Administration Ad

Administration Active DirectoryRdig par Guillaume MATHIEU, consultant Ple Architecture & Intgration MANPOWER / PROSERVIA

Plan de cours 1/21. Prsentation de Windows Server 2008 Server R2 : Les nouveauts Les Best Practice 2. Prsentation Active Directory : Quest ce quun annuaire. Les notions de fort / domaine / OU / schma Active Directory. 3. Les comptes utilisateurs : Proprits dun compte utilisateur. Les modles de compte utilisateur. 4. Les comptes ordinateurs : Prsentation compte ordinateur. Joindre un domaine 5. Les groupes : Les tendues et les types de groupe. Les Best Practice.

6. Les Units dorganisation : Prsentation gnrale Dlgation dadministration.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 2

Plan de cours 2/27. Les stratgies de groupe: Les grands principes . Prsentation de GPMC. Les outils de diagnostics.8. Les mcanismes de rplication : Prsentation de la console Sites et Services Active Directory La topologie de rplication. 9. Sauvegarde et restauration Active Directory : Sauvegarde Active Directory Restauration autoritaire / la corbeille Active Directory

10. Notions avances Active Directory : Les outils de supervision / dpannage (DCDIAG, ASIEDIT, REPMON, REPADMIN).11. Les services rseaux : Le service DHCP Le service WINS

Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite

3

1. Prsentation de Windows Server 2008 R2


4

Ouverture session avec Windows 2008 R2 1/2A savoir : Le champ Se connecter A nexiste plus. Pour se connecter la base SAM local sur Windows Server 2008, taper : nom_machine\utilisateur. Si la machine est membre dun domaine, se connecter au domaine en tapant : Nom_NETBIOS\login_utilisateur_pre_Windows_2000 login@nom_dns_domaine


5

Ouverture session avec Windows 2008 R2 2/2A savoir : Il est possible de dfinir des noms de domaine DNS supplmentaires appels suffixes UPN. Intrt : le login de lutilisateur = ladresse de messagerie (plus simple retenir). Toujours vrifier que le suffixe UPN nest pas dj utilis au niveau dune autre fort que lon approuve.


6

Gestionnaire de ServerLa console Server Manager permet : Dajouter les composants Windows rpartis entre rles et fonctionnalits. Dactiver ou de dsactiver la configuration renforce de la scurit dInternet Explorer (IE ESC). De configurer les paramtres de mises jour. Il est possible depuis Windows Server 2008 R2 uniquement daccder distance la console Server Manager dun autre serveur. Attention, toutes les fonctionnalits ne sont pas accessibles. Daccder depuis un point unique aux principales consoles pour grer chaque rle / fonctionnalit.


7

Le bureau distance 1/2 :A savoir : A ne pas confondre avec le rle Terminal Server / Bureau distance qui correspond lancien Terminal Server mode serveur dapplications. La connexion entre un client RDP et le serveur RDP est chiffre maintenant. Windows 2008 gnre un certificat auto-sign do le message derreur lorsque que lon se connecte distance. Pour ne plus avoir de message derreur, installer un certificat reconnu qui na pas expir et se connecter au serveur avec le nom indiqu au niveau du certificat.


8

Le bureau distance 2/2 : Remplacer le certificat en installant une PKI (Active Directory Certificat Service) et en gnrant un nouveau certificat. Lancer la console Configuration de lHte de session Bureau distance, aller dans RDPTCP | Gnral et mapper le certificat. http://blogs.nelite.com/bl ogs/yvarloud/archive/2010 /04/05/windows-server2008-amp-r2-remotedesktop-servicescertificate.aspx


9

PowerShellPrsentation PowerShell : Nouvelle interface ligne de commande / sappuie sur le .Net Framework. Active Directory Center excute en fait des commandes PowerShell. Extensible (ajout de CMDLETs via chargement PSSNAPINs)

Les commandes PowerShell indispensables :Get-Help get-aduser full Get-Help get-aduser -examples Get-pssnapin : pour avoir la liste des composants de PowerShell Select-object : permet de slectionner que certains attributs de lobjet de sortie Get-Help nom_cmdlet :

Les oprateurs ( < > | where ne ), les variables $_.attributs et les filtres La commande ci-dessous permet de lister les caractristiques du domaine et dafficher la rponse sous forme dune liste : Get-ADDomain | format-List


10

Dsactiver / reconfigurer IPV6Pourquoi ? Les adresses IPV6 sont en DHCP. Cela gnre donc des messages derreurs lorsque lon fait un DCPROMO. IPV6 est incompatible avec certaines fonctionnalits comme Outlook Anywhere (Exchange 2007). Comment : Pour dsactiver IPV6, il faut dcocher la case IPV6 au niveau des proprits TCP/IP de chaque carte rseau. Crer la valeur DWORD 32 Bits DisabledComponents avec la valeur FFFFFFFF. En fixant DisabledComponents 0x20, on configure IPV4 comme protocole prioritaire sur IPV6 (configuration recommande)/ Pour plus dinformations, voir : http://support.microsoft.com/kb/929852/en-us


11

Dsactiver le pare feu :Pourquoi ? Par dfaut avec Windows Server 2008 / 2008 R2 le pare feu est activ. On oublie gnralement sa prsence et les administrateurs nont pas encore le rflexe de valider si un problme ne provient pas du pare feu. Le pare feu de Windows 2008 / 2008 R2 peut gnrer des erreurs de rplication si les exceptions ncessaires nont pas t configures.

Comment : Toujours passer par la console Pare feu avec Fonctionnalits avances . En effet, le pare feu de Windows Server 2008 / 2008 R2 dispose de 3 profils (public, priv, domaine). Il faut bien penser dsactiver la pare-feu pour les 3 profils.


12

Dsactiver lUAC 1/2:Le principe de lUAC : Quand on se logue sur une machine, un TGT est cr. Ce dernier liste le ou les SID du compte utilisateur et de tous les groupes auxquels le compte utilisateur appartient. LUAC permet de gnrer un second ticket. Tous les SID des groupes avec des privilges importants comme Administrateurs sont supprims. Lutilisateur utilise par dfaut ce second ticket. Pour pouvoir bnficier de toutes les fonctionnalits, il faut cliquer sur OK ou excuter le programme en tant quadministrateur. LUAC est paramtrable par stratgie de groupe.


13

Dsactiver lUAC 2/2:Pourquoi dsactiver lUAC ? Par dfaut avec Windows Server 2008 / 2008 R2 lUAC est activ. On oublie gnralement sa prsence et les administrateurs nont pas encore le rflexe de valider si un problme ne provient pas de lUAC. LUAC peut gnrer des problmes avec certains scripts ou des applications qui lancent des scripts. On peut avoir des accs refuss par exemple lors de lexcution de certains scripts. Problmes avec lutilitaire ADMT. Comment : Aller dans le Panneau de configuration | Comptes utilisateurs. Sous Windows 2008 (pas sous Windows 2008 R2), il faut redmarrer obligatoirement.


14

Divers 1/2 :Activer le voisinage rseau : Lancer la console services.msc et configurer le service Explorateur dordinateur pour dmarrer automatiquement et le dmarrer. En effet, ce service permet de maintenir la liste des machines dans le voisinage rseau (via un systme dlection). Hors par dfaut cest lEmulateur PDC qui gagne llection. Pour plus dinformations, voir : http://msreport.free.fr/?p=129 Renommer la machine : A linstallation, Windows gnre un nom alatoire. Penser renommer. Ne pas renommer un contrleur de domaine.


15

Divers 2/2 :Penser configurer Windows Update : Attention, par dfaut, Windows est configur pour tlcharger et installer automatiquement les mises jour. Passer en mode Tlcharger les mises jour et me laisser choisir sil convient de les installer . Penser activer Windows : Pour activer Windows, il faut aller dans Panneau de configuration | Systme et scurit puis cliquer sur Systme . Cliquer ensuite sur Modifier la cl produit . Cela va lancer automatiquement lactivation par Internet. Penser configurer un proxy auparavant si besoin. Pour plus dinformations, voir : http://msreport.free.fr/?p=153


16

TP : Windows Server 2008 R2 :A faire : Installer Windows Server 2008 R2. Renommer la machine. Configurer la machine en IP fixe. A quoi sert un masque de sous rseau, une passerelle, un serveur DNS, un serveur Wins ? Quest ce que lAPIPA, la configuration alternative (visible si station en DHCP). Dsactiver le pare feu, lUAC, IPV6. Installer le rle serveur de fichiers (installer tous les services de rles). Installer le rle IIS. Ninstaller que les services de rles proposes par dfaut. Comparer le mode dinstallation dIIS avec lquivalent sous Windows 2003. Pourquoi peut on dire que IIS 7.5 (Windows 2008 R2) est beaucoup plus scuris quIIS 6 (Windows 2003) ? Activer le bureau distance sur son serveur et accder au serveur dun collgue de son choix. Pourquoi y a-t-il un message davertissement ? Dsactiver la configuration renforce de la scurit dInternet Explorer pour les administrateurs. Quels risques en terme de scurit ? Ractiver le voisinage rseau. Lancer PowerShell. Excuter la commande PowerShell Get-Help Get-PSSNAPIN Excuter la commande Powershell Get-Alias dir et Get-Alias ls Comparer PowerShell avec linvite de commande CMD.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 17

2. Prsentation Active Directory


18

Quest ce quun service dannuaire ?Un service d'annuaire permet : D'identifier des ressources. Offre une mthode cohrente pour nommer, dcrire, rechercher, accder, grer et scuriser laccs aux ressources de lentreprise. Les limites Active Directory (taille, nombre dobjets) : http://technet2.microsoft.com/windowsserver/en/library/d2fc40d8-50ba-450c-959b28fd7e31b9961033.mspx?mfr=true Fonctionnement avanc : http://technet.microsoft.com/en-us/library/cc772829(WS.10).aspx Diffrence base SAM avec AD : AD est annuaire centralis (accessible depuis plusieurs machines). Une base SAM est un annuaire local. Les atouts d'Active DirectoryIntgration DNSAdministration dlgue Gestion centralise Intgration standards LDAP, DNS, KERBEROS Les GPO Tolrance au panne. PowerShell Extensible (mise jour schma)19


Les consoles dadministration 1/2 :Les principale consoles dadministration sont : Utilisateurs et Ordinateurs Active Directory : permet de crer les comptes utilisateurs, groupe, compte ordinateur, OU. Active Directory Centre dadministration : permet de crer les comptes utilisateurs / ordinateurs, groupes, units dorganisation (OU). Console trs oriente tches dadministration quotidiennes (crations de comptes). Sites et Services Active Directory : permet de forcer la rplication Active Directory et de grer les services qui se basent sur Active Directory. Domaine et Approbation Active Directory : permet de grer les suffixes UPN et les relations dapprobation. Active Directory Module for Windows PowerShell : permet de crer les comptes utilisateurs / ordinateurs, groupes, units dorganisation (OU) en ligne de commande ou laide de script.


