Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T

Les réseaux MicrosoftWindows 2000/2003 Active Directory

IUT1 GRENOBLEDépartement R&T

RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires

Domaine NT et groupe de travail

L ’appartenance à un Domaine NT nécessite :Un nom de domaine NT Un contrôleur de domaine PDCUn compte ordinateur sur le domaine

L’appartenance à WorkgroupUn nom de groupe de travail

gtr.com

mygroup

Domaine NT et groupe de travail

Insertion dans un domaine

Déclaration d’appartenance à un workgroup

groupes Locaux et Globaux (NT)

Groupe localutilisable sur une station du domainecompte ne pouvant sortir d’un domaineun groupe local peut contenir un ou des groupes globaux

Groupe globalgroupe défini sur le PDC compte utilisable sur tout le domainePour être opérationnel, le groupe global doit être inclus dans des groupes locaux sur chaque machine.

Ex :AdminX inclus dans le groupe global «Administrateurs du domaine»«Administrateurs du domaine» inclus, sur chaque poste, dans le groupe local «Administrateurs»

Le Registre Windows

Le Registre Windows est une base de données

RoleConfiguration de la machine (matériel, système)Configuration globale de chaque logicielConfiguration des logiciels par chaque utilisateurConfiguration des droits

StructureHiérarchiqueContient des clés, sous-clés, rubriques valuéesRuche : branche du Registre stockée dans un fichier

Structure du Registre

Clés racine

Ruche NTuser.dat

Modification du Registre

Quand le Registre est-il modifié ?

Modification de façon transparenteEn utilisant les logiciels

• Installation, …• Mémorise la position de la fenêtre, le dernier fichier ouvert, …

Par les boites de dialogue « Options… »

Modification avec des outils spécifiquesregedit.exe: accès au registre « brut »gpedit.msc: stratégie de groupe local

• Stratégie Ordinateur / Stratégie Utilisateur

Par application de stratégiesDomaine NT: stratégies définies par PoleditDomaine Active Directory: stratégies de groupe

RappelsSystèmes 200xActive DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires

Microsoft Windows Servers 2003

Feature Standard Edition

Enterprise Edition

Datacenter Edition

Web Edition

RAM Maximum 32 64 2

SMP 4 8 64 2Internet Connection Firewall8

Terminal Server

Services for UNIX Network Load Balancing

Cluster Service

Virtual Private Network (VPN)

Distributed File System (DFS)

Encrypting File System (EFS)

Group Policy Results

Remote OS Installation Remote Installation Services (RIS)

.NET Framework9 Internet Information Services (IIS) 6.0

ASP.NET10

Windows 2000/XP Pro n’est pas :Contrôleur de domaine

Serveur DNS

Serveur DHCP

Windows 2000/XP Pro peut être :Serveur de fichiers (10 connexions)

Serveur Ftp

Serveur Web (connectivité limitée)

Windows 2000 PRO /XP Pro

Choix d’un mode de licence

Licence par siège1 licence par client

Licence par serveur1 licence par connexion


Active Directory

Service d’Annuaire

HiérarchiqueGestion centralisée

Conformité aux standards

Annuaire LDAPAuthentification KerberosService de nom DNS (pour la recherche des serveurs)

Conventions de nommage

Nom complet ou DN (Distinguish Name):cn=Albert Dupont,ou=users,dc=gtr,dc=com

Nom relatifAlbert Dupond

Mapping possible vers adresse mail :[email protected]

Un nom complet =1 identifiant unique sur AD

Convention de nommage LDAPCN: Common NameOU: Organizational Unit DC: Directory Content

Structure logique d’Active Directory

domaine

domaine domaine

domaine

domaine

UO

UO UOArborescence

FORET

gtr.com

france.gtr.comquebec.gtr.com

domainemaboite.fr

ventes.maboite.fr

prod.maboite.fr

Approbations bidirectionnelles transitives

Domaine NT

Approbations UNIdirectionnelle non transitive

Glossaire

Objet : représente une ressource du réseau (ex: ordinateur, compte utilisateur, groupe de sécurité)

Unité organisationnelle (OU) : conteneur regroupant des objets

Domaine : ensemble de poste présentant une unité dans la gestion de la sécurité

Arbre : groupement de domaines AD qui partagent des espaces de noms contigus (par exemple : iut.com, gtr.iut.com, geii.iut.com)

Forêt : groupement d’arbres AD qui ont des noms disjoints (par exemple : labo.com, microsoft.com)

Création d’un utilisateur

Création d’un compte d’ordinateur

Choix de l’arborescence

Arbre par services ou par localisation

dc=fr

dc=entreprise

ou=ventes

cn=dupont

cn=durand

ou=R&D ou=gestion

dc=fr

dc=entreprise

ou=Nantes

cn=dupont

cn=durand

ou=Paris

ou=Lyon


Différents groupes

Groupe de sécurité : permettent de gérer les autorisations d'accès à une ressource Ils permettent aussi de gérer des listes de distributions de messagerie.

