2008 Active Directory S. Mouget - IUT Lannion LP GSR 1 WS 2003 Active Directory Présentation générale

20082008 Active Directory S. Mouget - IUT Active Directory S. Mouget - IUT Lannion LP GSRLannion LP GSR

11

WS 2003 WS 2003 Active DirectoryActive Directory

Présentation généralePrésentation générale


22

Active DirectoryActive Directory

– Un annuaire… Pour quoi faire ?Un annuaire… Pour quoi faire ?– Les plus d’ADLes plus d’AD– Représentation logique d’AD Représentation logique d’AD – TopologieTopologie– AD et le DNSAD et le DNS– Et physiquement ?Et physiquement ?


33

Un annuaire… Pour quoi faire ?Un annuaire… Pour quoi faire ?

Sans annuaire:Sans annuaire:On peut rapidement se retrouver avec autant de bases de On peut rapidement se retrouver avec autant de bases de

données que de servicesdonnées que de services

Adresses mail

Comptes ordinateurs

Comptes utilisateurs

DNS

Stratégies

...

Admin


44


Si on utilise un annuaire:Si on utilise un annuaire:L’administration est simplifiéeL’administration est simplifiée

Adresses mailCompte

StratégiesDNS

...

Admin


55


Active directory est un annuaire LDAP , les Active directory est un annuaire LDAP , les accès à l’annuaire sont donc des requêtes accès à l’annuaire sont donc des requêtes LDAPLDAP

L’administration se faitL’administration se fait– à l’aide d’interfaces graphiques (MMC sites et à l’aide d’interfaces graphiques (MMC sites et

services, utilisateurs….ADSI edit)services, utilisateurs….ADSI edit)– ou d’une API : ADSI (Active directory service ou d’une API : ADSI (Active directory service

interface)interface)


66

Les plus d’ADLes plus d’AD

Des mécanismes de réplication Des mécanismes de réplication Réplication entre les contrôleurs made in MicrosoftRéplication entre les contrôleurs made in Microsoft

Un annuaire « fourre-tout »Un annuaire « fourre-tout »Le schéma est extensible, l’admin peut créer de nouveaux Le schéma est extensible, l’admin peut créer de nouveaux

objets (nouvelles classes) et de nouveaux attributsobjets (nouvelles classes) et de nouveaux attributs

La sécuritéLa sécuritéSécurité granulaire: des ACLs sur chaque conteneur et Sécurité granulaire: des ACLs sur chaque conteneur et

chaque objetchaque objet


77

Représentation logique d’ADReprésentation logique d’AD

La forêtLa forêt L’arborescenceL’arborescence Les domainesLes domaines Les OUsLes OUs Les objetsLes objets Les approbationsLes approbations


88

Représentation logique d’ADReprésentation logique d’ADLa forêt lmf.com

Domaines

Approbations

Unités d’organisation

lmf.com

rp.lmf.com

asie.lmf.com

smbek.com

asie.smbek.com


99

La forêt ADLa forêt AD

C’est la plus grosse structure logique d’AD:C’est la plus grosse structure logique d’AD:

Un ensemble d’arborescences de domaine Un ensemble d’arborescences de domaine reliées entre elles par des approbations reliées entre elles par des approbations transitives et bidirectionnellestransitives et bidirectionnelles


1010


Tous les domaines de la forêt partagent le Tous les domaines de la forêt partagent le même schéma AD, la même configuration et même schéma AD, la même configuration et un catalogue globalun catalogue global


1111


La forêt est crée lors de la première installation La forêt est crée lors de la première installation d’active directory sur un serveurd’active directory sur un serveur

Ensuite: Ensuite: – soit on joint un domaine existant.soit on joint un domaine existant.– soit on créer un domaine enfant ,une nouvelle racine (nouvelle soit on créer un domaine enfant ,une nouvelle racine (nouvelle

arborescence) ou alors, une nouvelle forêtarborescence) ou alors, une nouvelle forêt

3 Niveaux fonctionnels: 3 Niveaux fonctionnels: – Windows 2000 (NT, Win 2K, WS2003) (par défaut)Windows 2000 (NT, Win 2K, WS2003) (par défaut)– WS 2003 Version préliminaire (NT & WS 2003)WS 2003 Version préliminaire (NT & WS 2003)– WS 2003 (WS 2003) (approb de forêts, Objets Schéma défunts…)WS 2003 (WS 2003) (approb de forêts, Objets Schéma défunts…)


1212


Le premier domaine de la forêt est le Le premier domaine de la forêt est le « domaine racine »« domaine racine »

C’est dans le domaine racine que se trouve C’est dans le domaine racine que se trouve le contrôleur de schéma et le maitre le contrôleur de schéma et le maitre d’attribution des noms de domained’attribution des noms de domaine


1313

L’arborescence L’arborescence

C’est un ensemble de domaines contigusC’est un ensemble de domaines contigus

lmf.com

smbek.com

us.lmf.com

ny.us.lmf.comsf.us.lmf.com asie.smbek.com bresil.smbek.com

Arborescence 1

Arborescence 2Domaine racine


1414

Les domainesLes domaines

« Zone de sécurité » « Zone de sécurité » stratégies de domainestratégies de domaine

« Zone de réplication » « Zone de réplication » Réplication auto de toutes Réplication auto de toutes les mise a jour d’ADles mise a jour d’AD

« zone administrative » « zone administrative » Les membres du groupe Les membres du groupe admins du domaine peuvent entièrement gérer le domaineadmins du domaine peuvent entièrement gérer le domaine

Les domaines sont nommés avec le DNSLes domaines sont nommés avec le DNS


1515


3 rôles unique au niveau du domaine:3 rôles unique au niveau du domaine:– Le Maitre d’infrastructure (pour les reférences Le Maitre d’infrastructure (pour les reférences

aux objets externes au domaine)aux objets externes au domaine)– Le Maitres des ID relatifs, distribue les RID par Le Maitres des ID relatifs, distribue les RID par

paquets de 100 aux contrôleurs du domainepaquets de 100 aux contrôleurs du domaine– L’émulateur de PDC NTL’émulateur de PDC NT