20

Les consoles dadministration 2/2 :


21

TP : Zoom sur ADUC 1/2Si lon active le mode daffichage Fonctionnalits avances , les conteneurs suivants apparaissent : Lost and Found : contient tous les objets en conflits. Program Data : conteneur vide, permet des applications de stocker des donnes spcifiques une application. NTDS Quota : contient les objets quotas qui permettent de limiter le nombre dobjets que peut crer un compte utilisateur. Le but est de se protger des attaques par dni de service. http://www.serverwatch.com/tutorials/article.ph p/3075971/Exploring-Windows-2003-SecurityMore-Active-Directory-SecurityImprovements.htm System : contient tous les dossiers systmes ncessaires aux bons fonctionnement dActive Directory (FRS, les objets pour les stratgies de groupe).Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite

22

TP : Zoom sur ADUC 2/2 Managed Service Accounts : contient les comptes de services grs (nouveauts 2008 R2). Cela permet de changer le mot de passe dun compte de service sans avoir changer le mot de passe dans la configuration du service. Pour plus dinformations : http://blogs.technet.com/b/askds/archive/2009/09/10/managed-service-accountsunderstanding-implementing-best-practices-and-troubleshooting.aspx http://technet.microsoft.com/en-us/library/dd548356(WS.10).aspx http://technet.microsoft.com/en-us/library/cc772829(WS.10).aspx Passer en mode Fonctionnalits avances permet dafficher des onglets supplmentaires au niveau des proprits des objets : Editeur dattributs: sorte dADSIEDIT intgr au niveau des proprits dun compte utilisateur. Objet : permet de dterminer o se trouve lobjet (pratique pour les recherches) et de dsactiver la protection contre la suppression accidentelle. Rplication des mots de passe : permet de dterminer si lon peut mettre en cache le mot de passe sur les RODC.


23

TP : Zoom sur la console Sites et ServicesLa console Sites et Services naffichent pas par dfaut le nud services : Ce nud permet davoir une vue simplifie du conteneur Services dans la partition de configuration de lannuaire Active Directory. Pour afficher le nud services : Ouvrir la console Sites et Services Active Directory. Slectionner la racine de la console et cliquer sur Affichage | Afficher le nud des services.


24

Le service DNS 1/3 :A savoir : Protocole permettant de rsoudre un nom DNS (www.google.fr) en une adresse IP et inversement. Deux systmes de rsolution de noms : Zone de recherche directe : rsout un nom en IP. Zone de recherche inverse : rsout une IP en nom. Lespace de noms DNS est dcoup en zones DNS. Ces zones sont rpartis sur des milliers de serveurs DNS. Linterconnexion entre serveurs DNS se fait via le mcanisme de dlgation et de redirection. Afin de fournir une tolrance de panne et de rpartir la charge, un serveur DNS peut disposer dune copie en lecture seule (zone secondaire) de la zone dun autre serveur en lecteur / criture (zone principale).


25

Le service DNS 2/3 :Les notions avances : La redirection : un serveur DNS peut rediriger les requtes non rsolues vers un autre serveur DNS. La dlgation : un serveur DNS peut dlguer une partie de lespace de noms quil gre un autre serveur (payant). Interface : serveur DNS ne rpond aux requtes que sur certaines interfaces / IP. Un serveur DNS gnre toujours une entre de type A (Nom -> IP) pour ses interfaces en coute mme si on dsactive la mise jour dynamique DNS au niveau de la carte rseau. Problmatique si des stations de travail ne peuvent pas accder aux serveurs via certaines IP / cartes. Le round Robin : quand on dispose de plusieurs entres A, le serveur rpond alatoirement sur les diffrentes entres. Le TRI DNS : si plusieurs rponses possibles, le serveur DNS rpond toujours avec une IP qui est dans le mme rseau IP que la machine qui a fait la requte (prioritaire sur le Round Robin). Mise jour dynamique DNS : activable au niveau des zones DNS. Commande ipconfig /registerdns permet de forcer cration enregistrement A et PTR dune machine Windows (mise jour dynamique DNS). Transfert de zones : permet un serveur hbergeant une zone secondaire (en lecture seule) de tlcharger la zone depuis un autre serveur. Wins-R : le serveur DNS sappuie les enregistrements dun serveur WINS.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 26

Le service DNS 3/3 :


27

Le service DNS 3/4 :Plus dinformations sur le service DNS Phnomne dIlot DNS : http://support.microsoft.com/kb/291382/fr Cache Wins sur le serveur DNS : http://technet2.microsoft.com/windowsserver/en/library/92654b58-b10f-4c35ab22-389b70d94a521033.mspx?mfr=true Zones DNS en double : http://support.microsoft.com/kb/867464 Bug au niveau des zones secondaires sous Windows 2008 : http://msreport.free.fr/?p=145


28

Interaction DNS / Active Directory :Les stations de travail localisent les contrleurs de domaine en effectuant des requtes sur les enregistrements DNS suivants : _ldap._tcp.orga2.lan _ldap._tcp.le_nom_du_site_de_rattachement.Lan Les contrleurs de domaine se servent du DNS comme dun fichier de configuration en mettant jour leurs enregistrements. Cest le service CLIENT DHCP qui gre cela (ne jamais dsactiver ce service). Pour localiser qui est Emulateur PDC (lors changement mot de passe) : _ldap._tcp.pdc._msdcs.orga2.lan Pour forcer lactualisation des enregistrements de services des contrleurs de domaine (par dfaut toutes les 5 minutes), taper les commandes suivantes : Net stop netlogon & net start netlogon


29

TP1: le service DNSA faire : Avec le bloc Note, ouvrir le fichier C:\WINDOWS\system32\drivers\etc\hosts. A quoi sert ce fichier ? Installer le service DNS (Gestionnaire de Server | Ajout de rles). Crer la zone proserviaX.lan o X est le numro affect par le formateur. Autoriser les mises jour dynamiques non scurises et scurises. Crer un enregistrement www avec comme IP 192.168.0.1. Faire un ping de www.proserviaX.lan puis un ipconfig /displaydns puis ipconfig /flushdns puis de nouveau ipconfig /displaydns. A quoi sert le cache DNS ? Au niveau du serveur DNS, purger le cache DNS. Expliquer la diffrence avec la commande ipconfig /flushdns. Dfinir un suffixe DNS sur une machine en groupe de travail (Panneau de configuration | Proprits Systmes | Nom de lordinateur | Avanc). Faire un ipconfig /registerdns. Que fait cette commande ? Aller dans les paramtres avancs TCP/IP, onglet DNS et dsactiver la case Enregistrer les adresses de cette connexion dans le systme DNS . Crer une entre dans le fichier HOST et faire un ipconfig /displaydns. Se mettre par deux. Crer la zone . sur le serveur 1. Crer une nouvelle dlgation pour la zone fr en indiquant lIP du serveur 2. Sur le serveur 2, crer la zone fr et le sous domaine google. Crer un entre www dans google.fr . Faire un ping www.google.fr depuis le serveur 1 et 2.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 30

La structure logique Active Directory 1/2FortDomaine

Msreport.fr proservia.fr

Arborescence

Units d'organisation dans un domaine

recherche. msreport.fr

Ai.proservia.fr

eu.recherche. Msreport.fr


31

Les notions fondamentales 1/2 : Fort (symbole : rectangle) : limite de rplication et de scurit. Ensemble darborescences de domaine. Crer deux forts pour sparer deux entits pour des raisons de scurits (crer ensuite une relation dapprobation avec authentification slective). Arborescence de domaine (symbole plusieurs triangles relis ensemble) : Ensemble de domaine avec une mme racine de noms (noms contigus). Domaine (symbole : triangle) : contient les objets (comptes utilisateur / ordinateur, groupes, units dorganisation). Unit dorganisation (OU, symbole : le rond) : Cest un conteneur. Permet dorganiser lannuaire, dlguer ladministration et crer des objets de stratgie de groupe. DCPROMO : permet de convertir un serveur en groupe de travail / membre du domaine en un contrleur de domaine et inversement (excuter DCPROMO sur un contrleur de domaine). Serveur de Catalogue global : contient un rplique partielle de tous les objets de la fort (que certains attributs). Permet de rsoudre les membres des groupes universels et de faire de recherche dans lannuaire. SYSVOL : rpertoire spcial contenant les scripts et les GPO qui rpliquent sur tous les contrleurs de domaine.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 32

Les notions fondamentales 2/2 : NTDS.DIT : il sagit de la base de donnes Active Directory (NTDS : New Technology Directory Service). Cette base est un driv des bases JET (moyennement fiable mais trs rapide en lecture). Compte de restauration des services dannuaires : un contrleur de domaine na plus de base SAM locale. Le compte de restauration des services dannuaire permet de dmarrer en mode restauration des services dannuaire sur un rsidu de base SAM. Cela peut tre utile pour effectuer certaines oprations de maintenance pour Active Directory (restauration). Exportation des paramtres : permet de crer un fichier de rponse au format TXT pour faire une installation en mode Serveur CORE (Windows 2008 R2 sans interface graphique).


