vous parat illogique, ravisez-vous : la rgle (Refuser) est dfinie par un parent, mais lobjet enfant a t configur comme tant une exception (Autoriser). En troisime lieu, vous pouvez modifier la porte de lhritage au niveau de lautorisation parente elle-mme en modifiant loption dans la liste droulante Appliquer de la bote de dialogue Entre dautorisation. Dans la plupart des cas, il sagit dune mthode recommande. Elle consiste en effet dfinir de faon plus prcise la stratgie de scurit sous forme de liste ACL sa source, au lieu dessayer de la remplacer un niveau infrieur dans larborescence.
Administration scurise
8-17
Points cls
Vous avez pu constater la complexit dune liste DACL, et vous avez probablement remarqu que la gestion des autorisations via la bote de dialogue Entre dautorisation nest pas une tche aise. Par chance, la meilleure pratique ne consiste pas grer les autorisations partir des interfaces de scurit, mais plutt utiliser lAssistant Dlgation de contrle. La procdure suivante dtaille lutilisation de lAssistant.
8-18
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
tapes de la dmonstration
1. Sur lordinateur HQDC01, cliquez sur Dmarrer > Outils dadministration et excutez Utilisateurs et ordinateurs Active Directory avec des informations didentification dadministration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Cliquez avec le bouton droit sur le nud (domaine ou UO) pour lequel vous souhaitez dlguer des tches dadministration ou le contrle administratif, puis choisissez Dlgation de contrle. Dans notre exemple, vous devez slectionner lUO qui contient vos utilisateurs. LAssistant Dlgation de contrle saffiche pour vous guider tout au long de la procdure. 3. Cliquez sur Suivant. Pour commencer, vous devez slectionner le groupe dadministration auquel vous accordez des privilges. 4. 5. 6. Dans la page Utilisateurs ou groupes, cliquez sur le bouton Ajouter. Dans la bote de dialogue Slectionner, slectionnez le groupe, puis cliquez sur OK. Cliquez sur Suivant. Vous devez prsent indiquer la tche spcifique que vous souhaitez affecter ce groupe. 7. Dans la page Tches dlguer, slectionnez la tche. Dans notre exemple, vous devez slectionner Rinitialiser les mots de passe utilisateur et forcer le changement de mot de passe la prochaine ouverture de session. 8. 9. Cliquez sur Suivant. Examinez le rcapitulatif des actions qui ont t excutes, puis cliquez sur Terminer. LAssistant Dlgation de contrle applique les entres ACE requises pour permettre au groupe slectionn deffectuer la tche spcifie.
2.
Administration scurise
8-19
Points cls
Il existe plusieurs autres faons de consulter et de crer des rapports sur les autorisations lorsque vous avez besoin de savoir qui peut faire quoi. Vous avez dj dcouvert quil tait possible de consulter les autorisations au niveau de la liste DACL via les botes de dialogue Paramtres de scurit avance et Entre dautorisation. DSACLs (dsacls.exe) est galement disponible sous la forme dun outil de ligne de commande qui cre des rapports sur les objets de service dannuaire. Si vous tapez la commande suivie du nom unique dun objet, vous obtiendrez un rapport sur les autorisations de lobjet. Par exemple, cette commande gnrera un rapport sur les autorisations associes lUO User Accounts :
dsacls.exe "ou=User Accounts,dc=contoso,dc=com"
DSACLs permet galement de dfinir des autorisations ( dlguer). Tapez dsacls.exe /? pour obtenir de laide concernant la syntaxe et lutilisation de DSACLs.
8-20
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Comment faire pour supprimer ou rinitialiser des autorisations qui ont t dlgues ? Hlas, il nexiste pas de commande dannulation de dlgation. Vous devez procder de lune des faons suivantes : Ouvrez les botes de dialogue Paramtres de scurit avancs et Entre dautorisation pour supprimer les autorisations. Si vous souhaitez rtablir les autorisations par dfaut de lobjet, ouvrez la bote de dialogue Paramtres de scurit avancs, puis cliquez sur Paramtres par dfaut. Les autorisations par dfaut sont dfinies par schma Active Directory de la classe dobjet. Aprs avoir rtabli les valeurs par dfaut, vous pouvez reconfigurer les autorisations explicites que vous voulez ajouter la liste DACL.
Administration scurise
8-21
DSACLs propose galement le commutateur /s pour rinitialiser les autorisations avec les valeurs par dfaut dfinies par schma, ainsi que le commutateur /t pour modifier l arborescence toute entire (lobjet et tous ses objets enfants). Par exemple, pour rinitialiser les autorisations de lunit dorganisation Personnes et de lensemble de ses UO et objets enfants, vous devez entrer :
dsacls "ou=User Accounts,dc=contoso,dc=com" /s /t
8-22
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Les autorisations effectives sont les autorisations rsultantes dun principal de scurit, tel quun utilisateur ou un groupe, en fonction de leffet cumul de chaque entre ACE hrite et explicite. Par exemple, votre capacit rinitialiser le mot de passe dun utilisateur peut tre due au fait que vous tre membre dun groupe ayant obtenu une autorisation Rinitialiser le mot de passe pour une UO situe plusieurs niveaux audessus de lobjet utilisateur. Lautorisation hrite affecte un groupe auquel vous appartenez a engendr une autorisation effective Autoriser::Rinitialiser le mot de passe. Entre les autorisations Autoriser et Refuser, les entres ACE explicites et hrites et le fait que vous pouvez appartenir plusieurs groupes, chacun pouvant avoir des autorisations diffrentes, vos autorisations effectives peuvent tre complexes. Quelles soient affectes votre compte dutilisateur ou un groupe auquel vous appartenez, les autorisations sont quivalentes. En fin de compte, une entre ACE sapplique vous, utilisateur. Si la meilleure pratique consiste grer les autorisations en les affectant des groupes, il est galement possible daffecter les entres ACE des utilisateurs ou des ordinateurs individuels. Une autorisation qui a t directement affecte vous, utilisateur, nest ni plus importante, ni moins importante quune autorisation affecte un groupe auquel vous appartenez.
Administration scurise
8-23
Les autorisations qui autorisent laccs (Autorisations Autoriser) sont cumulatives. Si vous appartenez plusieurs groupes et que ces groupes se sont vus affecter des autorisations qui permettent deffectuer diverses tches, vous pouvez effectuer toutes les tches affectes tous ces groupes, ainsi que les tches directement affectes votre compte dutilisateur. Les autorisations qui refusent laccs (Autorisations Refuser) se substituent aux autorisations Autoriser. Si vous faites partie la fois dun groupe qui est autoris rinitialiser les mots de passe et dun autre groupe qui ne lest pas, lautorisation Refuser vous empche de rinitialiser les mots de passe.
Remarque : en rgle gnrale, il nest pas ncessaire daffecter des autorisations Refuser : si vous naffectez pas dautorisation Autoriser, les utilisateurs ne peuvent tout simplement pas effectuer la tche. Avant daffecter une autorisation Refuser, voyez si la suppression dune autorisation Autoriser ne suffit pas atteindre votre objectif. Veillez utiliser les autorisations Refuser avec parcimonie et discernement.
Chaque autorisation est granulaire. Ce nest pas parce que lautorisation de rinitialiser les mots de passe vous a t refuse que vous ne pouvez pas, en vertu dautres autorisations Autoriser, modifier le nom douverture de session ou ladresse de messagerie de lutilisateur. Enfin, nous avons vu plus haut dans cette leon que les objets enfants hritent par dfaut des autorisations pouvant tre hrites des objets parents, et que les autorisations explicites peuvent se substituer aux autorisations pouvant tre hrites. Cela signifie quune autorisation Autoriser se substitue de fait une autorisation Refuser hrite. Malheureusement, du fait de linteraction complexe entre les autorisations utilisateur, groupe, explicites, hrites, Autoriser et Refuser, il peut tre trs difficile dvaluer les autorisations effectives. La bote de dialogue Paramtres de scurit avancs dun objet Active Directory comporte bien un onglet Autorisations effectives, mais celui-ci savre pratiquement inutile : il ne prsente pas suffisamment dautorisations pour fournir le type dinformation dtaille dont vous aurez besoin. Vous pouvez utiliser les autorisations exposes par la commande DSACLs ou par longlet Autorisations de la bote de dialogue Paramtres de scurit avancs pour commencer valuer les autorisations effectives, mais il sagira dune tche manuelle.
8-24
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Lectures complmentaires
Le meilleur moyen de grer la dlgation dans Active Directory est dutiliser le contrle daccs bas sur les rles. Bien que lexamen de certification ne porte pas sur cette approche, il est trs utile de la connatre au moment dimplmenter la dlgation en situation relle. Voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008) pour plus dinformations.
Administration scurise
8-25
Points cls
Comme vous le savez, les units dorganisation (UO) sont des conteneurs administratifs. Ils contiennent des objets qui partagent des exigences similaires en termes dadministration, de configuration et de visibilit. Vous connaissez dsormais la premire de ces exigences : ladministration. Les objets appels tre administrs de la mme manire, par les mmes administrateurs, doivent tre contenus dans une UO unique. En plaant vos utilisateurs dans une UO unique, par exemple appele User Accounts, vous pouvez dlguer lautorisation du support technique de modifier les mots de passe de tous les utilisateurs en affectant une autorisation une UO. Toute autre autorisation ayant un impact sur les tches que peut raliser un administrateur au niveau dun objet utilisateur doit tre affecte lUO User Accounts. Ainsi, vous pouvez autoriser vos cadres en ressources humaines dsactiver les comptes dutilisateurs si leur contrat de travail arrive terme. Cette autorisation est alors de nouveau dlgue lUO User Accounts.
8-26
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Rappelez-vous que les administrateurs doivent ouvrir une session sur leur systme avec des informations didentification dutilisateur et lancer les outils dadministration avec les informations didentification dun compte secondaire dot dautorisations permettant deffectuer des tches dadministration. Ces comptes secondaires sont les comptes administratifs de lentreprise. Il nest pas opportun de permettre au support technique de premire ligne de rinitialiser les mots de passe de ces comptes privilgis, pas plus quil nest souhaitable que les cadres en ressources humaines dsactivent des comptes administratifs. Par consquent, les comptes administratifs ne doivent pas tre administrs de la mme faon que les comptes dutilisateurs normaux . Cest pourquoi il peut savrer utile de disposer dune UO distincte, telle que Admins, pour les objets utilisateur administratif. Cette UO fera lobjet dune dlgation assez diffrente de celle de lUO User Accounts. De la mme faon, vous pouvez dlguer lquipe de support des ordinateurs de bureau la capacit dajouter des objets ordinateur une UO appele Client Computers, qui contient vos ordinateurs de bureau et vos ordinateurs portables, mais pas lUO Servers, o seul votre groupe Administration de serveur est autoris crer et grer des objets ordinateur. Le rle principal des UO est de dfinir de faon efficace la porte de la dlgation (pour appliquer des autorisations aux objets et aux sous-UO). Lorsque vous concevez un environnement Active Directory, vous commencez toujours par concevoir une structure dUO propice une dlgation efficace (une structure limage du modle administratif de votre organisation). Il est rare que ladministration dobjets dans Active Directory ressemble votre organigramme. En rgle gnrale, tous les comptes dutilisateurs normaux sont pris en charge de la mme faon, par la mme quipe (cest ce qui explique que les objets utilisateur se trouvent souvent dans une mme UO ou une mme branche dUO). Il est assez frquent quune organisation qui dispose dune fonction de support technique centralise destine prter assistance aux utilisateurs possde galement une fonction de support des ordinateurs de bureau centralise. Auquel cas, tous les objets ordinateur client se trouvent dans une mme UO ou une branche dUO unique. En revanche, si le support des ordinateurs de bureau est dcentralis, il y a des chances pour que lUO Client Computers soit divise en sousUO qui reprsentent des lieux gographiques, chacun ayant fait lobjet dune dlgation pour autoriser lquipe de support locale ajouter des objets ordinateur au domaine du lieu correspondant. Vous devez concevoir des UO dabord pour permettre lautorisation (dlgation) efficace dobjets dans lannuaire. Ds lors que vous avez cr cette conception, vous pouvez laffiner pour faciliter la configuration des ordinateurs et des utilisateurs via la Stratgie de groupe.
