Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
Module 3
Création d’objets utilisateur et ordinateur AD DS
Vue d’ensemble du module
• Administration des comptes d’utilisateurs
• Création de comptes d’ordinateurs
• Automatisation de l’administration des objets AD DS
• Localisation d’objets dans les services de domaine Active Directory à l’aide de requêtes
Leçon 1 : Administration des comptes d’utilisateurs Qu’est-ce qu’un compte d’utilisateur ?
Noms associés aux comptes d’utilisateurs de domaine
Options de mot de passe des comptes d’utilisateurs
Gestion standard des utilisateurs
Outils de configuration des comptes d’utilisateurs
Qu’est-ce qu’un modèle de compte d’utilisateur ?
Un compte d’utilisateur peut être stocké :
dans AD DS (compte AD DS)
sur l’ordinateur local (compte local)
Qu’est-ce qu’un compte d’utilisateur ?
La création d’un compte d’utilisateur génère également un ID de sécurité (SID).
Un compte d’utilisateur est un objet permettant l’authentification et l’accès aux ressources réseau et locales.
Les comptes AD DS permettent d’ouvrir des sessions sur des domaines et d’accéder à des ressources réseau partagées.
Les comptes locaux permettent d’ouvrir une session sur un seul ordinateur et d’accéder à des ressources locales.
Noms associés aux comptes d’utilisateurs de domaine
Noms d’objets Exemple Exigence du caractère unique
Nom d’ouverture de session de l’utilisateur
Michel Doit être unique dans le domaine
Nom d’ouverture de session de l’utilisateur (avant Microsoft® Windows® 2000)
Domaine\Michel Doit être unique dans le domaine
Nom d’utilisateur principal (UPN) [email protected] Doit être unique dans la
forêt
Nom unique LDAP CN=Gregory,OU=IT,DC= Domaine,DC=com
Est globalement unique et combine le RDN, le nom du conteneur et les noms des domaines.
Nom unique relatif CN=Michel Doit être unique dans l’unité d’organisation.
Options de mot de passe des comptes d’utilisateurs
Les mots de passe d’objets utilisateur sont un aspect important de la sécurité réseau et peuvent disposer des options de configuration suivantes :
historique des mots de passe
longueur
complexité
Par défaut, les mots de passe de domaine Windows Server 2008 R2 doivent remplir trois des quatre critères de complexité suivants :
majuscule
minuscule
caractères spéciaux
nombres
Gestion standard des utilisateurs
Les activités de gestion d’utilisateurs comprennent :
La mise à jour de l’appartenance à un groupe : attribue à l’utilisateur l’appartenance à un groupe et des droits d’accès.
La réinitialisation des mots de passe d’utilisateurs : réinitialise l’authentification de sécurité utilisée pour accéder à l’ordinateur du domaine.
La définition de l’expiration de l’utilisateur : définit une date d’expiration pour l’accès au domaine.
La définition d’horaires d’accès : définit une plage horaire pendant laquelle les utilisateurs peuvent accéder au domaine.
L’affectation de profils et définition de dossiers de base : affecte des profils utilisateurs et des dossiers de base afin de réguler l’accès aux ressources.
Outils de configuration des comptes d’utilisateurs
Compte Outils
Compte d’ordinateur local Windows XP, Windows Vista et Windows 7 : Comptes d’utilisateurs
Compte de domaine
• Windows Server 2003/2008/2008 R2 : Utilisateurs et ordinateurs Active Directory
• Windows Server 2008 R2 : Centre d’administration Active Directory
• Utilitaires de ligne de commande : dsadd, Windows PowerShell, CSVDE, LDIFDE
Qu’est-ce qu’un modèle de compte d’utilisateur ?
Les modèles de comptes d’utilisateurs tirent parti de la similarité entre les comptes d’utilisateurs.
Pour utiliser des modèles d’utilisateurs : créez plusieurs utilisateurs typiques reflétant les différents groupes de votre organisation
copiez le compte d’utilisateur ressemblant le plus à celui que vous souhaitez créer
modifiez les attributs : noms, courrier électronique, nom d’ouverture de session de l’utilisateur, etc.,,
Un modèle de compte d’utilisateur est un compte dont les propriétés sont courantes et déjà configurées.
Leçon 2 : Création de comptes d’ordinateurs Qu’est-ce qu’un compte d’ordinateur ?
Options de création de comptes d’ordinateurs
Administration des comptes d’ordinateurs
Les comptes d’ordinateurs :
Qu’est-ce qu’un compte d’ordinateur ?
sont nécessaires pour les authentifications et les audits
Un compte d’ordinateur est un objet dans AD DS qui identifie un ordinateur dans un domaine.
permettent d’administrer un ordinateur en utilisant des stratégies de groupe
sont nécessaires pour tous les ordinateurs exécutant Windows NT ou plus récent
Options de création de comptes d’ordinateurs
Scénario Processus
Ajout d’ordinateurs individuels à un domaine
• Ajouter l’ordinateur au domaine par le biais des propriétés système de l’ordinateur.
