PRODUIT OFFICIEL DE FORMATION MICROSOFT
6238B
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 Volume 1
N'oubliez pas d'accéder au contenu de formation supplémentaire du CD-ROM d'accompagnement du cours qui se trouve au dos de votre livre.
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
xv
Table des matières Module 1 : Présentation des services de domaine Active Directory (AD DS) Leçon 1 : Présentation d'Active Directory, des identités et des accès Leçon 2 : Composants et concepts Active Directory Leçon 3 : Installation des services de domaine Active Directory Atelier pratique : Installation d'un contrôleur de domaine AD DS pour créer une seule forêt de domaines Leçon 4 : Extension d'IDA avec le services Active Directory
1-4 1-21 1-47 1-57 1-66
Module 2 : Administration sécurisée et efficace d'Active Directory Leçon 1 : Utilisation des composants logiciels enfichables Active Directory Leçon 2 : Consoles personnalisées et privilèges minimum Atelier pratique A : Création et exécution d'une console d'administration personnalisée Leçon 3 : Recherche d'objets dans Active Directory Atelier pratique B : Recherche d'objets dans Active Directory Leçon 4 : Utilisation des commandes DS pour administrer Active Directory Atelier pratique C : Utilisation des commandes DS pour administrer Active Directory
2-4 2-14 2-25 2-36 2-53 2-62 2-81
Module 3 : Gestion des utilisateurs Leçon 1 : Création et administration des comptes d'utilisateur Atelier pratique A : Création et administration des comptes d'utilisateur Leçon 2 : Définition des attributs des objets utilisateur Atelier pratique B : Définition des attributs des objets utilisateur Leçon 3 : Automatisation de la création des comptes d'utilisateur Atelier pratique C : Automatisation de la création des comptes d'utilisateur
3-4 3-29 3-35 3-51 3-61 3-70
xvi
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Module 4 : Gestion des groupes Leçon 1 : Gestion d'une entreprise avec des groupes Leçon 2 : Administration des groupes Atelier pratique A : Administration des groupes Leçon 3 : Meilleures pratiques de gestion des groupes Atelier pratique B : Meilleures pratiques de gestion des groupes
4-4 4-45 4-66 4-74 4-89
Module 5 : Prise en charge des comptes d'ordinateur Leçon 1 : Création d'ordinateurs et jonction au domaine Atelier pratique A : Création d'ordinateurs et jonction au domaine Leçon 2 : Administration des objets et des comptes d'ordinateur Atelier pratique B : Administration des objets et des comptes d'ordinateur
5-4 5-34 5-42 5-62
Module 6 : Implémentation d'une infrastructure de stratégie de groupe Leçon 1 : Fonctionnement de la stratégie de groupe Leçon 2 : Implémentation des objets GPO Atelier pratique A : Implémentation d'une stratégie de groupe Leçon 3 : Examen approfondi des paramètres et des objets GPO Atelier pratique B : Gestion des paramètres et des objets GPO Leçon 4 : Gestion de l'étendue d'une stratégie de groupe Atelier pratique C : Gestion de l'étendue d'une stratégie de groupe Leçon 5 : Traitement d'une stratégie de groupe Leçon 6 : Résolution des problèmes d'application de stratégie Atelier pratique D : Résolution des problèmes d'application de stratégie
6-4 6-22 6-40 6-44 6-67 6-74 6-105 6-113 6-123 6-136
Module 7 : Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe Leçon 1 : Délégation du support technique des ordinateurs Atelier pratique A : Délégation du support technique des ordinateurs Leçon 2 : Gestion des paramètres de sécurité Atelier pratique B : Gestion des paramètres de sécurité Leçon 3 : Gestion de logiciels avec GPSI
7-4 7-16 7-20 7-49 7-62
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Atelier pratique C : Gestion de logiciels avec GPSI Leçon 4 : Audit Atelier pratique D : Audit de l'accès aux systèmes de fichiers
xvii
7-81 7-87 7-100
Module 8 : Administration sécurisée Leçon 1 : Délégation des autorisations administratives Atelier pratique A : Délégation de l'administration Leçon 2 : Audit des modifications Active Directory® Atelier pratique B : Audit des modifications Active Directory
8-4 8-27 8-36 8-42
Module 9 : Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS) Leçon 1 : Configuration des stratégies de mot de passe et de verrouillage Atelier pratique A : Configuration des stratégies de mot de passe et de verrouillage de compte Leçon 2 : Audit de l'authentification Atelier pratique B : Audit de l'authentification Leçon 3 : Configuration des contrôleurs de domaine en lecture seule Atelier pratique C : Configuration des contrôleurs de domaine en lecture seule
9-4 9-24 9-30 9-40 9-45 9-66
i
À propos de ce cours Cette section décrit brièvement le cours, le profil des stagiaires, les connaissances préalables requises et les objectifs du cours.
Description du cours Ce cours de 5 jours a pour objectif d'apprendre aux spécialistes de la technologie Active Directory® à configurer les services de domaine Active Directory (AD DS) dans un environnement distribué, implémenter une stratégie de groupe, effectuer des sauvegardes et des restaurations et résoudre les problèmes liés à Active Directory. À la fin de ce cours, les stagiaires seront à même d'implémenter et de configurer les services de domaine Active Directory dans leur environnement d'entreprise.
Public concerné Ce cours s'adresse principalement aux spécialistes de la technologie Active Directory, administrateurs de serveurs et administrateurs d'entreprise qui souhaitent apprendre à implémenter Active Directory dans un environnement distribué, à sécuriser des domaines à l'aide de stratégies de groupe, à effectuer des sauvegardes et des restaurations, ainsi qu'à contrôler et résoudre les problèmes de configuration Active Directory, afin d'assurer un fonctionnement harmonieux.
Connaissances préalables Pour pouvoir suivre ce cours, vous devez répondre aux critères suivants : •
Connaissances de base dans le domaine des réseaux. Vous devez connaître le fonctionnement de TCP/IP et avoir des connaissances de base dans les domaines de l'adressage, de la résolution des noms (Domain Name System [DNS]/Windows® Internet Name Service [WINS]) et des méthodes de connexion (câblé, sans fil, réseau privé virtuel [VPN]) et NET+ ou équivalent.
•
Niveau de connaissances intermédiaire des systèmes d'exploitation réseau. Vous devez avoir des connaissances intermédiaires dans le domaine des systèmes d'exploitation, tels que Windows 2000, Windows XP ou Windows Server® 2003. Des connaissances dans le système d'exploitation Windows Vista® sont un avantage.
•
Connaissances des meilleures pratiques de sécurité. Vous devez avoir des connaissances en matière d'autorisations liées aux systèmes de fichiers, de méthodes d'authentification et de renforcement de la sécurité des serveurs, etc.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
À propos de ce cours
À propos de ce cours
•
Connaissances élémentaires des matériels serveur. Vous devez avoir un niveau de premier cycle ou équivalent.
•
Expérience dans la création d'objets dans Active Directory.
•
Concepts de base des processus de sauvegarde et de restauration dans un environnement Windows Server. Vous devez avoir des connaissances de base en matière de types de sauvegardes, de méthodes de sauvegarde, de topologies de sauvegarde, etc.
Objectifs du cours Ce cours va permettre au stagiaires d'atteindre les objectifs suivants : •
positionner le rôle stratégique d'un service d'annuaire dans une entreprise par rapport aux identités et aux accès ;
•
expliquer les processus d'authentification et d'autorisation ;
•
identifier les principaux composants d'AD DS ;
•
comprendre les exigences d'installation d'un contrôleur de domaine pour créer une nouvelle forêt ;
•
identifier les rôles et les relations entre AD DS, Services Active Directory Lightweight Directory (AD LDS), Services Active Directory Lightweight Directory (AD RMS), Services ADFS (Active Directory Federation Services) (AD FS) et Services de certificats Active Directory (AD CS) ;
•
installer, rechercher et décrire les composants logiciels enfichables pour administrer les services de domaine Active Directory (AD DS) ;
•
exécuter des tâches d'administration de base avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ;
•
créer une console MMC (Microsoft Management Console) personnalisée pour l'administration ;
•
exécuter des tâches d'administration en ayant ouvert une session comme utilisateur ;
•
contrôler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ;
•
rechercher des objets dans Active Directory ;
•
utiliser des requêtes enregistrées ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
ii
iii
•
identifier le nom unique (DN), le nom unique relatif (RDN) et le nom commun (CN) d'un objet Active Directory ;
•
utiliser les commandes DS pour administrer Active Directory depuis la ligne de commande ;
•
créer et définir les propriétés de compte d'un objet utilisateur ;
•
identifier la fonction et les conditions des attributs d'un compte d'utilisateur ;
•
exécuter les tâches d'administration courantes pour gérer les comptes d'utilisateur, notamment réinitialiser un mot de passe et déverrouiller un compte ;
•
activer et désactiver des comptes d'utilisateur ;
•
supprimer, déplacer et renommer des comptes d'utilisateur ;
•
afficher et modifier les attributs masqués des objets utilisateur ;
•
identifier la fonction et les conditions des attributs d'un objet utilisateur ;
•
créer des utilisateurs à partir de modèles de comptes d'utilisateur.
•
modifier simultanément les attributs de plusieurs utilisateurs ;
•
exporter des attributs d'utilisateur avec CSVDE (Comma Separated Value Directory Exchange) ;
•
importer des utilisateurs avec CSVDE ;
•
importer des utilisateurs avec LDAP Lightweight Directory Access Protocol) LDIFDE (Data Interchange Format Directory Exchange) ;
•
créer des groupes délégués sécurisés correctement documentés ;
•
expliquer les types de groupes, l'étendue et l'imbrication ;
•
comprendre la meilleure pratique d'imbrication de groupe pour gérer en fonction de rôles ;
•
créer, supprimer et gérer des groupes avec des commandes DS, CSVDE et LDIFDE ;
•
énumérer et copier les membres des groupes ;
•
expliquer les groupes par défaut (intégrés) ;
•
expliquer les identités spéciales ;
•
expliquer la relation entre un membre d'un domaine et le domaine en termes d'identité et d'accès ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
À propos de ce cours
À propos de ce cours
•
identifier les conditions d'ajout d'un ordinateur à un domaine ;
•
implémenter des processus de meilleures pratiques d'ajout d'ordinateurs ,
•
sécuriser AD DS pour empêcher la création de comptes d'ordinateurs non gérés ;
•
gérer les objets ordinateur et leurs attributs en utilisant l'interface Windows et les outils de ligne de commande ;
•
administrer les comptes d'ordinateurs pendant leur cycle de vie ;
•
identifier les facteurs professionnels de la gestion de configuration ;
•
comprendre les composants et les technologies qui constituent la structure d'une stratégie de groupe ;
•
gérer des objets Stratégie de groupe (GPO) ;
•
configurer et comprendre les divers types de paramètres d'une stratégie ;
•
définir la portée des objets GPO à l'aide de liens, de groupes de sécurité, de filtres WMI, de traitement par boucle de rappel et du ciblage des Préférences ;
•
expliquer le stockage, la réplication et la gestion des versions des objets GPO ;
•
administrer l'infrastructure d'une stratégie de groupe ;
•
évaluer l'héritage, la priorité et le jeu de stratégie résultant (RSoP) ;
•
localiser les journaux d'événements contenant les événements liés à une stratégie de groupe ;
•
déléguer l'administration des ordinateurs ;
•
modifier ou activer les membres des groupes à l'aide des stratégies de groupes restreints ;
•
modifier les membres de groupes à l'aide des préférences de stratégie de groupe ;
•
configurer les paramètres de sécurité à l'aide de la stratégie de sécurité locale ;
•
créer et appliquer des modèles de sécurité pour gérer une configuration de sécurité ;
•
analyser une configuration de sécurité basée sur des modèles de sécurité ;
•
créer, modifier et appliquer des stratégies de sécurité en utilisant l'Assistant Configuration de la sécurité ;
•
déployer la configuration de la sécurité à l'aide d'une stratégie de groupe ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
iv
v
•
déployer des logiciels à l'aide de l'installation logicielle d'une stratégie de groupe (GPSI) ;
•
supprimer les logiciels installés initialement avec GPSI ;
•
décrire l'objectif de la délégation pour une entreprise ;
•
affecter des autorisations à des objets Active Directory à l'aide des interfaces utilisateur d'éditeur de sécurité et de l'Assistant Délégation de contrôle ;
•
afficher et signaler les autorisations sur les objets Active Directory en utilisant l'interface utilisateur et des outils de ligne de commande ;
•
rétablir les autorisations par défaut sur un objet ;
•
décrire la relation entre une conception de délégation et une conception d'unité d'organisation ;
•
configurer l'audit des modifications du service d'annuaire ;
•
spécifier les paramètres d'audit au niveau des objets Active Directory ;
•
identifier les entrées de journaux d'événements créées par l'audit d'accès à l'annuaire et l'audit des modifications du service d'annuaire ;
•
implémenter votre stratégie de mot de passe de domaine et de verrouillage de compte ;
•
configurer et affecter des stratégies de mot de passe affinées ;
•
configurer l'audit des activités liées à l'authentification ;
•
faire la distinction entre les événements de connexion de comptes et les événements Ouverture de session ;
•
identifier les événements liés à l'authentification dans le journal de sécurité ;
•
identifier les besoins pour les contrôleurs de domaine en lecture seule ;
•
installer un contrôleur de domaine en lecture seule ;
•
configurer une stratégie de réplication de mot de passe ;
•
contrôler la mise en cache des informations d'identification sur un contrôleur de domaine en lecture seule ;
•
expliquer le rôle structure, la structure et la fonctionnalité du système de noms de domaine (DNS) ;
•
décrire les processus de résolution des noms de client et de serveur ;
•
installer le service DNS ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
À propos de ce cours
À propos de ce cours
•
gérer les enregistrements DNS ;
•
configurer les paramètres du serveur DNS ;
•
comprendre l'intégration entre AD DS et DNS ;
•
choisir un domaine DNS pour un domaine Active Directory ;
•
créer une délégation de zone pour un nouveau domaine Active Directory ;
•
configurer la réplication des zones intégrées Active Directory ;
•
décrire la fonction des enregistrements SRV dans le processus d'emplacement des contrôleurs d'un domaine ;
•
comprendre le fonctionnement des serveurs DNS en lecture seule ;
•
comprendre et configurer la résolution des noms en une partie ;
•
configurer les paramètres avancés du serveur DNS ;
•
auditer, gérer et dépanner le rôle de serveur DNS ;
•
installer un contrôleur de domaine standard ou en lecture seule dans des arborescences ou des domaines, nouveaux ou existants ;
•
ajouter et supprimer des contrôleurs de domaine à l'aide de diverses méthodes d'interface graphique utilisateur ou de ligne de commande ;
•
configurer un contrôleur de domaine sur Server Core ;
•
comprendre et identifier les rôles de maître d'opérations ;
•
gérer l'emplacement, le transfert et la cessation des rôles de maître d'opérations ;
•
migrer la réplication SYSVOL du service de réplication de fichiers (FRS) vers la réplication du système de fichiers DFS (DFS-R) ;
•
configurer des sites et des sous-réseaux ;
•
comprendre l'emplacement des contrôleurs de domaine et gérer les contrôleurs de domaine dans les sites ;
•
configurer la réplication du jeu d'attributs partiels vers les serveurs de catalogues globaux ;
•
implémenter la mise en cache de l'appartenance au groupe universel ;
•
comprendre la fonction des partitions de l'annuaire d'applications ;
•
configurer la topologie de réplication avec des objets de connexion, des serveurs tête de pont, des liens de sites et des ponts de liens de sites ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
vi
vii
•
générer des rapports, analyser et résoudre les problèmes de réplication avec les outils repadmin.exe et dcdiag.exe ;
•
contrôler les performances et les événements en temps réel avec le Gestionnaire des tâches, l'Observateur d'événements et le Moniteur de fiabilité et de performances Windows ;
•
tirer parti des nouvelles fonctionnalités de l'Observateur d'événements de Windows Server 2008, notamment des vues personnalisées et des abonnements aux événements ;
•
contrôler les performances en temps réel et enregistrées avec l'Analyseur de performances, des jeux d'éléments de collecte de données et des rapports ;
•
identifier les sources d'informations relatives aux performances et aux événements des contrôleurs de domaine AD DS ;
•
créer des alertes en fonction d'événements et de mesures de performances ;
•
gérer et optimiser la base de données Active Directory ;
•
sauvegarder et restaurer AD DS et les contrôleurs de domaine ;
•
restaurer les objets et les attributs supprimés ;
•
comprendre les niveaux fonctionnels des domaines et des forêts ;
•
élever les niveaux fonctionnels des domaines et des forêts ;
•
identifier les fonctions ajoutées par chaque niveau fonctionnel ;
•
concevoir un domaine et une arborescence de domaine efficaces pour AD DS ;
•
identifier le rôle de l'Outil de migration Active Directory et les problèmes liés à la migration d'objet et à la restructuration de domaine ;
•
comprendre les relations d'approbation ;
•
configurer, administrer et sécuriser les relations d'approbation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
À propos de ce cours
À propos de ce cours
Plan du cours Cette section décrit la structure du cours : Module 1. Ce module explique comment installer et configurer les services de domaine Active Directory et un contrôleur de domaine en lecture seule. Module 2. Ce module explique comment travailler en toute sécurité et efficacement dans Active Directoy. Module 3. Ce module explique comment gérer et prendre en charge les comptes d'utilisateur dans Active Directory. Module 4. Ce module explique comment créer, modifier, supprimer et gérer des objets groupe dans Active Directory. Module 5. Ce module explique comment créer et configurer des comptes d'ordinateur. Module 6. Ce module décrit la stratégie de groupe, son fonctionnement et comment optimiser son implémentation dans votre entreprise. Module 7. Ce module explique comment gérer la sécurité et l'installation des logiciels, et comment auditer les fichiers, ainsi que les dossiers. Module 8. Ce module explique comment administrer les services de domaine Active Directory. Module 9. Ce module explique les composants de domaine de l'authentification, notamment les stratégies qui définissent les conditions de mot de passe et l'audit des activités d'authentification. Module 10. Ce module explique comment implémenter DNS pour prendre en charge la résolution de nom dans votre domaine AD DS et en dehors de votre domaine et votre intranet. Module 11. Ce module explique comment administrer les contrôleurs de domaine dans une forêt. Module 12. Ce module explique comment créer un service d'annuaire distribué qui prend en charge des contrôleurs de domaine dans des parties du réseau séparées par des liaisons coûteuses, lentes ou non fiables.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
viii
Module 13. Ce module explique les technologies et les outils disponibles pour garantir l'intégrité et la longévité du service d'annuaire. Vous allez apprendre à exploiter certains outils pour surveiller les performances en temps réel et à enregistrer au fur et à mesure ces performances dans un journal pour garder un œil sur les tendances et déceler les problèmes potentiels. Module 14. Ce module explique comment élever les niveaux de fonctionnalité d'un domaine et d'une forêt dans votre environnement, concevoir une infrastructure AD DS optimale pour votre entreprise, migrer des objets entre des domaines et des forêts et activer l'authentification et les accès aux ressources dans plusieurs domaines et forêts.
ix
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
À propos de ce cours
À propos de ce cours
Documents de cours Votre kit de formation contient les documents suivants : •
Guide du cours. Le guide du cours contient les sujets traités en cours. Il est doit être utilisé avec le CD-ROM d'accompagnement du cours.
•
CD-ROM d'accompagnement du cours. Ce CD-ROM contient la totalité du cours, y compris le contenu développé de chaque page de rubrique, l'ensemble des exercices pratiques et leurs corrigés, les ressources classées par rubriques et par catégories et des liens Web. Il doit être utilisé pendant le cours et en dehors du cours.
Remarque : pour accéder au contenu du cours, insérez le CD-ROM d'accompagnement du cours dans votre lecteur de CD-ROM, puis double-cliquez sur le fichier StartCD.exe dans le répertoire principal du CD-ROM.
•
Évaluation du cours. À la fin du cours, vous pourrez remplir une fiche d'évaluation en ligne pour faire part de vos commentaires sur le cours, le centre de formation et l'instructeur.
Pour formuler des commentaires supplémentaires sur le cours, vous pouvez envoyer un courrier électronique à l'adresse
[email protected]. Pour obtenir des informations sur le programme MCP (Microsoft Certified Professional), envoyez un courrier électronique à l'adresse
[email protected].
Environnement de l'ordinateur virtuel Cette section contient les informations de configuration de l'environnement de la salle de cours en fonction du scénario d'entreprise du cours.
Configuration de l'ordinateur virtuel Dans ce cours, vous utiliserez Microsoft Virtual Server 2005 et l'utilitaire de lancement des ateliers pratiques MSL pour effectuer les ateliers pratiques. Important : à la fin de chaque atelier pratique, vous devez arrêter l'ordinateur virtuel sans enregistrer vos modifications. Pour arrêter un ordinateur virtuel sans enregistrer les modifications, procédez comme suit : 1. Pour chaque ordinateur virtuel actif, fermez la fenêtre VMRC (Virtual Machine Remote Control). 2. Dans la zone Fermer, sélectionnez Éteindre l'ordinateur et ignorez les modifications. Cliquez sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
x
xi
Le tableau suivant répertorie le rôle de chaque ordinateur virtuel utilisé dans ce cours : Ordinateur virtuel
Rôle
6238B-HQDC01-A
Contrôleur de domaine Windows Server 2008 dans le domaine Contoso
6238B-HQDC01-B
Contrôleur de domaine Windows Server 2008 dans le domaine Contoso
6238B-HQDC01-D
Membre de groupe de travail Windows Server 2008
6238B-HQDC02-A
Membre de groupe de travail Windows Server 2008
6238B-HQDC02-B
Contrôleur de domaine Windows Server 2008 dans le domaine Contoso
6238B-HQDC03-A
Windows Server 2008 Server Core dans le groupe de travail
6238B-HQDC03-B
Windows Server 2008 Server Core dans le domaine Contoso
6238B-DESKTOP101-A
Client Windows Vista dans le domaine Contoso
6238B-BRANCHDC01-A
Membre de groupe de travail Windows Server 2008
6238B-BRANCHDC01-B
Contrôleur de domaine Windows Server 2008 Server Core dans le domaine Contoso
6238B-SERVER01-A
Contrôleur de domaine Windows Server 2008 dans le domaine Contoso
6238B-SERVER01-B
Membre de groupe de travail Windows Server 2008
6238B-TSTDC01-A
Contrôleur de domaine Windows Server 2008 dans le domaine Tailspintoys
Configuration logicielle Les logiciels suivants sont installés sur l'ordinateur virtuel : •
Windows Server 2008 Entreprise
•
Windows Vista Entreprise
Installation de la salle de classe L'ordinateur virtuel sera configuré de la même façon sur tous les ordinateurs de la classe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
À propos de ce cours
À propos de ce cours
Niveau des éléments matériels du cours Pour garantir une utilisation satisfaisante, les formations Microsoft requièrent une configuration matérielle minimale pour les ordinateurs de l'instructeur et des stagiaires dans toutes les salles de cours Microsoft CPLS (Certified Partner for Learning Solutions) dans lesquelles des cours sur les produits officiels de Microsoft sont dispensés. Ce cours répond à un niveau de matériel 5.5 avec une mémoire RAM étendue. Consultez le guide de configuration de la salle de cours pour plus d'informations sur les spécifications matérielles. Important : le niveau de matériel de ce cours a été modifié pour fonctionner par défaut en supposant qu'une mémoire RAM de 4 Go plutôt que 2 Go, qui correspond à la quantité normale de mémoire nécessaire pour le niveau de matériel 5.5, est disponible sur l'ordinateur hôte. Par conséquent, la configuration par défaut sur l'installation et dans l'environnement de démarrage est définie pour s'exécuter sur un ordinateur hôte disposant d'une mémoire RAM de 4 Go. Pour plus d'informations sur la configuration de cet environnement, suivez les étapes décrites dans la section Configuration de la salle de cours – Niveau de matériel 5.5 avec une mémoire RAM de 4 Go du guide de configuration de la salle de cours. Si les ordinateurs des stagiaires ne disposent pas d'une mémoire RAM de 4 Go, vous devez procéder à une configuration alternative. Un fichier LauncherSettings.config alternatif est fourni avec le cours ; il redéfinit les valeurs de mémoire RAM de chaque ordinateur virtuel pour leur permettre de démarrer et de fonctionner au niveau matériel normal 5.5 avec une mémoire RAM de 2 Go sur l'ordinateur hôte. Pour plus d'informations sur la configuration de la salle de cours lorsque 2 Go de mémoire RAM seulement sont disponibles sur les ordinateurs des stagiaires, consultez la section Configuration de la salle de cours - Niveau de matériel 5.5 avec une mémoire RAM de 4 Go dans le guide de configuration de la salle de cours. Il est également vivement recommandé de lire le guide de démarrage de l'utilitaire de lancement des ateliers pratiques MSL disponible dans le centre de téléchargement MCT. Ce guide explique comment installer et personnaliser l'utilitaire de lancement des ateliers pratiques et il complète le guide de configuration spécifique de ce cours.
Chaque ordinateur du cours fait office d'hôte pour cinq ordinateurs virtuels exécutés dans Virtual Server 2005 R2 SP1. La durée de la configuration de la salle de cours est de 140 minutes (2 h 20) environ.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
xii
1-1
Module 1 Présentation des services de domaine Active Directory (AD DS) Table des matières : Leçon 1 : Présentation d'Active Directory, des identités et des accès
1-4
Leçon 2 : Composants et concepts Active Directory
1-21
Leçon 3 : Installation des services de domaine Active Directory
1-47
Atelier pratique : Installation d'un contrôleur de domaine AD DS pour créer une seule forêt de domaines
1-57
Leçon 4 : Extension d'IDA avec les services Active Directory
1-66
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vue d'ensemble du module
Active Directory ® et ses services connexes constituent la base des réseaux d'entreprise fonctionnant sous le système d'exploitation Windows®. En effet, ils agissent ensemble pour stocker des informations sur l'identité des utilisateurs, des ordinateurs et des services, pour authentifier un utilisateur ou un ordinateur et pour fournir à l'utilisateur ou à l'ordinateur un mécanisme d'accès aux ressources de l'entreprise. Dans ce module, vous commencerez votre exploration d'Active Directory Windows Server® 2008 en installant le rôle Services de domaine Active Directory (AD DS) et en créant un contrôleur de domaine (DC) dans une nouvelle forêt Active Directory. Vous constaterez que Windows Server 2008 poursuit l'évolution d'Active Directory en améliorant la plupart des concepts et des fonctionnalités que vous connaissez de par votre expérience avec Active Directory. Ce module se concentre sur la création d'une nouvelle forêt Active Directory à un domaine dans un contrôleur de domaine unique. L'atelier pratique de ce module vous guidera à travers les étapes de création d'un domaine nommé contoso.com que vous utiliserez pour tous les autres ateliers pratiques du cours. Dans les modules ultérieurs, vous apprendrez à implémenter d'autres scénarios, notamment des forêts à plusieurs domaines, des mises à niveau de forêts existantes de Windows Server 2008 et des options d'installation avancées.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-2
1-3
Plus important encore, ce module plante le décor de l'ensemble du cours en présentant une vue générale d'Active Directory. Vous y étudierez les concepts clés de l'authentification, des autorisations et des services d'annuaire, et vous porterez un regard global sur les principaux composants d'Active Directory et comment ils se complètent. Si vous êtes très expérimenté avec Active Directory ou une version plus récente de la plateforme, ce module vous permettra de comprendre dans quelle direction ce cours vous mène.
Objectifs Ce module va vous permettre d'atteindre les objectifs suivants : •
positionner le rôle stratégique d'un service d'annuaire dans une entreprise par rapport aux identités et aux accès ;
•
expliquer les processus d'authentification et d'autorisation ;
•
identifier les principaux composants d'AD DS ;
•
comprendre les exigences d'installation d'un contrôleur de domaine pour créer une nouvelle forêt ;
•
identifier les rôles et les relations entre AD DS, AD LDS, AD RMS, AD FS et AD CS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 1
Présentation d'Active Directory, des identités et des accès
Les services de domaine Active Directory (AD DS) fournissent les fonctionnalités d'une solution d'identité et d'accès (IDA) pour des réseaux d'entreprise. La leçon passe en revue les concepts clés d'IDA et d'Active Directory.
Objectifs Cette leçon va vous permettre d'atteindre les objectifs suivants : •
expliquer les concepts, la terminologie, les processus et les technologies d'authentification et d'autorisation ;
•
positionner le rôle stratégique d'un service d'annuaire dans une entreprise au regard des identités et des accès.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-4
1-5
Protection des informations en quelques mots
Points clés Pour faire simple, le travail d'un professionnel des technologies de l'information est de connecter des utilisateurs aux données dont ils ont besoin pour accomplir leur travail. Ce serait plutôt facile si nous n'avions pas à nous soucier d'un petit détail appelé « sécurité ». Étant donné que les utilisateurs nécessitent différents niveaux d'accès à différentes classes d'informations, nous devons gérer l'association des utilisateurs corrects aux niveaux d'accès correspondants : c'est la protection des informations. En informatique, il y a plusieurs approches possibles pour protéger des informations. Cette marée d'abréviations et d'acronymes de structures représente simplement des perspectives différentes d'un même problème : •
IDA : Identity and Access (identité et accès). Les utilisateurs et les autres entités de sécurité (qui peuvent inclure des services, des ordinateurs et des groupes) sont représentés par des identités (souvent appelées « comptes ») auxquelles nous accordons un accès (des autorisations) à des informations, des ressources ou des systèmes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
AAA : Authentication, Authorization, and Accounting (authentification, autorisation et gestion des comptes). Les utilisateurs fournissent des informations d'identification telles qu'un nom d'utilisateur et un mot de passe. Ils sont authentifiés que s'ils fournissent des informations d'identification validées. Les utilisateurs reçoivent des autorisations d'accès à des ressources (contrôle d'accès) qui sont utilisées pour autoriser des demandes d'accès. L'accès est surveillé par une gestion des comptes et un audit. Dans certains documents, l'audit est représenté par un « A » distinct de la gestion des comptes. L'acronyme devient donc « AAAA ».
•
CIA : Confidentiality, Integrity, and Availability (confidentialité, intégrité et disponibilité). Les informations sont protégées afin qu'elles ne soient pas divulguées à des personnes non autorisées (confidentialité) et qu'elles ne soient pas modifiées de manière incorrecte (intégrité), que ce soit intentionnellement ou par inadvertance. Les informations sont disponibles lorsqu'elles sont nécessaires (disponibilité).
Lectures complémentaires •
Microsoft Identity and Access Solutions (en anglais) http://go.microsoft.com/fwlink/?LinkId=168485
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-6
1-7
Identité et accès (IDA)
Points clés Deux concepts essentiels sont au cœur de la protection des informations : l'identité et l'accès (IDA). Consacrons quelques minutes à passer en revue les principes de base, les composants, les processus et les technologies associés à l'identité et à l'accès sur les systèmes Windows. Vous devez certainement connaître la plupart ou l'ensemble de ces informations de par votre expérience passée avec Windows, mais il est important de planter le décor pour le rôle d'Active Directory et de clarifier la terminologie, les composants et les processus qu'impliquent IDA. Dans un système sécurisé, chaque utilisateur est représenté par une identité. Dans les systèmes Windows, l'identité est le compte d'utilisateur. Les comptes d'un ou plusieurs utilisateurs sont conservés dans un magasin d'identités, également appelé base de données d'annuaire. Une identité est appelée une entité de sécurité dans les systèmes Windows. Les entités de sécurité sont identifiées de manière unique par un attribut appelé identificateur de sécurité (SID).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
À l'autre extrémité du système se trouve la ressource à laquelle l'utilisateur demande l'accès. La ressource est sécurisée par des autorisations, et chaque autorisation spécifie l'association d'un niveau d'accès particulier à une identité. De nombreuses ressources de Windows, notamment les fichiers et les dossiers sur des volumes NTFS, sont sécurisées par un descripteur de sécurité judicieusement nommé qui contient une liste de contrôle d'accès discrétionnaire (DACL) dans laquelle chaque autorisation prend la forme d'une entrée de contrôle d'accès (ACE).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-8
Authentification et autorisation
Points clés Il y a certains concepts et processus importants entre l'utilisateur (entité de sécurité) et l'accès aux ressources. Les quatre prochaines diapositives décrivent en détail ce processus.
1-9
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Authentification
Points clés L'authentification est le processus de vérification de l'identité d'un utilisateur. L'utilisateur fournit des informations d'identification constituées d'au moins deux parties : un nom de connexion et un secret connu uniquement de l'utilisateur et du système, tel qu'un mot de passe. Le système valide l'exactitude des informations d'identification présentées par l'utilisateur par rapport à celles stockées pour l'identité. Il existe deux types d'authentifications : locale et à distance. Une ouverture de session locale ou interactive se produit lorsqu'un utilisateur ouvre une session sur un ordinateur directement, par exemple lorsque vous vous connectez à votre ordinateur portable le matin. Une connexion à distance ou réseau se produit lorsque vous vous connectez à un autre ordinateur, tel qu'un serveur de fichiers, un serveur de messagerie ou même un contrôleur de domaine pour récupérer un script d'ouverture de session.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-10
1-11
Jetons d'accès
Points clés Une fois qu'un utilisateur a été authentifié, l'autorité de sécurité locale (LSA) génère un jeton d'accès de sécurité (également appelé jeton de sécurité ou jeton d'accès) qui représente l'utilisateur auprès du système en collectant le SID de l'utilisateur et les SID de tous les groupes auxquels l'utilisateur appartient. Le jeton d'accès représente également des privilèges (également appelés droits d'utilisateur) détenus par l'utilisateur sur le système, par exemple le droit d'arrêter le système ou encore le droit d'ouvrir une session sur le système de façon interactive (localement). Il est important de se souvenir que le jeton d'accès est généré et conservé localement, sur l'ordinateur qui a authentifié l'utilisateur. Lorsqu'un utilisateur ouvre une session sur son ordinateur de bureau (ouverture de session interactive ou locale), ce dernier crée un jeton de sécurité et, en supposant que l'utilisateur a le droit d'ouvrir une session sur le système de façon interactive, il appelle le processus Explorateur Windows, ce qui crée le Bureau.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Lorsqu'un utilisateur se connecte ensuite à un serveur pour accéder à un fichier partagé (ouverture de session à distance ou réseau), le serveur authentifie l'utilisateur et génère un jeton d'accès sur le serveur qui représente l'utilisateur avec le SID de l'utilisateur et les SID de tous les groupes auxquels cet utilisateur appartient. Le jeton d'accès sur le serveur est distinct du jeton d'accès sur l'ordinateur de bureau de l'utilisateur. Un jeton d'accès n'est jamais transmis sur le réseau, et la LSA d'un système Windows n'accepte jamais un jeton d'accès généré par une autre LSA. Cela devrait pourtant être le cas car un utilisateur appartient probablement à différents groupes locaux sur le serveur plutôt que sur l'ordinateur de bureau et détient sans doute différents privilèges (droits d'utilisateur) sur le serveur plutôt que sur l'ordinateur de bureau.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-12
1-13
Descripteurs de sécurité, listes de contrôle d'accès et entrées de contrôle d'accès
Points clés Le descripteur de sécurité d'une ressource sécurisée, telle qu'un fichier ou un dossier sur un volume NTFS, décrit l'ensemble des caractéristiques de sécurité de la ressource. Le descripteur de sécurité contient la liste de contrôle d'accès discrétionnaire (DACL), qui à son tour contient les entrées de contrôle d'accès (ACE ou « autorisations »). Chaque autorisation est constituée d'un indicateur qui détermine si l'ACE est Autoriser ou Refuser, un Client approuvé (le SID d'un utilisateur ou d'un groupe), et un masque d'accès spécifiant un niveau d'accès. L'ACE définit donc qui (le Client approuvé représenté par le SID) peut ou ne peut pas faire quoi (représenté par le masque d'accès). Le descripteur de sécurité englobe également la liste de contrôle d'accès système (SACL) qui contient des paramètres d'audit et des attributs tels que le propriétaire de l'objet. Étant donné que la DACL est au centre de la majorité de la gestion de la sécurité quotidienne d'une ressource, le nom et l'acronyme sont souvent abrégés. Par conséquent, la liste de contrôle d'accès (ACL) abrégée, bien que techniquement imprécise, est utilisée par de nombreux administrateurs et dans beaucoup de documents (y compris ce cours) pour faire référence à la DACL.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Autorisation
Points clés L'autorisation est le processus qui détermine s'il faut accorder ou refuser à un utilisateur un niveau d'accès demandé à une ressource. Une demande d'accès est effectuée en indiquant la ressource, le niveau d'accès et le jeton de sécurité qui représentent l'utilisateur. Le sous-système de sécurité examine ensuite l'ACL de la ressource, en comparant les SID dans les ACE aux SID dans le jeton de sécurité. La première ACE qui correspond à la fois à un SID dans le jeton et au type souhaité d'accès détermine si l'accès à la ressource est autorisé (si l'ACE est Autoriser) ou refusé (si l'ACE est Refuser) à l'utilisateur. Si aucune correspondance n'est trouvée, l'accès est refusé.
Lectures complémentaires •
Logon and Authentication Technologies (en anglais) : http://go.microsoft.com/fwlink/?LinkId=168486
•
Authorization and Access Control Technologies (en anglais) : http://go.microsoft.com/fwlink/?LinkId=168488
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-14
1-15
Authentication autonome (groupe de travail)
Points clés Dans une configuration autonome des systèmes Windows, également appelée groupe de travail, chaque ordinateur conserve un et un seul magasin d'identités approuvées : une liste locale des utilisateurs et des groupes stockée dans le Registre appelée base de données du Gestionnaire des comptes de sécurité (SAM). Du fait que les systèmes Windows sont sécurisés, un utilisateur ne peut même pas ouvrir une session sur un ordinateur sans un compte d'utilisateur sur le système en question. L'utilisateur doit présenter des informations d'identification qui sont validées en fonction des identités du SAM. Une fois qu'un utilisateur a été authentifié et autorisé à ouvrir une session locale, le processus de l'Explorateur Windows est lancé, ce qui génère le Bureau Windows habituel.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Si l'utilisateur souhaite accéder à un dossier partagé sur un serveur, un problème se pose immédiatement : le serveur n'approuve pas une identité qui lui est soumise car elle a été authentifiée par un système inconnu et non approuvé. Le serveur approuve uniquement son propre magasin d'identités (SAM). Par conséquent, pour permettre à l'utilisateur d'ouvrir une session à distance sur le serveur, le Gestionnaire des comptes de sécurité du serveur doit avoir une identité (compte d'utilisateur) pour l'utilisateur en question. Si le nom de connexion et le mot de passe de l'identité sont identiques aux informations d'identification de l'identité du poste de travail, le processus d'authentification se produit de manière transparente pour l'utilisateur. Toutefois, si le nom de connexion ou le mot de passe ne correspondent pas, l'utilisateur est invité à saisir des informations d'identification valides pour le serveur lorsqu'il tente de se connecter à la ressource partagée. L'ACL sur une ressource sécurisée sur le serveur ne peut pas contenir d'autorisations faisant référence à des identités non approuvées. Par conséquent, tous les utilisateurs désirant accéder à la ressource doivent avoir un compte sur le serveur. Les défis de gestion sont immédiatement évidents. Si l'utilisateur modifie son mot de passe sur l'ordinateur de bureau, les deux comptes ne sont plus synchronisés et l'utilisateur sera invité à fournir les informations d'identification au moment de se connecter au serveur. Le problème se complique si vous ajoutez plusieurs utilisateurs, ressources et systèmes Windows à l'environnement. Les défis de gestion de plusieurs identités pour chaque utilisateur deviennent rapidement inextricables.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-16
1-17
Domaines Active Directory : magasin d'identités approuvées
Points clés Les défis de sécurité et de gestion d'un groupe de travail sont relevés par la centralisation du magasin d'identités, afin qu'il n'y ait qu'une seule identité (compte d'utilisateur) requise pour tout utilisateur. Ce magasin d'identités doit être approuvé par tous les ordinateurs. Cette unité d'identité fiable s'effectue par le biais d'un domaine Active Directory. Un domaine Active Directory fournit un magasin d'identités centralisé approuvé par tous les membres du domaine, c'est-à-dire tous les ordinateurs qui gèrent euxmêmes des comptes dans le domaine. Un domaine offre également un service d'authentification centralisé. Un serveur jouant le rôle d'un contrôleur de domaine héberge le magasin d'identités (la base de données Active Directory) ainsi que le service d'authentification, avec un certain nombre d'autres composants et services que nous traiterons plus loin dans ce cours.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Active Directory et services d'accès et d'identité
Points clés Comme nous l'avons mentionné dans les introductions du module et de cette leçon, Active Directory fournit la solution d'identité et d'accès (IDA) pour les réseaux d'entreprise sous Windows. IDA est nécessaire pour préserver la sécurité des ressources de l'entreprise telles que les fichiers, les e-mails, les applications et les bases de données. L'infrastructure IDA devrait effectuer les opérations suivantes :
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-18
1-19
•
Stocker des informations sur les utilisateurs, les groupes, les ordinateurs et les autres identités. Comme nous l'avons vu, une identité est une représentation d'une entité qui effectue des actions sur le réseau de l'entreprise. Par exemple, un utilisateur ouvre des documents dans un dossier partagé sur un serveur. Vous savez que le document est sécurisé avec des autorisations sur une liste ACL. L'accès au document est géré par le sous-système de sécurité du serveur qui compare l'identité de l'utilisateur aux identités de l'ACL pour déterminer si la demande d'accès de l'utilisateur est accordée ou refusée. Des ordinateurs, des groupes, des services et d'autres objets effectuent également des actions sur le réseau ; ils doivent être représentés par des identités. Parmi les informations stockées sur une identité, il y a les propriétés qui identifient de manière unique l'objet, telles qu'un nom d'utilisateur ou un SID et le mot de passe de l'identité. Le magasin d'identités est donc un composant d'une infrastructure IDA. La banque de données Active Directory, également appelée annuaire est un magasin d'identités. L'annuaire lui-même est hébergé et géré par un contrôleur de domaine : un serveur jouant le rôle AD DS.
•
Authentifier une identité. Le serveur n'accorde pas à l'utilisateur l'accès au document à moins qu'il ne soit sûr de la validité de l'identité présentée dans la demande d'accès. Pour valider l'identité, l'utilisateur fournit des secrets connus uniquement par lui-même et l'infrastructure IDA. Ces secrets sont comparés aux informations du magasin d'identités lors d'un processus appelé authentification. Dans un domaine Active Directory, un protocole appelé Kerberos est utilisé pour authentifier les identités. Lorsqu'un utilisateur ou un ordinateur ouvre une session sur le domaine, Kerberos authentifie ses informations d'identification et émet un ensemble d'informations appelé ticket d'accord de ticket (TGT). Pour que l'utilisateur puisse se connecter au serveur et demander le document, une requête Kerberos est envoyée à un contrôleur de domaine avec le TGT qui permet d'identifier l'utilisateur authentifié. Le contrôleur de domaine envoie à l'utilisateur un autre ensemble d'informations appelé ticket de service qui identifie l'utilisateur authentifié sur le serveur. L'utilisateur présente le ticket de service au serveur qui l'accepte comme preuve d'authentification de l'utilisateur. Ces transactions Kerberos conduisent à une connexion réseau unique, ou authentification unique. Après l'ouverture de session initiale de l'utilisateur ou de l'ordinateur et la remise d'un TGT, l'utilisateur est authentifié dans l'ensemble du domaine et peut recevoir des tickets de service qui l'identifient auprès de n'importe quel service. Toute cette activité de tickets est gérée par les clients et services Kerberos intégrés à Windows et est transparente pour l'utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
Contrôler l'accès. L'infrastructure IDA est responsable de la protection des informations confidentielles telles que les informations stockées dans le document. L'accès aux informations confidentielles doit être géré conformément aux stratégies de l'entreprise. L'ACL sur le document reflète une stratégie de sécurité composée d'autorisations qui spécifient des niveaux d'accès pour des identités particulières. Le sous-système de sécurité du serveur dans cet exemple effectue la fonctionnalité de contrôle d'accès dans l'infrastructure IDA.
•
Fournir une piste d'audit. Une entreprise peut souhaiter surveiller les modifications et les activités au sein de l'infrastructure IDA. Elle doit donc fournir un mécanisme permettant de gérer les audits.
Les services de domaine Active Directory constituent le plus important composant d'une infrastructure IDA, mais d'autres composants IDA sont aussi pris en charge par Windows Server 2008. Avec Windows Server 2008, Microsoft a regroupé un certain nombre de composants auparavant distincts dans une plate-forme IDA intégrée. Plus loin dans ce module, vous découvrirez les services Active Directory suivants : •
Services AD LDS (Active Directory Lightweight Directory Services)
•
Services de certificats Active Directory (AD CS)
•
Services AD RMS (Active Directory Rights Management Services)
•
Services ADFS (Active Directory Federation Services)
Chacun de ces services joue un rôle dans l'extension d'IDA pour prendre en charge des configurations et des scénarios plus complexes. Une fois de plus, ces informations seront traitées plus loin dans ce module.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-20
1-21
Leçon 2
Composants et concepts d'Active Directory
Du module 2 jusqu'au module 14 de ce cours, il est question de l'installation, de la configuration, de la gestion et du dépannage des services de domaine Active Directory. Il est intéressant de donner d'abord une vue d'ensemble des composants, des technologies et des concepts liés à Active Directory.
Objectifs Cette leçon va vous permettre d'atteindre les objectifs suivants : •
identifier les principaux composants d'AD DS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Active Directory comme base de données
Points clés Active Directory est en fin de compte une base de données des configurations et des ressources de l'entreprise. Une suite de services prend en charge cette base de données et utilise les informations qu'elle contient pour fournir les identités et les accès de l'entreprise. Dans la terminologie des bases de données, chaque « enregistrement » d'une base de données Active Directory est un objet Active Directory, tel qu'un utilisateur, un groupe ou un ordinateur. Chaque « champ » est un attribut, également appelé propriété, d'un objet. Les attributs comprennent le nom, le mot de passe, la description, l'appartenance ou l'identificateur de sécurité de l'objet. Les entités de sécurité, également appelées « comptes », constituent un type d'objet particulier dans les services de domaine Active Directory. Elles ont plusieurs attributs uniques, dont le plus important est l'identificateur de sécurité. Comme vous l'avez appris dans la leçon précédente, l'identificateur de sécurité sert à affecter aux comptes les accès aux ressources.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-22
1-23
La leçon précédente était axée sur une seule entité de sécurité : l'utilisateur. Toutefois, il est plus facile de gérer les accès aux ressources en affectant des autorisations à des groupes. Il existe une classe d'objets de groupe, appelée groupe de sécurité, qui est également une entité de sécurité. Les ordinateurs dans un domaine sont également des entités de sécurité. En fait, l'objet ordinateur est très similaire à l'objet utilisateur : il possède un nom de connexion et un mot de passe que l'ordinateur utilise pour s'authentifier auprès du domaine au démarrage. Enfin, il y a une classe d'objets appelée inetOrgPerson. Cette classe d'objets est utilisée dans des situations très particulières pour prendre en charge l'interopérabilité avec une poignée de services d'annuaire tiers. inetOrgPerson est également une entité de sécurité et, pour être concis, très semblable à un compte d'utilisateur. La base de données Active Directory est prise en charge et utilisée par un certain nombre de services, notamment Kerberos (chargé de l'authentification), DNS (chargé de la résolution de noms) et l'agent de réplication de répertoire (DRA), chargé de la réplication de la base de données entre les contrôleurs de domaine. La base de données Active Directory est accessible de différentes manières, à l'aide d'une variété d'outils, d'interfaces et de composants Windows, ou par programmation via des API, ou à l'aide du protocole LDAP (Lightweight Directory Access Protocol).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Démonstration : Schéma Active Directory
Points clés Dans cette démonstration, votre instructeur va vous présenter le rôle et la structure du schéma en étudiant le schéma Active Directory. Le schéma est souvent comparé à un modèle pour Active Directory. Il définit les attributs et les types d'objets qui peuvent être stockés dans l'annuaire. Par exemple, c'est le schéma qui détermine le fait qu'Active Directory peut avoir des objets utilisateur, et que ces objets utilisateur sont tenus d'avoir un nom de connexion et éventuellement une adresse de messagerie. Le schéma possède deux conteneurs principaux. Le conteneur Attributes renferme les définitions de chaque attribut pris en charge par Active Directory. Vous pouvez ouvrir les attributs de propriétés que vous connaissez déjà : •
objectSID : identificateur de sécurité.
•
sAMAccountName : le nom de connexion pré-Windows 2000, que la plupart des administrateurs désignent comme « nom d'utilisateur ».
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-24
•
1-25
unicodePwd : le stockage du mot de passe. Cet attribut stocke un mot de passe sous forme de code de hachage qui résulte d'une fonction unidirectionnelle. Vous ne pouvez lire ou dériver le mot de passe réel depuis cet attribut sans effectuer une sorte d'attaque en force par dictionnaire (piratage).
•
member : l'attribut qui stocke la liste des membres d'un objet de groupe.
Le conteneur objectClasses définit les types d'objets qui peuvent être instanciés (créés) dans l'annuaire, y compris les utilisateurs et les groupes. Les classes d'objets sont associées à des attributs définis dans le conteneur Attributes. Ces associations déterminent quelles classes d'objets ont quels attributs, et lesquels parmi ces attributs sont obligatoires pour une classe d'objets particulière.
Étapes de la démonstration 1.
Sur l'ordinateur virtuel 6238B-HQDC01-A, ouvrez D:\AdminTools\ADConsole.msc. Développez les nœuds Active Directory > Active Directory Schema [HQDC01.contoso.com].
2.
Recherchez le conteneur Attributes. Ouvrez les propriétés des élément suivants. objectSID sAMAccountName (ce que la plupart des administrateurs appellent « nom d'utilisateur ») unicodePwd member description
3.
Ouvrez le conteneur Classes. Notez les classes d'objets habituelles, dont l'utilisateur, l'ordinateur et le groupe.
Lectures complémentaires •
What Is the Active Directory Schema? (en anglais) http://go.microsoft.com/fwlink/?LinkId=104448
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Unités d'organisation
Points clés Active Directory comme base de données hiérarchique. Les objets d'une banque de données peuvent être regroupés dans des conteneurs. Un des types de conteneurs est la classe d'objets appelée conteneur. Vous avez vu les conteneurs par défaut, notamment Users, Computers et Builtin, lorsque vous ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Un autre type de conteneur est l'unité d'organisation (UO). Les unités d'organisation fournissent non seulement un conteneur pour les objets, mais aussi une étendue permettant de gérer les objets. En effet, les unités d'organisation peuvent être liées à des objets appelés Objets de stratégie de groupe. Les objets de stratégie de groupe peuvent contenir des paramètres de configuration qui seront ensuite automatiquement appliqués par les utilisateurs ou les ordinateurs dans une unité d'organisation.
Lectures complémentaires •
Les modules 6 et 8 traitent de la finalité, de la gestion et de la conception des unités d'organisation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-26
1-27
Gestion à base de stratégies
Points clés L'administration à base de stratégies facilite la gestion des plus grands et des plus complexes réseaux en fournissant un point unique de configuration des paramètres qui sont ensuite déployés sur plusieurs systèmes. Une stratégie de groupe permet de définir des paramètres de sécurité ainsi que des milliers d'autres paramètres de configuration pour un ou plusieurs utilisateurs ou ordinateurs de votre entreprise. Par exemple, c'est la stratégie de groupe qui définit les stratégies de mot de passe et de verrouillage pour un domaine. Elle indique la longueur minimale des mots de passe et établit la stratégie d'expiration des mots de passe. Une stratégie de groupe peut spécifier des paramètres d'audit, par exemple pour contrôler l'accès aux dossiers du serveur, ou pour surveiller les modifications apportées à des groupes sensibles de sécurité dans Active Directory, tels que les Administrateurs du domaine. Une stratégie de groupe peut également gérer la configuration, par exemple en spécifiant une page d'accueil de Microsoft® Internet Explorer® pour un groupe d'utilisateurs ou en empêchant les utilisateurs d'accéder aux outils de modifications du Registre.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Le concept le plus important à comprendre au sujet d'une stratégie de groupe à ce stade du cours est qu'elle permet de définir la configuration dans un objet appelé Objet de stratégie de groupe. Un objet de stratégie de groupe peut ensuite être étendu (appliqué) à un ou plusieurs utilisateurs ou ordinateurs. Un autre exemple de gestion à base de stratégies est une stratégie de mot de passe et de verrouillage affinée, une nouvelle fonctionnalité de Windows Server 2008. Vous pouvez maintenant spécifier différentes stratégies de mot de passe et de verrouillage pour différents groupes d'utilisateurs dans votre environnement. Par exemple, vous pouvez configurer la longueur minimale des mots de passe et établir une stratégie de changement plus fréquent des mots de passe pour les membres Administrateurs du domaine que pour les utilisateurs normaux. Il est intéressant et important de noter que ces technologies permettent à Active Directory de dépasser la simple gestion des identités et des accès, et de contribuer sensiblement à une gestion plus large de votre réseau d'entreprise.
Lectures complémentaires •
Les modules 6, 7, 8 et 9 traitent en détail de la gestion à base de stratégies.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-28
1-29
Banque de données Active Directory
Points clés Comme mentionné dans la leçon précédente, les AD DS stockent leurs identités dans l'annuaire : une banque de données hébergée sur des contrôleurs de domaine. L'annuaire est un fichier unique nommé ntds.dit et qui se situe par défaut dans le dossier %systemroot%\ntds sur un contrôleur de domaine. La base de données est divisée en plusieurs partitions. Celles-ci seront traitées en détail dans les modules suivants. Ces partitions sont : •
Schéma : traité dans une rubrique précédente.
•
Contexte de changement de nom de domaine : une partition particulièrement importante pour l'administration quotidienne car elle contient les données sur les objets au sein d'un domaine : les utilisateurs, les groupes et les ordinateurs, par exemple. Lorsque vous apportez des modifications à Active Directory à l'aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, vous modifiez le contenu du contexte de dénomination de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
Configuration : contient des informations sur les domaines, les services et la topologie.
•
DNS : si vous utilisez le DNS intégré à Active Directory, les zones DNS et les enregistrements de ressources sont stockés dans une partition.
•
Jeu d'attributs partiel : cette partition est utilisée par le catalogue global, qui est décrit dans une rubrique ultérieure de cette leçon et dans le module 12.
Active Directory stocke également des informations dans une structure de dossiers appelée SYSVOL. Par défaut, ce dossier se situe dans le dossier %systemroot% (c:\windows). SYSVOL contient des éléments, notamment des scripts d'ouverture de session et des fichiers associés à des objets de stratégie de groupe.
Lectures complémentaires •
Vous en apprendrez plus sur les partitions d'Active Directory et SYSVOL tout au long de ce cours. Le DNS est le sujet du module 10. Le PAS est traité en détail dans le module 12. Le contenu de SYSVOL est exploré dans le module 6 et les objets stockés dans la configuration sont couverts dans le module 12. Les objets dans la partition du domaine sont couverts dans les modules 3 à 6 et la maintenance de la base de données et les tâches d'administration sont abordées en détail dans les modules 9 et 13.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-30
1-31
Contrôleurs de domaine
Points clés Les contrôleurs de domaine sont des serveurs qui exécutent le rôle AD DS. Dans le cadre de ce rôle, ils hébergent et répliquent la base de données Active Directory (NTDS.dit) et SYSVOL. Les contrôleurs de domaine exécutent également le service Centre de distribution de clés Kerberos, qui se charge de l'authentification et d'autres services Active Directory. Étant donné que l'authentification est critique pour l'entreprise, il va sans dire qu'il vaut mieux avoir au moins deux contrôleurs de domaine disponibles. Ainsi, en cas d'indisponibilité de l'un, les clients peuvent accéder à l'autre.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Outre la disponibilité, vous devez vous assurer que les contrôleurs de domaine sont sécurisés. En plus de la sécurité physique (par exemple, en plaçant les contrôleurs de domaine dans des centres de données sécurisés), il existe deux options pour améliorer leur sécurité : •
Sever Core : vous pouvez installer Windows Server 2008 avec l'option d'installation Server Core. Cette option installe une configuration minimale de Windows Server 2008 qui offre une interface utilisateur d'invite de commandes plutôt que l'Explorateur. Vous installerez un contrôleur de domaine Server Core dans l'atelier pratique du module 11.
•
Contrôleurs de domaine en lecture seule (RODC). Les contrôleurs de domaine en lecture seule vous permettent d'authentifier des utilisateurs dans des environnements moins sécurisés, tels que des succursales, par la mise en cache des informations d'identification uniquement pour leurs utilisateurs. Les mots de passe des autres utilisateurs ne sont pas répliqués sur le contrôleur de domaine en lecture seule. En outre, le contrôleur de domaine en lecture seule n'autorise aucune modification d'Active Directory, ce qui réduit la vulnérabilité du domaine AD DS vis-à-vis des dommages accidentels ou volontaires sur un site moins sécurisé. Les contrôleurs de domaine en lecture seule sont traités en détail dans le module 9.
Lectures complémentaires •
Les contrôleurs de domaine sont abordés tout au long de ce cours, mais les modules 11 et 12 sont consacrés spécifiquement à leur administration et placement. Le module 9 traite des contrôleurs de domaine en lecture seule.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-32
1-33
Domaine
Points clés Un ou plusieurs contrôleurs de domaine sont nécessaires pour créer un domaine Active Directory. Un domaine est une unité d'administration au sein de laquelle certaines caractéristiques et fonctions sont partagées. Tout d'abord, tous les contrôleurs de domaine répliquent la partition du domaine de la banque de données qui contient, entre autres choses, les données sur les identités pour les utilisateurs, les groupes et les ordinateurs du domaine. Étant donné que tous les contrôleurs de domaine conservent le même magasin d'identités, ils peuvent tous authentifier une identité quelconque dans un domaine. De plus, un domaine est un champ d'application de stratégies d'administration telles que la complexité du mot de passe et les stratégies de verrouillage de compte. De telles stratégies configurées dans un domaine affectent tous les comptes du domaine, mais pas les comptes dans d'autres domaines.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Des modifications peuvent être apportées aux objets de la base de données Active Directory par n'importe quel contrôleur de domaine et seront répliquées sur tous les autres contrôleurs de domaine. Par conséquent, dans les réseaux où la réplication de toutes les données entre les contrôleurs de domaine ne peut pas être prise en charge, il peut s'avérer nécessaire d'implémenter plusieurs domaines afin de gérer la réplication des sous-ensembles d'identités.
Lectures complémentaires •
Vous en apprendrez plus sur les domaines tout au long de ce cours. Le module 14 est consacré aux considérations de conception liées au nombre de domaines à avoir dans votre entreprise.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-34
1-35
Réplication
Points clés Les services de réplication distribuent les données de l'annuaire sur le réseau. Cela inclut à la fois la banque de données elle-même ainsi que les données nécessaires à l'implémentation des stratégies et de la configuration, y compris les scripts d'ouverture de session. Comme vous le verrez dans le module 12, la réplication Active Directory est à la fois efficace et robuste. Active Directory conserve une partition séparée de la banque de données nommée Configuration qui contient des informations sur la configuration, la topologie et les services du réseau : le contexte de changement de nom de la configuration.
Lectures complémentaires •
La réplication Active Directory est traitée en détail dans le module 12. La réplication SYSVOL est présentée dans le module 9.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Sites
Points clés En envisageant la topologie du réseau d'une entreprise distribuée, vous aborderez certainement la question des sites du réseau. Toutefois, dans Active Directory, les sites ont une signification très particulière car il y a une classe d'objets spécifique appelée site. Un site Active Directory est un objet qui représente une partie de l'entreprise dans laquelle la connectivité réseau est bonne. Un site délimite l'utilisation du service et la réplication. Les contrôleurs de domaine dans un site répliquent les modifications en quelques secondes. Les modifications sont répliquées entre les sites de manière contrôlée en supposant que les connexions intersites sont lentes, coûteuses ou peu fiables par rapport aux connexions au sein d'un site. En outre, les clients préfèrent utiliser des services distribués fournis par des serveurs dans leur site, ou le site le plus proche. Par exemple, lorsqu'un utilisateur ouvre une session sur le domaine, le client Windows tente d'abord de s'authentifier auprès d'un contrôleur de domaine dans son site. C'est seulement si aucun contrôleur de domaine n'est disponible sur le site que le client tentera de s'authentifier auprès d'un contrôleur de domaine dans un autre site.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-36
Lectures complémentaires •
Le site Active Directory et les objets de sous-réseau sont abordés dans le module 12.
1-37
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Arborescence
Points clés L'espace de noms d'un système de noms de domaine (DNS) des domaines d'une forêt crée des arborescences dans la forêt. Si un domaine est un sous-domaine d'un autre domaine, les deux domaines sont considérés comme une arborescence. Par exemple, si la forêt treyresearch.net contient deux domaines, treyresearch.net et antarctica.treyresearch.net, ces domaines constituent une partie contiguë de l'espace de noms DNS. Ils forment donc une arborescence unique. Par contre, si les deux domaines sont treyresearch.net et proseware.com, non contigus dans l'espace de noms DNS, la forêt est alors composée de deux arborescences. Les arborescences sont le résultat direct des noms DNS choisis pour les domaines de la forêt.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-38
1-39
La diapositive illustre une forêt Active Directory pour Trey Research qui possède une petite activité dans une station locale dans l'Antarctique. Étant donné que la liaison entre l'Antarctique et le siège social est onéreuse, lente et peu fiable, Antarctica est configuré comme un domaine distinct. Le nom DNS de la forêt est treyresearch.net. Le domaine Antarctica est un domaine enfant dans l'espace de noms DNS, antarctica.treyresearch.net. Il est donc considéré comme un domaine enfant dans l'arborescence du domaine. Le domaine proseware.com qui ne partage pas un espace de noms DNS contigu, est une autre arborescence dans la même forêt.
Lectures complémentaires •
Les concepts et la conception d'une forêt à plusieurs domaines sont abordés dans le module 14.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Forêt
Points clés Une forêt est un ensemble d'un ou plusieurs domaines Active Directory. Le premier domaine installé dans une forêt est appelé domaine racine de la forêt. Une forêt contient une définition unique de la configuration du réseau et une seule instance du schéma de l'annuaire. En d'autres termes, tout contrôleur de domaine dans une forêt réplique les partitions Schéma et Configuration. Une forêt est une instance unique de l'annuaire : aucune donnée n'est répliquée par Active Directory en dehors des limites de la forêt. Par conséquent, la forêt définit à la fois une réplication et une limite de sécurité.
Lectures complémentaires •
Les concepts et la conception d'une forêt à plusieurs domaines sont abordés dans le module 14.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-40
1-41
Catalogue global
Points clés Plusieurs composants et technologies vous permettent d'interroger Active Directory et rechercher des objets dans la banque de données. Une partition de la banque de données appelée catalogue global (également appelée jeu d'attributs partiel) contient des informations sur chaque objet dans l'annuaire. C'est un type d'index qui peut être utilisé pour trouver des objets dans l'annuaire. Cela est particulièrement important si vous recherchez des objets dans un autre domaine d'une forêt. Étant donné que les contrôleurs de domaine de votre domaine ne contiennent pas d'informations sur les objets dans d'autres domaines, vous devez compter sur le catalogue global qui possède le jeu d'attributs partiel indexé pour tous les objets des autres domaines.
Lectures complémentaires •
Le catalogue global est étudié en détail dans le module 12.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Niveau fonctionnel
Points clés Les fonctionnalités disponibles dans un domaine Active Directory ou une forêt dépendent de son niveau fonctionnel. Le niveau fonctionnel est un paramètre AD DS qui permet l'activation de fonctionnalités avancées à l'échelle du domaine ou de la forêt AD DS. Il existe trois niveaux fonctionnels de domaine : Windows 2000 natif, Windows Server 2003 et Windows Server 2008 ; et deux niveaux fonctionnels de forêt, Windows Server 2003 et Windows Server 2008. À mesure que vous augmentez le niveau fonctionnel d'un domaine ou d'une forêt, les fonctionnalités offertes par la version de Windows en question sont mises à la disposition des AD DS. Par exemple, lorsque le niveau fonctionnel du domaine est élevé vers Windows Server 2008, un nouvel attribut devient disponible pour révéler la dernière fois qu'un utilisateur a correctement ouvert une session sur un ordinateur, l'ordinateur sur lequel il a ouvert sa dernière session et le nombre de tentatives échouées depuis la dernière ouverture de session. Le plus important à savoir au sujet des niveaux fonctionnels est qu'ils déterminent les versions de Windows autorisées sur les contrôleurs de domaine. Avant d'élever le niveau fonctionnel du domaine vers Windows Server 2008, tous les contrôleurs de domaine doivent exécuter Windows Server 2008.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-42
Lectures complémentaires •
Les niveaux fonctionnels sont traités en détail dans le module 14.
1-43
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Partitions d'applications et DNS
Points clés Active Directory et DNS ont une relation très étroite. Tout d'abord, il y a une relation un-à-un entre un nom DNS et un domaine Active Directory. Ensuite, ils se reposent entièrement sur le DNS pour trouver les ordinateurs et les services dans le domaine. Enfin, il est très courant de configurer les contrôleurs de domaine pour servir également de serveurs DNS. Dans ce cas, vous avez la possibilité de stocker des données DNS, appelées zone, dans Active Directory même. La banque de données Active Directory peut également être utilisée pour prendre en charge les applications et les services qui ne sont pas directement liés aux AD DS. Au sein de la base de données, des partitions d'applications peuvent stocker des données pour prendre en charge des applications qui nécessitent des données répliquées. Le service de système de noms de domaine (DNS) sur un serveur Windows Server 2008 peut stocker ses informations dans une base de données appelée zone Active Directory intégrée qui est gérée comme une partition d'applications dans les AD DS et répliquée à l'aide des services de réplication d'Active Directory.
Lectures complémentaires •
Le DNS est abordé dans le module 10.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-44
1-45
Relations d'approbation
Points clés Au début de ce module, vous avez étudié la configuration « groupe de travail » de Windows Server par défaut et autonome. Vous avez ensuite appris que lorsqu'un ordinateur rejoint un domaine, l'Autorité de sécurité locale du système commence à approuver le magasin d'identités et les services d'authentification fournis par le domaine. Ceci permet à un compte d'utilisateur stocké dans le domaine d'être authentifié et d'accéder aux ressources sur le serveur. Le même concept peut être étendu à d'autres domaines. Un domaine peut authentifier des utilisateurs d'un autre domaine et leur permettre d'accéder ses ressources. Cela est rendu possible en établissant une relation d'approbation entre les domaines.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Dans une relation d'approbation, le domaine d'approbation étend son domaine d'approbation pour approuver le magasin d'identités et les services d'authentification du domaine approuvé. Les comptes d'utilisateurs dans le domaine d'approbation peuvent être mieux authentifiés, et les identificateurs de sécurité des comptes d'utilisateurs dans le domaine approuvé peuvent être ajoutés à la listes de contrôle d'accès du domaine d'approbation. Dans une forêt, chaque domaine approuve tous les autres domaines. Vous devez établir manuellement les relations d'approbation entre les domaines présents dans les différentes forêts.
Lectures complémentaires •
Les relations d'approbation sont abordées dans le module 14.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-46
1-47
Leçon 3
Installer les services de domaine Active Directory
Cette leçon explique comment installer les services de domaine Active Directory et comment configurer un contrôleur de domaine.
Objectifs Cette leçon va vous permettre d'atteindre les objectifs suivants : •
comprendre les exigences d'installation d'un contrôleur de domaine pour créer une nouvelle forêt ;
•
configurer un contrôleur de domaine avec le rôle AD DS, à l'aide de l'interface Windows.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Installation de Windows Server 2008
Points clés L'installation de Windows Server 2008 est un processus simple : 1.
Insérez le DVD d'installation de Windows Server 2008.
2.
Mettez le système sous tension. Si le disque dur du système est vide, l'ordinateur démarre à partir du DVD. Si des informations sont présentes sur le disque, vous serez peut-être invité à appuyer sur une touche pour démarrer à partir du DVD. Si le système ne démarre pas à partir du DVD ou n'affiche pas un menu de démarrage, ouvrez les paramètres du BIOS de l'ordinateur et configurez l'ordre de démarrage de sorte que le système démarre à partir du DVD.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-48
1-49
L'Assistant Installation de Windows s'affiche, comme illustré dans la capture d'écran suivante :
3.
Sélectionnez la langue, les paramètres régionaux et la disposition du clavier adaptée à votre système, puis cliquez sur Suivant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
4.
Cliquez sur Installer maintenant. Une liste des versions à installer vous est présentée, comme illustré dans la capture d'écran suivante. Si vous utilisez un ordinateur x64, les versions x64 vous seront présentées au lieu des versions x86.
5.
Sélectionnez le système d'exploitation approprié, puis cliquez sur Suivant.
6.
Cliquez sur J'accepte les termes du contrat de licence, puis choisissez Suivant.
7.
Cliquez sur Personnalisé (avancé).
8.
Dans la page Où souhaitez-vous installer Windows ?, sélectionnez le disque sur lequel installer Windows Server 2008. Si vous devez créer, supprimer, étendre ou formater des partitions, ou si vous devez charger un pilote de stockage de masse personnalisé afin d'accéder au sous-système du disque, cliquez sur Options avancées.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-50
9.
1-51
Cliquez sur Suivant. La boîte de dialogue Installation de Windows s'affiche, comme illustré dans la capture d'écran suivante. La fenêtre vous informe de la progression de l'installation de Windows.
L'installation de Windows Server 2008, à l'instar de Windows Vista®, est basée sur une image. Par conséquent, l'installation est considérablement plus rapide que dans les versions précédentes de Windows, même si les systèmes d'exploitation sont beaucoup plus volumineux qu'auparavant. L'ordinateur redémarre une ou plusieurs fois pendant l'installation. Une fois l'installation terminée, un message vous indique que le mot de passe doit être modifié avant d'ouvrir une session pour la première fois. 10. Cliquez sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
11. Saisissez un mot de passe pour le compte d'administrateur dans les zones Nouveau mot de passe et Confirmer le mot de passe, puis appuyez sur ENTRÉE. Le mot de passe doit comporter au moins sept caractères dont au moins trois des quatre types de caractères : •
Majuscule : de A à Z
•
Minuscule : de a à z
•
Chaîne numérique : de 0 à 9
•
Chaîne non alphanumérique : des symboles tels que $, #, @ et !
12. Cliquez sur OK. Si vous avez sélectionné Installation complète, le Bureau du compte Administrateur s'affiche. Si vous avez installé Server Core, une invite de commandes s'affiche.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-52
1-53
Gestionnaire de serveur et configuration basée sur les rôles de Windows Server 2008
Points clés Afin de réduire les frais de gestion et atténuer l'exposition aux failles de sécurité, le programme d'installation de Windows Server 2008 installe uniquement les composants de base du système d'exploitation. Toutefois, contrairement aux précédentes versions de Windows, il en résulte une installation minimale plutôt qu'un serveur tout-en-un. Par conséquent, après avoir installé le système d'exploitation, vous devez ajouter les composants requis par le serveur en fonction du rôle qu'il tiendra dans votre entreprise. Windows Server 2008 est configuré en ajoutant des rôles et des fonctionnalités. La console Gestionnaire de serveur permet d'ajouter et supprimer des rôles. Elle expose également les composants logiciels enfichables d'administration les plus courants selon le rôle du serveur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Préparation de la création d'une nouvelle forêt avec Windows Server 2008
Points clés Avant d'installer le rôle AD DS sur un serveur et promouvoir son action en contrôleur de domaine, vous devez planifier votre infrastructure Active Directory. Les informations à rassembler pour créer un contrôleur de domaine sont les suivantes : •
Le nom du domaine et le nom DNS. Un domaine doit avoir un nom DNS unique, par exemple contoso.com, ainsi qu'un nom court, par exemple CONTOSO, qui est le nom NetBIOS. NetBIOS est un protocole réseau qui est utilisé depuis les premières versions de Windows NT® et qui est toujours utilisé par certaines applications héritées.
•
Savoir si le domaine devra prendre en charge des contrôleurs de domaine exécutant des versions précédentes de Windows. Lors de la création d'une nouvelle forêt Active Directory, vous configurez le niveau fonctionnel. Si le domaine inclut uniquement des contrôleurs de domaine de Windows Server 2008, vous pouvez définir le niveau fonctionnel en conséquence pour bénéficier des fonctionnalités améliorées offertes par cette version de Windows.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-54
1-55
•
Des détails sur la manière dont le DNS sera implémenté pour prendre en charge Active Directory. Il est recommandé d'implémenter le DNS pour vos zones de domaine Windows à l'aide du service DNS de Windows, comme vous le verrez dans le module 9, mais il est aussi possible de prendre en charge un domaine Windows sur un service DNS tiers.
•
Configuration IP du contrôleur de domaine. Les contrôleurs de domaine nécessitent des adresses IP statiques et des valeurs de masque de sous-réseau. De plus, le contrôleur de domaine doit être configuré selon une adresse de serveur DNS avec laquelle effectuer la résolution de noms. Si vous créez une nouvelle forêt et que vous exécutez le service DNS de Windows sur le contrôleur de domaine, vous pouvez configurer l'adresse DNS pour pointer vers l'adresse IP du serveur. Une fois le service DNS installé, le serveur peut se tourner vers lui-même pour résoudre les noms DNS.
•
Le nom d'utilisateur et le mot de passe d'un compte dans le groupe Administrateurs du serveur. Le compte doit avoir un mot de passe et ce dernier ne peut pas être vide.
•
L'emplacement dans lequel la banque de données (dont ntds.dit) et le volume système (SYSVOL) doivent être installés. Par défaut, ces banques sont créées dans %systemroot%, par exemple c:\windows, dans les dossiers NTDS et SYSVOL, respectivement. Lors de la création d'un contrôleur de domaine, vous pouvez rediriger ces banques vers d'autres lecteurs.
Lectures complémentaires •
Cette liste comprend les paramètres que vous serez invité à configurer lors de la création d'un contrôleur de domaine. Il y a un certain nombre d'éléments supplémentaires à prendre en compte pour le déploiement des AD DS dans un environnement d'entreprise. Pour plus d'informations, voir la Bibliothèque technique Windows Server 2008 (en anglais) à l'adresse http://go.microsoft.com/fwlink/?LinkId=168483.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Installation et configuration d'un contrôleur de domaine
Points clés Pour installer et configurer un contrôleur de domaine Windows Server 2008, vous devez d'abord installer le rôle AD DS à l'aide du Gestionnaire de serveur. Ce faisant, vous ajoutez les fichiers et les composants Registre nécessaires pour que le serveur devienne plus tard un contrôleur de domaine. Toutefois, l'ajout du rôle ne suffit pas réellement à configurer et activer le serveur comme un contrôleur de domaine. Cette étape s'effectue en exécutant l'Assistant Installation des services de domaine Active Directory. Cet Assistant, également appelé DCPromo du fait que l'Assistant peut être lancé à l'aide de la commande dcpromo.exe, vous guide à travers les étapes du processus de sélection de la configuration du déploiement, en ajoutant des fonctions de contrôleur de domaine supplémentaires telles que le rôle DNS, en spécifiant l'emplacement des fichiers Active Directory et en configurant le Mot de passe administrateur de restauration des services d'annuaire. Ce mot de passe est utilisé lors de la restauration d'Active Directory à partir d'une sauvegarde, comme vous le verrez dans le module 13.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-56
1-57
Atelier pratique : Installation d'un contrôleur de domaine de services de domaine Active Directory pour créer une forêt de domaine unique
Scénario Vous avez été embauché afin d'améliorer la gestion des identités et des accès chez Contoso, Ltd. La société dispose actuellement d'un serveur dans une configuration de groupe de travail. Les employés se connectent au serveur à partir de leurs ordinateurs clients personnels. En prévision d'une croissance à court terme, vous avez été chargé d'améliorer la facilité de gestion et la sécurité des ressources de l'entreprise. Vous décidez d'implémenter une forêt et un domaine AD DS en affectant au serveur le rôle de contrôleur de domaine. Vous venez d'achever l'installation de Windows Server 2008 à partir du DVD d'installation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Exécution des tâches de configuration après l'installation Dans cet exercice, vous allez préparer le serveur en effectuant des tâches de configuration post-installation. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Configurer la résolution d'affichage.
3.
Configurer le fuseau horaire.
4.
Changer la configuration IP.
5.
Renommer le serveur HQDC01.
6.
Redémarrer le serveur.
Tâche 1 : Préparation de l'atelier pratique •
Démarrez 6238B-HQDC01-D.
•
Ouvrez une session en tant qu’Administrateur avec le mot de passe Pa$$w0rd (où 0 est un zéro).
Tâche 2 : Configuration de la résolution d'affichage •
Configurez la résolution d'affichage sur 1024 par 768.
Tâche 3 : Configuration du fuseau horaire •
À l'aide de la fenêtre des tâches de configuration initiales, modifiez le fuseau horaire selon votre région.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-58
1-59
Tâche 4 : Modification de la configuration IP •
À l'aide de la fenêtre des tâches de configuration initiales, modifiez la configuration IP (IPv4) de la manière suivante : •
Adresse IP : 10.0.0.11
•
Masque de sous-réseau : 255.255.255.0
•
Passerelle par défaut : 10.0.0.1
•
Serveur DNS favori : 10.0.0.11
Tâche 5 : Changement du nom du serveur HQDC01 •
À l'aide de la fenêtre des tâches de configuration initiales, remplacez le nom du serveur par HQDC01. Ne redémarrez pas le serveur.
Tâche 6 : Redémarrage du serveur 1.
Dans la fenêtre des tâches de configuration initiales, notez la présence des liens Ajouter des rôles et Ajouter des fonctionnalités. Dans l'exercice suivant, vous utiliserez le Gestionnaire de serveur pour ajouter des rôles et des fonctionnalités à HQDC01. Ces liens sont un autre moyen d'effectuer les mêmes tâches. Par défaut, la fenêtre des tâches de configuration initiales apparaît chaque fois que vous ouvrez une session le serveur.
2.
Activez la case à cocher Ne pas afficher cette fenêtre à l'ouverture de session pour empêcher l'affichage de la fenêtre. Si vous avez besoin d'ouvrir la fenêtre des tâches de configuration initiales à l'avenir, il vous suffit d'exécuter la commande oobe.exe.
3.
Cliquez sur le bouton Fermer dans la partie inférieure de la fenêtre. Le Gestionnaire de serveur s'affiche. Celui-ci permet de configurer et d'administrer les rôles et les fonctionnalités d'un serveur exécutant Windows Server 2008. Vous l'utiliserez dans l'exercice suivant. Au bas de la fenêtre du Gestionnaire de serveur, un message d'état indique Impossible d'actualiser la console tant que l'ordinateur n'a pas redémarré.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
4.
Cliquez sur le lien Redémarrer en regard du message d'état. Un message vous demande Voulez-vous redémarrer maintenant ?
5.
Cliquez sur Oui. L'ordinateur redémarre. Résultats : à la fin de cet exercice, vous obtiendrez un serveur nommé HQDC01 dans le fuseau horaire correct, avec une résolution d'affichage d'au moins 1 024 x 768 pixels et la configuration IP spécifiée dans la tâche 4.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-60
1-61
Exercice 2 : Installation d'une nouvelle forêt Windows Server 2008 à l'aide de l'interface Windows Maintenant que vous avez préparé le serveur avec un nom et une configuration IP appropriés, vous êtes prêt à configurer HQDC01 en contrôleur de domaine. Dans cet exercice, vous allez ajouter le rôle AD DS et créer la forêt et le domaine par la promotion de HQDC01 de sorte qu'il soit le premier contrôleur de domaine dans la forêt contoso.com. Les tâches principales de cet exercice sont les suivantes : 1.
Ajoutez le rôle Services de domaine Active Directory à HQDC01.
2.
Configurez une nouvelle forêt Windows Server 2008 nommée contoso.com avec HQDC01 comme premier contrôleur de domaine.
3.
Examinez la configuration par défaut du domaine et de la forêt contoso.com.
4.
Arrêtez l'ordinateur virtuel.
Tâche 1 : Ajout du rôle Services de domaine Active Directory à HQDC01 1.
Ouvrez une session sur HQDC01 en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
2.
Utilisez le Gestionnaire de serveur pour ajouter le rôle Services de domaine Active Directory. Acceptez toutes les valeurs par défaut.
Tâche 2 : Configuration d'une nouvelle forêt Windows Server 2008 nommée contoso.com avec HQDC01 comme premier contrôleur de domaine. 1.
Dans le Gestionnaire de serveur, développez le nœud Rôles dans l'arborescence, puis sélectionnez Services de domaine Active Directory.
2.
Cliquez sur le lien Exécutez l'Assistant Installation des services de domaine Active Directory (dcpromo.exe). L'Assistant Installation des services de domaine Active Directory s'affiche.
3.
Cliquez sur Suivant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
4.
Dans la page Compatibilité du système d'exploitation, lisez l'avertissement sur les paramètres de sécurité par défaut pour les contrôleurs de domaine Windows Server 2008, puis cliquez sur Suivant.
5.
Dans la page Choisissez une configuration de déploiement, sélectionnez Créer un domaine dans une nouvelle forêt, puis choisissez Suivant.
6.
Dans la page Nommez le domaine racine de la forêt, tapez contoso.com, puis cliquez sur Suivant. Le système effectue une vérification pour s'assurer que les noms DNS et NetBIOS ne sont pas déjà utilisés sur le réseau.
7.
Dans la page Définir le niveau fonctionnel de la forêt, sélectionnez Windows Server 2008, puis cliquez sur Suivant. La page Options supplémentaires pour le contrôleur de domaine s'affiche. Chacun des niveaux fonctionnels est décrit dans la zone Détails de la page. Le choix du niveau fonctionnel de la forêt Windows Server 2008 garantit que tous les domaines de la forêt fonctionnent au niveau fonctionnel du domaine Windows Server 2008, ce qui permet d'activer plusieurs nouvelles fonctionnalités offertes par Windows Server 2008. Dans un environnement de production, il faudrait choisir le niveau fonctionnel de la forêt Windows Server 2008 lors de la création d'une nouvelle forêt dans le cas où les fonctionnalités offertes par le niveau fonctionnel du domaine de Windows Server 2008 seraient nécessaires, et si aucun contrôleur de domaine exécutant un système d'exploitation antérieur à Windows Server 2008 ne sera ajouté. Serveur DNS est sélectionné par défaut. L'Assistant Installation des services de domaine Active Directory crée une infrastructure DNS au cours de l'installation des AD DS. Le premier contrôleur de domaine dans une forêt doit être un serveur de catalogue global et ne peut pas être un contrôleur de domaine en lecture seule.
8.
Cliquez sur Suivant. L'avertissement Attribution IP statique s'affiche. Étant donné que le sujet d'IPv6 dépasse le cadre de ce kit de formation, vous n'avez pas affecté une adresse IPv6 statique au serveur au cours de l'exercice 2. Vous avez affecté une adresse IPv4 statique dans l'exercice 1 et les autres ateliers pratiques de ce cours utiliseront IPv4. Vous pouvez donc ignorer cette erreur dans le cadre de l'exercice.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-62
9.