Lectures complmentaires
Voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008) pour plus dinformations sur la conception dUO.
Administration scurise
8-27
Scnario
Lquipe charge de la scurit dentreprise de Contoso vous a demand de verrouiller les autorisations administratives dlgues au personnel de support.
8-28
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Exercice 1 : Dlguer lautorisation permettant de crer et assurer le support des comptes dutilisateurs
Dans cet exercice, vous allez dlguer au support technique lautorisation de dverrouiller les comptes dutilisateurs, de rinitialiser les mots de passe et dimposer aux utilisateurs de changer de mot de passe la prochaine ouverture de session. Cette autorisation se limitera aux comptes dutilisateurs standard et ne permettra pas au support technique de modifier les mots de passe de comptes administratifs. Vous allez galement dlguer au groupe Administrateurs de comptes dutilisateurs lautorisation de crer et supprimer des comptes dutilisateurs, ainsi quun contrle total sur les comptes dutilisateurs. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. Prparer l'atelier pratique. Crer des groupes de scurit pour la gestion base sur les rles. Dlguer le contrle du support utilisateur laide de lAssistant Dlgation de contrle. Dlguer lautorisation de crer et supprimer des utilisateurs depuis linterface diteur de liste de contrle daccs. Valider limplmentation de la dlgation.
Administration scurise
8-29
Tche 2 : Crer des groupes de scurit pour la gestion base sur les
rles
1. Excutez Utilisateurs et ordinateurs Active Directory avec des informations didentification dadministration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans lUO Groups\Role, crez les groupes de rle suivants : 3. Support technique (groupe de scurit global) Administrateurs de comptes dutilisateurs (groupe de scurit global)
2.
Ajoutez les comptes administratifs des utilisateurs suivants au groupe Support technique. Veillez ne pas ajouter le compte standard sans privilges des utilisateurs. Aaron Painter Elly Nkya Julian Price Holly Dickson
4.
Ajoutez les comptes administratifs des utilisateurs suivants au groupe Administrateurs de comptes dutilisateurs. Veillez ne pas ajouter le compte standard sans privilges des utilisateurs. Pat Coleman April Meyer Max Stevens
5.
Dans lUO Admins\Admin Groups\AD Delegations, crez les groupes de gestion daccs administratif suivants : Support_Comptes dutilisateurs_AD (groupe de scurit local du domaine) Contrle total_Comptes dutilisateurs_AD (groupe de scurit local du domaine)
6. 7.
Ajoutez le groupe Support technique en tant que membre de Support_Comptes dutilisateurs_AD. Ajoutez le groupe Administrateurs de comptes dutilisateurs en tant que membre de Contrle total_Comptes dutilisateurs_AD.
8-30
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
3.
4. 5. 6. 7.
Administration scurise
8-31
8.
Vrifiez que vous pouvez crer un compte dutilisateur dans lUO Employees en crant un compte partir de vos prnom et nom, le nom dutilisateur Prnom.Nom, et le mot de passe Pa$$w0rd. Fermez Utilisateurs et ordinateurs Active Directory.
Rsultats : lissue de cet exercice, vous aurez dlgu au support technique lautorisation de dverrouiller les comptes dutilisateurs, de rinitialiser les mots de passe et de forcer les utilisateurs changer de mot de passe la prochaine ouverture de session, par le biais de lappartenance du support technique au groupe Support_Comptes dutilisateurs_AD. Vous aurez galement dlgu le contrle total des objets utilisateur au groupe Administrateurs de comptes dutilisateurs par le biais de son appartenance au groupe Contrle total_Comptes dutilisateurs_AD. Enfin, vous aurez test les deux dlgations pour vrifier quelles fonctionnent.
9.
8-32
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3.
Question : combien dentres dautorisations lAssistant Dlgation de contrle a-til cr pour le groupe Support_Comptes dutilisateurs_AD ? Est-il facile didentifier les autorisations qui ont t affectes dans la liste Entres dautorisations ? Dressez la liste des autorisations affectes Support_Comptes dutilisateurs_AD.
Administration scurise
8-33
Question : quelles autorisations la commande DSACLs renvoie-t-elle pour le groupe Support_Comptes dutilisateurs_AD ?
Question : lautorisation Rinitialiser le mot de passe figure-t-elle dans cette liste ? 3. Dans lUO Employees, cliquez avec le bouton droit sur le compte dutilisateur dAaron Lee, puis cliquez sur Proprits. Cliquez sur l'onglet Scurit, puis sur Avanc. partir de la bote de dialogue Paramtres de scurit avancs, valuez les autorisations effectives pour Aaron.Painter_Admin. Identifiez les autorisations qui lui permettent de rinitialiser le mot de passe dAaron Lee.
Rsultats : lissue de cet exercice, vous constaterez que les autorisations que vous avez affectes au cours de lexercice prcdent ont bien t appliques.
4.
8-34
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Question : que se passe-t-il lorsque vous cliquez sur Paramtres par dfaut ? Quelles sont les autorisations restantes ?
Rsultats : lissue de cet exercice, vous aurez rtabli les autorisations par dfaut dfinies par schma de lUO User Accounts.
Remarque : ne fermez pas lordinateur virtuel lissue de cet atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans le prochain atelier pratique.
Administration scurise
8-35
Question : quel risque vous exposez-vous en rtablissant les valeurs par dfaut dfinies par schma de la liste ACL dune UO ?
8-36
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 2
Si laudit de laccs aux fichiers et dossiers vous permet denregistrer les tentatives daccs ces types dobjets, la stratgie Auditer laccs au service dannuaire vous permet denregistrer les tentatives daccs aux objets dans Active Directory. Windows Server 2008 introduit une autre catgorie daudit pour Active Directory : Modification du service dannuaire.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : configurer une stratgie daudit pour activer laudit Modification du service dannuaire ; spcifier les paramtres d'audit au niveau des objets Active Directory ; identifier les entres de journaux d'vnements cres par l'audit d'accs l'annuaire et l'audit des modifications du service d'annuaire.
Administration scurise
8-37
Points cls
Si la stratgie Auditer laccs aux objets vous permet denregistrer les tentatives daccs certains objets tels que les fichiers et les dossiers, la stratgie Auditer laccs au service dannuaire vous permet denregistrer les tentatives daccs aux objets dans Active Directory. Ce sont les mmes principes de base qui sappliquent. Vous configurez la stratgie pour auditer les vnements de russite ou dchec. Vous configurez ensuite la liste SACL de lobjet Active Directory pour spcifier les types daccs dont vous souhaitez effectuer laudit. Par exemple, si vous souhaitez surveiller les modifications apportes lappartenance dun groupe sensible sur le plan de la scurit, comme Admins du domaine, vous pouvez activer la stratgie Auditer laccs au service dannuaire pour effectuer laudit des vnements de russite. Vous pouvez ensuite ouvrir la liste SACL du groupe Admins du domaine et configurer une entre daudit pour les modifications russies de lattribut Membres du groupe. De fait, la configuration par dfaut de Windows Server 2008 effectue laudit des vnements de russite pour Accs Active Directory, ainsi que laudit de toutes les modifications apportes au groupe Admins du domaine.
8-38
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Dans Windows Server 2003 et Windows 2000 Server, vous pouviez effectuer laudit de laccs au service dannuaire. Vous tiez notifi de la modification dun objet (ou de la proprit dun objet), mais vous ne pouviez pas identifier lancienne et la nouvelle valeur de lattribut modifi. Par exemple, il tait possible denregistrer un vnement indiquant quun certain utilisateur avait modifi un attribut du groupe Admins du domaine, mais il ntait pas facile didentifier lattribut qui avait fait lobjet de la modification. De plus, il nexistait aucun moyen de dterminer partir du journal daudit quelle modification avait exactement t apporte cet attribut. Windows Server 2008 ajoute une catgorie daudit appele Modification du service dannuaire. La diffrence importante qui existe entre laudit Modification du service dannuaire et laudit Accs Active Directory est que le premier permet didentifier lancienne valeur dun attribut modifi et sa valeur actuelle. Laudit Modification du service dannuaire nest pas activ par dfaut dans Windows Server 2008. En revanche, laudit Accs Active Directory est activ pour reproduire la fonctionnalit daudit des versions antrieures de Windows. Pour activer laudit des modifications russies du service dannuaire, ouvrez une invite de commandes sur un contrleur de domaine, puis entrez cette commande :
auditpol /set /subcategory:"directory service changes" /success:enable
Bien que vous puissiez utiliser la commande prcdente pour activer laudit Modification du service dannuaire dans le cadre dun atelier pratique et explorer les vnements gnrs, ne limplmentez pas dans un domaine tant que vous navez pas lu la documentation sur TechNet, commencer par le guide pas pas qui se trouve ladresse suivante : http://go.microsoft.com/fwlink/?LinkId=168805.
Administration scurise
8-39
Points cls
Vous devez toujours modifier la liste SACL dobjets pour dsigner les attributs qui doivent faire lobjet dun audit. Pour accder la liste SACL et ses entres daudit : 1. 2. 3. 4. Ouvrez la bote de dialogue Proprits de lobjet dont vous souhaitez effectuer laudit. Cliquez sur l'onglet Scurit. Cliquez sur le bouton Avanc. Cliquez sur l'onglet Audit.
8-40
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Pour ajouter une entre daudit : 1. 2. 3. Cliquez sur le bouton Ajouter. Slectionnez lutilisateur, le groupe ou lordinateur auditer. Il sagit souvent du groupe Tout le monde. Dans la bote de dialogue Audit de lentre, indiquez le type daccs auditer. Vous pouvez effectuer laudit des russites, des checs ou des deux au moment o lutilisateur, le groupe ou lordinateur spcifi tente daccder la ressource en utilisant un ou plusieurs niveaux daccs granulaires. Vous pouvez effectuer laudit des russites pour rpondre aux objectifs suivants : enregistrer laccs aux ressources des fins de cration de rapports et de facturation ; analyser les accs pour identifier les utilisateurs qui effectuent des oprations plus importantes que prvu, suggrant ainsi que les autorisations sont trop gnreuses ; identifier les accs abusifs un compte, indication possible du piratage du compte d'utilisateur.
Laudit des vnements en chec savre utile pour : analyser les tentatives malveillantes d'accs des ressources pourtant interdites d'accs ; identifier les tentatives avortes d'accs un fichier ou un dossier auquel un utilisateur demande d'accder. Cela indique que les autorisations ne sont pas suffisantes pour rpondre un besoin professionnel.
Remarque : vitez tout abus en matire daudit. Les journaux daudit ont tendance devenir assez vite volumineux. En matire daudit, la rgle dor est de configurer le minimum ncessaire pour accomplir les tches professionnelles. Si l'audit est dfini pour consigner les russites et les checs sur un dossier de donnes actif, pour le groupe Tout le monde, avec le Contrle total (toutes les autorisations), les journaux d'audit gnrs risquent d'tre extrmement volumineux et d'affecter les performances du serveur, ainsi que la recherche d'un vnement particulier.
