Embed Size (px)
Citation preview
Active Directory
1 L’annuaire Active DirectoryDans Win NT, on trouvait la notion d'annuaire : il permettait de mémoriser les utilisateurs, les groupes, etc ... Il était stocké et géré par le contrôleur principal du domaine (CPD) et pouvait être dupliqué sur les différents contrôleurs secondaire du domaine (CSD).
Pour Win 2000/2003, l'annuaire est géré à l'aide d’AD qui permet la configuration et la gestion des propriétés de différents objets :
comptes d'utilisateurs, groupes, ordinateurs, imprimantes, dossiers, applications, domaines, sites, unités d'organisation, stratégies de sécurité.
L’AD permet de simplifier l’administration des objets du domaine (plusieurs millions d’objets) et d’avoir une tolérance de pannes , car elle est distribuée sur chacun des contrôleurs de domaines. Tous les contrôleurs contiennent les mêmes informations : réplication « multi-maître ».Le fonctionnement d'Active Directory est basé sur des protocoles standards de l’Internet :
TCP/IP : protocole réseau. DNS : l’espace de nom des domaines
Windows 2000 se base sur ce service. DHCP : ce protocole de distribution de
configuration IP va permettre d’allouer un adressage IP aux clients qui en font la demande, ainsi que de renseigner le DNS à propos des adresses distribuées.
Kerberos version 5 : permet l’authentification.
LDIF : permet la synchronisation de l’annuaire.
SNTP : protocole de distribution de l’heure. Il est impératif que toutes les machines Windows 2000 soient synchronisées du fait de la méthode d’authentification Kerberos qui se base sur un ticket d’accès horodaté.
LDAP : ce protocole permet l’accès à l’annuaire. Lors d’une recherche dans Active Directory, vous faites d’abord appel au serveur LDAP.
2 Active Directory et DNSL'annuaire ne peut fonctionner sans DNS . Il est donc impératif d'avoir au moins un serveur DNS pour le domaine. C'est entre autre la raison pour laquelle, lors de l'installation d'un serveur contrôleur de domaine, Win 2000/2003 propose l'installation d'un serveur DNS.Sous Win 2000/2003, le serveur DNS :
accepte la mise à jour dynamique des enregistrements lors de l'ouverture de session d'un client Win 2003 (même si ce client est aussi client DHCP),
permet l’intégration des zones dans Active Directory (les zones ne sont plus alors les fichiers "*.dns", mais deviennent des objets directement intégrés dans l'annuaire),
permet à un client qui veut ouvrir une session d'obtenir la liste du (des) serveur(s) de son domaine (enregistrement DNS de type SRV) qui validera son ouverture de session.
1
3 Active Directory et DNSLa notion de CPD et CSD n'existe plus. Il n'y a que des contrôleurs de domaine (par sécurité, au moins deux contrôleurs par domaine).L'annuaire est identique sur tous les contrôleurs du domaine et, à quelques rares exceptions près, il est modifiable à partir de n'importe quel contrôleur du domaine.Toute modification de l'annuaire à partir d'un contrôleur de domaine est automatiquement copiée sur les autres contrôleurs du domaine.
4 Structure logique d’AD : domaine, unité d’organisation (UO), forêt, arbre
Active Directory est composée de forêts, d’arbres, de domaines et d’unités d’organisation (UO).
Une forêt contient un à n arbres . Un arbre contient un à n domaines . Un domaine contient n Unités d’Organisation . Une unité d’organisation contient n objets .
4.1 DomainePour Win 2000/2003, un domaine :
est une structure logique (et non pas physique), qui regroupe de manière logique des ordinateurs, partage la même base d'annuaire : pour un domaine, un seul
annuaire. possède un nom de type DNS : "ma-societe.fr"
(GROUPEn.local)
L'annuaire est géré au niveau du domaine : « un domaine = un seul annuaire ».Tous les contrôleurs de domaine de ce domaine ont le même annuaire (une réplication de cet annuaire s'effectue entre les contrôleurs du domaine).