1-63
Cliquez sur Oui, l'ordinateur utilisera une adresse IP attribuée dynamiquement (non recommandé). Un avertissement s'affiche pour vous informer qu'il n'est pas possible de créer une délégation pour le serveur DNS. Vous pouvez ignorer cette erreur dans le cadre de cet exercice. Les délégations de domaines DNS seront abordées ultérieurement dans ce cours.
10. Cliquez sur Oui pour fermer le message d'avertissement de l'Assistant Installation de services de domaine Active Directory. 11. Dans la page Emplacement de la base de données, des fichiers journaux et de SYSVOL, acceptez les emplacements par défaut pour le fichier de base de données, les fichiers journaux du service d'annuaire et les fichiers SYSVOL, puis cliquez sur Suivant. Dans un environnement de production, il est conseillé de stocker ces fichiers sur trois volumes distincts qui ne contiennent pas d'applications ni d'autres fichiers non liés aux AD DS. Ceci améliore les performances et augmente l'efficacité de la sauvegarde et de la restauration. 12. Dans la page Mot de passe administrateur de restauration des services d'annuaire, tapez Pa$$w0rd dans les zones Mot de passe et Confirmer le mot de passe. Cliquez sur Suivant. Dans un environnement de production, vous devrez utiliser un mot de passe très fort pour l'administrateur de restauration des services d'annuaire. Ne perdez pas le mot de passe que vous affectez à l'administrateur de restauration des services d'annuaire. 13. Dans la page Résumé, vérifiez vos sélections. Si l'un des paramètres est incorrect, cliquez sur Précédent pour le modifier. 14. Cliquez sur Suivant. La configuration des AD DS commence. Après quelques minutes de configuration, la page Fin de l'Assistant Installation des services de domaine de Active Directory s'affiche. 15. Cliquez sur Terminer. 16. Cliquez sur Redémarrer maintenant. L'ordinateur redémarre. 17. Poursuivez avec la tâche 3 (facultative) ou passez à la tâche 4.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Analyse de la configuration par défaut du domaine et de la forêt contoso.com (FACULTATIF) 1.
Ouvrez une session sur HQDC01 en tant qu'Administrateur avec le mot de passe Pa$$w0rd. Le Bureau Windows apparaît et, après quelques instants, le Gestionnaire de serveur s'ouvre.
2.
Dans l'arborescence, développez les nœuds Rôles et Services de domaine Active Directory.
3.
Développez Utilisateurs et ordinateurs Active Directory et le nœud du domaine contoso.com.
4.
Sélectionnez le conteneur Users dans l'arborescence. Les utilisateurs et les groupes que vous voyez sont à la disposition de tous les ordinateurs du domaine. Par exemple, le compte Administrateur du domaine peut par défaut être utilisé pour ouvrir une session sur tout ordinateur du domaine et le groupe Utilisateurs du domaine est un membre du groupe local Utilisateurs sur chaque ordinateur du domaine.
5.
Sélectionnez le conteneur Builtin dans l'arborescence. Les groupes que vous voyez sont partagés par les contrôleurs de domaine et à leur disposition, mais pas à celle des serveurs membres ou des postes de travail. Par exemple, les membres du groupe Opérateurs de sauvegarde peuvent effectuer des tâches de sauvegarde et de restauration sur les contrôleurs de domaine uniquement, et le groupe Administrateurs dans le conteneur Builtin représente les administrateurs de tous les contrôleurs de domaine.
6.
Sélectionnez le conteneur Computers dans l'arborescence. Il est vide. Il s'agit du conteneur par défaut pour les postes de travail et les serveurs membres.
7.
Sélectionnez l'unité d'organisation Domain Controllers dans l'arborescence. Il s'agit de l'unité d'organisation dans laquelle les contrôleurs de domaine sont placés. L'objet ordinateur pour HQDC01 apparaît dans cette unité d'organisation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-64
1-65
Tâche 4 : Arrêt de l'ordinateur virtuel 1.
Si vous n'êtes pas déjà connecté à HQDC01, ouvrez une session sur HQDC01 en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
2.
Arrêtez HQDC01 et n'enregistrez pas les modifications apportées au cours de ces travaux pratiques. Résultats : au terme de cet exercice, vous aurez une forêt à un domaine nommée contoso.com avec un contrôleur de domaine unique nommé HQDC01.
Récapitulatif Au terme de cet atelier pratique, vous aurez : •
effectué des tâches post-installation en nommant un serveur HQDC01, en configurant le fuseau horaire correct, avec une résolution d'affichage d'au moins 1024 x 768 pixels et en définissant les informations relatives à son adresse IP ;
•
configuré une forêt à un domaine nommée contoso.com avec un contrôleur de domaine unique nommé HQDC01.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 4
Extension d'IDA avec des services Active Directory
Les services de domaine Active Directory ne constituent pas le seul composant IDA pris en charge par Windows Server 2008. Avec Windows Server 2008, Microsoft a regroupé un certain nombre de composants auparavant distincts dans une plateforme IDA intégrée. Active Directory lui-même comprend maintenant cinq technologies différentes. Chacune d'entre elles jouent un rôle dans l'extension d'Active Directory pour prendre en charge des applications, des identités et la protection des informations.
Objectifs Cette leçon va vous permettre d'atteindre les objectifs suivants : •
identifier les rôles et les relations entre AD DS, AD LDS, AD RMS, AD FS et AD CS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-66
1-67
Services AD LDS (Active Directory Lightweight Directory Services)
Points clés Active Directory Lightweight Directory Services (AD LDS) est essentiellement une version autonome d'Active Directory accessible par les applications à l'aide de LDAP (Lightweight Directory Access Protocol). Les AD LDS remplacent Active Directory en mode application (ADAM). Le nom de la version précédente de l'outil indique sa finalité : AD LDS sont destinés à offrir une prise en charge des applications utilisant un annuaire. Ils peuvent être utilisés pour des applications qui requièrent un magasin d'annuaires, mais qui ne nécessitent pas le type d'infrastructure fourni par un domaine Active Directory. Chaque instance des AD LDS peut avoir ses propres schéma, configuration et partitions d'applications. Cela permet de créer un magasin d'annuaires très personnalisé sans impact sur votre infrastructure IDA de production basée sur les AD DS. Les AD LDS ne dépendent pas des AD DS. Cependant, dans un environnement de domaine, les AD LDS sont en mesure d'utiliser l'authentification AD DS des entités de sécurité de Windows (utilisateurs, ordinateurs et groupes).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Les AD LDS peuvent être configurés dans un environnement de groupe de travail ou autonome. Il est même possible d'exécuter plusieurs instances sur un même système, chacune ayant ses propres ports SSL et LDAP uniques. Lorsque vous ajoutez une application utilisant un annuaire à votre environnement, en particulier une application qui modifie le schéma, vous pouvez envisager d'utiliser les AD LDS comme alternative. Étant donné qu'ils constituent un sousensemble des fonctionnalités des AD DS (les AD LDS offrent même la possibilité de répliquer), la plupart des applications peuvent travailler avec ces services. Les AD LDS vous permettent aussi d'étendre un annuaire à des emplacements où vous ne mettriez pas normalement vos contrôleurs de domaine AD DS en vue de prendre en charge des applications se trouvant dans la zone démilitarisée de votre pare-feu, par exemple.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-68
1-69
Services de certificats Active Directory (AD CS)
Points clés Les services de certificats Active Directory (AD CS) étendent le concept d'approbation afin qu'un utilisateur, un ordinateur, une organisation ou un service puisse prouver son identité à l'extérieur ou à l'intérieur de la limite de votre forêt Active Directory. Les certificats sont délivrés par une autorité de certification. Lorsqu'un utilisateur, un ordinateur ou un service utilise un certificat pour prouver son identité, le client dans la transaction doit approuver l'autorité de certification émettrice. Une liste d'autorités de certification racine approuvées, dont VeriSign et Thawte, par exemple, est tenue à jour par Windows et actualisée lors de la mise à jour de Windows. Repensez à votre dernier achat sur un site Intranet. Il s'agissait probablement d'un site utilisant le protocole Secure Sockets Layer (SSL) avec une adresse HTTPS://. Le serveur prouve son identité auprès du client (votre navigateur) en présentant un certificat délivré par une autorité de certification approuvée par votre navigateur, telle que VeriSign ou Thawte.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Une infrastructure à clé publique (PKI) est basée sur une chaîne de confiance. Une autorité de certification peut créer un certificat pour une autre autorité de certification. La seconde autorité de certification peut alors délivrer des certificats aux utilisateurs, ordinateurs, organismes ou services qui seront approuvés par tout client qui approuve l'autorité de certification racine, en amont. Les certificats peuvent servir à des fins multiples dans un réseau d'entreprise, notamment pour créer des canaux sécurisés comme dans l'exemple SSL mentionné plus haut et pour des réseaux privés virtuels (VPN) et la sécurité sans fil, ainsi que pour l'authentification, lors d'une ouverture de session par carte à puce. Les AD CS vous offrent les technologies et les outils nécessaires pour créer et gérer une infrastructure à clé publique. Bien que les AD CS puissent être exécutés sur un serveur autonome, il est beaucoup plus fréquent et plus puissant de les exécuter de manière intégrée aux AD DS, qui peuvent agir comme un magasin de certificats et fournir un cadre pour la gestion de la durée de vie des certificats : obtention, renouvellement et révocation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-70
1-71
Services AD RMS (Active Directory Rights Management Services)
Points clés Les services AD RMS (Active Directory Rights Management Services) créent un cadre qui permet de garantir l'intégrité des informations, tant à l'intérieur qu'à l'extérieur de votre organisation. Dans un modèle traditionnel de protection des informations, les listes de contrôle d'accès (ACL) sont utilisées pour définir la manière dont les informations sont accessibles. Par exemple, un utilisateur peut recevoir l'autorisation de lire un document. Toutefois, rien ne peut empêcher cet utilisateur d'effectuer un nombre illimité d'actions une fois que ce document a été ouvert. L'utilisateur peut y apporter des modifications et l'enregistrer à n'importe quel emplacement, l'imprimer, le transmettre par courrier électronique à un utilisateur qui ne dispose pas de l'autorisation de lecture du document, et ainsi de suite.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Les AD RMS règlent entre autres ce type de scénarios en appliquant des stratégies d'utilisation des informations. Cela est accompli au moyen de licences et de chiffrement pour protéger les informations, et à l'aide d'applications de gestion des droits susceptibles d'utiliser les licences, de créer des stratégies d'utilisation, d'ouvrir du contenu protégé et d'appliquer des stratégies d'utilisation. Les AD RMS sont parmi les services Active Directory les plus complexes à implémenter dans la mesure où ils dépendent des AD DS, ainsi que d'un certain nombre d'autres technologies, notamment IIS, une base de données (Microsoft SQL Server® en production ou la base de données interne de Windows pour les tests), des applications de gestion des droits, et, si l'utilisation et la protection des informations doivent être étendues au-delà des limites de votre forêt Active Directory, Active Directory Federation Services (AD FS).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-72
1-73
Services ADFS (Active Directory Federation Services)
Points clés Les Active Directory Federation Services (AD FS) permettent à une organisation d'étendre l'autorité du service d'annuaire pour l'authentification des utilisateurs dans plusieurs organisations, plates-formes et environnements réseau. La relation d'approbation des domaines Windows traditionnelle crée une confiance où le domaine d'approbation permet au domaine approuvé d'authentifier des utilisateurs. Toutefois, il en résulte que tous les utilisateurs du domaine approuvé sont approuvés. En outre, afin de maintenir une approbation, plusieurs exceptions de pare-feu doivent être mises en place. Celles-ci ne seront pas du goût de nombreuses organisations, particulièrement pour la prise en charge des applications Web.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Présentation des services de domaine Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Des projets AD FS ont authentifié des identités de votre service d'annuaire AD DS (ou AD LDS) à l'aide d'un modèle de services Web qui a plusieurs effets très importants. •
Interplateformes. Le modèle des services Web permet aux applications non Windows d'utiliser l'identité d'un utilisateur dans un annuaire approuvé.
•
Connexion à Internet. Étant donné que les transactions avec AD FS sont effectuées via le port 443, de manière sécurisée et chiffrée, il est beaucoup plus facile de prendre en charge des applications utilisant un annuaire hébergées dans votre périmètre réseau.
•
À base de règles. L'environnement d'approbation a la possibilité de spécifier les identités qui sont approuvées.
Les AD FS sont extrêmement utiles pour étendre l'autorité d'un annuaire dans des scénarios de partenariat interentreprise, ainsi que pour la prise en charge des applications Web à authentification unique.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-74
2-1
Module 2 Administration sécurisée et efficace d'Active Directory Table des matières : Leçon 1 : Utilisation des composants logiciels enfichables Active Directory
2-4
Leçon 2 : Consoles personnalisées et privilèges minimum
2-14
Atelier pratique A : Création et exécution d'une console d'administration personnalisée
2-25
Leçon 3 : Recherche d'objets dans Active Directory
2-36
Atelier pratique B : Recherche d'objets dans Active Directory
2-53
Leçon 4 : Utilisation des commandes DS pour administrer Active Directory 2-62 Atelier pratique C : Utilisation des commandes DS pour administrer Active Directory
2-81
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vue d'ensemble du module
En règle générale, lorsque les administrateurs utilisent Active Directory® pour la première fois, ils ouvrent Utilisateurs et ordinateurs Active Directory et créent des objets utilisateur, ordinateur ou groupe dans les unités d'organisation (UO) d'un domaine. Malheureusement, dans la majorité des cas, ils ne prennent pas le temps d'étendre leurs compétences avec les outils d'administration Active Directory. Que vous soyez un administrateur débutant ou très expérimenté, vous devez travailler en toute sécurité et efficacement. C'est la raison pour laquelle ce module aborde également les secrets d'une administration efficace qui, bien souvent, ne sont découverts qu'après plusieurs mois ou années d'expérience.
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
installer, rechercher et décrire les composants logiciels enfichables pour administrer les services de domaine Active Directory (AD DS) ;
•
exécuter des tâches d'administration de base avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-2
2-3
•
créer une console MMC pour l'administration ;
•
exécuter des tâches d'administration en ayant ouvert une session comme utilisateur ;
•
contrôler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ;
•
rechercher des objets dans Active Directory ;
•
utiliser des requêtes sauvegardées ;
•
identifier le nom unique (DN), le nom unique relatif (RDN) et le nom commun (CN) d'un objet Active Directory ;
•
utiliser les commandes DS pour administrer Active Directory depuis la ligne de commande.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 1
Utilisation des composants logiciels enfichables Active Directory
Les outils d'administration Active Directory, ou composants logiciels enfichables, fournissent la fonctionnalité dont vous avez besoin pour prendre en charge le service d'annuaire. Dans cette leçon, vous allez identifier et rechercher les composants logiciels enfichables Active Directory les plus importants.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
identifier les composants logiciels enfichables dans le Gestionnaire de serveur et les consoles natives utilisées pour administrer AD DS ;
•
installer les Outils d’administration de serveur distant (RSAT) ;
•
exécuter des tâches d'administration de base avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-4
2-5
La console MMC
Points clés Les outils d'administration Windows® partagent une infrastructure appelée Microsoft® Management Console (MMC). La console MMC affiche des outils d'administration, appelés composants logiciels enfichables, dans une fenêtre personnalisable comportant un volet qui contient l'arborescence de la console (similaire à l'arborescence de l'Explorateur Windows®) et un volet central où s'affichent des informations. Le volet Actions, sur la droite, contient des commandes appelées actions dans la console MMC. La diapositive ci-dessus montre les principaux composants de la console MMC : •
Arborescence de la console. Le volet sur la gauche contient l'arborescence de la console. Ce volet s'appelle également le volet d'étendue.
•
Bouton Afficher/masquer l'arborescence de la console. Ce bouton active ou désactive l'arborescence de la console.
•
Composants logiciels enfichables. Outils qui fournissent les fonctionnalités d'administration.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
Volet des informations. Ce volet contient des informations sur l'étendue sélectionnée dans l'arborescence de la console.
•
Volet Actions. Ce volet contient les commandes que vous pouvez exécuter sur l'étendue sélectionnée dans l'arborescence de la console ou sur l'élément ou les éléments sélectionnés dans le volet des informations.
•
Menu Action. Ce menu affiche également des commandes que vous pouvez exécuter sur l'étendue sélectionnée ou les éléments sélectionnés.
•
Menu contextuel (non représenté). Ce menu s'affiche lorsque vous cliquez sur un élément avec le bouton droit de la souris dans l'étendue ou le volet des informations ; vous pouvez exécuter des actions depuis ce troisième emplacement.
•
Bouton Afficher/Masquer le volet des actions. Ce bouton active ou désactive le volet des actions.
Question : Quelles consoles d'administration comportant un composant logiciel enfichable avez-vous utilisées ? Question : Quelles consoles d'administration comportant plusieurs composants logiciels enfichables avez-vous utilisées ?
Lectures complémentaires •
Microsoft Management Console 3.0 : http://go.microsoft.com/fwlink/?LinkId=168714
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-6
2-7
Composants logiciels enfichables Active Directory
Points clés La majorité des tâches d'administration Active Directory s'effectuent avec les composants logiciels enfichables et les consoles suivants : •
Utilisateurs et ordinateurs Active Directory. Ce composant logiciel enfichable gère les ressources les plus communément utilisées tous les jours, à savoir les utilisateurs, les groupes, les ordinateurs, les imprimantes et les dossiers partagés. Il s'agit probablement du composant logiciel enfichable le plus utilisé par un administrateur Active Directory.
•
Sites et services Active Directory. Cet outil gère la réplication, la topologie du réseau et les services associés.
•
Domaines et approbations Active Directory. Cet outil configure et gère les relations d'approbation et le niveau fonctionnel du domaine et de la forêt.
•
Schéma Active Directory. Ce schéma examine et modifie la définition des attributs et des classes d'objets Active Directory. Il s'agit du "plan" d'Active Directory. Vous l'affichez rarement et le modifiez encore moins souvent. C'est la raison pour laquelle ce composant logiciel enfichable Active Directory n'est pas installé par défaut.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Lectures complémentaires •
Services de domaine Active Directory : http://go.microsoft.com/fwlink/?LinkId=168715
•
Gestion d'Active Directory depuis la console MMC : http://go.microsoft.com/fwlink/?LinkId=168716
•
Installation du composant logiciel enfichable Schéma Active Directory : http://go.microsoft.com/fwlink/?LinkId=168717
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-8
2-9
Recherche des composants logiciels enfichables Active Directory
Points clés Les composants logiciels enfichables et les consoles Active Directory sont installés lorsque vous ajoutez le rôle AD DS à un serveur. Deux outils d'administration Active Directory communément utilisés sont ajoutés au Gestionnaire de serveur lorsque vous installez le rôle AD DS : il s'agit des composant affichables Utilisateurs et ordinateurs et Sites et services Active Directory. Pour pouvoir administrer Active Directory depuis un système qui n'est pas un contrôleur de domaine, vous devez installer les Outils d'administration de serveur distant (RSAT). RSAT est une fonction que vous pouvez installer depuis le nœud Fonctionnalités du Gestionnaire de serveur sous Windows Server 2008. Vous pouvez également installer RSAT sur les clients Windows utilisant Windows Vista Service Pack 1 (ou une version ultérieure) et Windows 7. Téléchargez simplement les fichiers d'installation RSAT depuis le site Web www.microsoft.com/downloads. L'Assistant d'installation vous aide à effectuer l'installation. Après avoir installé RSAT, vous devez activer les outils que vous voulez afficher. Pour ce faire, utilisez la commande Activer ou désactiver des fonctionnalités Windows dans l'application Programmes et fonctionnalité du Panneau de configuration.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Après avoir installé et activé toutes les consoles d'administration Active Directory, elles se trouvent dans le dossier Outils d'administration du Panneau de configuration. Ce dossier s'affiche dans la vue classique du Panneau de configuration. Dans la vue Page d’accueil du Panneau de configuration, les outils d'administration se trouvent dans Système et maintenance.
Lectures complémentaires •
Packs des outils d’administration de serveur distant : http://go.microsoft.com/fwlink/?LinkId=168718
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-10
2-11
Démonstration : Administration de base avec Utilisateurs et ordinateurs Active Directory
Points clés Affichage des objets Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory affiche les objets qui se trouvent dans le conteneur (domaine, unité d'organisation ou conteneur) sélectionné dans l'arborescence de la console. Actualisation de la vue La vue n'est pas actualisée automatiquement. Pour afficher les dernières modifications apportées à la vue des objets, sélectionnez le conteneur dans l'arborescence de la console, puis cliquez sur le bouton Actualiser dans la barre d'outils du composant logiciel ou appuyez sur F5. Vous devez sélectionner le conteneur dans l'arborescence de la console avant de cliquer sur Actualiser (ou d'appuyer sur F5). Cliquer dans une zone vide du volet d'informations ne suffit pas. C'est une anomalie du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Création d'objets Pour créer des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit de la souris sur le domaine, un conteneur (tel que Utilisateurs et ordinateurs) ou une unité d'organisation. Pointez ensuite sur Nouveau, puis cliquez sur le type d'objet à créer. Lorsque vous créez un objet, un message vous demande de définir quelques-unes des propriétés les plus basiques de l'objet, notamment les propriétés nécessaires pour ce type d'objet. Définition des attributs des objets Après avoir créé un objet, vous pouvez accéder à ses propriétés. Cliquez avec le bouton droit sur l’objet, puis cliquez sur Propriétés. La boîte de dialogue Propriétés qui s'affiche contient la plupart des propriétés courantes de l'objet. Les propriétés sont regroupées dans des onglets pour faciliter leur recherche. Vous pouvez définir un nombre illimité de propriétés dans autant d'onglets que vous le souhaitez. Cliquez une fois sur Appliquer ou OK pour enregistrer toutes les modifications. Si vous cliquez sur OK, vous fermez la boîte de dialogue Propriétés, alors que si vous cliquez sur Appliquer, vous enregistrez les modifications et maintenez la boîte de dialogue ouverte pour pouvoir effectuer d'autres modifications. Affichage de tous les attributs des objets Un objet utilisateur a beaucoup plus de propriétés que n'en montre sa boîte de dialogue Propriétés. Certaines propriétés, dites masquées, peuvent être très utiles à votre entreprise. Pour afficher les attributs utilisateur masqués, vous devez activer l'Éditeur d'attribut, une nouvelle fonction de Windows Server 2008. Pour activer l'Éditeur d'attribut dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : •
Cliquez sur le menu Afficher, puis sélectionnez l'option Fonctionnalités avancées.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-12
2-13
Pour ouvrir l'Éditeur d'attribut pour un objet Active Directory donné : 1.
Cliquez avec le bouton droit sur l'objet, puis cliquez sur Propriétés.
2.
Cliquez sur l'onglet Éditeur d'attributs. L'onglet Éditeur d'attributs de la boîte de dialogue Propriétés s'affiche :
Comme le montre la capture d'écran ci-dessus, certains attributs d'un objet utilisateur peuvent s'avérer très utiles, notamment : division employeeID, employeeNumber et employeeType. Bien que ces attributs n'apparaissent pas dans les onglets standard d'un objet utilisateur, ils sont désormais disponibles via l'Éditeur d'attributs. Pour modifier la valeur d'un attribut, double-cliquez sur la valeur. Vous pouvez également accéder aux attributs à l'aide d'un programme avec Windows PowerShell™, Windows Visual Basic® Scripting Edition ou Microsoft .NET Framework.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 2
Consoles personnalisées et privilèges minimum
Dans cette leçon, vous n'allez pas vous limiter au dossier Outils d'administration pour travailler avec plus de sécurité et plus efficacement. Vous allez apprendre à créer des consoles d'administration personnalisées et à travailler dans un environnement avec des privilèges minimum dans lequel vous ouvrez une session en tant qu'utilisateur non-administrateur, mais où vous exécutez des tâches d'administrateur.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
créer une console MMC pour l'administration ;
•
exécuter des tâches d'administration en ayant ouvert une session comme utilisateur ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-14
2-15
Démonstration : Création d'une console MMC personnalisée pour administrer Active Directory
Points clés Il est plus aisé d'administrer Windows lorsque les outils nécessaires se trouvent dans un même emplacement et qu'ils peuvent être personnalisés en fonction de vos besoins. Pour ce faire, vous créez une console d'administration MMC personnalisée qui contient les composants logiciels enfichables dont vous avez besoin pour exécuter les tâches d'administration. Lorsque vous créez une console MMC personnalisée, vous pouvez : •
ajouter des composants logiciels enfichable afin de ne pas avoir à changer de console pour exécuter les tâches et pouvoir lancer une seule console pour exécuter les tâches d'administration ;
•
enregistrer la console pour pouvoir l'utiliser régulièrement ;
•
distribuer la console à d'autres administrateurs ;
•
enregistrer la console, et d'autres consoles, dans un emplacement partagé pour une administration personnalisée unifiée.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Pour créer une console MMC personnalisée : 1.
Cliquez sur Démarrer. Dans la zone Rechercher, tapez mmc.exe et appuyez sur ENTRÉE.
2.
Cliquez sur le menu Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable
La boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable permet d'ajouter, de supprimer, de réorganiser et de gérer les composants logiciels enfichables de la console. Après avoir installé RSAT, les quatre composants logiciels enfichables Active Directory sont installés. Toutefois, le composant logiciel enfichable Schéma Active Directory n'apparaît pas dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable tant que vous n'avez pas enregistré le composant. Pour enregistrer le composant Schéma Active Directory : 1.
Ouvrez une invite de commandes en cliquant sur Démarrer, en tapant cmd.exe et en appuyant sur ENTRÉE.
2.
Tapez regsvr32.exe schmmgmt.dll et appuyez sur ENTRÉE.
Question : Avez-vous créé une console MMC personnalisée ? Question : Quels composants logiciels enfichables avez-vous trouvés utiles ? Question : Pourquoi avez-vous créé votre propre console ?
Lectures complémentaires •
Ajout, suppression et organisation des composants logiciels enfichables et des extensions dans MMC 3.0 : http://go.microsoft.com/fwlink/?LinkId=168724
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-16
2-17
Administration sécurisée avec des privilèges minimum, Exécuter en tant qu'administrateur et Contrôle de compte d'utilisateur
Points clés En règle générale, les administrateurs ouvrent une session sur leur ordinateur en utilisant leur compte d'administration. Cette pratique est dangereuse, car un compte d'administration a plus de privilèges et à un accès plus étendu au réseau qu'un compte d'utilisateur standard. Par conséquent, un programme malveillant lancé avec des informations d'identification d'administrateur peut provoquer des dommages importants. Pour éviter ce problème, n'ouvrez pas une session en tant qu'administrateur. Ouvrez une session comme utilisateur standard et utilisez la fonction Exécuter en tant qu'administrateur pour lancer les outils d'administration dans le contexte de sécurité d'un compte d'administration.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
1.
Cliquez avec le bouton droit de la souris sur le raccourci d'un fichier exécutable, d'une applet du Panneau de configuration ou de la console MMC à lancer, puis cliquez sur Exécuter en tant qu'administrateur. Si vous ne voyez pas la commande, maintenez la touche MAJ enfoncée et cliquez avec le bouton droit de la souris. La boîte de dialogue Contrôle de compte d'utilisateur s'affiche pour vous demander les informations d'identification d'administrateur.
2.
Cliquez sur Utiliser un autre compte.
3.
Entrez le nom d'utilisateur et le mot de passe de votre compte d'administrateur.
4.
Cliquez sur OK.
Conseil : si vous allez exécuter une application régulièrement en tant qu'administrateur, créez un raccourci qui préconfigure Exécuter en tant qu'administrateur. Créez un raccourci et ouvrez la boîte de dialogue Propriétés du raccourci. Cliquez sur le bouton Avancé et sélectionnez Exécuter en tant qu'administrateur. Lorsque vous lancez le raccourci, la boîte de dialogue Contrôle de compte d'utilisateur s'affiche.
Lectures complémentaires •
Exécuter en tant que : http://go.microsoft.com/fwlink/?LinkId=168725
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-18
2-19
Démonstration : Administration sécurisée avec Contrôle de compte d'utilisateur et Exécuter en tant qu'administrateur
Points clés Lorsque vous lancez un processus en tant qu'administrateur, le compte d'administration peut ne pas avoir accès aux mêmes emplacements que votre compte d'utilisateur. Par conséquent, il est recommandé d'enregistrer les consoles personnalisées dans un emplacement accessible aux deux comptes. Pour exécuter des actions en tant qu'administrateur : 1.
Cliquez avec le bouton droit de la souris sur le raccourci d'un fichier exécutable, d'une applet du Panneau de configuration ou de la console MMC à lancer, puis cliquez sur Exécuter en tant qu'administrateur. Si vous ne voyez pas la commande, maintenez la touche MAJ enfoncée et cliquez avec le bouton droit de la souris. La boîte de dialogue Contrôle de compte d'utilisateur s'affiche pour vous demander les informations d'identification d'administrateur.
2.
Cliquez sur Utiliser un autre compte.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
3.
Entrez le nom d'utilisateur et le mot de passe de votre compte d'administrateur.
4.
Cliquez sur OK.
Lectures complémentaires •
Exécuter en tant que : http://go.microsoft.com/fwlink/?LinkId=168725
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-20
2-21
Démonstration : « Super consoles »
Points clés Vous pouvez étendre votre console MMC d'administration personnalisée pour exécuter des tâches d'administration en utilisant des informations d'identification élevées, qui sont difficiles, voire impossibles à exécuter autrement. Scénario 1 : Vous devez prendre en charge un dossier partagé pour affecter des autorisations, etc. Votre compte d'administration (secondaire) dispose d'un large éventail d'autorisations sur le dossier partagé, contrairement à votre compte standard (ouverture de session interactive). Vous pouvez associer un lecteur réseau en utilisant des informations d'identification secondaires, mais Windows vous en empêche si vous vous êtes connecté au même serveur en utilisant vos informations d'identification standard. L'Explorateur Windows ne prend pas en charge plusieurs connexions à un même serveur avec différentes informations d'identification. Toutefois, dans la console MMC, le contrôle ActiveX présenté par le composant logiciel enfichable Lien vers une adresse Web se connecte en utilisant les informations d'identification de la console elle-même.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Pour créer une vue de dossier partagé : 1.
Cliquez sur le menu Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.
2.
Dans la liste Composants logiciels enfichables disponibles, cliquez sur Lien vers une adresse Web, puis sur le bouton Ajouter. L'Assistant Lien vers une adresse Web s'affiche.
3.
Dans Chemin d'accès ou URL, tapez le chemin d'accès UNC (Universal Naming Convention) au dossier partagé, par exemple, \\NomServeur\NomPartage, puis cliquez sur Suivant.
4.
Tapez un nom descriptif pour le nom du composant logiciel enfichable. Ce nom apparaîtra dans l'arborescence de la console. Cliquez sur Terminer.
5.
Cliquez sur OK.
Pour pouvoir utiliser le composant logiciel enfichable, le serveur que vous ciblez doit se trouver dans la zone de sécurité Intranet local ou Sites de confiance d'Internet Explorer. Vous devez le définir pour les informations d'identification d'administrateur, car elles sont utilisées par le processus mmc.exe et le composant logiciel enfichable. 1.
Ouvrez une session sur l'ordinateur en utilisant vos informations d'identification d'administrateur.
2.
Cliquez sur le bouton Démarrer, puis sur Panneau de configuration.
3.
Double-cliquez sur Options Internet.
4.
Cliquez sur l'onglet Sécurité.
5.
Cliquez sur Intranet local ou sur Sites de confiance.
6.
Cliquez sur le bouton Sites.
7.
Tapez \\NomServeur, cliquez sur le bouton Ajouter, puis sur OK.
Il existe un grand nombre de commandes et d'applications qu'un administrateur doit pouvoir exécuter et qui ne sont pas des composants logiciels enfichables MMC. Il peut s'avérer fastidieux de lancer chaque commande ou application avec des informations d'identification élevées. Pour réduire les inconvénients de l'administration des privilèges minimum, vous pouvez ajouter ces commandes et applications à la console MMC. Étant donné que la console MMC s'exécute avec des informations d'identification d'administrateur, toute commande d'environnement exécutée depuis la console hérite automatiquement des informations d'identification d'administrateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-22
2-23
Pour créer une "zone de lancement Administrateurs" depuis laquelle vous pouvez ouvrir d'autres outils : 1.
Cliquez sur le menu Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable..
2.
Dans la liste Composants logiciels enfichables disponibles, cliquez successivement sur Dossier, Ajouter et OK
3.
Dans l’arborescence de la console, cliquez avec le bouton droit sur Dossier, puis cliquez sur Renommer.
4.
Tapez un nom, tel que Administrators Launch Pad, puis appuyez sur ENTRÉE.
5.
Cliquez avec le bouton droit sur le dossier, puis cliquez sur Nouvelle vue de la liste des tâches. L'Assistant Nouvelle vue de la liste des tâches apparaît.
6.
Cliquez sur Suivant.
7.
Dans la page Style de la liste des tâches, cliquez sur Aucune Liste, puis sur Suivant.
8.
Dans la page Réutilisation de la liste des tâches, cliquez sur Élément d'arborescence sélectionné, puis sur Suivant.
9.
Dans la page Nom et administration, acceptez le nom par défaut, puis cliquez sur Suivant.
10. Désélectionnez la case Ajouter des tâches à cette liste après la fermeture de l'Assistant et cliquez sur Terminer. Pour ajouter des applications et des commandes à la zone de lancement d'administration : 1.
Cliquez avec le bouton droit sur la zone de lancement d'administration et choisissez Modifier la vue de la liste des tâches.
2.
Cliquez sur l’onglet Tâches.
3.
Cliquez sur le bouton Nouveau. L'Assistant Nouvelle tâche apparaît.
4.
Cliquez sur Suivant.
5.
Dans la page Type de commande, cliquez sur Commande d'environnement, puis sur Suivant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
6.
Dans la page Ligne de commande, entrez les données demandées, puis cliquez sur Suivant. Par exemple, pour lancer l'invite de commandes, tapez cmd.exe pour la commande. Si la commande ne se trouve pas dans le chemin système, à savoir le dossier System32, vous devez entrer son chemin complet.
7.
Tapez un nom de tâche et cliquez sur Suivant.
8.
Sélectionnez une icône de tâche, puis cliquez sur Suivant. Vous pouvez choisir une icône personnalisée. Les sources suivantes peuvent fournir des icônes utiles : l'exécutable de la commande lui-même, %systemroot%\system32\shell32.dll et %systemroot%\System32\Imageres.dll. Par exemple, vous pouvez utiliser %systemroot%\system32\cmd.exe comme source pour l'icône de l'invite de commande.
9.
Cliquez sur Suivant.
10. Cliquez sur Terminer, puis sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-24
2-25
Atelier pratique A : Création et exécution d'une console d'administration personnalisée
Scénario Dans cet exercice, vous vous appelez Pat Coleman et êtes administrateur chez Contoso, Ltd. Vous êtes responsable de diverses tâches de support Active Directory et vous ouvrez constamment plusieurs consoles depuis le dossier Outils d'administration dans le Panneau de configuration. Vous avez décidé de créer une seule console qui contient tous les composants logiciels enfichables dont vous avez besoin. En outre, la stratégie de sécurité informatique de Contoso change et vous ne pouvez plus vous connecter à un système avec les informations d'identification disposant des privilèges d'administration, sauf en cas d'urgence. Vous devez ouvrir une session avec des informations d'identification sans privilèges.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Exécuter des tâches d'administration de base en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Dans cet exercice, vous allez exécuter des tâches d'administration de base dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Afficher des objets.
3.
Actualiser la vue.
4.
Créer des objets.
5.
Définir des attributs d'objets.
6.
Afficher tous les attributs des objets.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 en tant que Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. Pat.Coleman_Admin est membre des administrateurs de domaine. Le Gestionnaire de serveur s’ouvre automatiquement.
3.
Fermez le Gestionnaire de serveur.
4.
Ouvrez D:\Labfiles\Lab02a.
5.
Cliquez avec le bouton droit de la souris sur Lab02a_Setup.bat et sélectionnez Exécuter en tant qu'administrateur. La boîte de dialogue Contrôle de compte d'utilisateur s'affiche.
6.
Cliquez sur Continuer.
7.
Le script d'installation de l'atelier pratique s'exécute. À la fin de l'exécution, appuyez sur n'importe quelle touche.
8.
Fermez la fenêtre de l'Explorateur Windows, Lab02a.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-26
2-27
Tâche 2 : Afficher des objets 1.
Ouvrez Utilisateurs et ordinateurs Active Directory depuis le dossier Outils d'administration.
2.
Consultez les objets dans l'unité d'organisation Employees dans l'unité d'organisation User Accounts.
Tâche 3 : Actualiser la vue •
Actualisez la vue de l'unité d'organisation Employees.
Tâche 4 : Créer des objets •
Créez une unité d'organisation dans la racine du domaine 6238B.
Tâche 5 : Définir les attributs des objets 1.
Ouvrez les propriétés de l'utilisateur Pat Coleman dans l'unité d'organisation Employees.
2.
Remplacez l'attribut Office dans l'onglet Général par Redmond.
Tâche 6 : Afficher tous les attributs des objets. 1.
Vérifiez que l'onglet Éditeur d'attributs n'est pas visible dans la boîte de dialogue Propriétés de Pat Coleman et qu'il n'existe aucun contrôle d'entrée pour la propriété division dans aucun onglet.
2.
Activez la vue Fonctionnalités avancées du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
3.
Affichez l'Éditeur d'attributs pour Pat Coleman.
4.
Remplacez l'attribut division de Pat Coleman par 6238B.
5.
Fermez Utilisateurs et ordinateurs Active Directory. Résultats : Dans cet exercice, vous avez appris à exécuter les tâches d'administration de base en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 2 : Créer une console d'administration Active Directory personnalisée Dans cet exercice, vous allez créer une console d'administration personnalisée qui contient tous les composants logiciels enfichables dont vous avez besoin. Les tâches principales de cet exercice sont les suivantes : 1.
Créer une console personnalisée MMC avec le composant enfichable Utilisateurs et ordinateurs Active Directory.
2.
Ajouter d'autres composants logiciels enfichables Active Directory à la console
3.
Ajouter le composant logiciel enfichable Schéma Active Directory à une console MMC personnalisée.
4.
Gérer les composants logiciels enfichables dans une console MMC personnalisée (facultatif).
Tâche 1 : Créer une console personnalisée MMC avec le composant enfichable Utilisateurs et ordinateurs Active Directory. 1.
Lancez la console MMC vide et agrandissez-la.
2.
Ajoutez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
3.
Enregistrez la console. Créez le dossier C:\AdminTools et enregistrez-y la console sous MyConsole.msc.
Tâche 2 : Ajouter d'autres composants logiciels enfichables Active Directory à la console. 1.
Ajoutez les composants logiciels enfichables Sites et services Active Directory et Domaines et approbations Active Directory à la console.
2.
Renommez la racine de console Active Directory Administrative Tools.
3.
Enregistrez la console.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-28
2-29
Tâche 3 : Ajouter le composant logiciel enfichable Schéma Active Directory à une console MMC personnalisée. 1.
Vérifiez que Schéma Active Directory ne figure pas parmi les composants logiciels enfichables disponibles dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables. Le composant logiciel enfichable Schéma Active Directory est installé avec le rôle Services de domaine Active Directory et l'outil RSAT, mais il n'est pas enregistré et il n'apparaît donc pas.
2.
Dans le menu Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.
3.
Dans l'invite de commandes, tapez regsvr32.exe schmmgmt.dll. Cette commande enregistre la bibliothèque de liens dynamiques (DLL) du composant logiciel enfichable Schéma Active Directory. Cette opération doit être exécutée une fois sur un système pour que vous puissiez ajouter le composant logiciel enfichable à une console.
4.
Fermez la fenêtre Invite de commandes.
5.
Ajoutez le composant logiciel enfichable Schéma Active Directory à la console.
6.
Enregistrez la console.
Tâche 4 : (Facultatif) : Gérer les composants logiciels enfichables dans une console MMC personnalisée •
Ouvrez la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables et utilisez les boutons Monter, Descendre et Supprimer pour réorganiser la console. Pour les ateliers suivants, vous aurez besoin de la console dans l'état dans lequel elle se trouvait à la fin de la tâche 3. Par conséquent n'enregistrez pas la console modifiée et fermez-la sans enregistrer les modifications. Résultats : Dans cet exercice, vous avez personnalisé une console MMC avec les composants logiciels enfichables Utilisateurs et ordinateurs Active Directory, Sites et services Active Directory, Domaines et approbations Active Directory et Schéma Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 3 : Exécuter des tâches d'administration avec des privilèges minimum et utiliser Exécuter en tant qu'administrateur et Contrôle de compte d'utilisateur Dans cet exercice, vous allez exécuter des tâches d'administration en ayant ouvert une session en utilisant les informations d'identification utilisateur standard. Les tâches principales de cet exercice sont les suivantes : 1.
Ouvrir une session avec des informations d'identification n'ayant pas de privilèges d'administration.
2.
Exécuter le Gestionnaire de serveur en tant qu’administrateur.
3.
Examiner les informations d'identification utilisées par les processus actifs.
4.
Exécuter l'invite de commandes en tant qu'administrateur.
5.
Exécuter Outils administratifs en tant qu'administrateur.
6.
Exécuter une console d'administration personnalisée en tant qu'administrateur.
Tâche 1 : Ouvrir une session en utilisant des informations d'identification sans privilèges d'administration. 1.
Fermez la session sur HQDC01.
2.
Ouvrez une session sur HQDC01 en tant que Pat.Coleman avec le mot de passe Pa$$w0rd. Pat.Coleman est membre de Utilisateurs du domaine et n'a aucun privilège d'administration.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-30
2-31
Tâche 2 : Exécuter le Gestionnaire de serveur en tant qu'administrateur. 1.
Cliquez sur l'icône Gestionnaire de serveur dans Lancement rapide, à côté du bouton Démarrer. La boîte de dialogue Contrôle de compte d'utilisateur s'affiche. Étant donné que votre compte d'utilisateur n'est pas membre du groupe Administrateurs, la boîte de dialogue vous demande d'entrer des informations d'identification d'administrateur : un nom d'utilisateur et un mot de passe. Si les zones de texte Nom d'utilisateur et Mot de passe ne sont pas affichées, vérifiez que vous avez ouvert une session sous Pat.Coleman et non pas sous Pat.Coleman_Admin.
2.
Dans la zone Nom d'utilisateur, tapez Pat.Coleman_Admin.
3.
Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur ENTRÉE. Le Gestionnaire de serveur s'ouvre.
Tâche 3 : Examiner les informations d'identification utilisées par les processus actifs. 1.
Cliquez avec le bouton droit de la souris sur la barre des tâches, puis cliquez sur Gestionnaire des tâches.
2.
Cliquez sur l'onglet Processus.
3.
Cliquez sur Afficher les processus de tous les utilisateurs et dans la boîte de dialogue Contrôle de compte d’utilisateur, authentifiez-vous sous le nom Pat.Coleman_Admin avec le mot de passe Pa$$w0rd Le Gestionnaire des tâches peut s'exécuter sans informations d'identification d'administrateur, mais il affiche uniquement les processus actifs sous le compte d'utilisateur actuel. Par conséquent, la boîte de dialogue Contrôle de compte d'utilisateur contient une option pour vous authentifier avec les informations d'identification que vous avez utilisées pour ouvrir une session : Pat.Coleman.
4.
Cliquez sur l'onglet Processus et triez-les informations en fonction du nom d'utilisateur.
5.
Recherchez les processus exécutés par Pat.Coleman et Pat.Coleman_Admin.
Question : Quels sont les processus exécutés par Pat.Coleman_Admin ? Quelles applications les processus représentent-ils ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 4 : Exécuter l'invite de commandes en tant qu'administrateur. 1.
Cliquez sur Démarrer, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.
2.
Dans la boîte de dialogue Contrôle de compte d'utilisateur, authentifiez-vous sous le nom Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. La fenêtre Administrateur : invite de commandes s'affiche.
3.
Fermez la fenêtre d'invite de commandes.
4.
Cliquez sur Démarrer, et dans la zone de texte Rechercher, tapez cmd.exe et appuyez sur CTRL+MAJ+ENTRÉE. Dans la zone Rechercher, le raccourci clavier CTRL+MAJ+ENTRÉE exécute la commande définie comme administrateur.
5.
Dans la boîte de dialogue Contrôle de compte d'utilisateur, authentifiez-vous sous le nom Pat.Coleman_Admin avec le mot de passe Pa$$w0rd. La fenêtre Administrateur : invite de commandes s'affiche.
Tâche 5 : Exécuter Outils administratifs en tant qu'administrateur. 1.
Cliquez sur l'icône Afficher le Bureau dans Lancement rapide, à côté du bouton Démarrer.
2.
Cliquez sur Démarrer, pointez sur Outils d’administration, cliquez avec le bouton droit de la souris sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Exécuter en tant qu'administrateur.
3.
Dans la boîte de dialogue Contrôle de compte d'utilisateur, authentifiez-vous sous le nom Pat.Coleman_Admin avec le mot de passe Pa$$w0rd.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-32
2-33
Tâche 6 : Exécuter une console d'administration personnalisée en tant qu'administrateur. Vous commencez à constater combien il peut être fastidieux d'exécuter en tant qu'administrateur chacun des outils d'administration dont vous avez besoin. Une console d'administration personnalisée offre l'avantage de pouvoir lancer la console, contenant plusieurs composants logiciels enfichables, avec une seule commande Exécuter en tant qu'administrateur. 1.
Fermez toutes les fenêtres ouvertes sur le Bureau.
2.
Exécutez C:\AdminTools\MyConsole avec des informations d'identification d'administrateur. Dans la boîte de dialogue Contrôle de compte d'utilisateur, authentifiez-vous sous le nom Pat.Coleman_Admin avec le mot de passe Pa$$w0rd.
3.
Fermez la session sur HQDC01. N'arrêtez pas et ne réinitialisez pas l'ordinateur virtuel. Résultats : Dans cet exercice, vous avez appris qu'en utilisant une seule console d'administration personnalisées, vous vous facilitez le travail en toute sécurité. Vous pouvez ouvrir une session sur votre ordinateur avec des informations d'identification (non administratives) et exécuter la console unique en tant qu'administrateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 4 (facultatif avancé) : Personnalisation avancée de la console MMC et administration à distance Les exercices avancés facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplémentaires. Le corrigé de l'atelier pratique ne contient pas de réponses. Les tâches principales de cet exercice sont les suivantes : 1.
Démarrer SERVER01-A.
2.
Démarrer DESKTOP101-A.
3.
Utiliser les procédures décrites dans cette leçon pour personnaliser davantage la console MMC (C:\AdminTools\MyConsole.msc). Ajouter un composant logiciel enfichable qui fournit un accès administrateur au partage Données sur SERVER01 (\\SERVER01\Data).
4.
En utilisant les procédures décrites dans cette leçon, créer une zone de lancement Administrateurs avec une tâche qui ouvre l'invite de commandes.
5.
Ajouter une tâche à cette zone qui permet d'arrêter un ordinateur à distance. Aucune procédure n'est répertoriée pour cette tâche : à vous de jouer ! Conseil : Shutdown.exe.
6.
Copier votre console dans D:\AdminTools. Le dossier D:\AdminTools est partagé en tant que \\HQDC01\AdminTools.
7.
Ouvrir une session sur DESKTOP101 sous Pat.Coleman avec le mot de passe Pa$$w0rd et créer un raccourci d'accès à \\HQDC01\AdminTools\MyConsole.msc.
8.
Définir les propriétés du raccourci pour qu'il demande toujours les informations d'identification d'administrateur. Aucune procédure n'est répertoriée pour cette tâche : à vous de jouer !
9.
Exécuter une console d'administration personnalisée en tant qu'administrateur.
10. Fermer les sessions DESKTOP101 et HQDC01. Ne pas arrêter ni réinitialiser les ordinateurs virtuels.
Remarque : n'arrêtez pas les ordinateurs virtuels lorsque vous avez terminé l'atelier pratique. Les paramètres que vous y avez configurés seront réutilisés dans l'atelier pratique B.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-34
2-35
Questions de contrôle des acquis Question : Quel composant logiciel enfichable êtes-vous le plus susceptible d'utiliser tous les jours pour administrer Active Directory ? Question : Lorsque vous créez une console MMC personnalisée d'administration dans votre entreprise, quels composants logiciels enfichables ajoutez-vous ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 3
Recherche d'objets dans Active Directory
À mesure que vous ajoutez à Active Directory des objets utilisateur, groupe, ordinateur, etc., il peut devenir difficile de rechercher des objets à modifier. Dans cette leçon, vous allez étudier plusieurs méthodes de recherche d'objets dans Active Directory.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
contrôler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ;
•
rechercher des objets dans Active Directory ;
•
utiliser des requêtes sauvegardées.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-36
2-37
Recherche d'objets dans Active Directory
Vous avez appris à créer des objets dans Active Directory. Mais à quoi servent les informations d'un service d'annuaire si vous ne pouvez pas les extraire de l'annuaire ? Vous serez amené à rechercher des objets dans Active Directory dans diverses situations : •
Octroi d'autorisations. Lorsque vous définissez les autorisations d'un dossier ou d'un fichier, vous devez sélectionner le groupe (ou l'utilisateur) auquel vous voulez affecter des autorisations.
•
Ajout de membres à des groupes. Un groupe peut être constitué d'utilisateurs, d'ordinateurs, de groupes ou d'une combinaison des trois. Lorsque vous ajoutez un objet en tant que membre d'un groupe, vous devez sélectionner l'objet.
•
Création de liens. Les propriétés liées sont les propriétés d'un objet qui font référence à un autre objet. L'appartenance à un groupe est en fait une propriété liée. Il existe d'autres propriétés liées, telles que l'attribut Géré par, qui sont également des liens. Lorsque vous définissez l'attribut Managed By name (Géré en fonction du nom), vous devez sélectionner l'utilisateur ou le groupe approprié.
•
Recherche d'un objet. Vous pouvez rechercher n'importe quel objet dans votre domaine Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Il existe bien d'autres situations dans lesquelles vous devrez effectuer des recherches dans Active Directory. Vous utiliserez diverses interfaces. Cette leçon fournit des astuces d'utilisation pour chacune d'entre elles.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-38
2-39
Démonstration : Utilisation de la boîte de dialogue Sélectionner des utilisateurs, des contacts, des ordinateurs ou des groupes
Lorsque vous ajoutez un membre à un groupe, affectez une autorisation ou créez une propriété liée, la boîte de dialogue Sélectionnez des utilisateurs, des contacts, des ordinateurs ou des groupes s'affiche.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Si vous connaissez les noms des objets dont vous avez besoin, vous pouvez les taper directement dans la grande zone de texte. Vous pouvez entrer plusieurs noms en les séparant par un point-virgule, comme indiqué ci-dessus. Lorsque vous cliquez sur OK, Windows recherche chaque élément de la liste et le convertit en lien d'accès à l'objet et il ferme la boîte de dialogue. Le bouton Vérifier les noms convertit également chaque nom en lien, mais laisse la boîte de dialogue ouvert, comme indiqué ici :
Il est inutile de taper le nom complet ; vous pouvez taper le prénom ou le nom de l'utilisateur ou même une partie de son prénom ou de son nom. Par exemple, la première capture d'écran indique le prénom linda, le nom danseglio, le nom partiel joan et le nom tony. Lorsque vous cliquez sur OK ou Vérifier les noms, Windows tente de convertir le nom partiel dans l'objet correct. S'il existe un seul objet correspondant, les noms sont résolus, comme indiqué dans la seconde capture d'écran.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-40
2-41
S'il existe plusieurs correspondances, telles que le nom Tony, la zone Noms multiples trouvés indiquée ci-dessous s'affiche. Sélectionnez le ou les noms corrects et cliquez sur OK.
Par défaut, la boîte de dialogue de sélection effectue les recherches dans l'ensemble du domaine. Si vous obtenez une multitude de résultats et voulez restreindre l'étendue de la recherche ou que vous voulez effectuer des recherches dans un autre domaine ou dans les utilisateurs et groupes locaux dans un membre de domaine, cliquez sur Emplacements.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
En outre, la boîte de dialogue Sélectionner, contrairement à ce qu'indique son nom complet, Sélectionner des utilisateurs, des contacts, des ordinateurs ou des groupes, recherche rarement les quatre types d'objets. Lorsque vous ajoutez des membres à un groupe, par exemple, la recherche ne porte pas, par défaut, sur les ordinateurs. Si vous tapez un nom d'ordinateur, il n'est pas résolu correctement. Lorsque vous définissez le nom dans l'onglet Géré par, par défaut, la recherche ne porte pas sur les groupes. Vous devez vérifier que l'étendue de la boîte de dialogue Sélectionner est définie pour résoudre les types d'objets à sélectionner. Cliquez sur le bouton Types d'objets, utilisez la boîte de dialogue Types d'objets pour sélectionner les types corrects et cliquez sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-42
2-43
Si vous ne parvenez pas à trouver les objets appropriés, cliquez sur le bouton Avancé dans la boîte de dialogue. La vue avancée, représentée ci-dessous, permet de faire porter la recherche sur les champs de nom et de description, ainsi que sur les comptes désactivés, les mots de passe qui n'expirent pas et les comptes « obsolètes » qui n'ont pas ouvert de session depuis un certain temps.
Certains champs de l'onglet des requêtes courantes peuvent être désactivés en fonction du type d'objet que vous recherchez. Cliquez sur le bouton Types d'objets pour définir exactement le type d'objet à rechercher.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Options de recherche d'objets dans Utilisateurs et ordinateurs Active Directory
Points clés Bien que vous puissiez naviguer dans Active Directory pour rechercher un objet, vous trouverez généralement plus rapidement l'objet en utilisant le tri et la recherche.
Lectures complémentaires •
Recherches dans Active Directory : http://go.microsoft.com/fwlink/?LinkId=168729
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-44
2-45
Démonstration : Contrôle de l’affichage des objets dans Utilisateurs et ordinateurs Active Directory.
Points clés Vous pouvez personnaliser le volet des informations du composant logiciel enfichable Utilisateurs et ordinateurs pour travailler plus efficacement avec les objets de l'annuaire. Utilisez la commande Ajouter/Supprimer des colonnes dans le menu Afficher pour ajouter des colonnes au panneau des informations. Les attributs ne sont pas tous disponibles pour être affichés sous la forme d'une colonne, mais vous trouverez certainement des colonnes utiles à afficher, telles que Nom d’ouverture de session de l’utilisateur. Vous pouvez également trouver des colonnes inutiles. Si vos unités d'organisation ne disposent que d'un seul type d'objet (utilisateur ou ordinateur, par exemple), la colonne Type peut ne pas être utile. Lorsqu'une colonne est visible, vous pouvez changer l'ordre des colonnes en faisant glisser leur en-tête vers la gauche ou vers la droite. Vous pouvez également trier la vue dans le volet des informations en cliquant sur la colonne : le premier clic trie dans l'ordre croissant et le second, dans l'ordre décroissant, comme dans l'Explorateur Windows.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Une personnalisation courante consiste à ajouter la colonne Nom à une vue d'utilisateurs pour pouvoir les trier en fonction du nom de famille. Il est généralement plus simple de rechercher les utilisateurs en fonction de leur nom plutôt qu'en fonction de la colonne Nom qui correspond au nom commun qui est généralement constitué du prénom et du nom. Pour ajouter la colonne Nom au volet des informations : 1.
Cliquez sur le menu Afficher et sur Ajouter/supprimer des colonnes.
2.
Dans la liste des colonnes disponibles, cliquez sur Nom.
3.
Cliquez sur le bouton Ajouter.
4.
Dans la liste Colonnes affichées, cliquez sur Nom et sur Monter deux fois.
5.
Dans la liste Colonnes affichées, cliquez sur Type et Supprimer.
6.
Cliquez sur OK.
7.
Dans le volet des informations, cliquez sur l'en-tête de colonne Nom pour trier les noms par ordre alphabétique.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-46
2-47
Démonstration : Utilisation de la commande Rechercher
Les systèmes Windows fournissent l'outil de requête Active Directory appelé boîte de recherche par les administrateurs. Vous pouvez lancer cette boîte de différentes manières, notamment en cliquant sur le bouton Rechercher des objets dans les services de domaine Active Directory dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Le bouton et la boîte de recherche correspondante sont représentés ci-dessous.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Utilisez la liste déroulante Rechercher pour définir le ou les types d'objets à rechercher ou sélectionnez Requêtes communes ou Recherche personnalisées. La liste déroulante Dans définit l'étendue de la recherche. Dans la mesure du possible, il est recommandé de restreindre l'étendue des recherches afin de ne pas les faire porter sur l'ensemble du domaine et d'éviter ainsi d'affecter les performances. Conjointement, les listes Rechercher et Dans définissent l'étendue d'une recherche. Ensuite, définissez des critères de recherche. Les champs communément utilisés sont disponibles comme critères en fonction du type de requête que vous exécutez. Après avoir défini l'étendue et les critères de la recherche, cliquez sur Rechercher. Le résultat s'affiche. Vous pouvez cliquer avec le bouton droit de la souris sur un élément dans les résultats et choisir des commandes d'administration, telles que Déplacer, Supprimer et Propriétés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-48
2-49
Détermination de l'emplacement d'un objet
Points clés Il peut arriver parfois que vous vouliez rechercher un objet en utilisant la commande Rechercher, car vous ne connaissez pas l'emplacement de l'objet. Pour déterminer l'emplacement d'un objet : 1.
Cliquez sur le menu Afficher, puis sur Fonctionnalités avancées.
2.
Cliquez sur le bouton Rechercher et recherchez l'objet.
3.
Cliquez avec le bouton droit de la souris, puis cliquez sur Propriétés et l'onglet Objet.
4.
Nom canonique de l'objet indique le chemin de l'objet à partir du domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Dans la boîte de dialogue Rechercher, vous pouvez également afficher la colonne Publié à. 1.
Dans la boîte de dialogue Rechercher, cliquez sur le menu Afficher et sur Choisir les colonnes.
2.
Dans la liste Colonnes disponibles, cliquez sur Publié à et sur Ajouter.
3.
Cliquez sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-50
2-51
Démonstration : Utilisation des requêtes sauvegardées
Points clés Windows Server 2003 a introduit le nœud Requêtes sauvegardées du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cette fonction puissante permet de créer des vues du domaine à base de règles en affichant les objets d'une ou plusieurs unités d'organisation. Pour créer une requête sauvegardée : 1.
Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Les requêtes sauvegardées ne sont pas disponibles dans le composant Utilisateurs et ordinateurs Active Directory qui fait partie du Gestionnaire de serveur. Vous devez utiliser la console Utilisateurs et ordinateurs Active Directory ou une console personnalisée avec le composant logiciel enfichable.
2.
Cliquez avec le bouton droit de la souris sur Requêtes sauvegardées, pointez sur Nouveau, puis cliquez sur Requête.
3.
Entrez le nom de la requête.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
4.
Vous pouvez également entrer une description.
5.
Cliquez sur Parcourir pour rechercher la racine de la requête. La recherche est limitée au domaine ou à l'unité d'organisation que vous sélectionnez. Il est recommandé de limiter la recherche autant que possible pour améliorer les performance de la recherche.
6.
Cliquez sur Définir la requête pour définir la requête.
7.
Dans la boîte de dialogue Rechercher, sélectionnez le type de l'objet à rechercher. Les onglets dans la boîte de dialogue et les contrôles d'entrée de chaque onglet fournissent des options associées à la requête sélectionnée.
8.
Définissez les critères de la requête.
9.
Cliquez sur OK.
Après avoir créé la requête, elle est enregistrée avec l'instance du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Ainsi, si vous avez ouvert la console Utilisateurs et ordinateurs Active Directory (dsa.msc), la requête est disponible lorsque vous rouvrez la console. Si vous avez créé la requête sauvegardée dans une console personnalisée, elle est disponible dans cette console. Pour transférer les requêtes sauvegardées vers d'autres consoles ou utilisateurs, vous pouvez les exporter sous forme de fichier XML et les importer vers le composant logiciel enfichable cible. La vue de la requête sauvegardée dans le volet des informations peut être personnalisée, comme indiqué précédemment, avec des colonnes et le tri. L'un des avantages importants qu'offrent les requêtes sauvegardées réside dans le fait que la vue personnalisée est spécifique à chaque requête sauvegardée. Lorsque vous ajoutez la colonne Nom à la vue normale d'une unité d'organisation, elle est ajoutée à la vue de chaque unité d'organisation et une colonne Nom vide apparaît donc, même pour une unité d'organisation d'ordinateurs ou de groupes. Avec les requêtes sauvegardées, vous pouvez ajouter la colonne Nom à une recherche d'objets utilisateur et d'autres colonnes pour d'autres requêtes sauvegardées. Les requêtes sauvegardées sont un outil puissant pour virtualiser la vue de l'annuaire et résoudre les problèmes de comptes désactivés ou verrouillés, par exemple. Apprendre à créer et gérer des requêtes sauvegardées n'est pas du temps perdu.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-52
2-53
Atelier pratique B : Recherche d'objets dans Active Directory
Scénario Contoso couvre maintenant cinq sites géographiques dans le monde et compte plus de 1 000 employés. Maintenant que le domaine contient un grand nombre d'objets, il est plus difficile de rechercher des objets en le parcourant. On vous demande de définir des meilleures pratiques pour rechercher des objets dans Active Directory pour le reste de l'équipe d'administrateurs. On vous demande également de surveiller le fonctionnement de certains types de comptes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Recherche d'objets dans Active Directory Dans cet exercice, vous allez utiliser plusieurs outils et interfaces qui facilitent la recherche d'un objet dans Active Directory. Les tâches principales de cet exercice sont les suivantes : 1.
Examiner le comportement de la boîte de dialogue Sélectionner
2.
Contrôler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
3.
Utiliser la commande Rechercher.
4.
Déterminer l'emplacement d'un objet.
Tâche 1 : Analyse du comportement de la boîte de dialogue Sélectionner Remarque importante : les étapes de cette tâche expliquent en détail comment utiliser diverses interfaces importantes Utilisateurs et ordinateurs Active Directory. Cette tâche vous permet, en quelque sorte, de « visiter » les interfaces et leurs fonctions. Les modifications que vous effectuez sont moins importantes que l'expérience que vous acquérez avec les nuances de ces interfaces. Suivez exactement les étapes répertoriées et ne vous préoccupez pas de ce que vous faites ; concentrez-vous sur la manière dont vous le faites et sur le comportement des interfaces.
L'ordinateur virtuel doit être déjà démarré et disponible après avoir terminé l'atelier A. S'il ne l'est pas, vous devez le démarrer et effectuer les exercices de l'atelier A avant de continuer. 1.
Ouvrez une session HQDC01 sous le nom Pat.Coleman avec le mot de passe Pa$$w0rd et exécutez votre console personnalisée, C:\AdminTools\MyConsole.msc, comme administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Vous pouvez également exécuter la console précréée D:\AdminTools\ADConsole.msc en tant qu'administrateur.
2.
Dans l'arborescence de la console, développez le composant enfichable Utilisateurs et ordinateurs Active Directory, le domaine contoso.com et l'unité d'organisation User Accounts, puis cliquez sur l'unité d'organisation Employees.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-54
2-55
3.
Cliquez avec le bouton droit de la souris sur Pat Coleman, puis cliquez sur Propriétés.
4.
Cliquez sur l'onglet Membre de.
5.
Cliquez sur Ajouter.
6.
Dans la boîte de dialogue Sélectionner, tapez le nom Special.
7.
Cliquez sur OK. Le nom est converti en Special Project.
8.
Cliquez à nouveau sur OK pour fermer la boîte de dialogue Propriétés.
9.
Dans l'arborescence de la console, développez l'unité d'organisation Groups, puis cliquez sur l'unité d'organisation Role.
10. Dans le volet d'informations, cliquez avec le bouton droit de la souris sur le groupe Special Project et cliquez sur Propriétés 11. Cliquez sur l’onglet Membres. 12. Cliquez sur Ajouter. La boîte de dialogue Sélectionner des utilisateurs, des contacts, des ordinateurs ou des groupes s’affiche. 13. Tapez linda;joan et cliquez sur le bouton Vérifier les noms. La boîte de dialogue Sélectionner convertit les noms en Linda Mitchell et Joanna Rybka et elle les souligne pour indiquer qu'ils ont été résolus. 14. Cliquez sur OK. 15. Cliquez sur Ajouter. 16. Tapez carole et cliquez sur OK. La boîte de dialogue Sélectionner convertit le nom en Carole Poland et se ferme. Carole Poland figure dans la liste Membres . Lorsque vous cliquez sur le bouton OK, les noms sont vérifiés avant la fermeture de la boîte de dialogue. Il est inutile de cliquer sur le bouton Vérifier les noms si vous ne voulez pas vérifier les noms et rester dans la boîte de dialogue Sélectionner. 17. Cliquez sur Ajouter. 18. Tapez tony;jeff et cliquez sur OK. Étant donné qu'il existe plusieurs utilisateurs correspondant à "tony", la boîte Noms multiples trouvés s'affiche.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
19. Cliquez sur Tony Krijnen et sur OK. Étant donné qu'il existe plusieurs utilisateurs correspondant à "jeff", la boîte Noms multiples trouvés s'affiche. 20. Cliquez sur Jeff Ford et sur OK. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Special Project Lorsqu'il existe plusieurs objets correspondant aux informations que vous entrez, la vérification des noms vous permet de choisir l'objet approprié. 21. Dans l'arborescence de la console, cliquez sur l'unité d'organisation Application sous l'unité d'organisation Groups. 22. Dans le volet d'informations, cliquez avec le bouton droit de la souris sur APP_Office, puis cliquez sur Propriétés. 23. Cliquez sur l’onglet Membres. 24. Cliquez sur Ajouter. 25. Dans la boîte de dialogue Sélectionner, tapez DESKTOP101. 26. Cliquez sur Vérifier les noms. A La boîte de dialogue Nom introuvable s'affiche pour indiquer que l'objet que vous avez défini n'a pas pu être résolu. 27. Cliquez sur Annuler pour fermer la boîte de dialogue Nom introuvable. 28. Dans la zone Sélectionner, cliquez sur Types d'objets. 29. Cochez la case Ordinateurs et cliquez sur OK. 30. Cliquez sur Vérifier les noms. Le nom va être résolu dès lors que la zone Sélectionner contient les ordinateurs dans sa résolution. 31. Cliquez sur OK. 32. Cliquez sur OK pour fermer la boîte de dialogue Propriétés APP_Office.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-56
2-57
Tâche 2 : Contrôler la vue des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory 1.
Dans l'arborescence de la console, développez le domaine contoso.com et l'unité d'organisation User Accounts et cliquez sur l'unité d'organisation Employees.
2.
Cliquez sur le menu Afficher et sur Ajouter/supprimer des colonnes.
3.
Dans la liste Colonnes disponibles, cliquez sur Nom.
4.
Cliquez sur le bouton Ajouter.
5.
Dans la liste Colonnes affichées, cliquez sur Nom et sur Monter deux fois.
6.
Dans la liste Colonnes affichées, cliquez sur Type et sur Supprimer.
7.
Cliquez sur OK.
8.
Dans l'arborescence de la console, développez le domaine contoso.com et l'unité d'organisation User Accounts et cliquez sur l'unité d'organisation Employees.
9.
Dans le volet des informations, cliquez sur l'en-tête de colonne Nom pour trier les noms par ordre alphabétique.
10. Cliquez sur le menu Afficher et sur Ajouter/supprimer des colonnes. 11. Dans la liste Colonnes disponibles, cliquez sur Nom d'ouverture de session antérieur à Windows 2000. 12. Cliquez sur le bouton Ajouter. 13. Dans la liste Colonnes affichées, cliquez sur Nom d'ouverture de session antérieur à Windows 2000 et sur Monter. 14. Cliquez sur OK. 15. Dans l'arborescence de la console, développez le domaine contoso.com et l'unité d'organisation User Accounts et cliquez sur l'unité d'organisation Employees.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Utiliser la commande Rechercher. 1.
Dans l'arborescence de la console, développez le domaine contoso.com et l'unité d'organisation User Accounts et cliquez sur l'unité d'organisation Employees.
2.
Cliquez sur le bouton Rechercher dans la barre d'outils.
3.
Dans la zone Nom, tapez Dan, puis cliquez sur Rechercher.
4.
Combien d'éléments ont été trouvés ? Consultez la barre d'état au bas de la fenêtre Rechercher des utilisateurs, contacts ou groupes.
5.
Cliquez sur la liste déroulante Dans et sur Tout l'annuaire.
6.
Cliquez sur Rechercher.
7.
Combien d'éléments ont été trouvés ? Consultez la barre d'état au bas de la fenêtre Rechercher des utilisateurs, contacts ou groupes.
8.
Fermez la boîte de dialogue Rechercher des utilisateurs, contacts ou groupes.
Tâche 4 : Déterminer l'emplacement d'un objet. 1.
Activez la vue Fonctionnalités avancées du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2.
Utilisez la commande Rechercher pour rechercher dans le domaine les utilisateurs dont le nom commence par Pat.Coleman. Deux résultats doivent s'afficher.
3.
Utilisez les propriétés de Pat Coleman (Admin) pour déterminer l'emplacement de l'utilisateur dans Active Directory. Résultats : Dans cet exercice, vous avez appris qu'il existe plusieurs interfaces qui permettent d'effectuer des recherches dans Active Directory et à contrôler la vue dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-58
2-59
Exercice 2 : Utilisation des requêtes sauvegardées Dans cet exercice, vous allez créer des requêtes sauvegardées pour exécuter plus efficacement les tâches d'administration. Les tâches principales de cet exercice sont les suivantes : 1.
Créer une requête sauvegardée qui affiche tous les comptes d'utilisateur du domaine.
2.
Créer une requête sauvegardée qui affiche tous les comptes d'utilisateurs avec des mots de passe qui n'expirent pas.
3.
Transférer une requête vers un autre ordinateur.
Tâche 1 : Création d'une requête sauvegardée qui affiche tous les comptes d'utilisateur du domaine •
Créez la requête sauvegardée Tous les objets utilisateur qui affiche tous les utilisateurs du domaine.
Tâche 2 : Création d'une requête sauvegardée qui affiche tous les comptes d'utilisateur avec des mots de passe qui n'expirent pas •
Créez la requête sauvegardée Mots de passe qui n'expirent pas qui affiche tous les utilisateurs du domaine dont les mots de passe n'expirent pas. Notez que pour utiliser un seul mot de passe simple pour tous les utilisateurs dans ce cours, tous les comptes d'utilisateur sont configurés pour que les mots de passe n'expirent pas. Dans un environnement de production, ne configurez jamais les comptes d'utilisateur avec des mots de passe qui n'expirent pas.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Transfert d'une requête vers un autre ordinateur 1.
Exportez la requête Mots de passe qui n'expirent pas vers C:\AdminTools\Query_NonExpPW.xml.
2.
Supprimez la requête Mots de passe qui n'expirent pas .
3.
Importez la requête C:\AdminTools\Query_NonExpPW.xml.
4.
Fermez la session sur HQDC01. Résultats : À la fin de cet exercice, vous disposez de deux requêtes sauvegardées. La première, Tous les objets utilisateur, montre qu'une requête sauvegardée peut créer une vue virtualisée du domaine en permettant d'identifier les objets qui répondent à des critères, quelle que soit l'unité d'organisation dans laquelle ils se trouvent. La seconde, Mots de passe qui n'expirent pas, montre que vous pouvez utiliser des requêtes sauvegardées pour surveiller l'intégrité de l'environnement.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-60
2-61
Exercice 3 (facultatif avancé) : Analyse des requêtes sauvegardées Les exercices avancés facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplémentaires. Le corrigé de l'atelier pratique ne contient pas de réponses. Les tâches principales de cet exercice sont les suivantes : 1.
Exécuter la console précréée D:\AdminTools\ADConsole.msc comme administrateur et l'explorer.
2.
Examiner les requêtes utilisées dans le noeud Requêtes sauvegardées du composant logiciel enfichable Utilisateurs et ordinateurs. Notez que les administrateurs qui utilisent cet outil n'auront vraisemblablement jamais à descendre dans la structure de l'unité d'organisation sous le domaine contoso.com dans l'arborescence de la console. La majorité des tâches d'administration quotidiennes peuvent être exécutées avec les vues de Requêtes sauvegardées.
Remarque : n'arrêtez pas l'ordinateur virtuel lorsque vous avez terminé l'atelier, car vous allez utiliser les paramètres que vous avez définis ici dans l'atelier C.
Questions de contrôle des acquis Question : Dans le cadre de votre travail, quand êtes-vous amené à effectuer des recherches dans Active Directory ? Question : Quels types de requêtes sauvegardées pouvez-vous créer pour exécuter les tâches d'administration plus efficacement ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 4
Utilisation des commandes DS pour administrer Active Directory
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
identifier le nom unique (DN), le nom unique relatif (RDN) et le nom commun (CN) d'un objet Active Directory ;
•
utiliser les commandes DS pour administrer Active Directory depuis la ligne de commande.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-62
2-63
Noms uniques, Noms uniques relatifs (RDN) et Noms communs
Les noms uniques (DN) sont un type de chemin d'accès à un objet dans Active Directory. Chaque objet dans Active Directory a un nom unique. L'utilisateur Jeff Ford a le nom unique suivant : CN=Jeff Ford,OU=Employees,,OU=User Accounts,DC=contoso,DC=com Voici l'explication : le nom DN est un chemin qui part de l'objet et se termine dans le domaine de niveau supérieur dans l'espace de noms DNS contoso.com. CN signifie Nom commun. Vous avez étudié cette propriété précédemment : lorsque vous créez un utilisateur, vous utilisez la zone Nom complet pour créer le nom CN de l'objet utilisateur. Comme vous le savez, UO signifie unité d'organisation. Et DC signifie Composant de domaine. La partie du DN avant la première unité d'organisation, ou conteneur, s'appelle le nom unique relatif ou RDN. Dans le cas de Jeff Ford, le nom unique relatif de l'objet est CN= Jeff Ford. Les noms uniques relatifs ne sont pas tous des noms communs. Le nom DN de l'unité d'organisation Employees est OU=Employees,OU=User Accounts,DC=contoso,DC=com. Le nom RDN de l'unité d'organisation Employees est donc OU=Employees.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Étant donné que le nom DN d'un objet doit être unique dans le service d'annuaire, le nom RDN d'un objet doit être unique dans son conteneur. C'est la raison pour laquelle vous affecterez un nom CN différent à une seconde personne nommée Jeff Ford que vous embauchez si les deux objets utilisateur doivent se trouver dans la même unité d'organisation. Cette logique s'applique aux fichiers d'un dossier : un même dossier ne peut pas contenir deux fichiers portant des noms identiques. Vous utiliserez régulièrement des noms DN en travaillant avec Active Directory, de la même manière que vous utilisez des chemins de fichier lorsque vous utilisez des fichiers et des dossiers. Il est très important de savoir les lire et les interpréter.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-64
2-65
Commandes DS
Points clés Windows fournit des utilitaires de ligne de commande qui exécutent une fonctionnalité similaire à celle du composant logiciel enfichable Utilisateurs et ordinateurs. La majorité des commandes commencent par les lettres DS, c'est la raison pour laquelle on les appelle Commandes DS. Les commandes DS suivantes sont disponibles dans Windows Server 2008 : •
DSQuery. Exécute une requête en fonction des paramètres définis sur la ligne de commande et renvoie la liste des objets correspondants.
•
DSGet. Renvoie les attributs définis d'un objet.
•
DSMod. Modifie les attributs définis d'un objet.
•
DSMove. Transfère un objet vers un nouveau conteneur ou une nouvelle UO.
•
DSAdd. Crée un objet dans l'annuaire.
•
DSRm. Supprime un objet ou tous les objets dans l'arborescence sous un objet conteneur ou les deux.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Chaque commande est bien documentée. Tapez le nom de la commande suivi de /? (par exemple, dsquery /?) pour afficher l'aide de la commande.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-66
2-67
Recherche d'objets avec DSQuery
Points clés DSQuery permet de rechercher des objets dans Active Directory. Tapez dsquery.exe /? pour apprendre sa syntaxe et à l'utiliser. Vous utilisez la plupart des commandes DS en définissant le type d'objet sur lequel vous voulez les exécuter. Par exemple, entrez dsquery user pour rechercher un utilisateur ou dsquery computer, dsquery group, and dsquery ou pour rechercher son type d'objet. Si vous utilisez la commande dsquery objectType seule, elle retourne les noms uniques de tous les utilisateurs du domaine. Pour éviter d'exécuter une requête interminable, DSQuery se limite à 100 résultats. Utilisez l'option -limit pour définir le nombre de résultats à retourner. Utilisez -limit 0 pour retourner tous les objets.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
À la suite du spécificateur objectType, vous pouvez utiliser des options pour indiquer les critères de la requête. Par exemple, vous pouvez rechercher chaque objet par son nom avec l'option -name. Vous pouvez rechercher la plupart des objets en fonction de la description (-desc). Vous pouvez rechercher des entités de sécurité en fonction de leur nom d'ouverture de session antérieur à Windows 2000 (-samid). Pour connaître les propriétés que vous pouvez rechercher, tapez dsquery objecttype /?, par exemple, dsquery user /?. Par exemple, si vous voulez rechercher tous les utilisateurs dont le nom commence par Ton, entrez la commande suivante : dsquery user -name ton*. Après l'option de propriété, -name, en l'occurrence, vous pouvez entrer les critères qui ne respectent pas la casse et qui peuvent contenir des caractères génériques, tels que l'astérisque qui correspond à aucun ou plusieurs caractères. La commande DSQuery retourne les objets correspondants avec leur nom DN par défaut, comme indiqué cidessous :
Si vous ne voulez pas afficher les noms DN, ajoutez l'option –o à la commande DSQuery. Vous pouvez ajouter –o samid,, par exemple, pour afficher les résultats avec les noms d'ouverture de session antérieurs à Windows 2000 ou–o upn pour afficher la liste des noms d'ouverture de session utilisateur appelés Noms d'utilisateur principaux (UPN). DSQuery peut exécuter des requêtes en utilisant des caractères génériques, tels que l'astérisque qui représente aucun caractère ou plusieurs caractères. La commande suivante extrait tous les utilisateurs dont le nom commence par Dan : dsquery user -name "Dan*"
Notez que les critères DSQuery ne respectent pas la casse.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-68
2-69
Enfin, vous pouvez limiter l'étendue de la recherche exécutée par DSQuery en ajoutant le nom DN d'une UO ou d'un conteneur après l'élément objectType de la commande. Par exemple, la commande suivante recherche les utilisateurs dont le nom commence par Dan, mais uniquement dans l'UO Admins : dsquery user "ou=Admins,dc=contoso,dc=com" -name "Dan*"
Par défaut, la recherche contient toutes les sous-UO de la base. Vous pouvez utiliser le paramètre -base pour limiter davantage la recherche à l'UO définie sans ses sous-UO, par exemple.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Extraction des attributs des objets avec DSGet
Points clés La commande DSGet renvoie les attributs d'un ou plusieurs objets. Par exemple, la commande suivante renvoie l'adresse électronique de Jeff Ford : dsget user "cn=Jeff Ford,ou=Employees,ou=User Accounts,dc=contoso,dc=com" -email
Cette commande montre un thème commun pour la plupart des commandes DS. La majorité des commandes DS utilisent deux modificateurs situés après la commande : le type d'objet et le nom DN de l'objet. Dans l'exemple précédent, le type d'objet, user, suit immédiatement la commande. Le nom DN de l'objet figure après le type d'objet. Lorsque le nom DN d'un objet contient un espace, placez le nom entre guillemets.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-70
2-71
La commande DSGet peut extraire différents attributs pour chaque type d'objet. Mais, malheureusement, le nom de paramètre d'une commande DS qui représente un attribut ne correspond pas toujours au nom de l'interface Utilisateurs et ordinateurs Active Directory ou au nom d'attribut réel dans le schéma. Par exemple, la commande DSGet utilise le paramètre -samid pour retourner le nom d'ouverture de session antérieur à Windows 2000 de l'utilisateur, qui est l'attribut sAMAccountName dans le schéma. Enfin, la commande DSGet peut renvoyer uniquement un sous-ensemble des attributs disponibles pour un type d'objet. Pour connaître les attributs que peut rechercher la commande DSGet d'un type d'objet, tapez : dsget objectType /?.