Administration scurise
8-41
Points cls
Aprs avoir activ le paramtre de stratgie daudit souhait et spcifi laccs dont vous voulez effectuer laudit laide de listes SACL dobjets, le systme commence enregistrer laccs en fonction des entres daudit. Vous pouvez consulter les vnements obtenus dans le journal de scurit du serveur. Ouvrez la console Observateur d'vnements depuis le dossier Outils d'administration. Dveloppez Journaux Windows, puis slectionnez Journal scurit. Lorsque laudit Modification du service dannuaire est activ et que les entres daudit sont configures dans la liste SACL des objets du service dannuaire, les vnements sont enregistrs dans le journal de scurit, qui indique clairement lattribut qui a t modifi, ainsi que la nature de la modification. Dans la plupart des cas, les entres du journal dvnements prsentent lancienne valeur de lattribut modifi, ainsi que sa valeur actuelle.
8-42
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
Lquipe de scurit dentreprise de Contoso vous a demand de produire des rapports dtaills sur les modifications apportes lappartenance de groupes sensibles sur le plan de la scurit, y compris le groupe Admins du domaine. Les rapports doivent indiquer la nature de la modification qui a t apporte, le nom de son auteur et sa date de ralisation.
Administration scurise
8-43
Exercice 1 : Effectuer laudit des modifications apportes Active Directory en utilisant la stratgie daudit par dfaut
Dans cet exercice, vous constaterez que laudit Accs Active Directory est activ par dfaut dans Windows Server 2008 et Windows Server 2003. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Prparer l'atelier pratique. Vrifier que le groupe Admins du domaine est configur pour effectuer laudit des modifications apportes son appartenance. Modifier lappartenance du groupe Admins du domaine. Examiner les vnements gnrs.
Question : quelle est lentre daudit qui permet datteindre cet objectif ?
8-44
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Question : quels sont les ID dvnements qui ont t enregistrs lorsque vous avez apport vos modifications ? Quelle est la catgorie de tche ? Question : examinez les informations fournies sous l'onglet Gnral. tes-vous en mesure d'identifier les lments suivants dans l'entre du journal d'vnements ? auteur de la modification ; date de la modification ; objet ayant fait l'objet de la modification ; type d'accs utilis ; attribut ayant fait lobjet de la modification ; comment l'attribut modifi est-il identifi ? nature de la modification apporte cet attribut.
Rsultats : lissue de cet exercice,vous aurez gnr et examin des entres daudit Accs Active Directory.
Administration scurise
8-45
Exercice 2 : Effectuer laudit des modifications apportes Active Directory laide de laudit Modification du serveur dannuaire
Dans cet exercice, vous allez implmenter la nouvelle fonctionnalit daudit Modification du service dannuaire de Windows Server 2008 pour rvler les dtails des modifications apportes au groupe Admins du domaine. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Activer laudit Modification du service dannuaire. Modifier lappartenance du groupe Admins du domaine. Examiner les vnements gnrs.
8-46
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Question : quels sont les ID dvnements qui ont t enregistrs lorsque vous avez apport vos modifications ? Quelle est la catgorie de tche ? Question : examinez les informations fournies sous longlet Gnral. tes-vous en mesure didentifier les lments suivants dans lentre du journal dvnements ? type de modification effectue ; auteur de la modification ; nom du membre ajout ou supprim ; nom du groupe concern ; date de la modification.
Rsultats : lissue de cet exercice, vous aurez gnr des entres daudit Modification du service dannuaire.
Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-1
Module 9
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Table des matires :
Leon 1 : Configuration des stratgies de mot de passe et de verrouillage Atelier pratique A : Configuration des stratgies de mot de passe et de verrouillage de compte Leon 2 : Audit de l'authentification Atelier pratique B : Audit de l'authentification Leon 3 : Configuration des contrleurs de domaine en lecture seule Atelier pratique C : Configuration des contrleurs de domaine en lecture seule 9-4 9-24 9-30 9-40 9-45 9-66
9-2
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Lorsquun utilisateur se connecte un domaine Active Directory, il entre ses nom dutilisateur et mot de passe et le client utilise ces informations didentification pour authentifier lutilisateur, cest--dire, valider son identit par rapport son compte Active Directory. Dans le module 3, vous avez appris crer et grer des comptes dutilisateurs et leurs proprits, y compris leurs mots de passe. Dans ce module, vous allez explorer les composants ct domaine de lauthentification, notamment les stratgies qui spcifient les exigences relatives aux mots de passe et laudit des activits lies lauthentification. Vous allez galement dcouvrir deux fonctionnalits introduites par Windows Server 2008 qui peuvent amliorer de manire significative la scurit de lauthentification dans un domaine des services de domaine Active Directory (AD DS) : les objets PSO (mieux connus sous le nom de stratgie de mot de passe affine) et les contrleurs de domaine en lecture seule.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-3
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : implmenter votre stratgie de mot de passe de domaine et de verrouillage de compte ; configurer et affecter des stratgies de mot de passe affines ; configurer laudit des activits lies lauthentification ; faire la distinction entre les vnements de connexion de comptes et les vnements Ouverture de session ; identifier les vnements lis l'authentification dans le journal de scurit ; identifier les besoins de lentreprise en matire de contrleurs de domaine en lecture seule ; installer un contrleur de domaine en lecture seule ; configurer une stratgie de rplication de mot de passe ; contrler la mise en cache des informations didentification sur un contrleur de domaine en lecture seule.
9-4
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 1
Dans un domaine Windows Server 2008, les utilisateurs sont tenus de modifier leur mot de passe tous les 42 jours. Un mot de passe doit tre constitu dau moins sept caractres et doit respecter des exigences de complexit, comme notamment lutilisation de trois ou quatre types de caractres : majuscules, minuscules, nombres et caractres non alphanumriques. Ces trois stratgies de mot de passe (dure de vie maximale du mot de passe, longueur du mot de passe et complexit du mot de passe) font partie des premires stratgies que les administrateurs comme les utilisateurs rencontrent dans un domaine Active Directory. Il est rare que ces paramtres par dfaut correspondent exactement aux exigences de scurit dune organisation en matire de mots de passe. Votre organisation peut par exemple exiger que les mots de passe soient modifis de faon plus ou moins frquente ou quils soient plus longs. Dans cette leon, vous allez apprendre mettre en uvre les stratgies de mot de passe et de verrouillage de votre entreprise en modifiant lobjet GPO de la stratgie de domaine par dfaut.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-5
Comme vous le savez, il existe des exceptions chaque rgle, et il est probable que vos stratgies de mot de passe en prsentent aussi. Pour amliorer la scurit de votre domaine, vous pouvez dfinir des exigences de mot de passe plus restrictives pour les comptes affects aux administrateurs, les comptes utiliss par les services, tels que Microsoft SQL Server, ou un utilitaire de sauvegarde. Dans les versions prcdentes de Windows, cela ntait pas possible : une mme stratgie de mot de passe sappliquait tous les comptes dun mme domaine. Dans cette leon, vous allez apprendre configurer des stratgies de mot de passe affines, nouvelle fonctionnalit de Windows Server 2008 qui vous permet daffecter diffrentes stratgies de mot de passe aux utilisateurs et aux groupes de votre domaine.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : implmenter votre stratgie de mot de passe de domaine et de verrouillage de compte ; configurer et affecter des stratgies de mot de passe affines.
9-6
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
La stratgie de mot de passe de votre domaine est configure par un objet de stratgie de groupe (GPO) tendue au domaine. Dans lobjet GPO, dans le nud Configuration ordinateur > Stratgies > Paramtres Windows > Paramtres de scurit > Stratgies de comptes > Stratgie de mot de passe, vous pouvez configurer les paramtres de stratgie qui dterminent les exigences de mot de passe. Le nud Stratgie de mot de passe est illustr dans la capture dcran suivante.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-7
Vous pouvez comprendre leffet des stratgies en examinant le cycle de vie dun mot de passe utilisateur. Un utilisateur sera appel modifier son mot de passe dans un dlai (en jours) spcifi par le paramtre de stratgie Dure de vie maximale du mot de passe. Lorsque lutilisateur entre un nouveau mot de passe, sa longueur est compare au nombre de caractres impos par la stratgie Longueur minimale du mot de passe. Si la stratgie Le mot de passe doit respecter des exigences de complexit est active, le mot de passe doit contenir au moins trois ou quatre types de caractres : Majuscules (de A Z) Minuscules (de a z) Nombres (de 0 9) Caractres non alphanumriques (symboles tels que !, #, % ou &)
Si le nouveau mot de passe respecte les exigences, Active Directory applique ce dernier un algorithme mathmatique qui produit une reprsentation du mot de passe appele code de hachage. La code de hachage est unique : deux mots de passe distincts ne peuvent pas crer un mme code de hachage. Lalgorithme utilis pour crer le code de hachage est une fonction sens unique. Vous ne pouvez pas appliquer de fonction inverse au code de hachage afin de retrouver le mot de passe. Le fait que ce soit le code de hachage, et non le mot de passe proprement dit, qui est stock dans Active Directory contribue accrotre la scurit du compte dutilisateur.
9-8
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Parfois, certaines applications exigent un mot de passe dutilisateur lisible. Or, cela nest pas possible car, par dfaut, seul le code de hachage est stock dans Active Directory. Pour prendre en charge de telles applications, vous pouvez activer la stratgie Enregistrer les mots de passe en utilisant un chiffrement rversible. Cette stratgie nest pas active par dfaut. Si vous lactivez, les mots de passe utilisateur seront stocks dans un format chiffr qui pourra tre dchiffr par lapplication. Sachez toutefois que le chiffrement rversible abaisse considrablement le niveau de scurit de votre domaine. Cest pourquoi il est dsactiv par dfaut et que vous avez tout intrt liminer les applications qui exigent un accs direct aux mots de passe. De plus, Active Directory peut examiner le cache des codes de hachage prcdents de lutilisateur pour sassurer que son nouveau mot de passe est diffrent des anciens. Le nouveau mot de passe est compar un nombre danciens mots de passe dtermin par la stratgie Conserver lhistorique des mots de passe. Par dfaut, Windows conserve les 24 codes de hachage prcdents. Sil est dtermin quun utilisateur rutilise son mot de passe lissue de la priode dexpiration du mot de passe, il devra en changer 25 fois pour contourner lhistorique de mots de passe. Pour viter cela, la stratgie Dure de vie minimale du mot de passe spcifie la dure qui doit scouler entre les changements de mot de passe. Par dfaut, cette dure est dun jour. Par consquent, lutilisateur en question devra changer de mot de passe une fois par jour pendant 25 jours pour pouvoir rutiliser un mot de passe. Ce moyen de dissuasion savre gnralement efficace face ce type de comportement. Ces paramtres de stratgie (historique, dure de vie minimale et dure de vie maximale) affectent lutilisateur qui change de mot de passe. En revanche, ils nont pas deffet sur ladministrateur qui utilise la commande Rinitialiser le mot de passe pour modifier le mot de passe dun autre utilisateur.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-9
Points cls
Un intrus peut accder aux ressources de votre domaine en tablissant un nom dutilisateur et un mot de passe valides. Les noms dutilisateur sont relativement faciles identifier, car la plupart des organisations les cre laide de ladresse lectronique, des initiales, des prnom et nom combins ou de lID des employs. Une fois en possession du nom dutilisateur, lintrus doit dterminer le mot de passe. Pour cela, il peut soit le deviner, soit tester diverses combinaisons de caractres ou de mots jusqu ce quil parvienne se connecter.