Groupes de distribution : servent à des fonctions non liées à la sécurité comme l'envoi de messagesOn ne peut pas gérer d'autorisations avec ces groupes

Les groupes locaux

Groupes locaux prédéfinisAdministrateursOpérateurs de sauvegardeInvités : Accès limité au ressourcesUtilisateurs avec pouvoir : Peuvent créer et modifier des comptes locaux sur l'ordinateur, partager des ressources ou installer des pilotes de périphériques.DuplicateursUtilisateurs

Entités de sécurité intégréeTout le monde :tous les utilisateurs qui accèdent à l’ordinateur

Utilisateur authentifié :Inclut tous les utilisateurs avec un compte utilisateur sur l’ordinateur ou sur le domaine (utilisé pour éviter les accès anonymes à des ressources)

Créateur propriétaire :Inclut le compte utilisateur pour l’utilisateur qui a créé ou pris possession d’une ressource

Réseau :Inclut tout utilisateur avec une connexion courante depuis un autre ordinateur du réseau vers une ressource partagée de l’ordinateur

Utilisateur Anonyme : Tout utilisateur que Windows n’a pas authentifié

Accès Distant :Tout utilisateur employant une connexion d’accès réseau à distance.

Les groupes non locaux

Groupe de domaine local

Groupe global

Groupe universel

Groupe global : groupes globaux sous Windows NT4

U GG On insère un utilisateur dans un groupe global

GG GDL On peut ajouter un groupe global à un groupe de domaine local

GG GU On peut ajouter un groupe global à un groupe universel

Groupe de domaine local : ≃groupes locaux sous Windows NT4Permettent d'accorder des autorisations sur les ressources du domaine

U GDL

GG GDL GDL autre groupe

GU GDL

Groupe de domaine universellePermettent d'accorder des autorisations sur des domaines connexesMembres d’un domaine quelconque de la forêtPeuvent accéder au ressources d’un domaine quelconque

Étendue des groupes

Procédure de création des groupes

Création des utilisateursAffectation à un groupe globalInsertion d’un groupe global dans un groupe de domaine local.Affectation des permissions sur les ressources au groupe de domaine local


Le rôle des stratégies de groupe

Les stratégies de groupe permettent :De paramétrer le Registre en fonctionde la machine et de l’utilisateur

De personnaliser les niveaux de sécurités conformément au schéma organisationnel de l’entreprise et conformément à l’organisation technique du parc informatique

De gérer les paramètres utilisateurs :scripts de connexion, redirection des dossiers, profils, …

Ordre d’application des stratégies

Des stratégies peuvent être attachées à chaque niveaux de l’arborescence ADLes stratégies sont appliquées dans l’ordre descendant

Site

domaine

OU

OU

OU

1

2

3

4

a

b

c

d

Ordre d’application des stratégies

On distingue les stratégies de groupe locales les stratégies de groupe non locales

Ordre d’application1. Locale (propre à la machine)2. Site3. Domaine4. Unité(s) Organisationnelle(s)

Mécanisme d’héritage des stratégies

Une stratégie s’applique à tous les niveaux inférieurs

Résolution de conflitsEn cas de stratégies non compatibles entre niveau hiérarchiques :La stratégie enfant s’applique

Modification de l’héritageNe pas passer outreMode de rappel de boucle

Applications des règles de stratégie

Démarrage de l’ordinateurApplications des paramètres ordinateurScripts de démarrage

Connexion de l’utilisateurApplications des paramètres utilisateurScripts d’ouverture de session

Actualisation périodique des stratégies de groupe

Toutes les 5 mn sur les contrôleurs de domaineToutes les 90 minutes sur les stations

Création d’une stratégie

Modification du registre par les GPO

Stratégies de groupes

Règles

Non configuré= Ne rien faire

Activé ou Désactivé

= Ecrire dans la base de registre


PermissionsNTFS

Permissions et autorisations

Accès aux fichiers

par le réseauAccès aux fichiers sur le disque dur

L’accès à une ressource par le réseau dépend de ces deux barrières de sécurité

Autorisationssur les partages

Accès par le WEB(Si IIS est installé)

Accès au DISQUE(Permissions NTFS)

Accès par le réseau(Autorisations sur les

partages)

Attributs

Chiffrement et

compression

Propriétés d’un fichier ou d’un répertoire

La sécurité NTFS

Liste de contrôle d’accès

Autorisations associées

Gestion élaborées des ACLS

La sécurité NTFS

Utilisateur, groupe ouEntité de sécurité intégrée

Modification des autorisations

Portée

Mécanismes d’héritage et de mise à jour des enfants

Calculateur des autorisations effectives

Autorisation sur les partages

Nom de partage

Utilisateurs ou groupes

Autorisations


Gpedit.msc

Microsoft Management Console

Quelques commandes utiles

netstat ex : netstat –an –p TCP

nbtstat ex : nbtstat –n

ipconfigex :

• ipconfig /all• ipconfig /release *local*• ipconfig /renew *local*

Scripts netsh

Scripts à insérer dans un fichier .cmd

Exemple :Modifier l’adresse IP à l’aide d’un script sur un poste XP(On suppose que l’interface Ethernet du PC a été renommée « eth0 » au préalable )

netsh interface ip set address name="eth0" source=static addr=10.0.0.1 mask=255.0.0.0

netsh interface ip set address name="eth0" gateway=10.0.0.254 gwmetric=0

netsh interface ip set dns name="eth0" source=static addr=nonenetsh interface ip set wins name="eth0" source=static addr=none

Documents

Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T