33

La structure logique Active Directory 1/2Toujours faire un domaine dans une fort sauf : Si les administrateurs ne doivent pas pouvoir grer toutes les ressources. Si vous devez avoir un nom NETBIOS diffrent pour chaque entit. Il nexiste pas dquivalent des suffixes UPN pour le nom NETBIOS. Lalternative est de faire en sorte que les utilisateurs ouvrent une session avec le nom DNS de domaine. En mode natif 2008, il est possible de crer plusieurs stratgies de mots de passe alors quen mode natif 2003 on ne peut crer quune stratgie de mot de passe par domaine. Best Practice : Faire un domaine dans une fort puis crer une OU par entits / services. Ne pas dpasser 4 5 niveaux dimbrication pour les OU si possible. Dlguer ladministration au niveau des units dorganisation. Faire une OU pour les comptes ordinateurs et une autre pour les comptes utilisateurs. Mapper les GPO sur ces OU.


34

Le choix des noms de domaine :Un domaine Active Directory dispose toujours de deux noms : Le nom NETBIOS : permet aux stations antrieurs Windows 2000 de se connecter au domaine. Le nom DNS : peut tre utiliss par les stations de travail Windows 2000. Le nom NETBIOS et le nom DNS peuvent tre compltement diffrents. Le nom NETBIOS apparat au niveau du champ Se connecter sur les machines Windows NT4, 2000, XP et 2003. En mode natif 2003, on peut renommer un domaine Active Directory (utilitaire RENDOM). Cela est trs dconseill, voir impossible (avec Exchange 2007). Les Best Practice : Dfinir un nom de domaine DNS gnrique qui ne reprend pas le nom de la socit (sauf si la probabilit que le nom de domaine change est trs faible). Utiliser les suffixes UPN pour ajouter des noms de domaine DNS. Choisir un nom NetBIOS qui dfinit lactivit de la socit. Attention, pas de nom de domaine DNS de type SINGLE LABEL DNS NAME (exemple : proservia.). Pour plus dinformations : http://msreport.free.fr/?p=149 http://www.msexchange.org/tutorials/Domain-Rename.html http://support.microsoft.com/kb/925822/en-usGuillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 35

Les modes de domaine :A savoir : Dfinit qui peut tre contrleur au niveau dun domaine. Dbloque des fonctionnalits (groupes globaux membres dautres groupes globaux). Pas de retour arrire possible.

Mode de domaine2000 mixte 2000 natif 2003 natif

FonctionnalitsFonctionnalit de base Groupe global membre dun autre groupe global.

Type de DCBDC NT4, DC 2000 / 2003 2000 / 2003 / 2008 / 2008 R2 2003 / 2008 / 2008 R2

Nouveau algorithme de rplication / attribut LastlogontTimestamp / authentification slective.DFS-R remplace NTFRS pour la rplication de SYSVOL. AES 128 / 256. Nouveaux attributs sur les logons.Fine Grained Password Policy. Comptes de service grs.

2008 natif

2008 / 2008 R2

2008 R2 natif

2008 R2

Pour plus dinformations : http://technet.microsoft.com/en-us/library/understanding-active-directory-functionallevels(WS.10).aspx http://msreport.free.fr/?p=128Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 36

Les modes de fort :A savoir : Dfinit qui peut tre contrleur dans la fort Active Directory. Permet de dbloquer des fonctionnalits (relation dapprobation inter-forts) Pas de retour arrire possible sauf depuis le mode natif 2008 R2. Le retour en mode 2008 natif est possible si lon a pas activ la corbeille Active Directory. Mode de fort2000 natif

FonctionnalitsFonctionnalits de base.Approbation de fort / Renommage de domaine ( viter) / support des RODC / amlioration au niveau du KCC et de lISTG / dsactivation dattribut. Mme fonctionnalits que le mode natif 2003.

Type de DCBDC NT4 / 2000 / 2003 / 2008 / 2008 R22003 / 2008 / 2008 R2 2008 / 2008 R2

2003 natif 2008 natif

2008 R2 natif

Corbeille Active Directory

2008 R2

Pour plus dinformations : http://technet.microsoft.com/en-us/library/understanding-active-directory-functionallevels(WS.10).aspx http://msreport.free.fr/?p=128 http://unifiedit.wordpress.com/2009/12/17/retrogradation-niveau-fonctionnel-2008-r2/Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 37

TP : Cration dun domaine 1/2A faire : Renommer la machine suivant la convention de nommage indique par le formateur (DCTESTLABX). Configurer le serveur en adressage IP fixe (valider la configuration DNS). Installer le rle serveur DNS. Installer le rle Active Directory Domain Services. Excuter lassistant DCPROMO (Domain Controller Promotion). Suivre les instructions des captures dcran. Il faut utiliser lassistant en mode avanc pour pouvoir crer une nouvelle arborescence de domaine.


38

TP : Cration dun domaine 2/2


39

TP : Ajout dun second DC 1/3A faire : Dfinir comme serveur DNS principal, lIP du premier contrleur de domaine. Expliquer pourquoi ? Faire un ping DCTESTLABX.formationX.lan puis ipconfig /displaydns Faire ensuite un ipconfig /flushdns puis ipconfig /displaydns. Expliquer. Lancer lassistant DCPROMO. Une fois lcran de bienvenue se lance, aller le gestionnaire de rle dans la section Rles de Server. Que constatez vous ? Suivre les indications sur les captures dcran.


40

TP : Ajout dun second DC 2/3 En mode avanc, il est possible de spcifier depuis quel contrleur de domaine on rplique. Pour les sites avec une trs faible bande passante, il est mme possible de rpliquer depuis une sauvegarde. Pour plus dinformations : http://www.laboratoire-microsoft.org/articles/win/dcpromo_adv/ Cocher les cases Serveurs DNS et Catalogue Global . Sans catalogue global, seul les administrateur du domaine peuvent ouvrir une session. Sans serveur DNS, les stations de travail ne peuvent pas localiser les contrleurs de domaine (sauf via diffusion).Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 41

TP : Ajout dun second DC 3/3Vrifier le fonctionnement de la rplication : Avec Sites et Services Active Directory Si la rplication nest pas fonctionnelle : Dfinir sur tous les DC le mme serveur DNS principal. Vrifier sur ce dernier quil existe une zone DNS correspondant au nom de domaine DNS. Vrifier si cette zone autorise les mises jour dynamiques. Taper les commandes suivantes : Ipconfig /flusddns Ipconfig /registerdns Net stop netlogon Net start netlogon Repadmin /kccGuillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 42

Les chemins LDAP :A savoir : Commutateurs Nom unique relatif LDAP : OU=Production Nom unique LDAP : OU= OU=Production,DC=orga2,DC=Lan CN= CN=sophie mathieu2,Ou=enfant,0U=Migration,DC=ORGA DC= 2,DC=LAN O= Nom canonique : orga2.lan/Production Signification. Units dorganisation Objets Domaine Organisation (Exchange).

A faire : Crer deux comptes utilisateurs appels Sophie Mathieu2 et guillaume.mathieu. Donner le chemin LDAP de la ressource Sophie Mathieu2 et guillaume.mathieu. Attention, il faut commencer par la ressource.


43

Les rles FSMO et le Catalogue Global 1/3 5 rles FSMO (Flexible Single Master Operation) et le Catalogue Global : : domaine. Permet aux stations NT4 : Emulateur PDC : serveur de temps dudouvrir une session sur le domaine (il se fait passer pour un PDC NT4). Gre les changements de mots de passe. En mode 2000 mixte, permet aux BDC NT4 de se synchroniser avec le DC jouant le rle dEmulateur PDC. Matre RID : permet dallouer des pool de 500 GUID. Si ce rle nest plus en ligne, les contrleurs de domaine ne peuvent plus obtenir de nouveau pool de GUID. Si leur pool est puis, ils ne peuvent plus crer de nouveaux objets. Matre dinfrastructure : permet de grer les objets fantmes (un objet fantme est cr lorsque lon joint un objet du domaine B dans un groupe du domaine A). Matre dattribution de noms de domaine : valide sil ny a pas de conflit(s) de noms DNS au niveau des domaines de la fort et des domaines approuvs. Matre de schma : permet de grer les modifications effectues au niveau du schma Active Directory. Le serveur de Catalogue Global : contient une rplique des principaux attributs de tous les objets de la fort. Permet de faire des recherches dans lannuaire. Gre les groupes universels. Si plus de serveur de Catalogue global, on ne peut plus ouvrir de sessions (sauf les administrateurs du domaine).


44

Les rles FSMO et le Catalogue Global 2/3Best Practice : Mettre tous les DC en tant que serveur de Catalogue global ou ne pas mettre le contrleur de domaine qui joue le rle de Matre dInfrastructure en tant que serveur de Catalogue Global.