1616


4 niveaux fonctionnels:4 niveaux fonctionnels:– W2K Mixte W2K Mixte

Imbrication des groupe partielle (globaux dans Locaux de dom)…Imbrication des groupe partielle (globaux dans Locaux de dom)…

– W2K NatifW2K NatifGroupes universels…Groupes universels…

– WS2003 Version PréliminaireWS2003 Version Préliminaireréplication plus efficace…réplication plus efficace…

– WS2003WS2003Renommages des contrôleurs et des domaines…Renommages des contrôleurs et des domaines…


1717

Les OUsLes OUs

C’est un conteneur d’objetsC’est un conteneur d’objets

Utilisé pour effectuer des délégations et Utilisé pour effectuer des délégations et appliquer des stratégies de sécuritésappliquer des stratégies de sécurités


1818

Les objetsLes objets

Peuvent êtres contenus dans un domaine Peuvent êtres contenus dans un domaine ou une OU :ou une OU :Utilisateurs, groupes, ordinateurs, partages, Utilisateurs, groupes, ordinateurs, partages,

imprimantes et OUsimprimantes et OUs


1919

Les approbationsLes approbations

Canaux sécurisés entre les domaines ou les Canaux sécurisés entre les domaines ou les forêtsforêts


2020

TopologieTopologie

C’est la représentation physique du réseau:C’est la représentation physique du réseau:

Des Sites de sous réseaux reliés par des WAN lentes, Des Sites de sous réseaux reliés par des WAN lentes, cela permet de contrôler les ouvertures de sessions cela permet de contrôler les ouvertures de sessions et les réplications de ADet les réplications de AD

Les sites sont interconnectables entres eux.Les sites sont interconnectables entres eux.

On peut avoir un domaine sur plusieurs sites et ou On peut avoir un domaine sur plusieurs sites et ou plusieurs domaines sur un siteplusieurs domaines sur un site


2121

AD et le DNSAD et le DNS Indispensable au fonctionnement d’AD Indispensable au fonctionnement d’AD

– Nommage des domainesNommage des domaines– Localisation des contrôleursLocalisation des contrôleurs– Enregistrement srvEnregistrement srv

3 approches3 approches– 1 seul nom (DNS ext et int) 1 seul nom (DNS ext et int) – 2 noms (avec redirecteur) 2 noms (avec redirecteur) – sous domaine(pour s’adapter à l’existant)sous domaine(pour s’adapter à l’existant)

Dans tous les cas, pour que AD fonctionne, il faut un DNS avec SRV, Dans tous les cas, pour que AD fonctionne, il faut un DNS avec SRV, DynamicDNS… et les 4 sous domaines particuliers à ad DynamicDNS… et les 4 sous domaines particuliers à ad (_msdcs. ;_sites. ;_tcp. ;_udp.)(_msdcs. ;_sites. ;_tcp. ;_udp.)

Le DNS peut être intégré à AD Le DNS peut être intégré à AD Soit les zone en fichier texte, ou dans l’annuaire (réplication auto, seul les Soit les zone en fichier texte, ou dans l’annuaire (réplication auto, seul les changements sont répliqués, tous les DNS sont maitres(sécurité du changements sont répliqués, tous les DNS sont maitres(sécurité du service)service)


2222

Et physiquement ?Et physiquement ?

Un fichier: NTDIS.DIT (Un fichier: NTDIS.DIT (NT Directory Services. Directory NT Directory Services. Directory Information Tree)Information Tree)

De trois à quatre partitions De trois à quatre partitions (Ou contexte de nommage (Ou contexte de nommage ou Magasin de données)ou Magasin de données)– Domaine : zones DNS, groupes, utilisateurs, ordinateurs. La même Domaine : zones DNS, groupes, utilisateurs, ordinateurs. La même

sur tous les DCsur tous les DC– Configuration : topologie (sites et lien) info de réplications, Configuration : topologie (sites et lien) info de réplications,

arborescence. La même pour toute la forêt (!maitre d’attribution des arborescence. La même pour toute la forêt (!maitre d’attribution des noms de domaine ) localisation des catalogues globauxnoms de domaine ) localisation des catalogues globaux

– Schéma : contient les objets class et attributs. La même pour toute Schéma : contient les objets class et attributs. La même pour toute la forêt ( ! contrôleur de schéma )la forêt ( ! contrôleur de schéma )

– Applications : pas par défaut, sert à répliquer des données pour Applications : pas par défaut, sert à répliquer des données pour d’autres applications (on peut contrôler où et quand)d’autres applications (on peut contrôler où et quand)


2323


2424


Le schéma est extensible:Le schéma est extensible:Création de nouvelles classes ou de nouveaux Création de nouvelles classes ou de nouveaux

attributs.On ne peut pas les supprimer. Juste attributs.On ne peut pas les supprimer. Juste désactiver ou modifier.désactiver ou modifier.

10 millions d’objets peuvent êtres contenus 10 millions d’objets peuvent êtres contenus dans AD.dans AD.


2525


2626


Le dossier SysvolLe dossier SysvolContient:Contient:– Les ADM Template des GPO (les gpt)Les ADM Template des GPO (les gpt)– Le répertoire netlogonLe répertoire netlogon– Les scripts d’ouverture et fermeture de session, Les scripts d’ouverture et fermeture de session,

d’allumage et d’extinction.d’allumage et d’extinction.

Est répliqué sur tout les DCsEst répliqué sur tout les DCs


2727

Fin de la première partieFin de la première partie


2828

Les ApprobationsLes Approbations

On a vu : C’est des canaux sécurisés entre On a vu : C’est des canaux sécurisés entre les domaines ,les arbres ou les forêts.les domaines ,les arbres ou les forêts.