Le domaine "ma-societe.fr" possède ici deux contrôleurs de domaine. Si un contrôleur de domaine tombe en panne, les utilisateurs du domaine peuvent continuer à travailler.
L'administration du domaine et des ses objets se fait au sein du domaine (et non pas à partir d'un autre domaine). Pour une grosse entreprise qui possède plusieurs domaines, cela permet une séparation et un cloisonnement des pouvoirs d'administration.Pour une PME - PMI mono -domaine, cela n'amène finalement pas de gros changements par rapport à Win NT, hormis le nom du domaine qui sera pour Win 2000/2003 de type DNS .
Dans le cas d'une entreprise qui aurait besoin de deux domaines "ma-societe.fr" et "fabrication.ma-societe.fr", chaque domaine possède :
sa base d'annuaire, au moins un contrôleur de domaine, ses postes clients.
2
Il n'y a pas forcement de lien entre les domaines et la structure physique de l'entreprise (l'usine de fabrication peut très bien être au même endroit que les autres services de l'entreprise).
Rappel : nous utilisons les conventions DNS, donc : "ma-societe.fr" est le domaine parent (ou domaine père ou domaine racine), "fabrication.ma-societe.fr" est un domaine enfant du domaine "ma-societe.fr".
4.2 Arborescence, forêt, schéma, catalogue global4.2.1 ArbreUn arbre regroupe un ou plusieurs domaines qui partagent le même espace de nom (au sens DNS bien sûr).4.2.2 ForêtUne forêt regroupe un ou plusieurs arbres . Tous les domaines d'une forêt partagent le même catalogue global .4.2.3 SchémaLe schéma du service d'annuaire Active Directory contient les définitions de tous les objets, tels que les ordinateurs, les utilisateurs et les imprimantes stockés dans Active Directory.Il existe deux types de définitions dans le schéma :
les classes les attributs
Les classes, également appelées classes d'objets , décrivent les objets d'annuaire qui peuvent être crées. Chaque classe est une collection d'attributs. Les attributs sont définis indépendamment des classes. Chaque attribut est défini une seule fois et peut être utilise dans plusieurs classes.Exemple : l’attribut Description est utilise dans de nombreuses classes, mais il n'est défini qu une seule fois dans le schéma.
Lorsque vous créez un objet, les attributs de cet objet contiennent des informations qui décrivent l’objet. Les utilisateurs peuvent r echercher des objets dans Active Directory en recherchant des attributs spécifiques .Exemple : un utilisateur peut rechercher une imprimante dans un bâtiment donné en effectuant une recherche sur l’attribut Emplacement de la classe d'objet des imprimantes.
Dans Windows 2000, il n'y a qu'un seul schéma pour l’ensemble de la forêt.Le schéma est stocké dans la base de données AD. Lorsque vous installez AD sur le premier contrôleur de domaine d’une forêt, un schéma est créé sur ce contrôleur.
Le fichier de la base de données Active Directory s'appelle Ntds.dit et se trouve dans %systemroot%\Ntds
4.2.4 Le catalogue global C’est un référentiel d'informations qui contient un sous-ensemble d'attributs relatifs à tous les objets Active Directory. Par défaut, les attributs stockés dans le catalogue global sont les plus fréquemment utilisés dans les requêtes (par exemple, le prénom, le nom, le nom d'ouverture de session et le mot de passe d'un utilisateur). Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue global et traite les requêtes qui lui sont destinées.
Le catalogue global remplit deux rôles d'annuaire importants, il permet à un utilisateur :
3
d'ouvrir une session sur le réseau en fournissan t à un contrôleur de domaine des informations sur l’adhésion aux différents groupes lorsqu'un processus d'ouverture de session est lancé.
de trouver des i nformations d'annuaire dans la forêt entière, quel que soit l’emplacement des données.
Exemples de structures :
Ici, on n'a qu'un seul espace de nom "ma-soc.fr", avec 4 domaines enfants .
On n'a donc qu'un seul arbre . De même, on n'a qu'une seule forêt .
Ici, on a deux espaces de noms : "ma-soc.fr", avec 3 domaines enfants, "ma-soc.es" (Espagne), sans domaine enfant.