Pour afficher la console Matre de Schma : Pour afficher la composant logiciel enfichable Matre de schma, taper la commande regsvr32 schmmgmt.dll. Aller dans me menu Dmarrer, cliquer Excuter puis taper MMC. Cela permet de lancer une console MMC vierge. Cliquer sur Ajouter un composant logiciel enfichable . Slectionner le composant Matre de Schma .Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite

45

Les rles FSMO et le Catalogue Global 3/3Astuce : Il faut se connecter sur le DC cible sur lequel on veut transfrer le rle car par dfaut la console Matre de Schma se connecte sur le contrleur de domaine qui joue le rle de Matre de Schma.

Pour plus dinformations sur les rles FSMO : http://support.microsoft.com/kb/324801 http://support.microsoft.com/kb/223346/fr http://support.microsoft.com/kb/839879 http://support.microsoft.com/kb/910202/en-us http://support.microsoft.com/kb/839879/ http://www.laboratoire-microsoft.org/articles/win/FSMO/3/Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 46

Les partitions dannuaires 1/4 :Active Directory est dcoup en partitions : Schma : contient lensemble des attributs et des classes (extensible). Configuration : contient la configuration de lannuaire Active Directory (les sites, les partitions dannuaires). Domaine (1 par domaine) : contient les donnes utiles (les comptes utilisateur / ordinateur, les groupes). ForestDnsZones : contient les entres des zones DNS publies sur tous les serveurs DNS de la fort. DomainDnsZones (1 par domaine) : contient les entres des zones DNS publies sur tous les serveurs DNS du domaine. Pour se connecter certaines partitions, il faut se connecter avec un diteur bas niveau Active Directory : ADSIEDIT.


47

Les partitions dannuaires 2/4 :


48


A faire : Lancer la console Utilisateurs et Ordinateurs Active Directory . Crer lOU Test la racine du domaine. Crer le compte utilisateur test1 (mot de passe : P@ssword) dans lOU Test. Crer le groupe global testgp1 dans lOU Test. Ajouter lutilisateur test1 au groupe global testgp1. Lancer ADSIEDIT. Se connecter la partition de domaine. Localiser la ressource testgp1 et diter lobjet utilisateur (bouton droit, Proprits). Aller au niveau de lattribut member et supprimer lentre test1. Relancer la console Utilisateurs et Ordinateurs Active Directory et valider que lutilisateur test1 nest plus membre du groupe testgp1.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 49



50

TP2 : Le service DNS :A faire : Crer une zone DNS appele google2.fr. Intgrer la zone dans lannuaire. Cocher la case Enregistrer la zone dans Active Directory . Slectionner ensuite Vers tous les contrleurs de domaine dans ce domaine Crer un enregistrement de type A appel www avec lIP 192.168.0.1. Cela va crer une entre dans System\Microsoft DNS. Publier maintenant cette zone dans la ForestDnsZones puis dans la DomainDnsZones. Pour cela, aller dans les proprits de la zone, onglet Gnral . Au niveau de Rplication, cliquer sur Proprits. Slectionner choix 1 puis choix 2.


51

Le schma:Vocabulaires : Attributs : proprits dun objet (exemple : description, socit, numro de fax). Mthodes : actions que lon peut faire sur un objet (dplacer, supprimer..) Classes : types dobjets (exemple de classe dobjet : groupe, utilisateur). Schma : ensemble des attributs, des mthodes et des classes. Le schma Active Directory est extensible. Cela permet dajouter des attributs ou des classes. On ne peut pas modifier les mthodes. Certaines applications comme Exchange (setup.com/PrepareAD) ncessite dtendre le schma. Pour plus dinformations : http://technet.microsoft.com/fr-fr/library/bb727029.aspx http://technet.microsoft.com/en-us/library/bb727064.aspx http://technet.microsoft.com/en-us/library/cc784557(WS.10).aspx


52

Mise jour/extension du schma :Pourquoi mettre jour son schma Active Directory : Installation de produit qui sappuie sur Active Directory comme Exchange. ADPREP /Forestprep : permet dajouter les attributs et les classes permettant linstallation des contrleurs de domaine de version Windows suprieur (exemple, DC 2008 R2 dans un domaine gr initialement par des DC Windows 2000). Best Practice : Effectuer la manipulation sur le matre de Schma. Dsactiver la rplication entrante et sortante sur le matre de schma pendant la phase de mise niveau du schma (voir commande ci-dessous).


53

TP schma : modification et ajout attributsA ne pas faire en production sans validation : Crer une MMC vierge et ajouter le composant logiciel enfichable Matre de Schma . Editer lattribut Description puis lattribut Department . Quel(s) attributs sont publis dans le Catalogue Global. Slectionner lattribut Title . Cocher la case pour que ce dernier soit conserv lors de la copie dobjet (compte utilisateur). Essayer de crer un nouvel objet. Il faut un numro OID pour cela. Affecter le nouveau attribut la classe user. Lancer la console Utilisateurs et ordinateurs Active Directory en mode daffichage Fonctionnalits avances . Editer un compte utilisateur et aller dans longlet Editeur dattributs .Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 54

Les relations dapprobation 1/5 :A savoir : Les relations dapprobations permettent de partager des accs entre deux annuaires diffrents. Tous les domaines de la mme fort sapprouvent. A approuve B : on peut dfinir des permissions sur les ressources du domaine A avec des utilisateurs / groupes du domaine B. Les utilisateurs de la fort B sont automatiquement membres du groupe Utilisateurs authentifis du domaine A. Lauthentification slective permet de donner aucun droit par dfaut entre deux domaines qui sapprouvent. Il faut dlguer au niveau de chaque compte ordinateur les droits Lire et Authentifier pour permettre un accs avec des permissions quivalentes Utilisateurs Authentifis Pas dapprobation entre deux domaines avec un nom de domaine NETBIOS ou un nom de domaine DNS identique. LEmulateur PDC de chaque domaine doit tre en ligne lorsque lon cre une relation dapprobation entre deux domaines. Les relations dapprobations peuvent tre : Transitive : si A approuve B et que B approuve C, alors A approuve C. Implicite : automatique (relation dapprobation entre domaines de la mme fort). Bidirectionnelle : A approuve B et B approuve A. Les relations dapprobations entre domaines de la mme fort sont transitives, implicites et bidirectionnelles.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 55

Les relations dapprobation 2/5 :A faire : Ouvrir la console DNS. Autoriser sur toutes les zones le transfert de zones. Sur le DC1 (domaine 1), ajouter les zones DNS du DC2 (domaine 2). Ouvrir la console Domaines et Approbation Active Directory . Crer une relation dapprobation bidirectionnelle. Activer lauthentification slective.


56

Les relations dapprobation 3/5 :


57



58



59

Le service Active Directory :A Savoir : Depuis Windows Server 2008, Active Directory est un service. Il est possible darrter ce service pour effectuer certaines oprations de maintenance. Redmarrer les services si possible (redmarrer aussi les dpendances). Pour plus dinformations, voir : http://technet.microsoft.com/en-us/library/cc732714(WS.10).aspx http://www.petri.co.il/defragmenting-active-directory-database.htm


60

Le rpertoire SYSVOLA savoir : Contient les scripts et les fichiers des stratgies de groupe (GPO). Lemplacement de SYSVOL se dfinit au DCPROMO (modification avec NTDSUTIL). Rplique sur tous les contrleurs de domaine. En mode natif 2003 et antrieur : utilisation de lalgorithme NTFRS En mode natif 2008 et ultrieur : utilisation de lalgorithme RDC. Le partage NETLOGON correspond au rpertoire c:\windows\sysvol\sysvol\nom_domaine\scripts. Le partage SYSVOL correspond au rpertoire c:\windows\sysvol\sysvol.


61

Le rpertoire NTDSA savoir : Contient lannuaire Pour sauvegarder lannuaire, il faut obligatoirement une sauvegarde de lEtat du systme. Une sauvegarde du lecteur C nest pas suffisante. Le fichier NTDS.DIT correspond la base de donnes Active Directory. Les fichiers .log sont les fichiers de logs. Les modifications sont effectues dans les logs puis inscrits ensuite dans le fichier NTDS.DIT. Le fichier .chk permet de connatre le log en cours. Les fichiers .jrs sont des fichiers de logs utilisaient en cas de saturation de lespace disque. Le fichier temp.edb est une base de donnes temporaire utilise pour certaines oprations. Pour rparer la base de donnes Active Directory, il faut utiliser lutilitaire ESEUTIL (dfragmentation.). Windows effectue tous les soirs une dfragmentation en ligne de lannuaire. Cette dernire ne permet cependant pas de rcuprer de lespace disque. Il faut une dfragmentation hors ligne.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 62

TP SYSVOL & NTDS 1/2Pr-requis : Un domaine avec deux contrleurs de domaine. A faire : Sur le premier contrleur de domaine, crer un fichier test.txt (contenu test1) dans c:\windows\sysvol\sysvol\nom_domaine. Attendre environ 5 minutes. Valider que ce dernier est apparu dans le mme rpertoire sur le second contrleur de domaine. Sur les deux contrleurs de domaine, diter le mme fichier, le modifier (mettre une valeur diffrente) et lenregistrer au mme moment. Que se passe til ? Arrter le service DFS Replication sur le second contrleur de domaine. Crer un nouveau fichier sur le premier contrleur de domaine. Que se passe til ? Arrter maintenant le service Active Directory. Effectuer ensuite une dfragmentation hors ligne. Redmarrer tous les services de dpendance pour Active Directory. Best Practice : toujours vrifier que tous les services de dpendances Active Directory ont redmarrs (DNS, DFS Replication)


63

TP SYSVOL & NTDS 2/2Taper les commandes suivantes : Ntdsutil Activate Instance NTDS Files info Compact to c:\Windows\NTDS\temp Remplacer le fichier NTDS.DIT.