Par défaut, au sein d’une forêt, toutes les Par défaut, au sein d’une forêt, toutes les approbation sont transitives et approbation sont transitives et bidirectionnelles.bidirectionnelles.


2929


Il existe trois types d’approbations Il existe trois types d’approbations transitives dans une forêt :transitives dans une forêt :– Les approbations de racines d’arbres, crées Les approbations de racines d’arbres, crées

automatiquement au moment de l’ajout d’un automatiquement au moment de l’ajout d’un arbre dans la forêtarbre dans la forêt

– Les approbations parent-enfant, crées Les approbations parent-enfant, crées automatiquement au moment de l’ajout d’un automatiquement au moment de l’ajout d’un domaine à un arbre existantdomaine à un arbre existant


3030


– Les approbations de raccourci, pour créer un Les approbations de raccourci, pour créer un raccourci entre deux domaines. Cela permet de raccourci entre deux domaines. Cela permet de raccourcir la durée et de réduire le trafic du raccourcir la durée et de réduire le trafic du processus d’authentificationprocessus d’authentification


3131


lmf.com

asie.smbek.com

smbek.com

asie.lmf.com

Racine d’arbreRacine d’arbre

Parent-enfantParent-enfant

RaccourciRaccourci


3232


Les approbations externes :Les approbations externes :Ce sont des approbations unidirectionnelles, non Ce sont des approbations unidirectionnelles, non

transitives.transitives.

On les créer entre deux domaines (nt, 2000 ou 2003)On les créer entre deux domaines (nt, 2000 ou 2003)

Domaine approuvantDomaine approuvé


3333


Les approbations de forêt : Les approbations de forêt : Uniquement entre deux forêts 2003Uniquement entre deux forêts 2003

Elles sont transitives et bidirectionnellesElles sont transitives et bidirectionnelles

Attention, si une Forêt A approuve une Forêt B, Attention, si une Forêt A approuve une Forêt B, que la forêt B approuve une forêt C, la forêt A que la forêt B approuve une forêt C, la forêt A n’approuvera pas la forêt C sans créer une n’approuvera pas la forêt C sans créer une approbation entre A et Capprobation entre A et C


3434

L’authentificationL’authentification

5 protocoles disponibles dont Kerberos (Win 5 protocoles disponibles dont Kerberos (Win 2k et 2003) et NTLM (nt)2k et 2003) et NTLM (nt)


3535

Mécanisme d’ouverture de session Mécanisme d’ouverture de session dans un même domainedans un même domaine

Coté client:Coté client:1 L’utilisateur appuie sur Ctrl+Alt+Suppr1 L’utilisateur appuie sur Ctrl+Alt+Suppr

2 Winlogon reconnaît la SAS (secure attention 2 Winlogon reconnaît la SAS (secure attention sequence) et appel le GINA (graphical sequence) et appel le GINA (graphical identification and authentication) pour ouvrir la identification and authentication) pour ouvrir la sessionsession


3636


3 Gina collecte les infos utilisateur, et les 3 Gina collecte les infos utilisateur, et les transmet au LSA (Local Security Authority)transmet au LSA (Local Security Authority)

4 Le LSA démarre une session Kerberos4 Le LSA démarre une session Kerberos

5 Kerberos contacte un KDC (Key Distribution 5 Kerberos contacte un KDC (Key Distribution Center)sur un contrôleur de domaineCenter)sur un contrôleur de domaine


3737


Coté serveurCoté serveurLe KDC vérifie les données utilisateurs au LSA du Le KDC vérifie les données utilisateurs au LSA du

serveur qui valide ou non l’utilisateurserveur qui valide ou non l’utilisateur

Si il y a validation, un TGT puis un jeton sont Si il y a validation, un TGT puis un jeton sont crées.crées.


3838


Coté clientCoté clientSi l’utilisateur est valide, GINA lance le shell Si l’utilisateur est valide, GINA lance le shell

utilisateurutilisateur

Sinon, il redemande à nouveau les identifiantsSinon, il redemande à nouveau les identifiants


3939

Mécanisme d’ouverture de sessionMécanisme d’ouverture de session

Dans un autre domaineDans un autre domaine

- Soit on fait partit du groupe utilisateurs universel. - Soit on fait partit du groupe utilisateurs universel. Le KDC du Contrôleur de domaine contactera le Le KDC du Contrôleur de domaine contactera le KDC d’un catalogue global pour vérifier KDC d’un catalogue global pour vérifier l’appartenance (sauf si la liste des membres du l’appartenance (sauf si la liste des membres du groupe est mise en cache)groupe est mise en cache)

- Sinon, la session sera ouverte « dans » le - Sinon, la session sera ouverte « dans » le domaine de l’utilisateur: les KDC se contactent les domaine de l’utilisateur: les KDC se contactent les uns les autresuns les autres


4040

Fin de la deuxième partieFin de la deuxième partie


4141

Sites AD et réplicationSites AD et réplication

– Les ouvertures de sessions sont lentesLes ouvertures de sessions sont lentes– Le lien ADSL entre le siège et le bureau de Le lien ADSL entre le siège et le bureau de

bordeaux est saturébordeaux est saturé– Votre routeur ne suit plus…Votre routeur ne suit plus…

Il va falloir revoir l’organisation de votre Il va falloir revoir l’organisation de votre réseau et ou planifier les réplications d’ADréseau et ou planifier les réplications d’AD


4242

Sites AD et réplicationSites AD et réplication

Il faut etablir la topologie d’AD, pour cela Il faut etablir la topologie d’AD, pour cela nous avons besoin:nous avons besoin:– De connaître le réseauDe connaître le réseau– De déterminer l’emplacement des contrôleurs De déterminer l’emplacement des contrôleurs

de domainesde domaines– De créer des sitesDe créer des sites– De créer des liens entre ces sitesDe créer des liens entre ces sites– De créer des ponts entre ces liensDe créer des ponts entre ces liens


4343

Connaître le réseauConnaître le réseau

- Etablir une carte géographique de la forêtEtablir une carte géographique de la forêt

- Etablir des connexions entre ces lieux et Etablir des connexions entre ces lieux et donner leur bande passante (et leur donner leur bande passante (et leur disponibilité)disponibilité)

- Lister les sous réseauxLister les sous réseaux

- Lister les domaines de chaque lieux et le Lister les domaines de chaque lieux et le nombre d’utilisateurs.nombre d’utilisateurs.