Question : Expliquez la différence entre la commande DSQuery et la commande DSGet.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Envoi des noms DN à d'autres commandes DS
Points clés Dans la rubrique précédente, vous avez appris que la commande suivante renvoie l'adresse électronique de Jeff Ford : dsget user "cn=Jeff Ford,ou=Employees,ou=User Accounts,dc=contoso,dc=com" -email
Taper le nom DN d'un objet dans la ligne de commandes prend du temps et peut entraîner des erreurs. Il existe une méthode plus simple. Vous pouvez « canaliser » les noms DN de la commande DSQuery vers d'autres commandes DS. Souvenez-vous que la commande DSQuery recherche les objets en fonction de critères de recherche et retourne les noms DN comme sortie. D'autres commandes DS, telles que DSGet, nécessitent le nom DN de l'objet ou des objets sur lesquels elles portent ; elles utilisent les nom DN comme entrée. Vous pouvez chaîner deux commandes pour que la sortie de la commande DSQuery devienne l'entrée de la commande DSGet ou d'une autre commande DS. Cette opération s'appelle le "piping", car vous envoyez la sortie d'une commande via un "pipe" à une autre commande. Le piping s'effectue en utilisant le caractère | (pipe).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-72
2-73
Examinez la commande suivante : dsquery user -name "Jeff Ford" | dsget user -email
Vous savez que la première partie de la commande retourne le nom DN d'un objet dont l'attribut de nom (CN) est « Jeff Ford ». Vous savez aussi que la seconde partie de la commande renvoie l'attribut d'adresse électronique d'un utilisateur. Toutefois, notez que le nom DN ne figure pas dans la commande DSGet. Vous créez ainsi la fin de l'entrée du pipe. La sortie de DSQUery est envoyée via le pipe et non pas retournée à la console sous la forme d'un texte. Par conséquent, la commande retourne également l'adresse électronique de Jeff Ford sans avoir à identifier et taper correctement le nom DN de cet objet utilisateur. La commande suivante extrait les adresses électroniques de tous les utilisateurs dont le nom commence par Dan : dsquery user -name "Dan*" | dsget user -email
Important : DSGet peut retourner un ou plusieurs noms DN lorsqu'elle extrait certains attributs, notamment les attributs member and memberof. Lorsque la commande DSGet produit des noms DN, vous pouvez envoyer les résultats à une autre commande DS par pipe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Modification des attributs des objets avec DSMod
Points clés La commande DSMod modifie les attributs définis d'un ou de plusieurs objets. La syntaxe de base est la suivante : dsmod objectType "objectDN" -attribute "nouvelle valeur"
Par exemple, cette commande remplace l'attribut de service de Jeff Ford par Information Technology : dsmod user "cn=Jeff Ford,ou=Employees,ou=User Accounts,dc=contoso,dc=com" -dept "Information Technology"
Vous pouvez spécifier plusieurs attributs à modifier sur une seule ligne de commande. Pour connaître les attributs qui peuvent être modifiés pour un type d'objet, tapez dsmod objectType /?, par exemple, dsmod user /?.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-74
2-75
Les résultats de DSQuery peuvent être envoyés à DSMod par pipe. Vous pouvez changer l'attribut de service de tous les utilisateurs dans l'UO Admins avec la commande suivante : dsquery user "ou=Admins,dc=contoso,dc=com" | dsmod user -department "Information Technology"
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Suppression d'un objet avec DSRm
Points clés La commande DSRm supprime un objet d'Active Directory. Étant donné que DSRm supprime des objets sans demander de confirmation, utilisez la commande avec précaution. La syntaxe de la commande est simple : dsrm objectDN
Par exemple, cette commande supprime l'ordinateur DESKTOP234 : dsrm "cn=DESKTOP234,ou=Client Computers,dc=contoso,dc=com"
Si vous définissez le nom DN d'un ordinateur ou d'une unité d'organisation, DSRm, par défaut, supprime le conteneur et tous ses sous-conteneurs ou sous-UO. Les résultats de DSQuery peuvent être envoyés à DSRm par pipe. Vous pouvez supprimer tous les ordinateurs qui n'ont pas ouvert de session depuis plus de 90 jours avec la commande suivante : dsquery computer -stalepwd 90 | dsrm
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-76
2-77
Transfert d'un objet ave DSMove
Points clés La commande DSMove transfère un objet vers un nouveau conteneur ou une nouvelle UO. La syntaxe est très simple : dsmove objectDN -newparent targetOUDN
Dans la syntaxe, objectDN est le nom DN de l'objet à déplacer et targetOUDN est le nom DN de l'UO de destination de l'objet. DSMove permet également de renommer le nom RDN d'un objet avec le paramètre -newname : dsmove objectDN -newname newName
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Ajout d'un objet avec DSAdd
Points clés DSAdd crée un objet dans l'annuaire. La syntaxe de base est la suivante : dsadd objectType objectDN
Dans la syntaxe, objectType est la classe de l'objet à créer : utilisateur, groupe ou UO et objectDN est le nom DN du nouvel objet. Le paramètre objectDN est nécessaire, car il représente le nom DN de l'UO ou du conteneur dans lequel l'objet est créé et le nom RDN de l'objet lui-même. Par exemple, la commande suivante crée l'UO de niveau supérieur Lab : dsadd ou "ou=Lab,dc=contoso,dc=com"
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-78
2-79
La plupart des classes d'objets ont des paramètres que vous devez définir lorsque vous créez un objet. Par exemple, les comptes d'utilisateur nécessitent un nom d'ouverture de session antérieur à Windows 2000 (attribut sAMAccountName). Dans d'autres modules, vous apprendrez à utiliser des commandes DS pour créer, rechercher, modifier et supprimer des utilisateurs, des groupes et des ordinateurs. Dans ces modules, vous apprendrez à utiliser DSAdd avec les paramètres correspondants à ces types d'objets.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Administration sans l'interface graphique utilisateur
Points clés Il existe d'autres outils que vous pouvez utiliser pour administrer AD DS sans les outils d'administration de l'interface graphique utilisateur. Vous en utiliserez un certain nombre dans les modules suivants.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-80
2-81
Atelier pratique C : Utilisation des commandes DS pour administrer Active Directory
Scénario La société Contoso se développe et il est nécessaire de modifier des objets dans Active Directory. Vous êtes administrateur d'AD DS et vous savez que vous pouvez simplifier la création, la suppression et la modification des objets en utilisant l'invite de commande plutôt que Utilisateurs et ordinateurs Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Utilisation des commandes DS pour administrer Active Directory Dans cet exercice, vous allez utiliser des commandes DS pour exécuter des tâches d'administration de base. Certaines de ces tâches seraient difficiles voire impossibles à exécuter dans l'interface Utilisateurs et ordinateurs Active Directory. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Rechercher des objets avec DSQuery.
3.
Extraire les attributs des objets avec DSGet.
4.
Envoyer les noms DN de la commande DSQuery d'autres commandes DS.
5.
Envoyer les noms DN de la commande DSGet à la commande DSMod (avancé, facultatif).
Souvenez-vous que vous pouvez toujours taper la commande suivie de l'option /? pour afficher l'aide de la commande. Lorsqu'une commande fonctionne avec un type d'objet donné, tapez command objectType /? pour afficher plus d'informations d'aide.
Tâche 1 : Préparation de l'atelier pratique L'ordinateur virtuel doit être déjà démarré et disponible après avoir terminé les ateliers A et B. S'il ne l'est pas, vous devez le démarrer et effectuer les exercices des ateliers A et B avant de continuer. 1.
Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
2.
Ouvrez D:\Labfiles\Lab02ac.
3.
Exécutez Lab02c_Setup.bat avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
4.
Le script d'installation de l'atelier pratique s'exécute. À la fin de l'exécution, appuyez sur n'importe quelle touche.
5.
Fermez la fenêtre de l'Explorateur Windows, Lab02c.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-82
2-83
Tâche 2 : Rechercher des objets avec DSQuery. 1.
Ouvrez l'invite de commandes avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Utilisez DSQuery pour rechercher tous les utilisateurs dont le nom commence par Mitchell.
Tâche 3 : Extraire les attributs des objets avec DSGet. 1.
Depuis l'invite de commandes, extrayez l'adresse de courrier électronique de Tony Krijnen. Le nom unique du compte d'utilisateur de Tony est : cn=Tony Krijnen,ou=Employees,ou=User Accounts,dc=contoso,dc=com
2.
Depuis l'invite de commandes, affichez la liste des membres du groupe Finance Managers. Le nom unique du groupe est cn=Finance Managers,ou=Role,ou=Groups,dc=contoso,dc=com
Tâche 4 : Envoyer par pipe les noms DN de la commande DSQuery à d'autres commandes DS. Scott et Linda Mitchell rejoignent l'équipe Special Project. Ce sont les deux seuls employés portant le nom Mitchell chez Contoso. Ils travaillent dans le bureau de Vancouver. 1.
Ajoutez les Mitchell au groupe Special Project en utilisant une seule commande. Exécutez cette étape sans taper le nom DN des comptes d'utilisateur Mitchell. Le nom DN du groupe Special Project est "cn= Special Project,ou=Role,ou=Groups,dc=contoso,dc=com" Si vous recevez une erreur indiquant que le nom défini est déjà membre du groupe, utilisez Utilisateurs et ordinateurs Active Directory pour supprimer Scott Mitchell et Linda Mitchell du groupe Special Project et réessayez. Vous pouvez recevoir une erreur Accès refusé. Quelle est l'origine de cette erreur et comment pouvez-vous résoudre le problème ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
2.
Extrayez l'adresse électronique de tous les utilisateurs du bureau de Vancouver en utilisant une seule commande. Le champ Description contient le mot Vancouver pour les utilisateurs de ce bureau. Si vous recevez un avertissement indiquant que DSQuery a atteint sa limite, que devez-vous faire pour recevoir tous les résultats ?
3.
Remplacez l'attribut office des personnes nommées Mitchell par Vancouver en utilisant une seule commande.
Exercice 5 (facultatif avancé) : Envoyer par pipe les noms DN de la commande DSGet à la commande DSMod Les exercices avancés facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplémentaires. Le corrigé de l'atelier pratique ne contient pas de réponses. Contoso procède à une relocalisation et centralise l'équipe dirigeante des bureaux régionaux à Seatlle. •
Remplacez l'attribut office de tous les membres du groupe Executives par Headquarters en utilisant une seule commande. Effectuez cette opération sans taper le nom DN du groupe Executives.
Exercice 6 (facultatif avancé) : DSQuery * Les exercices avancés facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplémentaires. Le corrigé de l'atelier pratique ne contient pas de réponses. •
Tapez dsquery /? et examinez la syntaxe de dsquery.exe *. Notez que vous pouvez utiliser cette forme de DSQuery pour afficher un groupe arbitraire d'attributs en utilisant le nom défini par le schéma de l'attribut. Résultats : À la fin de cet exercice, les Mitchell appartiennent au groupe Special Project. L'attribut office des Mitchell est affecté de la valeur Vancouver et l'attribut office des membres du groupe Executives est affecté de la valeur Headquarters. Vous venez d'apprendre à administrer Active Directory depuis la ligne de commande avec des commande DS.
Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-84
2-85
Questions de contrôle des acquis Question : Que pouvez-vous faire pour ne pas avoir à taper les DN des utilisateurs, des groupes et des ordinateurs dans DSGet et les autres commandes DS ? Question : Quelle est la différence entre des recherches exécutées avec DSQuery en utilisant des caractères génériques et des recherches effectuées avec la commande Rechercher dans Utilisateurs et ordinateurs Active Directory ? En d'autres termes, quelle recherche effectuée dans cet atelier n'aurait pas pu être effectuée avec l'interface de base de la commande Rechercher ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée et efficace d'Active Directory
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-1
Module 3 Gestion des utilisateurs Table des matières : Leçon 1 : Création et administration des comptes d'utilisateur
3-4
Atelier pratique A : Création et administration des comptes d'utilisateur
3-29
Leçon 2 : Définition des attributs des objets utilisateur
3-35
Atelier pratique B : Définition des attributs des objets utilisateur
3-51
Leçon 3 : Automatisation de la création des comptes d'utilisateur
3-61
Atelier pratique C : Automatisation de la création des comptes d'utilisateur
3-70
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vue d'ensemble du module
Dans ce module vous allez apprendre à créer et gérer les comptes d'utilisateur. Les comptes d'utilisateur stockés dans l'annuaire constituent le composant fondamental de l'identité. Compte tenu de leur importance, la connaissance des comptes d'utilisateur et les tâches liées à leur gestion sont essentielles à l'efficacité d'un administrateur dans une entreprise Windows®. Chaque jour, un réseau d'entreprise apporte son lot de défis en matière de gestion des utilisateurs. Des employés sont embauchés, transférés, se marient, divorcent et quittent l'entreprise. Ils commettent des erreurs, telles qu'oublier leurs mots de passe ou verrouiller leurs comptes en se connectant incorrectement. Les administrateurs doivent répondre à toutes ces situations et la gestion efficace des comptes d'utilisateur peut avoir un impact considérable sur votre productivité générale. Ce module aborde en premier lieu les options de création de comptes d'utilisateur à l'aide du composant logiciel enfichable Utilisateur et ordinateurs Active Directory et la commande DSAdd. Ces compétences, qui permettent de créer efficacement un compte d'utilisateur ou un petit nombre de comptes d'utilisateur, peuvent s'avérer peu pratiques et inefficaces lorsque vous gérez de nombreux comptes. Le module porte donc également sur diverses options d'automatisation de la création d'utilisateurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-2
3-3
Naturellement, la création d'un utilisateur n'est que la première étape dans le cycle de vie d'un utilisateur dans un domaine. Après avoir créé l'utilisateur, vous devez définir les attributs qui spécifient les propriétés de l'entité de sécurité (le « compte ») et les propriétés qui définissent et gèrent l'utilisateur. Vous devez savoir administrer le compte et quand l'administrer, pour réinitialiser le mot de passe et déverrouiller le compte, par exemple. Vous devez pouvoir transférer l'utilisateur entre les unités d'organisation et finalement supprimer les privilèges d'accès au compte en le désactivant ou en le supprimant. Ce module couvre les procédures de gestion d'un objet utilisateur dans son cycle de vie, à savoir les procédures que vous pouvez exécuter en utilisant l'interface Windows et les outils de ligne de commande et d'automatisation.
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
créer et définir les propriétés de compte d'un objet utilisateur ;
•
identifier la fonction et les conditions des attributs d'un compte d'utilisateur ;
•
exécuter les tâches d'administration courantes pour gérer les comptes d'utilisateur, notamment réinitialiser un mot de passe et déverrouiller un compte ;
•
activer et désactiver des comptes d'utilisateur ;
•
supprimer, déplacer et renommer des comptes d'utilisateur ;
•
afficher et modifier les attributs masqués des objets utilisateur ;
•
identifier la fonction et les conditions des attributs d'un objet utilisateur ;
•
créer des utilisateurs à partir de modèles de comptes d'utilisateur ;
•
modifier simultanément les attributs de plusieurs utilisateurs ;
•
exporter les attributs d'un utilisateur avec CSVDE ;
•
importer des utilisateurs avec CSVDE ;
•
importer des utilisateurs avec LDIFDE.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 1
Création et administration des comptes d'utilisateur
Un compte d'utilisateur est le principal élément de l'identité et de l'accès (IDA) dans les services de domaine Active Directory®. Par conséquent, des processus cohérents, efficaces et sûrs d'administration des comptes d'utilisateur sont essentiels à la gestion de la sécurité de l'entreprise.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
créer et définir les propriétés de compte d'un objet utilisateur ;
•
identifier la fonction et les conditions des attributs d'un compte d'utilisateur ;
•
exécuter les tâches d'administration courantes pour gérer les comptes d'utilisateur, notamment réinitialiser un mot de passe et déverrouiller un compte ;
•
activer et désactiver des comptes d'utilisateur ;
•
supprimer, déplacer et renommer des comptes d'utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-4
3-5
Compte d’utilisateur
Points clés Les objets utilisateur s'appellent généralement des comptes d'utilisateur. Mais à y regarder de plus près, ce que l'on appelle un « compte » (le nom d'utilisateur, le mot de passe et éventuellement l'identificateur de sécurité ou DIS) est simplement un sous-ensemble d'attributs d'un objet utilisateur. Les objets utilisateur Active Directory comportent de nombreux attributs qui sont soit liés indirectement au compte (tels que la propriété de chemin de profil) soit des attributs de la personne que le compte représente (tels que l'adresse électronique, le numéro de téléphone et les propriétés de gestionnaire). Les comptes d'utilisateur, les attributs de « compte » réels de l'objet utilisateur, ont deux fonctions. Ils activent l'authentification, le processus d'ouverture de session au cours duquel l'identité de l'utilisateur est validée en comparant le nom et le mot de passe d'ouverture de session de l'utilisateur. Une fois que l'utilisateur a ouvert une session, le SID de son compte est comparé aux autorisations sur les ressources auxquelles l'utilisateur tente d'accéder. Le module 1 décrit le processus d'ouverture de session, la génération du jeton de sécurité qui inclut le SID de l'utilisateur et le mécanisme par lequel les autorisations dans une liste de contrôle d'accès sont comparées au SID dans le jeton pour déterminer le niveau d'accès à une ressource.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Un compte d'utilisateur peut être créé et stocké dans Active Directory. Un compte d'utilisateur de domaine permet d'ouvrir une session sur un ordinateur du domaine et d'accéder aux ressources dans le domaine. Naturellement, les deux groupes d'activités dépendent des droits d'ouverture de session, des privilèges et des autorisations affectés au compte. En outre, bien que les comptes Active Directory soient le sujet principal de ce cours, les comptes peuvent être également stockés dans la base de données SAM (Security Accounts Manager) pour activer l'ouverture de session locale et l'accès aux ressources locales. Les comptes d'utilisateur locaux sont abordés brièvement dans ce cours, car ils n'en constituent pas le sujet principal.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-6
3-7
Démonstration : Création d'un objet utilisateur
Points clés Un objet utilisateur, appelé généralement compte d'utilisateur, contient le nom et le mot de passe de l'utilisateur qui servent d'informations d'identification d'ouverture de session. Un objet utilisateur contient également d'autres attributs qui décrivent et gèrent l'utilisateur. Pour créer un objet utilisateur : 1.
Cliquez avec le bouton droit de la souris sur l'UO ou le conteneur dans lequel vous voulez créer l'utilisateur, pointez sur Nouveau et cliquez sur Utilisateur.
2.
Dans Prénom, tapez le prénom de l'utilisateur.
3.
Dans Deuxième prénom, tapez le deuxième prénom de l'utilisateur. Notez que cette propriété est destinée au deuxième prénom de l'utilisateur et qu'elle ne correspond pas aux initiales du prénom et du nom.
4.
Dans Nom, tapez le nom de l'utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
5.
Le champ Nom complet est rempli automatiquement. Modifiez-le, si nécessaire. Le champ Nom complet permet de créer des attributs pour un objet utilisateur, notamment les propriétés de nom commun (CN) et de nom d'affichage. Le nom commun d'un utilisateur est celui qui s'affiche dans le volet d'informations du composant logiciel. Il doit être unique dans le conteneur ou l'UO. Par conséquent, si vous créez un objet utilisateur pour une personne portant le même nom qu'un autre utilisateur dans une même UO ou un même conteneur, vous devez entrer un nom unique dans le champ Nom complet.
6.
Dans Nom d'ouverture de session de l'utilisateur, tapez le nom avec lequel l'utilisateur ouvrira des sessions, puis dans la liste déroulante, sélectionnez le suffixe UPN qui sera ajouté au nom d'ouverture de session à la suite du symbole @. Dans Active Directory, les noms d'utilisateur peuvent contenir certains caractères spéciaux (notamment des points, des tirets et des apostrophes), ce qui permet de générer des noms exacts, tels que O’Hare et Smith-Bates. Toutefois, certaines applications peuvent avoir d'autres restrictions ; par conséquent, il est recommandé d'utiliser uniquement des lettres et des chiffres standard jusqu'à ce que vous ayez testé complètement les applications pour déterminer la compatibilité avec les caractères spéciaux dans les noms d'ouverture de session. La liste des suffixes UPN disponibles peut être gérée en utilisant le composant logiciel enfichable Domaines et approbations Active Directory. Cliquez avec le bouton droit de la souris sur la racine du composant logiciel enfichable, Domaines et approbations Active Directory, cliquez sur Propriétés et utilisez l'onglet Suffixes UPN pour ajouter ou supprimer des suffixes. Le nom DNS du domaine Active Directory est toujours disponible comme suffixe et vous ne pouvez pas le supprimer.
7.
Dans la zone Nom d’ouverture de session de l’utilisateur (antérieur à Windows 2000), tapez le nom d'ouverture de session antérieur à Windows 2000, généralement appelé nom d'ouverture de session de "bas niveau" Dans la base de données Active Directory, cet attribut s'appelle sAMAccountName.
8.
Cliquez sur Suivant.
9.
Entrez le mot de passe initial de l'utilisateur dans les zones Mot de passe et Confirmer le mot de passe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-8
3-9
10. Sélectionnez L'utilisateur doit changer le mot de passe à la prochaine ouverture de session. Il est recommandé de toujours sélectionner cette option pour que l'utilisateur puisse créer un mot de passe inconnu du service informatique. Les techniciens habilités du service informatique peuvent toujours réinitialiser le mot de passe de l'utilisateur plus tard s'ils doivent se connecter sous le nom de l'utilisateur ou accéder à ses ressources. Mais, seuls les utilisateurs doivent connaître leur mot de passe au jour le jour. 11. Cliquez sur Suivant. 12. Vérifiez le résumé et cliquez sur Terminer. L'interface Nouvel objet – Utilisateur permet de définir un nombre limité de propriétés de compte, telles que les paramètres de nom et de mot de passe. Toutefois, un objet utilisateur dans Active Directory a des dizaines d'autres propriétés. Ces propriétés peuvent être définies après la création de l'objet. 1.
Cliquez avec le bouton droit de la souris sur l’objet utilisateur, puis cliquez sur Propriétés.
2.
Définissez les propriétés utilisateur.
3.
Cliquez sur OK.
Lectures complémentaires •
Aide de Utilisateurs et ordinateurs Active Directory : Gestion des utilisateurs : http://go.microsoft.com/fwlink/?LinkId=168742
•
Création d'un compte d'utilisateur : http://go.microsoft.com/fwlink/?LinkId=168743
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Création d'utilisateurs avec DSAdd
Points clés Utilisez la commande DSAdd pour créer des objets dans Active Directory. La commande DSAdd User crée un objet utilisateur et accepte les paramètres qui définissent les propriétés de l'utilisateur. La commande suivante montre les paramètres de base nécessaires à la création d'un compte d'utilisateur : dsadd user "UserDN" –samid nom d'ouverture de session antérieur à Windows 2000 -pwd {mot de pass | *} –mustchpwd yes
Le paramètre -pwd définit le mot de passe. Si vous entrez un astérisque (*), un message demande d'entrer un mot de passe d'utilisateur. Le paramètre -mustchpwd indique que l'utilisateur doit changer le mot de passe lors de l'ouverture de session suivante. DSAdd User accepte des paramètres qui définissent les propriétés de l'objet utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-10
3-11
La commande suivante crée un utilisateur avec certains des champs les plus importants complétés : dsadd user "cn=Amy Strande,ou=Employees,ou=User Accounts,dc=contoso,dc=com" –samid Amy.Strande -fn Amy –ln Strande – display "Strande, Amy" -pwd Pa$$w0rd -desc "Vice President, IT"
La plupart des noms de paramètre sont explicites : -email, -profile et -company, par exemple. Tapez dsadd user /? ou consultez le Centre d'aide et de support Windows Server® 2008 qui contient la documentation complète des paramètres de la commande DSAdd User. Le jeton spécial $username$ représente le nom d'ouverture de session (antérieur à Windows 2000), l'attribut sAMAccountName, dans la valeur des paramètres -email, -hmdir, -profile et -webpg. Par exemple, pour définir le dossier de base d'un utilisateur lors de la création de l'utilisateur avec la commande DSAdd User de l'exemple précédent, ajoutez le paramètre suivant : -hmdir \\server01\users\$username$\documents
Lectures complémentaires •
DSAdd : http://go.microsoft.com/fwlink/?LinkId=168744
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Attributs de nom
Points clés Il existe plusieurs attributs qui sont liés au nom d'un objet utilisateur et à un compte. Il est important de comprendre ce qui les distingue. •
Le nom d'ouverture de session (antérieur à Windows 2000) est, en arrièreplan, l'attribut sAMAccountName. On l'appelle parfois le samid. Il doit être unique dans l'ensemble du domaine.
•
Le nom d'ouverture de session de l'utilisateur est l'attribut userPrincipalName dont l'abréviation est UPN. L'UPN est constitué du nom d'ouverture de session et d'un suffixe UPN qui est par défaut le nom DNS du domaine dans lequel vous créez l'objet. L'UPN doit être unique dans l'ensemble de la forêt. Les adresses électroniques, qui doivent être uniques dans le monde entier, répondent à cette condition. Utilisez les adresses électroniques comme UPN. Si le nom de domaine Active Directory n'est pas identique à votre nom de domaine de messagerie, vous devez ajouter le nom de domaine de messagerie comme suffixe UPN disponible. Pour ce faire, ouvrez le composant logiciel enfichable Domaines et approbations Active Directory, cliquez avec le bouton droit de la souris sur la racine du composant enfichable et cliquez sur Propriétés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-12
3-13
•
Le nom d'un utilisateur figure dans la première colonne du volet des détails du composant enfichable Domaines et approbations Active Directory et comme nom complet dans certaines interfaces, notamment dans la boîte de dialogue Nouvel objet. Il doit être unique dans l'UO. Le champ Nom est en fait le nom commun (CN) stocké comme attribut cn. L'attribut cn doit être unique dans l'UO, car il correspond au premier élément du nom unique, l'attribut distinguishedName, qui doit être unique dans la forêt.
•
Le nom complet est l'attribut displayName qui apparaît dans la liste d'adresses globale (DAL) Microsoft® Exchange. Il est plus aisé de rechercher des utilisateurs dans cette liste s'ils sont triés en fonction de leur nom. Par conséquent, vous pouvez créer une convention d'affectation de nom pour votre entreprise qui indique que l'attribut utilise la syntaxe LastName, FirstName. Il n'existe pas de condition d'unicité pour l'attribut displayName, mais il est plus aisé de rechercher des utilisateurs dans la liste GAL si chaque utilisateur à un nom complet unique !
Question : Que devez vous faire dans votre entreprise pour assurer l'unicité des attributs de nom et quelle convention d'affectation de nom utilisez-vous ?
Lectures complémentaires •
Noms d'objet : http://go.microsoft.com/fwlink/?LinkId=168745
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Modification du compte d'un utilisateur
Points clés Lorsque devez changer le nom de compte d'un utilisateur, vous devez modifier un ou plusieurs attributs. Pour renommer un utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1.
Cliquez avec le bouton droit de la souris sur l'utilisateur, puis cliquez sur Renommer.
2.
Tapez le nouveau nom commun (CN) de l'utilisateur et appuyez sur ENTRÉE. La boîte de dialogue Modification du nom de l'utilisateur s'affiche et demande d'entrer des attributs de nom supplémentaires.
3.
Tapez le nom complet (qui est associé aux attributs cn et name)
4.
Tapez le prénom et le nom.
5.
Tapez le nom d'affichage.
6.
Tapez le nom d'ouverture de session de l'utilisateur et le nom d'ouverture de session de l'utilisateur (antérieur à Windows 2000).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-14
3-15
Dans l'invite de commandes, vous pouvez utiliser la commande DSMod, comme suit : dsmod user UserDN [-upn UPN][-fn FirstName][-mi Initial][-ln LastName] [-dn DisplayName][-email EmailAddress]
où UserDN est le nom unique (DN) de l'objet utilisateur. Chaque paramètre, tel que -dn, est précédé d'un tiret et suivi de la valeur que recevra l'attribut correspondant. Vous ne pouvez pas changer l'attribut samAccountName en utilisant DSMod et vous ne pouvez pas non plus modifier le nom commun (CN) de l'objet en utilisant DSMod. Utilisez la commande DSMove avec le paramètre -newname pour changer le nom commun de l'objet.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Attributs de compte
Points clés Dans l'onglet Compte de la boîte de dialogue des propriétés d'un utilisateur figurent les attributs associés directement au fait que l'utilisateur est une entité de sécurité, ce qui implique qu'il s'agit d'une identité à laquelle vous pouvez affecter des autorisations et des droits.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-16
3-17
Le tableau ci-dessous répertorie les attributs de compte. Propriété
Description
Horaires d’accès
Cliquez sur Horaires d'accès pour définir les heures auxquelles l'utilisateur est autorisé à ouvrir une session sur le réseau.
Se connecter à
Cliquez sur Se connecter à si vous voulez limiter les postes de travail sur lesquels l'utilisateur peut ouvrir une session. Cette limitation s'appelle Restrictions d'ordinateurs dans d'autres parties de l'interface et elle est associée à l'attribut userWorkstations. Vous devez activer NetBIOS over TCP/IP pour pouvoir utiliser cette fonction, car elle utilise le nom de l'ordinateur au lieu de l'adresse MAC (Media Access Control) de sa carte réseau pour limiter les ouvertures de session.
L’utilisateur doit changer le mot de passe à la prochaine ouverture de session
Cochez cette case si vous voulez que l'utilisateur change le mot de passe que vous avez entré la première fois qu'il ouvre une session. Vous ne pouvez pas sélectionner cette option si vous avez sélectionné Le mot de passe n'expire jamais. La sélection de cette option désactive automatiquement l'option mutuellement exclusive L’utilisateur ne peut pas changer de mot de passe.
L’utilisateur ne peut pas changer de mot de passe.
Cochez cette case si plusieurs personnes utilisent le même compte d'utilisateur de domaine (tel que Invité) ou pour gérer le contrôle des mots de passe de compte d'utilisateur. Cette option est généralement utilisée pour gérer les mots de passe de compte de service. Vous ne pouvez pas sélectionner cette option si vous avez sélectionné l’utilisateur doit changer le mot de passe à la prochaine ouverture de session.
Le mot de passe n'expire jamais
Cochez cette case si vous voulez que le mot de passe n'expire jamais. Cette option désactive automatiquement l'option L'utilisateur doit changer le mot de passe à la prochaine ouverture de session, car elles s'excluent mutuellement. Cette option est généralement utilisée pour gérer les mots de passe de compte de service.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
(suite) Propriété
Description
Le compte est désactivé.
Cochez cette case pour désactiver le compte d'utilisateur, par exemple, lorsque vous créez un objet pour un nouvel employé qui ne doit pas encore accéder au réseau.
Enregistrer le mot de passe en utilisant un chiffrement réversible
Cette option, qui stocke le mot de passe dans Active Directory sans utiliser l'algorithme puissant de hachage du chiffrement non réversible, permet de prendre en charge les applications qui doivent connaître le mot de passe de l'utilisateur. Si ce n'est pas absolument nécessaire, n'activez pas cette option, car elle affaiblit de manière significative la sécurité des mots de passe. Les mots de passe stockés en utilisant le chiffrement réversible sont similaires à ceux stockés sous la forme d'un texte ordinaire.
Une carte à puce est nécessaire pour ouvrir une session interactive
Une carte à puce est un matériel portable protégé contre les falsifications qui stocke les informations d'identification uniques d'un utilisateur. Elle est liée à un système ou insérée dans un système et fournit un composant d'identification physique supplémentaire au processus d'authentification.
Le compte est approuvé pour la délégation
Cette option permet à un compte de service d'emprunter l'identité d'un utilisateur pour accéder aux ressources du réseau pour le compte de l'utilisateur. Elle n'est généralement pas sélectionnée et certainement pas pour un objet utilisateur qui est une personne. Elle est généralement utilisée pour les comptes de service dans les architectures d'application à trois niveaux (multiniveaux).
Le compte expire
Utilisez les contrôles Le compte expire pour indiquer quand le compte expire.
Lectures complémentaires •
Onglet Propriétés de l'utilisateur - Compte : http://go.microsoft.com/fwlink/?LinkId=168746
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-18
3-19
Réinitialisation du mot de passe d'un utilisateur
Points clés Si l'utilisateur oublie son mot de passe et tente d'ouvrir une session, il reçoit un message d'ouverture de session. Pour qu'il puisse ouvrir une session, vous devez réinitialiser son mot de passe. Pour ce faire, vous n'avez pas besoin de connaître son mot de passe. Pour réinitialiser le mot de passe d'un utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1.
Cliquez avec le bouton droit de la souris sur l'objet utilisateur et cliquez sur Réinitialiser le mot de passe. La boîte de dialogue Réinitialiser le mot de passe s’affiche.
2.
Entrez le nouveau mot de passe dans les zones Nouveau mot de passe et Confirmer le mot de passe. Il est judicieux d'affecter un mot de passe très difficile à deviner, unique et temporaire à l'utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
3.
Cochez la case L'utilisateur doit changer le mot de passe à la prochaine ouverture de session. Il est judicieux d'obliger l'utilisateur à changer de mot de passe lors de sa prochaine ouverture de session afin qu'il choisisse un mot de passe que lui seul connaît.
4.
Cliquez sur OK.
5.
Communiquez le mot de passe temporaire à l'utilisateur en utilisant une méthode sécurisée.
Vous pouvez utiliser également la commande DSMod pour réinitialiser le mot de passe et éventuellement forcer l'utilisateur à changer le mot de passe lors de l'ouverture de session suivante. Tapez la commande suivante : dsmod user UserDN –pwd NewPassword -mustchpwd yes
où UserDN est le nom unique (DN) de l'objet utilisateur et NewPassword, le nouveau mot de passe. Le paramètre -mustchpwd yes force l'utilisateur à changer le mot de passe lors de l'ouverture de session suivante. Conseil : configurez des mots de passe très complexes pour les comptes de service. Les services nécessitent des informations d'identification pour accéder aux ressources système. La majorité des services nécessitent un compte d'utilisateur de domaine pour s'authentifier et il convient généralement d'indiquer que le mot de passe du compte n'expire jamais. Dans ce cas, veillez à choisir un mot de passe long et complexe. Si le compte de service est utilisé par des services sur un nombre limité de systèmes, vous pouvez renforcer la sécurité du compte en définissant la propriété Se connecter à avec la liste des systèmes qui utilisent le compte de service.
Question : Quelles sont les implications de sécurité associées à la possibilité pour les administrateurs de réinitialiser les mots de passe des utilisateurs ? Question : Qui doit pouvoir réinitialiser le mot de passe des utilisateurs standard ? Celui des comptes avec des privilèges d'administration ? Celui des comptes de service ? Question : Quelles sont les stratégies de réinitialisation des mots de passe en vigueur dans votre entreprise ?
Lectures complémentaires •
Réinitialisation du mot de passe d'un utilisateur : http://go.microsoft.com/fwlink/?LinkId=168747
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-20
3-21
Déverrouillage du compte d'un utilisateur
Points clés Un domaine Active Directory prend en charge des stratégies de verrouillage de compte. Une stratégie de verrouillage vise à empêcher un utilisateur de tenter de pénétrer dans le réseau de l'entreprise en ouvrant des sessions de manière répétée en utilisant divers mots de passe jusqu'à ce qu'il découvre le mot de passe correct. Lorsqu'un utilisateur tente d'ouvrir une session avec un mot de passe incorrect, un échec d'ouverture de session se produit. Lorsqu'un trop grand nombre d'échecs se produisent pendant un délai donné, défini par la stratégie de verrouillage, le compte est verrouillé. Lors de la prochaine tentative d'ouverture de session, l'utilisateur reçoit une notification indiquant clairement que son compte est verrouillé. Vous apprendrez à définir des stratégies de verrouillage dans le module 9. Votre stratégie de verrouillage peut définir le délai après lequel un compte verrouillé est automatiquement déverrouillé. Cependant, lorsqu'un utilisateur tente d'ouvrir une session et constate que son compte est verrouillé, il contactera vraisemblablement le support technique.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Pour déverrouiller un compte d'utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1.
Cliquez avec le bouton droit sur l’objet utilisateur, puis cliquez sur Propriétés.
2.
Cliquez sur l’onglet Compte.
3.
Cochez la case Déverrouiller le compte.
Windows Server 2008 permet également de déverrouiller le compte d'un utilisateur lorsque vous choisissez la commande Réinitialiser le mot de passe. Pour déverrouiller un compte en réinitialisant le mot de passe d'un utilisateur : •
Dans la boîte de dialogue Réinitialiser le mot de passe, cochez la case Déverrouiller le compte de l'utilisateur.
Cette méthode est particulièrement pratique lorsque le compte d'un utilisateur est verrouillé à la suite de l'oubli du mot de passe par l'utilisateur. Désormais, vous pouvez affecter un nouveau mot de passe, indiquer que l'utilisateur doit changer le mot de passe lors de l'ouverture de session suivante et déverrouiller le compte de l'utilisateur dans une seule boîte de dialogue. Attention aux lecteurs associés à des informations d'identification secondaires : l'association d'un lecteur à des informations d'identification secondaires est souvent à l'origine du verrouillage d'un compte. Si le mot de passe des informations d'identification secondaires est modifié et que le client Windows tente plusieurs fois de se connecter au lecteur, le compte se verrouille. Question : Outre l'oubli des mots de passe, à quelles autres situations de verrouillage de compte avez-vous été confronté ?
Lectures complémentaires •
Le module 9 explique en détail les stratégies de verrouillage de compte.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-22
3-23
Désactivation et activation des comptes d'utilisateur
Points clés Les comptes d'utilisateur sont des entités de sécurité, à savoir des identités qui peuvent être autorisées à accéder aux ressources réseau. Étant donné que chaque utilisateur est membre du groupe Utilisateurs du domaine et de l'identité spéciale Utilisateurs authentifiés, chaque compte d'utilisateur dispose au minimum d'un accès en lecture à un important volume d'informations dans Active Directory et dans les systèmes de fichiers, à moins que vous vous soyez astreint à verrouiller les listes de contrôle d'accès (ACL) et soyez particulièrement efficace en la matière. C'est la raison pour laquelle il est important de ne pas laisser les comptes d'utilisateur ouverts. Ceci implique que vous devez définir des stratégies de mot de passe et mettre en place des contrôles (abordés dans d'autres modules) et des procédures pour vous assurer que les comptes sont utilisés à bon escient. Si un compte d'utilisateur est accessible avant qu'il soit nécessaire ou qu'un employé est absent pendant une longue période, désactivez le compte
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Pour désactiver un compte dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : •
Cliquez avec le bouton droit sur l'utilisateur, puis cliquez sur Désactiver le compte.
Si le compte est déjà désactivé, la commande Activer le compte apparaît lorsque vous cliquez avec le bouton droit de la souris sur l'utilisateur. Dans l'invite de commandes, vous pouvez utiliser la commande DSMod, comme suit : dsmod user UserDN –disabled yes
L'activation d'un compte revient à remplacer yes par no pour la commande DSMod : dsmod user UserDN –disabled no
Dans chaque commande, UserDN est le nom unique (DN) de l'objet utilisateur et le paramètre -disabled {yes|no} active ou désactive le compte. Question : Quelles sont les stratégies de désactivation et d'activation de compte en vigueur dans votre entreprise ? Question : Quelles sont les implications de sécurité associées à la possibilité pour un utilisateur de désactiver ou d'activer les comptes des utilisateurs ? Question : Dans quel cas choisiriez-vous de désactiver un compte d’utilisateur plutôt que de le supprimer ?
Lectures complémentaires •
Désactivation ou activation du compte d'un utilisateur : http://go.microsoft.com/fwlink/?LinkId=168748
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-24
3-25
Suppression d'un compte d’utilisateur
Points clés Lorsqu'un compte devient inutile, vous pouvez le supprimer de l'annuaire. Pour supprimer un compte d'utilisateur dans Utilisateurs et ordinateurs Active Directory : 1.
Sélectionnez l'utilisateur et appuyez sur Suppr. ou cliquez avec le bouton droit de la souris sur l'utilisateur et cliquez sur Supprimer. Un message vous demande de confirmer la suppression compte tenu des implications importantes de la suppression d'une entité de sécurité.
2.
Confirmez la suppression.
Vous pouvez supprimer des objets d'Active Directory en utilisant la commande DSRm et une autre commande DS. La syntaxe de DSRm est simple : dsrm UserDN
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
où UserDN est le nom unique (DN) de l'objet utilisateur. Notez que, contrairement aux autres commandes DS, DSRm n'est pas suivie de la classe d'objets utilisateur. Il est important de savoir que lorsqu'un compte est supprimé, il est supprimé de l'ensemble de l'annuaire. Vous ne pouvez pas simplement recréer un compte avec le nom du compte supprimé en espérant qu'il ait les mêmes membres de groupe et accès aux ressources ; il n'en est rien. La perte du SID de l'utilisateur et de ses appartenances aux groupes peut générer de graves problèmes si vous réalisez par la suite que vous avez besoin du compte. C'est la raison pour laquelle les entreprises désaffectent généralement les comptes d'utilisateur par étapes. Tout d'abord, le compte est désactivé. Après un certain délai, il est supprimé. Active Directory gère un sous-ensemble des propriétés du compte, notamment son SID, pendant un certain délai appelé durée de vie de temporisation, qui est de 180 jours par défaut. Passé ce délai, l'enregistrement du compte est supprimé de l'annuaire. Vous pouvez également envisager de recycler un compte d'utilisateur. Si un utilisateur quitte l'entreprise, il est possible que l'entreprise embauche une nouvelle personne qui ait besoin d'accès, d'appartenances et de droits d'utilisateur très similaires à ceux de l'utilisateur précédent. Vous pouvez désactiver le compte jusqu'au remplacement de la personne, puis le renommer en fonction du nom du nouvel utilisateur. Le SID, les appartenances aux groupes et les accès aux ressources de l'utilisateur précédent sont alors transférés à la nouvelle personne. Question : Quelles sont les pratiques de votre entreprise relatives à la désaffectation des comptes d'utilisateur ?
Lectures complémentaires •
Suppression d'un compte d’utilisateur : http://go.microsoft.com/fwlink/?LinkId=168749
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-26
3-27
Transfert d'un compte d'utilisateur
Points clés Pour transférer un objet utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1.
Cliquez avec le bouton droit de la souris sur l'utilisateur, puis cliquez sur Déplacer.
2.
Cliquez sur le dossier de destination du compte d'utilisateur, puis cliquez sur OK.
Vous pouvez également •
faire glisser l'objet utilisateur et le déposer sur l'UO de destination.
Pour transférer un utilisateur avec un outil de ligne de commande, utilisez DSMove. La syntaxe de DSMove est la suivante : dsmove UserDN –newparent TargetOUDN
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
La commande DSMove ne définit pas la classe d'objets utilisateur. Elle indique simplement le nom unique (DN) de l'utilisateur et, dans l'espace réservé TargetOUDN, le nom DN de l'UO de destination de l'utilisateur. Sachez que lorsque vous transférez un utilisateur, vous pouvez changer les objets Stratégie de groupe (GPO) qui s'appliquent à l'utilisateur. Les objets Stratégie de groupe seront abordés dans un autre module. Vous pouvez utiliser la commande DSMove avec le paramètre -newname pour changer le nom commun (CN) de l'objet.
Lectures complémentaires •
Transfert d'un compte d'utilisateur : http://go.microsoft.com/fwlink/?LinkId=168750
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-28
3-29
Atelier pratique A : Création et administration des comptes d'utilisateur
Scénario Vous êtes l'administrateur de Contoso, Ltd., une université en ligne pour la formation des adultes. Deux nouveaux employés ont été embauchés : Chris Mayo et Amy Strande. Vous devez créer les comptes de ces utilisateurs. Le temps passe, Chris Mayo quitte l'entreprise et son compte doit être administré conformément à la stratégie de la société de gestion du cycle de vie des comptes d'utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Création de comptes d'utilisateur Dans cet exercice, vous allez créer les comptes d'utilisateur avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory et l'invite de commandes. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Créer un compte d’utilisateur standard avec Utilisateurs et ordinateurs Active Directory.
3.
Créer un compte d'utilisateur avec la commande DSAdd.
Tâche 1 : Préparation de l'atelier pratique •
Démarrez 6238B-HQDC01-A.
•
Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
•
Exécutez D:\Labfiles\Lab03b\Lab03a_Setup.bat avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tâche 2 : Création d'un compte d'utilisateur avec Utilisateurs et ordinateurs Active Directory •
Exécutez Utilisateurs et ordinateurs Active Directory avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd
•
Créez un compte d'utilisateur pour Chris Mayo dans l'UO Employees. •
Prénom : Chris
•
Nom : Mayo
•
Nom d’ouverture de session de l’utilisateur : Chris.Mayo
•
Nom d'ouverture de session de l'utilisateur (antérieur à Windows 2000) : Chris.Mayo
•
Mot de passe : Pa$$w0rd
•
Indiquez qu'il doit changer son mot de passe lors de l'ouverture de session suivante.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-30
3-31
Tâche 3 : Créer un compte d'utilisateur avec la commande DSAdd. •
Exécutez l'invite de commandes avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Dans l'invite de commandes, créez un compte d'utilisateur pour Amy Strande dans l'UO Employees.
•
•
Prénom : Amy
•
Nom : Strande
•
Nom d'entité de sécurité de l'utilisateur :
[email protected]
•
Nom d'ouverture de session de l'utilisateur (antérieur à Windows 2000) : Amy.Strande
•
Nom d'affichage : Strande, Amy
•
Description : Vice President, IT
Dans Utilisateurs et ordinateurs Active Directory, ouvrez les propriétés du compte d'administrateur que vous venez de créer et vérifiez que les attributs ont été correctement définis. Résultats : Dans cet exercice, vous créez les comptes d'utilisateur Chris Mayo et Amy Strand dans l'UO Employees.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 2 : Administrer les comptes d'utilisateur Dans cet exercice, vous allez exécuter des tâches courantes de gestion des comptes d'utilisateur pendant leur cycle de vie dans Active Directory. Les tâches principales de cet exercice sont les suivantes : 1.
Administrer un compte d'utilisateur.
2.
Administrer le cycle de vie d'un compte d'utilisateur.
Tâche 1 : Administrer un compte d'utilisateur. Le compte d'utilisateur d'Amy Strande est désactivé, car aucun mot de passe n'a été défini avec la commande DSAdd. 1.
Quel paramètre devez-vous utiliser avec la commande DSAdd pour définir un mot de passe ?
2.
Dans Utilisateurs et ordinateurs Active Directory, réinitialisez le mot de passe d'Amy Strande, Pa$$w0rd et indiquez-lui qu'elle doit changer le mot de passe lors de l'ouverture de session suivante.
3.
Dans Utilisateurs et ordinateurs Active Directory, activez le compte d'utilisateur d'Amy Strande.
4.
Quelle commande pouvez-vous utiliser dans l'invite de commandes pour réinitialiser le mot de passe, indiquer que le mot de passe doit être changé lors de l'ouverture de session suivante et activer le compte ? Écrivez la commande en incluant tous les paramètres. Résultats : À la fin de cet exercice, le compte d'Amy Strande est activé.
Tâche 2 : Administrer le cycle de vie d'un compte d'utilisateur. 1.
2.
La stratégie Contoso de gestion du cycle de vie des comptes d'utilisateur stipule que : •
Lorsqu'un utilisateur quitte l'entreprise ou qu'il est absent, le compte de l'utilisateur doit être désactivé immédiatement et transféré vers l'UO des comptes désactivés appelée Disabled Accounts.
•
Soixante jours après le départ d'un utilisateur, le compte doit être supprimé.
Chris Mayo a quitté Contoso, Ltd. Désactivez son compte et transférez-le vers l'UO Disabled Accounts.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-32
3-33
3.
Vous avez désactivé le compte de Chris Mayo il y a 60 jours et les procédures de la société stipulent qu'après 60 jours, un compte désactivé doit être supprimé. Supprimez le compte d'utilisateur de Chris Mayo.
4.
Fermez la session sur HQDC01. Résultats : À la fin de cet exercice, le compte de Chris Mayo est supprimé.
Remarque : n'arrêtez pas les ordinateurs virtuels lorsque vous avez terminé l'atelier, car vous allez utiliser les paramètres que vous avez définis ici dans l'atelier B.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 3 (facultatif avancé) : Analyse des attributs de nom d'un compte d'utilisateur Les exercices avancés facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplémentaires. Le corrigé de l'atelier pratique ne contient pas de réponses. Les tâches principales de cet exercice sont les suivantes : 1.
Créez un exemple de compte d’utilisateur. Dans la zone Nom complet, tapez le nom de l'utilisateur en utilisant le format LastName, FirstName.
2.
Observez l'affichage de l'utilisateur dans le volet des détails Utilisateurs et ordinateurs Active Directory. L'utilisateur doit apparaître sous la forme LastName, FirstName.
3.
Dans les propriétés de l'objet utilisateur, cliquez sur l'onglet Éditeur d'attributs et examinez la valeur réelle de l'attribut cn.
4.
Utilisez le composant logiciel enfichable Schéma Active Directory pour examiner l'attribut sAMAccountName. Quelle est la limite de longueur définie par le schéma ?
5.
Essayez de créer un nom d'utilisateur de 30 caractères dans la zone Nom d'ouverture de session de l'utilisateur (antérieur à Windows 2000). Essayez de déterminer la longueur maximale de l'attribut sAMAccountName. Active Directory limite l'attribut sAMAccountName des objets utilisateur à une longueur sensiblement plus courte que celle définie par le schéma.
Questions de contrôle des acquis Question : Dans cet atelier, quels sont les attributs qui peuvent être modifiés lorsque vous créez un compte d'utilisateur avec l'invite de commandes, mais qui ne peuvent pas l'être lorsque vous le créez avec Utilisateurs et ordinateurs Active Directory ? Question : Que se passe-t-il lorsque vous créez un compte d'utilisateur disposant d'un mot de passe qui ne répond pas aux conditions du domaine ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-34
3-35
Leçon 2
Définition des attributs des objets utilisateur
Points clés Un objet utilisateur dans Active Directory ne se limite pas à quelques propriétés associées à l'identité de sécurité d'un utilisateur ou d'un compte. Un objet utilisateur comprend des attributs qui décrivent le personne et sa relation à l'entreprise, ainsi que les informations de contact et la configuration de l'environnement de l'utilisateur sur son ordinateur. Dans cette leçon, vous allez explorer de nombreux attributs plus utiles des objets utilisateur et apprendre à les administrer pour un ou plusieurs utilisateurs.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
afficher et modifier les attributs masqués des objets utilisateur ;
•
identifier la fonction et les conditions des attributs d'un objet utilisateur ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
modifier simultanément les attributs de plusieurs utilisateurs ;
•
gérer les attributs d'utilisateur depuis l'invite de commandes ;
•
créer des utilisateurs à partir de modèles de comptes d'utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-36
Démonstration : Découverte des attributs utilisateur
Points clés Lorsque vous créez un utilisateur dans l'Assistant Nouvel objet – Utilisateur du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, l'Assistant demande de définir des propriétés courantes, notamment le nom d'ouverture de session, le mot de passe, le prénom et le nom. Toutefois, dans Active Directory, un objet utilisateur utilise des dizaines de propriétés supplémentaires que vous pouvez définir à tout moment avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
3-37
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Pour lire et modifier les attributs d'un objet utilisateur, cliquez avec le bouton droit de la souris sur l'utilisateur et cliquez sur Propriétés.
Les attributs d'un objet utilisateur sont classés dans plusieurs grandes catégories qui apparaissent dans les onglets de la boîte de dialogue. •
Attributs de compte : Onglet Compte. Ces propriétés comprennent les noms d'ouverture de session, les mots de passe et les indicateurs de compte. La plupart de ces attributs peuvent être définis lorsque vous créez un utilisateur avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. La section Propriétés d'un compte décrit en détail les attributs d'un compte.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-38
3-39
•
Informations personnelles : Onglets Général, Adresse, Téléphones et Organisation. L'onglet général contient les propriétés de nom que vous définissez lorsque vous créez un objet utilisateur, ainsi que la description de base et les informations de contact. Les onglets Adresse et Téléphones fournissent des informations de contact détaillées. L'onglet Téléphones est également l'emplacement dans lequel Microsoft a choisi de placer le champ Commentaires qui est associé à l'attribut info. Il s'agit d'un champ de texte général très utile qui n'est pas suffisamment exploité par les entreprises. L'onglet Organisation indique la fonction, le service, la société et les relations organisationnelles.
•
Gestion de la configuration de l'utilisateur : Onglet Profil. Dans cet onglet, vous définissez le chemin de profil, le script d'ouverture de session et le dossier de base de l'utilisateur.
•
Appartenance aux groupes : Onglet Membre de. Vous pouvez ajouter l'utilisateur à des groupes ou l'en retirer et modifier son groupe principal. L'appartenance à des groupes et le groupe principal seront étudiés dans un autre module.
•
Services Terminal Server : Onglets Profil de services Terminal Server, Environnement, Contrôle à distance et Sessions. Ces quatre onglets permettent de définir et de gérer l'environnement de l'utilisateur lorsqu'il est connecté à une session de services Terminal Server.
•
Accès à distance : Onglet Appel entrant. Vous pouvez activer et définir l'autorisation d'accès à distance d'un utilisateur dans cet onglet.
•
Applications : Onglet COM+. Cet onglet permet d'affecter l'utilisateur à un groupe de partitions Active Directory COM+. Cette fonction facilite la gestion des applications distribuées.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Affichage de tous les attributs
Points clés L'Éditeur d'attributs permet d'afficher et de modifier tous les attributs d'un objet utilisateur. L'onglet Éditeur d'attributs n'est pas visible tant que vous n'activez pas les fonctions avancées dans le menu Affichage de la console MMC. Cet éditeur contient tous les attributs système de l'objet sélectionné. Le bouton Filtre permet d'afficher des attributs supplémentaires, notamment les liens précédents et les attributs construits. Les liens précédents sont les attributs qui résultent de références à l'objet dans d'autres objets. La compréhension des liens précédents est plus aisée en utilisant un exemple : l'attribut memberOf. Lorsque vous ajoutez un utilisateur à un groupe, l'attribut member du groupe est modifié : le nom unique de l'utilisateur est ajouté à cet attribut multivaleur. Par conséquent, l'attribut member d'un groupe s'appelle un attribut de lien suivant. L'attribut memberOf d'un utilisateur est mis à jour automatiquement par Active Directory lorsque l'attribut member d'un groupe fait référence à l'utilisateur. Vous n'écrivez jamais directement dans l'attribut memberOf d'un utilisateur ; il est géré dynamiquement par Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-40
3-41
Un attribut construit est un attribut qui résulte d'un calcul effectué par Active Directory. L'attribut tokenGroups est un exemple d'attribut construit. Cet attribut correspond à la liste des identificateurs de sécurité (SID) de tous les groupes auxquels l'utilisateur appartient, y compris les groupes imbriqués. Pour déterminer la valeur de tokenGroups, Active Directory doit calculer l'appartenance effective de l'utilisateur, ce qui nécessite un temps de traitement. Par conséquent, l'attribut n'est pas stocké dans l'objet utilisateur ni géré dynamiquement. Il est calculé lorsque cela est nécessaire. Compte tenu du temps de traitement nécessaire à la génération des attributs construits, l'Éditeur d'attributs ne les affiche pas par défaut. Vous ne pouvez pas non plus les utiliser dans les requêtes LDAP (Lightweight Directory Access Protocol). Question : Utilisez-vous des attributs masqués dans votre entreprise ? Si tel est le cas, interagissez-vous avec ces attributs (les lisez-vous et les modifiez-vous) ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Modification des attributs de plusieurs utilisateurs
Points clés Le composant logiciel Utilisateurs et ordinateurs Active Directory permet de modifier simultanément les propriétés de plusieurs objets utilisateur. Pour modifier les attributs de plusieurs utilisateurs dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1.
Sélectionnez plusieurs objets utilisateur en maintenant la touche CTRL enfoncée et en cliquant sur chaque utilisateur ou en utilisant une autre technique de sélection multiple. Veillez à sélectionner uniquement les objets d'une seule classe, telle que Utilisateurs.
2.
Les objets étant sélectionnés, cliquez dessus avec le bouton droit de la souris et cliquez sur Propriétés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-42
3-43
Lorsque vous sélectionnez plusieurs objets utilisateur, vous pouvez modifier un sous-ensemble de propriétés. •
Général : Description, Bureau, Numéro de téléphone, Télécopie, Page Web, Messagerie
•
Compte : Suffixe UPN, Heures d'accès, Restrictions d'ordinateurs (postes de travail d'ouverture de session), Toutes les options du compte, Le compte expire
•
Adresse : Rue, Boîte postale, Ville, Département, Code postal, Pays/Région
•
Profil : Chemin de profil, Script d'ouverture de session, Dossier de base
•
Organisation : Titre, Service, Société, Gestionnaire
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Gestion des attributs d'utilisateur avec DSMod et DSGet
Points clés Les commandes DSMod et DSGet sont deux outils de ligne de commande Active Directory, appelés également commandes DS. DSMod DSMod modifie les attributs d'un ou de plusieurs objets existants. La syntaxe de base est la suivante : dsmod user UserDN… [-parameter value…]
Le paramètre UserDN indique le nom unique de l'utilisateur à modifier. Les autres paramètres indiquent l'attribut à changer et la nouvelle valeur. Par exemple, la commande suivante remplace l'attribut office par Tony Krijnen : dsmod user "cn=Tony Krijnen,ou=Employees,OU=User Accounts,dc=contoso,dc=com" –office "Stockholm"
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-44
3-45
Les paramètres d'attributs ne sont pas associés directement aux noms des attributs LDAP d'un objet utilisateur. Par exemple, le paramètre -dept de la commande DSMod User modifie l'attribut department d'un objet utilisateur. En outre, la commande DSMod User peut modifier uniquement un sous-ensemble d'attributs d'utilisateur. Tapez dsmod user /? pour afficher les informations d'utilisation et la liste des paramètres pris en charge. Envoi de plusieurs DN dans DSMod Il n'est pas nécessaire d'entrer le paramètre UserDN de la commande DSMod directement dans l'invite de commandes. Vous pouvez envoyer les DN vers la commande de deux manières. La première méthode consiste à entrer les DN dans la console. Supposez que vous deviez changer l'attribut office de deux utilisateurs, Linda Mitchell et Scott Mitchell, pour indiquer qu'ils travaillent dans le bureau de Sydney. À l'invite de commandes, tapez ce qui suit : dsmod user –office "Sydney"
Le paramètre UserDN manque. La console (l'invite de commandes) attend que vous entriez les DN des utilisateurs. Entrez un DN par ligne entre guillemets et appuyez sur ENTRÉE après chaque DN. Après avoir entré le dernier DN et appuyé sur ENTRÉE, appuyez sur CTRL+Z au début de la ligne suivante et sur ENTRÉE pour indiquer que vous avez terminé. La commande s'exécute sur chaque DN que vous avez entré. Une méthode plus complexe pour envoyer les DN à la commande DSMod consiste à envoyer le résultat d'une commande DSQuery. DSQuery recherche dans Active Directory les critères définis et renvoie les DN des objets correspondants. Par exemple, pour remplacer l'attribut office des comptes de Linda et Scott Mitchell par Sydney, utilisez la commande suivante : dsquery user –name "* Mitchell" | dsmod user –office "Sydney"
La commande DSQuery User recherche dans Active Directory les utilisateurs dont le nom se termine par Mitchell. Les DN des objets résultant sont envoyés à DSMod User qui remplace l'attribut office par Sydney. Voici un autre exemple. Supposez que vous vouliez affecter à tous les utilisateurs un dossier de base sur SERVER01. La commande suivante change les attributs homeDirectory et homeDrive des objets utilisateur dans l'UO User Accounts : dsquery user "ou= User Accounts,dc=contoso,dc=com" | dsmod user -hmdir "\\server01\users\$username$\documents" –hmdrv "U:"
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Le jeton spécial $username$ peut être utilisé pour représenter le sAMAccountName des objets utilisateur lorsque vous utilisez des commandes DS pour définir la valeur des paramètres email, -hmdir, -profile et -webpg. DSGet La commande DSGet obtient les attributs sélectionnés d'un ou de plusieurs objets. Sa syntaxe est similaire à celle de DSMod : dsget user UserDN... [-parameter…]
Vous pouvez fournir les DN d'un ou de plusieurs objets en les spécifiant dans la commande, séparés par un espace, en les entrant dans la console ou en envoyant les résultats d'une commande DSQuery User par pipe. Contrairement à la commande DSMod, DSGet utilise uniquement un paramètre et non pas une valeur associée. Par exemple, DSGet utilise le paramètre -samid comme la commande DSMod, mais pas une valeur. En fait, il signale la valeur actuelle de l'attribut. Par exemple, pour afficher le nom d'ouverture de session antérieur à Windows 2000 de Jeff Ford dans l'UO Employees, utilisez la commande suivante : dsget user "cn=Jeff Ford,ou= Employees,ou=User Accounts,dc=contoso,dc=com" –samid
Pour afficher les adresses électroniques de tous les utilisateurs dont l'attribut de description indique qu'ils se trouvent à Sydney, utilisez la commande suivante : dsquery user –desc "*Sydney*" | dsget user –email
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-46
3-47
Démonstration : Création d'utilisateurs avec des modèles
Points clés En règle générale, les utilisateurs d'un domaine ont de nombreuses propriétés similaires. Par exemple, tous les représentants peuvent appartenir aux mêmes groupe de sécurité, ouvrir des sessions sur le réseau aux mêmes heures et avoir des dossiers de base et des profils d'itinérance stockés sur le même serveur. Lorsque vous créez un utilisateur, il suffit de copier un compte d'utilisateur existant au lieu de créer un compte vierge et de définir chaque propriété. Depuis Windows NT 4.0, Windows repose sur le concept de modèles de comptes d'utilisateur. Un modèle de compte d'utilisateur est un compte d'utilisateur générique prérempli avec des propriétés communes. Par exemple, vous pouvez créer un modèle de compte pour les représentants, qui est prédéfini avec des membres de groupe, des heures d'ouverture de session, un dossier de base et un chemin de profil d'itinérance.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Pour créer un modèle de compte d'utilisateur : 1.
Créez un compte d'utilisateur et préremplissez-le avec les attributs appropriés.
Conseil : utilisez une convention d'affectation de nom standard qui facilite la recherche des modèles. Par exemple, définissez le nom complet en le faisant précéder du caractère de soulignement (_), comme dans _Sales User. En procédant ainsi, tous les modèles apparaîtront au début de la liste des utilisateurs dans une UO.
2.
Désactivez le modèle de compte d'utilisateur. Le modèle de compte lui-même ne doit pas être utilisé pour ouvrir une session sur le réseau. Par conséquent, veillez à le désactiver.
Pour créer un utilisateur à partir du modèle : 1.
Cliquez avec le bouton droit de la souris sur le modèle et cliquez sur Copier. L'Assistant Copier l'objet – Utilisateur s'affiche.
2.
Dans Prénom, tapez le prénom de l'utilisateur.
3.
Dans Nom, tapez le nom de l'utilisateur.
4.
Modifiez le nom complet, si nécessaire.
5.
Dans Nom d'ouverture de session de l'utilisateur, tapez le nom correspondant, puis sélectionnez le suffixe du nom d'entité de sécurité approprié (UPN) dans la liste déroulante.
6.
Dans Nom d'ouverture de session de l'utilisateur (antérieur à Windows 2000), tapez le nom correspondant de l'utilisateur.
7.
Cliquez sur Suivant.
8.
Dans Mot de passe et Confirmer le mot de passe, tapez le mot de passe de l'utilisateur.
9.
Sélectionnez les options de mot de passe appropriées.
10. Si le compte d'utilisateur à partir duquel le nouveau compte d'utilisateur a été copié était désactivé, désactivez Le compte est désactivé pour activer le nouveau compte.
Lectures complémentaires •
Copie d'un compte d'utilisateur : http://go.microsoft.com/fwlink/?LinkId=168751
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-48
3-49
Création d'utilisateurs avec des modèles
Points clés Il est important de savoir que les attributs ne sont pas tous copiés. La liste cidessous répertoire les attributs qui sont copiés. Il n'est pas nécessaire de définir les autres attributs du modèle, car ils ne sont pas copiés. •
Onglet Général : aucune propriété de cet onglet n'est copiée.
•
Onglet adresse : seuls la boîte postale, la ville, le département ou le code postal et le pays sont copiés. Notez que la rue n'est pas copiée.
•
Onglet Compte : les heures d'ouverture de session, les postes de travail d'ouverture de session, les options de compte et l'expiration du compte sont copiés.
•
Onglet Profil : le chemin de profil, le script d'ouverture de session, le lecteur de base et le chemin du dossier de base sont copiés.
•
Onglet Organisation : le service, la société et le gestionnaire sont copiés.
•
Onglet Membre de : les membres des groupes et le groupe principal sont copiés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Remarque : d'autres attributs sont copiés qui ne sont pas visibles dans la boîte de dialogue des propriétés de l'utilisateur. Ces attributs incluent assistant, division et employee type.
Question : Quelles autres méthodes utilisez-vous pour créer des comptes d'utilisateur ayant des attributs communs ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-50
3-51
Atelier pratique B : Définition des attributs des objets utilisateur
Scénario Vous êtes l'administrateur de Contoso, Ltd., une université en ligne pour la formation des adultes. Des changements dans le service commercial impliquent de modifier les attributs des utilisateurs du service. En outre, vous décidez de faciliter la création des comptes des commerciaux en préparant un modèle de compte d'utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Définition des attributs des objets utilisateur Dans cet exercice, vous allez examiner les attributs d'un objet utilisateur. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Explorer les propriétés d'un objet utilisateur Active Directory.
3.
Explorer tous les attributs d'un objet utilisateur Active Directory.
4.
Analyser les attributs d'affectation de nom et d'affichage d'un objet utilisateur.
Tâche 1 : Préparation de l'atelier pratique L'ordinateur virtuel doit être déjà démarré et disponible après avoir terminé l'atelier A. S'il ne l'est pas, vous devez le démarrer et effectuer les exercices de l'atelier A avant de continuer. •
Démarrez 6238B-HQDC01-A.
•
Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
•
Exécutez D:\Labfiles\Lab03b\Lab03a_Setup.bat avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tâche 2 : Explorer les propriétés d'un objet utilisateur Active Directory •
Exécutez Utilisateurs et ordinateurs Active Directory avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd
•
Ouvrez les propriétés de Tony Krijnen dans l'UO Employees.
•
Dans cet exemple de domaine contoso.com, des attributs ont été définis dans les onglets Général, Adresse, Compte et Organisation. Examinez chaque onglet, puis fermez la boîte de dialogue Propriétés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-52
3-53
Tâche 3 : Explorer tous les attributs d'un objet utilisateur Active Directory •
Activez la vue Fonctionnalités avancées du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
•
Examinez l'onglet Éditeur d'attributs de la boîte de dialogue Propriétés de Tony Krijnen.
Tâche 4 : Analyser les attributs d'affectation de nom et d'affichage de l'objet utilisateur •
Pour chacun des attributs suivants dans la boîte de dialogue des propriétés de Tony Krijnen, identifiez le nom d'attribut correspondant dans l'onglet Éditeur d'attributs : Onglet de la boîte de dialogue Propriétés
Nom de propriété
Général
Prénom
Général
Nom
Général
Nom d'affichage
Général
Description
Général
Bureau
Général
Numéro de téléphone
Général
Courrier électronique
Adresse
Rue
Adresse
Ville
Adresse
Code postal
Adresse
Pays
Organisation
Fonction
Organisation
Service
Organisation
Société
Nom d'attribut figurant dans l'onglet Éditeur d'attributs
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Question : 1.
2.
Utilisez l'onglet Éditeur d'attributs pour répondre aux questions suivantes : •
L'attribut employeeID dans l'onglet Éditeur d'attributs figure-t-il dans un onglet standard dans la boîte de dialogue Propriétés ? Si oui, lequel ? Et à propos de carLicense ?
•
Dans l'onglet Éditeur d'attributs, quel est le nom unique (DN) de l'objet Tony Krijnen ?
•
Dans l'onglet Éditeur d'attributs, quel est le nom d'entité de sécurité (UPN) de l'utilisateur Tony ? Dans quel autre onglet l'attribut apparaît-il et comment s'appelle-t-il et est-il affiché ?
Questions complexes : Essayez de répondre aux questions suivantes. Il se peut que vous ne trouviez pas la réponse. Ce n'est pas grave. Après avoir tenté de répondre à une question, vous pouvez vous reporter au corrigé de l'atelier pratique. •
Pourquoi l'attribut sn peut-il s'appeler sn ?
•
Quel est la fonction de l'attribut c ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-54
3-55
Exercice 2 : Gérer les attributs des objets utilisateur Dans cet exercice, vous allez gérer les attributs des objets utilisateur. Les tâches principales de cet exercice sont les suivantes : 1.
Modifier simultanément les attributs de plusieurs utilisateurs.
2.
Gérer les attributs d'utilisateur depuis l'invite de commandes.
Tâche 1 : Modifier simultanément les attributs de plusieurs utilisateurs Une équipe Marketing spéciale a été créée par Ariane Berthier, le vice président Marketing. Les membres de l'équipe sont transférés au siège social et seront directement sous les ordres d'Ariane. •
Sélectionnez les utilisateurs suivants dans l'UO Employees : Adam Barr, Adrian Lannin, Ajay Manchepalli, Ajay Solanki, Allan Guinot, Anav Silverman et András Tóth.
•
Définissez les propriétés suivantes des utilisateurs : •
Bureau : Headquarters.
•
Description : Marketing Task Force.
•
Gestionnaire : Ariane Berthier.
•
Après avoir modifié les attributs, ouvrez les propriétés d'Adam Barr et examinez les attributs que vous venez de modifier.
•
L'attribut Gestionnaire est un attribut lié. L'autre extrémité du lien est l'attribut Collaborateurs directs. Ouvrez les propriétés d'Ariane Berthier et examinez Collaborateurs directs.
Tâche 2 : Gérer les attributs utilisateur depuis l'invite de commandes •
Ouvrez l'invite de commandes avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin avec le mot de passe Pa$$w0rd.
•
Utilisez les commandes DS pour afficher la liste des adresses électroniques de tous les utilisateurs de l'équipe Marketing Task Force.
Conseil : Les utilisateurs de l'équipe Marketing Task Force ont la même propriété Description.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
Utilisez les commandes DS pour définir le dossier de base de tous les utilisateurs de l'équipe Marketing Task Force pour qu'ils aient chacun le lecteur U associé à \\FILE01\TaskForceUsers\username, où username est le nom d'ouverture de session unique de l'utilisateur.
•
Dans Utilisateurs et ordinateurs Active Directory, vérifiez que les modifications que vous avez apportées ont été appliquées correctement en examinant les propriétés de Adam Barr.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-56
3-57
Exercice 3 : Création d'utilisateurs à partir d'un modèle Dans cet exercice, vous allez créer un modèle de compte d'utilisateur et générer un nouveau compte d'utilisateur à partir du modèle. Les tâches principales de cet exercice sont les suivantes : 1.
Créer un modèle de compte d'utilisateur pour Sales.
2.
Créer un compte d’utilisateur à partir d'un modèle.
Tâche 1 : Création d'un modèle de compte d'utilisateur pour le département Sales •
Dans l'UO Employees, créez un modèle de compte pour les nouveaux commerciaux avec les propriétés suivantes : •
Prénom et Nom : vides.
•
Nom complet : _Sales User (notez le caractère de soulignement au début du nom).
•
Nom d’ouverture de session de l’utilisateur : Template.Sales.
•
Mot de passe : Pa$$w0rd.
•
L’utilisateur doit changer le mot de passe à la prochaine ouverture de session.
•
Le compte est désactivé.
•
Membre de : Sales.
•
Service : Sales.
•
Société : Contoso, Ltd.
•
Gestionnaire : Anibal Sousa.
•
Le compte expire : dernier jour de l'année actuelle.
Tâche 2 : Création d'un compte d'utilisateur à partir d'un modèle •
Dans l'UO Employees, créez un compte pour un nouveau commercial à partir du modèle _Sales User. Le compte doit avoir les propriétés suivantes : •
Prénom : Rob.
•
Nom : Young.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
Nom d’ouverture de session de l’utilisateur : Rob.Young.
•
Mot de passe : Pa$$w0rd.
•
Le compte est désactivé.
Résultats : À la fin de cet exercice, vous disposez du compte d'utilisateur Rob Young dans l'UO Employees. Le compte a tous les attributs définis pour le modèle _Sales User.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-58
3-59
Exercice 4 (facultatif avancé) : Créer des utilisateurs dans un fichier de commandes Les exercices avancés facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplémentaires. Le corrigé de l'atelier pratique ne contient pas de réponses. Les tâches principales de cet exercice sont les suivantes : 1.
Créez le script User_Provision.bat qui utilise DSAdd pour placer un utilisateur dans l'UO Employees. Le but est de pouvoir exécuter le script avec deux paramètres : prénom et nom. Le fichier de commandes doit utiliser ces deux paramètres et créer un compte d'utilisateur ayant les attributs suivants : •
le prénom et le nom définis dans les paramètres dans la ligne de commande ;
•
le nom dans le format FirstName LastName ;
•
le sAMAccountName dans le format FirstName.LastName ;
•
le userPrincipalName dans le format
[email protected] ;
•
l'adresse électronique dans le même format que l'UPN ;
•
le displayName dans le format LastName, FirstName ;
•
le mot de passe initial Pa$$w0rd que l'utilisateur doit changer lors de la première ouverture de session.
Conseil : lorsque vous exécutez un script de commandes avec des paramètres, le script peut faire référence au premier paramètre sous la forme %1 et le second, sous la forme %2.
2.
Exécutez l'invite de commandes avec les informations d'identification d'administrateur et testez le script pour créer un exemple de compte d'utilisateur. Vérifiez que l'utilisateur a été créé et que tous les attributs sont remplis conformément aux instructions ci-dessus.
3.
Comparez les résultats à D:\Labfiles\Lab03b\User_Provision.bat.
Remarque : n'arrêtez pas l'ordinateur virtuel lorsque vous avez terminé l'atelier, car vous allez utiliser les paramètres que vous avez définis ici dans l'atelier C.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Questions de contrôle des acquis Question : Quelles options avez-vous apprises pour modifier les attributs des utilisateurs nouveaux et existants ? Question : Quels sont les avantages et les inconvénients de chaque option ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-60
3-61
Leçon 3
Automatisation de la création des comptes d'utilisateur
Bien que les procédures étudiées dans les leçons 1 et 2 puissent être appliquées pour créer un petit nombre d'utilisateurs, vous avez besoin de techniques plus avancées pour automatiser la création des comptes d'utilisateur lorsqu'il est nécessaire d'ajouter de nombreux utilisateurs au domaine. Dans cette leçon, vous allez apprendre ces techniques. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
Exporter les attributs d'un utilisateur avec CSVDE
•
Importer des utilisateurs avec CSVDE
•
Importer des utilisateurs avec LDIFDE
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exporter des utilisateurs avec CSVDE
Points clés CSVDE est un outil de ligne de commande qui exporte ou importe les objets Active Directory vers et depuis un fichier texte délimité par des virgules (appelé également fichier texte de valeur séparées par des virgules ou .csv). Les fichiers délimités par des virgules peuvent être créés, modifiés et ouverts avec des outils courants, tels que le Bloc-notes et Microsoft Office Excel®. La syntaxe de base de la commande CSVDE pour l'exportation est : csvde -f filename
Toutefois, cette commande exporte tous les objets dans le domaine Active Directory. Vous devez limiter l'étendue de l'exportation avec les quatre paramètres suivants : •
-d RootDN. Définit le nom unique du conteneur de la source d'exportation. La valeur par défaut est le domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-62
3-63
•
-p SearchScope. Définit l'étendue de la recherche par rapport au conteneur défini par -d. SearchScope peut être base (l'objet uniquement), onelevel (les objets dans le conteneur) ou subtree (le conteneur et tous ses sousconteneurs). La valeur par défaut est subtree.
•
-r Filter. Filtre les objets retournés dans l'étendue définie par -d et -p. Le filtre est une commande de requête LDAP (Lightweight Directory Access Protocol). Vous utiliserez un filtre dans l'atelier de cette leçon. La commande de requête LDAP n'entre pas dans le cadre de ce cours. Voir http://go.microsoft.com/fwlink/?LinkId=168752 pour plus d'informations.
•
-l ListOfAttributes. Définit les attributs à exporter. Utilisez le nom LDAP de chaque attribut séparé par une virgule, comme dans -l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
La sortie d'une exportation CSVDE correspond à la liste de tous les noms d'attribut LDAP sur la première ligne. Les objets suivent sur une ligne distincte et doivent contenir exactement les attributs figurant sur la première ligne. Voici un exemple de fichier : DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName "CN=David Jones,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@c ontoso.com "CN=Lisa Andrews,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrew
[email protected]
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Importer des utilisateurs avec CSVDE
Points clés CSVDE peut également créer des comptes d'utilisateur en important un fichier .csv. Si vous disposez d'informations d'utilisateurs dans une base de données Excel ou Microsoft Office Access®, vous constaterez que CSVDE est un outil puissant qui permet d'exploiter ces informations pour automatiser la création des comptes d'utilisateur. La syntaxe de base de la commande CSVDE pour l'importation est : csvde -i -f filename -k
Le paramètre -i définit le mode d'importation ; sans ce paramètre le mode par défaut de la commande CSVDE est l'exportation. Le paramètre -f définit le nom de fichier source de l'importation ou cible de l'exportation. Le paramètre -k est utile au cours de l'importation, car il indique à CSVDE d'ignorer les erreurs, y compris le message indiquant que l'objet existe déjà.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-64
3-65
Le fichier d'importation est un fichier texte délimité par des virgules (.csv ou .txt) dans lequel la première ligne définit les attributs d'importation en fonction de leurs nom d'attribut LDAP. Les objets suivent sur une ligne distincte et doivent contenir exactement les attributs figurant sur la première ligne. Voici un exemple de fichier : DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName "CN=David Jones,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@c ontoso.com "CN=Lisa Andrews,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrew
[email protected]
Lors de l'importation par la commande CSVDE, ce fichier crée un objet utilisateur pour Lisa Andrews dans l'UO Employees. Les noms d'ouverture session, le nom et le prénom des utilisateurs sont définis par le fichier. Vous ne pouvez pas utiliser la commande CSVDE pour importer les mots de passe et sans mot de passe un compte d'utilisateur est initialement désactivé. Après avoir réinitialisé le mot de passe, vous pouvez activer l'objet. Pour plus d'informations sur CSVDE et les détails relatifs à ses paramètres et l'utilisation des objets annuaire, tapez csvde /? ou consultez le centre du support technique Windows Server 2008.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Importer des utilisateurs avec LDIFDE
Points clés Vous pouvez également utiliser LDIFDE.exe pour importer ou exporter des objets Active Directory, notamment des utilisateurs. LDIF est une norme provisoire Internet de format de fichier qui peut être utilisée pour exécuter des actions par lot sur des annuaires conformes aux normes LDAP. LDIF prend en charge l'importation et l'exportation et les opérations par lot qui modifient les objets dans l'annuaire. La commande LDIFDE implémente ces opérations par lot en utilisant des fichiers LDIF.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-66
3-67
Le format de fichier LDIF est constitué d'un bloc de lignes qui forme une seule opération. Dans un même fichier, plusieurs opérations sont séparées par une ligne blanche. Chaque ligne comprenant une opération est constituée d'un nom d'attribut suivi de deux points et de la valeur de l'attribut. Supposons que vous vouliez importer les objets utilisateur des deux représentants Bonnie Kearney et Bobby Moore. Le contenu du fichier LDIF se présente comme suit : dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=contoso,DC=com Changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: Bonnie Kearney sn: Kearney title: Operations description: Operations (London) givenName: Bonnie displayName: Kearney, Bonnie company: Contoso, Ltd. sAMAccountName: bonnie.kearney userPrincipalName:
[email protected] mail:
[email protected] dn: CN=Bobby Moore,OU=Employees,OU=User Accounts,DC=contoso,DC=com changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: Bobby Moore sn: Moore title: Legal description: Legal (New York) givenName: Bobby displayName: Moore, Bobby company: Contoso, Ltd. sAMAccountName: bobby.moore userPrincipalName:
[email protected] mail:
[email protected]
Chaque opération commence par l'attribut DN de l'objet qui est la cible de l'opération. La ligne suivante, changeType, définit le type de l'opération : add (ajouter), modify (modifier) ou delete (supprimer).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Comme vous pouvez le constater, le format de fichier LDIF n'est pas un format texte délimité par des virgules intuitif ou familier. Toutefois, étant donné que le format LDIF est également un format standard, la majorité des services et des bases de données d'annuaire peuvent exporter des fichier LDIF. Après avoir créé ou obtenu un fichier LDIF, vous pouvez exécuter les opérations définies par le fichier en utilisant la commande LDIFDE. Depuis une invite de commandes, tapez ldifde /? pour afficher les informations d'utilisation. Les deux options les plus importantes de la commande sont : •
-i. Active le mode d'importation. Sans ce paramètre la commande LDIFDE exporte les informations.
•
-f filename. Fichier source de l'importation ou de destination de l'exportation.
Par exemple, la commande suivante importe les objets du fichier Newusers.ldf : ldifde –i –f newusers.ldf
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-68
3-69
La commande accepte diverses modifications en utilisant des paramètres. Les paramètres les plus utiles sont répertoriés ci-dessous : Commande
Utilisation
Paramètres généraux -i
Mode d'importation (le mode par défaut est l'exportation)
-f filename
Nom du fichier d'importation ou d'exportation
-s servername
Contrôleur de domaine auquel se connecter pour la requête
-c FromDN ToDN
Conversion des occurrences de FromDN en ToDN. Utile pour importer des objets d'un autre domaine, par exemple.
-v
Active le mode commenté
-j path
Emplacement du fichier journal
-?
Aide
Paramètres d'exportation -d RootDN
Racine de la recherche LDAP. La valeur par défaut est la racine du domaine.
-r Filter
Filtre de recherche LDAP. La valeur par défaut est (objectClass=*), à savoir tous les objets.
-p SearchScope
Étendue de la recherche. Peut être subtree (le conteneur et tous les sous-conteneurs), base (les objets enfant immédiats du conteneur uniquement) ou onelevel (le conteneur et ses conteneurs enfant immédiats).
-l list
Liste d'attributs séparés par des virgules à inclure dans l'exportation des objets résultants. Utile pour exporter un nombre limité d'attributs.
-o list
Liste d'attributs (séparés par des virgules) à omettre dans l'exportation pour les objets résultants. Utile pour exporter quelques attributs.
Paramètres d'importation -k
Ignore les erreurs et continue le traitement si des erreurs de violation de contraintes ou d'existence d'objet se produisent.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique C : Automatisation de la création des comptes d'utilisateur
Scénario Vous êtes l'administrateur de Contoso, Ltd., une université en ligne pour la formation des adultes. Vous embauchez plusieurs employés. Le service des Ressources Humaines vous a fourni des informations de sa base de données dans un fichier de format texte délimité par des virgules et dans le format LDIF. Vous voulez importer ces fichiers de données pour créer des comptes d'utilisateur pour les nouveaux employés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-70
3-71
Exercice 1 : Exportation et importation d'utilisateurs avec CSVDE Dans cet exercice, vous allez utiliser la commande CSVDE pour exporter les attributs d'utilisateur et créer des comptes d'utilisateur depuis un fichier texte délimité par des virgules. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Exporter des utilisateurs avec CSVDE.
3.
Importer des utilisateurs avec CSVDE.
Tâche 1 : Préparation de l'atelier pratique L'ordinateur virtuel doit être déjà démarré et disponible à la fin des ateliers A et B. S'il ne l'est pas, vous devez le démarrer et effectuer les exercices des ateliers A et B avant de continuer. •
Démarrez 6238B-HQDC01-A.
•
Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
•
Exécutez D:\Labfiles\Lab03b\Lab03a_Setup.bat avec les informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tâche 2 : Exportation d'utilisateurs avec CSVDE •
Ouvrez l'invite de commandes avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin avec le mot de passe Pa$$w0rd.
•
Tapez la commande suivante : csvde -f D:\Labfiles\Lab03c\UsersNamedApril.csv -r "(name=April*)" -l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
et appuyez sur ENTRÉE. •
Ouvrez D:\Labfiles\Lab03c\UsersNamedApril.csv dans Bloc-notes.
•
Examinez le fichier et fermez-le.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Importation d'utilisateurs avec CSVDE •
Ouvrez D:\Labfiles\Lab03c\NewUsers.csv dans Bloc-notes. Examinez les informations sur les utilisateurs répertoriés dans le fichier.
•
Tapez la commande suivante : csvde -i -f D:\Labfiles\Lab03c\NewUsers.csv -k
et appuyez sur ENTRÉE. Les deux utilisateurs sont importés. •
Exécutez Utilisateurs et ordinateurs Active Directory avec les informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd Vérifiez que les utilisateurs ont été créés. •
Si vous avez ouvert le composant logiciel enfichable Utilisateur et ordinateurs Active Directory au cours de l'exercice, il se peut que vous deviez actualiser la vue pour afficher les nouveaux comptes.
•
Examinez les comptes et vérifiez que le prénom, le nom, l'unité de sécurité utilisateur et le nom d'ouverture de session antérieure à Windows 2000 sont remplis conformément au instructions dans NewUsers.txt.
•
Réinitialisez le mot de passe des deux comptes pour utiliser Pa$$w0rd.
•
Activez les deux comptes.
•
Fermez le fichier NewUsers.csv.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-72
3-73
Exercice 2 : Importation d'utilisateurs avec LDIFDE À l'instar de CSVDE, vous pouvez utiliser LDIFDE pour importer des utilisateurs. Toutefois, le format de fichier LDIF n'est pas un fichier texte délimité standard. Dans cet exercice, vous allez utiliser LDIFDE pour importer deux utilisateurs. Les tâches principales de cet exercice sont les suivantes : •
Importer des utilisateurs avec LDIFDE.
Tâche 1 : Importer des utilisateurs avec LDIFDE •
Ouvrez D:\Labfiles\Lab03c\NewUsers.ldf dans le Bloc-notes. Examinez les informations sur les utilisateurs répertoriés dans le fichier.