64

3. Les comptes utilisateurs


65

Prsentation compte utilisateur 1/3 :A savoir : Les comptes utilisateurs sont identifis par le SID / GUID et non par le login. Il est donc possible de changer le login / renommer un compte utilisateur. Il existe deux types de login (un pour nom NETBIOS et un pour nom DNS). Toujours cocher la case Le mot de passe nexpire jamais pour un compte de service ou utiliser la nouvelle fonctionnalit de Compte de services grs .


66

Prsentation compte utilisateur 2/3 : Pour le chemin des profils itinrants, il est possible dutiliser la variable %username% et faire une slection multiple. Indiquer juste le nom du script de login. Ce dernier doit se trouve dans c:\windows\sysvol\sysvol\nom_domaine_dns\scripts Depuis Windows Server 2008, il est possible de protger les comptes utilisateurs contre une suppression accidentelle. Cela positionne des permissions Refus pour lopration de suppression au niveau de longlet Scurit du compte utilisateur (il faut tre en mode daffichage Fonctionnalits avances . Avec les RODC, il est possible de dire si le mot de passe peut tre mis en cache (en mmoire) ou non.


67

Prsentation compte utilisateur 3/3 : La console Utilisateurs et Ordinateurs Active Directory intgre maintenant une diteur ADSIEDIT (onglet Editeur dattributs ). Les deux captures de droite montrent les permissions positionnes par la case Protger contre la suppression accidentelle . Longlet Bureau Virtuel est li la solution Microsoft Virtual Desktop Infrastructure (VDI). http://www.laboratoire-microsoft.org/articles/MicrosoftVDI/4/ Il est possible de visualiser les certificats associs aux comptes utilisateurs comme pour EFS (cl publique uniquement)


68

Modifications multiples : Il est possible deffectuer des modifications sur plusieurs comptes en mme temps en appuyant sur la touche contrle et en slectionnant les comptes utilisateurs. On peut aussi utiliser un outil comme ADMODIFY. Pour plus dinformations sur ADMODIFY, voir : http://msreport.free.fr/?page_id= 124


69

Les modles de comptes utilisateurs :A savoir : Modle de compte : on passe par la fonction Copier. Lassistant classique se lance ensuite et demande de saisir les informations spcifiques au compte utilisateur. On peut modifier dans la console Schma , les valeurs des attributs qui sont conservs lors dun copie. Intrt : Permet de conserver la valeur de certains attributs (appartenances aux groupes, certains champs de ladresses). Do un gain de temps. Best Practice : Dsactiver les modles de comptes utilisateurs.


70

Best Practice compte utilisateur :Les BEST PRACTICE : Valider avec la direction la convention de nommage et la stratgie de mots de passe. Intgrer si possible une chane de caractre alatoire dans le login pour viter les attaques par verrouillage (en dterminant le login dun utilisateur). Crer des modles de comptes utilisateurs. Dsactiver les comptes au lieu de les supprimer. En effet en cas de suppression, il ne sera pas possible de rcuprer le SID sauf si lon effectue une restauration autoritaire (avec NTDSUTIL). Ne pas activer le verrouillage de comptes avec une seuil trop faible (mettre environ 50 checs avant le verrouillage). Pour les comptes de services, cocher la case Le mot de passe nexpire jamais afin dviter que le mot de passe des comptes de services nexpire. Cela bloquera en effet le dmarrage du service. Il est aussi possible dutiliser les nouveaux comptes de services grs. Remarque : Il existe des outils comme Quest ActiveRoles for Server qui permettent de forcer la saisie de certains champs lors de la cration des comptes utilisateurs ou qui permettent dimposer un certain formalisme lors de la saisie des champs.


71

TP : cration compte utilisateurA faire : Crer un compte utilisateur sans mot de passe. On obtient le message derreur cidessous. Ressayer en utilisant le mot de passe P@ssword . Ouvrir une session avec ce compte sur une machine membre du domaine. Un nouveau profil est gnr. Lancer lditeur de base de registre (REGEDT32). Faire une recherche sur la valeur profileimagepath . Cette cl permet de mapper le SID du compte au profil utilisateur. Personnaliser le profil (fond dcran, cration de fichiers sur le bureau). Fermer la session. Renommer le compte utilisateur (champ prnom, nom, description, login). Ouvrir la session. Vous devez rcuprer votre profile. Pourquoi ? Pour plus dinformations, voir : http://msreport.free.fr/?p=86


72

La gestion des mots de passe 1/2 :Les paramtres de stratgies de mots de passe : Historique des mots de passe / dure de vie minimale du mot de passe : permet dempcher les utilisateurs de rutiliser le mme mot de passe. Le paramtre dure de vie minimale du mot de passe empche lutilisateur de changer X fois son mot de passe jusqu'a pouvoir ressaisir son ancien mot de passe. Dure de vie maximale du mot de passe : le mot de passe devra tre changer tous les X jours. Longueur minimum du mot de passe : le mot de passe doit faire au minimum X caractres. Les mots de passe doivent respecter les exigences de complexit : permet dobliger les utilisateurs saisir un mot de passe avec un caractre spcial ou une majuscule ou un chiffre. Les paramtres de complexit ne sont pas configurables. Quelle stratgie de mots de passe adopte ? Depuis Windows Server 2008, il est possible de crer des Fine Grained Password Policy . On peut donc dfinir des stratgies de mots de passe spcifique pour un utilisateur ou un groupe. La stratgie de mots de passe doit avoir t valide par la direction de lentreprise. Les risques : Une politique de mots de passe trop faible risque de compromettre le niveau de scurit de la socit tout comme une politique de mots de passe trop complexe (les utilisateurs crivent sur papier leur mot de passe).Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 73

La gestion des mots de passe 2/2 :Procdure de changement de mots de passe ? Rinitialisation de mots de passe Changement de mot de passe : attention la rinitialisation de mot de passe fait perdre laccs aux donnes chiffres avec EFS dans certains cas (si compte de la base SAM local par exemple). Quel politique adopte ? Toujours faire valider la stratgie de mots de passe par la direction. Il faut trouver un juste milieu (complexit activ, historique : 5 mots de passe, dure de vie minimale du mot de passe : 1 journe, dure de vie maximale du mot de passe : 42 jours). Cocher la case Le mot de passe nexpire jamais pour les comptes de services.

Procdure de cration des Fine Grained Password Policy : http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx


74

Managed Service Accounts 1/2 :Les Managed Service Accounts : Prise en charge avec machine Windows Server 2008 R2 / Windows Seven. 1 Managed Service Account par machine (pas de partage dun mme Managed Service Account entre machines). Pas de pris en charge des cluster (services mis en haute disponibilit). msDS-ManagedServiceAccount : nouvelle classe pour grer les Managed Service Accounts. Managed Service Account : cest une sorte dintermdiaire entre un compte utilisateur et un compte ordinateur. Changement du mot de passe : mme fonctionnement quun compte ordinateur (changement tous les 30 jours). Ncessite mode 2008 R2 pour changement automatique du mot de passe. Pas de login interactif ou de verrouillage de compte. Possibilit dajouter un Managed Service Account un groupe (pour le contrle des accs). Pour plus dinformations : http://technet.microsoft.com/en-us/library/dd548356(WS.10).aspx http://blogs.technet.com/b/askds/archive/2009/09/10/managed-service-accountsunderstanding-implementing-best-practices-and-troubleshooting.aspx


75

Managed Service Account 2/2 :A faire : Cration et utilisation dun Managed Service Account : Cration des Managed Service Accounts via PowerShell uniquement. Installation des Managed Service Accounts sur une machine via PowerShell. Lors configuration du service, ne pas mettre de mots de passe au niveau du service. Rinitialiser ensuite le mot de passe du Managed Service Account.


76

4. Les comptes ordinateurs


77

Prsentation gnrale 1/2A savoir : Les comptes ordinateurs disposent dun mot de passe. Permet dauthentifier la machine dans le domaine. La machine envoie le mot de passe du compte ordinateur (qui est mis en cache) au contrleur de domaine. Ce dernier le compare au mot de passe contenu dans lannuaire. Permet dattribuer des GPO de type Configuration Ordinateur . Le mot de passe du compte ordinateur change par dfaut tous les 30 jours (configurable via registre / GPO). Lorsque lon joint une machine au domaine, par dfaut le compte ordinateur est ajout dans le conteneur Computer la racine du domaine. En cas de problme avec le compte ordinateur, une erreur NETLOGON apparat sur la station de travail et le contrleur de domaine. Il est possible de pr-crer le compte ordinateur dans une OU spcifique. Quand la machine joint le domaine, elle complte les informations (version de lOS). Des produits de lditeur Centrify permettent des machines Linux / UNIX de se comporter comme des machines Windows.


