Module 3

Création d’objets utilisateur et ordinateur AD DS

Vue d’ensemble du module

• Administration des comptes d’utilisateurs

• Création de comptes d’ordinateurs

• Automatisation de l’administration des objets AD DS

• Localisation d’objets dans les services de domaine Active Directory à l’aide de requêtes

Leçon 1 : Administration des comptes d’utilisateurs Qu’est-ce qu’un compte d’utilisateur ?

Noms associés aux comptes d’utilisateurs de domaine

Options de mot de passe des comptes d’utilisateurs

Gestion standard des utilisateurs

Outils de configuration des comptes d’utilisateurs

Qu’est-ce qu’un modèle de compte d’utilisateur ?

Un compte d’utilisateur peut être stocké :

dans AD DS (compte AD DS)

sur l’ordinateur local (compte local)

Qu’est-ce qu’un compte d’utilisateur ?

La création d’un compte d’utilisateur génère également un ID de sécurité (SID).

Un compte d’utilisateur est un objet permettant l’authentification et l’accès aux ressources réseau et locales.

Les comptes AD DS permettent d’ouvrir des sessions sur des domaines et d’accéder à des ressources réseau partagées.

Les comptes locaux permettent d’ouvrir une session sur un seul ordinateur et d’accéder à des ressources locales.

Noms associés aux comptes d’utilisateurs de domaine

Noms d’objets Exemple Exigence du caractère unique

Nom d’ouverture de session de l’utilisateur

Michel Doit être unique dans le domaine

Nom d’ouverture de session de l’utilisateur (avant Microsoft® Windows® 2000)

Domaine\Michel Doit être unique dans le domaine

Nom d’utilisateur principal (UPN) Michel@Domaine.com Doit être unique dans la

forêt

Nom unique LDAP CN=Gregory,OU=IT,DC= Domaine,DC=com

Est globalement unique et combine le RDN, le nom du conteneur et les noms des domaines.

Nom unique relatif CN=Michel Doit être unique dans l’unité d’organisation.

Options de mot de passe des comptes d’utilisateurs

Les mots de passe d’objets utilisateur sont un aspect important de la sécurité réseau et peuvent disposer des options de configuration suivantes :

historique des mots de passe

longueur

complexité

Par défaut, les mots de passe de domaine Windows Server 2008 R2 doivent remplir trois des quatre critères de complexité suivants :

majuscule

minuscule

caractères spéciaux

nombres

Gestion standard des utilisateurs

Les activités de gestion d’utilisateurs comprennent :

La mise à jour de l’appartenance à un groupe : attribue à l’utilisateur l’appartenance à un groupe et des droits d’accès.

La réinitialisation des mots de passe d’utilisateurs : réinitialise l’authentification de sécurité utilisée pour accéder à l’ordinateur du domaine.

La définition de l’expiration de l’utilisateur : définit une date d’expiration pour l’accès au domaine.

La définition d’horaires d’accès : définit une plage horaire pendant laquelle les utilisateurs peuvent accéder au domaine.

L’affectation de profils et définition de dossiers de base : affecte des profils utilisateurs et des dossiers de base afin de réguler l’accès aux ressources.

Outils de configuration des comptes d’utilisateurs

Compte Outils

Compte d’ordinateur local Windows XP, Windows Vista et Windows 7 : Comptes d’utilisateurs

Compte de domaine

• Windows Server 2003/2008/2008 R2 : Utilisateurs et ordinateurs Active Directory

• Windows Server 2008 R2 : Centre d’administration Active Directory

• Utilitaires de ligne de commande : dsadd, Windows PowerShell, CSVDE, LDIFDE

Qu’est-ce qu’un modèle de compte d’utilisateur ?

Les modèles de comptes d’utilisateurs tirent parti de la similarité entre les comptes d’utilisateurs.

Pour utiliser des modèles d’utilisateurs : créez plusieurs utilisateurs typiques reflétant les différents groupes de votre organisation

copiez le compte d’utilisateur ressemblant le plus à celui que vous souhaitez créer

modifiez les attributs : noms, courrier électronique, nom d’ouverture de session de l’utilisateur, etc.,,

Un modèle de compte d’utilisateur est un compte dont les propriétés sont courantes et déjà configurées.

Leçon 2 : Création de comptes d’ordinateurs Qu’est-ce qu’un compte d’ordinateur ?

Options de création de comptes d’ordinateurs

Administration des comptes d’ordinateurs

Les comptes d’ordinateurs :

Qu’est-ce qu’un compte d’ordinateur ?

sont nécessaires pour les authentifications et les audits

Un compte d’ordinateur est un objet dans AD DS qui identifie un ordinateur dans un domaine.

permettent d’administrer un ordinateur en utilisant des stratégies de groupe

sont nécessaires pour tous les ordinateurs exécutant Windows NT ou plus récent

Options de création de comptes d’ordinateurs

Scénario Processus

Ajout d’ordinateurs individuels à un domaine

• Ajouter l’ordinateur au domaine par le biais des propriétés système de l’ordinateur.