•
Tapez la commande suivante : ldifde -i -f D:\Labfiles\Lab03c\NewUsers.ldf -k
et appuyez sur ENTRÉE. Les deux utilisateurs sont importés. •
Dans Utilisateurs et ordinateurs Active Directory, vérifiez que les utilisateurs ont été créés. •
Si vous avez ouvert le composant logiciel enfichable Utilisateur et ordinateurs Active Directory au cours de l'exercice, il se peut que vous deviez actualiser la vue pour afficher les nouveaux comptes.
•
Examinez les comptes pour vérifier que les propriétés des utilisateurs sont remplies conformément aux instructions dans NewUsers.ldf.
•
Réinitialisez le mot de passe des deux comptes pour utiliser Pa$$w0rd.
•
Activez les deux comptes.
•
Fermez le fichier NewUsers.ldf.
•
Fermez la session HQDC01. Résultats : Dans cet exercice, vous avez importé les comptes de Lisa Andres, David Jones, Bobby Moore et Bonnie Kearney.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des utilisateurs
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
Question de contrôle des acquis Question : Dans quelles situations importez-vous des utilisateurs avec CSVDE et LDIFDE ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-74
4-1
Module 4 Gestion des groupes Table des matières : Leçon 1 : Gestion d'une entreprise avec des groupes
4-4
Leçon 2 : Administration des groupes
4-45
Atelier pratique A : Administration des groupes
4-66
Leçon 3 : Meilleures pratiques de gestion des groupes
4-74
Atelier pratique B : Meilleures pratiques de gestion des groupes
4-89
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vue d'ensemble du module
Si les utilisateurs et les ordinateurs et même les services évoluent dans le temps, les rôles et les règles de l'entreprise, quant à eux, tendent à rester stables. Il est fort probable que votre société compte un rôle financier qui nécessite certaines fonctions. L'utilisateur ou les utilisateurs qui exécutent ce rôle changent, mais pas le rôle. C'est la raison pour laquelle, la gestion d'une entreprise en affectant des droits et des autorisations à une identité d'utilisateur, d'ordinateur ou de service n'est pas pratique. Les tâches de gestion doivent être associées à des groupes. Dans ce cours, vous allez utiliser des groupes pour identifier les rôles d'administration et d'utilisateur, pour filtrer la stratégie de groupe et affecter des stratégies de mot de passe uniques, ainsi que des droits et des autorisations, entre autres. Pour préparer ces tâches, vous allez apprendre dans ce module à créer, modifier, supprimer et gérer des objets groupe dans un domaine Active Directory®.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-2
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
expliquer le rôle des groupes dans la gestion d'une entreprise ;
•
créer des groupes délégués sécurisés correctement documentés ;
•
expliquer les types de groupes, l'étendue et l'imbrication ;
•
comprendre la meilleure pratique d'imbrication de groupe pour gérer en fonction de rôles ;
•
créer, supprimer et gérer des groupes avec CSVDE et LDIFDE ;
•
énumérer et copier les membres des groupes ;
•
expliquer les groupes par défaut (intégrés) ;
•
expliquer les identités spéciales.
4-3
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 1
Gestion d'une entreprise avec des groupes
Vous connaissez certainement la fonction des groupes : ils rassemblent des éléments et les gèrent sous forme d'entité unique. L'implémentation de la gestion des groupes dans Active Directory n'est pas intuitive ; Active Directory prend en charge les grands environnements distribués et inclut donc différents types de groupes : deux types de groupes de domaines avec trois étendues chacun et des groupes de sécurité locaux. Dans cette leçon, vous allez apprendre la fonction de chacun de ces groupes et à aligner les besoins de votre entreprise sur les options potentiellement complexes que fournit Active Directory.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
expliquer le rôle des groupes dans la gestion d'une entreprise ;
•
définir des conventions d'affectation de noms de groupe ;
•
expliquer les types de groupes ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-4
4-5
•
expliquer l'étendue d'un groupe ;
•
identifier les membres groupes et les possibilités d'imbrication ;
•
expliquer la meilleure pratique d'imbrication de groupe pour gérer en fonction de rôles.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Démonstration : Création d'un objet groupe
Points clés Les groupes sont une classe d'objets importante, car ils permettent de collecter les utilisateurs, les ordinateurs et d'autres groupes pour créer un "point de gestion unique". L'utilisation la plus simple et la plus courante d'un groupe est l'octroi d'autorisations sur un dossier partagé. Si vous affectez à un groupe un accès en lecture sur un dossier, par exemple, les membres du groupe peuvent lire le dossier. Vous n'avez pas à affecter l'accès en lecture directement à chacun des membres ; vous pouvez gérer l'accès au dossier en ajoutant et supprimant simplement des membres dans le groupe. Pour créer un groupe : 1.
Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2.
Dans l'arborescence de la console, développez le noeud de votre domaine (contoso.com, par exemple) et accédez à l'unité d'organisation (UO) ou au conteneur (Users, par exemple) dans lequel vous voulez créer le groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-6
3.
4-7
Cliquez avec le bouton droit de la souris sur l’unité d’organisation ou le conteneur, pointez sur Nouveau, puis cliquez sur Groupe. La boîte de dialogue Nouvel objet - Groupe s'affiche.
4.
Tapez le nom du nouveau groupe dans la zone Nom du groupe. La plupart des entreprise appliquent des conventions d'affectation de nom qui définissent la manière dont les noms de groupe doivent être créés. Veillez à appliquer les directives de votre entreprise. Par défaut, le nom que vous tapez apparaît également comme nom de groupe (antérieur à Windows® 2000). Il est vivement recommandé de conserver les deux mêmes noms.
5.
Ne changez pas le nom dans la zone Nom du groupe (antérieure à Windows 2000).
6.
Choisissez Type de groupe. •
Un groupe de sécurité est un groupe auquel vous pouvez affecter des autorisations sur des ressources. Vous pouvez également le configurer sous la forme d'une liste de distribution de courrier électronique.
•
Un groupe de distribution est un groupe de messagerie auquel vous ne pouvez pas affecter des autorisations sur des ressources ; il est donc utilisé uniquement lorsqu'un groupe est une liste de distribution de courrier électronique qui ne doit pas accéder aux ressources.
Le type de groupe sera abordé plus en détail plus loin dans ce module.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
7.
Sélectionnez Étendue du groupe. •
Un groupe global permet généralement d'identifier les utilisateurs en fonction de critères, tels que leur fonction, leur emplacement, etc.
•
Un groupe local de domaine permet de collecter les utilisateurs et les groupes qui doivent accéder à des ressources similaires, tels que tous les utilisateurs qui doivent pouvoir modifier un rapport de projet.
•
Un groupe universel permet généralement de collecter les utilisateurs et les groupes de plusieurs domaines.
L'étendue d'un groupe sera abordée plus en détail plus loin dans ce module. 8.
Cliquez sur OK.
Les objets groupe ont des propriétés qu'il est utile de définir. Ces propriétés peuvent être définies après la création de l'objet. Pour définir les propriétés d'un groupe : 1.
Cliquez avec le bouton droit de la souris sur le groupe, puis cliquez sur Propriétés.
2.
Entrez les propriétés du groupe. •
Veillez à suivre les conventions d'affectation de nom et les autres directives de votre entreprise.
•
Les onglets Membres et Membre de d'un groupe indiquent qui appartient au groupe et les groupes du groupe.
•
La zone Description d'un groupe, du fait qu'elle figure dans le volet des détails du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, est l'emplacement approprié pour résumer la fonction du groupe et les informations de contact de la ou des personnes qui décident de l'appartenance au groupe.
•
La zone Commentaires peut être utilisée pour fournir des informations complémentaires sur le groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-8
•
4-9
L'onglet Géré par permet de créer un lien d'accès à l'utilisateur ou au groupe responsable du groupe. Les informations de contact dans l'onglet Géré par proviennent du compte défini dans la zone Nom. L'onglet Géré par est généralement utilisé pour les informations de contact pour que, dans le cas où un utilisateur veuille se joindre au groupe, vous puissiez définir la personne à contacter pour autoriser le nouveau membre. Toutefois, si vous sélectionnez l'option Le gestionnaire peut mettre à jour la liste des membres, le compte défini dans la zone Nom est autorisé à ajouter et supprimer des membres dans le groupe. C'est une méthode de délégation du contrôle de l'administration du groupe. Pour changer l'utilisateur ou le groupe référencé dans l'onglet Géré par, cliquez sur le bouton Modifier sous la zone Nom. Par défaut, la boîte de dialogue Sélectionner un utilisateur, un contact ou un groupe qui s'affiche ne permet pas, contrairement à ce que son nom indique, de rechercher des groupes. Pour rechercher des groupes, vous devez cliquer sur le bouton Types d'objets et sélectionner Groupes.
3.
Cliquez sur OK.
Lectures complémentaires •
Création d'un groupe : http://go.microsoft.com/fwlink/?LinkId=168757
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Gestion des accès sans utiliser des groupes
Points clés Supposez que les 100 utilisateurs du service commercial (Sales) aient besoin de lire le dossier partagé Sales sur un serveur. Affecter des autorisations à chaque utilisateur n'est pas gérable. Lorsque de nouveaux commerciaux sont embauchés, vous devez ajouter les nouveaux comptes à la liste de contrôle d'accès du dossier. Lorsque vous supprimez des comptes, vous devez supprimer les autorisations dans la liste de contrôle d'accès, car sinon, vous terminez avec une entrée de compte manquante dans la liste, comme indiqué ci-dessous, qui résulte d'un SID dans la liste qui fait référence à un compte non résolu.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-10
4-11
Supposez que les 100 utilisateurs du service commercial (Sales) aient besoin de lire trois dossiers partagés sur un trois serveurs différents. Les problèmes de gestion deviennent plus aigus. Combien d'autorisations devez-vous appliquer pour simplement définir l'accès aux trois dossiers sur trois serveurs différents pour les 100 utilisateurs ? 300 ! Lorsque vous gérez les autorisations en ajoutant et en supprimant des identités dans une liste de contrôle d'accès, il devient plus difficile de déterminer les personnes devant être autorisées à lire le dossier Sales. Pour pouvoir le déterminer, vous devez rétroconcevoir la liste. Et dans, l'exemple plus large où les dossiers Sales sont distribués sur trois serveurs, vous devez évaluer trois listes de contrôle d'accès distinctes pour le déterminer.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Gestion des ajouts aux groupes
Points clés L'exemple de la section précédente peut paraître extrême, car vous savez sans doute que, bien que vous puissiez affecter des autorisations d'accès à une ressource à une identité individuelle, un utilisateur ou un ordinateur, la meilleure pratique consiste à affecter une seule autorisation à un groupe et à gérer les accès à la ressource en changeant simplement l'appartenance au groupe. Dans cet exemple, vous pouvez créer le groupe Sales et autoriser le groupe à lire le dossier Sales. Désormais, vous disposez d'un point unique de gestion. Le groupe Sales gère efficacement l'accès au dossier partagé. Vous pouvez ajouter de nouveaux commerciaux au groupe et ils accèderont au dossier partagé. Lorsque vous supprimez un compte, vous le supprimez systématiquement du groupe et il n'existe donc pas de SID non résolus dans la liste de contrôle d'accès. Et vous pouvez déterminer plus aisément les personnes devant être autorisées à lire le dossier Sales. Vous pouvez simplement énumérer les membres du groupe Ventes. Le groupe Sales est devenu l'élément central des tâches de gestion des accès.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-12
4-13
Il existe un autre avantage : étant donné que la liste de contrôle d'accès ne change pas et que le groupe Sales dispose de l'autorisation de lecture, les sauvegardes sont plus aisées. Lorsque vous changez la liste de contrôle d'accès d'un dossier, la liste s'applique à tous les fichiers et dossiers enfant, en définissant l'indicateur Archive et en demandant la sauvegarde de tous les fichiers, même si le contenu des fichiers n'a pas changé
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Évolutivité des ajouts aux groupes
Points clés Si les commerciaux nécessitent un accès en lecture à trois dossiers sur trois serveurs différents, vous pouvez autoriser le groupe Sales à lire les trois dossiers. Après avoir affecté les trois autorisations, le groupe Sales fournit un point de gestion unique pour l'accès aux ressources. Le groupe Sales gère efficacement l'accès aux trois dossiers partagés. Vous pouvez ajouter de nouveaux commerciaux au groupe et ils accèderont aux trois dossiers partagés sur les trois serveurs. Lorsque vous supprimez un compte, vous le supprimez systématiquement du groupe et il n'existe donc pas de SID non résolus dans la liste de contrôle d'accès.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-14
4-15
Un seul type de groupe ne suffit pas
Points clés Supposez maintenant que d'autres personnes doivent pouvoir lire les dossiers. Les dirigeants (Executives), les employés du service Marketing et le conseiller commercial embauché par votre entreprise doivent également pouvoir lire les mêmes dossiers. Vous pouvez ajouter ces groupes à la liste de contrôle d'accès des dossiers en leur affectuant un accès en lecture, mais dans ce cas, vous disposez d'une liste avec plusieurs autorisations en effectant cette fois-ci l'autorisation de lecture à des groupes et non pas à des utilisateurs. Pour permettre aux trois groupes et à un utilisateur d'accéder aux trois dossiers sur les trois serveurs, vous devez ajouter douze autorisations ! Le groupe suivant nécessitant un accès impliquera d'effectuer trois modifications supplémentaires pour accorder les autorisations dans les LCA des trois dossiers partagés. Et que se passe-t-il si huit utilisateurs qui ne sont pas commerciaux, employés du service Marketing ou dirigeants doivent pouvoir lire les trois dossiers ? Ajoutezvous leur compte d'utilisateur aux listes de contrôle d'accès ? Dans ce cas, vous devez ajouter et gérer 24 autorisations supplémentaires !
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Comme vous pouvez le constater, l'utilisation d'un seul type de groupe, un groupe de rôles qui définit les rôles des utilisateurs, rend rapidement inefficace la gestion des accès aux trois dossiers. Si la règle de gestion indique que trois rôles et neuf utilisateurs supplémentaires doivent accéder à la ressource, vous affectez 36 autorisations au total dans les listes de contrôle d'accès. Dans ce cas, il est très difficile de respecter la conformité et d'exercer un contrôle. Même la question de savoir quels sont les utilisateurs autorisés à lire les dossiers Sales devient problématique.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-16
4-17
Gestion basée sur les rôles : groupes de rôles et groupes de règles
Points clés La solution est de savoir qu'il existe deux types de gestion qui doivent être utilisés pour gérer efficacement dans ce scénario. Vous devez gérer les utilisateurs sous forme de collections en fonction de leurs rôles dans l'entreprise et, séparément, vous devez gérer l'accès aux trois dossiers. Les trois dossiers sont également une collection d'éléments : ils représentent une seule ressource, une collection de dossiers Sales, qui est simplement distribuée dans trois dossiers sur trois serveurs. Et vous tentez de gérer l'accès en lecture à la ressource. Vous avez besoin d'un seul point de gestion pour gérer l'accès à la ressource. Vous avez alors besoin d'un autre groupe, d'un groupe qui représente l'accès en lecture au trois dossiers sur les trois serveurs. Supposez que vous créez le groupe ACL_Sales Folders_Read. que vous l'autorisez à lire les trois dossiers. et que les groupes Sales, Marketing et Executives, et chaque utilisateur, seront membres du groupe ACL_Sales Folders_Read. Vous affectez uniquement trois autorisations : une sur chaque dossier, en affectant l'accès en lecture au groupe ACL_Sales Folders_Read.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Le groupe ACL_Sales Folders_Read devient l'élément principal de la gestion des accès. Lorsque des groupes ou des utilisateurs supplémentaires doivent accéder aux dossiers, il suffit de les ajouter à ce groupe. Ainsi, il est plus aisé également de savoir qui accède aux dossiers. Au lieu d'examiner les listes de contrôle d'accès dans chacun des dix dossiers, vous examinez simplement l'appartenance au groupe ACL_Sales Folders_Read. Pour pouvoir gérer efficacement même une entreprise un peu complexe, vous avez besoin de deux "types" de groupes ayant deux fonctions distinctes : •
Groupes qui définissent les rôles : ces groupes, appelés groupes de rôles, contiennent les utilisateurs, les ordinateurs et d'autres groupes de rôles qui reposent sur des caractéristiques professionnelles communes, telles que l'emplacement, la fonction, etc.
•
Groupes qui définissent des règles gestion : ces groupes, appelés groupes de règles, définissent la manière dont une ressource d'entreprise est gérée.
Cette méthode de gestion d'entreprise avec des groupes s'appelle la gestion à base de rôles. Vous définissez les rôles des utilisateurs en fonction de caractéristiques professionnelles, telles que le service ou la division des utilisateurs (Sales, Marketing et Executives) et vous définissez des règles, telles que la règle qui gère l'accès des rôles et des personnes aux trois dossiers. Vous pouvez exécuter les tâches de gestion en utilisant des groupes dans un annuaire. Les rôles sont représentés par des groupes qui contiennent des utilisateurs, des ordinateurs et d'autres rôles. Très bien. Les rôles peuvent inclure d'autres rôles. Par exemple, le rôle Gestionnaires peut inclure les rôles Directeurs des ventes, Directeurs financiers et Directeurs de la production. Les règles de gestion, telles que la règle qui définit et gère l'accès en lecture aux trois dossiers, sont représentées par des groupes également. Les groupes de règles contiennent des groupes et, éventuellement des utilisateurs et des ordinateurs individuels, tels que le conseiller commercial et huit autres utilisateurs dans cet exemple. Le principal avantage, c'est qu'il existe deux "types" de groupes : un groupe qui définit le rôle et un groupe qui définit la manière de gérer une ressource.
Lectures complémentaires •
Pour plus d'informations sur la gestion à base de rôles, voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-18
4-19
Définition des conventions d'affectation de noms de groupe.
Points clés Au début de cette leçon, vous avez appris à créer des groupes en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory en cliquant avec le bouton droit de la souris sur l'UO dans laquelle vous voulez créer un groupe, en pointant sur Nouveau et en cliquant sur Groupe. La boîte de dialogue Nouvel objet - Groupe, représentée ci-dessous, permet de définir les principales propriétés du nouveau groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vous pouvez définir les propriétés de nom suivantes ici : •
Nom de groupe : le nom cn et le nom de l'objet groupe doivent être uniques uniquement dans l'UO.
•
Nom de groupe (antérieur à Windows 2000) : sAMAccountName du groupe, unique dans le domaine.
Meilleure pratique importante : utilisez le même nom (uniquement dans le domaine) pour les deux propriétés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-20
4-21
Les premières propriétés que vous devez définir sont les noms des groupes. Un groupe, tel qu'un utilisateur ou un ordinateur, a plusieurs noms. Le premier, indiqué dans la zone de nom de groupe ci-dessus, est utilisé par Windows 2000 et les systèmes ultérieurs pour identifier l'objet ; il devient le nom commun (cn) et les attributs de nom de l'objet. Le second, le nom antérieur à Windows 2000, est le sAMAccountName qui permet d'identifier le groupe vis à vis des ordinateurs qui exécutent Windows NT 4.0 et de certains périphériques, tels que les périphériques NAS (Network Attached Storage) qui exécutent des systèmes d'exploitation nonMicrosoft. Le nom commun et les attributs de nom doivent être uniques seulement dans le conteneur, l'UO, où se trouve le groupe. sAMAccountName doit être unique dans l'ensemble du domaine. Techniquement, la valeur de sAMAccountName peut ne pas correspondre au nom commun et au nom, mais il est vivement recommandé de ne pas changer ces valeurs. Sélectionnez un nom unique dans le domaine et utilisez-le dans les deux zones de nom de la boîte de dialogue Nouvel objet - Groupe. Il est recommandé d'appliquer les conventions d'affectation de nom suivante : •
Groupes de rôles. Nom simple unique, tel que Sales ou Consultants
•
Groupes de gestion. Par exemple, ACL_Sales Folders_Read •
Préfixe. Il identifie la fonction de gestion du groupe, telle que Liste de contrôle d'accès pour les groupes qui gèrent les autorisations d'accès aux ressources partagées.
•
Identificateur de ressource. Identificateur unique de l'élément à gérer.
•
Suffixe. Pour les groupes d'accès aux ressources, il s'agit du type d'accès que le groupe gère.
•
Délimiteur. Il s'agit d'un marqueur, tel que le caractère de soulignement (_), qui doit être utilisé de manière cohérente pour séparer le préfixe, l'identificateur et le suffixe. Ne placez pas le délimiteur dans un autre endroit dans un nom ; utilisez -le uniquement comme délimiteur.
Le nom que vous choisissez doit faciliter la gestion du groupe et de l'entreprise au jour le jour. Il est recommandé d'appliquer un convention d'affectation de nom qui identifie le type de groupe et la fonction du groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Le nom de groupe ACL_Sales Folders_Read est utilisé dans l'exemple précédent. •
Préfixe : le préfixe identifie la fonction de gestion du groupe. Dans ce cas, il s'agit d'un groupe qui gère les autorisations d'accès à un dossier. Il est utilisé dans les listes de contrôle d'accès et le préfixe ACL est donc utilisé.
•
Identificateur de ressource : la partie principale du nom identifie de manière unique la ressource à gérer avec le groupe (Dossiers Sales, dans cet exemple).
•
Suffixe : le suffixe définit plus précisément l'élément que doit gérer le groupe. Dans le cas des groupes de gestion des accès aux ressources, le suffixe définit le niveau d'accès accordé aux membres du groupe. Dans l'exemple, le niveau d'accès est Lecture.
•
Délimiteur : un délimiteur, le caractère de soulignement, en l'occurrence, sert à séparer les parties du nom. Notez que le délimiteur n'est pas utilisé entre les mots Sales et Folder. Vous pouvez insérer des espaces dans les noms de groupe ; il suffit de placer les noms de groupe entre guillemets lorsque vous y faites référence dans des commandes ou des scripts. Vous pouvez créer des scripts qui utilisent le délimiteur pour déconstruire les noms de groupe pour faciliter le contrôle et la génération de rapports.
Notez que des groupes de rôles qui définissent des rôles d'utilisateur seront souvent utilisés par les non-techniciens. Par exemple, vous pouvez activer la fonction de messagerie du groupe Sales pour qu'il puisse être utiliser comme liste de distribution de courrier électronique. Par conséquent, il est recommandé d'utiliser une convention d'affectation de nom qui permette d'affecter des noms simples aux groupes de rôles. En d'autres termes, la convention d'affectation de nom des groupes de rôles ne doit pas utiliser des préfixes ni des suffixes ni des délimiteurs, mais uniquement des noms simples descriptifs.
Lectures complémentaires •
Pour plus d'informations sur la gestion efficace des groupes, voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-22
4-23
Type de groupe
Points clés Il existe deux types de groupes : sécurité et distribution. Lorsque vous créez un groupe, vous sélectionnez son type dans la boîte de dialogue Nouvel objet Groupe. Les groupes de distribution sont utilisés principalement par les applications de messagerie. La sécurité de ces groupes n'étant pas activée, ils n'ont pas de SID, ils ne peuvent pas accéder aux ressources. L’envoi d’un message à un groupe de distribution envoie le message à tous les membres du groupe. Les groupes de sécurité sont des entités de sécurité avec des SID. Par conséquent, vous pouvez utiliser ces groupes dans des entrées d'autorisation dans les listes ACL pour contrôler la sécurité des accès aux ressources. Les groupes de sécurité peuvent être également utilisés comme groupes de distribution par les applications de messagerie. Si vous utilisez un groupe pour gérer la sécurité, ce groupe doit être un groupe de sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Étant donné que les groupes de sécurité peuvent être utilisés pour accéder aux ressources et distribuer du courrier, les entreprises utilisent généralement des groupes de sécurité uniquement. Toutefois, il est recommandé de créer le groupe comme groupe de distribution si le groupe doit être utilisé uniquement pour distribuer le courrier. Autrement, le groupe est affecté d'un SID et ce dernier est ajouté au jeton d'accès de sécurité de l'utilisateur, ce qui peut encombrer inutilement le jeton.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-24
4-25
Étendue du groupe
Points clés Les groupes contiennent des membres : à savoir des utilisateurs, des ordinateurs et d'autres groupes. Les groupes peuvent être membres d'autres groupes et référencés par des listes ACL, des filtres d'objet Stratégie de groupe et d'autres composants de gestion. L'étendue d'un groupe a un impact sur les caractéristiques suivantes du groupe : son contenu, son appartenance et son emplacement d'utilisation. Il existe quatre étendues de groupe : globale, local de domaine, locale et universelle.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Les caractéristiques qui définissent chaque étendue sont classées dans les catégories suivantes : •
Réplication. Où le groupe est-il défini et sur quels systèmes est-il répliqué ?
•
Appartenance. Quels types d'entités de sécurité le groupe peut-il contenir ? Le groupe peut-il contenir des entités de sécurité des domaines validés ? Dans le module 14, vous apprendrez le concept de relations approuvées ou approbations. Une approbation permet à un domaine de se référer à un autre pour authentifier les utilisateurs, d'inclure les entités de sécurité d'un autre domaine comme membres d'un groupe et d'affecter des autorisations aux entités de sécurité de l'autre domaine. La terminologie utilisée peut prêter à confusion. Si le domaine A approuve le domaine B, le domaine A est le domaine d'approbation et le domaine B est le domaine approuvé. Le domaine A accepte les informations d'identification des utilisateurs du domaine B. Il envoie les demandes des utilisateurs du domaine B pour les authentifier auprès d'un contrôleur dans le domaine B, car il approuve le magasin d'identités et le service authentification du domaine B. Le domaine A peut ajouter les entités de sécurité du domaine B à ses groupes et listes ACL.
•
Disponibilité. Où le groupe peut-il être utilisé ? Le groupe peut-il être ajouté à un autre groupe ? Peut-il être ajouté à une liste ACL ?
Tenez compte de ces grandes caractéristiques lorsque vous explorez les informations de chaque étendue de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-26
4-27
Groupes locaux
Points clés Les groupes locaux sont véritablement locaux ; ils sont définis et disponibles sur un seul ordinateur. Les groupes locaux sont créés dans la base de données Gestionnaire de comptes de sécurité d'un ordinateur membre d'un domaine. Les postes de travail et les serveurs ont des groupes locaux. Les groupes locaux ont les caractéristiques suivantes : •
Réplication. Un groupe local est défini uniquement dans la base de données Gestionnaire de comptes de sécurité d'un membre d'un domaine. Le groupe et ses membres ne sont pas répliqués sur un autre système.
•
Membres. Un groupe local peut contenir : •
les entités de sécurité du domaine : utilisateurs, ordinateurs, groupes globaux ou groupes locaux de domaine
•
utilisateurs, ordinateurs et groupes globaux d'un domaine de la forêt
•
utilisateurs, ordinateurs et groupes locaux d'un domaine approuvé
•
groupes universels définis dans un domaine de la forêt
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
Disponibilité. Un groupe local a une étendue limitée à l'ordinateur. Il peut être utilisé dans les ACL sur l'ordinateur local uniquement. Un groupe local ne peut pas appartenir à un autre groupe.
Meilleure pratique Dans un groupe de travail, vous utilisez des groupes locaux pour gérer la sécurité des ressources d'un système. Toutefois, dans un domaine, la gestion des groupes locaux d'ordinateurs individuels devient compliquée et elle est en grande partie inutile. Il est recommandé de ne pas créer des groupes personnalisés dans les membres d'un domaine. L'utilisation de groupes locaux dans un environnement de domaine répond à quelques situations. Dans la plupart des cas, les groupes locaux Utilisateurs et Administrateurs sont les seuls groupes à gérer dans un environnement de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-28
4-29
Groupes locaux de domaine
Points clés Les groupes locaux de domaine sont utilisés principalement pour gérer les autorisations d'accès aux ressources. Par exemple, le groupe ACL_Sales Folders_Read étudié précédemment serait créé comme groupe local de domaine. Les groupes locaux de domaine ont les caractéristiques suivantes : •
Réplication. Un groupe local de domaine est défini dans le contexte d'affectation de nom de domaine. L'objet Groupe et ses membres (attribut member) sont répliqués sur chaque contrôleur du domaine.
•
Membres. Un groupe local de domaine peut contenir : •
les entités de sécurité du domaine : utilisateurs, ordinateurs, groupes globaux ou autres groupes locaux de domaine
•
utilisateurs, ordinateurs et groupes globaux d'un domaine de la forêt
•
utilisateurs, ordinateurs et groupes globaux d'un domaine approuvé
•
groupes universels définis dans un domaine de la forêt
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
Disponibilité. Un groupe local de domaine peut être ajouté aux listes ACL dans n'importe quelle ressource de n'importe quel membre de domaine. En outre, un groupe local de domaine peut être membre d'autres groupes locaux de domaine ou même de groupes locaux d'ordinateurs.
Les fonctions d'appartenance d'un groupe local de domaine (les groupes auxquels un groupe local de domaine peut appartenir) sont identiques à celles des groupes locaux, mais la réplication et la disponibilité du groupe local de domaine le rendent utiles dans l'ensemble du domaine. Meilleure pratique Les groupes de domaine locaux constituent une excellente solution pour définir des règles de gestion d'entreprise, telles que les règles d'accès aux ressources, car le groupe peut être appliqué n'importe où dans le domaine et il peut contenir n'importe quel type de membre dans le domaine, ainsi que les membres des domaines approuvés. Par exemple, le groupe de sécurité local de domaine ACL_Sales Folders_Read peut être utilisé pour gérer l'accès en lecture à une collection de dossiers qui contiennent des informations commerciales sur un ou plusieurs serveurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-30
4-31
Groupes globaux
Points clés Les groupes globaux permettent principalement de définir des collections d'objets domaine en fonction de rôles professionnels. Les groupes de rôles, tels que les groupes Sales et Marketing mentionnés précédemment, ainsi que les rôles d'ordinateurs, tels qu'un groupe Sales Lapstop, sont créés en tant que groupes globaux. Les groupes globaux ont les caractéristiques suivantes : •
Réplication. Un groupe global est défini dans le contexte d'affectation de nom de domaine. L'objet groupe, y compris l'attribut de membre, est répliqué sur tous les contrôleurs du domaine.
•
Membres. Un groupe global peut être contenir uniquement les utilisateurs, les ordinateurs et les autres groupes globaux d'un même domaine.
•
Disponibilité. Un groupe global peut être utilisé par tous les membres d'un domaine et par tous les autres domaines de la forêt et tous les domaines externes approuveurs. Un groupe global peut être membre d'un groupe local ou universel du domaine ou de la forêt. Il peut être également membre d'un groupe local d'un domaine approuveur. Enfin, un groupe global peut être ajouté aux listes ACL du domaine, de la forêt ou des domaines approuveurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Comme vous pouvez le constater, l'appartenance aux groupes globaux est la plus limitée (utilisateurs, ordinateurs et groupes globaux d'un même domaine uniquement), mais leur disponibilité dans le domaine, la forêt et les domaines approuveurs elle est la plus étendue. Meilleures pratiques Les groupes globaux sont adaptés pour définir des rôles, car les rôles sont généralement des collections d'objets d'un même annuaire. Par exemple, les groupes de sécurité globaux Consultants et Sales peuvent être utilisés pour définir respectivement les utilisateurs Consultants et Salespeople.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-32
4-33
Groupes universels
Points clés Les groupes universels ont les caractéristiques suivantes : •
Réplication. Un groupe universel est défini dans un seul domaine de la forêt, mais il est répliqué dans le catalogue global. Le catalogue est abordé dans le module 12. Les objets dans ce catalogue seront accessibles dans la forêt.
•
Membres. Un groupe universel peut contenir les utilisateurs, les groupes globaux et les autres groupes universels d'un domaine de la forêt.
•
Disponibilité. Un groupe universel peut être membre d'un groupe universel ou d'un groupe local de domaine n'importe où dans la forêt. En outre, un groupe universel peut être utilisé pour gérer les ressources, par exemple, pour affecter des autorisations n'importe où dans la forêt.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Les groupes universels sont utiles dans les forêts multidomaines. Ils permettent de définir des rôles ou de gérer les ressources qui couvrent plusieurs domaines. Illustrons les groupes universels par un exemple : Trey Research dispose d'une forêt comportant trois domaines : Amériques, Asie et Europe. Chaque domaine a des comptes d'utilisateur et le groupe global Directeurs régionaux qui contient les responsables de la région correspondante. Souvenez-vous que les groupes globaux peuvent contenir uniquement les utilisateurs d'un même domaine. Le groupe universel Directeurs régionaux Trey Research est créé et trois groupes Directeurs régionaux lui sont ajoutés. Par conséquent, le groupe Directeurs régionaux Trey Research définit un rôle dans l'ensemble de la forêt. Lors de l'ajout d'utilisateurs à l'un des groupes Directeurs régionaux, les utilisateurs, par l'imbrication, deviennent membres de Directeurs régionaux Trey Research Regional. Trey Research envisage de commercialer un nouveau produit impliquant la collaboration de ses régions. Les ressources associées au projet se trouvent sur des serveurs de fichiers dans chaque domaine. Pour pouvoir définir les personnes autorisées à modifier les fichiers relatifs au nouveau produit, le groupe universel ACL_New Product_Modify est créé. Ce groupe est autorisé à modifier les dossiers partagés sur chacun des serveurs de fichiers dans chacun des domaines. Le groupe Directeurs régionaux Trey Research est placé dans le groupe the ACL_New Product_Modify, avec divers groupes globaux et quelques utilisateurs de chaque région. Meilleure pratique Comme le montre l'exemple, les groupes universels permettent de représenter et de regrouper les rôles qui couvrent les domaines d'une forêt et de définir des règles qui peuvent être appliquées dans la forêt.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-34
4-35
Possibilités d'étendues de groupe Récapitulatif
Points clés Dans le cadre des examens de certification et de l'administration quotidienne, il est important de maîtriser complètement les caractéristiques de l'appartenance de chaque étendue de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Le tableau ci-dessous récapitule les objets pouvant être membres de chaque étendue de groupe. Étendue du groupe Locale
Membres d'un même domaine Utilisateurs
Membres d'un autre domaine d'une même forêt Utilisateurs
Membres d'un domaine externe approuvé Utilisateurs
Ordinateurs
Ordinateurs
Ordinateurs
Groupes globaux
Groupes globaux
Groupes globaux
Groupes universels
Groupes universels
Groupes locaux de domaine Également les utilisateurs locaux définis sur un même ordinateur comme groupe local Locale de domaine
Utilisateurs
Utilisateurs
Utilisateurs
Ordinateurs
Ordinateurs
Ordinateurs
Groupes globaux
Groupes globaux
Groupes globaux
Groupes locaux de domaine
Groupes universels
Groupes universels Universelle
Globale
Utilisateurs
Utilisateurs
Ordinateurs
Ordinateurs
Groupes globaux
Groupes globaux
Groupes universels
Groupes universels
Utilisateurs
S/O
S/O
S/O
Groupes globaux
Question : Quels sont les objets qui peuvent être membres d'un groupe global dans un domaine ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-36
Gestion des membres des groupes
Points clés Lorsque vous devez ajouter ou supprimer des membres dans un groupe, vous pouvez procéder de diverses manières. Onglet Membres Pour gérer les membres des groupes en utilisant l'onglet Membres : 1.
Ouvrez la boîte de dialogue Propriétés du groupe.
2.
Cliquez sur l’onglet Membres.
3.
Pour supprimer un membre, sélectionnez-le et cliquez sur Supprimer.
4-37
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
4.
Pour ajouter un membre, cliquez sur le bouton Ajouter. La boîte de dialogue Sélectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes, représentée ci-dessous, s’affiche.
Quelques conseils à propos de cette procédure : •
Dans la boîte de dialogue de sélection, dans la zone Entrez les noms d'objets, vous pouvez taper plusieurs comptes en les séparant avec un point-virgule. Dans la capture d'écran ci-dessus, sales et finance sont entrés. Ils sont séparés par un point-virgule.
•
Vous pouvez entrer des noms de compte partiels ; il est inutile de taper le nom complet. Windows recherche dans Active Directory les comptes qui commencent par le nom que vous avez entré. S'il existe une seule correspondance, Windows la sélectionne automatiquement. Si plusieurs comptes correspondent, la boîte de dialogue Noms multiples trouvés s'affiche pour vous permettre de sélectionner l'objet approprié. Ce raccourci, taper des noms partiels, peut faire gagner du temps lorsque vous ajoutez des membres à des groupes et être utile lorsque vous ne vous ne souvenez pas du nom exact d'un membre.
•
Par défaut, Windows recherche uniquement les utilisateurs et les groupes qui correspondent aux noms que vous entrez dans la boîte de dialogue de sélection. Si vous voulez ajouter des ordinateurs à un groupe, vous devez cliquer sur le bouton Options et sélectionner Ordinateurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-38
4-39
•
Par défaut, Windows recherche uniquement les groupes de domaine. Si vous voulez ajouter des comptes locaux, cliquez sur le bouton Emplacement dans la boîte de dialogue de sélection.
•
Si vous ne trouvez pas le membre à ajouter, cliquez sur le bouton Avancé dans la boîte de dialogue de sélection. Une fenêtre de requête plus puissante s'affiche avec des options supplémentaires pour effectuer la recherche dans Active Directory.
Onglet Membre de Pour gérer les membres des groupes en utilisant l'onglet Membre de : 1.
Ouvrez les propriétés de l'objet membre et cliquez sur son onglet Membre de.
2.
Pour supprimer l'objet d'un groupe, sélectionnez le groupe et cliquez sur le bouton Supprimer.
3.
Pour ajouter l'objet à un groupe, cliquez sur le bouton Ajouter et sélectionnez le groupe.
Commande Ajouter à un groupe Pour gérer les groupes en utilisant la commande Ajouter à un groupe : 1.
Cliquez avec le bouton droit de la souris sur les objets sélectionnés dans le volet des détails Utilisateurs et ordinateurs Active Directory.
2.
Cliquez sur la commande Ajouter à un groupe.
3.
Utilisez la boîte de dialogue Sélectionner pour définir le groupe.
Les attributs Member et MemberOf Lorsque vous ajoutez un membre à un groupe, vous changez l'attribut member du groupe. L'attribut member est un attribut à plusieurs valeurs : chaque membre est une valeur représentée par le nom unique (DN) du membre. Si vous renommez ou déplacez le membre, Active Directory met automatiquement à jour les attributs member des groupes qui contiennent le membre. Lorsque vous ajoutez un membre à un groupe, l'attribut memberOf du membre est également mis à jour indirectement. L'attribut memberOf est un type spécial d'attribut appelé lien précédent. Active Directory le met à jour lorsqu'un attribut de lien suivant, tel qu'un membre, fait référence à l'objet. Lorsque vous ajoutez un membre à un groupe, vous changez toujours l'attribut member. Par conséquent, lorsque vous utilisez l'onglet Membre de d'un objet pour l'ajouter à un groupe, vous changez en fait l'attribut member du groupe. Active Directory met à jour automatiquement l'attribut memberOf.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Application immédiate de la modification de l'appartenance Lorsque vous ajoutez un utilisateur à un groupe, l'appartenance n'est pas appliquée immédiatement. L'appartenance aux groupes est évaluée à l'ouverture de session pour un utilisateur (lors du démarrage d'un ordinateur). Par conséquent, l'utilisateur doit fermer la session et rouvrir une session pour que l'appartenance soit appliquée au jeton de l'utilisateur. De plus, il peut exister un délai pendant la réplication de la modification de l'appartenance à un groupe (la réplication sera abordée dans le module 12). Ceci est particulièrement vraie si l'entreprise dispose de plusieurs sites Active Directory. Vous pouvez accélérer l'impact d'une modification sur un utilisateur en effectuant la modification dans un contrôleur de domaine du site de l'utilisateur. Cliquez avec le bouton droit de la souris sur le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, puis cliquez sur Modifier le contrôleur de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-40
4-41
Développement d'une stratégie de gestion des groupes (IGDLA)
Points clés L'ajout de groupes à d'autres groupes, processus appelé imbrication, peut créer une hiérarchie de groupes qui prend en charge vos rôles professionnels et règles de gestion. Maintenant que vous connaissez la fonction et les caractéristiques techniques des groupes, il est temps de les exploiter dans une stratégie de gestion des groupes. Au début de cette leçon, vous avez appris les types d'objets qui peuvent être membres de chaque étendue de groupe. Maintenant, vous allez identifier les types d'objets qui doivent être membres de chaque étendue de groupe. Ceci vous amène à la meilleure pratique de l'imbrication de groupe appelée IGDLA : •
Identités (comptes d'utilisateur et d'ordinateurs) membres de.
•
Groupes globaux qui représentent les rôles professionnels. Ces groupes de rôles (groupes globaux) sont membres de.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
Groupes de Domaine Locaux qui représentent les règles de gestion ; détermination de qui est autorisé à lire une collection de dossiers, par exemple. Ces groupes de règles (groupes locaux de domaine) sont accordés.
•
Accès aux ressources. Dans le cas d'un dossier partagé, l'accès est accordé en ajoutant le groupe local de domaine à la liste de contrôle d'accès (ACL) du dossier avec une autorisation qui fournit le niveau d'accès approprié.
Dans une forêt multidomaine, il existe également des groupes universels qui se situent entre les groupes globaux et les groupes locaux de domaine. Les groupes globaux de plusieurs domaines sont membres d'un seul groupe universel. Ce groupe universel est membre de groupes locaux de plusieurs domaines. Vous pouvez mémoriser l'imbrication sous la formule IGUDLA. La meilleure pratique pour implémenter l'imbrication de groupes est efficace, même dans des scénarios à plusieurs domaines. Reportez-vous à la figure cidessous.
Cette figure représente une implémentation de groupes qui reflète non seulement la vue technique des meilleures pratiques de gestion des groupes (IGDLA), mais également la vue de la gestion à base de règles et de rôles de l'entreprise.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-42
4-43
Voici un scénario : les services commerciaux de Contoso, Ltd. viennent de terminer leur exercice financier. Les fichiers des ventes de l'année précédente se trouvent dans le dossier Sales. Les services commerciaux doivent pouvoir lire ces dossiers. En outre, un groupe d'auditeurs de Woodgrove Bank, un investisseur potentiel, nécessite de lire les dossiers des ventes pour pouvoir réaliser un audit. Les étapes de l'implémentation de la sécurité nécessaire dans ce scénario sont les suivantes : 1.
Affecter les utilisateurs ayant des fonctions ou d'autres caractéristiques communes à des groupes de rôles implémentés comme groupes de sécurité globaux. Ceci s'effectue séparément dans chaque domaine. Les commerciaux de Contoso sont ajoutés à un groupe de rôles Sales. Les auditeurs de Woodgrove Bank sont ajoutés à un groupe de rôles Auditors.
2.
Créer un groupe pour gérer les accès aux dossiers Sales avec l'autorisation Lecture. Ceci est implémenté dans le domaine contenant la ressource à gérer. Dans ce cas, il s'agit du domaine Contoso où se trouvent les dossiers Sales. Le groupe de règles de gestion des accès aux ressources est créé sous la forme d'un groupe local de domaine, ACL_Sales Folders_Read.
3.
Ajouter les groupes de rôles au groupe de règles de gestion des accès aux ressources pour représenter la règle de gestion. Ces groupes peuvent provenir d'un domaine de la forêt ou d'un domaine approuvé, tel que Woodgrove Bank. Les groupes globaux des domaines externes approuvée ou d'un domaine de la même forêt peuvent être membres d'un groupe local de domaine.
4.
Affecter l'autorisation qui implémente le niveau d'accès nécessaire. Dans ce cas, accorder l'autorisation de lecture au groupe local de domaine.
Cette stratégie fournit des points de gestion uniques réduisant ainsi la charge de gestion. Il existe un point de gestion qui détermine les membres de Sales ou Auditors. Ces rôles, naturellement, auront vraisemblablement accès à diverses ressources qui ne se limitent pas aux dossiers des ventes. Il existe un autre point de gestion pour déterminer qui peut lire les dossiers des ventes. Naturellement, ces dossiers peuvent ne pas se limiter à un seul dossier sur un seul serveur : il peut s'agir d'une collection de dossiers couvrant plusieurs serveurs, chacun d'entre eux affectant l'autorisation de lecture à un seul groupe local de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Gestion à base de rôles et stratégie de gestion des groupes Windows
Points clés La gestion à base de rôle est un concept utilisé en informatique et dans la protection des informations et elle est accessible avec les fonctions standard d'Active Directory. IGDLA est l'implémentation de la gestion à base de rôles en utilisant des groupes Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-44
Leçon 2
Administration des groupes
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
créer des groupes avec DSADD, CSVDE et LDIFDE ;
•
gérer et convertir un type de groupe et une étendue ;
•
gérer les membres des groupes avec DSMOD et LDIFDE ;
•
énumérer les membres des groupes avec DSGET ;
•
supprimer un groupe avec DSRM ;
•
copier les membres des groupes.
4-45
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Création de groupes avec DSAdd
Points clés La commande DSAdd permet d'ajouter des objets à Active Directory. Pour ajouter un groupe, tapez la commande : dsadd group GroupDN
où GroupDN est le nom unique (DN) du groupe, tel que "CN=Finance Managers,OU=Role,OU=Groups,DC=contoso,DC=com." Veillez à placer le nom DN entre guillemets s'il contient des espaces. Par exemple, pour créer le groupe de sécurité global Marketing, tapez la commande : dsadd group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" –samid Marketing –secgrp yes –scope g
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-46
4-47
Vous pouvez définir également le paramètre GroupDN de l'une des manières suivantes : •
Fournissez le paramètre en envoyant une liste de noms DN depuis une autre commande, telle que DSQuery.
•
Entrez-le en tapant chaque nom DN sur l'invite de commande en le séparant par un espace.
•
Entrez-le en laissant le paramètre DN vide ; dans ce cas, vous pouvez tapez les noms DN l'un après l'autre dans la console de clavier de l'invite de commande. Appuyez sur ENTRÉE après chaque nom DN. Appuyez sur CTRL+Z et ENTRÉE après le dernier DN.
Ces trois options permettent de générer plusieurs groupes simultanément avec DSAdd. La commande DSAdd peut également définir les attributs des groupes que vous créez avec les paramètres facultatifs suivants : •
-secgrp { yes | no }. Ce paramètre définit le type de groupe : security (yes) ou distribution (no).
•
-scope { l | g | u }. Ce paramètre définit l'étendue de groupe : domain local (l), global (g) ou universal (u).
•
-samid Name. Ce paramètre définit l'attribut sAMAccountName du groupe. Si vous ne le définissez pas, le nom du groupe provenant de son DN est utilisé. Il est recommandé que sAMAccountName et le groupe name soient identiques afin de ne pas avoir à définir ce paramètre lors de l'utilisation de la commande DSAdd.
•
-desc Description. Ce paramètre définit la description du groupe.
•
-members MemberDN …. Ce paramètre ajoute des membres au groupe. Les membres sont définis par leurs noms DN dans une liste séparée par des espaces.
•
-memberof GroupDN …. Ce paramètre place le nouveau groupe dans un ou plusieurs groupes existants. Les groupes sont définis par leurs noms DN dans une liste séparée par des espaces.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Importation de groupes avec CSVDE
Points clés CSVDE importe des données à partir de fichiers de valeurs séparées par des virgules (.csv). Elle permet également d'exporter des données vers un fichier .csv. L'exemple suivant porte que un fichier .csv qui crée un groupe, Marketing, et le remplit avec deux membres initiaux : Linda Mitchell et Scott Mitchell. objectClass,sAMAccountName,DN,member group,Marketing,"CN=Marketing,OU=Role,OU=Groups, DC=contoso,DC=com","CN=Linda Mitchell,OU=Employees, OU=User Accounts,DC=contoso,DC=com; CN=Scott Mitchell,OU=Employees,OU=User Accounts, DC=contoso,DC=com"
Les objets répertoriés dans l'attribut member doivent déjà exister dans le service d'annuaire. Leurs noms uniques (DN) sont séparés par un point-virgule dans la colonne member.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-48
4-49
Notez l'utilisation des guillemets dans l'exemple ci-dessus. Les guillemets sont nécessaires lorsqu'un attribut contient une virgule pour que cette dernière ne soit pas interprétée comme délimiteur. Le nom DN du groupe contient des virgules et il doit donc avoir une virgule. Dans le cas d'un attribut à plusieurs valeurs, tel que member, chaque valeur doit être séparée par un point-virgule ; il existe deux valeurs dans member dans l'exemple ci-dessus. L'ensemble de l'attribut est placé entre des guillemets et non pas chaque valeur de l'attribut member . Vous pouvez importer ce fichier vers Active Directory en utilisant la commande suivante : csvde -i -f "filename" [-k]
Le paramètre –i définit le mode d'importation. Dans ce paramètre, la commande CSVDE utilise le mode d'exportation. Le paramètre –f précède le nom de fichier et le paramètre –k permet au traitement de continuer, même si des erreurs se produisent, comme lorsque les objets existent déjà ou que le membre est introuvable. Vous pouvez utiliser la commande CSVDE pour créer des objets, mais pas pour modifier des objets existants. Vous ne pouvez pas utiliser la commande CSVDE pour importer des groupes existants.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Importation de groupes avec LDIFDE
Points clés LDIFDE est un outil qui importe et exporte des fichiers dans le format LDIF (Lightweight Directory Access Protocol Data Interchange Format). Les fichiers LDIF sont des fichiers texte dans lesquels des opérations sont définies par un bloc de lignes séparé par une ligne blanche. Chaque opération commence par l'attribut DN de l'objet qui est la cible de l'opération. La ligne suivante, changeType, définit le type de l'opération : add (ajouter), modify (modifier) ou delete (supprimer).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-50
4-51
Le fichier LDIF suivant crée les deux groupes Finance et Research : DN: CN=Finance,OU=Role,OU=Groups,DC=contoso,DC=com changeType: add CN: Finance description: Finance Users objectClass: group sAMAccountName: Finance DN: CN=Research,OU=Role,OU=Groups,DC=contoso,DC=com changeType: add CN: Research description: Research Users objectClass: group sAMAccountName: Research
La convention doit proposer d'enregistrer le fichier avec l'extension .ldf, par exemple, groups.ldf. Pour importer les groupes vers l'annuaire, exécutez la commande ldifde.exe, comme suit : ldifde –i –f groups.ldf
Le paramètre –i définit le mode d'importation. Sans ce paramètre, la commande utilise le mode d'exportation. Le paramètre –f précède le nom de fichier et le paramètre –k permet au traitement de continuer, même si des erreurs se produisent (par exemple, l'objet existe déjà).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Conversion d'étendue et de type de groupe
Points clés Après avoir créé un groupe, vous pouvez modifier l'étendue ou le type du groupe, si nécessaire. Ouvrez les propriétés d'un groupe existant ; l'étendue et le type existants figurent dans l'onglet Général, représenté ci-dessous. Au moins une étendue et un type sont disponibles pour être sélectionnés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-52
4-53
Vous pouvez convertir le type à tout moment en changeant la sélection dans la section Type de groupe de l'onglet Général. Attention, toutefois. Lorsque vous convertissez un groupe de sécurité en groupe de distribution, les ressources sur lesquelles le groupe dispose d'autorisations ne sont pas accessibles de la même manière. Lorsque le groupe devient un groupe de distribution, le jeton d'accès de sécurité des utilisateurs qui ouvrent une session dans le domaine ne contient plus le SID du groupe. Vous pouvez changer l'étendue du groupe de l'une des manières suivantes : •
Global en universel
•
Local de domaine en universel
•
Universel en global
•
Universel en local de domaine
Les seules conversions d'étendues que vous ne pouvez pas réaliser directement sont global en local de domaine et local de domaine en global. Toutefois, vous pouvez effectuer ces modifications indirectement en convertissant l'étendue en étendue universelle, puis dans l'étendue appropriée. Par conséquent, vous pouvez changer toutes les étendues.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Toutefois, notez que l'étendue d'un groupe détermine les types d'objets pouvant être membres du groupe. Si un groupe contient déjà des membres ou qu'il est membre d'un autre groupe, vous ne pouvez pas changer l'étendue. Par exemple, si un groupe global est membre d'un autre groupe global, vous ne pouvez pas convertir l'étendue du premier groupe en étendue universelle, car un groupe universel ne peut pas être membre d'un groupe global. Vous recevez un message d'erreur explicatif, tel que celui indiqué ci-dessous. Vous devez éliminer le conflit d'appartenance pour pouvoir changer l'étendue du groupe.
Vous pouvez utiliser la commande DSMod pour changer le type et l'étendue d'un groupe en utilisant la syntaxe suivante : dsmod group GroupDN –secgrp { yes | no } –scope { l | g | u }
L'attribut GroupDN est le nom unique du groupe à modifier. Les deux paramètres suivants affectent l'étendue et le type du groupe : •
-secgrp { yes | no }. Définit le type du groupe : sécurité (yes) ou distribution (no)
•
-scope { l | g | u }. Définit l'étendue du groupe : locale du domaine (l), globale (g), ou universelle (u)
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-54
Modification des membres des groupes avec DSMod
Points clés La syntaxe de base de la commande DSMod est la suivante : dsmod group "GroupDN" [options]
Vous pouvez utiliser des options, telles que -samid et -desc pour modifier les attributs sAMAccountName et description du groupe. Toutefois, les options les plus utiles sont celles qui permettent de modifier les membres du groupe : -addmbr "Member DN"
Ce paramètre ajoute des membres au groupe. -rmmbr "Member DN"
Ce paramètre supprime des membres du groupe.
4-55
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Comme dans toutes les commandes DS, Member DN est le nom unique d'un autre objet Active Directory placé entre guillemets si le nom DN contient des espaces. Vous pouvez insérer plusieurs entrées Membre DN en les séparant avec un espace. Par exemple, pour ajouter Mike Danseglio au groupe Research, utilisez la commande DSMod : dsmod group "CN=Research,OU=Role,OU=Groups,DC=contoso,DC=com" -addmbr "CN=Mike Danseglio,OU=Employees,OU=User Accounts, DC=contoso,DC=com"
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-56
4-57
Modification des membres des groupes avec LDIFDE
Points clés Vous pouvez également utiliser LDIFDE pour modifier des objets existants dans Active Directory en utilisant des opérations LDIF avec le type de modification modify. Pour ajouter deux membres au groupe Finance, utilisez la commande LDIF suivante : dn: CN=Finance,OU=Role,OU=Groups,DC=contoso,DC=com changetype: modify add: member member: CN=April Stewart,OU=Employees,OU=User Accounts,dc=contoso,dc=com member: CN=Mike Fitzmaurice,OU=Employees,OU=User Accounts,dc=contoso,dc=com -
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
changeType est affecté de la valeur modify, suivi de l'opération de modification : add objects to the member attribute. Chaque nouveau membre figure sur une ligne distincte qui commence par le nom d'attribut member. L'opération de modification se termine par une ligne contenant une barre oblique. Le remplacement de la troisième ligne par l'élément suivant supprime les deux membres définis du groupe : delete: member
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-58
4-59
Extraction des membres des groupes avec DSGet
Points clés Les commandes DSGet et DSMod sont particulièrement utiles pour gérer les membres des groupes. Comme vous le savez, le composant logiciel enfichable Utilisateur et ordinateurs ne fournit pas d'options permettant de répertorier tous les membres d'un groupe et les membres imbriqués. Seul l'onglet Membre d'un groupe permet d'identifier les membres directs du groupe. De même, il n'existe pas d'options permettant de répertorier tous les groupes d'un utilisateur ou d'un ordinateur et les groupes imbriqués. Seul l'onglet Membre de permet d'identifier l'appartenance directe d'un utilisateur ou d'un ordinateur. La commande DSGet permet d'extraire la liste complète des membres d'un groupe et des membres imbriqués en utilisant la syntaxe suivante : dsget group "GroupDN" –members [-expand]
L'option -expand permet de développer les membres des groupes imbriqués.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
De même, vous pouvez utiliser la commande DSGet pour extraire la liste complète des groupes d'un utilisateur ou d'un ordinateur en utilisant l'option de développement dans les commandes suivantes : dsget user "UserDN" –memberof [-expand] dsget computer "ComputerDN" –memberof [-expand]
L'option memberof retourne la valeur de l'attribut memberOf de l'utilisateur ou de l'ordinateur en indiquant les groupes dont l'objet est un membre direct. En ajoutant l'option expand, ces groupes font l'objet d'une recherche récursive en produisant la liste complète des groupes dont l'objet utilisateur est membre dans le domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-60
4-61
Copie des membres des groupes
Points clés Vous pouvez combiner la commande DSGet avec la commande DSMod pour copier les membres d'un groupe. Dans l'exemple ci-dessous, la commande DSGet permet d'obtenir des informations sur tous les membres du groupe Sales, puis en envoyant la liste à la commande DSMod, d'ajouter ces utilisateurs au groupe Marketing : dsget group "CN=Sales,OU=Role,OU=Groups,DC=contoso,DC=com" –members | dsmod group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" –addmbr
Notez l'utilisation du piping. La sortie de DSGet (noms uniques des membres du premier groupe) est envoyée en utilisant le symbole "|" comme entrée pour les noms DN qui manquent dans l'option -addmbr. De même, vous pouvez utiliser conjointement les commandes DSGet et DSMod pour copier les membres d'un groupe d'un objet, tel qu'un utilisateur, vers un autre objet : dsget user "SourceUserDN" –memberof | dsmod group –addmbr "TargetUserDN"
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Déplacement des groupes et changement de leurs noms
Points clés Vous pouvez déplacer et renommer les groupes dans Utilisateurs et ordinateurs Active Directory en cliquant avec le bouton droit de la souris sur un groupe et en cliquant sur la commande Déplacer ou Renommer. La commande DSMove permet de déplacer ou de renommer un objet dans un domaine. Vous pouvez l'utiliser pour transférer des objets entre les domaines. La syntaxe de base est la suivante : dsmove ObjectDN [-newname NewName] [-newparent TargetOUDN]
L'objet est défini en utilisant son nom unique dans le paramètre ObjectDN. Pour renommer un objet, définissez un nouveau nom commun dans le paramètre newname. Pour transférer un objet vers un autre emplacement, définissez le nom unique du conteneur cible dans le paramètre -newparent.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-62
4-63
Par exemple, pour remplacer le nom du groupe Marketing par Public Relations, tapez : dsmove "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" –newname "Public Relations"
Pour transférer ce groupe vers l'UO Marketing, tapez : dsmove "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com" –newparent "OU=Marketing,DC=contoso,DC=com"
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Suppression de groupes
Points clés Vous pouvez supprimer un groupe dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory en cliquant avec le bouton droit de la souris sur le groupe et en choisissant la commande Supprimer. En outre, vous pouvez utiliser la commande DSRm pour supprimer un groupe ou tout autre objet Active Directory. La syntaxe de base de DSRm est la suivante : dsrm ObjectDN ... [-subtree [-exclude]] [-noprompt] [-c]
L'objet est défini en utilisant son nom unique dans le paramètre ObjectDN. Un message demande de confirmer la suppression de chaque objet si vous ne définissez pas l'option -noprompt. L'option -c place la commande DSRm en mode de fonctionnement continu dans lequel les erreurs sont signalées, mais n'empêchent pas de traiter d'autres objets. Sans l'option -c, le traitement s'arrête sur la première erreur. L'option -subtree permet à la commande DSRm de supprimer l'objet et tous ses objets enfant. L'option -subtree -exclude supprime tous les objets enfant, mais pas l'objet lui-même.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-64
4-65
Pour supprimer le groupe Public Relations, tapez : dsrm "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com"
Identifiez les conséquences avant de supprimer un groupe Lorsque vous supprimez un groupe, vous supprimez un point de gestion dans l'entreprise. Veillez à évaluer l'environnement pour déterminer s'il existe des autorisations ou d'autres ressources qui dépendent du groupe. La suppression d'un groupe est une action importante qui peut avoir des conséquences significatives. Lorsque vous supprimez un groupe, vous supprimez son SID. La recréation du groupe avec le même nom ne restaure pas les autorisations, car le SID du nouveau groupe est différent du celui du groupe d'origine. Avant de supprimer un groupe, il est recommandé d'enregistrer ses membres et de supprimer tous les membres pendant une période donnée pour déterminer si les membres ont perdu leur accès aux ressources. En cas d'erreur, rajoutez simplement les membres. Si le test aboutit, supprimez le groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique A : Administration des groupes
Scénario Pour améliorer la gestion des accès aux ressources chez Contoso, Ltd., vous avez décidé d'implémenter la gestion à base de rôles. La première application de la gestion à base de rôles consistera à déterminer les personnes autorisées à accéder aux informations des ventes. Vous devez créer des groupes qui gèrent l'accès aux informations sensibles. Les règles de l'entreprise stipulent que les employés des services Sales et Marketing et les Consultants doivent pouvoir lire les dossiers des ventes. De plus, Bobby Moore nécessite un accès en lecture. Enfin, on vous a demandé de rechercher un moyen de produire la liste des membres des groupes, y compris des membres des groupes imbriqués, et la liste des membres des groupes d'un utilisateur, y compris les membres indirects ou imbriqués.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-66
4-67
Exercice 1 : Implémenter la gestion à base de rôles en utilisant des groupes Dans cet exercice, vous aller implémenter la gestion à base de rôles en utilisant des groupes et la meilleure pratique de stratégie d'imbrication de groupes, IGDLA. Vous allez créer différents étendues et types en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs et des outils de ligne de commande. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Créer des groupes de rôles via Utilisateurs et ordinateurs Active Directory
3.
Créer des groupes de rôles avec DSAdd
4.
Ajouter des utilisateurs au groupe de rôles.
5.
Implémenter une hiérarchie de rôles dans laquelle les directeurs des ventes (Sales Managers) font partie également du rôle Sales.
6.
Créer un groupe de gestion des accès aux ressources.
7.
Affecter des autorisations au groupe de gestion des accès aux ressources
8.
Déterminer les rôles et les utilisateurs qui peuvent accéder à une ressource.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
3.
Exécutez D:\Labfiles\Lab04b\Lab04a_Setup.bat avec les informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tâche 2 : Créer des groupes de rôles avec Utilisateurs et ordinateurs Active Directory 1.
Exécutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Créez les groupes de sécurité globaux Sales et Consultants dans l'UO Groups\Role.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Créer un groupe avec DSAdd 1.
Exécutez l'invite de commandes avec les informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
En utilisant la commande DSAdd, créez le groupe de sécurité global Auditors dans l'UO Groups\Role.
3.
Dans Utilisateurs et ordinateurs Active Directory, vérifiez que l'objet a été créé.
Tâche 4 : Ajouter des utilisateurs au groupe de rôles. 1.
Ajoutez Tony Krijnen au groupe Sales en utilisant l'onglet Membres du groupe Sales.
2.
Ajoutez Linda Mitchell au groupe Sales en cliquant avec le bouton droit de la souris sur Linda Mitchell et en choisissant Ajouter à un groupe.
Tâche 5 : Implémenter une hiérarchie de rôles dans laquelle les directeurs des ventes (Sales Managers) font partie également du rôle Sales. •
Ajoutez le groupe Sales Managers au groupe Sales en utilisant l'onglet Membre de du groupe Sales Managers .
Tâche 6 : Créer un groupe de gestion des accès aux ressources. •
Créez le groupe de sécurité local de domaine ACL_Sales Folders_Read dans l'UO Groups\Access.
Tâche 7 : Affecter des autorisations au groupe de gestion des accès aux ressources 1.
Dans D:\Data, créez le dossier Sales.
2.
Cliquez avec le bouton droit de la souris sur le dossier Sales, puis cliquez sur Propriétés et sur l'onglet Sécurité.
3.
Cliquez sur Édition et sur Ajouter.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-68
4.
4-69
Tapez ACL_ et appuyez sur ENTRÉE. Notez que lorsque vous utilisez un préfixe pour les noms de groupe, tel que ACL_ pour les groupes d'accès aux ressources, vous pouvez les retrouver rapidement.
5.
Cliquez sur ACL_Sales Folders_Read et sur OK.
6.
Vérifiez que le groupe a été affecté de l'autorisation de lecture et d'exécution.
7.
Cliquez sur OK pour fermer la boîte de dialogue ouverte.
Tâche 8 : Déterminer les rôles et les utilisateurs qui peuvent accéder à une ressource. •
Ajoutez Sales, Consultants, Auditors et Bobby Moore au groupe ACL_Sales Folders_Read. Résultats : Dans cet exercice, vous avez implémenté une gestion à base de rôles simple pour gérer l'accès en lecture au dossier Sales.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 2 : Gérer les membres des groupes depuis l'invite de commandes Dans cet exercice, vous allez gérer les membres des groupes depuis l'invite de commandes en utilisant des commandes, telles que DSGet et DSMod. Les tâches principales de cet exercice sont les suivantes : 1.
Modifier les membres des groupes avec DSMod
2.
Extraire les membres des groupes avec DSGet
Tâche 1 : Modifier les membres des groupes avec DSMod 1.
Revenez à l'invite de commandes. Tapez la commande ci-dessous, puis appuyez sur ENTRÉE. dsmod group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com" addmbr "CN=Mike Danseglio,OU=Employees,OU=User Accounts, DC=contoso,DC=com" "CN=Finance Managers,OU=Role, OU=Groups,DC=contoso,DC=com"
2.
Dans Utilisateurs et ordinateurs Active Directory, vérifiez que les membres du groupe Auditors incluent Mike Danseglio et le groupe Finance Managers.
Tâche 2 : Extraire les membres des groupes avec DSGet 1.
Revenez à l'invite de commandes.
2.
Affichez la liste des membres directs du groupe Auditors en tapant la commande suivante et en appuyant sur ENTRÉE : dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com" -members
3.
Affichez la liste de complète des membres directs du groupe Auditors en tapant la commande suivante et en appuyant sur ENTRÉE : dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com" -members –expand
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-70
4.
4-71
Affichez la liste complète des membres du groupe ACL_Sales Folders_Read en tapant la commande suivante et en appuyant sur ENTRÉE : dsget group "CN=ACL_Sales Folders_Read,OU=Access, OU=Groups,DC=contoso,DC=com" -members -expand
5.
Affichez la liste des membres directs du groupe Mike Danseglio en tapant la commande suivante et en appuyant sur ENTRÉE : dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts, DC=contoso,DC=com" –memberof
6.
Affichez la liste complète des membres du groupe Mike Danseglio en tapant la commande suivante et en appuyant sur ENTRÉE : dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts, DC=contoso,DC=com" –memberof -expand
Résultats : Dans cet exercice, vous avez implémenté une gestion à base de rôles simple pour gérer l'accès en lecture au dossier Sales.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 3 (facultatif avancé) : Explorer les outils de génération de rapports des membres des groupes Les exercices avancés facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplémentaires. Le corrigé de l'atelier pratique ne contient pas de réponses. Les tâches principales de cet exercice sont les suivantes : 1.
Ouvrez D:\AdminTools\Members_Report.hta. Entrez le nom d'un groupe et cliquez sur Rapport.
2.
Ouvrez D:\AdminTools\MemberOf_Report.hta. Entrez le nom d'un utilisateur, d'un ordinateur ou d'un groupe et cliquez sur Rapport.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-72
4-73
Exercice 4 (facultatif avancé) : compréhension des autorisations "Compte inconnu" Les exercices avancés facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplémentaires. Le corrigé de l'atelier pratique ne contient pas de réponses. Les tâches principales de cet exercice sont les suivantes : 1.
Dans l’unité d’organisation Role, créez le groupe de sécurité global Test.
2.
Affectez l'autorisation de lecture et d'exécution au dossier D:\Data\Sales.
3.
Supprimez le groupe Test.
4.
Examinez l'onglet Sécurité de la boîte de dialogue du dossier Sales. Si le groupe Test figure toujours dans la liste, il se peut que l'Explorateur Windows masque l'association du SID au nom de groupe. Fermez la session, rouvrez une session et vérifiez de nouveau.
Remarque : n'arrêtez pas les ordinateurs virtuels à lorsque vous avez terminé l'atelier pratique. Les paramètres que vous y avez configurés seront réutilisés dans l'atelier pratique B.
Questions de contrôle des acquis Question : Décrivez la fonction des groupes globaux dans le cadre de la gestion à base de rôles. Question : Quels sont les types d'objets qui peuvent être membres des groupes globaux ? Question : Décrivez la fonction des groupes locaux de domaine dans le cadre de la gestion des accès aux ressources à base de rôles. Question : Quels sont les types d'objets qui peuvent être membres des groupes locaux de domaine ? Question : Si vous avez implémenté la gestion à base de rôles et que l'on vous demande d'indiquer les utilisateurs qui peuvent lire les dossiers Sales, quelle commande utilisez-vous ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 3
Meilleures pratiques de gestion des groupes
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
documenter la fonction d'un groupe en utilisant les attributs du groupe ;
•
protéger un groupe contre la suppression accidentelle ;
•
déléguer la gestion des membres des groupes en utilisant l'onglet Géré par ;
•
expliquer les groupes secondaires ;
•
expliquer les groupes par défaut (intégrés) ;
•
expliquer les identités spéciales.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-74
4-75
Meilleures pratiques de documentation des groupes
Points clés La création d'un groupe dans Active Directory est simple. Mais il n'est pas aussi simple de déterminer si le groupe est utilisé correctement. Vous pouvez faciliter la gestion et l'utilisation d'un groupe en documentant sa fonction pour indiquer aux administrateurs quand et comment utiliser le groupe. Il existe plusieurs meilleures pratiques qui, bien qu'elles ne feront vraisemblablement pas partie des questions de l'examen de certification, s'avèrent très utiles pour administrer les groupes dans l'entreprise.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Établir et respecter une convention d'affectation de nom stricte Une convention d'affectation de nom a été proposée dans une leçon précédente. Dans le contexte de l'administration des groupes, l'établissement et le respect des normes d'affectation de nom améliorent la productivité des administrateurs. En utilisant des préfixes pour indiquer la fonction d'un groupe et en utilisant un délimiteur cohérent entre le préfixe et la partie descriptive des noms de groupe, vous pouvez permettre aux utilisateurs de rechercher le groupe correspondant à une fonction donnée. Par exemple, le préfixe APP peut être utilisé pour désigner des groupes qui servent à gérer les applications et le préfixe ACL, pour les groupes affectés d'autorisations dans les listes de contrôle d'accès. Ces préfixes facilitent la recherche et l'interprétation de la fonction des groupes, tels que APP_Accounting et ACL_Accounting_Read, le premier étant utilisé pour gérer le déploiement du logiciel de comptabilité et le second pour fournir l'accès en lecture au dossier de comptabilité. Les préfixes permettent également regrouper les noms des groupes dans l'interface utilisateur. La capture d'écran ci-dessous montre un exemple :
Lorsque vous recherchez un groupe à utiliser pour affecter des autorisations à un dossier, vous pouvez taper le préfixe ACL_ dans la boîte de dialogue de sélection et cliquer sur OK. La boîte de dialogue Noms multiples trouvés apparaît en indiquant uniquement les groupes ACL_ dans l'annuaire, ce qui permet d'affecter des autorisations à un groupe destiné à gérer les accès aux ressources.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-76
4-77
Résumer la fonction d'un groupe avec son attribut de description Utilisez l'attribut de description d'un groupe pour résumer la fonction du groupe. Étant donné que la colonne Description est activée par défaut dans le volet des détails du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, les administrateurs peuvent identifier très clairement la fonction du groupe. Détailler la fonction d'un groupe dans ses commentaires Lorsque vous ouvrez la boîte de dialogue des propriétés, la zone de commentaires se trouvent au bas de l'onglet Général. Vous pouvez utiliser cette zone pour documenter la fonction du groupe. Par exemple, vous pouvez afficher la liste des dossiers auxquels un groupe est autorisé à accéder, comme indiqué ci-dessous :
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Protection des groupes contre la suppression accidentelle
Points clés Protégez-vous contre la suppression accidentelle d'un groupe qui peut avoir des conséquence considérables en protégeant chaque groupe que vous créez contre la suppression. Windows Server® 2008 facilite la protection des objets contre la suppression. Pour protéger un objet, procédez comme suit : 1.
Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez sur le menu Affichage et cochez la case Fonctionnalités avancées.
2.
Ouvrez la boîte de dialogue Propriétés d'un groupe.
3.
Dans l'onglet Objet, cochez la case Protéger l’objet des suppressions accidentelles.
4.
Cliquez sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-78
4-79
Il s'agit de l'un des quelques emplacements de Windows dans lesquels vous devez réellement cliquer sur OK. Si vous cliquez sur Appliquer, vous ne modifiez pas l'ACL en fonction de votre sélection. L'option Protéger l’objet des suppressions accidentelles applique une entrée de contrôle d'accès (ACE) à l'ACL de l'objet qui empêche explicitement le groupe Tout le monde d'effectuer des suppressions et de supprimer une sous-arborescence. Si vous voulez supprimer le groupe, vous pouvez retourner dans l'onglet Objet de la boîte de dialogue des propriétés et désélectionner la case Protéger l’objet des suppressions accidentelles. La suppression d'un groupe a un impact considérable sur les administrateurs et éventuellement sur la sécurité. Supposez que vous disposiez d'un groupe utilisé pour gérer l'accès aux ressources. Si vous supprimez le groupe, l'accès aux ressources change. Les utilisateurs qui devraient pouvoir accéder aux ressources ne peuvent plus y accéder soudainement, ce qui crée un dénis de service ou si vous avez utilisé le groupe pour interdire l'accès à une ressource avec un refus d'autorisation, il devient possible d'accéder à la ressource. De plus, si vous recréez le groupe, le nouvel objet groupe dispose d'un nouvel identificateur de sécurité (SID) qui ne correspond pas aux SID dans les ACL des ressources. Par conséquent, vous devez restaurer l'objet pour réactiver le groupe supprimé avant que le délai de désactivation soit atteint. Lorsqu'un groupe est supprimé pendant le délai de désactivation (60 jours par défaut), le groupe et son SID sont supprimés définitivement d'Active Directory. Lorsque vous réactivez un objet désactivé, vous devez recréer la plupart de ses attributs, notamment principalement, l'attribut member des objets groupe. Cela implique que vous devez recréer les membres du groupe après avoir restauré l'objet supprimé. Vous pouvez également exécuter une restauration faisant autorité ou, dans Windows Server 2008, utiliser vos captures instantanées Active Directory pour restaurer le groupe et ses membres. La restauration faisant autorité et les captures instantanées sont traitées dans le module 13. Pour en savoir plus sur la restauration des groupes supprimés et de leurs membres, consultez l'article 840001 dans la base de connaissances accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168758. De manière générale, il convient de souligner que la restauration d'un groupe devrait être exécutée uniquement dans le cadre d'un exercice d'incendie et non pas dans un environnement de production.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Délégation de la gestion des membres avec l'onglet Géré par
Points clés Après avoir créé un groupe, vous pouvez déléguer la gestion de ses membres à une équipe ou une personne responsable de la ressource que gère le groupe. Supposez que votre directeur financier doive créer le budget du prochain exercice. Vous créez un dossier pour le budget et affectez l'autorisation d'écriture au groupe ACL_Budget_Edit. Si une personne doit accéder au dossier du budget, elle contacte l'assistance pour faire la demande, l'assistance contacte le directeur financier pour l'approbation, puis l'assistance ajoute la personne au groupe ACL_Budget_Edit. Vous pouvez améliorer la réactivité et la partie décisionnelle du processus en autorisant le directeur financier à changer les membres du groupe. Ainsi, les utilisateurs qui doivent disposer d'un accès peuvent le demander directement au directeur financier qui peut effectuer la modification en éliminant l'étape du contact de l'assistance. Pour déléguer la gestion des membres d'un groupe, vous devez affecter au responsable financier l'autorisation Allow Write Member (Autoriser écriture de membre). L'attribut member est l'attribut à plusieurs valeurs qui est le membre du groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-80
4-81
La méthode la plus simple pour déléguer la gestion des membres d'un groupe consiste à utiliser l'onglet Géré par. L'onglet Géré par de la boîte de dialogue des propriétés d'un objet groupe est représentée ci-dessous :
Cet onglet a deux fonctions. Il fournit les informations de contact associées au responsable d'un groupe. Vous pouvez utiliser ces informations pour contacter le propriétaire d'un groupe pour obtenir l'approbation avant d'ajouter un utilisateur à un groupe. Il permet de gérer la délégation de l'attribut member. Notez la case à cocher indiquée ci-dessus. Elle s'appelle Le gestionnaire peut mettre à jour la liste des membres. Lorsque vous la sélectionnez, l'utilisateur ou le groupe qui figure dans le champ Nom reçoit l'autorisation Allow Write Member. Si vous changez ou supprimez le gestionnaire, la modification appropriée est répercutée dans l'ACL du groupe. Conseil : vous devez cliquer sur OK pour implémenter la modification. Si vous cliquez sur Appliquer vous ne changez pas l'ACL du groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Insérer un groupe dans l'onglet Géré par d'un autre groupe n'est pas si simple. Lorsque vous cliquez sur le bouton Modifier, la boîte de dialogue de sélection d'un utilisateur, d'un contact ou d'un groupe s'affiche. Si vous entrez le nom d'un groupe et cliquez sur OK, une erreur se produit, car cette boîte de dialogue n'est pas configurée pour accepter les groupes comme types d'objets valides, même si la boîte de dialogue s'appelle Groupe. Pour résoudre cette limitation étrange, cliquez sur le bouton Types d'objets et cochez la case à côté de Groupes. Cliquez sur OK pour fermer les boîtes de dialogue Types d'objets et Sélectionner. Veillez à cochez la case Le gestionnaire peut mettre à jour la liste des membres si vous voulez affecter l'autorisation Allow Write Member au groupe. Lorsque vous utilisez un groupe dans l'onglet Géré par, aucune information de contact n'est visible, car les groupes ne contiennent pas d'attributs de contact.
Après avoir délégué la gestion des membres d'un groupe, un utilisateur ne nécessite pas que Utilisateurs et ordinateurs modifie les membres du groupe. Un utilisateur peut simplement utiliser la fonction Rechercher dans Active Directory des clients Windows pour rechercher le groupe et changer ses membres. Pour rechercher un groupe : 1.
Cliquez sur Démarrer et sur Réseau.
2.
Cliquez sur le bouton Rechercher dans Active Directory dans la barre d'outils.
3.
Tapez le nom du groupe et cliquez sur Rechercher.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-82
4-83
Groupes par défaut
Points clés Un certain nombre de groupes sont créés automatiquement sur un serveur Windows Server 2008. Ces groupes s'appellent des groupes locaux par défaut qui comprennent des groupes familiers, tels que Administrateurs, Opérateurs de sauvegarde et Utilisateurs du Bureau à distance. D'autres groupes sont créés dans un domaine, à savoir dans les conteneurs BUILTIN et Users, notamment Admins du domaine, Administrateurs de l'entreprise et Administrateurs du schéma. La liste suivante répertorie les fonctions du sous-ensemble de groupes par défaut qui ont des autorisations et des droits significatifs associés à la gestion d'Active Directory. Administrateurs de l'entreprise (conteneur Users du domaine racine de la forêt) Ce groupe est membre du groupe Administrateurs dans chaque domaine de la forêt, ce qui lui permet d'accéder à la configuration de tous les contrôleurs du domaine. Il détient également la partition Configuration de l'annuaire et contrôle complètement le contexte d'affectation de nom de domaine dans tous les domaines de la forêt.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Administrateurs du schéma (conteneur Users du domaine racine de la forêt) Ce groupe est propriétaire du schéma Active Directory et le contrôle complètement. Administrateurs (conteneurs BUILTIN de chaque domaine) Ce groupe contrôle complètement tous les contrôleurs et données du domaine dans le contexte d'affectation de nom de domaine. il peut changer les membres de tous les groupes d'administration du domaine et le groupe Administrateurs du domaine racine de la forêt peut changer les membres de Admins du domaine, Administrateurs de l'entreprise et Administrateurs du schéma. Le groupe Administrateurs dans le domaine racine de la forêt est sans conteste le groupe d'administration de services le plus puissant de la forêt. Admins du domaine (conteneur Users de chaque domaine) Ce groupe est ajouté au groupe Administrateurs de son domaine. Par conséquent, il hérite des fonctions du groupe Administrateurs. Par défaut, il est également ajouté au groupe local Administrateurs de chaque ordinateur membre du domaine, ce qui lui donne la propriété Admins du domaine de tous les ordinateurs du domaine. Opérateurs de serveur (conteneurs BUILTIN de chaque domaine) Ce groupe peut exécuter des tâches de maintenance sur les contrôleurs du domaine. Il peut ouvrir des sessions localement, démarrer et arrêter les services, exécuter des sauvegardes et des restaurations, créer ou supprimer des partages et arrêter les contrôleurs du domaine. Par défaut, ce groupe ne contient pas de membres. Opérateurs de compte (conteneurs BUILTIN de chaque domaine) Ce groupe peut créer, modifier et supprimer des comptes pour des utilisateurs, des groupes et des ordinateurs situés dans les unités d'organisation du domaine (sauf l'UO Domain Controllers) et dans le conteneur Users et Computers. Les opérateurs de compte ne peuvent pas modifier les comptes membres des groupes Administrateurs ou Admins de domaine et ils ne peuvent pas non plus modifier ces groupes. Les opérateurs peuvent aussi ouvrir des sessions localement sur les contrôleurs du domaine. Par défaut, ce groupe ne contient pas de membres. Opérateurs de sauvegarde (conteneurs BUILTIN de chaque domaine) Ce groupe peut exécuter des sauvegardes et des restaurations sur les contrôleurs du domaine, ouvrir des sessions localement et arrêter les contrôleurs du domaine. Par défaut, ce groupe ne contient pas de membres.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-84
4-85
Opérateurs d'impression (conteneurs BUILTIN de chaque domaine) Ce groupe peut gérer les files d'attente dans les contrôleurs du domaine. Il peut aussi ouvrir des sessions localement et arrêter les contrôleurs du domaine. Les groupes par défaut qui fournissent des privilèges d'administration doivent être gérés avec précaution, parce que ils disposent généralement de privilèges plus étendus que nécessaire pour la plupart des environnements délégués et qu'ils appliquent souvent une protection à leurs membres. Le groupe Opérateurs de compte est un parfait exemple. Si vous examinez ses fonctions dans la liste ci-dessus, vous constatez qu'il dispose de droits très étendus. Il peut même ouvrir des sessions localement sur un contrôleur du domaine. Dans les très petites entreprises, ces droits sont probablement appropriés pour une ou deux personnes qui sont vraisemblablement des administrateurs de domaine. Dans les grandes entreprises, les droits et autorisations accordés aux opérateurs de compte sont généralement beaucoup trop étendus. De plus, le groupe Opérateurs de compte, à l'instar des autres groupes d'administration ci-dessus, est un groupe protégé. Les groupes protégés sont définis par le système d'exploitation et leur protection ne peut pas être annulée. Les membres d'un groupe protégé sont protégés. La protection modifie les autorisations (ACL) des membres pour qu'ils n'héritent plus des autorisations de leur UO, mais pour qu'ils reçoivent une copie de l'ACL qui est très restrictive. Si, par exemple, vous ajoutez Jeff Ford au groupe Opérateurs de compte, son compte est protégé et l'assistance, qui peut réinitialiser les mots de passe de tous les utilisateurs de l'UO Employees, ne peut pas réinitialiser le mot de passe de Jeff Ford. Pour plus d'informations sur les comptes protégés, voir l'article 817433 dans la base de données accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168759 et l'article 840001 accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168760. Si vous voulez rechercher des ressources sur Internet, utilisez le mot clé adminSDHolder. Pour ces raisons, surdélégation et protection, évitez d'ajouter des utilisateurs aux groupes ci-dessous qui ne contiennent pas de membre par défaut : Opérateurs de compte, Opérateurs de sauvegarde, Opérateurs de serveur et Opérateurs d'impression. À la place, créez des groupes personnalisés en leur affectant des autorisations et des droits d'utilisateur qui répondent aux besoins de l'entreprise et d'administration.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Par exemple, si Scott Mitchell doit pouvoir exécuter des sauvegardes et des restaurations sur un contrôleur du domaine, mais ne doit pas être autorisé à effectuer des restaurations qui risquent de restaurer la base de données ou de l'endommager et à arrêter un contrôleur du domaine, ne placez pas Scott dans le groupe Opérateurs de sauvegarde. À la place, créez un groupe et affectez-lui uniquement le droit d'utilisateur Sauvegarder les fichiers et les répertoires, puis ajoutez Scott à ce groupe. Vous trouverez sur Microsoft TechNet une référence complète aux groupes par défaut dans un domaine et aux groupes locaux par défaut. Si les groupes par défaut et leurs fonctions ne vous sont pas familiers, préparez l'examen en les consultant. La référence aux groupes de domaine par défaut est accessible sur le site Web http://go.microsoft.com/fwlink/?LinkId=168761 et celle des groupes locaux par défaut, à l'adresse http://go.microsoft.com/fwlink/?LinkId=168762.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-86
4-87
Identités spéciales
Points clés Windows et Active Directory prennent en charge des identités spéciales, des groupes dont les membres sont contrôlés par le système d'exploitation. Vous ne pouvez pas afficher les groupes d'une liste (dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, par exemple), ni afficher ou modifier les membres de ces identités spéciales, ni les ajouter à d'autres groupes. Toutefois, vous pouvez utiliser ces groupes pour affecter des droits et des autorisations. Les identités spéciales les plus importantes, généralement appelées groupes, par souci de commodité, sont décrites ci-dessous : •
Ouverture de session anonyme. Cette identité représente les connexions à un ordinateur et ses ressources établies sans fournir un nom d'utilisateur et un mot de passe. Avant Windows Server 2003, ce groupe était membre du groupe Tout le monde. Depuis Windows Server 2003, ce groupe n'est plus un membre par défaut du groupe Tout le monde.