78

Prsentation gnrale 2/2


79

TP : Les comptes ordinateursA faire : Installer Windows XP Pro SP3 avec une IP fixe et un masque de sous rseau. Joindre la machine avec le nom DNS de domaine. Cela choue. Pourquoi ? Essayer de joindre la machine avec le nom NETBIOS. Cela russit si le contrleur de domaine et la station de travail sont sur le mme sous rseau IP. Pourquoi ? Ouvrir les observateurs dvnements sur la station de travail. Commenter les messages davertissement s / erreurs NETLOGON. Dfinir un des contrleurs de domaine / serveur DNS comme serveur DNS principal. Pourquoi faut il dfinir plusieurs serveurs DNS ? Sortir la machine du domaine. Redmarrer la machine. Crer un compte utilisateur avec des privilge standard. Joindre la machine au domaine en utilisant le nom de DNS de domaine. Utiliser le compte standard pour vous authentifier. Redmarrer la machine. Ouvrir la console Utilisateurs et Ordinateurs Active Directory . Aller dans le conteneur Computers . Aller dans les proprits du compte ordinateur et parcourir les diffrents onglets. A quoi sert le groupe Ordinateurs du domaine . Supprimer le compte ordinateur. Redmarrer la station de travail . Essayer douvrir une session avec le compte utilisateur. Cela choue. Pourquoi ? Rinitialiser le mot de passe du compte ordinateur. Redmarrer la station de travail. Ouvrir les observateurs dvnements. Une erreur NETLOGON apparat. Pourquoi ?Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 80

5. Les groupes


81

Prsentation gnrale des groupes :Quest ce quun groupe ? Un groupe est un ensemble de ressources. Un groupe nest pas un conteneur (ne pas confondre avec les OU). On ne peut pas affecter de GPO un groupe. On peut cependant filtrer lapplication des GPO des groupes en dfinissant les droits Lire et Appliquer les stratgies de groupes un groupe (dans longlet Scurit).

2 types de groupes : Les groupes de scurit : utiliss pour la messagerie et grer les droits. Les groupes de distribution : utiliss pour la messagerie (liste de diffusion)3 tendues diffrentes : Les groupes globaux de domaine Les groupes locaux de domaine Les groupes universels Fonctionnement selon le niveau fonctionnel de domaine / fort : Pour crer des groupes universelles : mode natif 2000 obligatoire. Pour encapsuler des groupes globaux (groupes globaux membres dautres groupes globaux) : mode natif 2000 obligatoire. A partir du mode natif 2003, si lon ajoute un objet comme membre dun groupe, seul lajout du membre rplique. Auparavant lobjet groupe rpliquait compltement. On va pouvoir changer ltendue dun groupe partir du mode natif 2000.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 82

Les tendues de groupes :Etendue Membres Visibilit Intrt Globale Locale

Objet du mme domaine Ne peut pas contenir de groupe universel.

Visible sur le domaine locale et tous les domaines approuves.

Groupe dutilisateursPour dfinir des permissions.

Objet du domaine locale et de Visible sur le domaine tous les domaines approuves. locale uniquement.

Objet de tous les domaines de Universelle la fort (pas sur les domaines approuves hors de la fort)

Visible sur le domaine locale et tous les domaines approuves

Liste des distributions pour Exchange.


83

Notions avances sur les groupes :Notions avances : Les propritaires dun groupe : peut grer les appartenances aux groupes. L imbrication des groupes : un groupe peut avoir comme membre dautres groupes selon le niveau fonctionnel du domaine. Pour modifier ltendue dun groupe : convertir un groupe globale en groupe universel puis le repasser en groupe local. Attention aux permissions dfinis sur les serveurs laide des groupes ! Un groupe globale est visible depuis le domaine locale et tous les domaines approuves. Un groupe locale nest visible que depuis son domaine ! Attention aux incohrences. On peut aussi changer le type dun groupe. Attention si lon passe un groupe de scurit en groupe de distribution, toutes les permissions dfinies ne fonctionneront plus mais elles continueront de safficher dans longlet Scurit .


84

Les Best Practice :Best Practice : Eviter de convertir les groupes de scurits en groupe de distribution. Eviter dutiliser les groupes universels. Les groupes universels augmentent la taille du Catalogue globale . Utiliser les groupes locaux de domaine pour dfinir des permissions sur les serveurs de fichiers et au niveau de lannuaire. Utiliser les groupes globaux comme des groupes dutilisateurs. Dfinir une topologie de groupe globaux sur papier. Elle doit correspondre la structure administrative de lentreprise. Un groupe par sous-services par exemple Pas plus de 5 niveaux dencapsulation (pour des raisons de performance). Convenir avec la direction dune convention de nommage.

Pour grer les accs une ressource : Ladministration des accs doit se faire depuis la console Utilisateurs et Ordinateurs du domaine ou Centre dadministration Active Directory. Crer 3 groupes locaux de domaine, un pour laccs en lecture, un pour laccs en lecture et criture (Modifier), un pour laccs en Contrle Totale. Dfinir les permissions ces 3 groupes au niveau de la ressource (onglet Scurit). Ajouter Contrle Total aux groupes SYSTEM et au groupe Administrateurs. Crer vos groupes dutilisateurs (groupes globaux). Pour dfinir des accs la ressource, ajouter des groupes globaux ou des comptes utilisateur / ordinateur en tant que membres des groupes locaux de domaine.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 85

TP : Gestion accs avec les groupes 1/2A savoir : Pas de synchronisation entre le systme de fichiers et lannuaire. Permission accs partage = cumul le plus restrictif permissions Partages / NTFS. A faire : Crer 3 dossiers imbriqus les uns dans les autres (Niveau1, Niveau 2 et Niveau 3). Dsactiver lhritage au niveau du dossier Niveau 1. Partager Niveau 1 (contrle Total pour tout le monde). Scuriser le rpertoire Niveau 1 selon les Best Practice (utiliser les groupes locaux de domaine pour dfinir des permissions). Cration groupes GDL_Niveau1_L, GDL_Niveau1_M et GDL_Niveau1_CT. Crer des comptes utilisateurs compta1 et compta2 et le groupe globale (GG_Comptaibilit). Ajout les utilisateurs compta1 et compta2 dans ce groupe globale. Dfinir des permissions Modifier sur le rpertoire Niveau1 lutilisateur Compta1 . Supprimer le compte Compta1. Observer ce qui se passe au niveau des groupes et des permissions de la ressource Niveau1, Niveau 2 et Niveau 3. Ajouter le groupe GG_Compatibilit en tant que membre du groupe GDL_Niveau1_M . Se loguer avec le compte Compta2 sur une machine membre du domaine et accder au partage Niveau1.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 86

TP : Gestion accs avec les groupes 2/2Question : Peut on sauvegarder un rpertoire sur lequel on a pas daccs. La rponse est oui si on est oprateur de sauvegarde, Oprateur de Server et administrateurs. Voir la capture de droite. Expliquer ?


87

Les groupes BUILTIN 1/2A savoir : Ne pas dplacer. Equivalent des groupes locaux de domaine. Ne pas utiliser si possible car on ne peut pas les migrer avec des outils comme ADMT.


88

Les groupes BUILTIN 2/2Rle de ces groupes : Builtin\Administrateurs : administrateur local sur tous les contrleurs de domaine. Droits presque quivalents Admins du domaine. Les membres de ce groupe ne sont pas administrateur local des stations de travail membrew du domaine. BUILTIN\Duplicateurs Builtin\Oprateurs de compte : peut crer des comptes. Peut tre utilis pour faire un premier niveau Builtin\Oprateurs de sauvegarde : peut sauvegarder des donnes mme si ce dernier na pas daccs. Builtin\Oprateurs de Server : peut effectuer certaines actions au niveau des contrleurs de domaine comme changer la configuration IP. Seul les groupes BUILTIN Oprateurs de sauvegarde, Administrateurs, Oprateurs de comptes et Oprateurs dimpression peuvent ouvrir une session sur un contrleur de domaine (configurable via GPO).


89

Les groupes dans conteneur Users :Rle de ces groupes : Admins du domaine : na des droits que sur le domaine. Il na que des droits partiels sur la partition de configuration. Administrateur de lentreprise : administrateur de tous les domaines de la fort Administrateur du schma : seul groupe habilit modifier le schma Active Directory


90

Les entits systmeLes entits systmes sont : Tout le monde : tout le monde. Utilisateurs authentifis : tout ordinateur ou tout utilisateurs qui a ouvert une session est membre du groupe utilisateurs authentifis . Groupe avec privilge important comme crer des dossiers / fichiers sur la partition C des serveurs. Crateur propritaire : par dfaut le crateur dun fichier et dun dossier est le propritaire. Il a le droit de modifier les permissions. System : droit presque quivalent administrateur local. Cest par exemple le seul pouvoir modifier le contenu de la base SAM dans la base de registre.


91

6. Les units dorganisation


92

Prsentation gnrale des OU :A savoir : OU = unit dorganisation Cest un conteneur (rien voir avec les groupes). On peut crer dans une OU tout type dobjet dont dautres OU. La topologie dunits dorganisation doit correspondre lorganisation administrative de lentreprise. Elle est faire sur papier et doit tre valide par la direction. Les OU permettent aussi de faire de la dlgation dadministration et de crer des GPO. Depuis Windows 2008, la console Gestion des stratgies de groupe est install par dfaut. On ne peut donc plus crer dobjets stratgies de groupe depuis la console Utilisateurs et Ordinateurs Active Directory .

Nouveaut sur les contrleurs de domaine : Quand on cre une nouvelle OU sur un DC 2008 / 2008, par dfaut la protection renforce contre la suppression accidentelle est active. Cette protection met des permissions Refus Tout le monde pour la suppression dobjet. Si on essaie de dplacer ou supprimer une OU, on a donc un message Accs Refus . Passer en mode daffichage Fonctionnalits avances pour cocher ou dcocher cette case.