• Le compte est alors créé par défaut dans le conteneur Ordinateurs.
Création de comptes d’ordinateurs multiples en vue d’automatiser le déploiement de systèmes d’exploitation et de logiciels
1. Créer une unité d’organisation pour chaque service.
2. Prédéfinir de nouveaux comptes d’ordinateurs.
3. Ajouter l’ordinateur au domaine.
Administration des comptes d’ordinateurs
Les activités de gestion des ordinateurs sont les suivantes :
L’ajout de comptes d’ordinateurs : fournit un nom d’ordinateur et spécifie une option d’administration.
La désactivation de comptes d’ordinateurs : conserve le compte, mais empêche les ouvertures de session à partir de ce compte.
La réinitialisation du compte d’ordinateur : réinitialise l’association de sécurité entre le domaine et l’ordinateur client (nouvelle association nécessaire).
La suppression de comptes d’ordinateurs : supprime l’ordinateur de tous les services de domaine.
La configuration de stratégies de groupe : gère les environnements de logiciels ou de bureau.
Leçon 3 : Automatisation de l’administration des objets AD DS Outils d’automatisation de l’administration des objets AD DS
Configuration des objets AD DS à l’aide des outils de ligne de commande
Administration des objets utilisateurs avec LDIFDE
Administration des objets utilisateur avec CSVDE
Présentation de Windows PowerShell ?
Applets de commande Windows PowerShell
Outils d’automatisation de l’administration des objets AD DS
Utilisateurs et ordinateurs Active Directory
Centre d’administration Active Directory
Outils de service d’annuaire
• Dsadd
• Dsmod
• Dsrm
Outils Csvde et Ldifde Windows PowerShell
Configuration des objets AD DS à l’aide des outils de ligne de commande Outils de ligne de commande :
• Dsadd : ajout d’objets aux services de domaine Active Directory
• Dsmod : modification d’objets dans AD DS
• Dsrm : suppression d’objets dans AD DS
• Dsmove : déplacement d’objets dans AD DS
• Dsget : affichage d’objets dans AD DS
• Dsquery : recherche d’objets dans AD DS
• net user : ajout/modification de comptes d’utilisateurs
• Net group : ajout/modification d’un accès de groupe
• Net computer : ajout/suppression d’objets d’ordinateurs dans AD DS
Administration des objets utilisateur avec LDIFDE
Active Directory
importer
exporter
• LDIFDE.exe
nom_du_fichier.ldf
Administration des objets utilisateur avec CSVDE
nom_du_fichier.csv
Active Directory
importer
exporter
• CSVDE.exe
Application RH
Présentation de Windows PowerShell
Windows PowerShell est une technologie de scripts et de ligne de commande qui vous permet de gérer les services de domaine
Active Directory et d’autres composants Windows.
Les fonctionnalités de Windows PowerShell sont, notamment :
• des applets de commande sur une ligne performants
• des alias
• des variables
• le traitement en pipeline
• la prise en charge des scripts
• l’accès à toutes les commandes cmd.exe
Les résultats d’un applet de commande peuvent être traités en pipeline vers un autre
Applets de commande Windows PowerShell
Les applets de commande Windows PowerShell utilisent tous la même syntaxe.
Nom Verbe
Date
Paramètres Exemple
Get
Get-Date
Start
Service
W3SVC
Start-Service W3SVC
• Get-Service W3svc | format-list
• Get-Service | sort-object name
• Get-Service |where-object {$_.status –eq “running”} | sort-object name
Obtenir de l’aide
• Get-Help
• Get-Command
Leçon 4 : Localisation d’objets dans Active Directory à l’aide de requêtes Options de localisation d’objets dans les services de domaine
Active Directory
Qu’est-ce qu’une requête enregistrée ?
Options de localisation d’objets dans les services de domaine Active Directory
Tri : utilisez les en-têtes de colonne dans Utilisateurs et ordinateurs Active Directory pour localiser des objets dans une colonne.
Recherche : fournissez vos critères de recherche.
Ligne de commande : dsquery paramètre
Qu’est-ce qu’une requête enregistrée ?
• Les requêtes enregistrées fournissent :
un moyen rapide et cohérent d’effectuer des tâches spécifiques et d’accéder à un ensemble commun d’objets de répertoire nécessitant une analyse ;
Une requête enregistrée permet de sauvegarder un critère de recherche.
des options d’attributs de recherche (ex : date de la dernière ouverture de session).