•
Utilisateurs authentifiés. Il s'agit des identités qui ont été authentifiées. Ce groupe ne contient pas Invité, même si le compte Invité a un mot de passe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
Tout le monde. Cette identité inclut les utilisateurs authentifiés et le compte Invité. Sur les ordinateurs sur lesquels des versions Windows antérieures à Windows Server 2003 sont exécutées, ce groupe contient Ouverture de session anonyme.
•
Interactif. Il s'agit des utilisateurs qui accèdent à une ressource lorsqu'ils ont ouvert une session localement sur un ordinateur qui héberge la ressource au lieu d'accéder à cette dernière sur le réseau. Dès qu’un utilisateur accède à une ressource sur un ordinateur sur lequel il a ouvert une session localement, l'utilisateur est ajouté automatiquement au groupe Interactif de la ressource. Le groupe Interactif contient également les utilisateurs qui ont ouvert une session via une connexion Bureau à distance.
•
Réseau. Il s'agit des utilisateurs qui accèdent à une ressource sur le réseau et non pas des utilisateurs qui ont ouvert une session localement sur l'ordinateur qui héberge la ressource. Lorsqu'un utilisateur accède à une ressource sur le réseau, il est ajouté automatiquement au groupe Réseau de la ressource.
Ces identités sont importantes dans la mesure où elles permettent de fournir un accès aux ressources en fonction du type d'authentification ou de la connexion et non pas du compte d'utilisateur. Par exemple, vous pouvez créer un dossier sur un système qui permet aux utilisateurs d'afficher son contenu lorsqu'ils ouvrent une session localement sur le système, mais pas le contenu d'un lecteur mappé sur le réseau. Pour leur permettre de l'afficher, il est nécessaire d'affecter des autorisations à l'identité spéciale Interactif.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-88
4-89
Atelier pratique B : Meilleures pratiques de gestion des groupes
Scénario Votre implémentation de la gestion à base de rôles chez Contoso est très efficace. Le nombre de groupes dans le domaine ayant augmenté, vous constatez qu'il est important de documenter les groupes soigneusement et d'empêcher les administrateurs de supprimer accidentellement un groupe. Enfin, vous voulez permettre aux propriétaires des ressources de l'entreprise de gérer les accès aux ressources en délégant aux propriétaires le droit de modifier les membres des groupes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Implémentation des meilleures pratiques de gestion des groupes Dans cet exercice, vous allez exécuter les tâches ci-après pour documenter, déléguer et protéger les groupes. 1.
Préparer l'atelier pratique.
2.
Créer un groupe bien documenté.
3.
Protéger un groupe contre la suppression accidentelle.
4.
Déléguer la gestion des membres des groupes.
5.
Valider la délégation de la gestion des membres des groupes.
Tâche 1 : Préparation de l'atelier pratique L'ordinateur virtuel doit être déjà démarré et disponible à la fin de l'atelier A. S'il ne l'est pas, vous devez le démarrer et effectuer les exercices de l'atelier A avant de continuer. 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
Tâche 2 : Création d'un groupe bien documenté 1.
Exécutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans les propriétés du groupe ACL_Sales Folders_Read, définissez les éléments suivants : •
La description qui résume la règle de gestion des ressources représentée par le groupe : Sales Folders (READ)
•
Dans la zone Commentaires, tapez les chemins suivants pour représenter les dossiers ayant des autorisations affectées à ce groupe : \\contoso\teams\Sales (READ) \\file02\data\Sales (READ) \\file03\news\Sales (READ)
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-90
4-91
Tâche 3 : Protection d'un groupe contre la suppression accidentelle 1.
Activez la vue Fonctionnalités avancées du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2.
Protégez le groupe ACL_Sales Folders_Read contre la suppression accidentelle.
3.
Tentez de supprimer le groupe. Vérifiez que la suppression du groupe est refusée.
Tâche 4 : Déléguer la gestion des membres des groupes •
Définissez l'attribut Géré par du groupe Auditors pour faire référence à Mike Danseglio.
Tâche 5 : Valider la délégation de la gestion des membres des groupes 1.
Fermez la session HQDC01, puis ouvrez une session en utilisant le nom d'utilisateur Mike.Danseglio et le mot de passe Pa$$w0rd.
2.
Ouvrez la fenêtre Réseau et utilisez Rechercher dans Active Directory pour rechercher le groupe Auditors.
3.
Ajoutez le groupe Executives au groupe Auditors.
4.
Fermez la session HQDC01.
Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 2 (facultatif avancé) : Gestion des membres des groupes secondaires Les exercices avancés facultatifs permettent aux stagiaires qui terminent rapidement les exercices de l'atelier d'effectuer des exercices supplémentaires. Le corrigé de l'atelier pratique ne contient pas de réponses. Les tâches principales de cet exercice sont les suivantes : 1.
Vérifier que le groupe de sécurité global Administrative Identities est bien présent dans l'UO Groups\Role. Il s'agit du groupe instantané qui contient les comptes de l'UO Admin Identities.
2.
Créer un script de commandes qui utilise DSQuery, DSGet et DSMod pour synchroniser les membres du groupe avec les utilisateurs de l'UO Admin Identities. Le script est exécuté régulièrement pour que les membres du groupe restent synchronisés avec l'UO Identités d'administration. Le script doit tenir compte des nouveaux utilisateurs ajoutés à l'UO et des utilisateurs qui en sont supprimés.
3.
Tester le script en exécutant les étapes suivantes avec les informations d'identification d'administrateur : a.
Exécutez le script.
b.
Vérifiez que les membres du groupe Identités d'administration correspondent au contenu de l'UO Identités d'administration.
c.
Créez un compte d'utilisateur dans l'UO Identités d'administration.
d. Exécutez le script.
4.
e.
Vérifiez que le groupe contient le nouvel utilisateur.
f.
Désactivez le nouveau compte d'utilisateur et transférez l'utilisateur vers l'UO Comptes désactivés.
g.
Exécutez le script.
h.
Vérifiez que le groupe ne contient plus l'utilisateur.
Si vous avez le temps, créez une tâche planifiée qui exécute le script toutes les minutes. Répétez la séquence de test, mais autorisez l'exécution de la tâche planifiée au lieu d'exécuter le script.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-92
4-93
Vous pouvez comparer le script de commandes à D:\Labfiles\Lab04b\Shadow_Group.bat. Notez que les commandes DS permettent de gérer un groupe secondaire, mais pas efficacement. La suppression de tous les membres et le rajout des membres augmente inutilement le trafic de réplication, notamment pour un grand groupe secondaire comportant des centaines, voire des milliers de membres. Vous pouvez utiliser un langage de script, tel que VBScript ou Windows PowerShell, pour créer un script plus efficace qui met à jour les membres des groupes avec les modifications au lieu de les remplacer. Voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008) pour exemple de script.
Questions de contrôle des acquis Question : Citez des avantages de l'utilisation des champs Description et Commentaires d'un groupe ? Question : Quels sont les avantages et les inconvénients de la délégation des membres des groupes ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des groupes
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-1
Module 5 Prise en charge des comptes d'ordinateur Table des matières : Leçon 1 : Création d'ordinateurs et jonction au domaine
5-4
Atelier pratique A : Création d'ordinateurs et jonction au domaine
5-34
Leçon 2 : Administration des objets et des comptes d'ordinateur
5-42
Atelier pratique B : Administration des objets et des comptes d'ordinateur
5-62
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vue d'ensemble du module
Les ordinateurs au sein d'un domaine sont des entités de sécurité, tout comme les utilisateurs. Ils possèdent un compte avec un nom d’ouverture de session et un mot de passe que Windows® change automatiquement environ tous les mois. Ils s’authentifient auprès du domaine. Ils peuvent appartenir à des groupes, avoir accès à des ressources et être configurés via la Stratégie de groupe. Et, à l’instar des utilisateurs, les ordinateurs perdent parfois la trace de leurs mots de passe, ce qui nécessite une réinitialisation, ou ils possèdent des comptes qui ont besoin d’être activés ou désactivés. L'administration des ordinateurs, aussi bien des objets dans Active Directory que des appareils physiques, est l'une des tâches quotidiennes de la plupart des professionnels de l'informatique. De nouveaux systèmes sont ajoutés à votre organisation, des ordinateurs sont mis hors connexion pour être réparés, des machines sont échangées entre utilisateurs ou rôles, et l’équipement ancien est déclassé ou mis à niveau, étape ultime avant le remplacement des systèmes. Chacune de ces activités demande de gérer l’identité des ordinateurs représentés par leur objet, ou compte, et Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-2
5-3
Il est regrettable que la majorité des entreprises ne fassent pas preuve d'autant d'attention et de rigueur dans la création et la gestion des comptes d'ordinateur que pour les comptes d'utilisateur, bien qu'il s'agisse dans les deux cas d'entités de sécurité. Dans ce chapitre, vous allez apprendre à créer des objets ordinateur dotés des attributs nécessaires pour en faire des comptes. Vous apprendrez à assurer le support des comptes d’ordinateurs tout au long de leur cycle de vie, ce qui comprend la configuration, la résolution des problèmes, la réparation et la mise hors service des objets ordinateur. Vous aurez également l’occasion d’approfondir vos connaissances sur la façon de joindre un ordinateur à un domaine, ce qui vous permettra d’identifier et d’éviter les points de défaillance potentiels.
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
comprendre la relation entre un membre de domaine et le domaine en termes d’identité et d’accès ;
•
identifier les conditions de jonction d'un ordinateur à un domaine ;
•
implémenter des processus recommandés pour joindre des ordinateurs ;
•
sécuriser AD DS pour empêcher la création de comptes d'ordinateurs non gérés ;
•
gérer les objets ordinateur et leurs attributs en utilisant l'interface Windows et les outils de ligne de commande ;
•
administrer les comptes d'ordinateurs pendant leur cycle de vie ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 1
Création d'ordinateurs et jonction au domaine
Dans la configuration par défaut de Windows Server® 2008, comme dans celle des autres versions de Windows Server et des systèmes d’exploitation clients, l’ordinateur appartient à un groupe de travail. Pour pouvoir ouvrir une session sur un ordinateur avec un compte de domaine, cet ordinateur doit appartenir au domaine. Pour se joindre au domaine, l’ordinateur doit disposer d’un compte dans le domaine. Comme pour un compte d’utilisateur, ce compte possède un nom d’ouverture de session (attribut sAMAccountName), un mot de passe et un identificateur de sécurité (SID) qui représente de manière unique l’ordinateur en qualité d'entité de sécurité du domaine. Ces informations d’identification permettent à l’ordinateur de s’authentifier auprès du domaine et de créer une relation sécurisée qui permet ensuite aux utilisateurs d’ouvrir une session sur le système avec des comptes de domaine. Dans cette leçon, vous allez découvrir la procédure de préparation d’un domaine pour un nouveau compte d’ordinateur, et vous explorerez le processus qui permet de joindre un ordinateur au domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-4
5-5
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
comprendre la relation entre un membre de domaine et le domaine en termes d’identité et d’accès ;
•
identifier les conditions de jonction d'un ordinateur à un domaine ;
•
prédéfinir un compte d’ordinateur ;
•
joindre un ordinateur au domaine ;
•
rediriger le conteneur ordinateur par défaut ;
•
empêcher les utilisateurs non-administrateurs de créer des ordinateurs et de les joindre au domaine ;
•
utiliser des outils de ligne de commande pour importer, créer et joindre des ordinateurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Groupes de travail, domaines et approbations
Points clés Dans un groupe de travail, chaque système dispose d’un magasin d’identités de comptes d’utilisateurs et de groupes à partir duquel les utilisateurs peuvent s’authentifier et établir un accès. Le magasin d’identités local de chaque ordinateur correspond à une base de données SAM (Security Accounts Manager). Si un utilisateur ouvre une session sur un ordinateur du groupe de travail, le système authentifie l’utilisateur par rapport à sa base de données SAM locale. Si l’utilisateur se connecte à un autre système (par exemple, pour accéder à un fichier), l’utilisateur est réauthentifié par rapport au magasin d’identités du système distant. Du point de vue de la sécurité, un ordinateur de groupe de travail est dans la pratique un système autonome.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-6
5-7
Lorsqu’un ordinateur se joint à un domaine, il délègue la tâche d’authentification des utilisateurs au domaine. Même si l’ordinateur dispose toujours de sa base de données SAM pour gérer les comptes d’utilisateurs et de groupes locaux, les comptes d’utilisateurs sont généralement créés dans l’annuaire central du domaine. Lorsqu’un utilisateur ouvre une session sur l’ordinateur avec un compte de domaine, l’utilisateur est alors authentifié par un contrôleur de domaine, et non par le SAM. Autrement dit, l’ordinateur se fie désormais à une autre autorité pour valider l’identité d’un utilisateur. Si l’on parle généralement de relations d’approbation dans le contexte de deux domaines, comme vous le verrez dans un autre module, une relation d’approbation s’établit également entre chaque ordinateur et le domaine dont il est membre au moment où l’ordinateur se joint au domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Conditions requises pour joindre un ordinateur au domaine
Points clés Les conditions à remplir pour joindre un ordinateur à un domaine Active Directory sont au nombre de trois : •
un objet ordinateur doit être créé dans le service d’annuaire ;
•
vous devez disposer des autorisations adéquates sur l’objet ordinateur. Ces autorisations vous permettent de joindre un ordinateur au domaine avec le même nom que l’objet ;
•
vous devez être membre du groupe Administrateurs local sur l’ordinateur pour modifier son appartenance au domaine ou au groupe de travail.
Chacune de ces conditions est examinée à la suite dans cette leçon.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-8
5-9
Conteneur et unités d’organisation (UO) de l’ordinateur
Points clés Pour pouvoir créer un objet ordinateur dans le service d’annuaire (la première des trois conditions requises pour joindre un ordinateur au domaine), vous devez disposer d’un emplacement prévu à cet effet. Conteneur Computers par défaut Lorsque vous créez un domaine, le conteneur des ordinateurs est créé par défaut (CN=Computers). Ce conteneur n’est pas une unité d’organisation (UO). Il s’agit d’un objet de type conteneur. Les différences entre un conteneur et une UO sont subtiles mais importantes : vous ne pouvez pas créer d’UO dans un conteneur, ce qui vous interdit de subdiviser l’UO Computers, et vous ne pouvez pas lier un objet Stratégie de groupe à un conteneur. Par conséquent, il est vivement recommandé de créer des UO personnalisées pour héberger les objets ordinateur au lieu d’utiliser le conteneur Computers.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Des UO pour les ordinateurs La plupart des organisations créent au moins deux UO pour les objets ordinateur : une pour héberger les comptes d’ordinateurs des ordinateurs clients (ordinateurs de bureau, ordinateurs portables et autres systèmes utilisateur) et un autre pour les serveurs. Ces deux UO s’ajoutent à l’UO Domain Controllers créée par défaut lors de l’installation d’Active Directory. Dans chacune de ces UO, des objets ordinateur sont créés. Du point de vue technique, il n’y a aucune différence entre un objet ordinateur situé dans une UO de client et un objet ordinateur situé dans une UO de serveur ou de contrôleur de domaine : les objets ordinateur sont des objets ordinateur. Mais des UO distinctes sont généralement créées pour fournir des champs de gestion uniques de façon à permettre de déléguer la gestion des objets client à une équipe et celle des objets serveur à une autre. Votre modèle d’administration peut nécessiter une division plus poussée de vos UO de clients et serveurs. Bon nombre d’organisations créent des sous-UO en dessous d’une UO de serveurs pour rassembler et gérer des types spécifiques de serveurs (p. ex., une UO pour les serveurs de fichiers et d’impression et une UO pour les serveurs de bases de données). En procédant ainsi, l’équipe d’administrateurs de chaque type de serveur peut déléguer des autorisations pour gérer les objets ordinateur dans l’UO appropriée. De la même façon, les organisations réparties géographiquement qui disposent d’équipes locales de support des postes de travail ont souvent tendance à diviser une UO parente pour les clients en sous-UO pour chaque site. Cette approche permet à l’équipe de support de chaque site de créer des objets ordinateur pour les ordinateurs clients du site et de joindre ces ordinateurs au domaine par le biais de ces objets ordinateur. Mais il ne s’agit que d’un exemple : le plus important est que votre structure d’UO reflète votre modèle d’administration de sorte que vos UO offrent des points de gestion uniques pour la délégation de l’administration.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-10
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT 5-11 Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
En outre, le fait de disposer d’UO distinctes vous permet de créer différentes configurations de base reposant sur des objets de stratégie de groupe (GPO) distincts liés aux UO de clients et de serveurs. La Stratégie de groupe, examinée en détail dans un autre module, vous permet de spécifier une configuration pour des ensembles d’ordinateurs en liant des objets GPO qui contiennent des instructions de configuration pour les UO. Il est courant que les organisations séparent les clients en UO d’ordinateurs de bureau et d’ordinateurs portables. Les objets GPO spécifiant la configuration des ordinateurs de bureau ou des ordinateurs portables peuvent alors être liés aux UO appropriées. Si votre organisation dispose d’une administration décentralisée basée sur les sites et qu’elle entend gérer des configurations uniques pour les ordinateurs de bureau et les ordinateurs portables, vous faites face à un dilemme au niveau de la conception : avez-vous intérêt à diviser votre UO de clients en fonction de l’administration et de subdiviser ensuite les ordinateurs de bureau et les ordinateurs portables, ou bien est-il préférable de diviser votre UO de clients en UO d’ordinateurs de bureau et d’ordinateurs portables pour ensuite les subdiviser en fonction de l’administration ? Ces cas de figure sont illustrés ci-dessous.
Le principal moteur de la conception d’UO Active Directory étant de déléguer efficacement l’administration par l’héritage de listes de contrôle d’accès (ACL, access control list) au niveau des UO, c’est la conception de gauche qui serait recommandée.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-12
5-13
Délégation d’autorisations de création d’ordinateurs Par défaut, les groupes Administrateurs de l’entreprise, Admins du domaine, Administrateurs, et Opérateurs de compte sont autorisés à créer des objets ordinateur dans une nouvelle UO. Toutefois, comme nous l’avons vu dans le module consacré aux groupes, il est recommandé de limiter de façon stricte l’appartenance dans les trois premiers groupes et de ne pas ajouter d’administrateurs au groupe Opérateurs de compte. Il est préférable de déléguer l’autorisation de création d’objets ordinateur à des administrateurs ou à du personnel de support adéquat. L’autorisation requise pour créer un objet ordinateur est Créer des objets ordinateur. Lorsqu’elle est affectée à un groupe pour une UO, cette autorisation permet aux membres de ce groupe de créer des objets ordinateur dans cette UO. Par exemple, vous pouvez autoriser votre équipe de support des ordinateurs de bureau à créer des objets ordinateur dans l’UO des clients et permettre à vos administrateurs de serveurs de fichiers de créer des objets ordinateur dans l’UO des serveurs de fichiers. Les autorisations nécessaires pour effectuer les tâches de gestion d’ordinateurs sont répertoriées dans la rubrique « Sécuriser la création d’ordinateurs et les jonctions ». Le processus de délégation est détaillé dans le module 8.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Prédéfinir un compte d’ordinateur
Points clés Vous pouvez et avez tout intérêt à créer un compte d’ordinateur dans l’UO correcte avant de joindre l’ordinateur au domaine. Prédéfinir un ordinateur consiste à créer un compte d’ordinateur à l’avance.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-14
5-15
Dès lors que vous avez obtenu l’autorisation de créer des objets ordinateur, vous pouvez vous lancer en cliquant avec le bouton droit sur l’UO et en choisissant Ordinateur dans le menu Nouveau. La boîte de dialogue Nouvel objet – Ordinateur illustrée ci-dessous s'affiche à l'écran :
Entrez le nom d’ordinateur, en respectant la convention d’affectation de noms de votre entreprise, et sélectionnez l’utilisateur ou le groupe qui doit pouvoir joindre l’ordinateur au domaine à partir de ce compte. Les deux noms d'ordinateur — Nom d'ordinateur et Nom d'ordinateur (antérieur à Windows 2000) — doivent être identiques : les cas où leur configuration séparée se justifie sont très rares, pour ne pas dire inexistants. Remarque : les autorisations appliquées à l’utilisateur ou au groupe que vous sélectionnez dans l’Assistant sont plus que suffisantes pour joindre simplement un ordinateur au domaine. L’utilisateur ou le groupe sélectionné a également la possibilité de modifier l’objet ordinateur selon d’autres méthodes. Pour obtenir des conseils pour une approche de délégation de l’autorisation de joindre un ordinateur à un domaine basée sur le principe des privilèges minimum, voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft® Press, 2008).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Lorsque vous créez un compte d’ordinateur avant de joindre l’ordinateur au domaine, on dit que vous prédéfinissez un compte. Le principe de prédéfinir un ordinateur revêt deux avantages majeurs : •
le compte se trouve dans l’UO correcte et les délégations dont elle bénéficie dépendent de la stratégie de sécurité définie par la liste ACL de l’UO ;
•
l’ordinateur se trouve dans la portée des objets GPO liés à l’UO, avant que l’ordinateur soit joint au domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-16
5-17
Joindre un ordinateur au domaine
Points clés En prédéfinissant l’objet ordinateur, vous répondez aux deux premières conditions requises pour joindre un ordinateur à un domaine : l’objet ordinateur existe et vous avez désigné la ou les personnes autorisées à joindre un ordinateur de même nom au domaine. Maintenant, un administrateur local de l’ordinateur peut modifier l’appartenance au domaine de l’ordinateur et entrer les informations d’identification spécifiées du domaine pour terminer le processus. Pour joindre un ordinateur au domaine, procédez comme suit : 1.
Ouvrez une session sur l’ordinateur à partir des informations d’identification qui appartiennent au groupe Administrateurs local de l’ordinateur. Seuls les administrateurs locaux peuvent modifier l’appartenance d’un ordinateur à un domaine ou à un groupe de travail.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
2.
Ouvrez la boîte de dialogue Propriétés système en employant l’une des méthodes suivantes : Windows XP, Windows Server 2003 : •
Ouvrez la boîte de dialogue Propriétés système en procédant de l’une des manières suivantes : •
Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.
•
Appuyez sur les touches Windows+Pause.
Windows Vista®, Windows Server 2008 : a.
Ouvrez la boîte de dialogue Propriétés système en procédant de l’une des manières suivantes : •
Cliquez avec le bouton droit sur Ordinateur, puis cliquez sur Propriétés.
•
Appuyez sur les touches Windows+Pause.
b.
Dans la section Paramètres de nom d’ordinateur, de domaine et de groupe de travail, cliquez sur Modifier les paramètres.
c.
Si vous y êtes invité par le Contrôle du compte utilisateur, cliquez sur Continuer ou entrez les informations d’identification d’administration, selon le cas.
3.
Cliquez sur l’onglet Nom de l’ordinateur.
4.
Cliquez sur Modifier.
5.
Sous Membre de, cliquez sur Domaine.
6.
Tapez le nom du domaine auquel vous voulez vous joindre.
Remarque : utilisez le nom DNS complet du domaine. Outre la précision et les chances de succès accrues, en cas d’échec, vous aurez une indication de l’existence possible d’un problème de résolution de noms DNS qu’il conviendra de rectifier avant de joindre l’ordinateur au domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-18
5-19
7.
Cliquez sur OK.
8.
Windows vous invite à entrer les informations d’identification de votre compte d’utilisateur du domaine. Le domaine vérifie s’il existe déjà un objet ordinateur correspondant au nom de l’ordinateur. Trois cas de figure se présentent alors : •
Si l’objet existe et qu’un ordinateur de ce nom a déjà été joint au domaine, une erreur est retournée et vous ne pouvez pas joindre l’ordinateur au domaine.
•
Si l’objet existe et qu’il est prédéfini (un ordinateur de même nom n’a pas été joint au domaine), le domaine confirme que les informations d’identification de domaine que vous avez entrées sont autorisées à se joindre au domaine à partir de ce compte. Ces autorisations ont été décrites dans la section « Prédéfinir un compte d'ordinateur ».
•
Si le compte d’ordinateur n’est pas prédéfini, Windows vérifie si vous disposez des autorisations nécessaires pour créer un objet d’ordinateur dans le conteneur ordinateur par défaut. À défaut, l’objet est créé avec le nom de l’ordinateur. Cette méthode de jonction à un domaine est prise en charge à des fins de compatibilité descendante, mais elle n'est pas recommandée. Il est conseillé de prédéfinir le compte comme indiqué précédemment, et selon la procédure décrite dans la prochaine section, « Sécuriser la création d'ordinateurs et les jonctions ».
L’ordinateur se joint ensuite au domaine en prenant l’identité de son objet Active Directory. Il configure son identificateur de sécurité (SID) de sorte qu'il corresponde à celui du compte d'ordinateur de domaine et définit un mot de passe initial auprès du domaine. L'ordinateur effectue alors d'autres tâches pour finaliser sa jonction au domaine. Il ajoute le groupe Admins du domaine au groupe Administrateurs local et le groupe Utilisateurs du domaine au groupe Utilisateurs local. 9.
Vous êtes invité à redémarrer l’ordinateur. Cliquez sur OK pour fermer cette boîte de message.
10. Cliquez sur Fermer (dans Windows Vista) ou sur OK (dans Windows XP) pour fermer la boîte de dialogue Propriétés système. 11. Vous êtes à nouveau invité à redémarrer l’ordinateur. Après quoi, le système est membre à part entière du domaine et vous pouvez ouvrir une session en utilisant les informations d’identification de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Sécuriser la création d'ordinateurs et les jonctions
Points clés Prédéfinir des objets ordinateur La meilleure pratique consiste à prédéfinir un compte d’ordinateur avant de joindre la machine au domaine. Malheureusement, Windows vous permet de joindre un ordinateur à un domaine sans suivre cette recommandation. Vous pouvez ouvrir une session sur un ordinateur de groupe de travail en tant qu'administrateur local et modifier l'appartenance de l'ordinateur au domaine. À la demande, Windows crée un objet ordinateur dans le conteneur Ordinateurs par défaut, vous donne l'autorisation de joindre un ordinateur à cet objet, puis procède à la jonction du système au domaine. Le comportement de Windows pose trois problèmes : •
Tout d’abord, le compte d’ordinateur créé automatiquement par Windows est placé dans le conteneur ordinateur par défaut, auquel l’objet ordinateur n’appartient pas dans la plupart des entreprises.
•
Ensuite, vous devez déplacer l’ordinateur du conteneur ordinateur par défaut vers l’UO appropriée, étape supplémentaire qui est souvent omise.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-20
•
5-21
Enfin, un utilisateur du domaine peut aussi effectuer cette opération : aucune autorisation administrative au niveau du domaine n'est requise. Tout utilisateur peut joindre un ordinateur au domaine si vous ne contrôlez ni ne sécurisez le processus. Parce qu’un objet ordinateur est une entité de sécurité et parce que le créateur d’un objet ordinateur est propriétaire de l’objet et qu’il peut modifier ses attributs, il existe une faille de sécurité potentielle. Les sections suivantes présentent en détail ces inconvénients.
Configuration du conteneur par défaut des ordinateurs Lorsque vous joignez un ordinateur au domaine et que l'objet ordinateur n'existe pas encore dans Active Directory, Windows crée automatiquement un compte d'ordinateur dans le conteneur par défaut des ordinateurs, qui est appelé Computers (CN=Computers,DC=domain, par défaut). Le problème que cela soulève a un rapport avec la conception des UO traitée plus haut dans cette leçon. Si vous avez implémenté les recommandations décrites dans cette section, vous avez délégué des autorisations d'administration des objets ordinateur dans des UO spécifiques de clients et de serveurs. Par ailleurs, vous avez peut-être relié des objets GPO à ces UO pour gérer la configuration de ces objets ordinateur. Si un nouvel objet ordinateur est créé à l’extérieur de ces UO, dans le conteneur par défaut des ordinateurs, les autorisations et la configuration qu’il hérite de son conteneur parent seront différentes de ce qu’il aurait dû recevoir. Vous devrez donc veiller à déplacer l’ordinateur du conteneur par défaut vers l’UO appropriée après l’avoir joint au domaine. Vous pouvez limiter les chances de rencontrer ce problème en exécutant deux étapes. En premier lieu, vous devez vous efforcer de toujours prédéfinir des comptes d’ordinateurs. Si un compte est prédéfini pour un ordinateur dans l’UO appropriée, au moment de se joindre au domaine, l’ordinateur utilisera le compte existant et sera soumis à la délégation et à la configuration correctes. En deuxième lieu, pour limiter l'impact lié à la jonction de systèmes au domaine sans comptes prédéfinis, vous devez changer de conteneur ordinateur par défaut de sorte qu'il ne s'agisse pas du conteneur Computers lui-même, mais plutôt d'une UO soumise à la délégation et à la configuration appropriées. Par exemple, si vous disposez d’une UO appelée Clients, vous pouvez donner instruction à Windows d’utiliser cette UO comme conteneur ordinateur par défaut, de sorte que si des ordinateurs sont joints au domaine sans comptes prédéfinis, les objets seront créés dans l’UO Clients. La commande redircmp.exe est utilisée pour rediriger le conteneur ordinateur par défaut avec la syntaxe suivante :
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
redircmp "DN de l’UO pour les nouveaux objets ordinateur"
Dès lors, si un ordinateur se joint au domaine sans compte d’ordinateur prédéfini, Windows crée l’objet ordinateur dans l’unité d’organisation spécifiée. Remarque : redirection du conteneur utilisateur par défaut. Les mêmes concepts valent pour la création de comptes d’utilisateurs. Par défaut, si un compte d'utilisateur est créé selon une pratique héritée qui ne spécifie pas d'UO pour le compte, l'objet est créé dans le conteneur utilisateur par défaut (CN=Users,DC=domain, par défaut). La commande redirusr.exe peut servir à rediriger le conteneur par défaut vers une UO réelle ayant une délégation et une configuration appropriées. Redirusr, à l'instar de redircmp, accepte une seule option : le nom unique (DN, distinguished name) de l’UO qui deviendra le conteneur utilisateur par défaut.
Limitation de la capacité des utilisateurs à créer des ordinateurs Lorsqu’un compte d’ordinateur est prédéfini, les autorisations au niveau du compte déterminent qui est autorisé à joindre cet ordinateur au domaine. Lorsqu’un compte n’est pas prédéfini, par défaut, Windows autorise n’importe quel utilisateur authentifié à créer un objet ordinateur dans le conteneur ordinateur par défaut. De fait, Windows permet à un utilisateur authentifié de créer 10 objets ordinateur dans le conteneur ordinateur par défaut. Par défaut, le créateur d’un objet ordinateur est autorisé à joindre cet ordinateur au domaine. C’est par ce mécanisme que n’importe quel utilisateur peut joindre 10 ordinateurs au domaine sans disposer explicitement des autorisations prévues à cette fin. Le quota de 10 ordinateurs est configuré par l’attribut ms-DSMachineAccountQuota du domaine. Il autorise n’importe quel utilisateur authentifié à joindre un ordinateur au domaine, sans aucun questionnement. Sur le plan de la sécurité, cela pose problème car les ordinateurs sont des entités de sécurité. Et le créateur d'une entité de sécurité est autorisé à gérer les propriétés de cet ordinateur. D’une certaine manière, le quota revient à autoriser un utilisateur du domaine à créer 10 comptes d’utilisateurs sans aucun contrôle. Il est vivement recommandé de combler cette lacune de telle sorte que les utilisateurs non-administrateurs ne puissent pas joindre d’ordinateurs au domaine. Pour modifier l’attribut ms-DS-MachineAccountQuota, procédez comme suit : 1.
Ouvrez la console MMC Éditeur ADSI à partir du dossier Outils d’administration.
2.
Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-22
5-23
3.
Dans la section Point de connexion, cliquez sur Sélectionnez un contexte d’attribution de noms connu, puis sélectionnez Contexte d’attribution de noms par défaut dans la liste déroulante.
4.
Cliquez sur OK.
5.
Dans l’arborescence de la console, développez Contexte d’attribution de noms par défaut.
6.
Cliquez avec le bouton droit sur le dossier du domaine (« dc=contoso,dc=com », par exemple), puis cliquez sur Propriétés.
7.
Cliquez sur ms-DS-MachineAccountQuota et sur Modifier.
8.
Tapez 0.
9.
Cliquez sur OK.
Le groupe Utilisateurs authentifiés se voit également attribuer le droit d’utilisateur d’ajouter des stations de travail au domaine, mais vous n’avez pas besoin de modifier ce droit si vous avez modifié la valeur par défaut de l’attribut ms-DSMachineAccountQuota. Après avoir défini la valeur 0 pour l’attribut ms-DS-MachineAccountQuota, vous êtes assuré que les seuls utilisateurs en mesure d’ajouter des ordinateurs au domaine sont ceux à qui une autorisation de joindre des objets ordinateur prédéfinis ou de créer des objets ordinateur leur a été spécifiquement déléguée. Dès lors que vous avez comblé cette lacune, vous devez vous assurer d’avoir attribué aux administrateurs appropriés une autorisation explicite de création d’objets ordinateur dans les UO appropriées, comme décrit dans la section « Délégation d’autorisations de création d’ordinateurs ». Sinon, le message d’erreur suivant s’affichera.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Délégation de la gestion d’ordinateur La quatrième tâche visant à améliorer la sécurité des comptes d’ordinateurs est de déléguer les tâches de gestion d’ordinateur au niveau de l’UO. La délégation est traitée dans le module 8. Les commandes DSACLs suivantes peuvent être utilisées pour déléguer des tâches de gestion d’ordinateur : •
Créer un ordinateur : dsacls "nom de domaine de l’UO" /I:T /G "DOMAINE\groupe":CC;computer
•
Supprimer un ordinateur : dsacls "nom de domaine de l’UO" /I:T /G "DOMAINE\groupe":DC;computer
•
Joindre un ordinateur au domaine : dsacls "nom unique de l’UO" /I:S /G "DOMAINE\groupe": "Validated write to DNS host name";computer dsacls "nom unique de l’UO" /I:S /G "DOMAINE\groupe": "Validated write to service principal name ";computer dsacls "nom unique de l’UO" /I:S /G "DOMAINE\groupe": CA;Reset Password;computer dsacls "nom unique de l’UO" /I:S /G "DOMAINE\groupe": WP;Account Restrictions;computer
Les quatre commandes répertoriées ci-dessus doivent être entrées à l’invite de commandes sans ajouter d’espace après les deux-points. •
Déplacer un ordinateur Nécessite des autorisations de suppression d’ordinateurs dans l’UO source et de création d’ordinateurs dans l’UO de destination. Même si un déplacement ne supprime ni ne crée réellement le compte, il s’agit de l’autorisation utilisée pour le contrôle d’accès.
Question : quels sont les deux facteurs qui déterminent si vous pouvez joindre un compte d’ordinateur au domaine ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-24
5-25
Automatiser la création de comptes d'ordinateurs
Points clés La méthode de création d’un compte d’ordinateur que vous avez apprise peut devenir contraignante si vous êtes chargé de créer des dizaines, voire des centaines, de comptes d’ordinateurs à la fois. Certaines commandes, telles que CSVDE, LDIFDE et DSAdd, permettent d’importer des objets ordinateur et d’en automatiser la création. Des scripts peuvent également vous permettre de fournir des objets ordinateur, c'est-à-dire, de mettre en œuvre une logique métier telle que l’application de conventions d’affectation de noms d’ordinateurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Importer des ordinateurs à l’aide de CSVDE
Points clés CSVDE est un outil de ligne de commande qui permet d’importer ou d’exporter des objets Active Directory de et vers un fichier texte séparé par des virgules (également appelé fichier texte de valeurs séparées par des virgules, ou fichier .csv). La commande CSVDE utilise la syntaxe de base suivante : csvde [-i] [-f "Nom de fichier"] [-k]
L’option -i spécifie le mode importation. Sans elle, le mode par défaut de CSVDE est l’exportation. L’option -f identifie le nom du fichier à importer ou à exporter. L’option -k est utile lors des opérations d’importation, car elle donne instruction à CSVDE d’ignorer des erreurs, telles que « L’objet existe déjà », « violation de contrainte » ou « L’attribut ou la valeur existe déjà ».
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-26
5-27
Les fichiers délimités par des virgules peuvent être créés, modifiés et ouverts avec des outils courants, tels que Bloc-notes et Microsoft Office Excel®. La première ligne du fichier définit les attributs par leur nom d’attribut LDAP (Lightweight Directory Access Protocol). Les objets suivent sur une ligne distincte et doivent contenir exactement les attributs figurant sur la première ligne. Un exemple de fichier affiché dans Excel vous est présenté ci-dessous.
Lors de l’importation d’ordinateurs, veillez à inclure l’attribut userAccountControl, et affectez-lui la valeur 4096. Cet attribut garantit que l’ordinateur pourra se joindre au compte. De même, incluez le nom d’ouverture de session antérieur à Windows 2000 de l’ordinateur, l’attribut sAMAccountName, qui est le nom de l’ordinateur suivi d’un symbole dollar ($), comme illustré ci-dessus.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Importer des ordinateurs à l’aide de LDIFDE
Points clés LDIFDE.exe importe des données à partir de fichiers au format LDIF (Lightweight Directory Access Protocol Data Interchange Format). Les fichiers LDIF sont des fichiers texte dans lesquels des opérations sont définies par un bloc de lignes séparé par une ligne blanche. Chaque opération commence par l'attribut DN de l'objet qui est la cible de l'opération. La ligne suivante, changeType, définit le type de l'opération : add (ajouter), modify (modifier) ou delete (supprimer).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-28
5-29
Le listing ci-dessous est un fichier LDIF destiné à créer un compte d’ordinateur dans l’UO Servers : dn: CN=FILE25,OU=File,OU=Servers,DC=contoso,DC=com changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user objectClass: computer cn: FILE25 userAccountControl: 4096 sAMAccountName: FILE25$
La syntaxe de base de la commande LDIFDE est similaire à celle de la commande CSVDE : ldifde [-i] [-f "Nom de fichier"] [-k]
Par défaut, LDIFDE est en mode exportation. L’option -i spécifie le mode importation. Vous devez spécifier -f pour identifier le fichier que vous utilisez pour l’importation ou l’exportation. LDIFDE s’arrête lorsqu’il rencontre des erreurs, sauf si vous avez spécifié l’option -k. Dans ce cas, LDIFDE poursuit le traitement.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Créer des ordinateurs à l’aide de DSAdd
Points clés La commande DSAdd permet de créer des objets dans Active Directory. Pour créer des objets ordinateur, il vous suffit de taper la commande suivante : dsadd computer DN_ordinateur
où DN_ordinateur correspond au nom unique (DN) de l’ordinateur, tel que CN=DESKTOP123,OU=NYC,OU=Client Computers,DC=contoso,DC=com. Si le nom unique de l’ordinateur contient un espace, mettez-le entièrement entre guillemets droits. L’option DN_ordinateur peut inclure plusieurs noms uniques de nouveaux objets ordinateur, ce qui fait de DSAdd Computer un moyen pratique de générer plusieurs objets simultanément. L’option peut être entrée de l’une des façons suivantes : •
en tapant chaque nom unique à l’invite de commandes, séparés par des espaces ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-30
5-31
•
en laissant l’option DN vide. À ce stade, vous pouvez taper les noms uniques (DN), l’un après l’autre, à l’aide de la console clavier de l’invite de commandes. Appuyez sur Entrée après chaque nom unique. Appuyez sur Ctrl+Z et sur Entrée après le dernier nom unique ;
•
en mettant en pipe une liste de noms uniques à partir d’une autre commande, telle que DSQuery.
La commande DSAdd Computer peut prendre les options facultatives suivantes après l’option DN : •
-samid Nom_ordinateur
•
-desc Description
•
-loc Emplacement
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Créer et joindre des ordinateurs à l’aide de NetDom
Points clés La commande NetDom permet également d’effectuer diverses tâches liées aux comptes de domaine et à la sécurité depuis l’invite de commandes. Vous pouvez également utiliser NetDom pour créer un compte d’ordinateur en tapant la commande suivante : netdom add NomOrdinateur /domain:NomDomaine [/ou:"DN_UO"] [/UserD:NomUtilisateurDomaine /PasswordD:MotDePasseDomaine]
Cette commande crée le compte d’ordinateur pour NomOrdinateur dans le domaine indiqué par l’option /domain, en utilisant les informations d’identification spécifiées par /UserD et /PasswordD. L’option /ou entraîne la création de l’objet dans l’UO spécifiée par le nom unique d’unité d’organisation (DN_UO) qui suit l’option. Si aucun DN_UO n’est fourni, le compte d’ordinateur est créé dans le conteneur ordinateur par défaut. Il s’entend que les informations d’identification utilisateur doivent être associées à des autorisations de création d’objets ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-32
5-33
Utilisation de NetDom.exe La commande NetDom.exe permet de joindre un ordinateur au domaine à partir de l’invite de commandes. La commande utilise la syntaxe de base suivante : netdom join NomOrdinateur /Domain:NomDomaine [/OU:"OUDN"] [/UserD:NomUtilisateurDomaine] [/PasswordD:{MotDePasseDomaine|*} ] [/UserO:NomUtilisateurLocal] [/PasswordO:{MotDePasseLocal|*} ] [/SecurePasswordPrompt] [/REBoot[:TempsEnSecondes]]
Il peut être utile de joindre un ordinateur à un domaine à partir de l’invite de commandes. Le premier intérêt vient du fait que la jonction peut être incluse dans un script qui effectue d'autres actions. Par exemple, vous pouvez créer un fichier de commandes qui crée le compte d’ordinateur à l'aide de NetDom ou DSAdd (ce dernier vous permet de spécifier d’autres attributs, notamment une description), puis qui joint l’ordinateur à ce compte à l’aide de NetDom. Ensuite, NetDom.exe permet de joindre à distance un ordinateur au domaine. Enfin, NetDom.exe permet de spécifier l’UO de l’objet ordinateur. La plupart des options de la commande sont explicites. /UserO et /PasswordO sont des informations d’identification membres du groupe Administrateurs local de l’ordinateur de groupe de travail. Si vous spécifiez * pour le mot de passe, NetDom.exe réclame le mot de passe à l’invite de commandes. /UserD et /PasswordD sont des informations d’identification de domaine assorties d’une autorisation de création d’objet ordinateur, si le compte n’est pas prédéfini, ou de joindre un ordinateur à un compte prédéfini. L’option /REBoot entraîne le redémarrage du système après que le domaine a été joint. Le délai d’attente par défaut est de 30 secondes. L’option /SecurePasswordPrompt affiche une fenêtre automatique demandant les informations d’identification lorsque * est spécifié pour /PasswordO ou /PasswordD. Remarque : si vous souhaitez pouvoir utiliser NetDom à distance, la configuration du Pare-feu Windows sur l’ordinateur appelé à être joint au domaine doit autoriser la Découverte de réseau et l’Administration à distance.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique A : Création d'ordinateurs et jonction au domaine
Scénario Vous êtes administrateur pour Contoso, Ltd. Au cours d’un audit de sécurité, il est découvert que la création de comptes d’ordinateurs ne fait l’objet d’aucun contrôle : les clients et les serveurs sont ajoutés au domaine sans aucune garantie que le processus est surveillé. En fait, plusieurs comptes d’ordinateurs ont été découverts dans le conteneur Ordinateurs. Ces objets ordinateur étaient des comptes d’ordinateurs actifs, mais les ordinateurs n’avaient pas été créés ou déplacés dans les UO appropriées au sein des UO Client Computers ou Servers conformément aux procédures standard. Vous avez été chargé d’améliorer les procédures.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-34
5-35
Exercice 1 : Jonction d'un ordinateur au domaine à l'aide de l'interface Windows® Dans cet exercice, vous allez joindre un ordinateur au domaine en utilisant l’interface Windows, puis vous supprimerez l’ordinateur du domaine. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Identifier et corriger une erreur de configuration DNS.
3.
Joindre SERVER01 au domaine.
4.
Vérifier l’emplacement du compte SERVER01.
5.
Supprimer SERVER01 du domaine.
6.
Supprimer le compte SERVER01.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A and 6238B-SERVER01-B.
2.
Sur HQDC01, ouvrez une session sous le nom Pat.Coleman avec le mot de passe Pa$$w0rd.
3.
Ouvrez D:\Labfiles\Lab05a.
4.
Exécutez Lab05a_Setup.bat avec des informations d’identification d’administration. Utilisez le compte Pat.Coleman_Admin avec le mot de passe Pa$$w0rd.
5.
Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé, appuyez sur une touche quelconque.
6.
Fermez la fenêtre de l’Explorateur Windows, Lab05a.
7.
Démarrez 6238B-SERVER01-B.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 2 : Identification et correction d'une erreur de configuration DNS 1.
Sur SERVER01, ouvrez une session en tant qu’Administrateur avec le mot de passe Pa$$w0rd.
2.
Ouvrez Propriétés système en employant l’une des méthodes suivantes :
3.
•
Cliquez sur Démarrer, cliquez avec le bouton droit sur Ordinateur, puis cliquez sur Propriétés.
•
Ouvrez Système à partir du Panneau de configuration.
•
Appuyez sur la touche WINDOWS, puis sur la touche PAUSE.
Essayez de joindre l’ordinateur au domaine contoso.com en veillant à utiliser le nom de domaine complet (contoso.com) et pas le nom NetBIOS du domaine (contoso). Cette opération vise à déterminer si le DNS est correctement configuré sur le client pour la recherche du domaine.
4.
Modifiez la configuration du serveur DNS sur le client en lui attribuant la valeur 10.0.0.11.
Question : pourquoi la jonction aurait-elle pu aboutir si vous aviez utilisé le nom de domaine contoso au lieu de contoso.com ? Quel problème la configuration incorrecte du domaine joint au DNS pourrait-elle entraîner ?
Tâche 3 : Jonction de SERVER01 au domaine 1.
Joignez SERVER01 au domaine. Lorsque vous êtes invité à fournir les informations d’identification du domaine, entrez le nom d’utilisateur Aaron.Painter et le mot de passe Pa$$w0rd. Notez que Aaron.Painter est un utilisateur standard dans le domaine contoso.com . Il ne dispose d’aucune autorisation ou droit spécial et pourtant, il peut joindre un ordinateur au domaine. Il doit avoir ouvert une session sur l’ordinateur avec un compte membre du groupe Administrateurs de l’ordinateur.
2.
Autorisez le système à redémarrer.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-36
5-37
Tâche 4 : Vérification de l'emplacement du compte SERVER01 1.
Sur HQDC01, exécutez Utilisateurs et ordinateurs Active Directory en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Recherchez le compte SERVER01.
Question : dans quelle UO ou conteneur se trouve le compte ?
Tâche 5 : Suppression de SERVER01 du domaine 1.
Sur SERVER01, ouvrez une session en tant qu’Administrateur avec le mot de passe Pa$$w0rd.
2.
Remplacez l’appartenance au domaine/groupe de travail de SERVER01 par un groupe de travail nommé WORKGROUP.
3.
Redémarrez le serveur.
Tâche 6 : Suppression du compte SERVER01 Question : sur HQDC01, actualisez la vue du conteneur Computers et examinez le compte SERVER01. Quel est son état ? Question : vous avez été invité à fournir les informations d’identification du domaine à la tâche 5 et pourtant, une modification a été apportée au domaine : le compte d’ordinateur a été réinitialisé et désactivé. Avec quelles informations d’identification cette opération a-t-elle été effectuée ? Avec quelles informations d’identification l’appartenance au groupe de travail/domaine de SERVER01 a-t-elle été modifiée ? •
Supprimez le compte de SERVER01. Résultats : à l’issue de cet exercice, vous connaîtrez les pratiques héritées classiques utilisées pour joindre des ordinateurs à un domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 2 : Sécurisation des jonctions d'ordinateurs Dans cet exercice, vous allez implémenter les recommandations préconisées pour sécuriser la jonction d'ordinateurs au domaine. Les tâches principales de cet exercice sont les suivantes : 1.
Rediriger le conteneur ordinateur par défaut.
2.
Limiter les jonctions au domaine non gérées
3.
Vérifier l’efficacité de ms-DS-MachineAccountQuota.
Tâche 1 : Redirection du conteneur ordinateur par défaut 1.
Exécutez une invite de commandes en tant qu’administrateur avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Utilisez la commande RedirCmp pour rediriger le conteneur ordinateurs par défaut vers l’UO New Computers du domaine contoso.com.
Tâche 2 : Limiter les jonctions au domaine non gérées 1.
Exécutez la console Éditeur ADSI en tant qu’administrateur avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Connectez-vous au domaine puis, dans les propriétés du domaine, attribuez à ms-DS-MachineAccountQuota la valeur zéro (0).
Tâche 3 : Vérification de l'efficacité de ms-DS-MachineAccountQuota •
Sur SERVER01, ouvrez une session en tant qu’Administrateur et essayez de joindre SERVER01 au domaine contoso.com comme vous l’avez fait dans l’exercice 1. Lorsque vous êtes invité à fournir les informations d’identification, entrez le nom d’utilisateur Aaron.Painter et le mot de passe Pa$$w0rd. Dans l’exercice 1, Aaron Painter a pu se joindre au domaine. À présent, il n’y parvient pas.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-38
5-39
Question : quel message recevez-vous lorsqu’un utilisateur ne peut plus créer d’objet ordinateur à cause de ms-DS-MachineAccountQuota ? Résultats : Au terme de cet exercice, le conteneur destiné à la création de comptes d'ordinateur sera redirigé vers l'UO New Computers, et les utilisateurs seront limités dans leur capacité à joindre des ordinateurs au domaine sans y être explicitement autorisés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 3 : Gestion de la création de comptes d'ordinateurs conformément aux meilleurs pratiques Dans cet exercice, vous allez mettre en œuvre plusieurs meilleurs pratiques pour créer des comptes d’ordinateurs et joindre des ordinateurs au domaine. Les tâches principales de cet exercice sont les suivantes : 1.
Prédéfinir un compte d’ordinateur.
2.
Joindre un ordinateur à distance à un compte prédéfini à l’aide de NetDom.
Tâche 1 : Prédéfinition d'un compte d'ordinateur 1.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu’administrateur avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l’UO Servers\File, créez un nouvel objet ordinateur pour SERVER01 et accordez au groupe AD_Server_Deploy l’autorisation de joindre l’ordinateur au domaine.
Tâche 2 : Jonction d'un ordinateur à distance à un compte prédéfini à l'aide de NetDom Dans cette tâche, vous allez joindre SERVER01 au domaine à distance en utilisant les informations d’identification qui se trouvent dans le groupe Administrateurs local de SERVER01 et les informations d’identification de domaine qui se trouvent dans le groupe AD_Server_Deploy. 1.
Exécutez l’invite de commandes en tant qu’administrateur, avec le nom d’utilisateur Aaron.Painter_Admin et le mot de passe Pa$$w0rd. Notez que Aaron.Painter_Admin n’est pas en soi un administrateur. La commande Exécuter en tant qu’administrateur vous permet de lancer un processus avec n’importe quelles informations d’identification pourvu que leurs privilèges soient suffisants pour lancer le processus lui-même.
2.
Tapez la commande whoami /groups pour afficher la liste des appartenances aux groupes du compte actuel (Aaron.Painter_Admin). Notez que l’utilisateur est membre de AD_Server_Deploy et qu’il n’est membre d’aucun autre groupe d’administration.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-40
3.
5-41
Par le biais de la commande NetDom, joignez SERVER01 au domaine. Utilisez les informations d’identification du compte Administrateur local pour SERVER01 et les informations d’identification du domaine pour Aaron.Painter_Admin, qui est membre de AD_Server_Deploy et est à ce titre autorisé à joindre l’ordinateur au domaine. Configurez le serveur de sorte qu’il redémarre automatiquement au bout de 5 secondes. Tapez la commande suivante, puis appuyez sur Entrée : netdom join SERVER01 /domain:contoso.com /UserO:Administrator /PasswordO:* /UserD:CONTOSO\Aaron.Painter_Admin /PasswordD:* /REBoot:5
Remarque : des exceptions de pare-feu sont configurées pour SERVER01 sur les ports 135 et 139 et pour la Recherche du réseau (NB-Name-In). Ces exceptions permettent l’utilisation de NetDom Join pour joindre à distance SERVER01 au domaine.
4.
Le serveur redémarre. Résultats : à l’issue de cet exercice, SERVER01 sera joint au domaine avec un compte dans l’UO Servers\File.
Important : n'arrêtez pas les ordinateurs virtuels lorsque vous avez terminé l'atelier pratique. Les paramètres que vous y avez configurés seront réutilisés dans l'atelier pratique B.
Questions de contrôle des acquis Question : qu’avez-vous appris à propos des avantages et des inconvénients des différentes approches de création de comptes d’ordinateurs dans un domaine AD DS ? Question : de quelles informations d’identification avez-vous besoin pour joindre un ordinateur à un domaine ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 2
Administration des objets et des comptes d'ordinateurs
Le cycle de vie d’un compte d’ordinateur commence dès lors qu’il est créé et que l’ordinateur est joint au domaine. Les tâches d’administration quotidiennes consistent notamment à configurer les propriétés de l’ordinateur ; à déplacer l’ordinateur d’une UO à une autre ; à gérer l’ordinateur proprement dit ; et à renommer, réinitialiser, désactiver, activer et finalement supprimer l’objet ordinateur. Cette leçon examine en détail les propriétés d’ordinateur et les procédures auxquelles ces tâches font appel et vous donne les moyens d’administrer les ordinateurs d’un domaine.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
configurer les propriétés d’un compte d’ordinateur ;
•
déplacer un ordinateur d’une UO vers une autre ;
•
reconnaître les problèmes de compte d’ordinateur ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-42
•
réinitialiser un compte d’ordinateur ;
•
renommer un ordinateur ;
•
désactiver et activer un ordinateur.
5-43
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Configurer des attributs d’ordinateur
Points clés Lorsque vous créez un objet ordinateur en utilisant Utilisateurs et ordinateurs Active Directory, vous êtes invité à configurer uniquement les attributs de base, à savoir, le nom d’ordinateur et la délégation pour joindre l’ordinateur au domaine. Les ordinateurs possèdent plusieurs propriétés qui ne sont pas visibles au moment de créer l’objet ordinateur ; vous devez configurer ces propriétés dans le cadre du processus de préparation du compte d’ordinateur. Ouvrez la boîte de dialogue Propriétés d’un objet ordinateur afin de définir son emplacement et sa description, de configurer ses appartenances aux groupes et les permissions d’appel, et de le lier à l’objet utilisateur de l’utilisateur auquel l’ordinateur est affecté. L’onglet Système d’exploitation est en lecture seule. Les informations seront vides tant qu’aucun ordinateur n’aura été joint au domaine en utilisant ce compte, moment auquel le client publiera les informations dans son compte.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-44
5-45
Dans Active Directory, plusieurs classes d’objets prennent en charge l’attribut managedBy figurant sous l’onglet Géré par. Cet attribut lié crée une référence croisée à un objet utilisateur. Toutes les autres propriétés (adresses et numéros de téléphone) sont affichées directement à partir de l’objet utilisateur. Elles ne sont pas stockées en tant que partie intégrante de l’objet ordinateur lui-même. Certaines organisations utilisent l’onglet Géré par pour lier l’ordinateur à l’utilisateur principal de l’ordinateur. Vous pouvez également choisir de lier l’ordinateur à un groupe chargé du support d’un ordinateur (option qui peut s’avérer intéressante pour les comptes d’ordinateurs qui représentent des serveurs, par exemple). Sous l’onglet Membre de dans la boîte de dialogue Propriétés d’un ordinateur, vous pouvez ajouter l’ordinateur à des groupes. La possibilité de gérer des ordinateurs dans des groupes est une caractéristique importante et souvent sousutilisée d’Active Directory. Un groupe peut servir à affecter aux ordinateurs auquel ils appartiennent des autorisations d’accès à des ressources, à filtrer l’application d’un objet Stratégie de groupe (GPO) ou être utilisé comme collection pour un outil de gestion de logiciels, tel que Microsoft System Center Configuration Manager 2007. Comme pour les utilisateurs et les groupes, il est possible de sélectionner plusieurs objets ordinateur et, par la suite, de gérer ou de modifier les propriétés de toutes les ordinateurs sélectionnés, et ce simultanément. Configuration d’attributs d’ordinateur à l’aide de DSMod La commande DSMod permet de modifier les attributs de description et d’emplacement d’un objet ordinateur. Elle utilise la syntaxe suivante : dsmod computer "DN_ordinateur" [-desc "Description"] [-loc "Emplacement"]
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Déplacer un ordinateur
Points clés Nombreuses sont les organisations qui possèdent plusieurs UO pour les objets ordinateur. Certains domaines, par exemple, possèdent des UO d’ordinateurs basées sur les sites géographiques, comme expliqué plus haut dans ce module. Si vous disposez de plusieurs UO pour ordinateurs, il est probable que vous serez amené tôt ou tard à déplacer un ordinateur d’une UO vers une autre. Pour déplacer un ordinateur à l’aide du logiciel enfichable Utilisateurs et ordinateurs Active Directory : •
effectuez un glisser-déplacer ou
•
cliquez avec le bouton droit sur l’ordinateur, puis cliquez sur Déplacer.
La commande DSMove vous permet de déplacer un objet ordinateur ou tout autre objet. La syntaxe de DSMove est la suivante : dsmove DN_Objet [-newname NouveauNom] [-newparent DN_Parent]
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-46
5-47
L’option -newname permet de renommer un objet. L’option -newparent permet de déplacer un objet. Pour déplacer un ordinateur nommé DESKTOP153 du conteneur Computers vers l'UO NYC, vous taperiez la commande suivante : dsmove "CN=DESKTOP153,CN=Computers,DC=contoso,DC=com" -newparent "OU=NYC,OU=Client Computers,DC=contoso,DC=com"
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Compte d’ordinateur et canal sécurisé
Points clés Chaque ordinateur membre d’un domaine Active Directory possède un compte d’ordinateur avec un nom d’utilisateur (sAMAccountName) et un mot de passe, comme n’importe quel compte d’utilisateur. L’ordinateur stocke son mot de passe sous forme de secret LSA (autorité de sécurité locale) et en change auprès du domaine environ tous les 30 jours. Le service NetLogon utilise les informations d’identification pour se connecter au domaine, ce qui établit un canal sécurisé avec un contrôleur de domaine. Les comptes d’ordinateurs et les relations sécurisées entre les ordinateurs et leur domaine sont robustes. Toutefois, dans certains cas, il peut arriver qu’un ordinateur ne puisse plus s’authentifier auprès du domaine. En voici quelques exemples : •
Après avoir réinstallé le système d’exploitation sur une station de travail, celleci ne parvient pas à s’authentifier, même si le technicien a utilisé le même nom d’ordinateur. Comme la nouvelle installation a généré un nouveau ID de sécurité (SID) et comme le nouvel ordinateur ne connaît pas le mot de passe du compte d’ordinateur du domaine, il n’appartient pas au domaine et ne peut pas s’y authentifier.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-48
5-49
•
Un ordinateur est entièrement restauré à partir d’une sauvegarde et ne peut pas s’authentifier. Il est probable que l’ordinateur a changé de mot de passe auprès du domaine après l’opération de sauvegarde. Les ordinateurs changent de mot de passe tous les 30 jours et Active Directory se souvient des mots de passe actuels et anciens. Si l’opération de restauration a restauré l’ordinateur avec un mot de passe nettement obsolète, l’ordinateur ne pourra pas s’authentifier.
•
Le secret LSA d’un ordinateur se désynchronise avec le mot de passe connu du domaine. Vous pouvez penser que l’ordinateur a oublié son mot de passe. Or, il est simplement en désaccord avec le domaine à propos du mot de passe. Lorsque cela se produit, l’ordinateur ne peut pas s’authentifier et le canal sécurisé ne peut pas être créé.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Reconnaître les problèmes de compte d’ordinateur
Points clés Les signes les plus courants de problèmes liés aux comptes d’ordinateurs sont les suivants : •
Les messages à l’ouverture de session indiquent qu’un contrôleur de domaine ne peut pas être contacté, que le compte d’ordinateur est peut-être manquant, que le mot de passe du compte d’ordinateur est incorrect ou que la relation d’approbation (c’est-à-dire, la « relation sécurisée ») entre l’ordinateur et le domaine a été perdue. Un exemple est illustré ci-dessous.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-50
5-51
•
Les messages d’erreur ou les événements consignés dans le journal d’événements indiquent des problèmes analogues ou donnent à penser que des mots de passe, des approbations, des canaux sécurisés ou des relations avec le domaine ou un contrôleur de domaine ont échoué. L’ID d’événement 3210 de NETLOGON est une erreur de ce type : Échec de l’authentification. Celle-ci apparaît dans le journal d’événements de l’ordinateur.
•
Il manque un compte d’ordinateur dans Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Réinitialiser un compte d’ordinateur
Points clés Lorsque le canal sécurisé échoue, vous devez le réinitialiser. De nombreux administrateurs accomplissent cette opération en supprimant l’ordinateur du domaine, en le plaçant dans un groupe de travail, puis en le joignant à nouveau au domaine. Cette méthode est déconseillée, car elle risque de supprimer le compte d’ordinateur purement et simplement, ce qui fait perdre l’ID de sécurité (SID) de l’ordinateur et, plus important encore, ses appartenances aux groupes. Au moment de joindre à nouveau le domaine, même si l’ordinateur a le même nom, le compte possède un nouveau SID et toutes les appartenances aux groupes du précédent objet ordinateur doivent être recréées. Évitez de supprimer un ordinateur du domaine et de l’y joindre à nouveau Si l’approbation auprès du domaine a été perdue, évitez de supprimer un ordinateur du domaine et de l’y joindre à nouveau. Au lieu de cela, réinitialisez le canal sécurisé. Pour réinitialiser le canal sécurisé entre un membre du domaine et le domaine, utilisez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, DSMod.exe, NetDom.exe ou NLTest.exe. Si vous réinitialisez le compte, le SID de l’ordinateur reste inchangé et il conserve ses appartenances aux groupes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-52
5-53
Pour réinitialiser le canal sécurisé à l’aide du logiciel enfichable Utilisateurs et ordinateurs Active Directory : 1.
Cliquez avec le bouton droit sur un ordinateur, puis cliquez sur Réinitialiser le compte.
2.
Cliquez sur Oui pour confirmer votre choix.
3.
Joignez à nouveau l’ordinateur au domaine, puis redémarrez-le.
Pour réinitialiser le canal sécurisé à l’aide de DSMod : 1.
Tapez la commande suivante : dsmod computer "DN_ordinateur" –reset.
2.
Joignez à nouveau l’ordinateur au domaine, puis redémarrez-le.
Pour réinitialiser le canal sécurisé à l’aide de NetDom : •
Tapez la commande suivante : netdom reset NomOrdinateur/domain NomDomaine/UserO NomUtilisateur/PasswordO {Password | *}
où les informations d’identification appartiennent au groupe Administrateurs local de l’ordinateur. Cette commande réinitialise le canal sécurisé en tentant de réinitialiser le mot de passe dans l'ordinateur et dans le domaine, ceci afin d'éviter d'avoir à pratiquer une nouvelle jonction ou un redémarrage. Pour réinitialiser le canal sécurisé à l’aide de NLTest, sur l’ordinateur qui a perdu son approbation, tapez la commande suivante : NLTEST /SERVER:NOMSERVEUR /SC_RESET:DOMAIN\CONTRÔLEURDOMAINE
Exemple : nltest /server:SERVER02 /sc_reset:CONTOSO\SERVER01
Cette commande, à l’instar de NetDom, tente de réinitialiser le canal sécurisé en réinitialisant le mot de passe sur l’ordinateur et le domaine, ceci afin d’éviter d’avoir à opérer une nouvelle jonction ou un redémarrage.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Comme NLTest et NetDom réinitialisent le canal sécurisé sans imposer de redémarrage, vous devez d’abord essayer ces commandes. Si elles n’aboutissent pas, et seulement dans ce cas, vous devez utiliser la commande Reset Account (Réinitialiser le compte) ou DSMod pour réinitialiser le compte d’ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-54
5-55
Renommer un ordinateur
Points clés Lorsque vous renommez un ordinateur, veillez à le faire correctement. Ne perdez pas de vue que l’ordinateur utilise son nom pour s’authentifier auprès du domaine. Par conséquent, si vous renommez uniquement l’objet domaine ou uniquement l’ordinateur lui-même, ils seront désynchronisés. Vous devez renommer l’ordinateur de telle sorte que l’objet ordinateur et l’objet domaine soient tous deux modifiés. Vous pouvez renommer un ordinateur correctement en ouvrant une session sur l’ordinateur lui-même, soit en local, soit au moyen d’une session de Bureau à distance. 1.
Ouvrez Propriétés système dans le Panneau de configuration.
2.
Dans la section Paramètres de nom d’ordinateur, de domaine et de groupe de travail, cliquez sur Modifier les paramètres.
3.
Si vous obtenez une invite du Contrôle de compte d’utilisateur, cliquez sur Continuer.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
4.
Cliquez sur l’onglet Nom de l’ordinateur.
5.
Cliquez sur le bouton Modifier.
6.
Tapez le nouveau nom et cliquez sur OK à deux reprises pour fermer les boîtes de dialogue.
7.
Redémarrez l’ordinateur pour que la modification soit prise en compte.
Dans l’invite de commandes, vous pouvez utiliser la commande NetDom en utilisant la syntaxe suivante : netdom renamecomputer NomOrdinateur /NewName:NouveauNom [/UserO:NomUtilisateurLocal] [/PasswordO:{MotDePasseLocal|*} ] [/UserD:NomUtilisateurDomaine] [/PasswordD:{MotDePasseDomaine|*} ] [/SecurePasswordPrompt] [/REBoot[:TempsEnSecondes]]
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-56
5-57
En plus de spécifier l’ordinateur à renommer (NomOrdinateur) et le nouveau nom souhaité (NouveauNom), vous devez disposer d’informations d’identification qui dépendent du groupe Administrateurs local de l’ordinateur et d’informations d’identification autorisées à renommer l’objet ordinateur de domaine. Par défaut, NetDom utilise les informations d’identification à partir desquelles la commande est exécutée. Vous pouvez spécifier les informations d’identification en utilisant /UserO et /PasswordO pour les informations d’identification situées dans le groupe Administrateurs local de l’ordinateur, et /UserD et /PasswordD pour les informations d’identification autorisées à renommer l’objet ordinateur. Si vous spécifiez * pour le mot de passe, NetDom.exe réclame le mot de passe à l’invite de commandes. L’option /SecurePasswordPrompt affiche une fenêtre automatique demandant les informations d’identification lorsque * est spécifié pour /PasswordO ou /PasswordD. Vous devez redémarrer l’ordinateur après l’avoir renommé. L’option /REBoot provoque le redémarrage du système au bout de 30 secondes, à moins que vous ayez spécifié une autre valeur via TempsEnSecondes. Lorsque vous renommez un ordinateur, vous pouvez perturber les services en cours d’exécution sur l’ordinateur. Par exemple, les services de certificats Active Directory (AD CS) utilisent le nom du serveur. Avant de renommer un ordinateur, veillez à prendre en compte les conséquences possibles d’une telle opération. N’employez pas ces méthodes pour renommer un contrôleur de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Désactiver et activer un ordinateur
Points clés Si un ordinateur est mis hors connexion ou est appelé à ne pas être utilisé pendant une longue période, envisagez de désactiver le compte. Cette recommandation s'appuie sur le principe de sécurité selon lequel un magasin d'identités doit permettre l'authentification uniquement du nombre minimum de comptes nécessaires pour atteindre les objectifs d'une organisation. La désactivation du compte ne modifie en rien le SID ou l’appartenance aux groupes de l’ordinateur : une fois l’ordinateur remis en ligne, le compte peut être activé. Pour désactiver un ordinateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l’ordinateur, puis cliquez sur Désactiver le compte. Un compte désactivé est reconnaissable à l’icône en forme de flèche vers le bas dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, ici représentée :
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-58
5-59
Lorsqu’un compte est désactivé, l’ordinateur ne peut pas créer de canal sécurisé avec le domaine. Résultat : les utilisateurs qui n’ont pas déjà ouvert de session sur l’ordinateur et qui, de ce fait, n’ont pas d’informations d’identification dans le cache de l’ordinateur, ne seront pas en mesure d’ouvrir de session tant que le canal sécurisé n’aura pas été rétabli en activant le compte. Pour activer un compte d’ordinateur, cliquez avec le bouton droit sur l’ordinateur, puis cliquez sur Activer le compte. Pour désactiver ou activer un ordinateur à partir de l’invite de commandes, utilisez la commande DSMod. La syntaxe utilisée pour désactiver ou activer des ordinateurs est la suivante : dsmod computer DN_ordinateur -disabled yes dsmod computer DN_ordinateur -disabled no
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Supprimer et recycler des comptes d’ordinateurs
Points clés Comme nous l’avons vu, chaque compte d’ordinateur, à l’instar de chaque compte d’utilisateur, possède un ID de sécurité (SID) unique qui permet à un administrateur de lui octroyer des autorisations. De même, comme les comptes d’utilisateurs, les ordinateurs peuvent appartenir à des groupes. Par conséquent, comme pour les comptes d’utilisateurs, il est important de connaître les conséquences d’une suppression de compte d’ordinateur. À cette occasion, les appartenances aux groupes et le SID du compte d’ordinateur sont perdus. Si la suppression est accidentelle et qu’un autre compte d’ordinateur est créé avec le même nom, il s’agit malgré tout d’un nouveau compte doté d’un nouveau SID. Les appartenances aux groupes doivent être redéfinies et les autorisations affectées à l’ordinateur supprimé doivent être réaffectées au nouveau compte. Veillez à ne supprimer des objets ordinateur que lorsque vous êtes certain que ces attributs de sécurité d’objet ne sont plus nécessaires.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-60
5-61
Pour supprimer un compte d'ordinateur avec Utilisateurs et ordinateurs Active Directory : 1.
Cliquez avec le bouton droit sur l’objet ordinateur, puis cliquez sur Supprimer. Vous êtes invité à confirmer la suppression et, comme la suppression est irréversible, la réponse par défaut à l’invite est Non.
2.
Cliquez sur Oui pour supprimer l’objet.
La commande DSRm permet de supprimer un objet ordinateur à partir de l’invite de commandes. Pour supprimer un ordinateur à l’aide de DSRm, tapez la commande suivante : dsrm DN_Objet
où DN_Objet représente le nom unique de l’ordinateur (p.ex., “CN=Desktop154, OU=NYC,OU=Client Computers,DC=contoso,DC=com”). Encore à cette occasion, vous serez invité à confirmer la suppression. Recyclage d’ordinateurs Si les appartenances aux groupes et le SID d’un compte d’ordinateur, ainsi que les autorisations affectées à ce SID, sont importants pour les opérations d’un domaine, la suppression de ce compte apparaît peu souhaitable. Or, que faire si un ordinateur doit être remplacé par un nouveau système, par du matériel mis à niveau ? Il s’agit d’un autre cas où il est indiqué de réinitialiser un compte d’ordinateur. La réinitialisation d’un compte d’ordinateur consiste à réinitialiser son mot de passe tout en conservant ses propriétés. Une fois sont mot de passe réinitialisé, le compte devient utilisable. N’importe quel ordinateur peut alors joindre le domaine en utilisant ce compte, y compris le système mis à niveau. En effet, vous avez recyclé le compte d’ordinateur en l’affectant à un nouveau matériel. Vous pouvez même renommer le compte. Le SID et les appartenances aux groupes sont inchangés. Comme nous l’avons vu plus tôt dans cette leçon, la commande Réinitialiser le compte est accessible dans le menu contextuel qui s’affiche lorsque vous cliquez avec le bouton droit sur un objet ordinateur. La commande DSMod peut également être utilisée pour réinitialiser un compte d’ordinateur, lorsque vous tapez dsmod computer "DN_Ordinateur" -reset.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique B : Administration des objets et des comptes d'ordinateur
Scénario Vous êtes administrateur pour Contoso, Ltd. Au cours d’un audit de sécurité, plusieurs comptes d’ordinateurs sont découverts. Or, ces ordinateurs n’existent plus dans le domaine. Vous avez été chargé d’améliorer la gestion des comptes d’ordinateurs et d’identifier les meilleures pratiques pour administrer le cycle de vie entier d’un compte d’ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-62
5-63
Exercice 1 : Administration des objets ordinateurs tout au long de leur cycle de vie Dans cet exercice, vous allez configurer des attributs communs d’objets ordinateur, notamment Description et ManagedBy. Vous allez également gérer l’appartenance d’ordinateurs à des groupes et déplacer des ordinateurs d’une UO vers une autre. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Configurer des attributs d’objet ordinateur.
3.
Ajouter des ordinateurs à des groupes de gestion de logiciels.
4.
Déplacer un ordinateur d’une UO vers une autre.
5.
Désactiver, activer et supprimer des ordinateurs.
Tâche 1 : Préparation de l'atelier pratique Les ordinateurs virtuels doivent déjà être démarrés et disponibles à la fin de l’Atelier pratique A. Toutefois, si ce n’est pas le cas, vous devez exécuter les étapes 1 à 3 ci-dessous, puis effectuer les exercices 1 à 3 de l’Atelier pratique A avant de continuer. Vous ne pourrez pas effectuer l’Atelier pratique B si vous n’avez pas achevé l’Atelier pratique A. 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
3.
Démarrez 6238B-SERVER01-B.
Tâche 2 : Configuration des attributs d'objet ordinateur 1.
Sur HQDC01, exécutez Utilisateurs et ordinateurs Active Directory en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l’UO Client Computers\SEA, utilisez l’onglet Géré par des objets ordinateur pour affecter LNO8538 à Linda Mitchell et LOT9179 à Scott Mitchell.
3.
Comme Scott et Linda Mitchell seront parfois appelés à utiliser mutuellement leurs ordinateurs respectifs, utilisez la sélection multiple pour remplacer la description de LNO8538 et LOT9179 par Scott et Linda Mitchell.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Ajout d'ordinateurs à des groupes de gestion de logiciels Microsoft Office Project est requis sur les ordinateurs de Scott et Linda. Contoso utilise les groupes de sécurité comme collections pour définir la portée du déploiement de logiciels. Vous allez ajouter chacun de leurs ordinateurs au groupe APP_Project en employant deux méthodes différentes. 1.
Dans l’UO Client Computers\SEA , cliquez avec le bouton droit sur LOT9179, puis cliquez sur Ajouter à un groupe.
2.
Tapez APP_ et appuyez sur Entrée. La boîte de dialogue Éléments multiples trouvés s’affiche.
3.
Cliquez sur APP_Project, puis sur OK. Le message suivant s’affiche : « L’opération Ajouter au groupe est terminée. »
4.
Cliquez sur OK.
5.
Dans l’arborescence de la console, développez l’UO Groups, puis cliquez sur Application.
6.
Cliquez avec le bouton droit sur APP_Project, puis cliquez sur Propriétés.
7.
Cliquez sur l’onglet Membres.
8.
Cliquez sur Ajouter.
9.
Tapez LNO8538, puis appuyez sur Entrée. La boîte de dialogue Impossible de trouver le nom s’affiche. Par défaut, l’interface Sélectionner les utilisateurs, les ordinateurs ou les groupes ne recherche pas les objets ordinateur.
10. Cliquez sur Types d’objets. 11. Activez la case à cocher en regard de Ordinateur, puis cliquez sur OK. 12. Cliquez sur OK pour fermer la boîte de Nom introuvable. Les deux ordinateurs sont à présent visibles sous l’onglet Membres. 13. Cliquez sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-64
5-65
Tâche 4 : Déplacement d'un ordinateur d'une UO à une autre Scott et Linda sont mutés au bureau de Vancouver. Vous allez devoir déplacer leur ordinateur dans la nouvelle UO en employant deux méthodes différentes. 1.
Dans l’UO Client Computers\SEA, cliquez sur LOT9179.
2.
Faites glisser LOT9179 vers l’UO VAN, qui figure dans l’arborescence de la console. Un message s’affiche pour vous rappeler que le déplacement d’objets dans Active Directory doit se faire avec précautions.
3.
Cliquez sur Oui.
4.
Cliquez avec le bouton droit sur LNO8538, puis cliquez sur Déplacer. La boîte de dialogue Déplacer s’affiche.
5.
Dans l’arborescence de la console, développez Client Computers, puis cliquez sur VAN.
6.
Cliquez sur OK.
Tâche 5 : Désactivation, activation et suppression d'ordinateurs 1.
Dans l’UO Client Computers\SEA, désactivez, puis activez le compte pour DEP6152.
2.
Supprimez le compte pour DEP6152.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 2 : Administration des comptes d'ordinateurs et résolution des problèmes associés Dans cet exercice, vous allez administrer des comptes d’ordinateurs et le canal sécurisé et résoudre des problèmes associés. Les tâches principales de cet exercice sont les suivantes : 1.
Réinitialiser un compte d’ordinateur.
2.
Faire l’expérience d’un problème de canal sécurisé.
3.
Réinitialiser le canal sécurisé.
Tâche 1 : Réinitialisation d'un compte d'ordinateur Dernièrement, l’ordinateur de Scott Mitchell a dû faire l’objet d’une réinstallation. Selon la convention d’attribution de noms de Contoso, le nom d’un objet ordinateur est son étiquette d’inventaire. Il est attribué par l’équipe d’inventaire informatique. Scott ayant réinstallé son ordinateur sur le même matériel, le nom d’ordinateur est le même : LOT9179. Il souhaite à présent joindre l’ordinateur au domaine, mais il existe déjà un compte pour LOT9179, et ce compte est membre de groupes chargés de s’assurer que les logiciels (notamment Microsoft Office Project) et la configuration appropriés sont appliqués au système. Par conséquent, il est important que le compte ne soit pas supprimé afin de préserver les appartenances aux groupes. •
Dans l’UO Client Computers\VAN, réinitialisez le compte pour LOT9179. Vous pouvez désormais joindre l’ordinateur réinstallé de Scott au domaine.
Tâche 2 : Découverte d'un problème de canal sécurisé 1.
Montrez que vous pouvez ouvrir une session sur SERVER01 sous le nom Pat.Coleman avec le mot de passe Pa$$w0rd. Une fois le Bureau affiché, fermez la session.
2.
Pour « rompre » le canal sécurisé, utilisez Utilisateurs et ordinateurs Active Directory sur HQDC01 afin de réinitialiser le compte pour SERVER01.
3.
Essayez d'ouvrir une session sur SERVER01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-66
5-67
Tâche 3 : Réinitialisation du canal sécurisé Pour rétablir une relation d’approbation rompue entre un membre du domaine et le domaine, vous pouvez réinitialiser le compte de l’ordinateur, déplacer l’ordinateur dans un groupe de travail, puis le joindre à nouveau au domaine. •
Réinitialisez le compte d’ordinateur pour SERVER01. Après avoir réinitialisé le canal sécurisé, vous pouvez déplacer SERVER01 dans un groupe de travail, puis le joindre à nouveau au domaine. Il joindra son compte réinitialisé et donc conservera ses appartenances aux groupes. N’exécutez pas cette étape pour cette fois. Résultats : à l’issue de cet exercice, le compte d’utilisateur nommé Chris Mayo figurera dans l’UO Employees.
Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
Question de contrôle des acquis Question : qu’avez-vous appris des problèmes et des procédures concernant les comptes d’ordinateurs et l’administration de comptes d’ordinateurs tout au long de leur cycle de vie ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Prise en charge des comptes d'ordinateur
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-1
Module 6 Implémentation d'une infrastructure de stratégie de groupe Table des matières : Leçon 1 : Fonctionnement de la stratégie de groupe
6-4
Leçon 2 : Implémentation des objets GPO
6-22
Atelier pratique A : Implémentation d'une stratégie de groupe
6-40
Leçon 3 : Examen approfondi des paramètres et des objets GPO
6-44
Atelier pratique B : Gestion des paramètres et des objets GPO
6-67
Leçon 4 : Gestion de l'étendue d'une stratégie de groupe
6-74
Atelier pratique C : Gestion de l'étendue d'une stratégie de groupe
6-105
Leçon 5 : Traitement d'une stratégie de groupe
6-113
Leçon 6 : Résolution des problèmes d'application de stratégie
6-123
Atelier pratique D : Résolution des problèmes d'application de stratégie
6-136
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vue d'ensemble du module
Dans le Module 1, vous avez appris que les Services de domaine Active Directory® (AD DS) fournissent les services de base d'une solution d'identification et d'accès aux réseaux d'entreprise exécutant Windows® et que les services AD DS offrent davantage en prenant en charge la gestion et la configuration des réseaux les plus vastes et les plus complexes. Dans les Modules 2 à 5, vous avez appris à administrer les entités de sécurité du service d'annuaire Active Directory : utilisateurs, groupes et ordinateurs. Vous allez à présent étudier la gestion et la configuration des utilisateurs et des ordinateurs à l'aide d'une Stratégie de groupe. Une stratégie de groupe fournit une infrastructure au sein de laquelle les paramètres peuvent être définis de façon centralisée, puis déployés dans les ordinateurs et pour les utilisateurs de l'entreprise.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-2
6-3
Un environnement géré par une infrastructure de stratégie de groupe bien implémentée ne demande que peu de configuration, voire aucune configuration directe d'un poste de travail. Toutes les configurations sont définies, imposées et mises à jour à l'aide de paramètres stockés dans des objets de stratégie de groupe (GPO). Ces objets affectent une partie de l'entreprise aussi vaste qu'un site ou un domaine complet ou limitée à un seul groupe ou unité d'organisation. Dans ce module, vous allez étudier la définition d'une Stratégie de groupe, son fonctionnement et sa meilleure méthode d'implémentation dans votre organisation. Les modules suivants consisteront à appliquer une Stratégie de groupe à des tâches de gestion spécifiques, telles que la configuration de la sécurité, le déploiement de logiciels, la stratégie des mots de passe et l'audit.