93

Prsentation gnrale des OU 2/2 :


94

TP : dlgation dadministration 1/4A savoir : Il est possible de dlguer des droits au niveau de chaque attribut (chaque champ) pour chaque type dobjet. Mthode 1 : utilisateurs membres dOprateur de Comptes. Ces comptes utilisateur peuvent crer des groupes / comptes utilisateur / ordinateur dans lAD. Mthode 2 : Utilisateur lassistant Dlgation dadministration en mode basique. Cette mthode permet de dlguer des tches basiques au niveau dun OU particulire. Il nest pas possible de dlguer les droits pour un ou plusieurs attributs. Mthode 3 : Utiliser lassistant Dlgation en mode avanc Crer une tche personnaliser dlguer . Cette mthode permet de dlguer la gestion de certains attributs pour certains types dobjets. Mthode 4 : lancer la console Utilisateurs et Ordinateurs Active Directory en mode daffichage Fonctionnalits avances . Aller au niveau dune OU, cliquer sur Proprits et aller dans longlet Scurit . Pour plus dinformations : http://windowsitpro.itpro.fr/Dossiers-par-Theme/suivante/2/12/050501823-Deleguer-dans-lAD.htm#R3 http://www.microsoft.com/downloads/details.aspx?FamilyID=631747a3-79e1-48fa-9730dae7c0a1d6d3&DisplayLang=en http://www.microsoft.com/downloads/details.aspx?FamilyID=29dbae88-a216-45f9-9739cb1fb22a0642&DisplayLang=en http://support.microsoft.com/?kbid=308404Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 95

TP : dlgation dadministration 2/4A faire : utilisation de la mthode 2 : Crer une OU appele Msreport1. Crer un compte utilisateur dans cette OU appel admin1_msreport. Faire un clic droit au niveau de lOU CHU et cliquer Dlgation de contrle . Ajouter le utilisateur ou le groupe qui vous souhaitez dlguer des droits dadministration. Slectionner le ou les droits dlguer. Se loguer sur une station de travail membre du domaine avec le compte admin1_msreport. Installer les outils dadministration (Adminpack pour Windows XP, RSAT pour Windows Vista / Seven). Seul les RSAT sont supports pour grer des serveurs Windows 2008 / 2008 R2. Tester la cration dun compte utilisateur.


96

TP : dlgation dadministration 3/4A faire : utilisation de la mthode 3 : Crer une OU appele MSREPORT2. Crer un compte utilisateur dans cette OU appel admin2_msreport. Clic droit sur lOU CHU et cliquer Dlgation de contrle . Ajouter le utilisateur ou le groupe qui vous souhaitez dlguer des droits dadministration. Slectionner Crer une tche dadministration personnalise dlguer . Slectionner Seulement les objets suivants dans le dossier . Cocher les cases Crer et supprimer des objets . Slectionner gnrales dans la fentre Afficher les autorisations . Si vous souhaitez dlguer laccs en criture que pour certains attributs, cocher la case Spcifique aux proprits . Slectionner les proprits de votre choix. Se loguer sur une station de travail membre du domaine avec le compte admin2_msreport. Installer les outils dadministration (Adminpack pour Windows XP, RSAT pour Windows Vista / Seven). Seul les RSAT sont supports pour grer des serveurs Windows 2008 / 2008 R2. Tester la cration dun compte utilisateur.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 97

TP : dlgation dadministration 4/4


98

7. Les stratgies de groupe


99

La base de registre 1/2 :A savoir La base de registre est la base de configuration de Windows. Pour diter la base de registre, on utilise REGEDIT ou REGEDT32 (cest le mme excutable avec Windows XP). Ruche : ensemble de cls et de valeurs qui correspondent un fichier au niveau du systme. Cls : cest un conteneur de valeur. Valeur : variable. Il existe diffrent type de valeur (binaire, chane de caractres, tableaux de chaines de caractres). La base de registre est organise en deux grandes sections HKEY LOCAL MACHINE et HKEY USERS. La ruche HKEY_CURRENT_CONFIG est une sous ruche de HKEY_LOCAL_MACHINE Il est possible de charger des ruches (fichier NTUSER.DAT dun autre utilisateur). Il est possible de dfinir des permissions au niveau des cls de registre


100

La base de registre 2/2 :A savoir Les paramtres de HKEY_USERS correspondent la configuration spcifique au niveau des utilisateurs. Les paramtres de HKEY_LOCAL_MACHINE correspondent la configuration de la machine (commune pour tous les utilisateurs). Dans HKEY_LOCAL_MACHINE | SYSTEM | CurrentControlSet | Services, on retrouve la configuration des services. Dans HKEY_LOCAL_MACHINE | SOFTWARE, on retrouve la configuration des logiciels commun tous les utilisateurs. Dans HKEY_USERS | SOFTWARE, on retrouve la configuration des logiciels commun spcifique un utilisateur.


101

TP : base de registreA faire : Sur une station de travail Windows XP Pro, lancer lditeur de base de registre. Aller dans HKEY_LOCAL_MACHINE | SAM | SAM. Faire un clic droit sur le dossier SAM et cliquer sur Autorisation . Ajouter les droits Control Total au groupe Administrateurs de la base SAM locale. Vous pouvez maintenant visualiser le contenu de la base SAM locale. Crer un compte utilisateur appel testregistre au niveau du domaine et se loguer avec ce compte sur la station de travail. Personnaliser puis fermer la session (ajout imprimante rseau). Ouvrir une session avec le compte administrateur local sur cette station de travail. Lancer lditeur de base de registre. Slectionner HKEY_USERS puis aller dans le menu Fichier et cliquer sur Charger la ruche . Aller dans c:\Documents and settings\testregistre et slectionner le fichier NTUSER.DAT . A quoi correspond ce fichier ? Faire une recherche au niveau de HKEY_LOCAL_MACHINE sur la cl PROFILEIMAGEPATH . A quoi sert cette cl. On se rend compte que toute la scurit est bas sur le SID. Il est possible de rassocier un compte utilisateur avec le profil dun autre utilisateur. Pour plus dinformations, voir http://msreport.free.fr. Aller dans c:\windows\system32\config. On y retrouve tous les fichiers des ruches de la base de registre.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite

102

Quest ce quune stratgie de groupe ?Quest ce quune stratgie de groupe : Les stratgies de groupes (GPO) : se sont des cls et valeurs de registre. Deux sections pour les stratgies de groupe : Configuration ordinateur (modifie HKEY_LOCAL_MACHINE) et Configuration utilisateur (modifie HKEY_USERS). Les stratgies de groupe se dcomposent en deux composants, les fichiers de stratgie de groupe (dans le rpertoire SYSVOL\SYSVOL\nomdomainedns\Policies), un objet stratgie de groupe (dans le conteneur SYSTEM au niveau de la partition de domaine).


103

Prsentation de la console GPMC:A savoir : La console Gestion des stratgies de groupe : permet dajouter, lier, modifier et supprimer les GPO. Il est possible dajouter de crer des stratgies de groupes personnalises (fichier ADM ou ADMX). A la cration du domaine, deux GPO, la Default Domain Policy (configuration du domaine ) et la Default Domain Controller Policy (configurer des DC). Ne pas supprimer ces deux GPO. Eviter de les modifier. Possibilit dexporter / importer des GPO via GPMC.


104

Les paramtres de stratgie de groupe :Les stratgies de groupe permettent : De dployer des logiciels (installeur au format .MSI obligatoire). Pas de rapport, risque saturation rseau si gros logiciels. Dposer les excutables dans le partage NETLOGON ou SYSVOL. Dexcuter des scripts au dmarrage / arrt de la machine (sous compte SYSTEM). De configurer les stratgies de mots de passe, Kerberos et de verrouillage de comptes. Les paramtres de stratgie de mot de passe pour les comptes du domaine se dfinissent uniquement au niveau de la Default Domain Policy . Si on dfinit ce paramtre dans une autre stratgie, cela sapplique pour les comptes locaux. Voir http://msreport.free.fr/?p=156. De configurer les paramtres et options de scurit (qui peut ouvrir une session localement, arrter la machine, accder la machine via le rseau, changer lheure, les protocoles dauthentification autoriss). De configurer les paramtres des logiciels et du systme (configuration Windows Update, panneau de configuration, pare feu). Il est possible dajouter des fichiers ADM / ADMX supplmentaires pour ajouter de nouvelles stratgies (configuration Adobe, Citrix, Office) : http://www.microsoft.com/downloads/details.aspx?familyid=92d8519a-e143-4aee8f7a-e4bbaeba13e7&displaylang=en Windows 2008 incluse GPO de prfrences. Ncessite dploiement dun correctif sur Windows XP / Vista / 2003. Voir http://support.microsoft.com/kb/943729/en-usGuillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 105

Les paramtres de stratgie de groupe :


106

Comment sappliquent les GPO ? Une GPO Configuration Ordinateur sapplique une machine (si compte ordinateur est dans OU o est lie la GPO et si le compte ordinateur a les droits Lire et Appliquer la stratgie de groupe ). Une GPO Configuration Utilisateur sapplique aux utilisateurs (si compte utilisateur est dans OU o est lie la GPO et si le compte utilisateur a les droits Lire et Appliquer la stratgie de groupe ). Par dfaut Utilisateurs authentifis (toutes les comptes ordinateurs et utilisateurs qui ont ouvert une session) a les droits Lire et Appliquer la stratgie de groupe . Possibilit filtrage en supprimant cet entit de scurit.