9-10
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Ce type dattaque, appel attaque en force brute, peut tre contrecarr en limitant le nombre de connexions incorrectes autorises. Cest exactement le principe des stratgies de verrouillage de compte. Les stratgies de verrouillage de compte sont situes dans le nud de lobjet GPO situ directement en dessous de Stratgie de mot de passe. Le nud Stratgie de verrouillage du compte est illustr dans la capture dcran suivante.
Les paramtres relatifs au verrouillage de compte sont au nombre de trois. Le premier, Seuil de verrouillage du compte, dtermine le nombre de tentatives de connexion non valides autorises dans un dlai spcifi par la stratgie Dure de verrouillage des comptes. Si une attaque engendre un nombre dchecs de connexion suprieur dans le dlai imparti, le compte dutilisateur est verrouill. Ds lors quun compte est verrouill, Active Directory refuse systmatiquement toute connexion ce compte, mme si le mot de passe spcifi est correct. Un administrateur peut dverrouiller un compte dutilisateur verrouill. Vous pouvez galement configurer Active Directory pour permettre le dverrouillage automatique du compte aprs un dlai spcifi par le paramtre de stratgie Rinitialiser le compteur de verrouillage du compte aprs.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-11
Points cls
Active Directory prend en charge un seul ensemble de stratgies de mot de passe et de verrouillage par domaine. Ces stratgies sont configures dans un objet GPO tendu au domaine. Un nouveau domaine contient un objet GPO appel Stratgie de domaine par dfaut. Celui-ci est li au domaine et il contient les paramtres par dfaut des stratgies de mot de passe, de verrouillage de compte et Kerberos. Vous pouvez modifier ces paramtres en modifiant la stratgie de domaine par dfaut. La meilleure pratique consiste modifier lobjet GPO Stratgie de domaine par dfaut pour spcifier les paramtres de stratgie de mot de passe de votre organisation. Vous devez galement utiliser lobjet GPO Stratgie de domaine par dfaut pour spcifier les stratgies de verrouillage de compte et les stratgies Kerberos. En revanche, nutilisez pas lobjet GPO Stratgie de domaine par dfaut pour dployer dautres paramtres de stratgie personnalise. En dautres termes, lobjet GPO Stratgie de domaine par dfaut dfinit les stratgies de mot de passe, de verrouillage de compte et Kerberos pour le domaine, et rien dautre. Par ailleurs, les stratgies de mot de passe, de verrouillage de compte ou Kerberos du domaine ne doivent pas tre dfinies dans un autre objet GPO.
9-12
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Les paramtres de mot de passe configurs dans la stratgie de domaine par dfaut affectent tous les comptes dutilisateurs du domaine. Toutefois, ces paramtres peuvent tre remplacs par les proprits relatives aux mots de passe des comptes dutilisateurs individuels. Sous longlet Compte de la bote de dialogue Proprits dun utilisateur, vous pouvez spcifier des paramtres tels que Le mot de passe nexpire jamais ou Enregistrer les mots de passe en utilisant un chiffrement rversible. Par exemple, si cinq utilisateurs disposent dune application qui exige un accs direct leurs mots de passe, vous pouvez configurer les comptes de ces utilisateurs pour quils stockent leurs mots de passe en utilisant le chiffrement rversible.
Lectures complmentaires
Guide de scurit Windows Server 2003, chapitre 3 : Stratgie de domaine : http://go.microsoft.com/fwlink/?LinkId=99492
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-13
Scnario
Configurez les stratgies de compte de domaine de faon respecter les exigences de mot de passe suivantes : longueur minimale de 8 caractres ; conformit avec les exigences de complexit par dfaut de Windows ; changement de mot de passe utilisateur tous les 90 jours ; pas plus dun changement de mot de passe par semaine et par utilisateur ; pas de rutilisation possible dun mme mot de passe avant une anne.
9-14
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
tapes de la dmonstration
1. Excutez la Console de gestion des stratgies de groupe avec des informations didentification dadministration puis, dans larborescence de la console, dveloppez Fort:contoso.com, Domaines et contoso.com. Cliquez avec le bouton droit sur Stratgie de domaine par dfaut en dessous du domaine, contoso.com, puis cliquez sur Modifier. Dans larborescence de la console diteur de gestion des stratgies de groupe, dveloppez Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit et Stratgies de compte, puis cliquez sur Stratgie de mot de passe. Double-cliquez sur les paramtres de stratgie suivants dans le volet dinformations de la console, puis configurez les paramtres comme indiqu : 5. 6. Conserver lhistorique des mots de passe : 53 mots de passe mmoriss Dure de vie maximale du mot de passe : 90 jours Dure de vie minimale du mot de passe : 7 jours Longueur minimale du mot de passe : 8 caractres Les mots de passe doivent respecter des exigences de complexit : Activ
2. 3.
4.
Fermez la fentre diteur de gestion des stratgies de groupe. Fermez la fentre Gestion des stratgies de groupe.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-15
Points cls
Vous pouvez remplacer la stratgie de mot de passe et de verrouillage du domaine par le biais dune nouvelle fonctionnalit de Windows Server 2008 appele stratgie de mot de passe et de verrouillage affine, souvent abrge sous la forme stratgie de mot de passe affine. La stratgie de mot de passe affine permet de configurer une stratgie qui sapplique un ou plusieurs groupes ou utilisateurs du domaine. La stratgie de mot de passe affine est une adjonction Active Directory trs attendue. Elle peut tre utilise dans plusieurs scnarios afin damliorer la scurit de votre domaine. Les comptes utiliss par les administrateurs sont des privilges dlgus qui permettent de modifier les objets dans Active Directory ; par consquent, si un intrus compromet le compte dun administrateur, les dommages subis au niveau du domaine sont potentiellement plus importants que sil sagit dun compte dun utilisateur standard. Cest pourquoi, vous avez tout intrt mettre en uvre des exigences de mot de passe plus strictes pour les comptes administratifs. Par exemple, vous pouvez exiger une longueur de mot de passe suprieure et des changements de mot de passe plus frquents.
9-16
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Un autre type de compte qui ncessite un traitement spcial dans un domaine est celui utilis par les services, tels que SQL Server. Un service excute ses tches partir dinformations didentification constitues dun nom dutilisateur et dun mot de passe, qui doivent tre authentifies exactement comme celles dun utilisateur humain. Toutefois, la plupart des services ntant pas en mesure de changer de mot de passe, les administrateurs configurent les comptes de service en ayant activ loption Le mot de passe nexpire jamais. Si un mot de passe de compte est appel ne pas changer, veillez ce quil soit difficile compromettre. Vous pouvez par exemple utiliser des stratgies de mot de passe affines afin de spcifier une longueur de mot de passe minimale importante.
Lectures complmentaires
Services de domaine Active Directory : Stratgies de mot de passe affines : http://go.microsoft.com/fwlink/?LinkId=99500
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-17
Points cls
Les paramtres grs par la stratgie de mot de passe affine sont identiques ceux contenus dans les nuds Stratgie de mot de passe et Stratgies de comptes dun objet GPO. Cependant, les stratgies de mot de passe affines ne sont pas mises en uvre dans le cadre de la Stratgie de groupe, pas plus quelles ne sont appliques dans le cadre dun objet GPO. De fait, il existe dans Active Directory une classe distincte dobjet qui gre les paramtres relatifs la stratgie de mot de passe affine : lobjet PSO (Password Settings Object). La plupart des objets Active Directory peuvent tre grs laide doutils dots dune interface graphique utilisateur conviviale, tels que le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Nanmoins, la gestion des objets PSO se fait laide doutils de bas niveau comme notamment ADSIEdit, lditeur dinterface ADSI (Active Directory Service Interface).
9-18
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Vous pouvez crer un ou plusieurs objets PSO dans votre domaine. Chaque objet PSO contient un jeu complet de paramtres de stratgie de mot de passe et de verrouillage. Vous pouvez appliquer un objet PSO en le liant un ou plusieurs utilisateurs ou groupes de scurit globale. Par exemple, pour configurer une stratgie de mot de passe stricte pour les comptes administratifs, crez un groupe de scurit globale, ajoutez-y les comptes dutilisateurs de service en tant que membres, puis liez un objet PSO au groupe. Il est plus facile dappliquer des stratgies de mot de passe affines un groupe de cette faon que de les appliquer individuellement chaque compte dutilisateur. Si vous crez un nouveau compte de service, il vous suffit de lajouter au groupe pour quil soit aussitt gr par lobjet PSO. Pour utiliser une stratgie de mot de passe affine, votre domaine doit se trouver au niveau fonctionnel de domaine Windows Server 2008, ce qui signifie que tous les contrleurs de domaine de votre domaine excutent Windows Server 2008, et le niveau fonctionnel de domaine a t augment pour passer Windows Server 2008. Pour vrifier et modifier le niveau fonctionnel de domaine : 1. 2. 3. Ouvrez Domaines et approbations Active Directory. Dans larborescence de la console, dveloppez Domaines et approbations Active Directory, puis dveloppez larborescence jusqu atteindre le domaine. Cliquez avec le bouton droit sur le domaine, puis choisissez Augmenter le niveau fonctionnel du domaine.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-19
tapes de la dmonstration
1. Excutez Utilisateurs et ordinateurs Active Directory avec des informations didentification dadministration et vrifiez que le Niveau fonctionnel du domaine actuel est Windows Server 2008. Excutez Modification ADSI avec des informations didentification dadministration, le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion. Acceptez toutes les valeurs par dfaut. Cliquez sur OK. Dans larborescence de la console, cliquez sur Contexte dattribution de noms par dfaut. Dans larborescence de la console, dveloppez Contexte dattribution de noms par dfaut, cliquez sur DC=contoso,DC=com, puis sur CN=System.
2.
3. 4. 5. 6.
9-20
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
7.
Dans larborescence de la console, dveloppez CN=System, puis cliquez sur CN=Password Settings Container. Tous les objets PSO sont crs et stocks dans la classe dobjets PSC (Password Settings Container).
8.
Cliquez avec le bouton droit sur PSC, pointez sur Nouveau, puis cliquez sur Objet. La bote de dialogue Crer un objet saffiche. Vous tes invit slectionner le type dobjet crer. Il ny a quun seul choix : msDS-PasswordSettings (nom technique de la classe dobjets rfrence en tant quobjet PSO).
9.
Cliquez sur Suivant. Vous tes ensuite invit indiquer la valeur de chaque attribut dun objet PSO. Ces attributs sont comparables ceux rencontrs dans les stratgies de compte de domaine.
10. Configurez chaque attribut comme indiqu ci-dessous. Cliquez sur Suivant aprs chaque attribut. cn: My Domain Admins PSO. Il sagit du nom commun de lobjet PSO. msDS-PasswordSettingsPrecedence: 1. Cet objet PSO prsente la priorit la plus leve possible. msDS-PasswordReversibleEncryptionEnabled: False. Le mot de passe nest pas stock en utilisant le chiffrement rversible. msDS-PasswordHistoryLength: 30. Lutilisateur ne peut rutiliser aucun des 30 derniers mots de passe. msDS-PasswordComplexityEnabled: True. Les rgles de complexit de mot sappliquent. msDS-MinimumPasswordLength: 15. Les mots de passe doivent tre constitus dau moins 15 caractres. msDS-MinimumPasswordAge: 1:00:00:00. Un utilisateur ne peut pas changer de mot de passe dans le jour qui suit une premire modification. Le format est j:hh:mm:ss (jours, heures, minutes, secondes). msDS-MaximumPasswordAge: 45:00:00:00. Le mot de passe doit tre modifi tous les 45 jours. msDS-LockoutThreshold: 5. Cinq ouvertures de session non valides dans un dlai spcifi par XXX (attribut suivant) entrane un verrouillage de compte.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-21
msDS-LockoutObservationWindow: 0:01:00:00. Cinq ouvertures de session non valides (spcifi par lattribut prcdent) en lespace dune heure entrane un verrouillage de compte. msDS-LockoutDuration: 1:00:00:00. Un compte verrouill le reste pendant une heure sil nest pas dverrouill avant manuellement. Si la valeur est gale zro, le compte reste verrouill jusqu ce quun administrateur le dverrouille.