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
identifier les facteurs professionnels de la gestion de configuration ;
•
comprendre les composants et les technologies qui constituent la structure d'une stratégie de groupe ;
•
gérer les objets GPO ;
•
configurer et comprendre les divers types de paramètres d'une stratégie ;
•
définir la portée des objets GPO à l'aide de liens, de groupes de sécurité, de filtres WMI, de traitement par boucle de rappel et du ciblage des Préférences ;
•
expliquer le stockage, la réplication et la gestion des versions des objets GPO ;
•
administrer l'infrastructure d'une stratégie de groupe ;
•
évaluer l'héritage et la priorité des objets GPO et l'outil RSoP ;
•
localiser les journaux contenant les événements liés à la Stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 1
Fonctionnement de la Stratégie de groupe
Une infrastructure de stratégie de groupe comprend un grand nombre d'éléments. Il est donc important que vous compreniez le rôle de chacun de ces éléments, mais aussi comment ils fonctionnent ensemble et les raisons de leur assemblage en diverses configurations. Cette leçon propose une vue d'ensemble exhaustive de la Stratégie de groupe : ses composants, ses fonctions et son traitement interne.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
identifier les facteurs professionnels de la gestion de configuration ;
•
comprendre les composants de base et la terminologie d'une stratégie du groupe ;
•
expliquer les bases du traitement d'une stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-4
6-5
Qu'est-ce que la gestion des configurations ?
Points clés Si votre environnement ne comprend qu'un seul ordinateur (à votre domicile, par exemple) et que vous devez apporter une modification (comme changer l'arrièreplan du Bureau), plusieurs méthodes vous permettent d'effectuer cette opération. La plupart des utilisateurs sélectionneraient probablement le menu Personnalisation du Panneau de configuration et effectueraient la modification via l'interface Windows. Cette méthode convient parfaitement à un utilisateur mais devient laborieuse lorsque la modification en concerne plusieurs. Imaginons, par exemple, que vous désiriez le même arrière-plan pour vous et votre famille. Vous devez dans ce cas effectuer la même modification à plusieurs reprises et, si vous changez ensuite d'avis et voulez à nouveau modifier l'arrière-plan, il vous faudra reprendre le profil de chaque utilisateur et réitérer la modification. L'implémentation de la modification et le maintien de la cohérence d'un environnement deviennent encore plus complexes avec plusieurs ordinateurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
En fin de compte, la gestion des configurations est une approche centralisée qui consiste à appliquer une ou plusieurs modifications à un ou plusieurs utilisateurs ou ordinateurs. Si vous gardez cela à l'esprit, le reste sera plus facile à comprendre. Alors répétonsnous. Les points clés de la gestion des configurations sont ci-après. •
Définition centralisée d'une modification, que nous appellerons également un paramètre. Le paramètre apporte l'état de configuration souhaité pour l'utilisateur ou l'ordinateur.
•
Définition des utilisateurs ou ordinateurs auxquels s'applique la modification, et que nous appellerons l'étendue ou la portée de la modification.
•
Mécanisme garantissant que le paramètre est appliqué aux utilisateurs et ordinateurs de l'étendue. Nous appellerons ce processus l'application.
La Stratégie du groupe est une structure au sein de Windows (avec des composants qui résident dans Active Directory, dans des contrôleurs de domaine et dans chaque serveur et client Windows) qui vous permet de gérer la configuration dans un domaine AD DS. Lorsque vous vous intéressez à la Stratégie du groupe, qui peut devenir extrêmement complexe, gardez toujours à l'esprit que tout se réduit, pour finir, à ces quelques éléments de base de la gestion des configurations.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-6
6-7
Paramètres de stratégie (également appelés Stratégies)
Points clés Le composant le plus granulaire de la Stratégie du groupe est un paramètre de stratégie individuel, appelé simplement stratégie, qui définit une modification de configuration spécifique à appliquer. Par exemple, il existe un paramètre de stratégie qui empêche l'utilisateur d'accéder aux outils de modification du Registre. Si vous définissez ce paramètre de stratégie et que vous l'appliquez à l'utilisateur, ce dernier ne peut plus utiliser certains outils, par exemple Regedit.exe. Un autre paramètre de stratégie vous permet de renommer le compte Administrateur local. Vous pouvez par exemple utiliser ce paramètre de stratégie pour renommer le compte Administrateur dans tous les postes de travail et ordinateurs portables des utilisateurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Ces deux exemples mettent en évidence un point important : certains paramètres de stratégie affectent un utilisateur, quel que soit l'ordinateur sur lequel cet utilisateur ouvre une session, alors que d'autres paramètres de stratégie affectent un ordinateur, quel que soit l'utilisateur connecté à cet ordinateur. Les paramètres de stratégie tels que ceux qui empêchent l'utilisateur d'accéder aux outils de modification du Registre sont souvent appelés paramètres de configuration utilisateur ou paramètres utilisateur. Les paramètres de stratégie tels que ceux qui désactivent le compte Administrateur et autres paramètres similaires sont souvent appelés paramètres de configuration ordinateur ou paramètres ordinateur. Vous entendrez également parler de « stratégies utilisateur » et de « stratégies ordinateur » La terminologie utilisée dans l'industrie est imprécise. Une Stratégie de groupe permet de gérer des milliers de paramètres de stratégie et, sa structure étant extensible, elle vous permet pour finir de gérer à peu près n'importe quoi. Pour définir un paramètre de stratégie, double-cliquez sur son entrée. La boîte de dialogue Propriétés du paramètre de stratégie s'affiche. En voici un exemple :
Un paramètre de stratégie peut avoir trois états : Non configuré, Activé ou Désactivé.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-8
6-9
Dans un nouvel objet GPO, chaque paramètre de stratégie est Non configuré. Cela signifie que l'objet GPO ne modifiera pas la configuration existante de ce paramètre pour un utilisateur ou un ordinateur. Si vous activez ou désactivez un paramètre de stratégie, la modification est apportée à la configuration des utilisateurs et des ordinateurs auxquels l'objet GPO s'applique. L'effet de la modification dépend du paramètre de stratégie lui-même. Par exemple, si vous activez le paramètre de stratégie Empêche l'accès aux outils de modification du Registre, les utilisateurs ne peuvent plus lancer l'Éditeur du registre Regedit.exe. Si vous désactivez le paramètre de stratégie, vous êtes certain que les utilisateurs peuvent lancer l'Éditeur du registre. Remarquez la double négation de ce paramètre de stratégie : vous désactivez une stratégie qui interdit une action, donc vous autorisez cette action. Certains paramètres de stratégie associent plusieurs configurations en une seule stratégie et peuvent requérir d'autres paramètres. Dans la capture d'écran précédente, vous pouvez voir qu'en activant la stratégie qui interdit les outils de modification du Registre, vous pouvez également définir si les fichiers du Registre peuvent être fusionnés discrètement dans le système via regedit /s. Remarque : assurez-vous de comprendre et de tester tous les paramètres de la stratégie de groupe. Nombres de paramètres de stratégie sont complexes, et l'effet de leur activation ou de leur désactivation peut ne pas être immédiatement évident. De même, certains paramètres de stratégie n'affectent que certaines versions de Windows. Assurez-vous de lire le texte explicatif du paramètre de stratégie dans le volet d'informations de l'Éditeur de gestion des stratégies de groupe (GPME) ou dans l'onglet Expliquer de la boîte de dialogue Propriétés du paramètre de stratégie. De plus, testez toujours les effets d'un paramètre de stratégie et ses interactions avec les autres paramètres avant de déployer une modification dans l'environnement de production.
Vous étudierez les paramètres de stratégie et leur gestion à la leçon 3.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Objets de stratégie de groupe (GPO)
Points clés Les paramètres de stratégie sont définis et stockés au sein d'un Objet de stratégie de groupe (GPO). Un objet GPO est un objet qui contient un ou plusieurs paramètres de stratégie et applique de ce fait un ou plusieurs paramètres de configuration à un utilisateur ou à un ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-10
6-11
Les objets GPO peuvent être gérés dans Active Directory via la Console de gestion des stratégies de groupe (GPMC), présentée ici :
Les objets GPO sont affichés dans un conteneur nommé Objets de stratégie de groupe. Pour créer un nouvel objet GPO dans un domaine, cliquez du bouton droit sur le conteneur Objets de stratégie de groupe et choisissez Nouveau. Pour modifier les paramètres de configuration d'un objet GPO, cliquez du bouton droit sur ce dernier et choisissez Modifier.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
L'objet GPO s'affiche dans le composant logiciel enfichable Éditeur de gestion des stratégies de groupe (GPME), appelé auparavant Éditeur d'objets de stratégie de groupe (Éditeur GPO), présenté ici :
L'Éditeur GPME organise l'affichage des milliers de paramètres de stratégie disponibles dans un objet GPO de façon hiérarchique, en commençant par les diviser en paramètres ordinateur et paramètres utilisateur : les nœuds Configuration ordinateur et Configuration utilisateur. Les niveaux suivants dans la hiérarchie sont les deux nœuds nommés Stratégies et Préférences. Vous découvrirez la différence entre ces deux nœuds dans la suite de cette leçon. Si vous détaillez encore davantage la hiérarchie, vous verrez que l'éditeur GPME affiche des dossiers, également appelés nœuds ou groupes de paramètres de stratégie. Les dossiers contiennent les paramètres de stratégie eux-mêmes. Le paramètre de stratégie 'Empêche l'accès aux outils de modification du Registre' est sélectionné dans la capture d'écran présentée ici. Vous étudierez l'implémentation et la gestion des objets GPO à la leçon 2.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-12
6-13
Étendue d'un objet GPO
Points clés La configuration est définie par des paramètres de stratégie dans des objets GPO. Toutefois, les modifications de configuration apportées à un objet GPO n'affectent pas les ordinateurs ou les utilisateurs de votre entreprise tant que vous ne spécifiez pas les ordinateurs ou les utilisateurs auxquels ce GPO s'applique. Il s'agit alors de l'étendue d'un objet GPO. L'étendue d'un GPO est l'ensemble des utilisateurs et ordinateurs qui appliqueront les paramètres de cet objet. Plusieurs méthodes permettent de gérer l'étendue des GPO. La première est le lien de l'objet GPO. Les objets GPO peuvent être reliés à des sites, à des domaines et à des unités d'organisation dans Active Directory. Le site, le domaine ou l'unité d'organisation devient alors l'étendue maximale du GPO. Tous les ordinateurs et utilisateurs de ce site, domaine ou unité d'organisation, y compris ceux des unités d'organisation enfants, seront affectés par les configurations spécifiées par les paramètres de stratégie dans l'objet GPO. Un même objet GPO peut être relié à plusieurs sites ou unités d'organisation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Deux types de filtres permettent de limiter l'étendue d'un GPO : les filtres de sécurité, qui définissent les groupes de sécurité globaux auxquels le GPO doit ou non s'appliquer, et les filtres WMI (Windows Management Instrumentation), qui définissent l'étendue par rapport aux caractéristiques d'un système tels que la version du système d'exploitation ou l'espace disque disponible. Servez-vous des filtres de sécurité et WMI pour restreindre ou définir l'étendue au sein de l'étendue initiale créée par le lien du GPO. Windows Server® 2008 a introduit un nouveau composant de Stratégie de groupe : les Préférences de stratégie de groupe. Les paramètres configurés par les Préférences de stratégie de groupe au sein d'un objet GPO peuvent être filtrés, ou ciblés, en fonction d'un certain nombre de critères. Les préférences ciblées permettent d'affiner encore davantage l'étendue des Préférences au sein d'un seul GPO. La définition de l'étendue des objets GPO est détaillée à la leçon 4.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-14
6-15
Client de stratégie de groupe et extensions côté client
Points clés Comment les paramètres de stratégie s'appliquent-ils exactement ? Lorsque l'actualisation d'une Stratégie de groupe commence, un service qui s'exécute dans tous les systèmes Windows (appelé Client de stratégie de groupe sous Windows Vista® et Windows Server 2008) détermine les objets GPO s'appliquant à l'ordinateur ou à l'utilisateur. Ce service télécharge tous les GPO qu'il n'a pas encore mis en cache. Ensuite, une série de processus appelée Extensions côté client (CSE) interprète les paramètres d'un GPO et apporte les modifications appropriées à l'ordinateur local ou à l'utilisateur actuellement connecté. Des extensions CSE existent pour chaque catégorie principale de paramètres de stratégie. Par exemple, il existe une extension CSE de sécurité qui applique les modifications de la sécurité, une extension CSE qui exécute les scripts de démarrage et d'ouverture de session, une extension CSE qui installe les logiciels et une extension CSE qui modifie les clés et les valeurs du Registre. Chaque version de Windows a ajouté des extensions côté client de manière à étendre la portée fonctionnelle de la Stratégie du groupe. Windows comprend maintenant des douzaines d'extensions CSE.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
L'un des concepts majeurs en matière de Stratégie de groupe est que cette dernière est réellement pilotée au niveau des clients. Le client de Stratégie de groupe extrait les objets GPO de son domaine, en déclenchant les extensions CSE pour appliquer les paramètres localement. La Stratégie de groupe n'est pas une technologie « d'émission ». En réalité, le comportement des extensions CSE peut être configuré à l'aide de la Stratégie de groupe. La plupart des extensions CSE n'appliqueront les paramètres d'un GPO que si ce dernier a été modifié. Ce comportement améliore le traitement global des stratégies en éliminant l'application redondante des mêmes paramètres. La plupart des stratégies sont appliquées de telle manière que les utilisateurs standard ne peuvent pas modifier le paramètre dans leur système : ils demeureront toujours assujettis à la configuration imposée par la Stratégie de groupe. Certains paramètres, toutefois, peuvent être modifiés par les utilisateurs standard, et beaucoup peuvent être modifiés lorsque l'utilisateur est Administrateur de ce système. Si certains utilisateurs de votre environnement sont administrateurs de leurs ordinateurs, pensez à configurer des extensions CSE afin d'appliquer à nouveau les paramètres de stratégie même si l'objet GPO n'a pas changé. De cette manière, si un utilisateur administrateur change la configuration de sorte qu'elle ne respecte plus cette stratégie, l'état conforme de la configuration est réinitialisé dès la prochaine actualisation de la Stratégie du groupe. Remarque : configurez des extensions CSE pour appliquer à nouveau les paramètres de stratégie même si le GPO n'a pas changé. Vous pouvez configurer des extensions CSE pour appliquer à nouveau les paramètres de stratégie, même si le GPO n'a pas changé, dans le cadre d'une actualisation exécutée en arrière-plan. Pour ce faire, configurez un GPO limité aux ordinateurs concernés, puis définissez ses paramètres dans le nœud Configuration ordinateur\Stratégies\Modèles d'administration\Système\Stratégie de groupe. Pour chaque extension CSE que vous souhaitez configurer, ouvrez son paramètre de stratégie de traitement des stratégies, par exemple, Traitement de la stratégie du Registre de l'extension CSE Registre. Cliquez sur Activé, puis cochez la case intitulée Traiter même si les objets GPO n'ont pas été modifiés.
Les paramètres gérés par l'extension CSE Sécurité sont une exception importante aux paramètres par défaut du traitement de stratégie. Les paramètres de sécurité sont appliqués répétitivement toutes les 16 heures, même si l'objet GPO n'a pas changé.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-16
6-17
Remarque : concernant le paramètre de stratégie Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session, il est fortement recommandé d'activer ce paramètre pour tous les clients Windows. Sans ce paramètre, par défaut, les clients Windows XP, Windows Vista et Windows 7 n'effectuent que des actualisations en arrière-plan, ce qui signifie qu'un client peut démarrer et un utilisateur ouvrir une session sans recevoir les dernières stratégies du domaine. Ce paramètre est stocké dans Configuration ordinateur\Stratégies\Modèles d'administration\Système\Ouverture de session. Assurez-vous de lire le texte explicatif de ce paramètre de stratégie. Le domaine contoso.com utilisé dans ce cours a été préconfiguré avec ce paramètre supplémentaire de stratégie de groupe.
L'application de la Stratégie de groupe est traitée en détail à la leçon 5.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Actualisation de la stratégie de groupe
Points clés À quel moment les stratégies sont-elles appliquées ? Les paramètres de stratégie du nœud Configuration ordinateur sont appliquées au démarrage du système, puis toutes les 90 à 120 minutes. Les paramètres de stratégie du nœud Configuration utilisateur sont appliquées à l'ouverture de session, puis toutes les 90 à 120 minutes. L'application des stratégies est appelée actualisation de Stratégie de groupe. Vous pouvez également imposer une actualisation de stratégie avec la commande GPUpdate. Vous étudierez l'actualisation de Stratégie de groupe de manière plus approfondie à la leçon 5.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-18
6-19
Jeu de stratégies résultant
Points clés Les ordinateurs et les utilisateurs inclus dans l'étendue d'un objet GPO appliquent les paramètres de stratégie définis dans cet objet. Un utilisateur ou un ordinateur individuel est généralement inclus dans l'étendue de plusieurs objets GPO reliés au site, au domaine ou aux unités d'organisation dans lequel cet utilisateur ou cet ordinateur existe. Il est donc possible que des paramètres de stratégie soient configurés différemment dans plusieurs objets GPO. Vous devez être à même de comprendre et d'évaluer le Jeu de stratégie résultant (RSoP), qui détermine les paramètres appliqués par un client lorsqu'ils sont configurés différemment dans plusieurs objets GPO. Les jeux de stratégie résultants (RSoP) sont détaillés à la leçon 6.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Examen des composants de la Stratégie de groupe
Points clés Examinez les composants clés d'une Stratégie de groupe.
Lectures complémentaires TechNet propose des guides détaillés sur les techniques et l'exploitation des Stratégies de groupe, avec notamment : •
Stratégie de groupe pour Windows Server (éventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99449
•
Fonctionnement de la stratégie de groupe de base (éventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99468
•
Déploiement d'une stratégie de groupe à l'aide de Windows Vista (éventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=169357
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-20
6-21
•
Récapitulatif des paramètres de stratégie de groupe nouveaux ou développés (éventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99450
•
Nouveautés de la Stratégie de groupe sous Windows Vista (éventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99451
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 2
Implémentation d'objets GPO
Maintenant que vous connaissez les stratégies de groupe et leurs composants, vous pouvez vous intéresser de plus près à chaque composant. Cette section examine en détail les objets GPO.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
créer, modifier et relier des objets GPO ;
•
identifier les capacités de gestion des modifications et de configuration d'une stratégie de groupe ;
•
configurer des paramètres de stratégie ;
•
expliquer le stockage, la réplication et la gestion des versions des objets GPO.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-22
6-23
Objets GPO locaux
Points clés Pour gérer la configuration des utilisateurs et des ordinateurs, vous devez créer des objets GPO contenant les paramètres de stratégie nécessaires. Chaque ordinateur dispose de plusieurs GPO stockés localement dans le système (les objets GPO locaux) et peut être inclus dans l'étendue d'un certain nombre d'objets GPO du domaine. Les ordinateurs qui exécutent Windows 2000, Windows XP et Windows Server 2003 ont chacun un objet GPO local, capable de gérer la configuration de ces systèmes. Cet objet GPO local existe, que l'ordinateur fasse ou non partie d'un domaine, d'un groupe de travail ou d'un environnement non relié au réseau. Il est stocké dans %SystemRoot%\System32\GroupPolicy. Les stratégies de l'objet GPO local affectent uniquement l'ordinateur dans lequel cet objet est stocké. Par défaut, seules les stratégies Paramètres de sécurité sont configurées dans l'objet GPO local d'un système. Toutes les autres stratégies sont définies sur Non configuré.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Lorsqu'un ordinateur n'appartient pas à un domaine Active Directory, la stratégie locale se révèle très utile pour configurer et imposer des paramètres à cet ordinateur. Toutefois, dans un domaine Active Directory, les paramètres des objets GPO reliés au site, au domaine ou aux unités d'organisation remplacent les paramètres de l'objet GPO local et sont plus faciles à gérer que les GPO des ordinateurs individuels. Windows Vista, Windows Server 2008 et les versions ultérieures ont plusieurs objets GPO locaux. L'objet GPO Ordinateur local est le même que l'objet GPO des versions précédentes de Windows. Le nœud Configuration ordinateur permet de configurer tous les paramètres relatifs à l'ordinateur. Le nœud Configuration utilisateur permet de configurer les paramètres que vous souhaitez appliquer à tous les utilisateurs de l'ordinateur. Les paramètres utilisateur de l'objet GPO Ordinateur local peuvent être modifiés par les paramètres utilisateur dans deux nouveaux objets GPO locaux : Administrateurs et Non-administrateurs. Ces deux GPO appliquent des paramètres utilisateur aux utilisateurs connectés en fonction de leur appartenance au groupe Administrateurs local (utilisation de l'objet GPO Administrateurs) ou de leur non appartenance à ce groupe (utilisation de l'objet GPO Non-Administrateurs). Vous pouvez affiner davantage les paramètres utilisateur à l'aide d'un GPO local s'appliquant à un compte d'utilisateur spécifique. Les objets GPO locaux spécifiques à l'utilisateur sont associés à des comptes d'utilisateur locaux, pas à des comptes de domaine. Le Jeu de stratégie résultant (RSoP) est simple pour les paramètres ordinateur : l'objet GPO Ordinateur local est le seul GPO local susceptible d'appliquer des paramètres ordinateur. Les paramètres utilisateur d'un GPO spécifique à l'utilisateur remplacent les paramètres conflictuels des GPO Administrateurs et Non administrateurs, qui remplacent eux-mêmes les paramètres du GPO Ordinateur local. Le concept est simple : plus le GPO local est spécifique, plus ses paramètres sont prioritaires. Pour créer et modifier des objets GPO locaux : 1.
Cliquez sur le bouton Démarrer, tapez mmc.exe dans la zone de texte Rechercher, puis appuyez sur ENTRÉE. Une console MMC (Microsoft® Management Console) vide s'affiche.
2.
Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.
3.
Sélectionnez l'Éditeur d'objets de stratégie de groupe, puis cliquez sur Ajouter. Une boîte de dialogue vous invite alors à sélectionner l'objet GPO à modifier.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-24
6-25
4.
L'objet GPO Ordinateur local est sélectionné par défaut. Pour modifier un autre GPO local, cliquez sur le bouton Parcourir. Dans l'onglet Utilisateurs, vous trouverez les GPO Non-administrateurs et Administrateurs et un GPO pour chaque utilisateur local. Sélectionnez le GPO concerné, puis cliquez sur OK.
5.
Cliquez sur Terminer, puis sur OK pour fermer les boîtes de dialogue.
Le composant logiciel enfichable Éditeur d'objets de stratégie de groupe est ajouté pour le GPO sélectionné. Question : Si les membres d'un domaine peuvent être gérés centralement à l'aide d'objets GPO reliés à ce domaine, dans quels cas les GPO locaux sont-ils utiles ?
Lectures complémentaires •
Objets GPO locaux multiples (éventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=112463
•
Procédure de gestion des objets GPO locaux multiples (éventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99457
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Objets GPO de domaine
Points clés Les objets GPO de domaine sont créés dans Active Directory et stockés dans des contrôleurs de domaine. Ils permettent de gérer de manière centralisée la configuration des utilisateurs et des ordinateurs du domaine. La suite de ce cours fait référence aux GPO de domaine et non aux GPO locaux, sauf lorsque l'inverse est explicitement précisé. Lorsque AD DS est installé, deux GPO par défaut sont créés : Stratégie de domaine par défaut Ce GPO est relié au domaine et n'a pas de groupe de sécurité ni de filtres WMI. Il affecte donc tous les utilisateurs et ordinateurs du domaine (y compris les contrôleurs du domaine). Ce GPO contient les paramètres de stratégie qui définissent les stratégies de mots de passe, de verrouillage des comptes et Kerberos. Comme expliqué dans le Module 9, vous modifierez les paramètres par défaut de ce GPO en fonction des stratégies de mots de passe et de verrouillage des comptes de votre entreprise. Il est préférable de ne pas ajouter à ce GPO de paramètres de stratégie non reliés. Pour configurer d'autres paramètres devant s'appliquer largement à votre domaine, créez d'autres GPO reliés à ce domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-26
6-27
Stratégie Contrôleurs de domaine par défaut Ce GPO est lié à l'unité d'organisation des contrôleurs de domaine. Les comptes d'ordinateur des contrôleurs de domaine étant gardés exclusivement dans l'unité d'organisation des contrôleurs de domaine, et les autres comptes d'ordinateur devant être conservés dans d'autres unités d'organisation, ce GPO affecte uniquement les contrôleurs de domaine. Comme expliqué dans les Modules 7 à 9, le GPO Contrôleurs de domaine par défaut doit être modifié pour implémenter vos stratégies d'audit. Il doit également être modifié pour affecter les droits utilisateur requis pour les contrôleurs de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Démonstration : Création, liaison et modification d'objets GPO
Points clés Pour créer un objet GPO, cliquez du bouton droit sur le conteneur Objets de stratégie de groupe et choisissez Nouveau. Pour créer un GPO, vous devez disposer d'une autorisation pour le conteneur Objets de stratégie de groupe. Par défaut, seuls les groupes Administrateurs de domaine et Créateurs propriétaires de la stratégie de groupe sont habilités à créer des objets GPO. Pour déléguer une autorisation de création de GPO à d'autres groupes, sélectionnez le conteneur Objets de stratégie de groupe dans l'arborescence de la console GPMC, puis cliquez sur l'onglet Délégation du volet d'informations de la console. Après avoir créé un GPO, vous pouvez créer son étendue initiale en le reliant à un site, un domaine ou une unité d'organisation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-28
6-29
Pour relier un GPO, cliquez du bouton droit sur le site, le domaine ou l'unité d'organisation concerné(e), puis choisissez Lier un objet de stratégie de groupe existant. Vous pouvez également créer et relier un GPO en une seule étape : cliquez du bouton droit sur un site, un domaine ou une unité d'organisation et choisissez Créer un objet GPO dans ce domaine, et le lier ici. Notez que, pour que vos sites s'affichent dans le nœud Sites de la console GPMC, vous devez cliquer du bouton droit sur Sites, choisir Afficher les sites, puis sélectionner les Sites que vous souhaitez gérer. Vous devez être autorisé à relier un GPO à un site, à un domaine ou à une unité d'organisation. Dans la console GPMC, sélectionnez le conteneur dans l'arborescence, puis ouvrez l'onglet Délégation du volet d'informations. Dans la liste déroulante Autorisation, sélectionnez Lier les objets GPO. Les utilisateurs et groupes affichés disposent de l'autorisation pour l'unité d'organisation sélectionnée. Pour modifier la délégation, cliquez sur le bouton Ajouter ou Supprimer. Pour modifier un objet GPO, cliquez du bouton droit sur son entrée dans le conteneur Objets de stratégie de groupe et choisissez Modifier. L'objet GPO s'affiche dans le composant logiciel enfichable Éditeur de gestion des stratégies de groupe (GPME). Vous devez au moins disposer d'une autorisation de lecture pour ouvrir l'objet GPO de cette manière. Pour modifier un GPO, vous devez disposer d'une autorisation d'écriture sur ce dernier. Pour définir des autorisations pour le GPO, sélectionnez ce dernier dans le conteneur Objets de stratégie de groupe, puis ouvrez l'onglet Délégation du volet d'informations. La console GPME affichera le nom du GPO en tant que nœud racine. Elle affiche également le domaine dans lequel le GPO est défini et le serveur à partir duquel le GPO a été ouvert et dans lequel les modifications seront enregistrées. Le nœud racine est au format NomGPO [NomServeur]. Dans la capture d'écran de la console GPME présentée précédemment dans ce module, le nœud racine est CONTOSO Standards [SERVER01.contoso.com] Policy. Le nom du GPO est CONTOSO Standards et il a été ouvert à partir du serveur SERVER01.contoso.com, ce qui signifie que le GPO est défini dans le domaine contoso.com. Par défaut, les consoles GPMC et GPME se connectent à un contrôleur de domaine spécifique de votre environnement : le contrôleur de domaine jouant le rôle d'Émulateur PDC (Primary Domain Controller, ou Contrôleur principal du domaine). Vous apprendrez à identifier et à gérer le contrôleur de domaine associé à ce rôle dans un module ultérieur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
L'objectif est de réduire les possibilités de modification d'un seul GPO dans deux contrôleurs de domaine différents, empêchant tout rapprochement des modifications au cours de la réplication, et qu'une seule version de l'intégralité du GPO prévale et soit répliquée. Le fait de concentrer les outils d'administration dans un seul contrôleur de domaine permet d'être certain que les modifications ne seront effectuées qu'en un seul emplacement. Toutefois, dans un vaste environnement distribué, l'Émulateur PDC peut se trouver dans un site distant, et entraîner une baisse des performances des consoles GPMC. Dans ce cas, cliquez du bouton droit sur le nœud racine de chaque console et connectez-vous à un contrôleur de domaine spécifique, plus proche de vous. N'oubliez pas le problème de réplication : lorsque vous êtes seul à modifier un GPO, il est parfaitement acceptable de le faire dans un contrôleur de domaine local plus performant. Étapes de la démonstration Création d'un objet GPO 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
3.
Exécutez Gestion de stratégie du groupe avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
4.
Dans l'arborescence de la console, développez Forest: contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratégie de groupe.
5.
Dans l'arborescence de la console, cliquez du bouton droit sur le conteneur Objets de stratégie de groupe et choisissez Nouveau.
6.
Dans Nom, tapez CONTOSO Standards, puis cliquez sur OK.
Ouverture d'un GPO pour modification 1.
Dans le volet d'informations de la console Gestion de stratégie de groupe (GPMC), cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Modifier. L'Éditeur de gestion des stratégies de groupe (GPME) s'ouvre.
2.
Fermez l'Éditeur GPME.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-30
6-31
Liaison d'un objet OBJET 1.
Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le domaine contoso.com et choisissez Lier un objet de stratégie de groupe existant.
2.
Sélectionnez CONTOSO Standards, puis cliquez sur OK.
Délégation de la gestion d'objets GPO 1.
Dans l'arborescence de la console GPMC, cliquez sur le domaine contoso.com.
2.
Dans le volet d'informations, ouvrez l'onglet Délégation.
3.
Examinez la délégation par défaut.
4.
Dans l'arborescence de la console GPMC, développez le conteneur Objets de stratégie de groupe, puis cliquez sur le GPO CONTOSO Standards.
5.
Dans le volet d'informations, ouvrez l'onglet Délégation.
6.
Examinez la délégation par défaut.
7.
Exécutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
8.
Dans l'arborescence de la console, cliquez sur le conteneur Utilisateurs.
9.
Dans le volet d'informations, double-cliquez sur le groupe Créateurs propriétaires de la stratégie de groupe, puis ouvrez l'onglet Membres.
10. Examinez l'appartenance par défaut. Délégation d'un objet GPO 1.
Dans le conteneur Objets de stratégie de groupe de l'arborescence de la console GPMC, cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Supprimer.
2.
Cliquez sur Non.
Connexion par défaut à l'Émulateur PDC 1.
Revenez à la console GPMC.
2.
Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le domaine contoso.com et choisissez Modifier le contrôleur de domaine.
3.
Examinez les paramètres par défaut.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Stockage des objets GPO
Points clés Les paramètres de stratégie de groupe sont présentés sous forme d'objets GPO dans les outils de l'interface utilisateur Active Directory, mais un GPO est en réalité constitué de deux composants : un Conteneur de stratégie du groupe (GPC) et un Modèle de stratégie de groupe (GPT). Le conteneur GPC est un objet Active Directory stocké dans le conteneur Objets de stratégie de groupe au sein du contexte de changement de nom de domaine de l'annuaire. Comme tous les objets Active Directory, chaque conteneur GPC comprend un attribut Identificateur global unique (GUID) qui l'identifie de façon exclusive dans Active Directory. Le conteneur GPC définit les attributs de base du GPO, mais ne contient aucun des paramètres. Les paramètres sont conservés dans le modèle GPT, ensemble de fichiers stocké dans le répertoire SYSVOL de chaque contrôleur de domaine sous %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID, où GPOGUID correspond à l'identifiant GUID du conteneur GPC. Lorsque vous modifiez les paramètres d'un GPO, ces modifications sont enregistrées dans le modèle GPT du serveur à partir duquel ce GPO a été ouvert.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-32
6-33
Par défaut, lors d'une actualisation de la Stratégie de groupe, les extensions côté client n'appliquent les paramètres d'un GPO que si ce dernier a été mis à jour. Le Client de stratégie de groupe peut identifier un GPO mis à jour par son numéro de version. Chaque GPO possède un numéro de version, incrémenté à chaque modification. Ce numéro de version est stocké sous la forme d'un attribut du conteneur GPC et dans un fichier texte, GPT.ini, dans le dossier GPT. Le Client de stratégie de groupe connaît le numéro de version de chacun des objets GPO qu'il a appliqué précédemment. Si, lors d'une actualisation de la stratégie de groupe, le client s'aperçoit que le numéro de version du GPC a changé, les extensions côté client sont averties de la mise à jour de cet objet GPO. Réplication d'un objet GPO La réplication des deux parties d'un GPO entre les contrôleurs de domaine s'effectue par des mécanismes distincts. Dans Active Directory, le GPC est répliqué par l'Agent de réplication d'annuaire (DRA), à l'aide d'une topologie générée par le Vérificateur de cohérence des données (KCC) qui peut être définie ou affinée manuellement. Vous étudierez la réplication Active Directory au Module 12. Le résultat est que le GPC est répliqué en quelques secondes dans tous les contrôleurs de domaine d'un site et est répliqué entre les sites selon votre configuration de la réplication intersites, également traitée au Module 12. Le GPT du répertoire SYSVOL est répliqué par l'une des deux technologies. Le Service de réplication de fichiers (FRS) est utilisé pour la réplication de SYSVOL dans les domaines exécutant Windows Server 2008, Windows Server 2003 et Windows 2000. Lorsque tous les contrôleurs de domaine exécutent Windows Server 2008, vous pouvez configurer la réplication de SYSVOL à l'aide d'une Réplication distribuée du système de fichiers (DFSR), un mécanisme bien plus efficace et plus robuste. Le conteneur GPC et le modèle GPT étant répliqués séparément, ils peuvent ne plus être synchrones pendant une courte période. En général, lorsque cela se produit, le conteneur GPC effectue d'abord la réplication vers un contrôleur de domaine. Les systèmes qui ont obtenu leur liste triée des objets GPO à partir de ce contrôleur de domaine identifieront le nouveau conteneur GPC, tenteront de télécharger le modèle GPT et remarqueront que les numéros de version ne sont pas identiques. Une erreur de traitement de stratégie est alors enregistrée dans les journaux d'événements. Lorsque l'inverse se produit et que l'objet GPO est répliqué dans un contrôleur de domaine avant le conteneur GPC, les clients qui obtiennent leur liste triée d'objets GPO à partir de ce contrôleur de domaine ne sont pas avertis du nouveau GPO avant la réplication du conteneur GPC.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vous pouvez télécharger l'Outil de vérification des stratégies de groupe, GPTool.exe, depuis le Centre de téléchargement Microsoft. Cet outil fait partie des Kits de ressources Windows. Il génère des rapports sur l'état des GPO du domaine et peut identifier les instances dans lesquelles, sur un contrôleur de domaine, le conteneur GPC et le modèle GPT ne présentent pas la même version. Pour plus d'informations sur l'outil GPTool.exe, tapez gpotool /? sur la ligne de commande.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-34
6-35
Démonstration : Paramètres de stratégie
Points clés Les paramètres de stratégie de groupe, également appelés stratégies, sont stockés dans un GPO et affichés et modifiés via la console GPME. Dans cette démonstration, vous allez étudier plus en profondeur les catégories de paramètres disponibles dans un GPO. Configuration ordinateur et Configuration utilisateur Il existe deux grands groupes de paramètres de stratégie : les paramètres ordinateur, stockés dans le nœud Configuration ordinateur, et les paramètres utilisateur, stockés dans le nœud Configuration utilisateur. •
Le nœud Configuration ordinateur contient les paramètres appliqués aux ordinateurs, quelle que soit la personne qui y ouvre une session. Les paramètres ordinateur sont appliqués au démarrage du système d'exploitation, puis lors de l'actualisation en arrière-plan toutes les 90 à 120 minutes.
•
Le nœud Configuration utilisateur contient les paramètres appliqués lorsqu'un utilisateur ouvre une session sur l'ordinateur, puis lors de l'actualisation en arrière-plan toutes les 90 à 120 minutes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Les nœuds Configuration ordinateur et Configuration utilisateur renferment les nœuds Stratégies et Préférences. Les stratégies sont des paramètres configurés et se comportent de la même manière que les paramètres de stratégie des versions précédentes de Windows. Les Préférences sont apparues avec Windows Server 2008. Les sections suivantes examinent ces nœuds. Les nœuds Stratégies des nœuds Configuration ordinateur et Configuration utilisateur renferment la hiérarchie des dossiers contenant les paramètres de stratégie. Comme il existe des milliers de paramètres, l'étude de chacun d'eux dépasse la portée de ce cours. Il est cependant utile de définir les principales catégories de paramètres de ces dossiers. Nœud Paramètres des logiciels Le premier de ces nœuds est le nœud Paramètres des logiciels, qui ne contient que l'extension Installation de logiciel. Cette extension d'installation de logiciel vous permet de spécifier comment les applications sont installées et gérées au sein de votre entreprise. C'est également à cet emplacement que les éditeurs de logiciels indépendants (ISP) ajoutent des paramètres. Le déploiement de logiciels par stratégie du groupe est traité au Module 7. Nœud Paramètres Windows Dans les nœuds Configuration ordinateur et Configuration utilisateur, le nœud Stratégies contient un nœud Paramètres Windows qui contient lui-même les nœuds Scripts, Paramètres de sécurité et QoS basée sur la stratégie. L'extension Scripts vous permet de spécifier deux types de scripts : Démarrage/Arrêt (dans le nœud Configuration ordinateur) et Ouverture de session/Fermeture de session (dans le nœud Configuration utilisateur). Les scripts Démarrage/Arrêt s'exécutent au démarrage ou à l'arrêt de l'ordinateur. Les scripts Ouverture de session/Fermeture de session s'exécute lorsque l'utilisateur ouvre ou ferme une session sur l'ordinateur. Lorsque vous affectez plusieurs scripts Démarrage/Arrêt ou Ouverture de session/Fermeture de session à un utilisateur ou un ordinateur, l'extension côté client Scripts exécute les scripts de haut en bas. Vous pouvez définir l'ordre d'exécution de plusieurs scripts dans la boîte de dialogue Propriétés. À la fermeture d'un ordinateur, l'extension côté client commence par traiter les scripts de fermeture de session, puis les scripts d'arrêt. Par défaut, la valeur du délai de traitement des scripts est de 10 minutes. Si le traitement des scripts de fermeture de session et d'arrêt nécessite plus de 10 minutes, ajustez la valeur du délai à l'aide d'un paramètre de stratégie. Vous pouvez utiliser n'importe quel langage de script ActiveX® pour rédiger des scripts. Microsoft Visual Basic® Scripting Edition (VBScript), Microsoft JScript®, Perl et les fichiers de commandes de style Microsoft MS-DOS® (.bat et .cmd) sont quelques possibilités. Les scripts d'ouverture de session stockés dans un répertoire réseau partagé dans une autre forêt sont pris en charge pour l'ouverture de session réseau entre les forêts.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-36
6-37
Le nœud Paramètres de sécurité permet à l'administrateur de la sécurité de configurer la sécurité à l'aide d'objets GPO. Cette opération peut être effectuée par la suite ou remplacée par une définition à l'aide d'un modèle de sécurité. Pour une présentation détaillée de la sécurité du système et du nœud Paramètres de sécurité, reportez-vous au Module 7. Le nœud QoS basée sur la stratégie définit les stratégies qui gèrent le trafic réseau. Par exemple, vous pouvez faire en sorte que les utilisateurs du département financier puissent exécuter une application réseau stratégique en priorité pendant la période de génération des états financiers de fin d'année. Le nœud QoS basée sur la stratégie vous permet ce genre de configuration. Le dossier Paramètres Windows du nœud Configuration utilisateur contient également les nœuds Services d'installation à distance, Redirection de dossiers et Maintenance d'Internet Explorer. Les stratégies Services d'installation à distance (RIS) contrôlent le comportement d'une installation de système d'exploitation à distance. La Redirection de dossiers permet de rediriger les dossiers des données et paramètres utilisateur (AppData, Desktop, Documents, Images, Musique et Favoris, par exemple), stockés dans l'emplacement par défaut du profil utilisateur, vers un autre emplacement du réseau autorisant une gestion centralisée. La Maintenance d'Internet Explorer permet d'administrer et de personnaliser Microsoft Internet Explorer®. Nœud Modèles d'administration Le nœud Modèles d'administration des nœuds Configuration ordinateur et Configuration utilisateur contient les paramètres de stratégie de groupe du Registre. Ces paramètres existent par milliers et permettent de configurer l'environnement des utilisateurs et des ordinateurs. En tant qu'administrateur, la manipulation de ces paramètres peut vous prendre beaucoup de temps. Pour simplifier leur utilisation, une description de chaque paramètre de stratégie est disponible en deux emplacements : •
Dans l'onglet Expliquer de la boîte de dialogue Propriétés du paramètre. L'onglet Paramètres de la boîte de dialogue Propriétés du paramètre répertorie en outre le système d'exploitation ou les logiciels requis pour ce paramètre.
•
Dans l'onglet Étendu de la console GPME. L'onglet Étendu s'affiche dans le coin inférieur droit du volet d'informations et fournit une description de chaque paramètre sélectionné dans une colonne entre l'arborescence de la console et le volet des paramètres. Le système d'exploitation ou les logiciels requis pour chaque paramètre est également répertorié.
Le nœud Modèles d'administration fait l'objet d'une description détaillée plus loin dans ce module.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Nœud Préférences Le nœud Préférences est situé sous les nœuds Configuration ordinateur et Configuration utilisateur. Nouveauté de Windows Server 2008, les préférences fournissent plus de 20 extensions côté client et vous permettent de gérer un nombre incroyable de paramètres supplémentaires, dont les suivants : •
Applications, telles que Microsoft Office 2003 et Office 2007
•
Lecteurs mappés
•
Paramètres du Registre
•
Options d'alimentation
•
Options des dossiers
•
Paramètres régionaux
•
Options du menu Démarrer
Les préférences vous permettent également de déployer les éléments suivants : •
Fichiers et dossiers
•
Raccourcis
•
Imprimantes
•
Tâches planifiées
•
Connexions réseau
Ces préférences seront un avantage pour la plupart des entreprises car les options disponibles permettent d'activer ou de désactiver des périphériques matériels ou des classes de périphériques. Vous pouvez par exemple utiliser les préférences pour interdire la connexion de lecteurs USB, notamment des lecteurs multimédia personnels, aux ordinateurs. Pour configurer les préférences, vous devez utiliser la nouvelle version de la console GPME. Cette nouvelle version fait partie des Outils d'administration de serveur distant (RSAT) qui peuvent être installés sous Windows Server 2008, Windows Vista et les versions ultérieures. Pour appliquer les préférences, les systèmes ont besoin des extensions CSE Préférences, incluses dans Windows Server 2008 et Windows 7. Les extensions CSE pour Windows XP, Windows Server 2003 et Windows Vista peuvent être téléchargées depuis le Centre de téléchargement Microsoft.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-38
6-39
L'interface qui vous permet de configurer la plupart des préférences ressemble à celle de Windows, dans laquelle vous effectueriez la modification manuellement.
La figure ci-dessus présente l'élément de préférence Options des dossiers (Windows XP), ensemble des paramètres traités par l'extension côté client Préférences. La similitude avec l'application Options des dossiers du Panneau de configuration est flagrante.
Étapes de la démonstration 1.
Basculez vers HQDC01.
2.
Cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Modifier.
3.
Prenez le temps de découvrir les paramètres disponibles dans un GPO. N'apportez aucune modification.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique A : Implémentation de la Stratégie de groupe
Scénario Vous êtes chargé de gérer les modifications et la configuration de la société Contoso, Ltd. Les stratégies de sécurité informatique de cette société spécifient que les ordinateurs ne doivent pas rester sans surveillance et connectés pendant plus de 10 minutes. Vous allez par conséquent configurer les paramètres de stratégie du délai d'expiration et de la protection par mot de passe des écrans de veille. Vous allez en outre verrouiller l'accès aux outils de modification du Registre.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-40
6-41
Exercice 1 : Création, modification et liaison d'objets GPO Dans cet exercice, vous allez créer un GPO qui implémente un paramètre imposé par la stratégie de sécurité de la société Contoso, Ltd., puis étendre ce paramètre à tous les utilisateurs et ordinateurs du domaine. Vous étudierez ensuite l'effet de ce GPO. S'il vous reste du temps, vous pouvez en profiter pour étudier les paramètres disponibles dans un objet GPO. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Créer un objet GPO.
3.
Modifier les paramètres d'un objet GPO.
4.
Définir l'étendue d'un objet GPO par un lien GPO.
5.
Vérifier les effets de l'application de la stratégie de groupe.
6.
Explorer les paramètres des GPO.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
3.
Démarrez 6238B-DESKTOP101-A, mais n'ouvrez pas de session sur le système.
Tâche 2 : Création d'un objet GPO 1.
Exécutez Gestion des stratégies de groupe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Créez un Objet de stratégie de groupe nommé CONTOSO Standards dans le conteneur Objets de stratégie de groupe.
Tâche 3 : Modification des paramètres d'un objet GPO 1.
Modifiez le GPO CONTOSO Standards.
2.
Accédez au dossier Configuration utilisateur, Stratégies, Modèles d'administration, Système.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
3.
Empêchez les utilisateurs d'exécuter l'Éditeur du registre et la commande regedit /s.
4.
Accédez au dossier Configuration utilisateur, Stratégies, Modèles d'administration, Panneau de configuration, Affichage.
5.
Examinez le texte explicatif du paramètre de stratégie du délai d'expiration Écran de veille.
6.
Configurez la stratégie de délai Écran de veille sur 600 secondes.
7.
Activez le paramètre de stratégie Un mot de passe protège l'écran de veille.
Tâche 4 : Définition de l'étendue d'un objet GPO par un lien GPO •
Reliez le GPO CONTOSO Standards au domaine contoso.com.
Tâche 5 : Vérification des effets de l'application de la stratégie de groupe 1.
Ouvrez une session sur DESKTOP101 avec le compte Pat.Coleman.
2.
Tentez de modifier le délai de l'Écran de veille et la protection par mot de passe. La Stratégie de groupe vous empêchera d'effectuer l'opération.
3.
Tentez d'exécuter l'Éditeur de Registre. La Stratégie de groupe vous empêchera d'effectuer l'opération.
Tâche 6 : Exploration des paramètres des GPO •
Dans HQDC01, modifiez le GPO CONTOSO Standards et prenez le temps d'examiner les paramètres disponibles dans un GPO. N'apportez aucune modification. Résultats : À la fin de cet exercice, vous disposerez d'un GPO nommé CONTOSO Standards qui configure l'écran de veille protégé par mot de passe et son délai d'expiration, et qui interdit l'utilisation des outils de modification du Registre.
Remarque : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car les paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-42
6-43
Questions de contrôle des acquis Question : Quels paramètres de stratégie votre entreprise a-t-elle déjà déployés à l'aide d'une Stratégie de groupe ? Question : Quels paramètres de stratégie avez-vous découverts et envisagez-vous d'implémenter dans votre entreprise ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 3
Examen approfondi des paramètres et des objets GPO
Les leçons 1 et 2 vous ont donné des bases suffisantes pour implémenter une stratégie de groupe dans un domaine AD DS. Toutefois, pour réellement maîtriser la Stratégie de groupe et la gérer dans une entreprise complexe et réelle, vous devez connaître davantage d'informations sur les paramètres, les objets GPO et la gestion de la stratégie de groupe.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
comprendre les différences entre les stratégies, les préférences et les paramètres gérés et non gérés ;
•
créer le magasin central pour les modèles d'administration ;
•
documenter un objet GPO et ses paramètres de stratégie à l'aide de commentaires ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-44
•
rechercher des paramètres de stratégie spécifiques dans un objet GPO ;
•
créer un objet GPO à partir d'un GPO Starter ;
•
sauvegarder un objet GPO ;
•
créer un objet GPO avec les paramètres d'un objet GPO sauvegardé.
6-45
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Stratégies de Registre du nœud Modèles d'administration
Points clés Le nœud Modèles d'administration contient des milliers de paramètres qui vous permettent de contrôler la plupart des aspects de Windows.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-46
6-47
La boîte de dialogue Propriétés du paramètre de stratégie Empêche l'accès aux outils de modification du Registre est présentée ci-dessous :
Si ce paramètre est activé et que l'utilisateur tente de démarrer l'Éditeur du Registre, un message s'affiche et explique qu'un paramètre interdit cette action. Remarque : pour empêcher les utilisateurs d'employer d'autres outils d'administration, exploitez le paramètre Exécuter uniquement les applications Windows spécifiées ou le paramètre Stratégies de restriction logicielle, qui dépassent la portée de ce cours.
Les stratégies du nœud Modèles d'administration modifient le Registre. Les paramètres du nœud Configuration ordinateur modifient les valeurs de la clé HKEY_LOCAL_MACHINE (HKLM) du Registre. Les paramètres du nœud Modèles d'administration du nœud Configuration utilisateur modifient les valeurs de la clé HKEY_CURRENT_USER (HKCU) du Registre.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Dans le cas de ce paramètre de stratégie, la valeur de Registre suivante est modifiée : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disable RegeditMode
Si vous choisissez de restreindre l'exécution silencieuse de Regedit, cette valeur est définie sur 2. Si vous choisissez de restreindre uniquement l'outil d'interface utilisateur Éditeur de Registre, la valeur est définie sur 1.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-48
6-49
Paramètres gérés et non gérés, et préférences
Points clés Les paramètres de stratégie du Registre configurés par le nœud Modèles d'administration présentent une nuance qu'il est important de comprendre : la différence entre les paramètres de stratégie gérés et non gérés. Un paramètre de stratégie géré présente les caractéristiques suivantes : •
L'interface utilisateur est verrouillée de sorte que les utilisateurs ne puissent pas modifier le paramètre. Les paramètres de stratégie gérés ont pour résultat la désactivation de l'interface utilisateur appropriée. Par exemple, si vous configurez le paramètre de stratégie Délai de l'écran de veille, l'utilisateur ne peut plus modifier ce délai dans son interface.
•
Les modifications sont apportées dans l'une des quatre clés du Registre réservées aux paramètres de stratégie gérés : •
HKLM\Software\Policies (paramètres ordinateur)
•
HKCU\Software\Policies (paramètres utilisateur)
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
HKLM\Software\Microsoft\Windows\Current Version\Policies (paramètres ordinateur)
•
HKCU\Software\Microsoft\Windows\Current Version\Policies (paramètres utilisateur)
Ces clés sont sécurisées et seuls les administrateurs peuvent les modifier. Il en est de même pour le verrouillage de l'interface utilisateur. Cela signifie que les utilisateurs non administrateurs recevront la modification spécifiée par l'intermédiaire du paramètre de stratégie et ne pourront plus modifier ce paramètre dans leur ordinateur. •
Les modifications apportées par un paramètre de Stratégie de groupe, et le verrouillage de l'interface utilisateur, sont « libérés » lorsque l'utilisateur ou l'ordinateur n'entre plus dans l'étendue du GPO. Par exemple, si vous supprimez un GPO, les paramètres de stratégie gérés qui ont été appliqués à un utilisateur seront libérés. Généralement, cela signifie que le paramètre reprend son état précédent. De plus, l'interface utilisateur est activée pour le paramètre.
Les paramètres de stratégie de Registre décrits jusqu'à présent et utilisés en pratique dans ce chapitre sont des exemples de paramètres de stratégie gérés. Un paramètre de stratégie géré modifie la configuration d'une manière ou d'une autre lorsque le paramètre est appliqué par un GPO. Lorsque l'utilisateur ou l'ordinateur n'est plus dans l'étendue du GPO, la configuration est automatiquement libérée. Par exemple, lorsqu'un GPO interdit l'accès aux outils de modification du Registre, puis est supprimé, désactivé ou lorsque son étendue est modifiée de sorte qu'elle ne s'applique plus aux utilisateurs, ces derniers peuvent à nouveau utiliser les outils de modification du Registre dès la prochaine actualisation de la stratégie, comportement par défaut de Windows, sauf si une autre restriction a été implémentée à un autre niveau. À l'inverse, un paramètre de stratégie non géré modifie définitivement le Registre. Même si le GPO ne s'applique plus, le paramètre demeure. Il est souvent question dans ce cas de « tatouage » du Registre, c'est-à-dire d'une modification permanente. Pour inverser l'effet du paramètre de stratégie, vous devez déployer une modification qui ramène la configuration dans l'état désiré. De plus, un paramètre de stratégie non géré ne verrouille pas l'interface utilisateur pour ce paramètre. Par défaut, la console GPME masque les paramètres de stratégie non gérés afin de vous dissuader d'implémenter une configuration qui sera difficile à inverser. Les paramètres de stratégie non gérés permettent toutefois d'effectuer la plupart des modifications utiles, en particulier lorsqu'il s'agit de gérer la configuration des applications à l'aide des modèles d'administration personnalisés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-50
6-51
Pour contrôler la visibilité des paramètres de stratégie, cliquez du bouton droit sur Modèles d'administration, choisissez Options des filtres, puis une option dans la liste déroulante Géré. Dans la suite de ce module, vous allez utiliser les préférences de stratégie de groupe. Lorsqu'une modification est apportée par une préférence, cette modification « tatoue » le système. Une option, incluse dans certaines préférences, permet toutefois de supprimer la préférence lorsqu'elle ne s'applique plus à l'utilisateur ou à l'ordinateur. Ce n'est pas la même chose qu'un paramètre de stratégie géré qui, une fois libéré, reprend généralement sa valeur d'origine. Lors de la suppression d'une préférence, le paramètre est en fait entièrement supprimé.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Modèles d'administration
Points clés Pour quelle raison les nœuds Modèles d'administration sont-ils appelés ainsi ? Parce que les paramètres contenus dans ces nœuds dérivent des fichiers appelés modèles d'administration.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-52
6-53
Un modèle d'administration est un fichier texte qui définit une modification de Registre à apporter et qui génère l'interface utilisateur permettant de configurer les paramètres de stratégie Modèles d'administration dans la console GPME. La capture d'écran ci-après illustre la boîte de dialogue Propriétés du paramètre de stratégie Empêche l'accès aux outils de modification du Registre :
L'existence de ce paramètre, et le fait qu'il fournisse une liste déroulante permettant de désactiver l'exécution silencieuse de Regedit.exe, sont déterminés dans un modèle d'administration. Le paramètre de Registre, créé en fonction de votre mode de configuration de la stratégie, est également défini dans le modèle d'administration. Certains éditeurs de logiciels proposent un mécanisme de gestion centralisée de la configuration de leurs applications sous forme de modèles d'administration. Par exemple, vous pouvez obtenir des modèles d'administration pour toutes les versions récentes de Microsoft Office depuis le Centre de téléchargement Microsoft. Vous pouvez également créer vos propres modèles d'administration personnalisés. Un didacticiel de création de modèles d'administration personnalisés dépasse l'objectif de ce cours.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Fichiers .ADM Les modèles d'administration des versions de Windows antérieures à Windows Vista ont une extension .ADM. Les fichiers .ADM présentent plusieurs inconvénients. D'abord, toute la localisation doit être effectuée au sein du fichier .ADM. Cela signifie que, lorsque vous voulez créer un fichier .ADM pour déployer une configuration dans une organisation multilingue, vous devez utiliser des fichiers .ADM distincts pour chaque langue afin de fournir une interface utilisateur aux administrateurs qui parlent cette langue. Si vous décidez ensuite d'apporter une modification liée aux paramètres de Registre gérés par les modèles, il vous faut alors modifier chaque fichier .ADM. Le second problème des fichiers .ADM est leur mode de stockage. Tout fichier .ADM est stocké en tant que partie du Modèle de stratégie de groupe (GPT) dans le répertoire SYSVOL. Un fichier .ADM utilisé dans plusieurs GPO est stocké à plusieurs reprises, ce qui contribue à l'encombrement du répertoire SYSVOL. Le maintien du contrôle de version des fichiers .ADM présentait également des difficultés. Pour ajouter des modèles d'administration classiques à la console GPME, cliquez du bouton droit sur le nœud Modèles d'administration et choisissez Ajouter/supprimer des modèles. Fichiers .ADMX/.ADML Sous Windows Vista et Windows Server 2008, le modèle d'administration est une paire de fichiers XML, l'un doté d'une extension .ADMX qui définit les modifications à apporter au Registre, l'autre doté d'une extension .ADML qui fournit l'interface utilisateur en une langue spécifique dans la console GPME. Lorsque le modèle d'administration doit modifier des paramètres gérés, ces modifications peuvent être apportées au seul fichier .ADMX. Tout administrateur qui modifie un GPO qui utilise le modèle accède à ce même fichier .ADMX et appelle le fichier .ADML approprié pour alimenter l'interface utilisateur. Pour ajouter des modèles d'administration .ADMX/.ADML à la console GPME, copiez le fichier .ADMX dans le dossier %SystemRoot%\PolicyDefinitions de votre client ou dans le magasin central. Copiez le fichier .ADML dans le sous-dossier propre à la langue et à la région, par exemple en-us, du dossier %SystemRoot%\PolicyDefinitions de votre client ou dans le magasin central. Le magasin central est traité à la rubrique suivante. Inutile de prendre parti Les modèles d'administration .ADM et .ADMX/.ADML peuvent coexister. Les paramètres générés par les fichiers .ADM apparaîtront sous le nœud Modèles d'administration dans un nœud intitulé Modèles d'administration classiques (ADM).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-54
6-55
Migration des modèles d'administration classiques (.ADM) vers des fichiers .ADMX L'outil de migration ADMX vous permet de convertir des fichiers ADM au format ADMX. Pour plus d'informations, voir : •
Outil de migration ADMX (éventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=99466
•
Téléchargement de l'outil de migration ADMX (blog) (éventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=113124
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Magasin central
Points clés Comme nous l'avons vu précédemment, les fichiers .ADM sont stockés au sein de l'objet GPO lui-même, dans le modèle GPT. Lorsque vous modifiez un GPO qui utilise des modèles d'administration au format .ADM, l'Éditeur GPME charge le fichier .ADM depuis le GPT pour produire l'interface utilisateur. Lorsque les fichiers .ADMX/.ADML sont utilisés comme modèles d'administration, le GPO contient uniquement les données dont le client a besoin pour traiter la Stratégie du groupe, et lorsque vous modifiez le GPO, le GPME extrait les fichiers .ADMX et .ADML de la station de travail locale. Cela convient parfaitement aux petites organisations, mais pour les environnements complexes comprenant des modèles d'administration personnalisés ou nécessitant un contrôle plus centralisé, Windows Server 2008 a introduit le Magasin central. Le magasin central est un dossier du répertoire SYSVOL contenant tous les fichiers .ADMX et .ADML requis. Dès lors qu'un Magasin central a été configuré, l'Éditeur GPME le reconnaît et charge tous les modèles d'administration depuis ce magasin central et non plus depuis l'ordinateur local.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-56
6-57
Pour créer un magasin central : 1.
Créez un dossier nommé PolicyDefinitions dans le chemin \\FQDN\SYSVOL\FQDN\Policies. Par exemple, le magasin central du domaine contoso.com serait : \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions
Si vous ouvrez une session sur un contrôleur de domaine, localement ou à l'aide du Bureau à distance, le chemin local du dossier PolicyDefinitions est le suivant : %SystemRoot%\SYSVOL\domaine\Policies\PolicyDefinitions
2.
Copiez tous les fichiers .ADMX du dossier %SystemRoot%\PolicyDefinitions d'un système Windows Server 2008 vers le nouveau dossier SYSVOL PolicyDefinitions.
3.
Copiez les fichiers .ADML du sous-dossier propre à la langue appropriée du répertoire %SystemRoot%\PolicyDefinitions dans le sous-dossier propre à la langue du nouveau dossier SYSVOL PolicyDefinitions. Par exemple, les fichiers .ADML Anglais (États-Unis) sont stockés dans le dossier %SystemRoot%\PolicyDefinitions\en-us. Copiez-les dans le dossier \\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\en-us.
4.
Lorsque d'autres langues sont nécessaires, copiez le dossier contenant les fichiers .ADML de cette langue dans le magasin central.
Quand tous les fichiers .ADMX et .ADML ont été copiés, le dossier PolicyDefinitions du contrôleur de domaine doit contenir les fichiers .ADMX et un ou plusieurs dossiers qui contiennent des fichiers .ADML spécifiques à chaque langue. Remarque : vous pouvez utiliser le magasin central dans un environnement mixte, avec des clients et des serveurs fonctionnant sous des systèmes d'exploitation antérieurs à Windows Vista et Windows Server 2008. Toutefois, vous devez utiliser un système d'exploitation Windows Vista, Windows Server 2008 ou ultérieur pour gérer une stratégie de groupe. Cela signifie que votre poste de travail administratif doit exécuter une version de Windows capable d'exploiter le magasin central. Les objets GPO que vous créez peuvent être appliqués aux versions précédentes de Windows.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Démonstration : Fonctionnement des paramètres et des objets GPO
Points clés Filtrage des paramètres des modèles d'administration L'incapacité à rechercher un paramètre de stratégie spécifique est un point faible des outils de modification de stratégie de groupe des versions précédentes de Windows. Les choix disponibles comprenant des milliers de stratégies, il peut être difficile de localiser avec précision le paramètre à configurer. Le nouvel Éditeur GPME de Windows Server 2008 résout ce problème pour les paramètres Modèles d'administration : vous pouvez à présent créer des filtres pour localiser des paramètres de stratégie spécifiques.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-58
6-59
Pour créer un filtre : 1.
Cliquez du bouton droit sur Modèles d'administration et choisissez Options de filtre.
2.
Pour localiser une stratégie spécifique, sélectionnez Activer les filtres par mots clés, saisissez les mots à rechercher, puis sélectionnez les champs dans lesquels la recherche doit s'effectuer. La capture d'écran présentée ici illustre un exemple de recherche de paramètres de stratégie liés à l'écran de veille :
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
La section supérieure de la boîte de dialogue Options des filtres vous permet de filtrer la vue de manière à afficher uniquement les paramètres de stratégie configurés. Cela peut vous aider à localiser et à modifier les paramètres déjà spécifiés dans le GPO. Vous pouvez également filtrer des paramètres de stratégie de groupe qui s'appliquent à des versions spécifiques de Windows, Internet Explorer et d'autres composants Windows. Malheureusement, le filtre ne s'applique qu'aux paramètres des nœuds Modèles d'administration. Commentaires Vous pouvez également rechercher et filtrer sur la base des commentaires des paramètres de stratégie. Windows Server 2008 vous permet d'ajouter des commentaires aux paramètres de stratégie du nœud Modèles d'administration. Pour ce faire, double-cliquez sur un paramètre de stratégie, puis ouvrez l'onglet Commentaire. Une bonne pratique consiste à ajouter des commentaires aux paramètres de stratégie configurés pour documenter la raison d'être d'un paramètre et son objectif recherché. Ajoutez également des commentaires au GPO lui-même. Windows Server 2008 vous permet de joindre des commentaires à un GPO : dans la console GPME, cliquez du bouton droit sur le nœud racine de l'arborescence de la console, choisissez Propriétés, puis ouvrez l'onglet Commentaire. Objets GPO Starter Les objets de stratégie de groupe Starter font partie des nouvelles fonctionnalités de stratégie de groupe de Windows Server 2008. Un GPO Starter contient les paramètres des modèles d'administration. Vous pouvez créer un nouvel objet GPO à partir d'un GPO Starter, auquel cas une copie des paramètres de ce dernier prérenseigne le nouvel objet. Un GPO Starter est en réalité un modèle. Malheureusement, Microsoft utilisant déjà le terme modèle pour les modèles d'administration, une autre appellation était nécessaire. Lorsque vous créez un nouveau GPO, vous pouvez toujours choisir de commencer avec un GPO vide, mais vous pouvez également sélectionner l'un des GPO Starter préexistants ou un GPO Starter personnalisé. Lorsqu'un GPO est créé à partir d'un GPO Starter, aucun « lien » n'existe avec ce dernier. Les modifications apportées au GPO Starter n'affectent pas les GPO déjà créés à partir du GPO Starter.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-60
6-61
Autres méthodes de copie des paramètres d'un objet GPO Les GPO Starter contiennent uniquement les paramètres de stratégie Modèles d'administration. Deux autres méthodes permettent de copier les paramètres d'un GPO vers un nouveau GPO. •
Vous pouvez copier et coller des GPO entiers dans le conteneur Objets de stratégie de groupe de la console GPMC afin que le nouveau GPO inclue tous les paramètres du GPO source.
•
Pour transférer des paramètres entre des GPO de forêts ou de domaines différent(e)s, cliquez du bouton droit sur un GPO et choisissez Sauvegarder. Dans le domaine cible, créez un nouveau GPO, cliquez du bouton droit sur son entrée et choisissez Importer des paramètres. Cette opération vous permet d'importer les paramètres du GPO sauvegardé.
Étapes de la démonstration Utilisation des Options de filtre pour localiser des stratégies dans les modèles d'administration 1.
Basculez vers HQDC01.
2.
Exécutez Gestion de stratégie du groupe avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
3.
Dans l'arborescence de la console, développez Forest: contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratégie de groupe.
4.
Dans le volet d'informations, cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez Modifier. L'Éditeur de gestion des stratégies de groupe s'ouvre.
5.
Dans l'arborescence de la console, développez Configuration utilisateur, Stratégies, puis cliquez sur Modèles d'administration.
6.
Cliquez du bouton droit sur Modèles d'administration et choisissez Options de filtre.
7.
Cochez la case Activer les filtres par mots clés.
8.
Dans la zone de texte Filtrer par le ou les mots, tapez Écran de veille.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
9.
Dans la liste déroulante accolée à la zone de texte, sélectionnez Exact, puis cliquez sur OK. Les paramètres de stratégie Modèles d'administration sont alors filtrés et seuls ceux qui contiennent les mots écran de veille s'affichent.
10. Prenez le temps d'examiner les paramètres détectés. 11. Dans l'arborescence de la console, cliquez du bouton droit sur Modèles d'administration sous Configuration utilisateur, et choisissez Options de filtre. 12. Désactivez la case à cocher Activer les filtres par mots clés. 13. Dans la liste déroulante Configuré, sélectionnez Oui, puis cliquez sur OK. Les paramètres de stratégie Modèles d'administration sont alors filtrés et seuls ceux qui ont été configurés (activés ou désactivés) s'affichent. 14. Prenez le temps d'examiner ces paramètres. 15. Dans l'arborescence de la console, cliquez du bouton droit sur Modèles d'administration sous Configuration utilisateur, et désactivez l'option Filtre actif. Ajout de commentaires à un paramètre de stratégie 1.
Dans l'arborescence de la console, développez successivement Configuration utilisateur, Stratégies, Modèles d'administration, Panneau de configuration, puis cliquez sur Affichage.
2.
Double-cliquez sur le paramètre de stratégie Écran de veille.
3.
Ouvrez l'onglet Commentaire.
4.
Tapez Stratégie de sécurité informatique de l'entreprise implémentée en combinaison avec la protection par mot de passe de l'écran de veille, puis cliquez sur OK.
5.
Double-cliquez sur le paramètre de stratégie Un mot de passe protège l'écran de veille.
6.
Ouvrez l'onglet Commentaire.
7.
Tapez Stratégie de sécurité informatique de l'entreprise implémentée en combinaison avec le délai d'activation de l'écran de veille, puis cliquez sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-62
6-63
Ajout de commentaires à un objet GPO 1.
Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le nœud racine CONTOSO Standards et choisissez Propriétés.
2.
Ouvrez l'onglet Commentaire.
3.
Tapez Stratégies standardisée de l'entreprise Contoso. Les paramètres sont étendus à tous les utilisateurs et ordinateurs du domaine. Responsable de ce GPO : votre nom. Ce commentaire s'affiche dans l'onglet Détails du GPO dans la console GPMC.
4.
Cliquez sur OK.
Création d'un nouvel objet GPO à partir d'un GPO Starter 1.
Dans l'arborescence de la console GPMC, cliquez sur le conteneur Objets de stratégie de groupe Starter.
2.
Dans le volet d'informations, cliquez sur le bouton Créer le dossier des objets GPO Starter.
3.
Dans l'arborescence de la console, cliquez du bouton droit sur le conteneur Objets de stratégie de groupe Starter et choisissez Nouveau.
4.
Dans Nom, tapez CONTOSO Starter GPO, puis cliquez sur OK.
5.
Dans le volet d'informations, cliquez du bouton droit sur CONTOSO Starter GPO et choisissez Modifier. L'Éditeur de gestion des stratégies de groupe s'ouvre. Vérifiez et modifiez les paramètres selon vos besoins.
6.
Fermez l'Éditeur de gestion des stratégies de groupe.
7.
Dans le volet d'informations, cliquez du bouton droit sur CONTOSO Starter GPO et choisissez Nouvel objet GPO créé à partir de l'objet GPO Starter.
8.
Dans Nom, tapez CONTOSO Desktop, puis cliquez sur OK.
Création d'un nouveau GPO par copie d'un GPO existant 1.
Dans l'arborescence de la console GPMC, développez le conteneur Objets de stratégie de groupe, cliquez du bouton droit sur le GPO CONTOSO Desktop et choisissez Copier.
2.
Cliquez du bouton droit sur le conteneur Objets de stratégie de groupe, choisissez Coller, puis cliquez sur OK.
3.
Cliquez sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Création d'un nouveau GPO par importation des paramètres exportés à partir d'un autre GPO 1.
Dans l'arborescence de la console GPMC, développez le conteneur Objets de stratégie de groupe, cliquez du bouton droit sur le GPO CONTOSO Desktop et choisissez Sauvegarder.
2.
Dans le champ Emplacement, tapez D:\Labfiles\Lab06b, , puis cliquez sur Sauvegarder.
3.
Lorsque la sauvegarde est terminée, cliquez sur OK.
4.
Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le conteneur Objets de stratégie de groupe et choisissez Nouveau.
5.
Dans Nom, tapez CONTOSO Import, puis cliquez sur OK.
6.
Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le GPO CONTOSO Import et choisissez Importer des paramètres. L'Assistant Importation des paramètres s'affiche.
7.
Cliquez sur Suivant à trois reprises.
8.
Sélectionnez le GPO CONTOSO Desktop, puis cliquez sur Suivant à deux reprises.
9.
Cliquez sur Terminer, puis sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-64
6-65
Gestion des objets GPO et de leurs paramètres
Points clés Lorsque vous cliquez du bouton droit sur un GPO dans la console GPMC, le menu qui s'affiche contient des commandes de gestion très utiles : •
Copier : vous pouvez copier un GPO, puis cliquer du bouton droit sur le conteneur Objets de stratégie de groupe et choisir Coller pour créer une copie de ce GPO. Cette option est très utile pour créer un nouveau GPO dans le même domaine et commencer avec les paramètres d'un GPO existant. Elle est également utile pour copier un GPO dans un autre domaine, par exemple entre un domaine de test et un domaine de production. Pour copier un GPO d'un domaine à l'autre, ajoutez le domaine approuvé cible à la console GPMC. Vous devez dans ce cas être autorisé à créer des GPO dans le domaine cible. Lorsque vous collez un GPO, vous avez la possibilité de copier la liste de contrôle d'accès (ACL) du GPO source, ce qui préserve le filtrage de sécurité, ou d'utiliser la liste de contrôle d'accès par défaut des nouveaux GPO dans le domaine cible.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
Sauvegarder : comme pour toutes les données stratégiques, il est important de sauvegarder les GPO. Tout GPO étant composé de plusieurs fichiers, objets, autorisations et liens, la gestion de leur sauvegarde et de leur restauration peut s'avérer délicate. Par chance, la commande Sauvegarder extrait l'ensemble de ces éléments en un seul emplacement et simplifie à l'extrême la restauration.
•
Restaurer à partir d'une sauvegarde : cette option permet de restaurer l'intégralité d'un GPO, y compris ses fichiers, ses objets, ses autorisations et ses liens, dans le même domaine que le GPO d'origine.
•
Importer les paramètres : cette option permet de n'importer que les paramètres d'un objet GPO sauvegardé. Cette opération n'importe pas les autorisations ni les liens, ce qui se révèle utile pour transférer des GPO entre des domaines non approuvés pour lesquels les opérations de copier/coller sont bannies. Lorsqu'un GPO comprend des paramètres potentiellement propres au domaine, notamment les chemins UNC ou les noms des groupes de sécurité, le système vous demande si vous souhaitez importer ces paramètres tels qu'ils ont été sauvegardés ou si vous souhaitez utiliser une table de migration associant les noms sources et cibles.
•
Enregistrer le rapport : cette option permet d'enregistrer un rapport HTML sur les paramètres du GPO.
•
Supprimer
•
Renommer
Lectures complémentaires •
Fonctionnement des objets GPO (éventuellement en anglais) : http://go.microsoft.com/fwlink/?LinkId=168655
•
Sauvegarde, restauration, migration et copie d'objets GPO (éventuellement en anglais) : http://go.microsoft.com/fwlink/?LinkId=168656
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-66
6-67
Atelier pratique B : Gestion des paramètres et des objets GPO
Scénario Vous avez récemment été engagé en tant qu'administrateur de domaine de la société Contoso, Ltd. en remplacement de l'administrateur précédent qui vient de prendre sa retraite. Comme vous n'êtes pas certain de savoir quels paramètres de stratégie ont été configurés, vous décidez de localiser et de documenter les GPO et les paramètres de stratégie. Vous découvrez également que la société n'a pas tiré parti des fonctionnalités et des capacités de gestion des modèles d'administration.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Utilisation du filtrage et des commentaires Dans cet exercice, vous allez utiliser les nouvelles fonctionnalités de commentaire et de filtrage de la stratégie de groupe pour localiser et documenter les paramètres de stratégie. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Rechercher et filtrer les paramètres de stratégie.
3.
Documenter les GPO et les paramètres à l'aide de commentaires.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
Tâche 2 : Recherche et filtrage des paramètres de stratégie 1.
Dans le dossier Configuration utilisateur\Stratégies\Modèles d'administration, filtrez la vue de manière à n'afficher que les paramètres de stratégie contenant l'expression écran de veille. Prenez le temps d'examiner ces paramètres.
2.
Filtrez la vue pour afficher uniquement les paramètres de stratégie configurés. Prenez le temps d'examiner ces paramètres.
3.
Désactivez le filtre du nœud Modèles d'administration.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-68
6-69
Tâche 3 : Documentation des GPO et des paramètres à l'aide de commentaires 1.
Modifiez le commentaire du GPO CONTOSO Standards et ajoutez-lui le commentaire suivant : Stratégies standardisées de l'entreprise Contoso. Les paramètres sont étendus à tous les utilisateurs et ordinateurs du domaine. Responsable de ce GPO : votre nom. Ce commentaire s'affiche dans l'onglet Détails du GPO dans la console GPMC.
2.
Ajoutez le commentaire suivant au paramètre de stratégie Écran de veille : Stratégie de sécurité informatique de l'entreprise implémentée en combinaison avec la protection par mot de passe de l'écran de veille.
3.
Ajoutez le commentaire suivant au paramètre de stratégie Un mot de passe protège l'écran de veille : Stratégie de sécurité informatique de l'entreprise implémentée en combinaison avec le délai d'activation de l'écran de veille. Résultats : À la fin de cet exercice, vous aurez ajouté des commentaires à votre objet de stratégie de groupe et aux paramètres.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 2 : Gestion des modèles d'administration Les modèles d'administration fournissent les instructions qui permettent à l'Éditeur GPME de créer une interface utilisateur pour configurer les paramètres de stratégie Modèles d'administration et spécifier les modifications du Registre devant être apportées sur la base de ces paramètres de stratégie. Dans cet exercice, vous allez examiner et gérer les modèles d'administration. Vous allez également créer un magasin central de modèles d'administration afin de centraliser la gestion des modèles. Les tâches principales de cet exercice sont les suivantes : 1.
Étudier la syntaxe d'un modèle d'administration.
2.
Gérer des modèles d'administration classiques (fichiers .ADM).
3.
Gérer les fichiers .ADMX et .ADML.
4.
Créer le magasin central.
Tâche 1 : Étude de la syntaxe d'un modèle d'administration 1.
Dans HQDC01, cliquez sur Start, puis sur Exécuter. Tapez ensuite %SystemRoot%\PolicyDefinitions et appuyez sur ENTRÉE. Le dossier PolicyDefinitions s'ouvre.
2.
Ouvrez le dossier en-us ou celui de votre région et de votre langue.
3.
Double-cliquez sur ControlPanelDisplay.adml.
4.
Choisissez l'option Sélectionner un programme dans la liste des programmes installés et cliquez sur OK.
5.
Sélectionnez Bloc-notes et cliquez sur OK.
6.
Cliquez sur le menu Format et sélectionnez Retour automatique à la ligne.
7.
Recherchez le texte ScreenSaverIsSecure. Il s'agit de la définition d'une variable de chaîne nommée ScreenSaverIsSecure.
8.
Notez le texte situé entre les balises
et .
9.
Notez le nom de la variable de la ligne suivante, ScreenSaverIsSecure_Help et le texte situé entre les balises
et .
10. Fermez la fenêtre. 11. Accédez au dossier PolicyDefinitions.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-70
12. Double-cliquez sur ControlPanelDisplay.admx. 13. Choisissez l'option Sélectionner un programme dans la liste des programmes installés et cliquez sur OK. 14. Sélectionnez Bloc-notes et cliquez sur OK. 15. Recherchez le texte ScreenSaverIsSecure. 16. Examinez le code du fichier, également illustré ci-dessous :
1 0
17. Identifiez les parties du modèle qui définissent les éléments suivants : •
Le nom du paramètre de stratégie qui apparaît dans la console GPME
•
Le texte explicatif de ce paramètre de stratégie
•
La clé et la valeur de Registre affectées par ce paramètre de stratégie
•
Les données placées dans le Registre si la stratégie est activée
•
Les données placées dans le Registre si la stratégie est désactivée
18. Fermez le fichier, puis l'Explorateur Windows.
6-71
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 2 : Gestion des modèles d'administration classiques (fichiers .ADM) 1.
Ouvrez la console GPME et, dans le dossier Configuration utilisateur\Stratégies\Modèles d'administration, ajoutez le modèle office12.adm depuis D:\Labfiles\Lab06b\Office 2007 Administrative Templates. Les modèles d'administration classiques (fichiers .ADM files) sont avant tout destinés aux entreprises qui ne gèrent pas la stratégie de groupe avec les systèmes d'exploitation Windows Vista, Windows Server 2008 ou ultérieurs. Il est préférable d'utiliser un ordinateur exécutant la version la plus récente de Windows pour gérer une stratégie de groupe. Ainsi, vous pouvez afficher et modifier tous les paramètres de stratégie disponibles, y compris ceux qui s'appliquent aux versions précédentes de Windows. Si l'un de vos ordinateurs fonctionne sous Windows Vista, Windows Server 2008 ou une version ultérieure, utilisez-le pour gérer la stratégie de groupe, vous n'aurez ainsi pas besoin des modèles d'administration classiques (fichiers .ADM files) lorsque des fichiers .ADMX/.ADML sont disponibles. Remarquez que le format du modèle affecte uniquement la gestion de la stratégie de groupe. Les paramètres s'appliqueront aux versions de Windows selon les descriptions de la section Pris en charge sur ou Conditions requises des propriétés du paramètre de stratégie.
2.
Examinez les paramètres exposés par ce modèle d'administration.
3.
Supprimez le modèle.
Tâche 3 : Gestion des fichiers .ADMX et .ADML •
Copiez tous les fichiers .ADMX et le sous-dossier en-us (ou celui correspondant à votre langue et votre région) de D:\Labfiles\Lab06b\Office 2007 Administrative Templates vers %SystemRoot%\PolicyDefinitions. Lorsque vous collez les fichiers, le système vous invite à saisir des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Fermez, puis rouvrez la console GPME pour CONTOSO Standards. Dans l'arborescence de la console, développez Configuration utilisateur\Stratégies\Modèles d'administration. Notez l'ajout des dossiers de paramètres de stratégie Microsoft® Office 2007.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-72
6-73
Tâche 4 : Création du magasin central 1.
dans la console GPME, sélectionnez le nœud Modèles d'administration sous Configuration utilisateur\Stratégies, puis notez le titre affiché dans les rapports du volet d'informations : Définitions de la stratégie (fichiers ADMX) récupérées à partir de l'ordinateur local.
2.
Fermez l'Éditeur GPME.
3.
Copiez tous les fichiers .ADMX de %systemroot%\PolicyDefinitions vers \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions.
4.
Copiez tous les fichiers .ADML de %systemroot%\PolicyDefinitions\en-us (ou du dossier correspondant à votre langue et votre région) vers \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions\en-us (ou vers le dossier correspondant à votre langue et votre région).
5.
Modifiez le GPO CONTOSO Standards et, dans la console GPME, sélectionnez le nœud Modèles d'administration sous Configuration utilisateur\Stratégies, puis notez le titre affiché dans les rapports du volet d'informations : Définitions de stratégie (fichiers ADMX) récupérées à partir du magasin central. Résultats : À la fin de cet exercice, vous aurez créé un magasin central de modèles d'administration et ajouté les modèles Microsoft Office 2007.
Remarque : n'arrêtez pas les ordinateurs virtuels à la fin de cet atelier pratique car les paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants.