On a deux arbres mais une seule forêt qui regroupe ces deux arbres.
4.3 Unité d'organisation (UO)Une unité d'organisation est :
une structure hiérarchique logique (et non pas physique), créée dans un domaine (et donc gérée grâce à l'annuaire), qui va permettre de représenter une
structure géographique ou des services de l'entreprise.
Les unités d’organisation peuvent être fondées sur : l’administration ou les objets les zones géographiques les activités de l’entreprise les services de l’entreprise des projets
Les UO sont de conteneurs (des "dossiers") dans lesquels on peut créer les utilisateurs, des groupes et sur lesquels on va appliquer des stratégies de groupe, déléguer des droits d’administration…
5 Contrôleur de domaine : Mode mixte ou natifEn mode mixte, un client Win NT peut être authentifié :
soit par un contrôleur de domaine Win 2000/2003 Server,
soit par un CSD Win NT.
En mode natif, tous les contrôleurs de domaine sont en Win 2000/2003 Server.
L'installation par défaut d’AD se fait en mode mixte .
4
Pour passer en mode natif :Démarrer \ Programmes \ Outils d'administration \ Utilisateurs et ordinateurs Active Directory \ sélectionner le domaine à basculer \ clic droit \ Propriétés \ Changer de mode.Attention : on ne peut pas revenir du mode natif au mode mixte.
6 Installation des contrôleursL'installation de Win 2000/2003 Server sur un ordinateur permet de faire de ce serveur :
un "Serveur Autonome " : serveur (de fichiers, d'applications, d'impression par exemple) présent dans un groupe de travail ,
ou un "Serveur Membre " : serveur (de fichiers, d'applications, d'impression par exemple) présent dans un domaine .
Seule l'installation ultérieure d'Active Directory sur ce serveur le fera devenir contrôleur de domaine
Lorsque vous installez Active Directory sur un ordinateur exécutant Windows 2000 Server, vous spécifiez dans quel domaine cet ordinateur jouera le rô1e de contrôleur de domaine.
5
7 TP Installation d’un domaine
7.1 Installation du domaine Deux solutions possible :
- A) par lancement d’une application sous la console DOS Tapez dcpromo.exe dans Démarrer, Menu Exécuter,ou- B) par l’assistant graphique de Windows
Outils d'administration, Configurer votre serveur, Sélectionner Active Directory, En bas de la page : Démarrer l'assistant
Les postes clients sont prêts
Vous êtes connectés en tant qu’administrateur Démarrer/exécuter : saisir DCPROMO L’assistant démarre : suivant Vérifier que contrôleur de domaine pour un nouveau domaine est sélectionné : suivant Vérifier que créer un nouveau domaine dans une nouvelle forêt est sélectionné :suivant Saisir le nom de domaine : exemple euromedia.local Le nom de domaine doit être un nom DNS valide (nom.ext.) Dans la zone nom de domaine NetBios validez sur EUROMEDIA. Donner l’emplacement de la base de données et du journal de AD : Suivant.
Remarque : il est conseillé de les stocker à des emplacements différents.
Vérifier que installer et configurer le serveur DNS sur cet ordi…..est sélectionné :Suivant. Sélectionnez Autorisations compatibles uniquement W2003 : Suivant. Saisir le mot de passe. Insérer, si cela est demandé, le cd W2003 pour terminer l’installation. Redémarrer l’ordinateur.
2 Configuration du service DNS
Windows Server 2003 dispose de plusieurs types de zones. Ces zones sont utilisées au sein d’un domaine dans le but d’améliorer le trafic des requêtes DNS. Ces zones seront mises en place sur un serveur DNS car un serveur DNS est capable d'héberger différents types de zones pour fournir une tolérance de panne et répartir la résolution de noms et la charge de travail.Elles servent à enregistrer dans une base de données ou un fichier suivant la zone considérée des noms ou des portions de domaine. Windows Server 2003 intègre également des enregistrements de ressources pour chaque zone. Bien que le DNS dynamique créer de nombreux enregistrements de ressources pour la base de données DNS, dans certains cas vous aurez besoin d’en créer manuellement.