11. Cliquez sur Terminer et fermez Modification ADSI. 12. Excutez Utilisateurs et ordinateurs Active Directory comme auparavant puis, dans larborescence de la console, dveloppez le conteneur System. Si le conteneur System nest pas visible, cliquez sur le menu Affichage de la console MMC, puis assurez-vous que Fonctionnalits avances est slectionn. 13. Dans larborescence de la console, cliquez sur Password Settings Container. 14. Cliquez avec le bouton droit sur My Domain Admins PSO, cliquez sur Proprits, puis sur longlet diteur dattributs. 15. Dans la liste Attributs, slectionnez msDS-PSOAppliesTo, puis cliquez sur Modifier. La bote de dialogue diteur valeurs multiples de noms uniques avec entits de scurit saffiche. 16. Cliquez sur Ajouter un compte Windows. La bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les groupes saffiche. 17. Tapez Domain Admins, puis appuyez sur Entre. 18. Cliquez sur OK deux reprises et fermez les botes de dialogue ouvertes. 19. Dans larborescence de la console, dveloppez le domaine contoso.com et lUO Admins, puis cliquez sur lUO Admin Identities. 20. Cliquez avec le bouton droit sur Pat Coleman (Administrateur), puis cliquez sur Proprits. 21. Cliquez sur longlet diteur dattributs. 22. Cliquez sur le bouton Filtrer, puis sur loption Construit de faon lactiver. 23. Ouvrez la valeur de lattribut msDS-ResultantPSO.
Lectures complmentaires
Guide pas pas relatif la configuration des stratgies de verrouillage de compte et de mot de passe affines : http://go.microsoft.com/fwlink/?LinkId=113764
9-22
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Un objet PSO peut tre li plusieurs groupes ou utilisateurs, un groupe ou un utilisateur individuel peut comporte plusieurs objets PSO lis et un utilisateur peut appartenir plusieurs groupes. Compte tenu de cela, quels sont les paramtres de stratgie de mot de passe et de verrouillage affine qui sappliquent un utilisateur ? Un seul et mme objet PSO dtermine les paramtres de mot de passe et de verrouillage dun utilisateur. Cet objet PSO est appel objet PSO rsultant. Chaque objet PSO possde un attribut qui dtermine la priorit des objets PSO. La valeur de priorit est un nombre suprieur 0, le nombre 1 indiquant la priorit la plus leve. Si plusieurs objets PSO sappliquent un utilisateur, cest lobjet dont la priorit est la plus leve qui prend effet. Les rgles qui dterminent la priorit sont les suivantes : Si plusieurs objets PSO sappliquent aux groupes dappartenance dun utilisateur, cest lobjet dont la priorit est la plus leve qui lemporte. Si un ou plusieurs objets PSO sont lis directement lutilisateur, les objets PSO lis aux groupes sont ignors, quelle que soit leur priorit. Cest lobjet PSO li lutilisateur dont la priorit est la plus leve qui lemporte.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-23
Si un ou plusieurs objets PSO ont la mme valeur de priorit, Active Directory doit faire un choix. Il choisit lobjet PSO dont lidentificateur global unique (GUID) est le plus bas. Les GUID sapparentent des numros de srie pour objets Active Directory (un GUID ne peut pas tre partag par deux objets). Les GUID nayant aucune signification particulire (ce sont uniquement des identificateurs), la dcision de choisir lobjet avec le GUID le plus bas est totalement arbitraire. Vous devez configurer les objets PSO avec des valeurs de priorit uniques et spcifiques pour viter ce cas de figure.
Ces rgles dterminent lobjet PSO rsultant. Active Directory expose lobjet PSO rsultant dans un attribut dobjet utilisateur, msDS-ResultantPSO, de sorte que vous puissiez identifier facilement lobjet PSO qui affectera un utilisateur. Les objets PSO contiennent tous les paramtres de mot de passe et de verrouillage. Les paramtres ne sont donc ni hrits, ni fusionns. Lobjet PSO rsultant est lobjet PSO qui fait autorit. Pour examiner lattribut msDS-ResultantPSO dun utilisateur : 1. 2. 3. 4. 5. Assurez-vous que Fonctionnalits avances est activ dans le menu Affichage. Ouvrez les proprits du compte dutilisateur. Cliquez sur longlet diteur dattributs. Cliquez sur le bouton Filtrer et assurez-vous que Construit est slectionn. Recherchez lattribut msDS-ResultantPSO.
Objets PSO, UO et groupes instantans Les objets PSO peuvent tre lis des groupes de scurit globale ou des utilisateurs. Les objets PSO ne peuvent pas tre lis des UO. Si vous souhaitez appliquer des stratgies de mot de passe et de verrouillage aux utilisateurs dune UO, vous devez crer un groupe de scurit globale qui inclue tous les utilisateurs de lUO. Ce type de groupe est appel groupe instantan : son appartenance est une reproduction de lappartenance dune UO.
9-24
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
Lquipe responsable de la scurit chez Contoso vous a charg damliorer la scurit et de contrler lauthentification pour le domaine AD DS de lentreprise. Plus spcifiquement, vous devez appliquer une stratgie de mot de passe prcise pour tous les comptes dutilisateurs, ainsi quune stratgie de mot de passe plus stricte pour des comptes administratifs sensibles sur le plan de la scurit.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-25
Configurez le paramtre de stratgie de verrouillage de compte ci-dessous. Conservez les valeurs par dfaut des autres paramtres. Seuil de verrouillage de compte : 5 tentatives douverture de session non valides.
5.
Fermez lditeur de gestion des stratgies de groupe et la Gestion des stratgies de groupe.
Rsultats : lissue de cet exercice, vous aurez configur de nouveaux paramtres pour les stratgies de comptes du domaine.
9-26
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3. 4. 5. 6. 7. 8. 9.
10. Dveloppez CN=System, puis slectionnez CN=Password Settings Container. Tous les objets PSO sont crs et stocks dans la classe dobjets PSC (Password Settings Container).
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-27
11. Cliquez avec le bouton droit sur PSC, puis choisissez Nouveau, Objet. La bote de dialogue Crer un objet saffiche. Vous tes invit slectionner le type dobjet crer. Il ny a quun seul choix : msDS-PasswordSettings (nom technique de la classe dobjets rfrence en tant quobjet PSO). 12. Cliquez sur Suivant. Vous tes ensuite invit indiquer la valeur de chaque attribut dun objet PSO. Ces attributs sont comparables ceux rencontrs dans les stratgies de compte de domaine. 13. Configurez chaque attribut comme indiqu ci-dessous. Cliquez sur Suivant aprs chaque attribut. Common-Name : My Domain Admins PSO. Il sagit du nom convivial de lobjet PSO. msDS-PasswordSettingsPrecedence: 1. Cet objet PSO prsente la priorit la plus leve possible. msDS-PasswordReversibleEncryptionEnabled: False. Le mot de passe nest pas stock en utilisant le chiffrement rversible. msDS-PasswordHistoryLength: 30. Lutilisateur ne peut rutiliser aucun des 30 derniers mots de passe. msDS-PasswordComplexityEnabled: True. Les rgles de complexit de mot sappliquent. msDS-MinimumPasswordLength: 15. Les mots de passe doivent tre constitus dau moins 15 caractres. msDS-MinimumPasswordAge: 1:00:00:00. Un utilisateur ne peut pas changer de mot de passe dans le jour qui suit une premire modification. Le format est j:hh:mm:ss (jours, heures, minutes, secondes). msDS-MaximumPasswordAge: 45:00:00:00. Le mot de passe doit tre modifi tous les 45 jours. msDS-LockoutThreshold: 5. Cinq ouvertures de session non valides dans un dlai spcifi par XXX (attribut suivant) entrane un verrouillage de compte. msDS-LockoutObservationWindow: 0:01:00:00. Cinq ouvertures de session non valides (spcifi par lattribut prcdent) en lespace dune heure entrane un verrouillage de compte. msDS-LockoutDuration: 1:00:00:00. Un compte verrouill le reste pendant une heure sil nest pas dverrouill avant manuellement. Si la valeur est gale zro, le compte reste verrouill jusqu ce quun administrateur le dverrouille.
9-28
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2.
2.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-29
3.
Cliquez sur le bouton Filtrer et assurez-vous que Construit est slectionn. Lattribut que vous trouverez ltape suivante est un attribut construit, ce qui signifie que lobjet PSO rsultant nest pas un attribut cod en dur dutilisateur ; il est calcul en examinant les objets PSO lis un utilisateur en temps rel.
2.
Remarque : ne fermez pas lordinateur virtuel lissue de cet atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans les prochains ateliers pratiques de ce module.
9-30
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Leon 2
Audit de l'authentification
Windows Server 2008 permet galement deffectuer laudit de lactivit de connexion des utilisateurs dun domaine. En effectuant laudit des connexions russies, vous pouvez rechercher les cas o un compte est utilis des heures inhabituelles ou dans des lieux inattendus, ce qui peut indiquer quun intrus se connecte au compte. Laudit des connexions ayant chou peut rvler des tentatives de compromission de compte par des intrus. Dans cette leon, vous allez apprendre configurer laudit de lauthentification de connexion.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : configurer laudit des activits lies lauthentification ; faire la distinction entre les vnements de connexion de comptes et les vnements Ouverture de session ; identifier les vnements lis l'authentification dans le journal de scurit ;
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-31
Points cls
Cette leon examine deux paramtres de stratgie spcifiques : Auditer les vnements de connexion aux comptes et Auditer les vnements de connexion. Il est important de comprendre la diffrence entre ces deux paramtres de stratgie pourtant si proches par leur nom. Lorsquun utilisateur essaie douvrir une session sur un ordinateur du domaine en utilisant un compte dutilisateur du domaine, un contrleur de domaine authentifie la tentative de connexion au compte du domaine. Cette opration gnre un vnement de connexion de compte sur le contrleur de domaine. Lordinateur sur lequel lutilisateur ouvre une session (p.ex., lordinateur portable de lutilisateur) gnre un vnement de connexion. Lordinateur na pas authentifi lutilisateur par rapport son compte : il a transfr le compte un contrleur de domaine pour tre valid. En revanche, lordinateur a autoris lutilisateur sy connecter de faon interactive. Par consquent, lvnement est un vnement de connexion.
9-32
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Lorsque lutilisateur se connecte un dossier sur un serveur du domaine, ce serveur autorise lutilisateur pour un type de connexion appel ouverture de session rseau. L encore, le serveur nauthentifie pas lutilisateur : il se fie au ticket fourni lutilisateur par le contrleur de domaine. Cependant, la connexion de lutilisateur gnre un vnement de connexion sur le serveur.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-33
Points cls
Les vnements de connexion aux comptes et les vnements de connexion peuvent tre audits par Windows Server 2008. Ces paramtres qui grent laudit sont situs dans un objet GPO dans le nud Configuration ordinateur > Stratgies > Paramtres Windows > Paramtres de scurit > Stratgies locales > Stratgie daudit. Le nud Stratgie daudit et les deux paramtres sont illustrs dans la capture dcran suivante.