4444

déterminer l’emplacement des déterminer l’emplacement des contrôleurs de domainescontrôleurs de domaines

– Le serveur racine en position centraleLe serveur racine en position centrale– Les serveurs « régionaux », on place un Les serveurs « régionaux », on place un

serveur sur un site si:serveur sur un site si: On veut authentifier 24h/24, 7j/7 et que la liaison On veut authentifier 24h/24, 7j/7 et que la liaison

n’est pas disponible à 100%n’est pas disponible à 100% L’ouverture de session et trop lente (Il y a plus de L’ouverture de session et trop lente (Il y a plus de

100 utilisateurs)100 utilisateurs) On est pas regardant sur la sécurité et qu’il y a On est pas regardant sur la sécurité et qu’il y a

quelqu’un sur place pour administrer (ou on peut quelqu’un sur place pour administrer (ou on peut l’administrer à distance)l’administrer à distance)


4545

déterminer l’emplacement des déterminer l’emplacement des contrôleurs de domainescontrôleurs de domaines

On place un Catalogue global si:On place un Catalogue global si:– Une application le nécessiteUne application le nécessite– Il y a plus de 100 utilisateursIl y a plus de 100 utilisateurs– Il y a beaucoup d’utilisateurs itinérantsIl y a beaucoup d’utilisateurs itinérants


4646

Mécanismes de la réplicationMécanismes de la réplication

Les opération sur les objets de l’annuaire Les opération sur les objets de l’annuaire peuvent être faites sur n’importe quel peuvent être faites sur n’importe quel contrôleur de la foret. Pour se faire, il faut contrôleur de la foret. Pour se faire, il faut mettre à jour et vérifier régulièrement la mettre à jour et vérifier régulièrement la cohérence des données de l’annuaire. Cette cohérence des données de l’annuaire. Cette opération s’appelle la réplication, et c’est le opération s’appelle la réplication, et c’est le KCC (KCC (Knowledge Consistency Checker)Knowledge Consistency Checker) qui qui s’en charges’en charge


4747


Après modification de l’annuaire (modification Après modification de l’annuaire (modification de l’attribut d’un objet, suppression d’un de l’attribut d’un objet, suppression d’un objet..) Le DC sur lequel a eu lieu la modif. objet..) Le DC sur lequel a eu lieu la modif. va notifier les autres DC (au bout de 5mn).va notifier les autres DC (au bout de 5mn).

Ces derniers contacteront le serveur pour Ces derniers contacteront le serveur pour connaître les modification à apporter à leur connaître les modification à apporter à leur copie de l’annuaire.copie de l’annuaire.

De toutes façons, un contrôle de cohérence De toutes façons, un contrôle de cohérence de l’annuaire est lancé toutes les heures.de l’annuaire est lancé toutes les heures.


4848


Pour éviter les conflits, à tout objet sont Pour éviter les conflits, à tout objet sont attachés des meta-données:attachés des meta-données:– Update Sequence Number (USN) propre a Update Sequence Number (USN) propre a

chaque contrôleur, incrémenté a chaque mise a chaque contrôleur, incrémenté a chaque mise a jour de l’objetjour de l’objet

– Un ticket de modif. Dans lequel on trouve:Un ticket de modif. Dans lequel on trouve: Un numéro de version (Property Version Number)Un numéro de version (Property Version Number) Un ticket d’horodatageUn ticket d’horodatage Le GUID du contrôleur où a eu lieu la modifLe GUID du contrôleur où a eu lieu la modif


4949


Les conflits:Les conflits:– Un attribut a été modifié a deux endroits différents dans l’intervalle Un attribut a été modifié a deux endroits différents dans l’intervalle

des 5 mn… Celui avec le PVN le plus haut, ou a défaut le ticket des 5 mn… Celui avec le PVN le plus haut, ou a défaut le ticket d’horodatage le plus récent sera conservé.d’horodatage le plus récent sera conservé.

– Vous avez supprimé une OU (ou un autre conteneur) et quelqu’un Vous avez supprimé une OU (ou un autre conteneur) et quelqu’un à placé une imprimante (ou un autre objet) dans cette ou… à placé une imprimante (ou un autre objet) dans cette ou… L’imprimante sera rangée dan LostAndFoundL’imprimante sera rangée dan LostAndFound

– Un objet a été créé avec le même non dans deux endroits Un objet a été créé avec le même non dans deux endroits différents… le plus vieux est renommé, à vous de faire votre choix.différents… le plus vieux est renommé, à vous de faire votre choix.


5050

Les sitesLes sites

Un ou plusieurs sous réseaux reliés par une Un ou plusieurs sous réseaux reliés par une connexion réseau « rapide »connexion réseau « rapide »

Les informations sur les sites sont connues Les informations sur les sites sont connues de tous les contrôleurs de la foret (partition de tous les contrôleurs de la foret (partition configuration de AD)configuration de AD)

La réplication à l’intérieur d’un site est La réplication à l’intérieur d’un site est instantanée, entre les sites, on peut la instantanée, entre les sites, on peut la planifier.planifier.


5151

Les sitesLes sites

A la connexion, un client contactera un des A la connexion, un client contactera un des DCs du site auquel il appartient.DCs du site auquel il appartient.

Le KCC détermine luiLe KCC détermine lui mêmemême lala topologie, et topologie, et choisit les serveurs « tête de pont ». On choisit les serveurs « tête de pont ». On peut intervenir manuellement pour forcer peut intervenir manuellement pour forcer certains choix.certains choix.