107

Ordre dapplication des GPO :Problmatique avec les GPO : Possibilit de fixer des GPO avec des paramtres contradictoires diffrents niveaux. Pour grer les conflits, les GPO sappliquent dans un certains ordre : Local, Site, Domaine, units dorganisation, units dorganisation enfant En cas de conflit cest la dernire stratgie qui sapplique qui lemporte sauf si les paramtres Appliquer (ne pas passer outre) et Bloquer lhritage ont t dfinis. Paramtre Appliquer : force lapplication de la GPO. Paramtre Bloquer lhritage : si ce paramtre est fix au niveau dune OU enfant, les GPO au niveau des sites, domaines et des OU parent ne sappliquent pas (sauf les paramtres de scurit). Le paramtre Appliquer prime sur le paramtre Bloquer lhritage .


108

Les stratgies de mots de passe 1/2 :Les paramtres de stratgies de mots de passe : Configurable au niveau de la stratgie Default Domain Policy .Les Fine Grained Password Policy / Granular Password Policy : Permet dattribuer une stratgie de mots de passe un compte utilisateur ou un groupe. Cration via ADSIEDIT. Ncessite domaine en mode Fonctionnalit Windows 2008. http://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx http://www.windowsecurity.com/articles/Configuring-Granular-Password-SettingsWindows-Server-2008-Part-1.html


109

Les stratgies de mots de passe 2/2 :


110

Bloquer les applications non autorises :A savoir : Permet de dfinir quels sont les applications que lon peut excuter sur une station de travail. APPLOCKER ne fonctionne quavec Windows Seven ou Windows 2008 R2. Utiliser le mode dinventaire avant de mettre des stratgies restrictives.Pour plus dinformations : http://technet.microsoft.com/fr-fr/library/ee424367(WS.10).aspx


111

Dpannage des stratgies de groupes 1/2 :Dpannage : Utiliser loutil GPRESULT ou le composant logiciel enfichable Jeu de stratgies rsultants pour dterminer quels sont les paramtres de stratgies de groupe qui sappliquent. Toujours consulter longlet Aide au niveau dun paramtre de stratgie de groupe (dsactiver une stratgie qui masque le panneau de configuration active le panneau de configuration). Pour les scripts de dploiement rseau, configurer la stratgie Ouverture de session : attendre les connexions rseau pour forcer lapplication des scripts de dmarrage avant louverture de session. Consulter les articles suivants en cas de problme avec les GPO : http://support.microsoft.com/kb/887303 http://technet.microsoft.com/en-us/library/bb727058.aspx http://support.microsoft.com/kb/555982/en-us Pour bloquer lapplication des stratgies pour les administrateurs : supprimer lentit Utilisateurs authentifis et ajouter les droits lire et appliquer la stratgie des groupes utilisateurs et des groupes dordinateurs. Pour plus dinformations, voir http://support.microsoft.com/kb/816100/en-us En cas de suppression des stratgies Default Domain Policy et Default Domain Controller Policy, appliquer larticle : http://support.microsoft.com/kb/555647/en-us Pour rinitialiser stratgie scurits : http://support.microsoft.com/kb/324800/en-usGuillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 112

Dpannage des stratgies de groupes 2/2 :Dpannage (suite) : Bug GPRESULT : http://support.microsoft.com/kb/837129/en-us et http://support.microsoft.com/kb/927908/en-us Pour afficher les stratgies de mots de passe : net accounts /domain Les stratgies de prfrence : http://support.microsoft.com/kb/943729/en-us


113

8. Les mcanismes de rplication :


114

Les sites Active Directory :Intrt : Dfinir avec quels DC les stations de travail sauthentifient. Configurer lintervalle de rplication entre contrleurs de domaine. A savoir : Rplication Active Directory : base sur numro USN (Unique Squence Number). La restauration autoritaire (avec NTDSUTIL) permet daugmenter numro USN. Par dfaut, les DC dun mme site rplique toutes les 30 secondes entre eux. Chaque site est associ un sous rseau IP. Un sous rseau IP ne peut pas tre associ deux sites Active Diffrents. Pour configurer 2 sites AD diffrents, il faut 2 sous rseaux IP (un pour chaque site). Les DC rpliquent entre eux via des objets Connexion (unidirectionnel). Les objets Connexion sont gnrs par le KCC (DC dans mme site) et par lISTG entre 2 sites. Pour forcer la gnration objets Connexion : repadmin /KCC.

Best Practice : Prvoir un serveur de Catalogue Global dans chaque site ou activer la mise en cache des groupes universels.Pour plus dinformations : http://support.microsoft.com/kb/242780/en-us http://support.microsoft.com/kb/305179/en-us http://www.tech-faq.com/lang/fr/active-directory-replication.shtmlGuillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 115

TP : Les sites Active Directory 1/5 :A savoir : Le service RRAS permet de transformer Windows Server 2008 R2 en routeur IP, serveur NAT, serveur VPN et en serveur RAS. Sous Windows Server 2008 R2, il est ncessaire dinstaller le rle Services de stratgies et daccs distants et de configurer ensuite le service RRAS en tant que routeur IP.

A faire : Installer le rle Services de stratgies et daccs rseau avec les services de rles Service de routage et accs distant . Aller dans les outils dadministration et lancer la console Routage et Accs distants .


116

TP : Les sites Active Directory 2/5 :A faire : Dmarrer la console Routage et Accs distant (dans les outils dadministration). Cliquer sur Configurer et activer le routage et laccs distant . Slectionner Configuration personnalise puis Routage IP . Cliquer sur Dmarrer le service . Valider que les deux contrleurs de domaine peuvent communiquer ensemble (ping).


117

TP : Les sites Active Directory 3/5 :A faire : Dfinir 1er DC avec IP : 192.168.1.1 /24 et 2me DC avec IP : 192.168.2.1 /24. Changer les adresses de serveur DNS et indiquer une passerelle (routeur RRAS). Supprimer les anciennes entres dans le DNS (anciennes IP des DC). Taper les commandes suivantes : Ipconfig /registerdns Net stop netlogon & Net start netlogon Ipconfig /flushdns. Valider que les deux DC peuvent communiquer ensemble (PING). Lancer Sites et Services Active Directory . Forcer la rplication entre les 2 DC. Renommer le site par dfaut en Nemours . Crer un second site appel Meudon . Crer 2 SUBNETs 192.168.1.0./24 et 192.168.2.0 /24. Lier 1er SUBNET au site Nemours, lier 2me SUBNET Meudon. Renommer le lien inter-sites par dfaut en Nemours-Meudon. Configurer la rplication sur 15 minutes. Permettre la rplication toutes heures. Dplacer le 2me contrleur de domaine dans le site Meudon. Lancer la commande repadmin /kcc pour forcer lISTG gnrer les objets Connexion. Supprimer les liens connexions. Dsactiver le KCC / ISTG : http://support.microsoft.com/kb/242780/en-us Taper la commande repadmin /KCC. Que se passe til ? Crer les liens de connexion manuellement.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 118

TP : Les sites Active Directory 4/5 :


119

TP : Les sites Active Directory 5/5 :


120

9. Sauvegarde et restauration Active Directory :


121

Windows Server Backup 1/5:A savoir : NTBACKUP a t replac par Windows Server Backup . Windows Server Backup permet prend en charge la dduplication quand on sauvegarde sur une partition ddie. On peut donc excuter des sauvegardes compltes toutes les heures. Seuls les blocs modifis sont sauvegards. Windows Server Backup ne permet pas de sauvegarder sur bande. Pour faire une sauvegarde sur bande, sauvegarder vers un partage et sauvegarder ensuite les fichiers produits par Windows Server Backup . Quand on fait une sauvegarde sur disque local, le disque est format en NTFS mais nest pas mont. Il est alors rserv par Windows Server Backup. A faire : Pr-requis : Il faut disposer dun second disque sur le serveur (ddi). Lancer la dtection des disques et le mettre en ligne. Installer la fonctionnalit Windows Server Backup (avec la partie PowerShell). Lancer la console Windows Server Backup et cliquer sur Planifier une sauvegarde. Cliquer sur sauvegarde complte (inclue la sauvegarde de lEtat du systme). Faire une sauvegarde plusieurs fois par jour vers un disque ddi. Aller dans les tches planifies, dans la section backup. Modifier la tche pour quelle autorise les actions manuelles et lancer une sauvegarde. Ouvrir la console Windows Server Backup et valider ltat davancement de la sauvegarde.Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 122

Windows Server Backup 2/5:


123

Windows Server Backup 3/5:


124

Windows Server Backup 4/5:A faire (suite) : Une fois la sauvegarde termine, relancer une seconde fois la sauvegarde. Lespace disque volue til ? Le fait de faire une seconde sauvegarde nous fait passer de 7,01 Go 7,03 Go. Lancer PowerShell et taper la commande suivante : addpssnapin windows.serverbackup. Cela ajoute les CMDLET Windows Server backup PowerShell. Taper ensuite la commande get-command -module windows.serverbackup pour afficher les commandes Windows Server Backup.


125

Windows Server Backup 5/5:Astuce : Pour externaliser la sauvegarde, faire une sauvegarde sur un LUN hberg sur un SAN (Fibre Channel / DAS obligatoire). Cela permet de conserver la dduplication. Vrifier quil est possible de charger le pilote de la carte Fibre / DAS depuis le CD dinstallation (en mode rcupration). Pour plus dinformations : http://technet.microsoft.com/en-us/library/ee849849(WS.10).aspx http://technet.microsoft.com/en-us/library/cc771290(WS.10).aspx http://www.winserverhelp.com/2010/03/windows-server-2008-r2-backup-andrestore/ http://unifiedit.wordpress.com/2009/12/17/forest-recovery-ad-2008/


126

Restauration Windows Server Backup 1/2 :A savoir : On ne peut pas restaurer un DC une date antrieure la priode de Tombstone (60 jours avec Windows 2000 / 2003, 180