9-34
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Pour configurer une stratgie daudit, double-cliquez sur la stratgie pour faire apparatre ses proprits dans une bote de dialogue. La bote de dialogue Proprits de Auditer les vnements de connexion aux comptes est illustre dans la capture dcran suivante.
Le paramtre de stratgie peut tre associ lun des quatre tats suivants : Non dfini : si la case cocher Dfinir ces paramtres de stratgie est dsactive, le paramtre de stratgie nest pas dfini. Dans ce cas, le serveur pratiquera laudit de lvnement en fonction de ses paramtres par dfaut ou des paramtres spcifis dans un autre objet GPO. Audit non dfini : si la case cocher Dfinir ces paramtres de stratgie est active, mais que les cases cocher Russite et chec sont dsactives, le serveur nassurera pas laudit de lvnement. Audit des vnements russis : si la case cocher Dfinir ces paramtres de stratgie est active et que la case cocher Russite est active, le serveur enregistrera les vnements russis dans son journal Scurit. Audit des vnements ayant chou : si la case cocher Dfinir ces paramtres de stratgie est active et que la case cocher chec est active, le serveur enregistrera les vnements non russis dans son journal Scurit.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-35
Le comportement daudit dun serveur est dtermin par lun de ces quatre paramtres appliqu comme jeu de stratgie rsultant. Dans Windows Server 2008, le paramtre par dfaut procde laudit des vnements de connexion aux comptes russis et des vnements de connexion russis. Ainsi, les vnements des deux types sont entrs dans le journal Scurit du serveur dans la mesure o il sagit dvnements russis. Si vous souhaitez effectuer laudit des checs ou dsactiver laudit, vous devez dfinir le paramtre appropri dans la stratgie daudit.
9-36
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Comme pour tous les paramtres de stratgie, vous devez veiller dfinir la porte des paramtres de sorte quils sappliquent aux systmes appropris. Par exemple, si vous voulez effectuer laudit des tentatives de connexion des utilisateurs aux serveurs Bureau distance, vous pouvez configurer laudit des vnements de connexion dans un objet GPO li lUO qui contient vos serveurs Bureau distance. En revanche, si vous souhaitez effectuer laudit des connexions des utilisateurs aux ordinateurs de bureau de votre dpartement Ressources humaines, vous pouvez configurer laudit des vnements de connexion dans un objet GPO li lUO contenant les objets ordinateur des ressources humaines. Gardez lesprit que les utilisateurs du domaine qui se connectent un ordinateur client ou un serveur gnrent un vnement de connexion (et non un vnement de connexion un compte) sur ce systme.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-37
Seuls les contrleurs de domaine gnrent des vnements de connexion aux comptes pour les utilisateurs du domaine. Noubliez pas quun vnement de connexion un compte se produit sur le contrleur de domaine qui authentifie un utilisateur du domaine, quel que soit lendroit partir duquel cet utilisateur se connecte. Si vous souhaitez effectuer laudit des connexions aux comptes du domaine, vous devez dfinir la porte de cet audit de sorte quil affecte uniquement les contrleurs du domaine. En fait, lobjet GPO Contrleurs de domaine par dfaut qui est cr lorsque vous installez votre premier contrleur de domaine est un objet GPO idal pour y configurer des stratgies daudit de connexion aux comptes.
9-38
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Dans la mesure o ils font lobjet dun audit, les vnements de connexion aux comptes et les vnements de connexion apparaissent dans le journal Scurit du systme qui a gnr ces vnements. Un exemple est illustr dans la capture dcran suivante.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-39
Ainsi, si vous effectuez laudit des ouvertures de session sur les ordinateurs du dpartement Ressources humaines, les vnements sont entrs dans le journal Scurit de chaque ordinateur. De la mme manire, si vous assurez laudit des connexions aux comptes ayant chou dans le but didentifier les tentatives dintrusion potentielles, les vnements sont entrs dans le journal Scurit de chaque contrleur de domaine. Cela signifie que, par dfaut, vous devrez examiner les journaux Scurit de tous les contrleurs de domaine afin dobtenir un aperu complet des vnements de connexion aux comptes de votre domaine. Il va sans dire que dans un environnement complexe constitu de plusieurs contrleurs de domaine et de nombreux utilisateurs, laudit des connexions aux comptes ou des connexions peut gnrer un nombre dvnements incalculable. La prsence dvnements trop nombreux peut rendre difficile lidentification dvnements suspects qui mriteraient un examen plus attentif. Vous devez trouver un compromis entre le volume dinformations journalises, les exigences de scurit de votre entreprise et les ressources dont vous disposez pour analyser les vnements enregistrs.
9-40
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
Lquipe responsable de la scurit chez Contoso vous a charg damliorer la scurit et de contrler lauthentification pour le domaine AD DS de lentreprise. Plus prcisment, vous devez crer une piste daudit des connexions.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-41
3.
9-42
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-43
Question : quel ID dvnement est associ aux vnements dchec de connexion aux comptes ? (Conseil : recherchez la premire srie dvnements dchec au moment o vous vous tes connect de manire incorrecte SERVER01.) Question : quel est lID dvnement qui est associ la connexion russie au compte ? (Conseil : recherchez la premire srie dvnements au moment o vous vous tes connect de manire incorrecte SERVER01.)
2.
Question : quel est lID dvnement qui est associ aux vnements dchec de connexion ? (Conseil : recherchez la premire srie dvnements dchec au moment o vous vous tes connect de manire incorrecte SERVER01.) Question : quel est lID dvnement qui est associ la connexion russie ? (Conseil : recherchez la premire srie dvnements au moment o vous vous tes connect de manire incorrecte SERVER01.)
Rsultats : lissue de cet exercice, vous aurez tabli et analys laudit des connexions russies et en chec au domaine et aux serveurs dans lUO Projet important.
Remarque : ne fermez pas lordinateur virtuel lissue de cet atelier pratique. Les paramtres que vous y avez configurs seront rutiliss dans les prochains ateliers pratiques de ce module.
9-44
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-45
Leon 3
Pour le personnel informatique dune entreprise, les filiales posent un problme unique : faut-il placer un contrleur de domaine dans une filiale qui est spare du site central par une liaison de rseau tendu (WAN, wide area network) ? Avec les versions prcdentes de Windows, il ntait pas simple de rpondre cette question. En revanche, Windows Server 2008 permet de rpondre plus facilement cette question grce au nouveau type de contrleur de domaine quil introduit : le contrleur de domaine en lecture seule. Dans cette leon, vous allez explorer les problmes lis lauthentification des filiales et au placement des contrleurs de domaine, et vous apprendrez implmenter un contrleur de domaine en lecture seule de filiale et en assurer le support.
9-46
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : identifier les besoins de lentreprise en matire de contrleurs de domaine en lecture seule ; installer un contrleur de domaine en lecture seule ; configurer une stratgie de rplication de mot de passe ; contrler la mise en cache des informations didentification sur un contrleur de domaine en lecture seule.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-47
Points cls
Imaginons le cas dune entreprise constitue dun site central et de plusieurs filiales. Les filiales se connectent au site central au moyen de liaisons WAN qui peuvent tre congestionnes, coteuses, lentes ou peu fiables. Dans les filiales, les utilisateurs doivent tre authentifis par Active Directory pour pouvoir accder aux ressources du domaine. Faut-il placer un contrleur de domaine dans les filiales ? Dans les filiales, bon nombre de services informatiques sont centraliss sur le site central, dont la maintenance est soigneusement assure par le personnel informatique. Dans les grandes organisations, le site central peut comporter un centre de donnes robuste. Toutefois, les filiales sont souvent des sites de plus petite taille qui sont dpourvus de centre de donnes. De fait, hormis quelques serveurs, il est rare que les filiales disposent de ressources informatiques importantes. Elles ne disposent pas ncessairement dinstallations physiquement scurises pour abriter des serveurs de filiale. Le personnel informatique sur place, si tant est quil en existe un, nest pas suffisant pour assurer le support des serveurs.
9-48
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
En labsence dun contrleur de domaine dans la filiale, les activits dauthentification et de ticket de service sont diriges vers le site central via la liaison WAN. Lauthentification se produit lorsquun utilisateur ouvre la premire session sur son ordinateur le matin. Les tickets de service sont une composante du mcanisme dauthentification Kerberos utilis par les domaines Windows Server 2008. Vous pouvez considrer un ticket de service comme une cl mise par le contrleur de domaine pour un utilisateur. La cl permet lutilisateur de se connecter un service, tel que le service de fichiers et dimpression, sur un serveur de fichiers. Lorsquun utilisateur essaie daccder pour la premire fois un service spcifique, le client de lutilisateur demande ce qui sappelle un ticket de service auprs du contrleur de domaine. Comme les utilisateurs se connectent gnralement plusieurs services au cours dune mme journe de travail, lactivit de ticket de service se rpte rgulirement. Lactivit dauthentification et de ticket de service sur la liaison WAN entre une filiale et un site central peut entraner des ralentissements et nuire la fiabilit. Si la prsence dun contrleur de domaine dans la filiale permet une authentification bien plus efficace, cette solution prsente plusieurs risques srieux. En effet, un contrleur de domaine conserve une copie de tous les attributs de lensemble des objets du domaine, y compris des informations confidentielles telles que les mots de passe des utilisateurs. En cas daccs au contrleur de domaine voire de vol de ce dernier, il devient possible pour un expert dtermin didentifier des noms dutilisateur et des mots de passe valides, ce qui compromettra le domaine tout entier. Au minimum, vous devez rinitialiser les mots de passe de chaque compte dutilisateur du domaine. La scurit des serveurs au niveau des filiales tant souvent dfaillante, un contrleur de domaine de filiale pose un risque de scurit considrable. Autre source de proccupation : les modifications apportes la base de donnes Active Directory sur un contrleur de domaine de filiale sont rpliques sur le site central et sur tous les autres contrleurs de domaine de lenvironnement. Par consquent, la corruption dun contrleur de domaine de filiale constitue un risque pour lintgrit du service dannuaire de lentreprise. Par exemple, si ladministrateur dune filiale restaure le contrleur de domaine partir dune sauvegarde obsolte, les rpercussions au niveau du domaine tout entier risquent dtre importantes. Le troisime sujet dinquitude concerne ladministration. Un contrleur de domaine de filiale peut ncessiter des oprations de maintenance, par exemple, linstallation dun nouveau pilote de priphrique. Pour pouvoir raliser des oprations de maintenance sur un contrleur de domaine standard, vous devez ouvrir une session en tant que membre du groupe Administrateurs sur le contrleur de domaine, ce qui signifie que vous tes de facto un administrateur du domaine. Or, loctroi dun tel niveau de prrogative une quipe de support de filiale nest pas forcment indiqu.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-49
Points cls
Devant ces diffrents sujets dinquitude (scurit, intgrit du service dannuaire et administration) et du fait de labsence de recommandations, bon nombre dentreprises se sont trouves face des incertitudes. Avec Windows Server 2008 est apparu le contrleur de domaine en lecture seule, qui a t spcialement conu pour rpondre aux besoins des filiales. Un contrleur de domaine en lecture seule est un contrleur de domaine qui prend gnralement place dans une filiale. Il conserve une copie de tous les objets du domaine et de tous les attributs, lexception dinformations confidentielles telles que les proprits relatives aux mots de passe. Lorsquun utilisateur de la filiale ouvre une session, le contrleur de domaine en lecture seule reoit la demande et la transfre un contrle de domaine sur le site central pour tre authentifie.