5252

Créer des sitesCréer des sites

Uniquement (mais pas forcément) si il y a Uniquement (mais pas forcément) si il y a un contrôleur de domaine sur place.un contrôleur de domaine sur place.


5353

Créer des liens entre ces sitesCréer des liens entre ces sites

On choisi les deux sites On choisi les deux sites On donne un cout au lienOn donne un cout au lien On planifie la réplicationOn planifie la réplication On choisi le transportOn choisi le transport


5454

Créer des ponts entre ces liensCréer des ponts entre ces liens

Cela se fait automatiquementCela se fait automatiquement On peut désactiver la fonction pour contrôler On peut désactiver la fonction pour contrôler

la réplication d’ADla réplication d’AD


5555

Le catalogue globalLe catalogue global


5656


C’est une copie partielle des attributs (les C’est une copie partielle des attributs (les plus utilisés) de tous les objets de tous les plus utilisés) de tous les objets de tous les domaines de la forêt.domaines de la forêt.

Les contrôleurs de domaines n’hébergeant Les contrôleurs de domaines n’hébergeant que leur partition de domaine, si il fallait que leur partition de domaine, si il fallait localiser un objet d’ un autre domaine, localiser un objet d’ un autre domaine, l’utilisateur ou l’application devrai fournir le l’utilisateur ou l’application devrai fournir le nom du domainenom du domaine


5757

Le catalogue globalLe catalogue globalSi on a 3 domaines D1, D2 et D3:

Le Ntdis.dit d’un DC de D1 contient:

Le Ntdis.dit d’un GC de D1 contient:

Domaine D1

Configuration

Schéma

Domaine D1

Configuration

Schéma

Domaine D2

Domaine D3


5858


La partition Domaine D2 sera composé de La partition Domaine D2 sera composé de tous les objets de D2 et de leurs attributs si tous les objets de D2 et de leurs attributs si ils font parti du PAS (Partial Attribute Set )ils font parti du PAS (Partial Attribute Set )

Le PAS est modifiable à l’aide de la console Le PAS est modifiable à l’aide de la console schéma active directoryschéma active directory


5959


Attention : l’ajout d’attributs dans le PAS Attention : l’ajout d’attributs dans le PAS augmente le trafic de réplication.augmente le trafic de réplication.

La réplication est gérée automatiquement, La réplication est gérée automatiquement, chaque domaine « s’occupant » de la mise chaque domaine « s’occupant » de la mise à jour de sa partition sur les GCà jour de sa partition sur les GC


6060


Le catalogue global est utilisé dans les cas Le catalogue global est utilisé dans les cas suivants:suivants:– Ouverture de session:Ouverture de session:

Sous Windows 2000, le catalogue global était utilisé Sous Windows 2000, le catalogue global était utilisé systématiquement, pour vérifier les appartenances systématiquement, pour vérifier les appartenances des comptes utilisateurs.des comptes utilisateurs.

Avec Windows 2003, les appartenances aux groupes Avec Windows 2003, les appartenances aux groupes locaux et globaux peuvent être retrouvées sur tous locaux et globaux peuvent être retrouvées sur tous les DCs du domaine.les DCs du domaine.


6161


Si les groupes universel sont disponibles, alors le Si les groupes universel sont disponibles, alors le catalogue global doit être contacté pour savoir catalogue global doit être contacté pour savoir desquels l’utilisateur (ou les groupes globaux desquels l’utilisateur (ou les groupes globaux auxquels il appartient) est membre.auxquels il appartient) est membre.

Les appartenances aux groupes universel (et globaux) Les appartenances aux groupes universel (et globaux) peuvent être mise en cache sur un DC (pour réduire peuvent être mise en cache sur un DC (pour réduire le trafic WAN ou accélérer les ouvertures de le trafic WAN ou accélérer les ouvertures de sessions par exemple). Ce cache est mis à jour a sessions par exemple). Ce cache est mis à jour a partir d’un catalogue global.partir d’un catalogue global.


6262


– Ouvertures de session avec le nom UPNOuvertures de session avec le nom UPNSi les noms UPN simplifiés sont utilisés Si les noms UPN simplifiés sont utilisés ( [email protected] ), le catalogue global sera utilisé ( [email protected] ), le catalogue global sera utilisé pour retrouver le domaine d’appartenance de pour retrouver le domaine d’appartenance de l’utilisateur ( le GC renvoie au DC le nom unique de l’utilisateur ( le GC renvoie au DC le nom unique de l’utilisateur CN=johndoe, OU=compta, DC=asie, l’utilisateur CN=johndoe, OU=compta, DC=asie, DC=smbek, DC=lmf, DC=com le DC en déduit le DC=smbek, DC=lmf, DC=com le DC en déduit le domaine de John)domaine de John)


6363


– Recherches dans l’annuaire:Recherches dans l’annuaire:Lorsque l’on (ou une application) recherche un objet, il Lorsque l’on (ou une application) recherche un objet, il

faut connaitre son DN ou son domaine.faut connaitre son DN ou son domaine.

On peut simplifier la tache en utilisant les attributs On peut simplifier la tache en utilisant les attributs stockés par le catalogue global (le nom d’un stockés par le catalogue global (le nom d’un personne par ex.), c’est ce dernier qui localisera personne par ex.), c’est ce dernier qui localisera l’objet.l’objet.