Questions de contrôle des acquis Question : Décrivez la relation entre les fichiers de modèle d'administration (fichiers .ADMX et .ADML) et la console GPME. Question : À quel moment une entreprise obtient un magasin central ? Quels en sont les avantages ? Question : Quels sont les avantages de la gestion d'une stratégie de groupe à partir d'un client exécutant la dernière version de Windows ? Les paramètres que vous gérez s'appliquent-ils aux versions précédentes de Windows ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 4
Gestion de l'étendue de la stratégie de groupe
Un objet de stratégie de groupe n'est en soi qu'une simple collection d'instructions de configuration que les extensions côté client des ordinateurs traiteront. Avant la définition de son étendue, le GPO ne s'applique à aucun utilisateur ou ordinateur. L'étendue du GPO détermine les extensions côté client des ordinateurs qui devront recevoir et traiter le GPO, et seuls les ordinateurs ou utilisateurs appartenant à l'étendue d'un GPO appliqueront les paramètres de ce GPO. Dans cette leçon, vous allez apprendre à gérer l'étendue d'un objet GPO. Plusieurs mécanismes permettent de définir l'étendue d'un GPO : •
Le lien du GPO vers un site, un domaine ou une unité d'organisation, et si ce lien est activé ou non
•
L'option Appliquer d'un GPO
•
L'option Bloquer l'héritage pour une unité d'organisation
•
Le filtrage par groupe de sécurité
•
Le filtrage WMI
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-74
•
L'activation ou la désactivation d'un nœud de stratégie
•
Le ciblage des préférences
•
Le traitement des stratégies en boucle
6-75
Vous devez pouvoir définir les utilisateurs ou les ordinateurs pour lesquels la configuration sera déployée, donc passer maître dans l'art de définir l'étendue des GPO. Dans cette leçon, vous allez étudier chacun des mécanismes permettant de définir l'étendue d'un GPO et, du même coup, maîtriser les concepts d'application, d'héritage et de priorité des stratégies de groupe.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
gérer les liens des objets GPO ;
•
identifier la relation entre une structure d'unités d'organisation et l'application d'un objet GPO ;
•
évaluer l'héritage et la priorité des objets GPO ;
•
comprendre les options Bloquer l'héritage et Lien appliqué ;
•
appliquer un filtrage de sécurité pour limiter l'étendue d'un objet GPO ;
•
appliquer un filtre WMI à un objet GPO ;
•
cibler les préférences de la stratégie de groupe ;
•
connaître les recommandations en matière de définition de l'étendue de la stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Liens de GPO
Points clés Un GPO peut être relié à un ou plusieurs sites Active Directory, domaines ou unités d'organisation. Une fois qu'une stratégie est reliée à un site, un domaine ou à une unité d'organisation, les utilisateurs ou les ordinateurs et les utilisateurs de ce conteneur sont inclus dans l'étendue du GPO, y compris les ordinateurs et utilisateurs des unités d'organisation enfants. Comme vous l'avez appris à la leçon 1, vous pouvez relier un GPO au domaine ou à une unité d'organisation. Pour relier un GPO, cliquez du bouton droit sur le domaine ou l'unité d'organisation dans l'arborescence de la console GPMC et choisissez Lier un objet de stratégie de groupe existant. Si vous n'avez pas encore créé de GPO, cliquez sur Créer un objet GPO dans ce domaine {Domaine | Unité d'organisation | Site} et le lier ici. Vous pouvez choisir les mêmes commandes pour relier un GPO à un site, mais par défaut, vos sites Active Directory ne sont pas visibles dans la console GPMC. Pour afficher les sites dans la console GPMC, cliquez du bouton droit sur Sites dans l'arborescence et choisissez Afficher les sites.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-76
6-77
Remarque : GPO liés à des sites et placement du contrôleur de domaine. Un GPO relié à un site affecte tous les ordinateurs de ce dernier, quel que soit le domaine auquel ces ordinateurs appartiennent (tant que tous les ordinateurs appartiennent à la même forêt Active Directory). Par conséquent, lorsque vous reliez un GPO à un site, ce GPO peut être appliqué à plusieurs domaines d'une même forêt. Les GPO reliés à un site sont stockés dans les contrôleurs du domaine dans lequel le GPO a été créé. Pour que ces objets GPO s'appliquent correctement, ils doivent donc pouvoir accéder aux contrôleurs de ce domaine. Si vous implémentez des stratégies liées à des sites, vous devez envisager l'application de cette stratégie lors de la planification de votre infrastructure réseau. Vous pouvez soit placer un contrôleur du domaine du GPO dans le site auquel la stratégie est reliée, soit vous assurer qu'une connexion de réseau étendu (WAN) permette d'accéder à un contrôleur du domaine du GPO.
Lorsque vous reliez un GPO à un site, un domaine ou une unité d'organisation, vous définissez l'étendue initiale de ce GPO. Sélectionnez un GPO et ouvrez l'onglet Étendue pour identifier les conteneurs auxquels le GPO est relié. Dans le volet d'informations de la console GPMC, les liens de GPO s'affichent dans la première section de l'onglet Étendue, illustrée ici :
L'impact des liens du GPO est que le Client de stratégie de groupe va télécharger le GPO lorsque les objets ordinateur ou utilisateur entrent dans l'étendue du lien. Le GPO n'est téléchargé que s'il est nouveau ou mis à jour. Pour renforcer l'efficacité de l'actualisation de la stratégie, le Client de stratégie de groupe met le GPO en cache.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Liaison d'un GPO à plusieurs unités d'organisation Vous pouvez relier un même objet GPO à plusieurs sites ou unités d'organisation. Il est par exemple courant d'appliquer la même configuration aux ordinateurs de plusieurs unités d'organisation. Vous pouvez définir cette configuration dans un seul GPO et relier ce dernier à chaque unité d'organisation. Si vous changez ensuite les paramètres du GPO, les modifications s'appliquent à toutes les unités d'organisation auxquelles le GPO est relié. Suppression ou désactivation d'un lien d'objet GPO Après avoir relié un GPO, son lien s'affiche dans la console GPMC sous le site, le domaine ou l'unité d'organisation. L'icône du lien du GPO présente une petite flèche de raccourcis. Lorsque vous cliquez du bouton droit sur le lien du GPO, un menu contextuel s'affiche, illustré ici :
Pour supprimer un lien de GPO, cliquez du bouton droit sur le lien dans l'arborescence de la console GPMC et choisissez Supprimer. La suppression d'un lien de GPO ne supprime pas le GPO lui-même, qui reste dans son conteneur. La suppression du lien modifie l'étendue du GPO de sorte qu'il ne s'applique plus aux ordinateurs et utilisateurs du site, domaine ou unité d'organisation auquel il était précédemment relié. Vous pouvez également modifier un lien de GPO en le désactivant. Pour désactiver un lien de GPO, cliquez du bouton droit sur le lien dans l'arborescence de la console GPMC et désactivez l'option Lien activé. La désactivation du lien modifie également l'étendue du GPO de sorte qu'il ne s'applique plus aux ordinateurs et utilisateurs de ce conteneur. Comme le lien demeure, il peut facilement être réactivé.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-78
6-79
Héritage et priorité des objets GPO
Points clés Un paramètre de stratégie peut être configuré dans plusieurs GPO et les GPO peuvent être en conflit les uns avec les autres. Par exemple, un paramètre de stratégie peut être activé dans un GPO, désactivé dans un autre et ne pas être configuré dans un troisième. Dans ce cas, la priorité des GPO détermine quels paramètres de stratégie le client doit appliquer. Un GPO de priorité plus élevée prévaudra sur un GPO dont la priorité est moins élevée. Dans la console GPMC, la priorité prend la forme d'un nombre. Plus le nombre est petit (c'est-à-dire proche de 1), plus la priorité est élevée. Un GPO de priorité 1 sera donc prioritaire sur les autres GPO. Sélectionnez le domaine ou l'unité d'organisation, puis cliquez sur l'onglet Héritage de stratégie de groupe pour afficher la priorité de chaque GPO. Lorsqu'un paramètre de stratégie est activé ou désactivé dans un GPO de priorité plus élevée, le paramètre configuré prend effet. Toutefois, n'oubliez pas que ces paramètres de stratégie sont définis par défaut sur Non configuré. Lorsqu'un paramètre de stratégie n'est pas configuré dans un GPO de priorité plus élevée, le paramètre de stratégie (activé ou désactivé) d'un GPO de priorité inférieure prend effet.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Un site, un domaine ou une unité d'organisation peut être relié(e) à plusieurs GPO. Dans ce cas, l'ordre des liens des GPO détermine la priorité des GPO. Les GPO dont l'ordre des liens est plus élevé sont prioritaires sur les GPO dont l'ordre des liens est moins élevé. Lorsque vous sélectionnez une unité d'organisation dans la console GPMC, l'onglet Objets de stratégie de groupe liés présente l'ordre des liens des GPO reliés à cette unité d'organisation. Le comportement par défaut d'une stratégie du groupe est que les conteneurs de niveau inférieur héritent des GPO reliés à un conteneur de niveau supérieur. Lorsqu'un ordinateur démarre ou qu'un utilisateur ouvre une session, le Client de stratégie de groupe examine l'emplacement de l'objet ordinateur ou utilisateur dans Active Directory et évalue les GPO dont les étendues incluent cet ordinateur ou cet utilisateur. Les extensions côté client appliquent ensuite les paramètres de stratégie issus de ces GPO. Les stratégies sont appliquées en séquences, en commençant par les stratégies reliées au site, puis par celles reliées au domaine, suivi de celles reliées aux unités d'organisation (de l'unité d'organisation de niveau supérieur à celle dans laquelle l'objet utilisateur ou ordinateur existe). Grâce à cette application en couche des paramètres, un GPO appliqué ultérieurement dans le processus remplace les paramètres appliqués précédemment dans ce processus du fait de sa priorité plus élevée. L'ordre d'application par défaut des GPO est illustré ci-après :
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-80
6-81
Cette application séquentielle des GPO crée un effet appelé héritage des stratégies. Les stratégies étant héritées, le jeu résultant de stratégies de groupe d'un utilisateur ou d'un ordinateur cumulera les effets des stratégies des sites, domaines et unités d'organisation. Par défaut, les GPO hérités ont une priorité inférieure à celle des GPO reliés directement au conteneur. Par exemple, vous pouvez configurer un paramètre de stratégie qui désactive l'utilisation des outils de modification du Registre pour tous les utilisateurs du domaine en configurant le paramètre de stratégie dans un GPO relié à ce domaine. Tous les utilisateurs du domaine héritent alors de ce GPO et de son paramètre de stratégie. Toutefois, comme vous préférerez que les administrateurs puissent utiliser les outils de modification du Registre, vous pouvez relier un GPO à l'unité d'organisation contenant les comptes des administrateurs et configurer le paramètre de stratégie de manière à autoriser l'utilisation de ces outils. Le GPO relié à l'unité d'organisation des administrateurs étant prioritaire sur le GPO hérité, les administrateurs pourront utiliser les outils de modification du Registre. La figure ci-dessous présente l'Héritage de stratégie de groupe :
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Priorité de plusieurs GPO reliés Un site, un domaine ou une unité d'organisation peut être relié(e) à plusieurs GPO. Lorsqu'il existe plusieurs GPO, l'ordre de leurs liens détermine leur priorité. Dans la figure ci-dessous, deux GPO sont reliés à l'unité d'organisation People :
Plus l'objet apparaît en haut de la liste, avec un ordre de lien de 1, plus sa priorité est élevée. Par conséquent, les paramètres activés ou désactivés dans le GPO Configuration des utilisateurs avec pouvoir seront prioritaires sur ces mêmes paramètres du GPO Configuration des utilisateurs standard. Pour modifier la priorité du lien d'un GPO : 1.
Sélectionnez le site, le domaine ou l'unité d'organisation dans l'arborescence de la console GPMC.
2.
Dans le volet d'informations, ouvrez l'onglet Objets de stratégie de groupe liés.
3.
Sélectionnez le GPO.
4.
Servez-vous des flèches Monter, Descendre, Déplacer en haut et Déplacer en bas pour modifier l'ordre des liens du GPO sélectionné.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-82
6-83
Blocage de l'héritage Un domaine ou une unité d'organisation peut être configuré(e) de manière à empêcher l'héritage des paramètres de stratégie. Pour bloquer l'héritage, cliquez du bouton droit sur le domaine ou l'unité d'organisation dans l'arborescence de la console GPMC et choisissez Bloquer l'héritage. L'option Bloquer l'héritage étant une propriété d'un domaine ou d'une unité d'organisation, elle bloque l'ensemble des paramètres de stratégie de groupe des GPO reliés aux parents dans la hiérarchie de la stratégie de groupe. Par exemple, lorsque vous bloquez l'héritage pour une unité d'organisation, l'application des GPO commence par tout GPO directement relié à cette unité d'organisation : les GPO reliés aux unités d'organisation, au domaine ou au site de niveau supérieur ne s'appliquent pas.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Il est préférable de n'utiliser l'option Bloquer l'héritage qu'avec parcimonie, voire pas du tout. Le blocage de l'héritage complique l'évaluation de la priorité et de l'héritage des stratégies de groupe. Dans une prochaine rubrique, vous apprendrez à définir l'étendue d'un GPO de sorte qu'elle s'applique uniquement à un sousensemble d'objets ou pas du tout. Avec le filtrage par groupe de sécurité, vous pouvez définir avec soin l'étendue d'un GPO de sorte qu'elle s'applique uniquement et d'emblée aux utilisateurs et ordinateurs appropriés, sans que l'option Bloquer l'héritage ne soit nécessaire. Application d'un lien d'objet GPO Un lien de GPO peut être défini sur Appliqué. Pour appliquer un lien de GPO, cliquez du bouton droit sur son entrée dans l'arborescence de la console GPMC et choisissez Appliqué dans le menu contextuel. Lorsqu'un lien de GPO est défini sur Appliqué, le GPO prend la priorité la plus élevée. Les paramètres de stratégie de ce GPO seront prioritaires sur tous les paramètres de stratégie conflictuels des autres GPO. De plus, un lien défini sur Appliqué est imposé aux conteneurs enfants même lorsque ces derniers sont définis sur Bloquer l'héritage. Grâce à l'option Appliqué, la stratégie est imposée à tous les objets de son étendue. Avec cette option, les stratégies remplacent toutes les stratégies conflictuelles et sont imposées, quelle que soit la définition de l'option Bloquer l'héritage. Dans la figure de la page suivante, l'option Bloquer l'héritage a été appliquée à l'unité d'organisation Business. En conséquence, le GPO D, appliqué au domaine, est bloqué et ne s'applique pas lorsqu'un utilisateur de l'unité d'organisation Employees ouvre une session sur un ordinateur de l'unité d'organisation Clients. Toutefois, le GPO Sécurité (GPO S), relié au domaine avec l'option Appliqué, est imposé. En fait, il s'applique en dernier dans l'ordre de traitement, et ses paramètres remplacent donc ceux des GPO B, C et E.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-84
6-85
Lorsque vous configurez un GPO qui définit la configuration mandatée par la sécurité informatique et les stratégies d'utilisation de votre entreprise, assurez-vous que ces paramètres ne soient pas remplacés par d'autres GPO. Pour ce faire, vous pouvez définir le lien du GPO sur Appliqué. La figure suivante illustre ce scénario :
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
La configuration mandatée par les stratégies de l'entreprise est déployée dans le GPO CONTOSO Corporate IT Security & Usage, relié par un lien imposé au domaine Contoso.com. L'icône du lien du GPO présente un cadenas, indicateur visuel d'un lien imposé. Dans l'unité d'organisation People, l'onglet Héritage de stratégie du groupe montre que le GPO est prioritaire, y compris sur les GPO reliés à l'unité d'organisation People elle-même. Évaluation des priorités Pour simplifier l'évaluation de la priorité des GPO, il suffit de sélectionner une unité d'organisation (ou un domaine) et d'ouvrir l'onglet Héritage de stratégie de groupe. Cet onglet présente les priorités résultantes des GPO, en tenant compte de leurs liens, de l'ordre de ces liens, du blocage de l'héritage et de l'application des liens. L'onglet ne tient pas compte des stratégies reliées à un site, ni du GPO Sécurité ou du filtrage WMI. Conseils relatifs à l'examen •
Veillez à mémoriser l'ordre de traitement par défaut des stratégies de domaine : site, domaine, unité d'organisation. Rappelez-vous également que les paramètres de stratégie de domaine s'appliquent après et sont donc prioritaires sur les paramètres des GPO locaux.
•
Bien qu'il soit recommandé de n'utiliser les options Bloquer l'héritage et Appliquer qu'avec modération dans votre infrastructure de stratégie de groupe, l'examen 70-640 part du principe que vous comprenez les conséquences de ces deux options.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-86
6-87
Filtrage de sécurité pour modifier l'étendue d'un objet GPO
Points clés Vous savez à présent que vous pouvez relier un GPO à un site, un domaine ou une unité d'organisation. Toutefois, vous souhaiterez parfois appliquer des GPO à certains groupes d'utilisateurs ou d'ordinateurs uniquement, plutôt qu'à tous les utilisateurs ou ordinateurs entrant dans l'étendue du GPO. Bien que vous ne puissiez pas relier directement à un GPO un groupe de sécurité, il est possible d'appliquer des GPO à des groupes de sécurité spécifiques. Les stratégies d'un GPO s'appliquent uniquement aux utilisateurs qui disposent des autorisations Lecture et Appliquer la stratégie de groupe pour ce GPO. Chaque GPO possède une liste de contrôle d'accès (ACL) qui définit ses autorisations. Deux autorisations, Lecture et Appliquer la stratégie de groupe, sont requises pour qu'un GPO s'applique à un utilisateur ou à un ordinateur. Lorsque l'étendue d'un GPO comprend un ordinateur, par exemple du fait de son lien vers l'unité d'organisation de l'ordinateur, mais que cet ordinateur ne dispose pas des autorisations de lecture et d'application de stratégie de groupe, il ne télécharge pas et n'applique pas ce GPO. En conséquence, la définition des autorisations appropriées des groupes de sécurité vous permet de filtrer un GPO de sorte que ces paramètres ne s'appliquent qu'aux ordinateurs et utilisateurs que vous spécifiez.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Par défaut, les Utilisateurs authentifiés obtiennent l'autorisation Appliquer la stratégie de groupe pour chaque nouveau GPO. Cela signifie que, par défaut, tous les utilisateurs et ordinateurs sont affectés par les GPO définis pour leur domaine, site ou unité d'organisation, quelle que soit leur appartenance à d'autres groupes. Il existe donc deux moyens de filtrer l'étendue d'un GPO : •
Supprimez l'autorisation Appliquer la stratégie de groupe (actuellement définie sur Autoriser) pour le groupe Utilisateurs authentifiés, mais sans définir cette autorisation sur Refuser. Identifiez ensuite les groupes auxquels le GPO doit s'appliquer et définissez les autorisations Lecture et Appliquer la stratégie de groupe sur Autoriser pour ces groupes.
•
Identifiez les groupes auxquels le GPO ne doit pas s'appliquer et définissez l'autorisation Appliquer la stratégie de groupe sur Refuser pour ces groupes. Si vous refusez l'autorisation Appliquer la stratégie de groupe à un GPO, l'utilisateur ou l'ordinateur ne peut pas appliquer les paramètres de ce GPO, même s'il est membre d'un autre groupe autorisé à Appliquer la stratégie de groupe.
Filtrage d'un GPO à imposer à des groupes spécifiques Pour appliquer un GPO à un groupe de sécurité spécifique : 1.
Sélectionnez le GPO dans le conteneur Objets de stratégie de groupe de l'arborescence de la console.
2.
Dans la section Filtrage de sécurité, sélectionnez le groupe Utilisateurs authentifiés et cliquez sur Supprimer.
Remarque : utilisez des groupes de sécurité globaux pour filtrer des objets GPO. Le filtrage des GPO n'est possible qu'avec les groupes de sécurité globaux, pas avec les groupes de sécurité locaux du domaine.
3.
Cliquez sur OK pour confirmer la modification.
4.
Cliquez sur Ajouter.
5.
Sélectionnez le groupe auquel la stratégie doit s'appliquer, puis cliquez sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-88
6-89
Le résultat obtenu ressemblera à la figure présentée ici : le groupe Utilisateurs authentifiés n'apparaît pas dans la liste et le groupe spécifique auquel la stratégie doit s'appliquer est répertorié.
Filtrage d'un GPO pour exclure des groupes spécifiques Malheureusement, l'onglet Étendue d'un GPO ne vous permet pas d'exclure des groupes spécifiques. Pour exclure un groupe (c'est-à-dire lui refuser l'autorisation Appliquer la stratégie de groupe), vous devez utiliser l'onglet Délégation. Pour refuser l'autorisation Appliquer la stratégie de groupe à un groupe : 1.
Sélectionnez le GPO dans le conteneur Objets de stratégie de groupe de l'arborescence de la console.
2.
Ouvrez l'onglet Délégation.
3.
Cliquez sur le bouton Avancé. La boîte de dialogue Paramètres de sécurité s'affiche.
4.
Cliquez sur le bouton Ajouter.
5.
Sélectionnez le groupe que vous souhaitez exclure du GPO. N'oubliez pas qu'il doit s'agir d'un groupe global. Il n'est pas possible de filtrer l'étendue d'un GPO en fonction de groupes locaux de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
6.
Cliquez sur OK. Le groupe sélectionné obtient par défaut l'autorisation de lecture.
7.
Désactivez la case à cocher Autoriser la lecture.
8.
Cochez la case Refuser de l'autorisation Appliquer la stratégie du groupe. Ici, la figure présente un exemple qui refuse au groupe Help Desk, l'autorisation Appliquer la stratégie de groupe et, par conséquent, exclut ce groupe de l'étendue du GPO.
9.
Cliquez sur OK. Le système vous rappelle que les autorisations Refuser ont toujours priorité sur les autres autorisations. Il est donc préférable de n'utiliser les autorisations Refuser qu'avec parcimonie. Microsoft Windows vous rappelle cette recommandation par le message d'avertissement, et par le processus bien plus laborieux qui est requis pour exclure des groupes dotés de l'autorisation Refuser Appliquer la stratégie de groupe que celui qui permet d'inclure des groupes dans la section Filtrage de sécurité de l'onglet Étendue.
10. Confirmez que vous souhaitez continuer.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-90
6-91
Remarque : important ! Les autorisations Refuser n'apparaissent pas dans l'onglet Étendue. Malheureusement, lorsque vous excluez un groupe, cette exclusion n'apparaît pas dans la section Filtrage de sécurité de l'onglet Étendue. Encore une bonne raison de n'utiliser les autorisations Refuser qu'avec parcimonie.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Filtres WMI
Points clés L'Infrastructure de gestion Windows (Windows Management Instrumentation, ou WMI) est une technologie d'infrastructure de gestion qui permet aux administrateurs de surveiller et de contrôler les objets gérés du réseau. Une requête WMI est capable de filtrer des systèmes en fonction de caractéristiques, notamment de la mémoire vive, de la cadence du processeur, de la capacité des disques, d'une adresse IP, de la version d'un système d'exploitation et du niveau de Service Pack, des applications installées et des propriétés d'une imprimante. Comme l'infrastructure WMI expose la quasi-totalité des objets d'un ordinateur, la liste des attributs pouvant être utilisés dans une requête WMI est pratiquement illimitée. Les requêtes WMI sont rédigées en langage WQL (WMI Query Language).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-92
6-93
Vous pouvez utiliser un requête WMI pour créer un filtre WMI, avec lequel il est possible de filtrer un GPO. Pour bien comprendre l'objectif d'un filtre WMI, en vue d'examens de certification ou d'une implémentation concrète, le mieux est d'utiliser des exemples. La stratégie de groupe peut être utilisée pour déployer des applications logicielles et des Service Packs. Cette capacité a été traitée au Module 7. Vous pouvez créer un GPO pour déployer une application, puis utiliser un filtre WMI pour préciser que la stratégie ne doit s'appliquer qu'aux ordinateurs équipés d'un certain système d'exploitation et Service Pack, Windows XP SP3, par exemple. La requête WMI qui permet d'identifier de tels systèmes est la suivante : Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft Windows XP Professional" AND CSDVersion="Service Pack 3"
Lorsque le Client de stratégie de groupe évalue les objets GPO qu'il a téléchargé afin d'identifier ceux que les extensions côté client doivent traiter, il exécute la requête sur le système local. Si le système répond aux critères de la requête, le résultat de la requête est un True logique, et les extensions côté client peuvent traiter ce GPO. L'infrastructure WMI expose les espaces de noms, qui contiennent les classes pouvant être interrogées. De nombreuses classes utiles, notamment Win32_Operating System, sont disponibles dans la classe appelée root\CIMv2. Pour créer un filtre WMI : 1.
Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le nœud Filtres WMI et choisissez Nouveau. Saisissez le nom et la description du filtre, puis cliquez sur le bouton Ajouter.
2.
Dans le champ Espace de noms, saisissez l'espace de noms de votre requête.
3.
Entrez la requête dans le champ Requête.
4.
Cliquez sur OK.
Pour filtrer un objet GPO à l'aide d'un filtre WMI : 1.
Sélectionnez le GPO ou son lien dans l'arborescence de la console.
2.
Ouvrez l'onglet Étendue.
3.
Cliquez sur la liste déroulante WMI et sélectionnez le filtre WMI.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Un objet GPO ne peut être filtré que par un seul filtre WMI, mais ce dernier peut être une requête complexe, avec de nombreux critères. Un même filtre WMI peut être relié à, donc utilisé pour filtrer, un ou plusieurs GPO. L'onglet Général d'un filtre WMI, illustré dans la figure ci-après, présente les GPO qui utilisent ce filtre WMI :
Trois remarques importantes doivent être faites à propos des filtres WMI. D'abord, la syntaxe WQL des requêtes WMI peut être difficile à maîtriser. Vous trouverez de nombreux exemples sur Internet en recherchant les mots-clés filtre WMI et requête WMI, de même que la description de la requête que vous souhaitez créer. Des exemples de filtres WMI sont disponibles à l'adresse http://technet2.microsoft.com/windowsserver/en/library/a16cffa4-83b3-430bb826-9bf81c0d39a71033.mspx?mfr=true. Vous pouvez également vous référer au kit de développement logiciel (SDK) Windows Management Instrumentation (WMI), disponible à l'adresse http://msdn2.microsoft.com/en-us/library/aa394582.aspx.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-94
6-95
Ensuite, les filtres WMI sont très gourmands en performances pour le traitement de la stratégie de groupe. Le Client de stratégie de groupe devant exécuter la requête WMI à chaque intervalle de traitement de stratégie, cette opération affecte les performances du système toutes les 90 à 120 minutes. Du fait des performances des ordinateurs actuels, l'impact peut être négligeable, mais il est toujours préférable de tester les effets d'un filtre WMI avant de le déployer dans l'environnement de production. Notez que la requête WMI n'est traitée qu'une seule fois, même lorsqu'elle est utilisée pour filtrer l'étendue de plusieurs GPO. Enfin, les ordinateurs fonctionnant sous Windows 2000 n'exécutent pas les filtres WMI. Lorsqu'un filtre WMI filtre un objet GPO, le système Windows 2000 ignore ce filtre et traite le GPO comme si le résultat du filtre était True.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Activation ou désactivation d'objets GPO et de nœuds de GPO
Points clés Vous pouvez empêcher le traitement des paramètres des nœuds Configuration ordinateur ou Configuration utilisateur lors de l'actualisation de la stratégie en modifiant l'État de l'objet de stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-96
6-97
Pour activer ou désactiver les nœuds d'un GPO, sélectionnez le GPO ou son lien dans l'arborescence de la console, ouvrez l'onglet Détails illustré ci-dessus, puis choisissez l'un des éléments suivants dans la liste déroulante État du GPO : •
Activé : les paramètres de Configuration ordinateur et de Configuration utilisateur seront traités par les extensions côté client lors de l'actualisation de la stratégie.
•
Tous les paramètres désactivés : les extensions côté client ne traiteront pas le GPO lors de l'actualisation de la stratégie.
•
Paramètres de Configuration ordinateur désactivés : lors de l'actualisation de la stratégie ordinateur, les paramètres de configuration ordinateur du GPO ne seront pas appliqués.
•
Paramètres de Configuration utilisateur désactivés : lors de l'actualisation de la stratégie utilisateur, les paramètres de configuration utilisateur du GPO ne seront pas appliqués.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vous pouvez configurer l'état du GPO pour optimiser le traitement des stratégies. Lorsqu'un GPO ne contient par exemple que des paramètres utilisateur, définir l'option État GPO de manière à désactiver les paramètres ordinateur empêchera le Client de stratégie de groupe de tenter de traiter le GPO lors de l'actualisation de la stratégie ordinateur. Le GPO ne contenant aucun paramètre ordinateur, son traitement est inutile et quelques cycles de processeur peuvent être économisés. Remarque : utilisez des GPO désactivés en prévention des incidents. Vous pouvez définir une configuration ne prenant effet qu'en cas d'urgence, d'incident de sécurité ou autres problèmes dans un GPO, et relier le GPO de sorte que son étendue comprenne les utilisateurs et les ordinateurs appropriés. Désactivez ensuite le GPO. Dès que le déploiement de la configuration devient nécessaire, activez simplement le GPO.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-98
6-99
Ciblage des préférences
Points clés Les Préférences, nouveautés de Windows Server 2008, offrent un mécanisme d'étendue intégré appelé ciblage au niveau de l'élément. Vous pouvez avoir plusieurs éléments de préférence dans un même GPO, et chaque élément de préférence peut être ciblé ou filtré. Par exemple, un même GPO peut avoir une préférence qui spécifie les options des dossiers des ingénieurs et un autre élément qui spécifie les options des dossiers des commerciaux. Vous pouvez cibler les éléments à l'aide d'un groupe de sécurité ou d'une unité d'organisation. Plus d'une douzaine d'autres critères peuvent être utilisés, notamment les caractéristiques du matériel et du réseau, la date et l'heure, des requêtes LDAP (Lightweight Directory Access Protocol), etc.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Remarque : les préférences peuvent cibler l'intérieur d'un GPO. Parmi les nouveautés des préférences, vous pouvez cibler plusieurs éléments de préférence au sein d'un même GPO au lieu d'utiliser plusieurs GPO. Avec les stratégies traditionnelles, plusieurs GPO filtrant des groupes individuels étaient souvent nécessaires pour appliquer les variations des paramètres.
Comme les filtres WMI, le ciblage au niveau de chaque élément des préférences implique que l'extension côté client exécute une requête afin de déterminer si les paramètres d'un élément de préférences doivent être appliqués. Vous devez être conscient de l'impact potentiel du ciblage au niveau de l'élément sur les performances, en particulier si vous utilisez des options telles que des requêtes LDAP, qui nécessitent un temps de traitement et une réponse d'un contrôleur de domaine pour procéder au traitement. Lors de la conception de votre infrastructure de stratégie de groupe, trouvez un équilibre entre les avantages de la gestion des configurations par ciblage au niveau de l'élément et l'impact sur les performances détectées lors des tests en laboratoire.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-100
6-101
Traitement des stratégies en boucle
Points clés Par défaut, les paramètres d'un utilisateur proviennent des GPO dont l'étendue comprend cet objet utilisateur dans Active Directory. Quel que soit l'ordinateur sur lequel l'utilisateur ouvre une session, le jeu de stratégies résultant qui détermine l'environnement de l'utilisateur est identique. Dans certains cas, toutefois, vous souhaiteriez configurer un utilisateur différemment, selon l'ordinateur utilisé. Par exemple, vous pouvez verrouiller et normaliser les postes de travail des utilisateurs lorsque ces derniers ouvrent une session sur les ordinateurs d'environnements étroitement gérés, tels que les salles de conférence, les zones d'accueil, les laboratoires, les salles de classe et les kiosques. Ceci est également important pour les scénarios à Infrastructure de bureau virtuel (VDI, Virtual Desktop Infrastructure), comprenant des ordinateurs virtuels distants et des services Bureau à distance (Terminal Services).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Imaginons un scénario dans lequel vous souhaitez imposer une apparence standardisée au poste de travail Windows de tous les ordinateurs des salles de conférence et autres zones publiques de votre bureau. Comment pouvez-vous gérer cette configuration de façon centralisée à l'aide d'une stratégie de groupe ? Les paramètres de stratégie qui configurent l'apparence du poste de travail sont situés dans le nœud Configuration utilisateur d'un GPO. De ce fait, par défaut, les paramètres s'appliquent aux utilisateurs, quel que soit l'ordinateur sur lequel ils ouvrent une session. Le traitement par défaut de la stratégie ne vous permet pas de définir l'étendue des paramètres utilisateur de sorte qu'ils s'appliquent aux ordinateurs quel que soit l'utilisateur qui s'y connecte. C'est là qu'intervient le traitement des stratégies en boucle. Le traitement des stratégies en boucle altère l'algorithme par défaut utilisé par le client de stratégie de groupe pour obtenir la liste ordonnée des GPO devant s'appliquer à la configuration d'un utilisateur. Au lieu d'être déterminée par le nœud Configuration utilisateur des GPO dont l'étendue comprend l'objet utilisateur, la configuration utilisateur peut être déterminée par les stratégies du nœud Configuration utilisateur des GPO dont l'étendue comprend l'objet ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-102
6-103
La stratégie mode de traitement en boucle du groupe d'utilisateurs, située dans le dossier Configuration ordinateur\Stratégies\Modèles d'administration\Système \Stratégie de groupe dans la console GPME, peut être, comme tous les paramètres de stratégie, définie sur Non configuré, Activé ou Désactivé.
Lorsqu'elle est activée, la stratégie peut spécifier le mode Fusion ou Remplacement. •
Mode de remplacement : dans ce cas, la liste des GPO pour l'utilisateur (obtenue à l'étape 5 du « Traitement de la stratégie de groupe » à la section suivante) est intégralement remplacée par la liste des GPO déjà obtenue pour l'ordinateur au démarrage de celui-ci (à l'étape 2). Les paramètres des stratégies Configuration utilisateur des GPO de l'ordinateur sont appliqués à l'utilisateur. Ce mode de remplacement se révèle utile dans des cas tels qu'une salle de classe, où les utilisateurs doivent obtenir une configuration standardisée et non la configuration appliquée aux utilisateurs d'un environnement moins géré.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
Mode de fusion : dans ce cas, la liste des GPO obtenue pour l'ordinateur au démarrage de celui-ci (étape 2 de la section « Traitement de la stratégie de groupe ») est ajoutée à la liste des GPO obtenue pour l'utilisateur à l'ouverture de session (à l'étape 5). La liste des GPO obtenue pour l'ordinateur étant appliquée ultérieurement, les paramètres des GPO de cette liste sont prioritaires lorsqu'ils entrent en conflit avec ceux de la liste de l'utilisateur. Ce mode se révèle très utile pour appliquer d'autres paramètres aux configurations typiques des utilisateurs. Par exemple, vous pouvez autoriser un utilisateur à recevoir sa configuration typique lorsqu'il ouvre une session sur un ordinateur d'une salle de conférence ou d'une zone d'accueil, mais remplacer le papier peint par une image standardisée et désactiver l'utilisation de certaines applications ou de certains périphériques.
Remarque : en général, l'accent n'est pas suffisamment mis sur le fait que, lorsque le traitement en boucle est combiné au filtrage par groupes de sécurité, l'application des paramètres utilisateur lors de l'actualisation de la stratégie utilise les informations d'identification de l'ordinateur afin d'identifier les GPO à appliquer dans le cadre du traitement en boucle. Cependant, l'utilisateur connecté doit également disposer de l'autorisation Appliquer la stratégie de groupe pour que le GPO soit appliqué correctement.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-104
6-105
Atelier pratique C : Gestion de l'étendue de la stratégie de groupe
Scénario Vous êtes administrateur du domaine contoso.com. Le GPO CONTOSO Standards, relié à ce domaine, configure un paramètre de stratégie qui définit le délai d'activation de l'écran de veille sur 10 minutes. Un ingénieur signale qu'une application stratégique chargée d'effectuer de longs calculs se bloque lorsque l'écran de veille démarre. Il vous demande d'empêcher l'application de ce paramètre à l'équipe des ingénieurs qui utilise cette application chaque jour. Il vous est également demandé de configurer les ordinateurs de la salle de conférence sur un délai de 45 minutes, de sorte que l'écran de veille ne démarre pas pendant une réunion.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Configuration de l'étendue d'un GPO avec des liens Dans cet exercice, vous allez modifier l'étendue de plusieurs GPO à l'aide de liens de GPO, et utiliser l'héritage, la priorité et les effets des options Bloquer l'héritage et Lien appliqué. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Créer un GPO avec un paramètre de stratégie prioritaire en cas de conflit entre paramètres.
3.
Afficher l'effet du lien Appliqué d'un GPO.
4.
Appliquer l'option Bloquer l'héritage.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
3.
Démarrez 6238B-DESKTOP101-A, mais n'ouvrez pas de session sur le système.
Tâche 2 : Création d'un GPO avec un paramètre de stratégie prioritaire en cas de conflit entre paramètres 1.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l'unité d'organisation User Accounts\Employees, créez une sous-unité d'organisation nommée Engineers, puis fermez Utilisateurs et ordinateurs Active Directory.
3.
Exécutez la console GPMC en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
4.
Créez un nouveau GPO relié à l'unité d'organisation Engineers et nommé Engineering Application Override.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-106
6-107
5.
Configurez le paramètre du délai de l'Écran de veille sur Désactivé, puis fermez la console GPME.
6.
Sélectionnez l'unité d'organisation Engineers et ouvrez l'onglet Héritage de stratégie de groupe. Notez que le GPO Engineering Application Override est prioritaire sur le GPO CONTOSO Standards.
7.
Le paramètre de stratégie Délai d'activation de l'écran de veille que vous venez de configurer dans le GPO Engineering Application Override sera appliqué après le paramètre du GPO CONTOSO Standards. Le nouveau paramètre remplacera donc le paramètre standard et « gagnera ». Le délai d'activation de l'écran de veille sera désactivé pour les utilisateurs entrant dans l'étendue du GPO Engineering Application Override.
Tâche 3 : Affichage de l'effet du lien Appliqué d'un GPO 1.
Dans l'arborescence de la console GPMC, sélectionnez l'unité d'organisation Domain Controllers et ouvrez l'onglet Héritage de stratégie de groupe.
2.
Vous remarquerez que le GPO 6238B a la priorité la plus élevée. Les paramètres de ce GPO remplaceront donc tous les paramètres conflictuels des autres GPO. Le GPO Default Domain Controllers spécifie, entre autres, quels groupes sont autorisés à se connecter localement aux contrôleurs de domaine. Pour renforcer la sécurité des contrôleurs de domaine, les utilisateurs standards ne sont pas autorisés à se connecter localement. Pour qu'un compte d'utilisateur sans privilège tel que Pat.Coleman puisse se connecter aux contrôleurs de domaine dans le cadre de ce cours, le GPO 6238B accorde aux Utilisateurs de domaine le droit de se connecter localement à un ordinateur. Le GPO 6238B étant relié au domaine, ses paramètres doivent normalement être remplacés par ceux du GPO Default Domain Controllers. Par conséquent, le lien du GPO 6238B au domaine est configuré sur Appliqué. Le conflit d'affectation des droits d'utilisateur entre les deux GPO est donc « remporté » par le GPO 6238B.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 4 : Application de l'option Bloquer l'héritage 1.
Dans l'arborescence de la console GPMC, sélectionnez l'unité d'organisation Engineers et examinez la priorité et l'héritage des GPO dans l'onglet Héritage de stratégie de groupe.
2.
Bloquez l'héritage des GPO pour l'unité d'organisation Engineers.
Question : Quels GPO continuent à s'appliquer aux utilisateurs de l'unité d'organisation Engineers ? À quoi ces GPO sont-ils reliés ? Pourquoi ont-ils continué à s'appliquer ? 3.
Désactivez l'option Bloquer l'héritage de l'unité d'organisation Engineers. Résultats : À la fin de cet exercice, vous aurez créé un GPO nommé Engineering Application Override, et l'aurez relié à l'unité d'organisation Engineers. Vous comprendrez également l'héritage, la priorité et les effets des options Bloquer l'héritage et Lien appliqué.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-108
6-109
Exercice 2 : Configuration de l'étendue d'un GPO par filtrage Au bout d'un certain temps, vous découvrez que seul un petit nombre d'ingénieurs a besoin que le délai d'activation de l'écran de veille remplace le délai actuellement appliqué à tous les utilisateurs de l'unité d'organisation Engineers. Vous découvrez en outre qu'un petit nombre d'utilisateurs doit être dispensé de la stratégie de délai d'activation de l'écran de veille et des autres paramètres configurés par le GPO CONTOSO Standards. Pour gérer l'étendue des GPO, vous décidez d'utiliser le filtrage de sécurité. Dans cet exercice, vous allez modifier l'étendue des GPO à l'aide du filtrage. Les tâches principales de cet exercice sont les suivantes : 1.
Configurer l'application des stratégies avec le filtrage de sécurité.
2.
Configurer une exemption par le filtrage de sécurité.
Tâche 1 : Configuration de l'application des stratégies avec le filtrage de sécurité 1.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l'unité d'organisation Groups\Configuration, créez un groupe de sécurité global nommé GPO_Engineering Application Override_Apply.
3.
Dans l'arborescence de la console GPMC, sélectionnez le GPO Engineering Application Override. Remarquez que, dans la section Filtrage de sécurité, le GPO s'applique par défaut à tous les utilisateurs authentifiés.
4.
Configurez le GPO de sorte qu'il ne s'applique qu'au groupe GPO_Engineering Application Override_Apply.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 2 : Configuration d'une exemption par le filtrage de sécurité 1.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l'unité d'organisation Groups\Configuration, créez un groupe de sécurité global nommé GPO_CONTOSO Standards_Exempt.
3.
Dans la console GPMC, sélectionnez le GPO CONTOSO Standards. Remarquez que, dans la section Filtrage de sécurité, le GPO s'applique par défaut à tous les utilisateurs authentifiés.
4.
Configurez le GPO de manière à refuser l'autorisation Appliquer la stratégie de groupe au groupe GPO_CONTOSO Standards_Exempt. Résultats : À la fin de cet exercice, vous aurez configuré le GPO Engineering Application Override de sorte qu'il ne s'applique qu'aux membres du GPO_Engineering Application Override_Apply. Vous aurez également configuré un groupe avec l'autorisation Refuser Appliquer la stratégie de groupe, qui remplace l'autorisation Autoriser. Lorsqu'un utilisateur doit être exempté des stratégies du GPO CONTOSO Standards, il vous suffit d'ajouter son ordinateur au groupe GPO_CONTOSO Standards_Exempt.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-110
6-111
Exercice 3 : Configuration du traitement en boucle Il vous a été demandé de configurer le délai d'activation de l'écran de veille des salles de conférence sur 45 minutes afin que l'écran de veille ne s'affiche pas au milieu d'une réunion. Dans cet exercice, vous allez configurer le traitement en boucle des GPO. La tâche principale de cet exercice est la suivante : •
Configurer le traitement en boucle.
Tâche 1 : Configuration du traitement en boucle 1.
Créez un nouvel objet GPO nommé Conference Room Policies et reliez-le à l'unité d'organisation Kiosks\Conference Rooms.
2.
Vérifiez que l'étendue du GPO Conference Room Policies est définie sur Utilisateurs authentifiés.
3.
Modifiez la stratégie Délai d'activation de l'écran de veille de sorte que l'écran de veille démarre après 45 minutes d'inactivité. Modifiez le paramètre de stratégie Mode de traitement en boucle de la stratégie de groupe utilisateur pour qu'il utilise le mode Fusion. Résultats : À la fin de cet exercice, vous aurez créé un GPO Conference Room Policies appliquant aux utilisateurs un délai d'activation de l'écran de veille de 45 minutes lorsqu'ils ouvrent une session sur les ordinateurs de la salle de conférence.
Remarque : n'arrêtez pas les ordinateurs virtuels à la fin de cet atelier pratique car les paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Questions de contrôle des acquis Question : Nombre d'organisations s'appuient largement sur le filtrage des groupes de sécurité pour définir l'étendue des GPO, au lieu de relier les GPO à des unités d'organisation spécifiques. Dans ces organisations, les GPO sont généralement reliés très en amont dans la structure logique d'Active Directory : au domaine lui-même ou à une unité d'organisation de premier niveau. Quels sont les avantages de l'utilisation du filtrage des groupes de sécurité par rapport à la définition des liens de GPO pour gérer l'étendue d'un GPO ? Question : Pour quelle raison la création d'un groupe d'exemptions (groupe auquel l'autorisation Appliquer la stratégie de groupe est refusée) peut-elle se révéler utile pour chaque GPO créé ? Question : Utilisez-vous le traitement en boucle dans votre organisation ? Dans quels cas et pour quels paramètres de stratégie le traitement en boucle offre-t-il un avantage ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-112
6-113
Leçon 5
Traitement de la stratégie de groupe
Vous connaissez à présent les concepts, les composants et l'étendue des stratégies de groupe. Vous êtes donc prêts à examiner le traitement de la stratégie de groupe de manière plus détaillée.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
Comprendre, améliorer et déclencher manuellement l'actualisation d'une stratégie de groupe
•
Implémenter le traitement des stratégies en boucle
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Examen approfondi du traitement de la stratégie de groupe
Points clés Cette rubrique décrit le traitement de la stratégie de groupe en détail. Pendant votre lecture, n'oubliez pas que la stratégie de groupe consiste à appliquer les configurations définies par les GPO, que les GPO s'appliquent dans un certain ordre (site, domaine et unité d'organisation) et que les GPO appliqués ultérieurement sont prioritaires ; leurs paramètres, lorsqu'ils sont appliqués, remplacent les paramètres appliqués auparavant. La séquence suivante détaille le processus qui détermine quels paramètres d'un GPO basé sur un domaine sont appliqués pour affecter un ordinateur ou un utilisateur : 1.
L'ordinateur démarre, de même que le réseau. Les services RPCSS (Remote Procedure Call System Service) et MUP (Multiple Universal Naming Convention Provider) démarrent. Le Client de stratégie de groupe démarre.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-114
2.
6-115
Le Client de stratégie de groupe obtient la liste ordonnée des GPO dont l'étendue comprend l'ordinateur. L'ordre de la liste détermine l'ordre de traitement des GPO : c'est-à-dire, par défaut, les GPO locaux, les GPO de site, les GPO de domaine et les GPO d'unité d'organisation : •
GPO locaux : chaque ordinateur exécutant Windows Server 2003, Windows XP et Windows 2000 a exactement un GPO stocké localement. Windows Vista et Windows Server 2008 ont plusieurs GPO locaux. La priorité des GPO locaux est détaillée à la section « GPO locaux » de la leçon 2.
•
GPO de site : tous les GPO reliés au site sont ensuite ajoutés à la liste ordonnée. Lorsque plusieurs GPO sont reliés à un site (ou à un domaine ou une unité d'organisation), l'ordre des liens, configuré dans l'onglet Étendue, détermine l'ordre dans lequel ils sont ajoutés à la liste. Le GPO qui apparaît en premier dans la liste, avec un nombre proche de 1, présente la priorité la plus élevée et est ajouté à la liste en dernier. Il est de ce fait appliqué en dernier et ses paramètres remplacent ceux des GPO déjà appliqués.
•
GPO de domaine : plusieurs GPO reliés au domaine sont ajoutés selon l'ordre des liens spécifié.
Remarque : les domaines enfants n'héritent pas des stratégies reliées au domaine. Les domaines enfants n'héritent pas des stratégies de leur domaine parent. Chaque domaine conserve des liens de stratégie distincts. Toutefois, les ordinateurs appartenant à plusieurs domaines peuvent appartenir à l'étendue d'un GPO relié à un site.
•
GPO d'unité d'organisation : les GPO reliés à l'unité d'organisation la plus élevée dans la hiérarchie Active Directory sont ajoutés à la liste ordonnée, suivis des GPO reliés à l'unité d'organisation enfant, etc. Pour finir, les GPO reliés à l'unité d'organisation qui contient l'ordinateur sont ajoutés. Lorsque plusieurs stratégies de groupe sont reliées à une unité d'organisation, elles sont ajoutées dans l'ordre spécifié par l'ordre des liens.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
•
3.
GPO appliqués : les GPO appliqués sont ajoutés à la fin de la liste ordonnée, de sorte que leurs paramètres soient appliqués à la fin du processus et remplacent de ce fait les paramètres des GPO antérieurs dans la liste et dans le processus. Détail sans importance, les GPO appliqués sont ajoutés à la liste en ordre inverse : unité d'organisation, domaine, puis site. Cet ordre se révèle approprié lorsque vous appliquez des stratégies de sécurité d'entreprise dans un GPO appliqué et relié au domaine. Ce GPO est alors placé à la fin de la liste ordonnée et est appliqué en dernier. Ses paramètres seront donc prioritaires.
Les GPO sont traités de façon synchrone dans l'ordre spécifié par la liste ordonnée. Cela signifie que les paramètres des GPO locaux sont traités en premier, suivis des GPO reliés au site, au domaine et aux unités d'organisation contenant l'utilisateur ou l'ordinateur. Les GPO reliés à l'unité d'organisation dont est directement membre l'ordinateur ou l'utilisateur sont traités en dernier, suivis des GPO appliqués. Lors du traitement de chaque GPO, le système détermine si ses paramètres doivent être appliqués en fonction de l'état du GPO dans le nœud ordinateur (activé ou désactivé) et si l'autorisation Appliquer la stratégie de groupe est autorisée pour l'ordinateur. Lorsqu'un filtre WMI est appliqué au GPO et que l'ordinateur exécute Windows XP ou une version ultérieure, le système exécute la requête WQL spécifiée dans le filtre.
4.
Si le GPO doit être appliqué au système, les extensions côté client déclenchent le traitement des paramètres du GPO. Les paramètres de stratégie des GPO remplacent alors les stratégies des GPO déjà appliqués de la manière suivante : •
Lorsqu'un paramètre de stratégie est configuré (défini sur Activé ou sur Désactivé) dans un GPO relié à un conteneur parent (unité d'organisation, domaine ou site), et que ce même paramètre de stratégie est défini sur Non configuré dans les GPO reliés à son conteneur enfant, le jeu de stratégies résultant pour les utilisateurs et ordinateurs du conteneur enfant comprendra le paramètre de stratégie du conteneur parent. Si l'option Bloquer l'héritage est configurée pour le conteneur enfant, le paramètre parent n'est pas hérité sauf si l'option Lien appliqué est configurée pour le lien du GPO.
•
Lorsqu'un paramètre de stratégie est configuré (défini sur Activé ou sur Désactivé) pour un conteneur parent, et que ce même paramètre de stratégie est configuré pour un conteneur enfant, le paramètre de ce dernier remplace le paramètre hérité du conteneur parent. Si l'option Lien appliqué est configurée pour le lien du GPO parent, le paramètre du conteneur parent est prioritaire.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-116
•
5.
6-117
Lorsqu'un paramètre de stratégie de GPO reliés aux conteneurs parents est défini sur Non configuré, de même que le paramètre de l'unité d'organisation enfant, le paramètre de stratégie résultant est le paramètre issu du traitement des GPO locaux. Si le paramètre résultant des GPO locaux est également défini sur Non configuré, la configuration résultante est le paramètre par défaut de Windows.
Lorsque l'utilisateur ouvre une session, le même processus recommence pour les paramètres utilisateur. Le client obtient la liste ordonnée des GPO dont l'étendue comprend l'utilisateur, examine chaque GPO de façon synchrone, puis transmet les GPO qui doivent s'appliquer aux extensions côté client appropriées en vue de leur traitement. Cette étape est modifiée si le traitement en boucle de la stratégie de groupe utilisateur est activé. Le traitement de stratégie en boucle est traité à la rubrique suivante.
Remarque : certains paramètres de stratégie apparaissent à la fois dans les nœuds Configuration ordinateur et Configuration utilisateur. La plupart des paramètres de stratégie sont spécifiques soit au nœud Configuration utilisateur, soit au nœud Configuration ordinateur. Les deux nœuds contiennent quelques paramètres. Bien que, dans la plupart des cas, le paramètre du nœud Configuration ordinateur remplace celui du nœud Configuration utilisateur, il est important de lire le texte explicatif qui accompagne chaque paramètre de stratégie pour bien comprendre son effet et son application.
6.
Après démarrage de l'ordinateur, l'actualisation de la stratégie ordinateur survient toutes les 90 à 120 minutes, suivie de l'actualisation de la stratégie ordinateur. Le processus se répète ensuite pour les paramètres ordinateur.
7.
Après ouverture de session de l'utilisateur, l'actualisation de la stratégie utilisateur survient toutes les 90 à 120 minutes. Le processus se répète ensuite pour les paramètres utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Liaisons lentes et systèmes déconnectés
Points clés L'installation de logiciels est l'une des tâches que la stratégie de groupe permet d'automatiser et de gérer. Au Module 7, vous avez découvert l'Installation des logiciels par stratégie de groupe (GPSI), fournie par l'extension côté client Installation logicielle. Vous pouvez configurer un objet GPO pour installer un ou plusieurs packages logiciels. Imaginons toutefois qu'un utilisateur se connecte à votre réseau par une connexion à bas débit. Dans ce cas, vous préférerez que les packages logiciels volumineux ne soient pas transférés par cette liaison du fait des problèmes de performances. Le Client de stratégie de groupe résout ce problème en détectant le débit de la connexion au domaine et en déterminant si la connexion doit être considérée comme une liaison lente. Chaque extension côté client décide ensuite d'appliquer ou non les paramètres en fonction de cette évaluation. L'extension logicielle, par exemple, est configurée pour renoncer au traitement de la stratégie et pour ne pas installer le logiciel lorsqu'une liaison lente est détectée. Par défaut, une connexion est considérée comme lente lorsqu'elle est inférieure à 500 kilobits par seconde (Kbits/s).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-118
6-119
Lorsqu'un utilisateur travaille en étant déconnecté du réseau, les paramètres précédemment appliqués par la stratégie du groupe sont toujours en vigueur. L'expérience de l'utilisateur est donc identique, qu'il soit ou non connecté au réseau. Cette règle présente des exceptions et, notamment, les scripts de démarrage, d'ouverture de session, de fermeture de session et d'arrêt ne s'exécutent pas si l'utilisateur est déconnecté. Lorsqu'un utilisateur distant se connecte au réseau, le client de stratégie de groupe se réveille et détermine si une fenêtre d'actualisation de la stratégie de groupe a été ignorée. Dans l'affirmative, il exécute l'actualisation pour obtenir les derniers GPO du domaine. De nouveau, les extensions côté client déterminent, en fonction de leurs paramètres de traitement des stratégies, si les paramètres de ces GPO s'appliquent. Cette opération ne concerne pas les systèmes Windows XP ou Windows Server 2003, mais uniquement les systèmes d'exploitation Windows Vista, Windows Server 2008 et ultérieurs.
Lectures complémentaires •
Fonctionnement de la stratégie de groupe de base (éventuellement en anglais) : http://go.microsoft.com/fwlink/?LinkId=168658
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Entrée en vigueur des paramètres
Points clés L'objectif est de comprendre les paramètres GPO suivants : La réplication des GPO doit survenir. Avant qu'un GPO n'entre en vigueur, le conteneur Stratégie de groupe (GPC) d'Active Directory doit être répliqué dans le contrôleur de domaine à partir duquel le client de stratégie de groupe récupère sa liste ordonnée de GPO. De plus, le modèle de stratégie de groupe (GPT) du dossier SYSVOL doit être répliqué dans le même contrôleur de domaine. Les modifications de groupe doivent être intégrées. Enfin, si vous avez ajouté un nouveau groupe, ou modifié l'appartenance d'un groupe utilisé pour filtrer le GPO, cette modification doit également être répliquée et se retrouver dans le jeton de sécurité de l'ordinateur et de l'utilisateur. Ceci nécessite un redémarrage (pour que l'ordinateur actualise son appartenance aux groupes) ou une fermeture et une ouverture de session (pour que l'utilisateur actualise son appartenance aux groupes).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-120
6-121
L'actualisation de la stratégie des groupes utilisateur ou ordinateur doit se produire. Comme vous le savez, une actualisation se produit au démarrage (pour les paramètres ordinateur) et à l'ouverture de session (pour les paramètres utilisateur) puis, par défaut, toutes les 90 à 120 minutes ensuite. Remarque : en moyenne, le délai est de 45 à 60 minutes. N'oubliez pas qu'en pratique, lorsque vous modifiez votre environnement, l'impact de l'intervalle d'actualisation de la stratégie de groupe correspond en moyenne à la moitié de ce délai, soit 45 à 60 minutes, avant que la modification ne commence à prendre effet.
Par défaut, les clients Windows XP, Windows Vista et Windows 7 n'effectuent que des actualisations en arrière-plan au démarrage et à l'ouverture de session. Ceci signifie qu'un client peut démarrer et un utilisateur ouvrir une session sans recevoir les dernières stratégies du domaine. Il est donc fortement recommandé de modifier ce comportement par défaut afin que les modifications de stratégie soient implémentées de manière prévisible et gérée. Activez le paramètre de stratégie Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session pour tous les clients Windows. Le paramètre est stocké dans Configuration ordinateur\Stratégies\Modèles d'administration\Système\Ouverture de session. Assurez-vous de lire le texte explicatif de ce paramètre de stratégie. Notez que ce paramètre n'affecte pas le délai de démarrage ou d'ouverture de session des ordinateurs non connectés à un réseau. Lorsque l'ordinateur s'aperçoit qu'il n'est pas connecté, il continue simplement sans littéralement « attendre » le réseau. Le domaine contoso.com utilisé dans ce cours a été préconfiguré avec ce paramètre supplémentaire de stratégie de groupe. Les paramètres peuvent ne pas prendre effet immédiatement. Bien que la plupart des paramètres soient appliqués lors d'une actualisation en arrière-plan, certaines extensions côté client n'appliquent pas le paramètre avant le prochain démarrage ou l'ouverture de session suivante. Les nouvelles stratégies de script de démarrage et d'ouverture de session, par exemple, ne sont pas exécutées avant la prochaine ouverture de session ou le démarrage suivant de l'ordinateur. L'installation d'un logiciel, traitée au Module 7, se produit au prochain démarrage si le logiciel est affecté dans les paramètres ordinateur. Les modifications apportées aux stratégies de redirection des dossiers n'entrent en vigueur qu'à la prochaine ouverture de session.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Actualisation manuelle de la stratégie de groupe via GPUpdate Lorsque vous testez une stratégie de groupe ou lorsque vous tentez de résoudre un problème de traitement de stratégie de groupe, vous pouvez être amené à déclencher manuellement son actualisation plutôt que d'attendre la prochaine actualisation en arrière-plan. La commande GPUpdate permet dans ce cas de déclencher une actualisation de la stratégie de groupe. Utilisée de façon autonome, la commande GPUpdate déclenche le même traitement qu'une actualisation de stratégie de groupe en arrière-plan. Les stratégies ordinateur et utilisateur sont actualisées. Servez-vous du paramètre /target:computer ou /target:user pour limiter l'actualisation aux paramètres ordinateur ou utilisateur, respectivement. Par défaut, lors d'une actualisation en arrière-plan, les paramètres ne sont appliqués que si le GPO a été mis à jour. Le commutateur /force oblige le système à réappliquer tous les paramètres de tous les GPO dont l'étendue comprend l'utilisateur ou l'ordinateur. Certains paramètres de stratégie requièrent une fermeture de session ou un redémarrage avant d'entrer en vigueur. Les commutateurs /logoff et /boot de la commande GPUpdate imposent une fermeture de session ou un redémarrage, respectivement, lorsque les paramètres appliqués le demande. Ainsi, la commande entraînant une actualisation totale, l'application et (le cas échéant) le redémarrage et l'ouverture de session pour appliquer les paramètres de stratégie mis à jour est la suivante : gpupdate /force /logoff /boot
Sous Windows 2000, la commande Secedit.exe permettait d'actualiser la stratégie. Cette commande peut donc être mentionnée dans l'examen. La plupart des extensions côté client ne réappliquent pas les paramètres si le GPO n'a pas changé. N'oubliez pas que la plupart des extensions côté client n'appliquent les paramètres d'un GPO que si ce dernier a changé. Cela signifie que, si l'utilisateur peut modifier un paramètre défini à l'origine par la stratégie de groupe, ce paramètre ne reprendra pas la valeur définie par le GPO avant que ce dernier ne soit modifié. Par chance, la plupart des paramètres de stratégie ne peuvent pas être modifiés par un utilisateur sans privilège. Toutefois, si l'utilisateur est administrateur de son ordinateur, ou si le paramètre de stratégie affecte une section du Registre ou du système que l'utilisateur est autorisé à modifier, cela peut poser un vrai problème. Vous avez la possibilité de demander à chaque extension côté client de réappliquer les paramètres des GPO, même lorsqu'ils n'ont pas été modifiés. Le comportement du traitement de chaque extension côté client peut être configuré dans les paramètres de stratégie stockées dans le dossier Configuration ordinateur\Modèles d'administration\Système\Stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-122
6-123
Leçon 6
Résolution des problèmes liés à l'application des stratégies
L'application d'une stratégie de groupe peut être difficile à analyser et à comprendre lorsque plusieurs paramètres de plusieurs GPO interagissent et utilisent diverses méthodes. Vous devez donc être suffisamment équipé pour évaluer avec efficacité et résoudre les problèmes d'implémentation de votre stratégie de groupe, identifier les problèmes potentiels avant qu'ils ne se produisent et résoudre les difficultés imprévues. Microsoft Windows fournit deux outils indispensables pour prendre en charge les stratégies de groupe : le Jeu de stratégies résultant (RSOP) et les Journaux opérationnels de stratégie de groupe. Dans cette leçon, vous allez étudier l'utilisation de ces outils pour la résolution proactive et réactive des problèmes et la prise en charge des scénarios.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
analyser le jeu d'objets GPO et les paramètres de stratégie qui ont été appliqués à un utilisateur ou à un ordinateur ;
•
modéliser de façon proactive l'impact des modifications de stratégie de groupe ou d'Active Directory sur le Jeu de stratégies résultant ;
•
localiser les journaux contenant les événements liés à la Stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-124
6-125
Jeu de stratégies résultant
Points clés Dans la leçon 4, vous avez appris qu'un utilisateur ou un ordinateur peut appartenir à l'étendue de plusieurs GPO. L'héritage des stratégies, les filtres et les exceptions sont complexes et il est souvent difficile de savoir quels paramètres de stratégie vont s'appliquer. Le Jeu de stratégies résultant (RSoP) correspond aux conséquences directes des GPO appliqués à un utilisateur ou à un ordinateur, en tenant compte des liens des GPO, des exceptions dues aux options Bloquer l'héritage et Lien appliqué et de l'application des filtres de sécurité et WMI.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
RSoP est également un ensemble d'outils qui vous permettent d'évaluer, de modéliser et de résoudre les problèmes relatifs à l'application des paramètres de la stratégie de groupe. RSoP peut interroger un ordinateur local ou distant et générer un rapport sur les paramètres précis appliqués à l'ordinateur et à tout utilisateur ayant ouvert une session sur cet ordinateur. RSoP peut également modéliser les paramètres de stratégie qui doivent être appliqués à un utilisateur ou à un ordinateur selon divers scénarios, notamment en cas de déplacement de l'objet entre des unités d'organisation ou des sites ou en cas de modification de l'appartenance de l'objet à des groupes. Grâce à ces capacités, RSoP vous permet de gérer et de résoudre les problèmes de stratégies conflictuelles. Pour les analyses RSoP, Windows Server 2008 fournit les outils suivants : •
Assistant Résultats de stratégie de groupe
•
Assistant Modélisation de stratégie de groupe
•
GPResult.exe
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-126
6-127
Génération des rapports RSoP
Points clés Pour vous aider à évaluer l'effet cumulé des GPO et des paramètres de stratégie sur un utilisateur ou un ordinateur de votre organisation, la console GPMC propose l'Assistant Résultats de stratégie de groupe. Lorsque vous souhaitez comprendre avec précision quels paramètres de stratégie ont été appliqués à un utilisateur ou à un ordinateur et pourquoi, l'Assistant Résultats de stratégie de groupe est l'outil approprié. L'Assistant Résultats de stratégie de groupe est capable d'accéder au fournisseur WMI d'un ordinateur local ou distant exécutant Windows Vista, Windows XP, Windows Server 2003 ou Windows Server 2008. Le fournisseur WMI génère un rapport sur tous les éléments qu'il est nécessaire de connaître pour comprendre la façon dont une stratégie de groupe a été appliquée au système. Il sait à quel moment le traitement a été effectué, quels GPO ont été appliqués, quels GPO ne l'ont pas été et pourquoi, les erreurs qui ont été rencontrées et les paramètres de stratégie précis ayant priorité et leur GPO source.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
L'exécution de l'Assistant Résultats de stratégie de groupe présente plusieurs conditions préalables : •
Vous devez disposer d'informations d'identification d'administrateur sur l'ordinateur cible.
•
L'ordinateur cible doit exécuter Windows XP ou une version ultérieure. L'Assistant Résultats de stratégie de groupe ne peut pas accéder aux systèmes Windows 2000.
•
Vous devez pouvoir accéder à l'infrastructure WMI de l'ordinateur cible. Cela signifie que cet ordinateur doit être allumé, connecté au réseau et accessible via les ports 135 et 445.
Remarque : activez l'administration à distance des ordinateurs clients. L'exécution d'une analyse RSoP via l'Assistant Résultats de stratégie de groupe n'est qu'un exemple d'administration à distance. Pour profiter de l'administration à distance, il vous faudra peut-être configurer des règles entrantes pour le pare-feu utilisé par vos clients et serveurs.
•
Le service WMI doit être démarré dans l'ordinateur cible.
•
Pour analyser RSoP pour un utilisateur, ce dernier doit avoir ouvert une session au moins une fois sur l'ordinateur. Il n'est pas nécessaire que l'utilisateur soit actuellement connecté.
Lorsque vous avez vérifié que les conditions requises sont satisfaites, vous pouvez exécuter une analyse RSoP. Pour générer un rapport RSoP, cliquez du bouton droit sur Résultats de la stratégie de groupe dans l'arborescence de la console GPMC et choisissez Assistant Résultats de la stratégie de groupe. L'Assistant vous demande de sélectionner un ordinateur. Il se connecte ensuite au fournisseur WMI de cet ordinateur et fournit la liste des utilisateurs qui y ont ouvert une session. Vous pouvez alors sélectionner l'un des utilisateurs ou choisir d'ignorer l'analyse RSoP des stratégies de configuration utilisateur. L'Assistant fournit un rapport RSoP détaillé au format HTML dynamique. Si la Configuration de sécurité renforcée d'Internet Explorer est définie, le système vous invite à autoriser la console à afficher le contenu dynamique. Pour développer ou réduire chaque section du rapport, cliquez sur le lien Afficher ou Masquer ou double-cliquez sur le titre de la section.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-128
6-129
Le rapport est affiché dans trois onglets : •
Résumé : l'onglet Résumé présente l'état du traitement de la stratégie de groupe lors de la dernière actualisation. Vous pouvez identifier les informations réunies sur le système, les GPO appliqués et refusés, l'appartenance à un groupe de sécurité susceptible d'avoir affecté les GPO filtrés par des groupes de sécurité, les filtres WMI qui ont été analysés et l'état des extensions côté client.
•
Paramètres : l'onglet Paramètres présente le jeu résultant de paramètres de stratégie appliqués à l'ordinateur ou à l'utilisateur. Cet onglet vous montre avec précision quelles ont été les conséquences de l'implémentation de votre stratégie de groupe pour l'utilisateur. Cet onglet permet d'obtenir une grande quantité d'informations, mais certaines données ne sont pas indiquées, par exemple les paramètres de stratégie IPSec, sans fil et de quotas de disque.
•
Événements de stratégie : l'onglet Événements de stratégie présente les événements de stratégie de groupe issus des journaux d'événements de l'ordinateur cible.
Après avoir généré un rapport RSoP via l'Assistant Résultats de stratégie de groupe, vous pouvez cliquer du bouton droit sur ce rapport pour réexécuter la requête, imprimer le rapport ou l'enregistrer sous forme de fichier XML ou HTML qui conserve les sections dynamiques développées et réduites. Les deux types de fichiers pouvant être ouverts dans Internet Explorer, le rapport RSoP peut être consulté hors de la console GPMC. Si vous cliquez du bouton droit sur le nœud du rapport lui-même, sous le dossier Résultats de stratégie de groupe de l'arborescence de la console, vous pouvez passer en Affichage avancé. En Affichage avancé, RSoP s'affiche dans le composant logiciel enfichable RSoP, qui présente tous les paramètres appliqués, y compris les stratégies IPSec, sans fil et de quotas de disque. Génération de rapports RSoP avec GPResult.exe La commande GPResult.exe est la version en ligne de commande de l'Assistant Résultats de stratégie de groupe. GPResult accède au même fournisseur WMI que l'Assistant, produit les mêmes informations et, en fait, permet de créer les mêmes rapports graphiques. GPResult s'exécute sous Windows Vista, Windows XP, Windows Server 2003 et Windows Server 2008. Windows 2000 comprend une commande GPResult.exe qui produit un rapport limité du traitement des stratégies de groupe, sans être aussi sophistiquée que la commande incluse dans les versions ultérieures de Windows.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Lorsque vous exécutez la commande GPResult, vous pouvez utiliser les options suivantes : /s nomOrdinateur
Cette option spécifie le nom ou l'adresse IP d'un système distant. Si vous utilisez un point (.) comme nom d'ordinateur, ou si vous n'incluez pas l'option /s, l'analyse RSoP s'exécute dans l'ordinateur local. /scope [utilisateur | ordinateur]
Cette commande affiche l'analyse RSoP des paramètres utilisateur ou ordinateur. Si vous omettez l'option /scope, l'analyse RSoP inclut les paramètres utilisateur et ordinateur. /user nomUtilisateur
Cette option spécifie le nom de l'utilisateur dont les données RSoP doivent s'afficher. /r
Cette option présente un récapitulatif des données RSoP. /v
Cette option affiche des données RSoP détaillées, donc les informations les plus significatives. /z
Cette option affiche des données hyper détaillées, notamment les détails de tous les paramètres de stratégie appliqués au système. Elle donne souvent plus d'informations que ce dont vous avez besoin pour une résolution de problème de stratégie de groupe typique. /u domaine\utilisateur /p mot de passe
Cette option fournit les informations d'identification stockées dans le groupe Administrateurs d'un système distant. Sans ces informations d'identification, GPResult s'exécute avec les informations d'identification avec lesquelles vous avez ouvert la session.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-130
6-131
[/x | /h] nomFichier
Cette option enregistre les rapports au format XML ou HTML, respectivement. Elles sont disponibles sous Windows Vista SP1 et versions ultérieures et Windows Server 2008 et versions ultérieures. Résolution de problèmes de stratégie de groupe avec l'Assistant Résultats de stratégie de groupe et la commande GPResult.exe En tant qu'administrateur, il est probable que vous rencontriez des scénarios nécessitant un dépannage des stratégies de groupe. Vous serez alors amené à diagnostiquer et à résoudre certains problèmes, notamment : •
Certains GPO ne sont pas appliqués du tout.
•
Le jeu résultant des stratégies d'un ordinateur ou d'un utilisateur n'est pas ce qui était attendu.
L'Assistant Résultats de stratégie de groupe et la commande GPResult.exe vous donneront souvent les informations les plus pertinentes sur les problèmes de traitement et d'application de la stratégie de groupe. N'oubliez pas que ces outils examinent le fournisseur RSoP WMI pour générer un rapport précis sur ce qui s'est produit dans un système. L'examen du rapport RSoP vous permettra souvent d'identifier les GPO dont l'étendue n'a pas été définie correctement ou les erreurs de traitement de stratégie ayant empêché l'application des paramètres des GPO.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Analyses basées sur des hypothèses par l'Assistant Modélisation de stratégie de groupe
Points clés Si vous déplacez un ordinateur ou un utilisateur entre des sites, des domaines ou des unités d'organisation, ou si vous modifiez son appartenance à des groupes de sécurité, les GPO dont l'étendue comprend cet utilisateur ou cet ordinateur seront modifiés et, de ce fait, le RSoP de l'ordinateur ou de l'utilisateur sera différent. Le RSoP changera également en cas de liaison lente ou de traitement en boucle ou en cas de modification d'une caractéristique du système ciblé par un filtre WMI. Avant de pouvoir apporter de telles modifications, vous devez évaluer leur impact potentiel sur le RSoP de l'utilisateur ou de l'ordinateur. L'Assistant Résultats de stratégie de groupe ne peut effectuer une analyse RSoP que sur ce qui s'est réellement produit. Pour anticiper et effectuer des analyses basées sur des hypothèses, vous pouvez utiliser l'Assistant Modélisation de stratégie de groupe. Pour exécuter une Modélisation de stratégie de groupe, cliquez du bouton droit sur le nœud Modélisation de stratégie de groupe dans l'arborescence de la console GPMC, choisissez Assistant Modélisation de stratégie de groupe et suivez les instructions de l'Assistant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-132
6-133
La modélisation étant effectuée via une simulation dans un contrôleur de domaine, vous êtes d'abord invité à sélectionner un contrôleur de domaine fonctionnant sous Windows Server 2003 ou une version ultérieure. Vous n'avez pas besoin d'être connecté localement à ce contrôleur de domaine, mais la demande de modélisation sera exécutée sur ce dernier. Vous êtes donc invité à définir les paramètres de la simulation : •
Sélectionnez l'objet utilisateur ou ordinateur à évaluer, ou spécifiez l'unité d'organisation, le site ou le domaine à évaluer.
•
Indiquez si le traitement des liaisons lentes doit être simulé.
•
Spécifiez une simulation de traitement en boucle et, dans ce cas, choisissez le mode de remplacement ou de fusion.
•
Sélectionnez le site à simuler.
•
Sélectionnez les groupes de sécurité de l'utilisateur et de l'ordinateur.
•
Choisissez les filtres WMI à appliquer dans le cadre de la simulation du traitement des stratégies de l'utilisateur et de l'ordinateur.
Lorsque vous avez défini les paramètres de la simulation, le rapport produit est très proche de celui des Résultats de stratégie de groupe présenté précédemment. L'onglet Résumé présente les GPO qui seront traités et l'onglet Paramètres détaille les paramètres de stratégie qui seront appliqués à l'utilisateur ou à l'ordinateur. Ce rapport peut lui aussi être enregistré en cliquant du bouton droit sur son entrée et en choisissant Enregistrer le rapport.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Examen des journaux d'événements de stratégie
Points clés Windows Vista et Windows Server 2008 améliorent votre capacité à résoudre les problèmes liés aux stratégies de groupe grâce aux outils RSoP, mais également grâce à la journalisation améliorée des événements de la stratégie de groupe. •
Dans le journal Système, vous trouverez des informations générales sur la stratégie de groupe, y compris les erreurs créées par le client de stratégie de groupe lorsqu'il ne peut pas se connecter à un contrôleur de domaine ou localiser des GPO.
•
Le journal Application collecte les événements enregistrés par les extensions côté client.
•
Un nouveau journal, appelé Journal opérationnel de la stratégie de groupe, donne des informations détaillées sur le traitement de la stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-134
6-135
Pour localiser les journaux de la stratégie de groupe, ouvrez le composant logiciel enfichable ou la console Observateur d'événements. Les journaux Système et Application sont placés dans le nœud Journaux Windows. Le Journal opérationnel de la stratégie de groupe est disponible dans le dossier Journaux des applications et des services\Microsoft\Windows\GroupPolicy\Operational.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique D : Résolution des problèmes liés à l'application des stratégies
Scénario Vous êtes chargé d'administrer et de résoudre les problèmes liés à l'infrastructure de stratégie de groupe de la société Contoso, Ltd. Vous souhaitez évaluer le jeu de stratégies résultant des utilisateurs de votre environnement afin de vérifier le bon fonctionnement de l'infrastructure de stratégie de groupe et vous assurer que toutes les stratégies sont imposées comme prévu.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-136
6-137
Exercice 1 : Exécution d'une analyse RSoP Dans cet exercice, vous allez évaluer le jeu résultant de stratégies à l'aide de l'Assistant Résultats de stratégie de groupe et de la commande GPResults. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Actualiser la stratégie de groupe.
3.
Créer un rapport RSoP sur les résultats de la stratégie de groupe.
4.
Analyser RSoP avec la commande GPResults.
Tâche 1 : Préparation de l'atelier pratique Les ordinateurs virtuels devraient déjà avoir été démarrés et être disponibles après les Ateliers pratiques A, B et C. Toutefois, si ce n'est pas le cas, suivez la procédure ci-dessous, puis effectuez les exercices des Ateliers pratiques A, B et C avant de continuer. 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
3.
Démarrez 6238B-DESKTOP101-A.
4.
Ouvrez une session sur DESKTOP101 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
Tâche 2 : Actualisation de la Stratégie de groupe 1.
Exécutez une invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Exécutez la commande gpupdate /force. Lorsque la commande est terminée, prenez note de l'heure actuelle du système, vous en aurez besoin pour l'une des prochaines tâches de cet atelier.
3.
Redémarrez DESKTOP101 et attendez qu'il ait redémarré avant de passer à l'étape suivante.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Création d'un rapport RSoP sur les résultats de la stratégie de groupe 1.
Dans HQDC01, exécutez la console Gestion des stratégies de groupe en tant qu'administrateur, avec le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Utilisez l'Assistant Résultats de stratégie de groupe pour générer un rapport RSoP pour Pat.Coleman sur DESKTOP101.
3.
Examinez les résultats du Résumé de la Stratégie de groupe. Pour les configurations utilisateur et ordinateur, identifiez l'heure de la dernière actualisation de stratégie et la liste des GPO autorisés et refusés. Identifiez les composants qui ont été utilisés pour traiter les paramètres de stratégie.
4.
Ouvrez l'onglet Paramètres. Examinez les paramètres qui ont été imposés lors de l'application des stratégies utilisateur et ordinateur, et identifiez le GPO d'où proviennent les paramètres obtenus.
5.
Ouvrez l'onglet Événements de stratégie et localisez l'événement correspondant à la journalisation de l'actualisation de la stratégie que vous avez déclenchée par la commande GPUpdate lors de la Tâche 1.
6.
Ouvrez l'onglet Résumé, puis cliquez du bouton droit dans la page et choisissez Enregistrer le rapport. Enregistrez le rapport sous forme de fichier HTML dans le lecteur D en lui donnant le nom de votre choix. Ouvrez ensuite le rapport RSoP depuis le lecteur D.
Tâche 4 : Analyse RSoP avec la commande GPResults 1.
Ouvrez une session sur DESKTOP101 avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Exécutez l'invite de commande avec des informations d'identification d'administrateur.
3.
Tapez gpresult /r et appuyez sur ENTRÉE. Les résultats du résumé RSoP s'affichent. Les informations sont très semblables à celles de l'onglet Résumé du rapport RSoP produit par l'Assistant Résultats de stratégie de groupe.
4.
Tapez gpresult /v et appuyez sur ENTRÉE. Le rapport RSoP produit est plus détaillé. Remarquez que ce rapport présente la plupart des paramètres de stratégie de groupe appliqués par le client.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-138
5.
6-139
Tapez gpresult /z et appuyez sur ENTRÉE. Le rapport RSoP produit est encore plus détaillé.
6.
Tapez gpresult /h:"%userprofile%\Desktop\RSOP.html" et appuyez sur ENTRÉE. Un rapport RSoP est enregistré sous forme de fichier HTML sur votre Bureau.
7.
Ouvrez le rapport RSoP enregistré sur votre Bureau.
8.
Comparez le rapport, ses informations et sa mise en page et le rapport RSoP que vous avez enregistré lors de la tâche précédente. Résultats : À la fin de cet exercice, vous aurez appris à obtenir un jeu résultant de stratégies de deux manières, à l'aide d'un assistant et à partir de la ligne de commande.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 2 : Utilisation de l'Assistant Modélisation de stratégie de groupe Avant de déployer le GPO Conference Room Policies en production, vous souhaitez évaluer son impact sur les utilisateurs qui ouvriront une session sur les ordinateurs de la salle de conférence. Dans cet exercice, vous allez utiliser l'Assistant Modélisation de stratégie de groupe pour modéliser le jeu résultant de stratégies appliquées à un utilisateur, Mike Danseglio, s'il avait ouvert une session sur un ordinateur de la salle de conférence, DESKTOP101. La tâche principale de cet exercice est la suivante : •
Modélisation des résultats de la stratégie de groupe
Tâche 1 : Modélisation des résultats de la stratégie de groupe 1.
Basculez vers HQDC01.
2.
Dans l'arborescence de la console Gestion de stratégie de groupe, développez Forêt: contoso.com, puis cliquez sur Modélisation de stratégie de groupe.
3.
Cliquez du bouton droit sur Modélisation de stratégie du groupe et choisissez Assistant Modélisation de stratégie de groupe. L'Assistant Modélisation de stratégie de groupe s'affiche.
4.
Cliquez sur Suivant.
5.
Dans la page Sélection du contrôleur de domaine, cliquez sur Suivant.
6.
Dans la section Informations sur l'utilisateur de la page Sélection d'ordinateurs et d'utilisateurs, cliquez sur le bouton d'option Utilisateur, puis sur Parcourir. La boîte de dialogue Sélectionner un utilisateur s'affiche.
7.
Tapez Mike.Danseglio, puis appuyez sur ENTRÉE.
8.
Dans la section Informations sur l'ordinateur, cliquez sur le bouton d'option Ordinateur, puis sur Parcourir. La boîte de dialogue Sélectionner un ordinateur s'affiche.
9.
Tapez DESKTOP101 et appuyez sur ENTRÉE.
10. Cliquez sur Suivant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-140
6-141
11. Dans la page Options de simulation avancées, cochez la case Traitement en boucle, puis cliquez sur Fusion. Bien que le GPO Conference Room Polices spécifie le traitement en boucle, vous devez demander à l'Assistant Modélisation de stratégie de groupe de tenir compte du traitement en boucle dans sa simulation. 12. Cliquez sur Suivant. 13. Dans la page Autres chemins d'accès Active Directory, cliquez sur le bouton Parcourir accolé à Emplacement de l'ordinateur. La boîte de dialogue Choisir un conteneur d'ordinateur s'affiche. 14. Développez contoso.com et Kiosks, puis cliquez sur Conference Rooms. Vous simulez ainsi l'impact de DESKTOP101 en tant qu'ordinateur de la salle de conférence. 15. Cliquez sur OK. 16. Cliquez sur Suivant. 17. Dans la page Groupe de sécurité utilisateur, cliquez sur Suivant. 18. Dans la page Groupe de sécurité ordinateur, cliquez sur Suivant. 19. Dans Filtres WMI pour Utilisateurs, cliquez sur Suivant. 20. Dans la page Filtres WMI pour Ordinateurs, cliquez sur Suivant. 21. Vérifiez vos paramètres dans la page Aperçu des sélections, puis cliquez sur Suivant. 22. Cliquez sur Terminer. 23. Dans l'onglet Résumé, localisez et développez éventuellement Configuration utilisateur, Objets de stratégie de groupe et Objets GPO appliqués. 24. Le GPO Conference Room Policies s'appliquera-t-il à Mike Danseglio en tant que stratégie utilisateur lorsqu'il ouvrira une session sur DESKTOP101 si ce dernier est dans l'unité d'organisation Conference Rooms ? Si ce n'est pas le cas, vérifiez l'étendue du GPO Conference Room Policies. Ce dernier doit être relié à l'unité d'organisation Conference Rooms avec un filtrage de groupe de sécurité appliquant le GPO à l'identité spéciale Utilisateurs authentifiés. Pour réexécuter la requête, vous pouvez cliquer du bouton droit sur la requête de modélisation. Si le GPO ne s'applique toujours pas, tentez de supprimer, puis de recréer le rapport Group Policy Modeling en faisant bien attention de suivre chaque étape avec précision.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
25. Ouvrez l'onglet Paramètres. 26. Localisez et, au besoin, développez Configuration utilisateur, Stratégies, Modèles d'administration et Panneau de configuration/Affichage. 27. Vérifiez que le délai d'activation de l'écran de veille est défini sur 2 700 secondes (45 minutes), paramètre configuré par le GPO Conference Room Policies qui remplace le paramètre standard de 10 minutes configuré par le GPO CONTOSO Standards. Résultats : À la fin de cet exercice, vous aurez utilisé l'Assistant Modélisation de stratégie de groupe pour confirmer que le GPO Conference Room Policies applique en fait ses paramètres aux utilisateurs qui ouvrent une session sur les ordinateurs de la salle de conférence.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-142
6-143
Exercice 3 : Affichage des événements de stratégie Lorsqu'un client actualise une stratégie, les composants de la stratégie de groupe enregistrent des entrées dans les journaux d'événements Windows. Dans cet exercice, vous allez localiser et examiner les événements liés aux stratégies de groupe. La tâche principale de cet exercice est la suivante : •
Afficher les événements de stratégie.