9-50
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Vous pouvez configurer une stratgie de rplication de mot de passe pour le contrleur de domaine en lecture seule qui spcifie les comptes dutilisateurs que ce dernier est autoris mettre en cache. Si lutilisateur qui ouvre une session est inclus dans la stratgie de rplication de mot de passe, le contrleur de domaine en lecture seule met en cache les informations didentification de lutilisateur, ce qui lui permet deffectuer la tche en local la prochaine demande dauthentification. mesure que les utilisateurs inclus dans la stratgie de rplication de mot de passe ouvrent une session, le contrleur de domaine en lecture seule se constitue un cache dinformations didentification et peut ainsi procder lauthentification de ces utilisateurs en local. Sachez que le contrleur de domaine en lecture seule conserve uniquement un sous-ensemble dinformations didentification. Autrement dit, si le contrleur de domaine en lecture seule est compromis ou vol, le risque de scurit est limit : seuls les mots de passe des comptes dutilisateurs qui ont t mis en cache sur le contrleur de domaine en lecture seule doivent tre modifis. Le contrleur de domaine en lecture seule rplique les modifications dans Active Directory partir des contrleurs de domaine du site central. La rplication est unidirectionnelle. Aucune des modifications apportes au contrleur de domaine en lecture seule nest rplique sur un autre contrleur de domaine. Cela limine tout risque de corruption du service dannuaire du fait de modifications apportes un contrleur de domaine de filiale compromis. Enfin, il existe sur les contrleurs de domaine en lecture seule lquivalent dun groupe Administrateurs local. Vous pouvez accorder une ou plusieurs personnes du service de support local le droit de grer entirement un contrleur de domaine en lecture seule sans leur octroyer lquivalence des Admins de domaine.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-51
Points cls
Les principales tapes dinstallation dun contrleur de domaine en lecture seule sont les suivantes : 1. 2. 3. 4. Sassurer que le niveau fonctionnel de la fort est Windows Server 2003 ou une version suprieure. Si la fort prsente des contrleurs de domaine fonctionnant sous Windows Server 2003, excuter adprep /rodcprep. Sassurer quil existe au moins un contrleur de domaine accessible en criture fonctionnant sous Windows Server 2008. Installer le contrleur de domaine en lecture seule.
9-52
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Vrification et configuration du niveau fonctionnel de la fort (Windows Server 2003 ou version suprieure) Les niveaux fonctionnels activent des fonctionnalits uniques spcifiques aux versions de Windows. Les versions de Windows excutes sur les contrleurs de domaine sont donc dterminantes. Si tous les contrleurs de domaine sexcutent sous Windows Server 2003 ou une version ultrieure, le niveau fonctionnel de domaine peut tre dfini Windows Server 2003. Si tous les domaines sont au niveau fonctionnel de domaine Windows Server 2003, le niveau fonctionnel de la fort peut tre dfini Windows Server 2003. Les niveaux fonctionnels de domaine et de fort sont traits en dtail dans un autre module. Les contrleurs de domaine en lecture seule ncessitent un niveau fonctionnel de fort Windows Server 2003 ou version suprieure. Autrement dit, tous les contrleurs de domaine de la fort entire doivent excuter Windows Server 2003 ou une version ultrieure. Pour dterminer le niveau fonctionnel de votre fort : 1. 2. 3. Ouvrez Domaines et approbations Active Directory. Cliquez avec le bouton droit sur le nom de la fort, puis cliquez sur Proprits. Vrifiez le niveau fonctionnel de la fort, comme indiqu ci-dessous. Nimporte quel utilisateur peut vrifier le niveau fonctionnel de la fort en procdant de la sorte. Il nest pas ncessaire de disposer dinformations didentification dadministration pour consulter le niveau fonctionnel dune fort.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-53
Si le niveau fonctionnel de la fort nest pas au minimum Windows Server 2003, examinez les proprits de chaque domaine pour identifier celui ou ceux dont le niveau fonctionnel nest pas au moins Windows Server 2003. Si vous trouvez un domaine de ce type, vous devez vous assurer que tous les contrleurs de domaine excutent Windows Server 2003. Ensuite, dans Domaines et approbations Active Directory, cliquez avec le bouton droit sur le nom du domaine et choisissez Augmenter le niveau fonctionnel du domaine. Aprs avoir fait passer le niveau fonctionnel de chaque domaine au moins Windows Server 2003, cliquez avec le bouton droit sur le nud racine du composant logiciel enfichable Domaines et approbations Active Directory, puis choisissez Augmenter le niveau fonctionnel de la fort. Dans la liste droulante Slectionner un niveau fonctionnel de fort disponible, choisissez Windows Server 2003, puis cliquez sur Augmenter. Vous devez tre administrateur dun domaine pour pouvoir augmenter son niveau fonctionnel. Pour augmenter le niveau fonctionnel dune fort, vous devez soit tre membre du groupe Admins du domaine dans le domaine racine de la fort, soit faire partie du groupe Administrateurs de lentreprise. Excution de la commande ADPrep /RODCPrep Si vous dcidez de mettre niveau une fort existante de faon y inclure les contrleurs de domaine qui excutent Windows Server 2008, vous devez excuter adprep /rodcprep. Cette commande configure les autorisations pour permettre aux contrleurs de domaine en lecture seule de rpliquer les partitions dannuaire dapplications DNS. Les partitions dannuaire dapplications DNS sont traites dans un autre module. Si vous crez une nouvelle fort Active Directory et que tous les contrleurs de domaine sont appels excuter Windows Server 2008, vous navez pas besoin dexcuter adprep /rodcprep. La commande se trouve dans le dossier \sources\adprep du DVD dinstallation de Windows Server 2008. Copiez le dossier sur le contrleur de domaine qui fait office de contrleur de schma. Le rle de contrleur de schma est dcrit dans un autre module. Ouvrez une session sur le contrleur de schma en tant que membre du groupe Administrateurs de lentreprise, ouvrez une invite de commandes, modifiez les rpertoires en dsignant le dossier adprep, puis tapez adprep /rodcprep. Avant dexcuter adprep /rodcpep, vous devez excuter adprep /forestprep et adprep /domainprep. Voir le module 14 pour plus dinformations sur la prparation dun domaine et dune fort Windows Server 2003 pour le premier contrleur de domaine Windows Server 2008.
9-54
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Placement dun contrleur de domaine Windows Server 2008 accessible en criture Un contrleur de domaine en lecture seule doit rpliquer les mises jour de domaine partir dun contrleur de domaine accessible en criture excutant Windows Server 2008. Il est essentiel quun contrleur de domaine en lecture seule puisse tablir une connexion de rplication avec un contrleur de domaine Windows Server 2008 accessible en criture. Dans lidal, le contrleur de domaine Windows Server 2008 accessible en criture doit se trouver sur le site le plus proche (le site central). Si vous souhaitez que le contrleur de domaine en lecture seule joue le rle de serveur DNS, le contrleur de domaine Windows Server 2008 accessible en criture doit galement hberger la zone de domaine DNS. Installation dun contrleur de domaine en lecture seule Aprs avoir excut les tapes prparatoires, vous pouvez installer un contrleur de domaine en lecture seule. Celui-ci peut consister en une installation complte ou minimale de Windows Server 2008. Avec une installation complte de Windows Server 2008, vous pouvez utiliser lAssistant Installation des services de domaine Active Directory pour crer un contrleur de domaine en lecture seule. Il vous suffit de slectionner Contrleur de domaine en lecture seule (RODC) dans la page Options supplmentaires pour le contrleur de domaine, comme indiqu cidessous.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-55
Vous pouvez galement utiliser la commande dcpromo.exe avec le commutateur /unattend pour crer le contrleur de domaine en lecture seule. Sur une installation minimale de Windows Server 2008, vous devez utiliser la commande dcpromo.exe /unattend. Il est galement possible de dlguer linstallation du contrleur de domaine en lecture seule, ce qui permet un utilisateur qui nest pas administrateur de domaine de crer le contrleur de domaine en lecture seule, en ajoutant un nouveau serveur dans la filiale et en excutant dcpromo.exe. Pour dlguer linstallation dun contrleur de domaine en lecture seule, crez au pralable un compte dordinateur pour le contrleur de domaine en lecture seule dans lUO Domain Controllers et spcifiez les informations didentification qui seront utilises pour ajouter le contrleur de domaine en lecture seule au domaine. Cet utilisateur peut rattacher un serveur excutant Windows Server 2008 au compte du contrleur de domaine en lecture seule. Le serveur doit tre membre dun groupe de travail (pas du domaine) au moment de crer un contrleur de domaine en lecture seule via linstallation dlgue.
Lectures complmentaires
Pour plus dinformations sur les autres options dinstallation dun contrleur de domaine en lecture seule, y compris linstallation dlgue, voir http://go.microsoft.com/fwlink/?LinkId=168763.
9-56
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Ouvrez les proprits de BRANCHDC01-A dans lUO Domain Controllers. Cliquez sur longlet Stratgie de rplication de mot de passe. La stratgie de rplication de mot de passe dsigne les utilisateurs dont les informations didentification peuvent tre mises en cache sur un contrleur de domaine en lecture seule spcifique. Si la stratgie de rplication de mot passe autorise un contrleur de domaine en lecture seule mettre en cache les informations didentification dun utilisateur, les activits dauthentification et de ticket de service de cet utilisateur peuvent tre traites par le contrleur de domaine en lecture seule. Si les informations didentification dun utilisateur ne peuvent pas tre mises en cache sur le contrleur de domaine en lecture seule, celui-ci adresse les activits dauthentification et de ticket de service un contrleur de domaine accessible en criture.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-57
La stratgie de rplication de mot de passe dun contrleur de domaine en lecture seule est dtermine par deux attributs valeurs multiples du compte dordinateur du contrleur de domaine en lecture seule. Ces attributs sont connus sous le nom de liste verte et de liste dexclusion. Si le compte dun utilisateur se trouve dans la liste verte, les informations didentification de lutilisateur sont mises en cache. Vous pouvez inclure des groupes dans la liste verte. Dans ce cas, les informations didentification de tous les utilisateurs qui appartiennent au groupe peuvent tre mises en cache sur le contrleur de domaine en lecture seule. Si un utilisateur se trouve la fois dans la liste verte et dans la liste dexclusion, les informations didentification de cet utilisateur ne sont pas mises en cache, car la liste dexclusion est prioritaire. Configurer une stratgie de rplication de mot de passe lchelle dun domaine Pour faciliter la gestion dune stratgie de rplication de mot de passe, Windows Server 2008 cre deux groupes de scurit locale de domaine dans le conteneur Utilisateurs dActive Directory. Le premier, nomm Groupe de rplication dont le mot de passe RODC est autoris, est ajout la liste verte de chaque nouveau contrleur de domaine en lecture seule. Par dfaut, ce groupe ne possde aucun membre. Ainsi, par dfaut, un nouveau contrleur de domaine en lecture seule ne mettra en cache les informations didentification daucun utilisateur. Si vous voulez que les informations didentification de certains utilisateurs soient mises en cache par tous les contrleurs de domaine en lecture seule du domaine, ajoutez ces utilisateurs au Groupe de rplication dont le mot de passe RODC est autoris. Le deuxime groupe est nomm Groupe de rplication dont le mot de passe RODC est refus. Il est ajout la liste dexclusion de chaque nouveau contrleur de domaine en lecture seule. Si vous voulez faire en sorte que les informations didentification de certains utilisateurs ne soient jamais mises en cache par les contrleurs de domaine en lecture seule du domaine, ajoutez ces utilisateurs au Groupe de rplication dont le mot de passe RODC est refus. Par dfaut, ce groupe contient des comptes sensibles sur le plan de la scurit qui sont membres de groupes tels que Admins du domaine, Administrateurs de lentreprise et Propritaires crateurs de la stratgie de groupe.