6464


AttentionAttentionLorsque un objet O1 (un groupe par ex.) fait référence à un Lorsque un objet O1 (un groupe par ex.) fait référence à un

autre objet O2(un utilisateur par ex.), le maitre autre objet O2(un utilisateur par ex.), le maitre d’infrastructure vérifie la présence de cet objet dans les d’infrastructure vérifie la présence de cet objet dans les partition AD. Si cet objet n’est pas présent(il provient d’un partition AD. Si cet objet n’est pas présent(il provient d’un autre domaine) , il crée un objet OF dit « Fantôme » dans autre domaine) , il crée un objet OF dit « Fantôme » dans l’annuaire, avec les SID, GUID et DN de O2. Ainsi, on a l’annuaire, avec les SID, GUID et DN de O2. Ainsi, on a pas besoin de contacter les autres domaines pour lister un pas besoin de contacter les autres domaines pour lister un groupe. Le maitre d’infrastructure synchronise la groupe. Le maitre d’infrastructure synchronise la suppression ou les changement de nom des fantômes suppression ou les changement de nom des fantômes avec le GC et les réplique sur les autres DCs du domaineavec le GC et les réplique sur les autres DCs du domaine


6565


Si le maitre d’infrastructure est aussi catalogue global, dans Si le maitre d’infrastructure est aussi catalogue global, dans ce cas, tous les objets de la forêt étant dans une des ce cas, tous les objets de la forêt étant dans une des partions AD, aucun fantôme ne sera crée.partions AD, aucun fantôme ne sera crée.

Si tous les DCs du domaines sont aussi GC ou qu’il n’y a Si tous les DCs du domaines sont aussi GC ou qu’il n’y a qu’un domaine, le maitre d’infrastructure n’est pas utilisé.qu’un domaine, le maitre d’infrastructure n’est pas utilisé.


6666

Les délégationsLes délégations


6767


Pour vous aider dans votre gestion, vous pouvez Pour vous aider dans votre gestion, vous pouvez déléguer des taches pour un site, un domaine, déléguer des taches pour un site, un domaine, une OU.une OU.

Il y a deux approches:Il y a deux approches:– Soit déléguer au niveau d’ objet. Par exemple, le groupe Soit déléguer au niveau d’ objet. Par exemple, le groupe

DevWeb a le contrôle totale sur l’ OU Web (contenant DevWeb a le contrôle totale sur l’ OU Web (contenant les serveur web)les serveur web)

– Soit déléguer au niveau des taches. Par exemple, le Soit déléguer au niveau des taches. Par exemple, le groupe RHasie peut créer ou modifier des utilisateurs groupe RHasie peut créer ou modifier des utilisateurs pour tout le domaine Asie.pour tout le domaine Asie.


6868


Il est préférable de déléguer à des groupes Il est préférable de déléguer à des groupes plutôt qu’a des utilisateursplutôt qu’a des utilisateurs

De même, il est préférable de déléguer sur De même, il est préférable de déléguer sur des OU plutôt que des sites ou domainesdes OU plutôt que des sites ou domaines

Les délégations sont héritées, mais peuvent Les délégations sont héritées, mais peuvent être bloqués pour un objet enfantêtre bloqués pour un objet enfant


6969

Les stratégies de groupesLes stratégies de groupes


7070


Les stratégies de groupes permettent de Les stratégies de groupes permettent de définir un ensemble de paramètres pour des définir un ensemble de paramètres pour des utilisateurs et/ou des ordinateurs utilisateurs et/ou des ordinateurs fonctionnant sous W2003, W2K et XP.fonctionnant sous W2003, W2K et XP.


7171


Toutes les stratégies au niveau des Toutes les stratégies au niveau des domaines et des sites sont centralisées, les domaines et des sites sont centralisées, les stratégies étant définies dans active stratégies étant définies dans active directory.directory.

Les stratégies s’appliquent aux domaines, Les stratégies s’appliquent aux domaines, aux sites et aux UOaux sites et aux UO


7272


Les paramètres d’une stratégie de groupe Les paramètres d’une stratégie de groupe sont « rangés » dans un objet stratégie de sont « rangés » dans un objet stratégie de groupe, un GPOgroupe, un GPO


7373


Deux types principaux de paramètres au Deux types principaux de paramètres au sein d’un GPO:sein d’un GPO:– La configuration OrdinateurLa configuration Ordinateur

Les paramètres s‘appliquent à tous les ordinateurs Les paramètres s‘appliquent à tous les ordinateurs concernés par le GPOconcernés par le GPO

– La configuration UtilisateurLa configuration UtilisateurLes paramètres s‘appliquent à tous les utilisateurs Les paramètres s‘appliquent à tous les utilisateurs

concernés par le GPOconcernés par le GPO


7474


Sur un contrôleur de domaine, les information d’un Sur un contrôleur de domaine, les information d’un GPO sont réparties dans deux endroits :GPO sont réparties dans deux endroits :– Le conteneur AD « Stratégie de groupe », dans lequel Le conteneur AD « Stratégie de groupe », dans lequel

sont stockés les attributs et les versions des GPO.sont stockés les attributs et les versions des GPO.Les contrôleurs de domaines s’en servent pour vérifier Les contrôleurs de domaines s’en servent pour vérifier la version des GPO dont ils disposent.la version des GPO dont ils disposent.

Les clients s’en servent pour localiser le modèle de Les clients s’en servent pour localiser le modèle de stratégie de groupe GPT associé aux GPO qui leur est stratégie de groupe GPT associé aux GPO qui leur est appliquéappliqué


7575


7676


– Le modèle Stratégie de groupe est un ensemble Le modèle Stratégie de groupe est un ensemble de dossiers (une hiérarchie) stocké dans le de dossiers (une hiérarchie) stocké dans le répertoire SYSVOL des DCsrépertoire SYSVOL des DCsChaque objet stratégie à son modèle associé. Chaque objet stratégie à son modèle associé. Le nom du modèle est le GUID de la stratégie.Le nom du modèle est le GUID de la stratégie.