Un mécanisme de résolution de noms permet de traduire des noms en adresses IP et inversement.
Pour que le système fonctionne de manière optimale il faut modifier la configuration du serveur DNS Ouvrir une session en tant qu’administrateur du domaine : EUROMEDIA
(Ou tapez dans la zone Exécuter : dnsmgmt.msc) Démarrer/Outils d’administration : icône DNS Le nom de votre serveur doit y apparaître.
2.1 Zones de recherche directes
Développez votre serveur DNS et cliquez Zones de recherche directesIl va falloir compléter les zones DNS intégrées à AD pour le domaine concerné.Une zone de recherche directe contient des mappages nom d'hôte / adresse IP
6
Dans le cas d'une recherche directe, le serveur DNS commence par analyser le suffixe DNS pour trouver la zone dans laquelle est située le nom d'hôte, puis recherche ensuite le mappage à l'intérieur de cette zone.
La console de gestion du service DNS présente une arborescence simple. Les deux premiers conteneurs listent les zones de recherches alors que le troisième liste les évènements relatifs au service DNS (ex. : Le serveur DNS a démarré)
clic droit sur la racine de votre domaine : euromedia.local choisir propriétés
Dans l’onglet Serveurs de noms, vérifier que le nom du serveur correspond à votre serveur DNS et que l’adresse Ip apparaît.
Attention : deux cas peuvent apparaître.
Cas N°1 : l’adresse Ip n’apparaît pas cliquez sur Modifier
saisir l’adresse IP et validez sur Ajouter Validez autant de fois sur les boutons Ok successifs, pour finir.
Cas N°2 : Le nom du serveur n’apparaît pas dans la zone Serveurs de noms
Clic bouton Ajouter puis Bouton Parcourir
7
Double clic sur le nom du serveur
Double clic sur zones de recherche directes
Clic sur le nom du domaine (euromedia.local) pour le mettre en vidéo inversée.
Validez sur le bouton Ok Choisir le nom du serveur
Validez sur le bouton Ok, et encore Ok
2.2 Zone de recherche inversée.
Une zone de recherche inversée contient des mappages adresse IP / nom d'hôte
Dans le cas d'une recherche indirecte, le serveur DNS ne connaît que l'adresse IP de l'hôte. Il ne peut donc pas utiliser la hiérarchie de l'espace de noms pour retrouver le nom d'hôte. En effet si le serveur devait interroger toutes les zones DNS pour trouver le nom d'hôte, la recherche indirecte prendrait trop de temps et de ressources pour être réellement efficace.
C'est pourquoi un domaine spécifique, nommé in-addr.arpa a été réservé dans l'espace de noms DNS. Ce domaine est subdivisé en sous-domaines correspondant chacun à un réseau donné. Ainsi le domaine contenant tous les mappages adresse IP / nom d'hôte du réseau privé de classe C (la page des adresses IP privées de classe C va de 192.168.0.1 à
8
192.168.255.254) se nomme 168.192.in-addr.arpa. Par exemple, lorsqu'un serveur DNS recherche le nom d'hôte correspondant à l'adresse IP 172.16.16.1, il s'adresse à la zone nommée 16.172.in-addr.arpa.
Sélectionnez zone de recherche inversée.
Dans le menu Action sélectionnez nouvelle zone , puis bouton Suivant.
Dans la nouvelle fenêtre, cliquez sur Zone principale et laissez cochée Enregistrer la zone dans Active directory : bouton Suivant. Conserver vers tous les contrôleurs de domaine Active directory : bouton Suivant. Sous zone ID réseau, saisir l’adresse de votre réseau (ex :192 ). bouton Suivant Conservez n’autoriser que les mises à jour dynamiques sécurisées : bouton Suivant pour terminer.
Voici le résultat
3 Intégration d’un poste client dans le domaine
Cette procédure s’effectue sur chaque poste de travail lors de son intégration dans le domaine1. Se connecter en tant qu’administrateur2. Clic droit sur poste de travail/propriétés3. Onglet nom de l’ordinateur/modifier4. Dans la zone membre de :sélectionner Domaine. : Exemple euromedia (ne pas mettre l’extension du domaine).5. Validez.