Remarque : les ordinateurs aussi sont des acteurs. Ne perdez pas de vue que les utilisateurs ne sont pas les seuls gnrer une activit dauthentification et de ticket de service. Les ordinateurs dune filiale ont galement besoin de cette activit. Pour amliorer les performances des systmes dune filiale, autorisez aussi le contrleur de domaine en lecture seule de la filiale mettre en cache les informations didentification des ordinateurs.
9-58
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Configurer une stratgie de rplication de mot de passe spcifique un contrleur de domaine en lecture seule Les deux groupes dcrits dans la section prcdente fournissent une mthode qui permet de grer la stratgie de rplication de mot de passe sur tous les contrleurs de domaine en lecture seule. Toutefois, dans un scnario de filiale, il est recommand sinon ncessaire dautoriser le contrleur de domaine en lecture seule de chaque filiale mettre en cache les informations didentification des utilisateurs de ces sites. Vous devez donc configurer la liste verte et la liste dexclusion de chaque contrleur de domaine en lecture seule. Pour configurer la stratgie de rplication de mot de passe dun contrleur de domaine en lecture seule, accdez aux proprits du compte dordinateur du contrleur de domaine en lecture seule correspondant dans lUO Domain Controllers. Sous longlet Rplication de mot de passe, illustr dans la capture dcran ci-dessous, vous pouvez consulter les paramtres de la stratgie de rplication de mot de passe active et y ajouter ou supprimer des utilisateurs ou des groupes.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-59
tapes de la dmonstration
1. Excutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans lUO Domain Controllers, accdez aux proprits de BRANCHDC01. Cliquez sur longlet Rplication de mot de passe et examinez la stratgie par dfaut. Fermez la fentre de proprits de BRANCHDC01. Dans larborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur le conteneur Users. Double-cliquez sur Allowed RODC Password Replication Group. Accdez longlet Membres et examinez lappartenance par dfaut de Allowed RODC Password Replication Group. Cliquez sur OK. Double-cliquez sur Denied RODC Password Replication Group et accdez longlet Membres. Cliquez sur Annuler pour fermer la fentre de proprits du Denied RODC Password Replication Group.
2. 3. 4. 5. 6.
7. 8. 9.
9-60
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Dmonstration : Administration de la mise en cache des informations d'identification d'un contrleur de domaine en lecture seule
Points cls
Pour les besoins de cette dmonstration, utilisez lordinateur virtuel BRANCHDC01, puis ouvrez Utilisation de la stratgie.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-61
Lorsque vous cliquez sur le bouton Avanc sous longlet Stratgie de rplication de mot de passe dun contrleur de domaine en lecture seule, la bote de dialogue Stratgie de rplication de mot de passe avance saffiche lcran. Un exemple est illustr dans la capture dcran suivante.
La liste droulante situe dans la partie suprieure de longlet Utilisation de la stratgie vous permet de slectionner lun des deux rapports pour le contrleur de domaine en lecture seule : Comptes dont les mots de passe sont stocks sur ce contrleur de domaine en lecture seule : affiche la liste des informations didentification dutilisateurs et dordinateurs actuellement en cache sur le contrleur de domaine en lecture seule. Cette liste permet didentifier les informations didentification mises en cache sur le contrleur de domaine en lecture seule et qui ne doivent pas ltre, et de modifier la stratgie de rplication de mot de passe en consquence. Comptes authentifis sur ce contrleur de domaine en lecture seule : affiche la liste des informations didentification dutilisateurs et dordinateurs qui ont t adresses un contrleur de domaine accessible en criture pour le traitement de lauthentification ou du ticket de service. Cette liste permet didentifier les utilisateurs ou les ordinateurs qui tentent de sauthentifier auprs du contrleur de domaine en lecture seule. Si certains de ces comptes ne sont pas mis en cache, envisagez de les ajouter la stratgie de rplication de mot de passe.
Dans la mme bote de dialogue, longlet Stratgie rsultante permet dvaluer la stratgie de mise en cache en vigueur pour un utilisateur ou un ordinateur individuel. Cliquez sur le bouton Ajouter pour slectionner un compte dutilisateur ou dordinateur en vue de lvaluer.
9-62
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Vous pouvez galement utiliser la bote de dialogue Stratgie de rplication de mot de passe avance pour prremplir les informations didentification dans le cache du contrleur de domaine en lecture seule. Si un utilisateur ou un ordinateur figure dans la liste verte dun contrleur de domaine en lecture seule, les informations didentification du compte peuvent tre mises en cache sur le contrleur de domaine en lecture seule. Toutefois, elles ne le seront pas tant que les vnements dauthentification ou de ticket de service nauront pas conduit le contrleur de domaine en lecture seule rpliquer les informations didentification partir dun contrleur de domaine accessible en criture. En prremplissant les informations didentification dans le cache du contrleur de domaine en lecture seule, par exemple, pour les utilisateurs et les ordinateurs dune filiale, vous pouvez faire en sorte que lactivit dauthentification et de ticket de service soit traite localement par le contrleur de domaine en lecture seule, mme si les utilisateurs ou les ordinateurs sauthentifient pour la premire fois. Pour prremplir les informations didentification, cliquez sur le bouton Prremplir les mots de passe et slectionnez les utilisateurs et les ordinateurs appropris.
tapes de la dmonstration
1. Sur HQDC01, dans larborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur lUO Domain Controllers et accdez aux proprits de BRANCHDC01. Cliquez sur longlet Stratgie de rplication de mot de passe. Cliquez sur le bouton Avanc. La bote de dialogue Stratgie de rplication de mot de passe avance pour BRANCHDC01 saffiche lcran. Longlet Utilisation de la stratgie affiche les comptes dont les mots de passe sont stocks sur ce contrleur de domaine en lecture seule. 4. 5. 6. Dans la liste droulante, slectionnez Comptes dont les mots de passe sont stocks sur ce contrleur de domaine en lecture seule. Dans la liste droulante, slectionnez Comptes authentifis sur ce contrleur de domaine en lecture seule. Cliquez sur longlet Stratgie rsultante, puis cliquez sur le bouton Ajouter. La bote de dialogue Slectionner des utilisateurs ou des ordinateurs s'affiche. 7. 8. Tapez Chris.Gallagher, puis appuyez sur Entre. Cliquez sur longlet Utilisation de la stratgie.
2. 3.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-63
9.
Cliquez sur le bouton Prremplir les mots de passe. La bote de dialogue Slectionner des utilisateurs ou des ordinateurs s'affiche.
10. Tapez le nom du compte que vous souhaitez prremplir, puis cliquez sur OK. 11. Cliquez sur Oui pour confirmer que vous voulez envoyer les informations didentification au contrleur de domaine en lecture seule. Le message suivant saffiche : Les mots de passe de tous les comptes ont t correctement prremplis.
9-64
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Points cls
Les contrleurs de domaine en lecture seule des filiales peuvent ncessiter des oprations de maintenance, comme la mise jour dun pilote de priphrique. Par ailleurs, dans les petites filiales, un mme systme peut combiner les rles de contrleur de domaine en lecture seule et de serveur de fichiers. Dans ce cas, il est important de pouvoir sauvegarder le systme. Les contrleurs de domaine en lecture seule autorisent une administration locale grce une fonctionnalit appele sparation des rles dadministrateur. Chaque contrleur de domaine en lecture seule dispose dune base de donnes locale de groupes des fins dadministration spcifiques. Vous pouvez ajouter un compte dutilisateur de domaine ces rles locaux pour permettre le support dun contrleur de domaine en lecture seule.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-65
Vous pouvez configurer la sparation des rles dadministrateur laide de la commande dsmgmt.exe. Pour ajouter un utilisateur au rle Administrateurs dun contrleur de domaine en lecture seule, procdez comme suit : 1. 2. 3. Ouvrez un invite de commandes sur le contrleur de domaine en lecture seule. Tapez dsmgmt, puis appuyez sur Entre. Tapez local roles, puis appuyez sur Entre. linvite local roles , vous pouvez taper ? et appuyer sur Entre pour obtenir une liste de commandes. Vous pouvez galement taper list roles et appuyer sur Entre pour obtenir la liste des rles locaux. 4. Tapez add nom dutilisateur administrators, o nom dutilisateur est le nom douverture de session antrieur Windows 2000 dun utilisateur du domaine, puis appuyez sur Entre.
Vous pouvez rpter cette procdure pour ajouter dautres utilisateurs aux divers rles locaux dun contrleur de domaine en lecture seule.
Lectures complmentaires
Le contrleur de domaine en lecture seule est une nouveaut extrmement utile qui permet damliorer lauthentification et la scurit dans les filiales. Veillez lire la documentation dtaille sur le site Web Microsoft ladresse suivante : http://go.microsoft.com/fwlink/?LinkId=168764
9-66
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Scnario
Lquipe responsable de la scurit chez Contoso vous a charg damliorer la scurit et de contrler lauthentification pour le domaine AD DS de lentreprise. Plus prcisment, vous devez amliorer la scurit des contrles de domaine de filiales.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-67
5. 6.
9-68
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
2. 3.
8.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-69
9.
10. Dans la zone Nom dutilisateur, tapez Aaron.Painter_Admin. 11. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre. 12. Cliquez sur Suivant. 13. Dans la page Slectionnez un domaine, slectionnez contoso.com, puis cliquez sur Suivant. Un message saffiche pour vous informer que vos informations didentification nappartiennent pas au groupe Admins du domaine, ni au groupe Administrateurs de lentreprise. Comme vous avez prdfini ladministration dlgue du contrleur de domaine en lecture seule, vous pouvez poursuivre avec les informations didentification dlgues. 14. Cliquez sur Oui. Un message saffiche pour vous informer que le compte pour BRANCHDC01 a t prdfini dans Active Directory en tant que contrleur de domaine en lecture seule. 15. Cliquez sur OK. Un message davertissement saffiche qui indique que lordinateur dispose dune adresse IP affecte dynamiquement. BRANCHDC01 possde une adresse IPv6 affecte dynamiquement. En revanche, le serveur ne possde pas dadresse IPv4 fixe. Les adresses IPv6 ntant pas utilises dans ce cours, vous pouvez ignorer ce message. 16. Cliquez sur Oui, l'ordinateur utilisera une adresse IP attribue dynamiquement (non recommand). 17. Dans la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, cliquez sur Suivant. 18. Dans la page Mot de passe administrateur de restauration des services dannuaire, tapez Pa$$w0rd12345 dans les zones Mot de passe et Confirmer le mot de passe, puis cliquez sur Suivant. Dans un environnement de production, vous devez affecter un mot de passe complexe et scuris au compte Administrateur de restauration des services dannuaire. De mme, notez que nous avons modifi la longueur minimale de mot de passe dans lAtelier pratique A. ce titre, veillez respecter les nouvelles exigences de longueur de mot de passe minimale.
9-70
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
19. Dans la page Rsum, cliquez sur Suivant. 20. Dans la fentre de progression, activez la case cocher Redmarrer la fin de lopration. Les services de domaine Active Directory sont installs sur BRANCHDC01, le serveur redmarre.
Rsultats : lissue de cet exercice, vous aurez cr un nouveau contrleur de domaine en lecture seule nomm BRANCHDC01 dans le domaine contoso.com.
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-71
9-72
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
9-73
Question : quels mots de passe dutilisateurs sont actuellement en cache sur BRANCHDC01 ? Question : quels utilisateurs ont t authentifis par BRANCHDC01 ?
9-74
Configuration et rsolution des problmes des services de domaine Windows Server 2008 Active Directory
Remarques
Remarques
Remarques
Remarques