• Le compte est alors créé par défaut dans le conteneur Ordinateurs.

Création de comptes d’ordinateurs multiples en vue d’automatiser le déploiement de systèmes d’exploitation et de logiciels

1. Créer une unité d’organisation pour chaque service.

2. Prédéfinir de nouveaux comptes d’ordinateurs.

3. Ajouter l’ordinateur au domaine.

Administration des comptes d’ordinateurs

Les activités de gestion des ordinateurs sont les suivantes :

L’ajout de comptes d’ordinateurs : fournit un nom d’ordinateur et spécifie une option d’administration.

La désactivation de comptes d’ordinateurs : conserve le compte, mais empêche les ouvertures de session à partir de ce compte.

La réinitialisation du compte d’ordinateur : réinitialise l’association de sécurité entre le domaine et l’ordinateur client (nouvelle association nécessaire).

La suppression de comptes d’ordinateurs : supprime l’ordinateur de tous les services de domaine.

La configuration de stratégies de groupe : gère les environnements de logiciels ou de bureau.

Leçon 3 : Automatisation de l’administration des objets AD DS Outils d’automatisation de l’administration des objets AD DS

Configuration des objets AD DS à l’aide des outils de ligne de commande

Administration des objets utilisateurs avec LDIFDE

Administration des objets utilisateur avec CSVDE

Présentation de Windows PowerShell ?

Applets de commande Windows PowerShell

Outils d’automatisation de l’administration des objets AD DS

Utilisateurs et ordinateurs Active Directory

Centre d’administration Active Directory

Outils de service d’annuaire

• Dsadd

• Dsmod

• Dsrm

Outils Csvde et Ldifde Windows PowerShell

Configuration des objets AD DS à l’aide des outils de ligne de commande Outils de ligne de commande :

• Dsadd : ajout d’objets aux services de domaine Active Directory

• Dsmod : modification d’objets dans AD DS

• Dsrm : suppression d’objets dans AD DS

• Dsmove : déplacement d’objets dans AD DS

• Dsget : affichage d’objets dans AD DS

• Dsquery : recherche d’objets dans AD DS

• net user : ajout/modification de comptes d’utilisateurs

• Net group : ajout/modification d’un accès de groupe

• Net computer : ajout/suppression d’objets d’ordinateurs dans AD DS

Administration des objets utilisateur avec LDIFDE

Active Directory

importer

exporter

• LDIFDE.exe

nom_du_fichier.ldf

Administration des objets utilisateur avec CSVDE

nom_du_fichier.csv

Active Directory

importer

exporter

• CSVDE.exe

Application RH

Présentation de Windows PowerShell

Windows PowerShell est une technologie de scripts et de ligne de commande qui vous permet de gérer les services de domaine

Active Directory et d’autres composants Windows.

Les fonctionnalités de Windows PowerShell sont, notamment :

• des applets de commande sur une ligne performants

• des alias

• des variables

• le traitement en pipeline

• la prise en charge des scripts

• l’accès à toutes les commandes cmd.exe

Les résultats d’un applet de commande peuvent être traités en pipeline vers un autre

Applets de commande Windows PowerShell

Les applets de commande Windows PowerShell utilisent tous la même syntaxe.

Nom Verbe

Date

Paramètres Exemple

Get

Get-Date

Start

Service

W3SVC

Start-Service W3SVC

• Get-Service W3svc | format-list

• Get-Service | sort-object name

• Get-Service |where-object {$_.status –eq “running”} | sort-object name

Obtenir de l’aide

• Get-Help

• Get-Command

Leçon 4 : Localisation d’objets dans Active Directory à l’aide de requêtes Options de localisation d’objets dans les services de domaine

Active Directory

Qu’est-ce qu’une requête enregistrée ?

Options de localisation d’objets dans les services de domaine Active Directory

Tri : utilisez les en-têtes de colonne dans Utilisateurs et ordinateurs Active Directory pour localiser des objets dans une colonne.

Recherche : fournissez vos critères de recherche.

Ligne de commande : dsquery paramètre

Qu’est-ce qu’une requête enregistrée ?

• Les requêtes enregistrées fournissent :

un moyen rapide et cohérent d’effectuer des tâches spécifiques et d’accéder à un ensemble commun d’objets de répertoire nécessitant une analyse ;

Une requête enregistrée permet de sauvegarder un critère de recherche.

des options d’attributs de recherche (ex : date de la dernière ouverture de session).