Le modèle stratégie de groupe contient: Les Le modèle stratégie de groupe contient: Les modèles d’administration, les paramètres de modèles d’administration, les paramètres de sécurité, les paramètres d’installation des sécurité, les paramètres d’installation des logiciels, les paramètres de redirection des logiciels, les paramètres de redirection des dossiers et les scripts du GPOdossiers et les scripts du GPO


7777


7878


On trouve 6 catégories de paramètres:On trouve 6 catégories de paramètres:– Modèles d’administrationModèles d’administration– ScriptsScripts– Redirection des dossiersRedirection des dossiers– Paramètre de sécuritéParamètre de sécurité– Installation de logicielsInstallation de logiciels– Maintenance d’Internet ExplorerMaintenance d’Internet Explorer


7979


Les modèles d’administrationLes modèles d’administrationPermettent de gérer l’environnement utilisateur :Permettent de gérer l’environnement utilisateur :

Verrouiller des fonctionsVerrouiller des fonctions

Paramétrer les fonctionnalités du système Paramétrer les fonctionnalités du système d’exploitation ou d’applicationsd’exploitation ou d’applications

Uniformiser le poste de travail…Uniformiser le poste de travail…


8080


– Dans les modèles d’administrations, il existe Dans les modèles d’administrations, il existe huit groupes de paramètres. Dans le GPO, huit groupes de paramètres. Dans le GPO, certains sont sous la config. ordinateur, d’autres certains sont sous la config. ordinateur, d’autres sous la config. utilisateur et d’autres sous les sous la config. utilisateur et d’autres sous les deux config.deux config.

Si un paramètre est défini dans les deux config, Si un paramètre est défini dans les deux config, c’est la config ordinateur qui l’emportec’est la config ordinateur qui l’emporte


8181


– Panneau de configuration Panneau de configuration Utilisateur Utilisateur– Bureau Bureau Utilisateur Utilisateur– Réseau Réseau Utilisateur et Ordinateur Utilisateur et Ordinateur– Imprimantes Imprimantes Ordinateur Ordinateur– Dossiers partagés Dossiers partagés Utilisateur Utilisateur– Menu démarrer et barre des taches Menu démarrer et barre des taches Utilisateur Utilisateur– Système Système Utilisateur et Ordinateur Utilisateur et Ordinateur– Composants Windows Composants Windows Utilisateur et Ordinateur Utilisateur et Ordinateur


8282


– Les paramètres des modèles d’administration Les paramètres des modèles d’administration sont stockés dans deux fichiers registry.pol sont stockés dans deux fichiers registry.pol placé dans le modèle de stratégie (GPT) du placé dans le modèle de stratégie (GPT) du GPO dans le répertoire SYSVOLGPO dans le répertoire SYSVOL Un dans Un dans sysvol\domaine\policies\GUID_du_GPO\sysvol\domaine\policies\GUID_du_GPO\machinemachine

L’autre dans L’autre dans sysvol\domaine\policies\sysvol\domaine\policies\GUID_du_GPO\userGUID_du_GPO\user


8383


– Lorsque le GPO est appliqué, les paramètres Lorsque le GPO est appliqué, les paramètres des modèles d’administration modifient la base des modèles d’administration modifient la base de registre du client dans HKCU pour les de registre du client dans HKCU pour les paramètres utilisateurs et HKLM pour ceux paramètres utilisateurs et HKLM pour ceux ordinateur.ordinateur.

– Ils sont enregistré dans Ils sont enregistré dans Software\PoliciesSoftware\Policies et et Software\Microsoft\Windows\CurentVersion\Software\Microsoft\Windows\CurentVersion\Policies.Policies.

– Les paramètres du GPO l’emportent sur les Les paramètres du GPO l’emportent sur les paramètres locaux.paramètres locaux.


8484


ScriptsScriptsParamètres pour automatiser l’exécution des Paramètres pour automatiser l’exécution des

scripts sur le client.scripts sur le client.

Quatre types de scripts:Quatre types de scripts: Scripts de démarrage (Synchrone)Scripts de démarrage (Synchrone) Scripts d’ouverture de session (Async)Scripts d’ouverture de session (Async) Scripts de fermeture de session (Async)Scripts de fermeture de session (Async) Scripts d’arrêt (Sync)Scripts d’arrêt (Sync)


8585


La redirection des dossiers:La redirection des dossiers:Pour rediriger les dossiers utilisateursPour rediriger les dossiers utilisateurs

Application DataApplication Data BureauBureau Menu DémarrerMenu Démarrer Mes documentsMes documents


8686


Paramètres de sécurité:Paramètres de sécurité:Pour sécuriser les ordinateurs et le réseau.Pour sécuriser les ordinateurs et le réseau.Il y a 11 groupes de paramètresIl y a 11 groupes de paramètres– Stratégies de comptesStratégies de comptes

S’appliquent à tous les utilisateurs et ne fonctionnent S’appliquent à tous les utilisateurs et ne fonctionnent que pour un GPO lié à un domaine.que pour un GPO lié à un domaine.

– Stratégies locales (Stratégies locales (Droits utilisateurs …)Droits utilisateurs …)

– Journal des événementsJournal des événements– Groupes restreintsGroupes restreints


8787


– Services systèmesServices systèmes– RegistreRegistre– Système de fichierSystème de fichier– Stratégies de réseau sans filStratégies de réseau sans fil– Stratégies de clé publiqueStratégies de clé publique– Stratégies de restriction logicielleStratégies de restriction logicielle– Stratégies de sécurité IP sur ADStratégies de sécurité IP sur AD


8888


Installation de logicielsInstallation de logicielsL’installation de logiciels fonctionne avec L’installation de logiciels fonctionne avec

Windows installer et de façon associée à AD.Windows installer et de façon associée à AD.Deux manières de déployer les logiciels:Deux manières de déployer les logiciels:

Attribution d’applicationAttribution d’applicationA un utilisateur, un raccourci est placé sur son bureau, A un utilisateur, un raccourci est placé sur son bureau,

si il double-clique sur le raccourci ou sur un fichier si il double-clique sur le raccourci ou sur un fichier dont l’extension est associée, l’application s’installe.dont l’extension est associée, l’application s’installe.

A un ordinateur, l’application s’installera au démarrage A un ordinateur, l’application s’installera au démarrage de la machine.de la machine.