Si tout se passe bien, un message de bienvenue signale votre inscription au domaine sur le serveur.Redémarrez le poste pour intégrer le domaine.
Vérification au niveau AD du serveur :1. Démarrer/programmes/outils d’administration2. Utilisateurs et ordinateurs3. Clic sur la croix située à gauche du domaine concerné4. Clic sur dossier computers : votre poste doit s’y trouver.
9
8 Présentation des objets de l'annuaire Démarrer/outils d’administration/Utilisateurs et ordinateurs Active Directory.
Les objets et conteneurs crées par défaut sont :
Builtin : contient les groupes de domaines locaux prédéfinis du domaine utilisés pour attribuer des autorisations par défaut aux utilisateurs chargés d’exécuter un rôle administratif. Dans le domaine.
Computers : contient tous les ordinateurs qui font partie du domaine( ayant un compte d’ordinateur).Domain controllers : contient les contrôleurs de domaine qui font partie du domaine .Users : contient tous les utilisateurs et groupes globaus prédéfinis du domaine
6 Les protocoles supporté par d’Active Directory
– TCP/IP : protocole réseau– DNS : la gestion des noms de domaine Windows 2000 repose sur ce service.– DHCP : Distribution d'adresses IP. Il renseigne le DNS sur les adresses distribuées (DHCP dynamique).– SNTP : protocole de distribution de l'heure. Toutes les machines W2k doivent être synchronisées car
l'authentification Kerberos se base sur un ticket horodaté.– LDAP : protocole d'accès à l'annuaire– KERBEROS : permet l'authentification– LDIF : permet la synchronisation de l'annuaire (Lightweight Data Interchange Format)
7 Les objets de l'Active Directory
Icône Dossier Description :
Domaine Le nœud racine du composant logiciel enfichable représente le domaine administré.
Ordinateurs Contient tous les ordinateurs Windows NT et Wi2k qui font partie du domaine.
Système Contient les informations concernant les systèmes et les services Active Directory, tels que RPC ou WinSock,
ainsi que d'autres informations.
Utilisateurs Contient tous les utilisateurs du domaine. Pendant une mise à niveau, tous les utilisateurs du domaine précédent
font l'objet d'une migration. Tout comme les ordinateurs, les objets utilisateur peuvent être déplacés.
Utilisateur Un objet utilisateur est un objet de l’annuaire auquel s’appliquent des règles de sécurité. Un utilisateur peut se
connecter au réseau avec ces références et disposer d'autorisations d'accès.
Contact Un objet contact est un compte qui ne dispose d’aucune autorisation de sécurité. Vous ne pouvez pas vous
connecter au réseau en tant que contact. Les contacts représentent les utilisateurs externes dans le cadre de la
messagerie.
Ordinateur Un objet qui représente un ordinateur sur le réseau. Pour les stations de travail et serveurs Windows NT, il s'agit
du compte d’ordinateur.
10
Unité
organisationnelle
Les unités organisationnelles sont utilisées comme conteneurs pour organiser de façon logique des objets
d'annuaire tels que les utilisateurs, les groupes et les ordinateurs. Elles sont comparables aux dossiers que vous
utilisez pour organiser les fichiers sur votre disque dur.
Groupe Les groupes peuvent contenir des utilisateurs, des ordinateurs et d'autres groupes. Les groupes simplifient la
gestion d'un grand nombre d'objets.
Dossier partagé Un dossier partagé est un objet partagé sur le réseau qui a été publié dans l'annuaire.
Imprimante
partagée
Une imprimante partagée est une imprimante réseau qui a été publiée dans l'annuaire.
8 Les outils : Les consoles d'administration
L'administration de Windows 2003 Server s'effectue à l'aide de consoles.
A l'installation des consoles sont pré créées (msc pour MicroSoft Console)
On retrouve certaines de ces consoles dans les outils d'administration du menu démarrer
11