8989


Publication de l’applicationPublication de l’application

Des informations sont placées dans AD indiquant aux Des informations sont placées dans AD indiquant aux ordinateurs qu’une application est disponible à un ordinateurs qu’une application est disponible à un point de distribution réseau donné.point de distribution réseau donné.

L’installation se fait via ajout/suppression de L’installation se fait via ajout/suppression de programme, ou lorsque l’utilisateur ouvre un fichier programme, ou lorsque l’utilisateur ouvre un fichier dont l’extension est associée.dont l’extension est associée.


9090


Maintenance d’internet explorerMaintenance d’internet explorerPour gérer les favoris, les zones de sécurité…Pour gérer les favoris, les zones de sécurité…


9191


Utilisation des stratégies de Utilisation des stratégies de groupesgroupes


9292


Pour déployer une stratégie de groupe, il faut:Pour déployer une stratégie de groupe, il faut:1.1. Créer un GPOCréer un GPO

On peut modifier un GPO existant, si un nouveau On peut modifier un GPO existant, si un nouveau GPO est crée, aucun paramètres ne seront GPO est crée, aucun paramètres ne seront configurés.configurés.

2.2. Lier ce GPOLier ce GPOOn l’associe à un conteneur AD (un domaine, un site On l’associe à un conteneur AD (un domaine, un site ou une OU), les paramètres de ce GPO seront ou une OU), les paramètres de ce GPO seront appliqués aux utilisateurs et au ordinateurs de ce appliqués aux utilisateurs et au ordinateurs de ce conteneur. On peut lier plusieurs conteneurs à un conteneur. On peut lier plusieurs conteneurs à un GPO ou plusieurs GPO a un conteneur.GPO ou plusieurs GPO a un conteneur.


9393


L’application des stratégies se fait dans cet L’application des stratégies se fait dans cet ordre:ordre:

1.1. La stratégie locale de la machineLa stratégie locale de la machine

2.2. La stratégie du siteLa stratégie du site

3.3. La stratégie du domaineLa stratégie du domaine

4.4. La stratégie de l’UOLa stratégie de l’UO


9494


ConflitsConflitsLorsqu’il y a un conflit sur un paramètre (défini Lorsqu’il y a un conflit sur un paramètre (défini

dans deux GPO), c’est le paramètre du dernier dans deux GPO), c’est le paramètre du dernier GPO en conflit qui s’applique.GPO en conflit qui s’applique.

Lorsque plusieurs GPO sont liés à un même Lorsque plusieurs GPO sont liés à un même conteneur, les GPO sont traités dans l’ordre de conteneur, les GPO sont traités dans l’ordre de la liste des liaisons du conteneur.la liste des liaisons du conteneur.

Lorsqu’un paramètre utilisateur et ordinateur Lorsqu’un paramètre utilisateur et ordinateur entrent en conflit, c’est l’ordinateur qui l’emporteentrent en conflit, c’est l’ordinateur qui l’emporte


9595


HéritageHéritageLes conteneurs enfants héritent des paramètres de GPO Les conteneurs enfants héritent des paramètres de GPO

des conteneurs parents.des conteneurs parents.

BlocageBlocageSi on active le blocage, les paramètres de GPO du Si on active le blocage, les paramètres de GPO du

conteneur parent sont bloqué, sauf dans le cas du…conteneur parent sont bloqué, sauf dans le cas du…

ForçageForçagePour forcer l’héritage de GPO dans les conteneurs Pour forcer l’héritage de GPO dans les conteneurs

enfantsenfants


9696


FiltrageFiltragePour empêcher l’héritage des paramètres d’un Pour empêcher l’héritage des paramètres d’un

GPO pour certains utilisateurs, groupes ou GPO pour certains utilisateurs, groupes ou ordinateurs du conteneur.ordinateurs du conteneur.


9797


Application de la stratégie de groupeApplication de la stratégie de groupeAu démarrage de l’ordinateur:Au démarrage de l’ordinateur:

1.1. Application des paramètres ordinateurApplication des paramètres ordinateur

2.2. Traitement des scripts de démarrage (si il y a Traitement des scripts de démarrage (si il y a lieu)lieu)

3.3. Application des paramètres utilisateurApplication des paramètres utilisateur

4.4. Traitement des scripts d’ouverture de session Traitement des scripts d’ouverture de session (avant ceux spécifiés dans le profil utilisateur)(avant ceux spécifiés dans le profil utilisateur)


9898


L’actualisation de la stratégie de groupe L’actualisation de la stratégie de groupe (connexion en cours ou non) est effectuée (connexion en cours ou non) est effectuée toutes les 5 minutes sur les contrôleurs, et toutes les 5 minutes sur les contrôleurs, et toutes les 90+(+/-30) minutes sur les toutes les 90+(+/-30) minutes sur les stations de travail (sauf les stratégies stations de travail (sauf les stratégies d’installation de logiciel)d’installation de logiciel)


9999


Planification des stratégiesPlanification des stratégies! La planification d’active directory influence celle ! La planification d’active directory influence celle

des stratégiedes stratégie– GPO Niveau site:GPO Niveau site:

Affecte tous les ordinateurs et utilisateurs du Affecte tous les ordinateurs et utilisateurs du site (excepté les utilisateurs mobiles).site (excepté les utilisateurs mobiles).Tous les domaines du site sont affectés.Tous les domaines du site sont affectés.


101101


– GPO niveau OUGPO niveau OUAffecte tous les ordinateur et utilisateurs de Affecte tous les ordinateur et utilisateurs de l’OU ainsi que les OU enfant selon les l’OU ainsi que les OU enfant selon les spécifications vues précédemment.spécifications vues précédemment. la gestion des GPO d’une OU peut être la gestion des GPO d’une OU peut être déléguéedéléguée

Documents

2008 Active Directory S. Mouget - IUT Lannion LP GSR 1 WS 2003 Active Directory Présentation générale