Tâche 1 : Affichage des événements de stratégie 1.
Dans DESKTOP101, où vous avez ouvert une session en tant que Pat.Coleman_Admin, exécutez l'Observateur d'événements en tant qu'administrateur.
2.
Localisez et vérifiez les événements de Stratégie de groupe dans le journal Système.
3.
Localisez et vérifiez les événements de Stratégie de groupe dans le journal Application.
4.
Dans le Journal opérationnel de la stratégie de groupe, localisez le premier événement lié à l'actualisation de la Stratégie de groupe que vous avez déclenchée à l'Exercice 1, avec la commande GPUpdate. Vérifiez cet événement et les suivants. Résultats : À la fin de cet exercice, vous aurez identifié les événements de stratégie de groupe dans les journaux d'événements.
Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
Questions de contrôle des acquis Question : Dans quelles circonstances avez-vous déjà utilisé des rapports RSoP pour résoudre des problèmes d'application de stratégie de groupe dans votre organisation ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Implémentation d'une infrastructure de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Question : Dans quels cas avez-vous utilisé, ou pouvez-vous envisager d'utiliser, la modélisation de stratégie de groupe ? Question : Avez-vous déjà diagnostiqué un problème d'application de stratégie de groupe sur la base des événements de l'un des journaux d'événements ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-144
7-1
Module 7 Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe Table des matières : Leçon 1 : Délégation du support technique des ordinateurs
7-4
Atelier pratique A : Délégation du support technique des ordinateurs
7-16
Leçon 2 : Gestion des paramètres de sécurité
7-20
Atelier pratique B : Gestion des paramètres de sécurité
7-49
Leçon 3 : Gestion de logiciels avec GPSI
7-62
Atelier pratique C : Gestion de logiciels avec GPSI
7-81
Leçon 4 : Audit
7-87
Atelier pratique D : Audit de l'accès aux systèmes de fichiers
7-100
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vue d'ensemble du module
La stratégie de groupe permet de gérer la configuration d'une grande variété de composants et de fonctions de Windows®. Le module précédent explique comment configurer une infrastructure de stratégie de groupe. Dans ce module, nous allons voir comment appliquer cette infrastructure pour gérer différents types de configuration liés à la sécurité et à l'installation de logiciels. Il indique également quels outils utiliser, par exemple l'Assistant Configuration de la sécurité, qui aide à déterminer les paramètres à configurer en fonction des rôles d'un serveur. Il explique également comment configurer l'audit des fichiers et des dossiers.
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
déléguer le support technique des ordinateurs ;
•
modifier ou activer les membres des groupes à l'aide des stratégies de groupes restreints ;
•
modifier les membres de groupes à l'aide des préférences de stratégie de groupe ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-2
7-3
•
configurer les paramètres de sécurité à l'aide de la stratégie de sécurité locale ;
•
créer et appliquer des modèles de sécurité pour gérer une configuration de sécurité ;
•
analyser une configuration de sécurité basée sur des modèles de sécurité ;
•
créer, modifier et appliquer des stratégies de sécurité à l'aide de l'Assistant Configuration de la sécurité ;
•
déployer la configuration de la sécurité à l'aide d'une stratégie de groupe ;
•
déployer des logiciels à l'aide de GPSI ;
•
supprimer les logiciels installés initialement avec GPSI.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 1
Délégation du support technique des ordinateurs
Dans de nombreuses entreprises, le support technique (ou services d'assistance aux utilisateurs) est assuré par une ou plusieurs personnes. Le personnel du support technique effectue différentes tâches sur les ordinateurs client, notamment du dépannage et de la configuration, qui en général nécessitent des droits d'accès administrateur. Par conséquent, le personnel du support technique doit appartenir au groupe local Administrateurs des ordinateurs client, mais il n'a pas besoin des droits d'accès haut niveau accordés au groupe Admins du domaine. Il n'est donc pas recommandé de l'inclure à ce groupe. Il est préférable de configurer les systèmes client de façon à ajouter au groupe local d'administrateurs un groupe spécifique au personnel du support technique. Cela est possible avec les stratégies de Groupes restreints. Cette leçon explique comment ajouter le personnel du support technique au groupe local des administrateurs des ordinateurs client, et ainsi de déléguer le support technique de ces ordinateurs à ce personnel. Cette méthode permet également de déléguer l'administration d'un groupe d'ordinateurs à l'équipe responsable de ces systèmes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-4
7-5
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
déléguer l'administration des ordinateurs ;
•
modifier ou activer les membres des groupes à l'aide des stratégies de groupes restreints ;
•
modifier les membres de groupes à l'aide des préférences de stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Fonctionnement des stratégies de groupes restreints
Points clés Lorsque vous modifiez un objet de stratégie de groupe (ou objet GPO) et développez le nœud Configuration ordinateur, le nœud Stratégies, le nœud Paramètres Windows et le nœud Paramètres de sécurité, vous accédez au nœud Groupes restreints, qui est représenté sur la capture d'écran ci-dessous.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-6
7-7
La stratégie de Groupes restreints permet de gérer les membres des groupes. Les paramètres disponibles sont de deux types : Ce groupe est membre de (paramètre Membre de) et Membres de ce groupe (paramètre Membres).
Il est essentiel de connaître la différence entre ces deux paramètres. Un paramètre de type « Membre de » indique que le groupe défini par la stratégie est membre d'un autre groupe. La partie gauche de la capture d'écran ci-dessus représente un exemple courant : le groupe CONTOSO\Help Desk est membre du groupe Administrateurs. Lorsque ce paramètre de stratégie est appliqué à un ordinateur, le groupe Help Desk du domaine devient membre du groupe local Administrateurs. Si plusieurs objets GPO sont associés à des stratégies de groupes restreints, chaque stratégie « Membre de » est appliquée. Par exemple, si un objet GPO lié à l'unité d'organisation Client Computers indique que CONTOSO\Help Desk est membre du groupe Administrateurs, et un autre objet GPO lié à l'unité d'organisation SEA (une sous-unité de l'unité d'organisation Client Computers) indique que CONTOSO\SEA Support est membre du groupe Administrateurs, alors un ordinateur appartenant à l'unité d'organisation SEA va ajouter les groupes Help Desk et SEA Support à son groupe Administrateurs, en plus des membres déjà inclus à ce groupe, tels que Admins du domaine. Cet exemple est représenté sur la capture d'écran ci-dessous.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Comme vous pouvez le voir, les stratégies de groupes restreints qui utilisent le paramètre « Membre de » sont cumulatives. Le second type de paramètre de stratégie de groupes restreints est « Membre », qui définit tous les membres du groupe défini par la stratégie. La boîte de dialogue située à droite ci-dessus en est un exemple : La liste des membres du groupe Administrateurs est définie par CONTOSO\Help Desk. Lorsqu'un ordinateur applique ce paramètre de stratégie, le groupe local Administrateurs contient uniquement les membres CONTOSO\Help Desk. Tout membre non défini dans la stratégie est retiré, y compris Admins du domaine. Le paramètre Membres est la stratégie prioritaire : il définit la liste définitive des membres. Si plusieurs objets GPO sont associés à une stratégie de groupes restreints, l'objet GPO qui l'emporte est celui qui a la priorité la plus haute. Par exemple, si un objet GPO lié à l'unité d'organisation Client Computers indique que le groupe Administrateurs est constitué de CONTOSO\Help Desk, et un autre objet GPO lié à l'unité SEA indique que le groupe Administrateurs est constitué de CONTOSO\SEA Support, les ordinateurs de l'unité SEA vont contenir uniquement le groupe SEA Support dans le groupe Administrateurs. Cet exemple est représenté sur la capture d'écran ci-dessous.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-8
7-9
Si vous utilisez les stratégies de groupes restreints « Membres » et « Membre de », le paramètre de stratégie Membres précédent définit les membres de base du groupe, puis les stratégies cumulatives "Membres de" complètent cette base. Dans votre entreprise, veillez à définir et à tester minutieusement les stratégies de groupes restreints afin d'obtenir les résultats souhaités.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Démonstration : Délégation de l'administration à l'aide de stratégies de groupes restreints
Points clés Vous pouvez utiliser les stratégies de groupes restreints avec le paramètre « Membre de » pour déléguer les privilèges d'administration des ordinateurs en procédant de la manière suivante :
Étapes de la démonstration 1.
Démarrez 6238B-HQDC01-A et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
2.
Sur HQDC01, cliquez sur Démarrer > Outils d'administration et exécutez Gestion des stratégies de groupe avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
3.
Dans l'arborescence de la console, développez Forest:contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-10
7-11
4.
Cliquez avec le bouton droit sur le conteneur Objets de stratégie de groupe, puis cliquez sur Nouveau.
5.
Dans la zone Nom, entrez Corporate Help Desk, puis cliquez sur OK.
6.
Dans le volet d'informations, cliquez avec le bouton droit sur Corporate Help Desk, puis cliquez sur Modifier. L'Éditeur de gestion des stratégies de groupe s'ouvre.
7.
Dans Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Groupes restreints.
8.
Cliquez avec le bouton droit sur Groupes restreints et sélectionnez Ajouter un groupe.
9.
Cliquez sur le bouton Parcourir, puis dans la boîte de dialogue Sélectionner des groupes, entrez le nom du groupe que vous souhaitez ajouter au groupe Administrateurs (par exemple CONTOSO\Help Desk) et cliquez sur OK.
10. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un groupe. La boîte de dialogue Propriétés s'affiche. 11. Cliquez sur le bouton Ajouter situé à côté de la section Ce groupe est membre de. 12. Entrez Administrators et cliquez sur OK. Un exemple de boîte de dialogue Propriétés de paramètre de stratégie de groupe est représenté ci-dessus à gauche. 13. Cliquez à nouveau sur OK pour fermer la boîte de dialogue Propriétés. Si l'appartenance au groupe local d'administrateurs est déléguée de cette façon, le groupe indiqué à l'étape 9 est ajouté à ce groupe. Mais cela ne supprime aucun membre du groupe Administrators. Le paramètre de stratégie de groupe indique simplement au client de vérifier que ce groupe est membre du groupe local d'administrateurs. Cela permet d'inclure d'autres utilisateurs ou groupes au groupe local d'administrateurs d'un système particulier. Ce paramètre de stratégie de groupe est également cumulatif. Si plusieurs objets GPO configurent différentes entités de sécurité de façon à les inclure au groupe local d'administrateurs, elles sont toutes ajoutées à ce groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Pour garder le contrôle total sur le groupe local d'administrateurs, procédez comme suit :
Étapes de la démonstration 1.
Dans Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Groupes restreints.
2.
Cliquez avec le bouton droit sur Groupes restreints et sélectionnez Ajouter un groupe.
3.
Entrez Administrators et cliquez sur OK. La boîte de dialogue Propriétés s'affiche.
4.
Cliquez sur le bouton Ajouter situé à côté de la section Membres de ce groupe.
5.
Cliquez sur le bouton Parcourir, puis entrez le nom de l'unique groupe que vous souhaitez inclure au groupe Administrators (par exemple CONTOSO\Help Desk) et cliquez sur OK.
6.
Cliquez à nouveau sur OK pour fermer la boîte de dialogue Ajouter un membre. Un exemple de boîte de dialogue Propriétés de paramètre de stratégie de groupe est représenté ci-dessus à gauche.
7.
Cliquez à nouveau sur OK pour fermer la boîte de dialogue Propriétés.
Lorsque vous utilisez le paramètre Membres d'une stratégie de groupes restreints, la liste des Membres définit les membres définitifs du groupe indiqué. Les étapes indiquées permettent d'obtenir un objet GPO qui contrôle totalement le groupe Administrators. Lorsqu'un ordinateur applique cet objet GPO, il ajoute les membres définis par l'objet GPO et retire les membres non définis par l'objet GPO, y compris Admins du domaine. Seul le compte local Administrateur n'est pas retiré du groupe Administrators, car ce membre est permanent et ne peut pas être supprimé.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-12
Définition des membres de groupes à l'aide des préférences de stratégie de groupe
Points clés Les préférences de stratégie de groupe permettent également de définir les membres de groupes.
7-13
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Les préférences Groupe local sont accessibles dans Configuration ordinateur et Configuration utilisateur. Les paramètres de préférences Groupe local sont représentés ci-dessous.
Les trois options relatives à l'utilisateur en cours sont disponibles uniquement dans les préférences Groupe local de la Configuration utilisateur. Vous pouvez créer, supprimer, remplacer ou modifier (mettre à jour) un groupe local. Comme le montre la capture d'écran précédente, vous pouvez renommer le groupe, modifier sa description, ou changer les membres du groupe. Les préférences Groupe local ne permettent pas de supprimer des membres d'un groupe si ces membres ont été ajoutés à un groupe avec un paramètre de stratégie de groupes restreints. De plus, si un paramètre de stratégie de groupes restreints utilise la méthode Membres pour définir les membres qui font autorité, il n'est pas possible d'ajouter ou de supprimer des membres dans les préférences.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-14
7-15
Les interactions entre les paramètres de stratégie de groupes restreints « Membres », les paramètres de stratégie de groupes restreints « Membre de », les préférences Groupe local délimitées par les paramètres de l'ordinateur, et les préférences Groupe local délimitées par les paramètres de l'utilisateur peuvent paraître assez complexes. Veillez à tester minutieusement les résultats si vous souhaitez implémenter plusieurs méthodes de gestion des membres de groupes avec la Stratégie de groupe.
Questions de discussion 1.
Dans quels scénarios, ou pour quelles raisons, pourriez-vous supprimer tous les membres, utilisateurs ou groupes ?
2.
Pour quelle raison pourriez-vous ajouter l'utilisateur connecté ?
3.
Dans quel scénario pourriez-vous modifier les membres du groupe local Administrateurs d'un ordinateur à l'aide des préférences Groupe local, dans le nœud de Configuration utilisateur d'un objet GPO qui définit les préférences pour des utilisateurs particuliers et non pour des ordinateurs particuliers ?
Lectures complémentaires •
Aide de la console de gestion des stratégies de groupe, « Extension Utilisateurs et groupes locaux »
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique A : Délégation du support technique des ordinateurs
Scénario L'équipe chargée de la sécurité de l'entreprise vous demande de verrouiller la configuration des membres du groupe Administrateurs sur les ordinateurs client. Cependant, il est nécessaire que le service de support technique puisse fournir l'assistance aux utilisateurs de l'ensemble de l'entreprise de façon centralisée. De plus, l'équipe de support technique locale d'un site doit effectuer les tâches administratives sur les ordinateurs client du site.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-16
7-17
Exercice 1 : Configuration des membres du groupe Administrateurs à l'aide des stratégies de groupes restreints Dans cet exercice, vous allez utiliser la stratégie de groupes pour déléguer les membres du groupe Administrateurs. Vous allez d'abord créer un objet GPO avec un paramètre de stratégie de groupes restreints de façon à ce que le groupe Help Desk soit membre du groupe Administrateurs sur tous les systèmes client. Vous allez ensuite créer un objet GPO qui ajoute le groupe SEA Support au groupe Administrateurs sur les ordinateurs client de l'unité d'organisation SEA. Pour finir, vous allez vérifier que dans l'unité d'organisation SEA, les groupes Help Desk et SEA Support sont Administrateurs. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Déléguer l'administration de tous les clients du domaine.
3.
Créer un groupe Seattle Support.
4.
Déléguer l'administration d'une partie des clients du domaine.
5.
Vérifier l'application cumulative des stratégies « Membre de ».
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
3.
Démarrez 6238B-DESKTOP101-A mais n'ouvrez pas de session sur le système.
Tâche 2 : Délégation de l'administration de tous les clients du domaine 1.
Exécutez Gestion des stratégies de groupe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Créez un objet GPO appelé Corporate Help Desk, dont l'étendue est l'ensemble des ordinateurs de l'unité d'organisation Client Computers.
3.
Configurez un paramètre de stratégie de Groupes restreints de façon à ce que le groupe Help Desk soit membre du groupe Administrateurs sur tous les systèmes client.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Création d'un groupe Seattle Support. 1.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l'unité d'organisation Groups\Role, créez un groupe de sécurité global nommé SEA Support.
3.
Fermez Utilisateurs et ordinateurs Active Directory.
Tâche 4 : Délégation de l'administration d'une partie des clients du domaine 1.
Dans Gestion des stratégies de groupe, créez un objet GPO appelé Seattle Support, dont l'étendue est l'ensemble des ordinateurs de l'unité d'organisation Client Computers\SEA.
2.
Configurez un paramètre de stratégie de Groupes restreints de façon à ce que le groupe SEA Support soit membre du groupe Administrateurs sur tous les systèmes client de l'unité d'organisation SEA.
Tâche 5 : Vérification de l'application cumulative des stratégies « Membre de ». •
À l'aide de la Modélisation de stratégie de groupe, vérifiez qu'un ordinateur de l'unité d'organisation SEA inclut les groupes Help Desk et SEA Support dans le groupe Administrateurs. Résultats : au cours de cet exercice, vous créez l'objet GPO appelé Corporate Help Desk, qui permet d'inclure le groupe Help Desk au groupe local Administrateurs sur tous les ordinateurs de l'unité d'organisation Client Computers. Vous créez également l'objet GPO appelé Seattle Support qui ajoute le groupe Seattle Support au groupe local Administrateurs sur les ordinateurs client de l'unité d'organisation SEA.
Important : n'arrêtez pas les ordinateurs virtuels à la fin de cet atelier car les paramètres que vous avez configurés seront utilisés dans les ateliers suivants.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-18
7-19
Question de contrôle des acquis Question : Si vous souhaitez inclure au Help Desk du groupe Support spécifique au site uniquement les membres du groupe local Administrateurs d'un ordinateur client et supprimer tous les autres membres du groupe local Administrateurs, comment procéder en utilisant uniquement les stratégies de groupes restreints ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 2
Gestion des paramètres de sécurité
La sécurité est une préoccupation cruciale pour tous les administrateurs Windows. Windows Server® 2008 comporte de nombreux paramètres qui ont des incidences sur les services exécutés, les ports ouverts, les paquets réseau autorisés à entrer ou sortir du système, les droits d'accès et les autorisations des utilisateurs, et les activités auditées. Le nombre de paramètres à gérer peut être très important, et malheureusement, il n'y a pas de solution miracle qui permette d'appliquer une sécurité parfaite à un serveur. Pour configurer correctement la sécurité d'un serveur, il faut tenir compte des rôles de ce serveur, des différents systèmes d'exploitation de l'environnement et des stratégies de sécurité de l'entreprise, ainsi que des réglementations externes que l'entreprise doit respecter. Par conséquent, vous devez déterminer et configurer les paramètres de sécurité nécessaires aux serveurs de votre entreprise, et vous devez préparer la gestion de ces paramètres de façon à centraliser et optimiser la configuration de la sécurité. Windows Server 2008 comporte différents mécanismes qui permettent de configurer les paramètres de sécurité sur un ou plusieurs systèmes. Cette leçon décrit ces mécanismes et les interactions correspondantes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-20
7-21
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
configurer les paramètres de sécurité sur un ordinateur à l'aide de la stratégie de sécurité locale ;
•
créer et appliquer des modèles de sécurité pour gérer une configuration de sécurité ;
•
analyser une configuration de sécurité basée sur des modèles de sécurité ;
•
créer, modifier et appliquer des stratégies de sécurité en utilisant l'Assistant Configuration de la sécurité ;
•
déployer la configuration de la sécurité à l'aide d'une stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Qu'est-ce que la gestion des stratégies de sécurité ?
Points clés La gestion des stratégies de sécurité implique la conception, le déploiement, la gestion, l'analyse et la vérification des paramètres de sécurité d'une ou plusieurs configurations de système Windows. En général, une entreprise inclut différentes configurations : ordinateurs de bureau et portables, serveurs et contrôleurs de domaine. Dans la plupart des entreprises, d'autres configurations sont également définies, par exemple plusieurs types ou rôles de serveur. Le premier point essentiel est : la stratégie de la sécurité. Avant d'analyser la technologie nécessaire, vous devez connaître les besoins de votre entreprise en termes de sécurité. Si aucune stratégie de sécurité n'a été définie par écrit, commencez par en créer une. Quand vous savez où vous allez, vous pouvez vous lancer. Pour définir la stratégie de sécurité et les exigences correspondantes, vous devrez sans doute personnaliser la configuration par défaut de la sécurité des systèmes d'exploitation client et serveur Windows.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-22
7-23
Pour gérer la configuration de la sécurité, vous devez : •
créer une stratégie de sécurité pour une nouvelle application ou un nouveau rôle de serveur non inclus au Gestionnaire de serveur ;
•
utiliser les outils de gestion de stratégie de sécurité pour appliquer les paramètres de stratégie de sécurité qui sont spécifiques à votre environnement ;
•
analyser les paramètres de sécurité du serveur afin que la stratégie de sécurité appliquée à un serveur soit adaptée au rôle du serveur ;
•
mettre à jour la stratégie de sécurité du serveur lors de la modification de la configuration du serveur.
Cette leçon décrit les outils, les concepts et les procédures permettant d'effectuer ces tâches. Principaux outils utilisés dans cette leçon : •
Stratégie de groupe locale
•
Assistant Configuration de la sécurité
•
Modèles de sécurité (composant logiciel enfichable)
•
Configuration et analyse de la sécurité (composant logiciel enfichable)
•
Stratégie de groupe de domaine
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Configuration de la stratégie de sécurité locale
Points clés Chaque serveur exécutant Windows Server 2008 comporte un ensemble de paramètres de sécurité qui peuvent être gérés à l'aide de l'objet GPO local. Vous pouvez configurer l'objet GPO local à l'aide de l'Éditeur d'objets de stratégie de groupe (qui est un composant logiciel enfichable) ou de la console de Stratégie de sécurité locale. Les catégories de paramètres de stratégie disponibles sont représentées sur la page suivante.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-24
7-25
Cette leçon décrit les mécanismes qui permettent de configurer et de gérer les paramètres de sécurité mais ne fournit pas d'informations détaillées sur les paramètres eux-mêmes. D'autres sections du cours expliquent les différents paramètres, notamment les stratégies de compte, la stratégie d'audit et l'attribution de droits utilisateur. Les contrôleurs de domaine n'étant pas associés à un compte utilisateur local (mais uniquement à un compte de domaine), les stratégies du conteneur Stratégies de compte de l'objet GPO local des contrôleurs de domaine ne peuvent pas être configurées. Les stratégies de compte du domaine doivent être configurées dans le cadre d'un objet GPO lié au domaine, par exemple l'objet GPO Stratégie de domaine par défaut. Les stratégies de compte sont décrites dans le Module 8.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Les paramètres définis dans les stratégies de paramètres de sécurité locales sont un sous-ensemble des stratégies qui peuvent être configurées à l'aide de la stratégie de groupe liée au domaine, comme illustré ci-dessous :
Comme vous l'avez vu dans le Module 6, il est recommandé de gérer la configuration avec une stratégie de groupe liée au domaine plutôt que d'utiliser une stratégie de groupe locale pour chaque ordinateur. Ceci est particulièrement important pour les contrôleurs de domaine. L'objet GPO Default Domain Controllers Policy par défaut est créé lorsque le premier contrôleur de domaine est associé à un nouveau domaine. Lié à l'unité d'organisation Domain Controllers, il doit être utilisé pour gérer les paramètres de sécurité de base de tous les contrôleurs du domaine afin que la configuration de ceux-ci soit cohérente.
Lectures complémentaires •
Paramètres de stratégie de groupe de sécurité : http://go.microsoft.com/fwlink/?LinkId=168675
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-26
7-27
Gestion de la configuration de la sécurité à l'aide des modèles de sécurité
Points clés Le second mécanisme de gestion de la configuration de la sécurité est le modèle de sécurité. Un modèle de sécurité est un ensemble de paramètres de configuration regroupés dans un fichier texte d'extension .inf. Comme le montre la capture d'écran de la page suivante, un modèle de sécurité contient des paramètres qui constituent un sous-ensemble des paramètres disponibles dans un objet GPO lié au domaine, mais un sous-ensemble un peu différent de ceux gérés par l'objet GPO local.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Les outils utilisés pour gérer les modèles de sécurité affichent les paramètres sur une interface qui permet d'enregistrer les configurations de la sécurité sous forme de fichiers et de les déployer au moment et à l'endroit souhaités. Vous pouvez également utiliser un modèle de sécurité pour analyser la conformité de la configuration d'un ordinateur par rapport à la configuration de référence. Le stockage de la configuration de la sécurité dans des modèles de sécurité présente plusieurs avantages. Les modèles étant des fichiers au format texte, vous pouvez travailler sur ces fichiers manuellement, par exemple pour couper et coller des sections. Ensuite, les modèles facilitent le stockage de différents types de configuration de la sécurité, ce qui facilite l'application de différents niveaux de sécurité aux ordinateurs ayant différents rôles. Les modèles de sécurité permettent de configurer les types suivants de stratégies et de paramètres : •
Stratégies de compte : définir les restrictions de mots de passe, les stratégies de verrouillage de compte et les stratégies Kerberos.
•
Stratégies locales : configurer les stratégies d'audit, ainsi que les stratégies d'attribution de droits utilisateur et des options de sécurité.
•
Stratégies de journal des événements : configurer la taille maximale du journal d'événements et les stratégies de substitution.
•
Groupes restreints : définir les utilisateurs autorisés à appartenir à des groupes particuliers.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-28
7-29
•
Services système : définir les types de démarrage et les autorisations des services système.
•
Autorisations d'accès au Registre : définir les autorisations de contrôle d'accès à des clés de registre particulières.
•
Autorisations du système de fichiers : définir les autorisations de contrôle d'accès aux dossiers et aux fichiers NTFS.
Vous pouvez déployer les modèles de sécurité de différentes manières, à l'aide d'objets de stratégie de groupe Active Directory, du composant Configuration et analyse de la sécurité, ou Secedit.exe. Si vous associez un modèle de sécurité à un objet de stratégie de groupe Active Directory, les paramètres du modèle est inclus à l'objet GPO. Vous pouvez également appliquer un modèle de sécurité directement à un ordinateur. Dans ce cas, les paramètres du modèle sont inclus aux stratégies locales de l'ordinateur. Ces options sont décrites en détail dans cette leçon.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Démonstration : Création des modèles de sécurité de déploiement
Points clés Utilisation du composant Modèles de sécurité (composant logiciel enfichable) Le composant Modèles de sécurité facilite l'utilisation des modèles de sécurité. Aucune console n'est associée à ce composant dans Windows Server 2008, vous devez donc en créer une à l'aide de la commande Ajouter/Supprimer un composant logiciel enfichable de la console MMC. Le composant logiciel enfichable crée un dossier appelé Security et un sous-dossier appelé Templates dans votre dossier Documents. Le dossier Documents\Security\Templates devient le chemin de recherche des modèles et c'est dans ce dossier que vous stockez les modèles de sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-30
7-31
Pour créer un modèle de sécurité : •
Cliquez avec le bouton droit sur le nœud qui représente le chemin de recherche de vos modèles (C:\Users\Documents\Administrator\Security \Templates, par exemple) et sélectionnez Nouveau Modèle. Vous pouvez également créer un modèle qui reflète la configuration en cours d'un serveur (vous trouverez les explications ultérieurement dans cette leçon).
La configuration des paramètres du modèle est similaire à la configuration des paramètres d'un objet GPO. Le composant Modèles de sécurité permet de configurer les paramètres d'un modèle de sécurité. Cet outil est un simple éditeur, il n'intervient pas dans l'application des paramètres à un système. Configurez les paramètres de sécurité d'un modèle à l'aide du composant Modèles de sécurité. Même si le modèle est un fichier texte, la syntaxe peut sembler obscure. L'utilisation du composant logiciel enfichable permet d'effectuer des modifications sans risques d'erreur de syntaxe. Toutefois, il y a une exception : dans le cas de l'ajout de paramètres du Registre qui ne figurent pas dans la partie Stratégies locales\Option de sécurité du modèle. Lorsque de nouveaux paramètres de sécurité sont identifiés, s'ils peuvent être configurés avec une clé du Registre, vous pouvez les ajouter à un modèle de sécurité. Pour ce faire, ajoutez-les à la section Valeurs du Registre du modèle. Remarque : enregistrez les paramètres. Veillez à enregistrer les modifications que vous apportez à un modèle de sécurité en cliquant avec le bouton droit sur le modèle et en sélectionnant Enregistrer.
Lorsque vous installez un serveur ou l'associez à un contrôleur de domaine, Windows applique un modèle de sécurité par défaut. Ce modèle se trouve dans le dossier %SystemRoot%\Security\Templates. Dans un contrôleur de domaine, le modèle est appelé DC security.inf. Il est déconseillé de modifier ce modèle directement : il est préférable de le copier dans le chemin de recherche de modèles et de modifier la copie. Remarque : modèles de sécurité de Windows Server 2008 et des versions précédentes de Windows. Dans les versions précédentes de Windows, il était possible de modifier certains modèles de sécurité et de les appliquer à un ordinateur. Ces modèles ne sont plus utiles avec la nouvelle configuration de Windows Server 2008 fondée sur des rôles et les nouvelles fonctionnalités du Gestionnaire de configuration de la sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Déploiement des modèles de sécurité à l'aide des objets de stratégie de groupe La création et la modification des modèles de sécurité n'améliorent la sécurité que si vous appliquez ces modèles. Pour configurer plusieurs ordinateurs en une seule opération, vous pouvez importer un modèle de sécurité dans l'objet de stratégie de groupe (objet GPO) d'un domaine, un site ou une unité d'organisation dans Active Directory. Pour importer un modèle de sécurité dans un objet GPO : •
Cliquez avec le bouton droit sur le nœud Paramètres de sécurité et sélectionnez Importer une stratégie.
Dans la boîte de dialogue « Importer la stratégie à partir de », si vous cochez l'option « Effacer cette base de données avant d'importer », tous les paramètres de sécurité de l'objet GPO sont effacés avant l'importation des paramètres du modèle. Ainsi, les paramètres de sécurité de l'objet GPO vont correspondre aux paramètres du modèle. Si vous ne sélectionnez pas l'option « Effacer cette base de données avant d'importer », les paramètres de la stratégie de sécurité de l'objet GPO sont conservés et les paramètres du modèle sont importés. Tout paramètre défini dans l'objet GPO qui est également défini dans le modèle est remplacé par le paramètre du modèle.
Étapes de la démonstration 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
3.
Cliquez sur Démarrer, dans la zone de recherche entrez mmc.exe et appuyez sur Entrée lorsqu'un message vous invite à entrer les informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
4.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
5.
Dans la liste Composants logiciels enfichables disponibles, sélectionnez Modèles de sécurité, puis cliquez sur Ajouter.
6.
Cliquez sur OK.
7.
Cliquez sur Fichier, puis sur Enregistrer. La boîte de dialogue Enregistrer sous s'affiche.
8.
Entrez D:\Security Management, puis appuyez sur Entrée.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-32
9.
7-33
Dans l'arborescence, développez Modèles de sécurité.
10. Cliquez avec le bouton droit sur C:\Users\Pat.Coleman_Admin \Documents\Security\Templates, puis cliquez sur Nouveau modèle. 11. Entrez DC Remote Desktop, puis cliquez sur OK. 12. Cliquez sur Démarrer > Outils d'administration et exécutez Gestion des stratégies de groupe en indiquant des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. 13. Dans l'arborescence de la console, développez Forest:contoso.com, Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratégie de groupe. 14. Dans le volet d'informations, cliquez avec le bouton droit sur Corporate Help Desk, puis cliquez sur Modifier. L'Éditeur de gestion des stratégies de groupe s'ouvre. 15. Dans l'arborescence de la console, développez Configuration ordinateur, Stratégies, Paramètres Windows, puis cliquez sur Paramètres de sécurité. 16. Cliquez avec le bouton droit sur Paramètres de sécurité, puis cliquez sur Importer une stratégie. 17. Sélectionnez DC Remote Desktop, puis cliquez sur Ouvrir.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Utilisation de l'outil de Configuration et analyse de la sécurité
Points clés Configuration et analyse de la sécurité Le composant logiciel enfichable Configuration et analyse de la sécurité permet d'appliquer un modèle de sécurité à un ordinateur de façon interactive. Ce composant permet également d'analyser la configuration de la sécurité du système et de la comparer à une configuration de base enregistrée sous forme de modèle de sécurité. Cela vous permet de déterminer rapidement si quelqu'un a modifié les paramètres de sécurité d'un ordinateur et si le système est conforme aux stratégies de sécurité de votre entreprise. Comme le composant Modèles de sécurité, le composant Configuration et analyse de la configuration n'est associé à aucune console dans Windows Server 2008. Vous devez donc ajouter ce composant à une console. Création d'une base de données Pour utiliser le composant Configuration et analyse de la sécurité, vous devez d'abord créer une base de données qui va contenir un ensemble de paramètres de sécurité. La base de données est l'interface entre les paramètres de sécurité actifs sur l'ordinateur et les paramètres stockés dans les modèles de sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-34
7-35
Pour créer une base de données (ou en ouvrir une) : •
Cliquez avec le bouton droit sur le nœud Configuration et analyse de la sécurité dans l'arborescence de la console.
Vous pouvez ensuite importer un ou plusieurs modèles de sécurité. Si vous importez plusieurs modèles, vous devez déterminer s'il faut vider la base de données. Si vous effacez le contenu de la base de données, celle-ci contiendra alors uniquement les paramètres du nouveau modèle. Si vous n'effacez pas le contenu de la base de données, les paramètres définis dans les modèles ajoutés vont remplacer les paramètres des modèles précédemment importés. Si les paramètres ne sont pas définis dans les nouveaux modèles importés, les paramètres des modèles précédemment importés sont conservés dans la base de données. Pour résumer, le composant Configuration et analyse de la sécurité crée une base de données de paramètres de sécurité qui stocke les paramètres des modèles de sécurité importés. Les paramètres de la base de données peuvent être appliqués à l'ordinateur ou utilisés pour analyser la conformité de l'ordinateur et les divergences avec la configuration souhaitée. Notez bien que les paramètres d'une base de données ne modifient pas les paramètres de l'ordinateur ou les paramètres d'un modèle tant que la base de données n'est pas utilisée pour configurer l'ordinateur ou exportée dans un modèle. Application des paramètres de la base de données à un ordinateur Après avoir importé un ou plusieurs modèles pour créer la base de données, vous pouvez appliquer les paramètres de la base de données à un ordinateur. Pour appliquer une base de données : •
Cliquez avec le bouton droit sur Configuration et analyse de la sécurité et sélectionnez Configurer l'ordinateur maintenant.
Un message vous invite à indiquer le chemin du journal d'erreurs généré lors de l'application des paramètres. Après avoir appliqué des paramètres, examinez le journal d'erreurs pour identifier les éventuels problèmes. Analyse de la configuration de la sécurité d'un ordinateur Avant d'appliquer les paramètres de la base de données à un ordinateur, vous pouvez analyser la configuration de l'ordinateur pour identifier les divergences. Pour analyser la configuration de la sécurité d'un ordinateur : •
Cliquez avec le bouton droit sur Configuration et analyse de la sécurité et sélectionnez Analyser l'ordinateur maintenant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Le système vous invite à indiquer l'emplacement du fichier d'erreur, puis il compare les paramètres de l'ordinateur aux paramètres de la base de données. Une fois l'analyse terminée, la console génère un rapport du type suivant :
Contrairement à l'affichage des paramètres de stratégie dans les autres outils (Éditeur de gestion de stratégie de groupe, Éditeur d'objets de stratégie de groupe, composants Stratégie de sécurité locale et Modèles de sécurité), le rapport indique pour chaque stratégie le paramètre défini dans la base de données (issu des modèles que vous avez importés) et le paramètre actuel de l'ordinateur. Les deux paramètres sont comparés et le résultat de la comparaison est signalé par un indicateur placé sur le nom de la stratégie. Par exemple, le paramètre de stratégie « Permettre l'ouverture d'une session locale » indique une divergence entre le paramètre de la base de données et le paramètre de l'ordinateur. Les significations des indicateurs sont les suivants : •
X dans un cercle rouge. Indique que la stratégie est définie dans la base de données et sur l'ordinateur, mais que les valeurs configurées ne correspondent pas.
•
Coche verte dans un cercle blanc. Indique que la stratégie est définie dans la base de données et sur l'ordinateur, et que les valeurs configurées correspondent.
•
Point d'interrogation dans un cercle blanc. Indique que la stratégie n'est pas définie dans la base de données et, par conséquent, n'a pas été analysée ou que l'utilisateur qui a exécuté l'analyse n'a pas les droits d'accès à la stratégie de l'ordinateur.
•
Point d'exclamation dans un cercle blanc. Indique que la stratégie est définie dans la base de données mais qu'elle n'est pas présente sur l'ordinateur.
•
Aucun indicateur. Indique que la stratégie n'est pas définie dans la base de données ou sur l'ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-36
7-37
Correction des divergences entre les paramètres de sécurité Lorsque vous examinez le contenu de la base de données et comparez ces paramètres avec ceux de l'ordinateur, vous pouvez trouver des divergences. Vous pouvez alors modifier la configuration de l'ordinateur ou la base de données, afin de faire coïncider les paramètres. Double-cliquez sur le paramètre de stratégie à modifier pour afficher la boîte de dialogue Propriétés qui permet de modifier la valeur dans la base de données. Après avoir effectué les modifications dans la base de données, vous pouvez appliquer les paramètres de la base de données à l'ordinateur en suivant les étapes décrites précédemment dans la section « Gérer la configuration de la sécurité à l'aide des modèles de sécurité ». Application ou exportation des modifications de la base de données Si vous modifiez la valeur d'un paramètre de stratégie dans le composant Configuration et l'analyse de la sécurité, seule la valeur de la base de données est modifiée, et pas celle du paramètre actif sur l'ordinateur. Pour que les modifications soient appliquées à l'ordinateur, appliquez les paramètres de la base de données à l'ordinateur en utilisant la commande Configurer l'ordinateur maintenant ou bien exportez la base de données dans un nouveau modèle et appliquez celui-ci à l'ordinateur, à l'aide d'un objet GPO ou de la commande Secedit.exe (décrite dans la section « Secedit.exe » ultérieurement dans cette leçon.) Vous pouvez également modifier les paramètres de sécurité de l'ordinateur directement en utilisant la console de Stratégie de sécurité locale, en modifiant l'objet de stratégie de groupe approprié ou en modifiant manuellement les autorisations d'accès au système de fichiers et au Registre. Après avoir effectué ces modifications, retournez dans Configuration et analyse de la sécurité et sélectionnez la commande Analyser l'ordinateur maintenant pour actualiser l'analyse des paramètres de l'ordinateur par rapport à la base de données. Création d'un modèle de sécurité Vous pouvez créer un modèle de sécurité à partir de la base de données. Pour créer un modèle de sécurité à partir de la base de données : •
Cliquez avec le bouton droit sur Configuration et analyse de la sécurité et sélectionnez Exporter un modèle.
Le modèle va contenir les paramètres de la base de données qui ont été importés d'un ou de plusieurs modèles de sécurité et que vous avez modifiés pour qu'ils correspondent aux paramètres actuels de l'ordinateur analysé. La fonction Exporter un modèle crée un modèle à partir des paramètres présents dans la base de données au moment où vous exécutez la commande, et non à partir des paramètres de l'ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Secedit.exe Secedit.exe est un utilitaire de ligne de commande qui effectue les mêmes fonctions que le composant Configuration et analyse de la sécurité. Mais il présente l'avantage de pouvoir être appelé à partir de scripts et de fichiers de commandes, ce qui vous permet d'automatiser les déploiements de modèles de sécurité. De plus, vous pouvez utiliser Secedit.exe pour appliquer une partie du modèle de sécurité à un ordinateur, ce qui n'est pas possible avec le composant Configuration et analyse de la sécurité ou les objets de stratégie de groupe (GPO). Par exemple, si vous souhaitez appliquer les autorisations du système de fichiers à partir d'un modèle mais laisser tous les autres paramètres, vous pouvez le faire avec Secedit.exe. Pour utiliser Secedit.exe, exécutez le programme à l'invite de commande avec l'un des six principaux paramètres indiqués ci-dessous, ainsi que d'autres paramètres correspondant aux différentes fonctions : •
Configure. Appliquer l'ensemble ou une partie d'une base de données de sécurité à l'ordinateur local. Vous pouvez également configurer le programme pour importer un modèle de sécurité dans la base de données indiquée avant d'appliquer les paramètres de la base de données à l'ordinateur.
•
Analyze. Comparer les paramètres de sécurité de l'ordinateur à ceux d'une base de données de sécurité. Vous pouvez configurer le programme pour importer un modèle de sécurité dans la base de données avant d'effectuer l'analyse. Le programme enregistre les résultats de l'analyse dans la base de données, ce qui vous permet de les visualiser ultérieurement avec le composant Configuration et analyse de la sécurité.
•
Import. Importer l'ensemble ou une partie d'un modèle de sécurité dans une base de données particulière.
•
Export. Exporter l'ensemble ou une partie des paramètres d'une base de données de sécurité dans un nouveau modèle de sécurité.
•
Validate. Vérifier que la syntaxe interne d'un modèle de sécurité est correcte.
•
Generaterollback. Créer un modèle de sécurité qui permet de restaurer la configuration initiale d'un système après l'application d'un modèle.
Par exemple, pour configurer l'ordinateur à l'aide d'un modèle appelé BaselineSecurity, utilisez la commande suivante : secedit /configure /db BaselineSecurity.sdb /cfg BaselineSecurity.inf /log BaselineSecurity.log
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-38
7-39
Pour créer un modèle de restauration pour le modèle BaselineSecurity, utilisez la commande suivante : secedit /generaterollback /cfg BaselineSecurity.inf /rbk BaselineSecurityRollback.inf /log BaselineSecurityRollback.log
Lectures complémentaires •
Pour obtenir des informations détaillées sur Secedit.exe et les commutateurs correspondants, voir http://go.microsoft.com/fwlink/?LinkId=168677
Question de discussion Question : Quelle procédure permet d'appliquer un modèle de sécurité à un ordinateur ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Assistant Configuration de la sécurité
Points clés L'assistant Configuration de la sécurité permet d'améliorer la sécurité d'un serveur par la fermeture des ports et la désactivation des services non nécessaires pour les rôles du serveur. Vous pouvez lancer l'Assistant Configuration de la sécurité sur la page d'accueil du Gestionnaire de serveur, dans la section Informations sur la sécurité, ou dans le dossier Outils d'administration. Une version ligne de commande de cet outil est disponible (scwcmd.exe). Entrez scwcmd.exe /? à l'invite de commandes pour obtenir de l'aide sur la commande ou consultez la page http://go.microsoft.com/fwlink/?LinkId=168678.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-40
7-41
L'assistant Configuration de la sécurité est un outil de gestion de la sécurité nouvelle génération, plus avancé que le composant Configuration et analyse de la sécurité. L'assistant Configuration de la sécurité repose sur des rôles comme la nouvelle configuration de Windows Server 2008. Cet assistant crée une stratégie de sécurité (fichier .xml) qui configure les éléments ci-après. •
Services
•
Sécurité du réseau, notamment les règles du pare-feu
•
Valeurs du Registre
•
Stratégie d'audit
•
Autres paramètres fondés sur les rôles d'un serveur
Vous pouvez ensuite modifier cette stratégie de sécurité, l'appliquer à un autre serveur ou la convertir en objet GPO pour effectuer le déploiement sur plusieurs systèmes. Création d'une stratégie de sécurité Pour créer une stratégie de sécurité : 1.
Lancez l'Assistant Configuration de la sécurité du dossier Outils d'administration ou la section Informations sur la sécurité de la page d'accueil du Gestionnaire de serveur. Vous pouvez ouvrir le fichier d'aide de l'Assistant Configuration de la sécurité en cliquant sur le lien Assistant Configuration de la sécurité sur la première page de l'assistant.
2.
Cliquez sur Suivant.
3.
Sur la page Action de configuration, sélectionnez Créer une nouvelle stratégie de sécurité, puis cliquez sur Suivant.
4.
Entrez le nom du serveur à analyser, puis cliquez sur Suivant. La stratégie de sécurité repose sur les rôles du serveur indiqué. Vous devez être administrateur sur ce serveur pour effectuer l'analyse de ces rôles. Vérifiez également que toutes les applications qui utilisent des ports IP entrants sont actives avant d'exécuter l'Assistant Configuration de la sécurité.
L'Assistant Configuration de la sécurité lance l'analyse des rôles du serveur sélectionné. Il utilise une base de données de configuration de la sécurité qui définit les services et les ports requis pour chaque rôle de serveur pris en charge par l'Assistant Configuration de la sécurité. La base de données de configuration de la sécurité est un ensemble de fichiers .xml installés dans %SystemRoot%\Security\Msscw\Kbs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Remarque : centralisation de la base de données de configuration de la sécurité. Dans un environnement d'entreprise, centralisez la base de données de configuration de la sécurité afin que les administrateurs utilisent la même base de données pour exécuter l'Assistant Configuration de la sécurité. Copiez les fichiers dans le dossier %SystemRoot%\Security\Msscw\Kbs dans un dossier du réseau. Puis lancez l'Assistant Configuration de la sécurité avec la commande Scw.exe, en utilisant la syntaxe scw.exe /kb EmplacementBaseDonnées. Par exemple, la commande scw.exe /kb \\server01\scwkb lance l'Assistant Configuration de la sécurité, en utilisant la base de données de configuration de la sécurité qui se trouve dans le dossier partagé scwkb sur SERVER01.
L'Assistant Configuration de la sécurité utilise la base de données de configuration de la sécurité pour analyser le serveur sélectionné et identifie les éléments suivants : •
Rôles installés sur le serveur
•
Rôles remplis par le serveur
•
Services installés sur le serveur mais non définis dans la base de données de configuration de la sécurité
•
Adresses IP et sous-réseaux configurés pour le serveur
Les informations détectées relatives au serveur sont enregistrées dans un fichier appelé Main.xml. Ce fichier spécifique au serveur est appelé Base de données de configuration, à ne pas confondre avec la base de données de configuration de la sécurité utilisée par l'Assistant Configuration de la sécurité pour effectuer l'analyse. Pour afficher la base de données de configuration : •
Sur la page Traitement de la configuration de la sécurité, cliquez sur Afficher la base de données de configuration.
Les paramètres d'origine dans la base de données de configuration sont appelés paramètres de base. Après l'analyse du serveur et la création de la base de données de configuration, vous pouvez modifier la base de données. Celle-ci est ensuite utilisée pour générer la stratégie de sécurité pour configurer les services, les règles du pare-feu, les paramètres du Registre et les stratégies d'audit. La stratégie de sécurité peut ensuite être appliquée au serveur ou aux autres serveurs jouant des rôles similaires. L'Assistant Configuration de la sécurité présente ces quatre catégories de la stratégie de sécurité dans une section (une suite de pages) : •
Configuration de service fondée sur les rôles
•
Sécurité du réseau
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-42
•
Paramètres du Registre
•
Stratégie d'audit
7-43
Stratégie de sécurité Les trois dernières sections sont facultatives, vous pouvez ignorer celles que vous ne souhaitez pas inclure à la stratégie de sécurité.
À la fin de ces sections de configuration, l'Assistant Configuration de la sécurité affiche la section Stratégie de sécurité. La page Nom du fichier de stratégie de sécurité qui s'affiche dans la capture d'écran précédente permet de définir le chemin, le nom et la description de la stratégie de sécurité. Pour examiner les paramètres de la stratégie de sécurité. •
Cliquez sur le bouton Afficher la stratégie de sécurité.
Les paramètres sont décrits et expliqués en détail dans l'Assistant Configuration de la sécurité. Vous pouvez également importer un modèle de sécurité dans la stratégie de sécurité. •
Cliquez sur le bouton Inclure les modèles de sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Les modèles de sécurité (décrits plus haut dans cette leçon), contiennent les paramètres non inclus à la gestion de la configuration de la sécurité avec les modèles de sécurité, notamment les groupes restreints, les stratégies de journal d'événements, et les stratégies de sécurité du système de fichiers et du Registre. L'intégration d'un modèle de sécurité vous permet d'inclure un ensemble de paramètres de configuration avancée à la stratégie de sécurité. Si des paramètres du modèle de sécurité sont en conflit avec l'Assistant Configuration de la sécurité, les paramètres de l'Assistant Configuration de la sécurité sont prioritaires. Lorsque vous cliquez sur le bouton Suivant, vous avez la possibilité d'appliquer immédiatement le modèle de sécurité au serveur ou d'appliquer la stratégie ultérieurement. Modification d'une stratégie de sécurité Pour modifier une stratégie de sécurité enregistrée : 1.
Ouvrez l'Assistant Configuration de sécurité.
2.
Sur la page Action de configuration, sélectionnez Modifier une stratégie de sécurité existante.
3.
Cliquez sur Parcourir pour rechercher le fichier de stratégie (.xml). Lorsqu'un message vous invite à sélectionner un serveur, sélectionnez le serveur qui a été utilisé pour créer la stratégie de sécurité.
Application d'une stratégie de sécurité Pour appliquer une stratégie de sécurité à un serveur : 1.
Ouvrez l'Assistant Configuration de sécurité.
2.
Sur la page Action de configuration, sélectionnez Appliquer une stratégie de sécurité existante.
3.
Cliquez sur Parcourir pour rechercher le fichier de stratégie (.xml).
4.
Sur la page Sélectionner un serveur, sélectionnez le serveur auquel appliquer la stratégie.
En général, les modifications effectuées dans une stratégie de sécurité requièrent le redémarrage du serveur (notamment l'ajout de règles de pare-feu pour les applications en cours d'exécution et la désactivation de services). Par conséquent, il est préférable de redémarrer le serveur à chaque fois que vous appliquez une stratégie de sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-44
7-45
Annulation d'une stratégie de sécurité appliquée Si l'application d'une stratégie de sécurité génère un résultat non souhaité, vous pouvez annuler les modifications. Pour annuler l'application d'une stratégie de sécurité : 1.
Ouvrez l'Assistant Configuration de sécurité.
2.
Sur la page Action de configuration, sélectionnez Annuler la dernière stratégie de sécurité appliquée.
Lorsqu'une stratégie de sécurité est appliquée par l'Assistant Configuration de la sécurité, un fichier de restauration est généré. Ce fichier contient les paramètres d'origine du système. Le processus d'annulation applique le fichier de restauration. Modification des paramètres d'une stratégie de sécurité appliquée Si l'application d'un modèle de sécurité ne génère pas la configuration souhaitée, vous pouvez modifier manuellement les paramètres à l'aide de la console de stratégie de sécurité locale décrite au début de cette leçon dans la section « Configuration de la stratégie de sécurité locale ». Vous aurez ainsi une vue d'ensemble de la configuration de la sécurité : paramètres manuels, génération de modèles de sécurité, création de stratégies de sécurité avec l'Assistant Configuration de la sécurité (qui peut inclure les modèles de sécurité), application des stratégies de sécurité, puis à nouveau configuration manuelle des paramètres. Déploiement d'une stratégie de sécurité à l'aide d'une stratégie de groupe Pour appliquer à un serveur une stratégie de sécurité créée par l'Assistant Configuration de la sécurité, vous pouvez utiliser cet assistant, utiliser la commande Scwcmd.exe ou convertir la stratégie de sécurité en objet GPO. Pour convertir une stratégie de sécurité en objet GPO : •
Ouvrez une session en tant qu'administrateur et exécutez Scwcmd.exe avec la commande transform. Exemple : scwcmd transform /p:"Contoso DC Security.xml” /g:"Contoso DC Security GPO”
Cette commande va créer un objet GPO appelé « Contoso DC Security GPO » avec les paramètres importés du fichier de stratégie de sécurité appelé « Contoso DC Security.xml ». L'objet GPO obtenu peut être relié à un site, un domaine ou une unité d'organisation à l'aide de la console Gestion des stratégies de groupe. Veillez à entrer scwcmd.exe transform /? pour obtenir de l'aide et des instructions sur cette procédure.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Lectures complémentaires •
Assistant Configuration de la sécurité : http://go.microsoft.com/fwlink/?LinkId=168678
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-46
7-47
Paramètres, modèles, stratégies et objets GPO
Points clés Comme indiqué dans l'introduction de cette leçon, différents mécanismes permettent de gérer les paramètres de sécurité. Vous pouvez utiliser des outils tels que la console de Stratégie de sécurité locale pour modifier les paramètres d'un système particulier. Vous pouvez utiliser des modèles de sécurité (qui existent depuis la version Windows 2000) pour gérer les paramètres sur un ou plusieurs systèmes et comparer la configuration d'un système à la configuration souhaitée définie dans un modèle. L'outil le plus récent dans la gestion de la configuration de la sécurité est la génération des stratégies de sécurité par l'Assistant Configuration de la sécurité. Il s'agit de fichiers .xml reposant sur des rôles qui définissent les modes de démarrage des services, les règles du pare-feu, les stratégies d'audit et certains paramètres du Registre. Les stratégies de sécurité peuvent inclure des modèles de sécurité. Vous pouvez déployer les modèles de sécurité et les stratégies de sécurité à l'aide de la Stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Étant donné la profusion d'outils disponibles, il est difficile de déterminer le meilleur moyen de gérer la sécurité sur un ou plusieurs systèmes. Utilisez autant que possible la stratégie de groupe pour déployer la configuration de la sécurité. Vous pouvez générer un objet GPO à partir d'une stratégie de sécurité fondée sur des rôles générée par l'Assistant Configuration de la sécurité, qui lui-même intègre d'autres paramètres issus d'un modèle de sécurité. Une fois l'objet GPO généré, vous pouvez effectuer des modifications supplémentaires sur l'objet GPO en utilisant le composant Éditeur de gestion des stratégies de groupe. Les paramètres non gérés par la Stratégie de groupe peuvent être configurés pour chaque serveur, à l'aide des paramètres de sécurité de l'objet GPO local.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-48
7-49
Atelier pratique B : Gestion des paramètres de sécurité
Scénario Vous êtes administrateur du domaine contoso.com. Vous êtes chargé d'assurer la sécurité du service d'annuaire. Vous souhaitez établir une configuration de sécurité à appliquer aux contrôleurs de domaine et qui détermine, entre autres, qui peut se connecter aux contrôleurs de domaine via le Bureau à distance afin d'effectuer des tâches d'administration.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Gestion des paramètres de sécurité locaux Dans cet exercice, vous allez créer un groupe qui permet de déterminer qui est autorisé à se connecter à HQDC01 (contrôleur de domaine) via le Bureau à distance. Pour cela, vous allez configurer des paramètres de sécurité directement sur HQDC01. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Activer le Bureau à distance sur HQDC01.
3.
Créer un groupe de sécurité global appelé SYS_DC Remote Desktop.
4.
Ajouter SYS_DC Remote Desktop au groupe Utilisateurs du bureau à distance.
5.
Configurer la stratégie de sécurité locale de façon à permettre à SYS_DC Remote Desktop d'établir des connexions Bureau à distance.
6.
Rétablir les paramètres par défaut de la stratégie de sécurité locale.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
Tâche 2 : Activaction du Bureau à distance sur HQDC01. 1.
Exécutez Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans la section Résumé serveur, cliquez sur Configurer le bureau à distance, puis cliquez sur N'autoriser que la connexion des ordinateurs exécutant Bureau à distance avec authentification NLA (plus sécurisé).
3.
Fermez le Gestionnaire de serveur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-50
7-51
Tâche 3 : Création d'un groupe de sécurité global appelé SYS_DC Remote Desktop. 1.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l'unité d'organisation Admins\Admin Grousp\Server Delegation, créez un groupe de sécurité global nommé SYS_DC Remote Desktop.
Tâche 4 : Ajout de SYS_DC Remote Desktop au groupe Utilisateurs du bureau à distance. Pour se connecter via le Bureau à distance, un utilisateur doit avoir le droit d'ouvrir une session via les services Terminal Server, ce que vous allez définir pour le groupe SYS_DC Remote Desktop dans la tâche suivante. De plus, l'utilisateur doit avoir le droit d'établir une connexion RDP-Tcp. Par défaut, le groupe Utilisateurs du bureau à distance et le groupe Administrateurs ont le droit d'établir une connexion RDP-Tcp. Vous devez donc ajouter l'utilisateur (ou le groupe SYS_DC Remote Desktop dans ce cas) au groupe Utilisateurs du bureau à distance. 1.
Ajoutez le groupe SYS_DC Remote Desktop au groupe Utilisateurs du bureau à distance, qui se trouve dans le conteneur Builtin.
2.
Fermez Utilisateurs et ordinateurs Active Directory.
Remarque : au lieu d'ajouter le groupe à Utilisateurs du bureau à distance, vous pouvez ajouter le groupe SYS_DC Remote Desktop à la liste de contrôle d'accès de la connexion RDP-Tcp, via la console de Configuration des services Terminal Server. Cliquez avec le bouton droit sur RDP-Tcp, sélectionnez Propriétés. Cliquez sur l'onglet Sécurité, puis sur le bouton Ajouter et entrez SYS_DC Remote Desktop. Cliquez deux fois sur OK pour fermer les boîtes de dialogue.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 5 : Configuration de la stratégie de sécurité locale de façon à permettre à SYS_DC Remote Desktop d'établir des connexions Bureau à distance. Sur un membre du domaine (poste de travail ou serveur), le groupe Utilisateurs du Bureau à distance a l'autorisation d'établir une connexion RDP-Tcp et le droit utilisateur d'ouvrir une session via les services Terminal Server. Par conséquent, sur un poste de travail ou un serveur membre du domaine, la méthode la plus simple de gérer les droits utilisateur et l'autorisation de connexion RDP-Tcp est d'ajouter un utilisateur ou un groupe directement au groupe Utilisateurs du Bureau à distance. Comme HQDC01 est un contrôleur de domaine, seuls les Administrateurs ont le droit d'ouvrir une session via les services Terminal Server. Par conséquent, vous devez accorder explicitement au groupe SYS_DC Remote Desktop le droit utilisateur d'ouvrir une session via les services Terminal Server. •
Exécutez Stratégie de sécurité locale en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Modifiez la configuration du paramètre de stratégie de droits utilisateur, Autoriser l'ouverture de session par les services Terminal Server et ajoutez SYS_DC Remote Desktop.
Tâche 6 : Rétablissement des paramètres par défaut de la stratégie de sécurité locale Rétablissez les paramètres par défaut de la stratégie en vue d'effectuer les exercices suivants. 1.
Modifiez la configuration du paramètre de stratégie de droits utilisateur, Autoriser l'ouverture de session par les services Terminal Server et supprimez SYS_DC Remote Desktop.
2.
Fermez la fenêtre Stratégie de sécurité locale. Résultats : au cours de cet exercice, vous configurez les paramètres locaux afin d'autoriser SYS_DC Remote Desktop à ouvrir une session sur HQDC01 via le Bureau à distance.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-52
7-53
Exercice 2 : Création d'un modèle de sécurité Dans cet exercice, vous allez créer un modèle de sécurité qui accorde au groupe SYS_DC Remote Desktop le droit d'ouvrir une session via le Bureau à distance. Les tâches principales de cet exercice sont les suivantes : 1.
Créer une console MMC personnalisée avec le composant logiciel enfichable Modèles de sécurité.
2.
Créer un modèle de sécurité.
Tâche 1 : Création d'une console MMC personnalisée avec le composant logiciel enfichable Modèles de sécurité. 1.
Exécutez mmc.exe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Ajoutez le composant Modèles de sécurité.
3.
Enregistrez la console sous le nom D:\Security Management.msc.
Tâche 2 : Création d'un modèle de sécurité 1.
Dans le composant logiciel enfichable Modèles de sécurité, créez un modèle de sécurité appelé DC Remote Desktop.
2.
Modifiez la configuration du paramètre de stratégie de droits utilisateur Autoriser l'ouverture de session par les services Terminal Server et ajoutez SYS_DC Remote Desktop.
3.
À l'aide d'un paramètre Groupes restreints, configurez le modèle pour ajouter le groupe SYS_DC Remote Desktop au groupe Utilisateurs du bureau à distance.
4.
Enregistrez les modifications que vous avez effectuées sur le modèle. Résultats : au cours de cet exercice, vous configurez un modèle de sécurité appelé DC Remote Desktop qui ajoute le groupe SYS_DC Remote Desktop au groupe Utilisateurs du bureau à distance, et accorde au groupe SYS_DC Remote Desktop le droit utilisateur d'ouvrir une session via les services Terminal Server.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 3 : Utilisation de l'outil de Configuration et analyse de la sécurité Dans cet exercice, vous allez analyser la configuration de HQDC01 à l'aide du modèle de sécurité DC Remote Desktop, afin d'identifier les écarts entre la configuration du serveur et la configuration souhaitée définie dans le modèle. Vous allez ensuite créer un nouveau modèle de sécurité. Les tâches principales de cet exercice sont les suivantes : 1.
Ajouter le composant Configuration et analyse de la sécurité à une console personnalisée.
2.
Créer une base de données de sécurité et importer un modèle de sécurité.
3.
Analyser la configuration d'un ordinateur à l'aide de la base de données de sécurité.
4.
Configurer les paramètres de sécurité à l'aide d'une base de données de sécurité.
Tâche 1 : Ajout du composant Configuration et analyse de la sécurité à une console personnalisée. •
Ajoutez le composant Configuration et analyse de la sécurité à une console personnalisée, puis enregistrez la modification sur la console.
Tâche 2 : Création d'une base de données de sécurité et importation d'un modèle de sécurité. •
Créez une base de données de sécurité appelée HQDC01Test.
•
Importez le modèle de sécurité DC Remote Desktop.
Tâche 3 : Analyse de la configuration d'un ordinateur à l'aide de la base de données de sécurité. 1.
Dans l'arborescence de la console, cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur Analyser l'ordinateur maintenant.
2.
Cliquez sur OK pour confirmer le chemin par défaut du journal d'erreur. Le composant logiciel enfichable effectue l'analyse.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-54
3.
7-55
Dans l'arborescence de la console, développez Configuration et analyse de la sécurité et Stratégies locales, puis cliquez sur Attribution des droits utilisateur. Notez que la stratégie « Autoriser l'ouverture de session par les services Terminal Server » est identifiée par X dans un cercle rouge. Cela indique une divergence entre le paramètre de la base de données et le paramètre de l'ordinateur.
4.
Double-cliquez sur Autoriser l'ouverture de session par les services Terminal Server. Notez les divergences. L'ordinateur n'est pas configuré pour autoriser le groupe SYS_DC Remote Desktop à ouvrir une session via les services Terminal Server. Notez également que le Paramètre de l'ordinateur autorise les Administrateurs à ouvrir une session via les services Terminal Server. Il s'agit d'un paramètre important qui doit être intégré à la base de données.
5.
Vérifiez que l'option Définir cette stratégie dans la base de données est sélectionnée.
6.
Cochez Administrateurs, dans la section Paramètre de base de données. Cela autorise les Administrateurs à se connecter à la base de données via les services Terminal Server. Cela ne modifie pas le modèle et n'affecte pas la configuration en cours de l'ordinateur.
7.
Cliquez sur OK.
8.
Dans l'arborescence de la console, sélectionnez Groupes restreints.
9.
Dans le volet d'informations, double-cliquez sur CONTOSO\SYS_DC Remote Desktop.
10. Cliquez sur l'onglet Membre de. Notez qu'au niveau de la base de données, le groupe SYS_DC Remote Desktop doit être membre des Utilisateur du Bureau à distance, mais que cela ne coïncide pas avec la configuration de l'ordinateur. 11. Vérifiez que l'option Définir ce groupe dans la base de données est sélectionnée. 12. Cliquez sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
13. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur Enregistrer. Cela enregistre la base de données de sécurité, qui inclut les paramètres importés du modèle ainsi que la modification que vous avez effectuée pour autoriser les Administrateurs à ouvrir une session via les services Terminal Server. Le conseil affiché dans la barre d'état lorsque vous survolez la commande Enregistrer vous suggère d'enregistrer le modèle. Cela est incorrect. Vous enregistrez la base de données. 14. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur Exporter un modèle. La boîte de dialogue Exporter le modèle apparaît. 15. Sélectionnez DC Remote Desktop, puis cliquez sur Enregistrer. Vous avez remplacé le modèle créé dans l'exercice 2 par les paramètres définis dans la base de données du composant Configuration et analyse de la sécurité.
Tâche 4 : Configuration des paramètres de sécurité à l'aide d'une base de données de sécurité. 1.
Fermez la console Gestion de la sécurité. Si un message vous invite à enregistrer les paramètres, cliquez sur Oui. Il est nécessaire de fermer et d'ouvrir à nouveau la console pour actualiser l'affichage des paramètres dans le composant Modèles de sécurité.
2.
Exécutez D:\Security Management.msc en entrant des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
3.
Dans l'arborescence de la console, développez Modèles de sécurité, C:\Users\Pat.Coleman_Admin\Documents\Security\Templates, DC Remote Desktop, Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
4.
Dans le volet d'informations, double-cliquez sur Autoriser l'ouverture de session par les services Terminal Server. Notez que les groupes Administrateurs et SYS_DC Remote Desktop sont autorisés à ouvrir une session via les services Terminal Server dans le modèle de sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-56
7-57
5.
Cliquez sur OK.
6.
Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur Configurer l'ordinateur maintenant.
7.
Cliquez sur OK pour confirmer le chemin du journal d'erreur. Les paramètres dans la base de données sont appliqués au serveur. Vous allez ensuite vérifier que la modification du droit utilisateur est appliquée.
8.
Exécutez Stratégie de sécurité locale en entrant des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
9.
Dans l'arborescence de la console, développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
10. Double-cliquez sur Autoriser l'ouverture de session par les services Terminal Server. La boîte de dialogue des propriétés Autoriser l'ouverture de session par les services Terminal Server. 11. Vérifiez la présence de Administrateurs et SYS_DC Remote Desktop. La console de Stratégie de sécurité locale affiche les paramètres actuellement appliqués sur le serveur. 12. Fermez la console Stratégie de sécurité locale. 13. Fermez la console personnalisée Gestion de la sécurité. Résultats : au cours de cet exercice, vous créez et appliquez un modèle de sécurité qui accorde au groupe SYS_DC Remote Desktop le droit d'ouvrir une session via le Bureau à distance et qui ajoute le groupe au groupe Utilisateurs du Bureau à distance.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 4 : Utilisation de l'Assistant Configuration de la sécurité Dans cet exercice, vous allez utiliser l'Assistant Configuration de la sécurité pour créer une stratégie de sécurité pour les contrôleurs de domaine dans le domaine contoso.com à partir de la configuration de HQDC01. Vous allez ensuite convertir la stratégie de sécurité en objet GPO, que vous pouvez ensuite déployer sur tous les contrôleurs de domaine à l'aide de la stratégie de groupe. Les tâches principales de cet exercice sont les suivantes : 1.
Créer une stratégie de sécurité.
2.
Convertir une stratégie de sécurité en objet de stratégie de groupe (GPO)
Tâche 1 : Création d'une stratégie de sécurité 1.
Exécutez l'Assistant Configuration de la sécurité, dans le dossier Outils d'administration, en entrant des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Sur la page Bienvenue dans l'Assistant Configuration de la sécurité, cliquez sur Suivant.
3.
Sur la page Action de configuration, sélectionnez Créer une nouvelle stratégie de sécurité, puis cliquez sur Suivant.
4.
Sur la page Sélectionner un serveur, acceptez le nom du serveur par défaut HQDC01, puis cliquez sur Suivant.
5.
Sur la page Traitement de la base de données de configuration de la sécurité, vous pouvez cliquer sur Afficher la base de données de configuration et consulter la configuration détectée sur HQDC01.
6.
Cliquez sur Suivant.
7.
Sur la page d'introduction de la section Configuration des services selon les rôles, cliquez sur Suivant.
8.
Sur la page Sélectionnez des rôles de serveur, vous pouvez consulter les paramètres détectés sur HQDC01, mais pas les modifier. Cliquez sur Suivant.
9.
Sur la page Sélectionnez des fonctionnalités de clients, vous pouvez consulter les paramètres détectés sur HQDC01, mais pas les modifier. Cliquez sur Suivant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-58
7-59
10. Sur la page Sélectionnez des options d'administration et d'autres options, vous pouvez consulter les paramètres détectés sur HQDC01, mais pas les modifier. Cliquez sur Suivant. 11. Sur la page Sélectionnez des services supplémentaires, vous pouvez consulter les paramètres détectés sur HQDC01, mais pas les modifier. Cliquez sur Suivant. 12. Sur la page Gestion des services non spécifiés, ne modifiez pas le paramètre par défaut Ne pas modifier le mode de démarrage du service. Cliquez sur Suivant. 13. Sur la page Confirmer les modifications de services, dans la liste Affichage, et sélectionnez Tous les services. 14. Examinez les paramètres de la colonne Mode de démarrage actuel, qui indiquent les modes de démarrage de services sur HQDC01, et les compare aux paramètres de la colonne Mode de démarrage de la stratégie. 15. Dans la liste Affichage, sélectionnez Services modifiés. 16. Cliquez sur Suivant. 17. Sur la page d'introduction de la section Sécurité réseau, cliquez sur Suivant. 18. Sur la page Règles de sécurité réseau, vous pouvez examiner les règles du pare-feu issues de la configuration de HQDC01. Ne modifiez aucun paramètre. Cliquez sur Suivant. 19. Sur la page d'introduction de la section Paramètres du Registre, cliquez sur Suivant. 20. Sur chaque page de la section Paramètres du Registre, examinez les paramètres (n'en modifiez aucun), puis cliquez sur Suivant. Sur la page Résumé des paramètres du Registre, examinez les paramètres et cliquez sur Suivant. 21. Sur la page d'introduction de la section Stratégie d'audit, cliquez sur Suivant. 22. Sur la page Stratégie d'audit système, examinez les paramètres (sans les modifier). Cliquez sur Suivant. 23. Sur la page Résumé de stratégie d'audit, examinez les paramètres des colonnes Paramètre actuel et Paramètre de stratégie. Cliquez sur Suivant. 24. Sur la page d'introduction de la section Enregistrer la stratégie d'audit, cliquez sur Suivant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
25. Dans la zone de texte Nom du fichier de stratégie de sécurité, cliquez sur la fin du chemin du fichier et entrez DC Security Policy. 26. Cliquez sur le bouton Inclure les modèles de sécurité. 27. Cliquez sur Ajouter. 28. Recherchez le modèle DC Remote Desktop créé dans l'exercice 3, qui se trouve dans le dossier Documents\Security\Templates. Une fois le modèle sélectionné, cliquez sur Ouvrir. Veillez à ajouter le fichier Documents\Security\Templates\DC Remote Desktop.inf et non le modèle de sécurité par défaut DC Security.inf. 29. Cliquez sur OK pour fermer la boîte de dialogue Inclure les modèles de sécurité. 30. Cliquez sur le bouton Afficher la stratégie de sécurité. Un message vous invite à confirmer l'utilisation d'un contrôle ActiveX. 31. Cliquez sur Oui. 32. Examinez la stratégie de sécurité. Notez que le modèle DC Remote Desktop figure dans la section Modèles. 33. Fermez la fenêtre après avoir examiné la stratégie. 34. Dans l'Assistant Configuration de la sécurité, cliquez sur Suivant. 35. Sur la page Appliquer la stratégie de sécurité, acceptez le paramètre par défaut Appliquer ultérieurement, puis cliquez sur Suivant. 36. Cliquez sur Terminer.
Tâche 2 : Conversion d'une stratégie de sécurité en objet de stratégie de groupe (GPO). 1.
Exécutez l'Invite de commandes en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Entrez cd c:\windows\security\msscw\policies et appuyez sur Entrée.
3.
Entrez scwcmd transform /?, puis appuyez sur Entrée.
4.
Utilisez la commande scwcmd.exe pour convertir la stratégie de sécurité appelée « DC Security Policy.xml » en objet GPO appelé « DC Security Policy ».
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-60
7-61
5.
Exécutez Gestion des stratégies de groupe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
6.
Examinez les paramètres de l'objet GPO DC Security Policy. Vérifiez que le droit utilisateur Autoriser l'ouverture de session par les services Terminal Server est attribué aux groupes BUILTIN\Administrateurs et CONTOSO\SYS_DC Remote Desktop. Vérifiez également que le groupe CONTOSO\SYS_DC Remote Desktop est membre du groupe BUILTIN\Utilisateurs du Bureau Distant. Résultats : au cours de cet exercice, vous utilisez l'Assistant Configuration de la sécurité pour créer une stratégie de sécurité appelée DC Security Policy et vous convertissez la stratégie de sécurité en objet de stratégie de groupe (GPO) appelé DC Security Policy.
Important : n'arrêtez pas les ordinateurs virtuels à la fin de cet atelier car les paramètres que vous avez configurés seront utilisés dans les ateliers suivants.
Question de contrôle des acquis Question : Décrivez les relations entre les paramètres de sécurité définis sur un serveur, la stratégie de groupe locale, les modèles de sécurité, la base de données utilisée dans Configuration et analyse de la sécurité, la stratégie de sécurité créée par l'Assistant Configuration de la sécurité et la stratégie de groupe liée au domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 3
Gestion de logiciels avec GPSI
Il est important de connaître les outils qui permettent de déployer des logiciels dans une entreprise, notamment Microsoft® System Center Configuration Manager (SCCM, également appelé Gestionnaire de configuration) et son prédécesseur Microsoft Systems Management Server (SMS). Ces outils présentent de grands avantages, notamment les fonctions de mesure de l'utilisation des logiciels et les systèmes d'inventaire, mais vous pouvez déployer la plupart des logiciels sans ces outils, en utilisant uniquement GPSI (installation de logiciels de stratégie de groupe).
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
déployer des logiciels à l'aide de GPSI ;
•
supprimer les logiciels installés initialement avec GPSI.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-62
7-63
Fonctionnement de l'installation de logiciels de la stratégie de groupe (GPSI)
Points clés L'installation GPSI permet de créer un environnement de logiciels gérés qui présente les caractéristiques suivantes : •
Les utilisateurs peuvent accéder aux applications dont ils ont besoin pour effectuer leur travail, quel que soit l'ordinateur sur lequel ils ouvrent une session.
•
Les ordinateurs comportent les applications nécessaires, sans intervention d'un technicien du support technique.
•
Réalisation de la mise à jour, la maintenance et la suppression des applications pour répondre aux besoins de l'entreprise.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
L'extension d'installation de logiciel est l'une des nombreuses extensions côté client permettant de gérer les modifications et la configuration à l'aide de la stratégie de groupe. Les extensions côté client ont été décrites dans le Module 6. Cette extension permet de gérer de façon centralisée le déploiement initial, les mises à jour et la suppression de logiciels. Toute configuration de déploiement de logiciels est gérée dans un objet GPO, via des procédures qui sont détaillées ultérieurement dans cette leçon. Packages Windows Installer GPSI utilise le service Windows Installer pour effectuer l'installation, la maintenance et la suppression de logiciels. Le service Windows Installer gère les logiciels à partir des informations présentes dans le package Windows Installer. Le package Windows Installer est un fichier d'extension .msi qui décrit l'état d'installation d'une application. Le package contient des instructions explicites concernant l'installation et la suppression d'une application. Vous pouvez personnaliser les packages Windows Installer avec l'un des types de fichier suivants : •
Fichiers de transformation (.mst) Ces fichiers permettent de personnaliser l'installation d'une application. Certaines applications incluent un assistant ou des modèles qui permettent à l'utilisateur de créer des transformations. Par exemple, Adobe fournit un outil de déploiement en entreprise pour Adobe Acrobat Reader qui génère une transformation. De nombreuses entreprises utilisent la transformation pour configurer le contrat de licence de l'utilisateur final et désactiver certaines fonctions de l'application, telles que les mises à jour automatiques qui nécessitent l'accès à Internet.
•
Fichiers correctif (.msp) Ces fichiers permettent de mettre à jour un fichier .msi existant avec des mises à jour de sécurité, des correctifs de bogues et des Service Packs. Un fichier .msp fournit des instructions sur l'application des fichiers et des clés du Registre après mise à jour dans le correctif logiciel, le Service pack ou la mise à jour de logiciel. Par exemple, les mises à jour de Microsoft Office 2003 et versions ultérieures sont fournies sous forme de fichiers .msp.
Remarque : installation de fichiers .msp et .mst. Les fichiers .mst ou .msp ne peuvent être déployés de façon autonome. Ils doivent être appliqués à un package Windows Installer existant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-64
7-65
L'installation GPSI peut, sous certaines conditions, utiliser des fichiers d'application non MSI (fichier .zap), également appelés packages d'application de bas niveau, qui définissent l'emplacement du point de distribution de logiciels et de la commande d'installation. Pour obtenir plus d'informations, voir l'article 231747 de la base de connaissances à l'adresse http://support.microsoft.com/?kbid=231747. Mais la plupart des entreprises n'utilisent pas de fichiers .zap, car l'utilisateur doit avoir des droits d'administrateur pour installer l'application sur le système. Lorsque GPSI installe une application via le package Windows Installer, l'utilisateur ne nécessite pas de droits d'administrateur, ce qui renforce la sécurité de l'entreprise. Remarque : GPSI et packages Windows Installer. GPSI peut gérer entièrement des applications uniquement si ces applications sont déployées via des packages Windows Installer. D'autres outils, notamment le Gestionnaire de configuration et SMS, permettent de gérer des applications qui utilisent d'autres mécanismes de déploiement.
Les fichiers .msi, de transformation et les autres fichiers requis pour installer une application sont stockés dans un point de distribution de logiciels en partage.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Options de déploiement de logiciel
Vous pouvez déployer des logiciels en attribuant des applications aux utilisateurs ou aux ordinateurs, ou en publiant des applications pour les utilisateurs. Vous attribuez les logiciels nécessaires ou obligatoires aux utilisateurs ou aux ordinateurs. Vous publiez les logiciels que les utilisateurs peuvent trouver utiles pour effectuer leur travail. Attribution d'applications Lorsque vous attribuez une application à un utilisateur, les paramètres du Registre local de l'application sont mis à jour (notamment les extensions des noms de fichier) et des raccourcis sont créés dans le menu Démarrer ou le Bureau, ce qui informe l'utilisateur de la disponibilité de l'application. Ces informations sur l'application suivent l'utilisateur quel que soit l'ordinateur physique sur lequel il ouvre une session. Cette application est installée lorsque l'utilisateur active pour la première fois l'application sur l'ordinateur, soit en sélectionnant l'application dans le menu Démarrer ou en ouvrant un document associé à l'application. Lorsque vous attribuez une application à l'ordinateur, l'application est installée durant le processus de démarrage de l'ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-66
7-67
Publication d'applications Lorsque vous publiez une application pour les utilisateurs, l'application ne semble pas installée sur les ordinateurs des utilisateurs. Aucun raccourci n'est visible sur le bureau ni le menu Démarrer. L'application apparaît sous forme d'application disponible que l'utilisateur peut installer via Ajouter ou supprimer des programmes dans le Panneau de configuration sur un système Windows XP ou Programmes et fonctionnalités sur un système Windows Server 2008, Windows Vista® ou Windows 7. De plus, l'application peut être installée lorsqu'un utilisateur ouvre un type de fichier associé à l'application. Par exemple, si Acrobat Reader est proposée aux utilisateurs, il est installé lorsque l'utilisateur ouvre un fichier d'extension .pdf. Étant donné que les applications peuvent être attribuées ou publiées et ciblées à des utilisateurs ou ordinateurs, vous pouvez établir une combinaison exploitable pour atteindre vos objectifs de gestion de logiciels. Le tableau ci-après répertorie les différentes options de déploiement de logiciel. Options de déploiement de logiciel Publier (Utilisateur Attribuer uniquement) (Utilisateur)
Attribuer (Ordinateur)
Après le déploiement de l'objet GPO, le logiciel peut être installé :
À la prochaine ouverture de session utilisateur.
À la prochaine ouverture de session utilisateur.
Au prochain démarrage de l'ordinateur.
En général, l'utilisateur installe le logiciel depuis :
Ajouter ou supprimer des programmes dans le Panneau de configuration (Windows XP) ou Programmes et fonctionnalités (Windows Server 2008, Windows Vista, Windows 7).
Menu Démarrer ou raccourci sur le bureau. Une application peut également être configurée pour être automatiquement installée à l'ouverture de la session.
Le logiciel est automatiquement installé au démarrage de l'ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
(suite) Publier (Utilisateur Attribuer uniquement) (Utilisateur)
Attribuer (Ordinateur)
Si le logiciel n'est pas installé, lorsque l'utilisateur ouvre un fichier associé au logiciel, le logiciel est-il installé ?
Oui (si l'installation automatique est activée).
Oui.
Non applicable. Le logiciel est déjà installé.
L'utilisateur peut-il supprimer le logiciel via le Panneau de configuration ?
Oui, et il peut l'installer à nouveau à partir du Panneau de configuration.
Oui, et le logiciel peut être installé à partir des raccourcis du menu Démarrer ou des associations de fichier.
Non. Seul un administrateur local peut supprimer le logiciel. Un utilisateur peut lancer la réparation du logiciel.
Fichiers d'installation pris en charge :
Packages Windows Installer (fichiers .msi), fichiers .zap.
Packages Windows Installer (fichiers .msi).
Packages Windows Installer (fichiers .msi).
Lectures complémentaires •
Vue d'ensemble de l'installation de logiciels de stratégie de groupe (GPSI) : http://go.microsoft.com/fwlink/?LinkId=168691
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-68
7-69
Démonstration : Création d'un point de distribution de logiciels
Points clés Maintenant que vous connaissez le fonctionnement de l'installation GPSI, vous pouvez préparer le point de distribution de logiciels. Le point de distribution de logiciels est simplement un dossier partagé qui permet aux utilisateurs et aux ordinateurs d'installer des applications. Créez un dossier partagé et créez un dossier distinct pour chaque application. Puis, copiez le package logiciel, les modifications et tous les autres fichiers nécessaires dans les dossiers des applications. Définissez les droits d'accès aux dossiers pour accorder aux utilisateurs ou aux ordinateurs les droits de Lecture et exécution (autorisation minimale requise pour installer une application à partir du point de distribution). Les administrateurs du point de distribution de logiciels doivent avoir le droit de modifier et supprimer des fichiers afin d'assurer la maintenance du point de distribution.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Étapes de la démonstration 1.
Démarrez 6238B-HQDC01-A, ouvrez une session sous le nom Pat.Coleman avec le mot de passe Pa$$w0rd.
2.
Démarrez 6238B-SERVER01-A mais n'ouvrez pas de session.
3.
Basculez vers HQDC01.
4.
Exécutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
5.
Dans l'arborescence de la console, développez le domaine contoso.com et l'unité d'organisation Groupes, puis cliquez sur l'unité d'organisation Application.
6.
Cliquez avec le bouton droit sur l'unité d'organisation Application, pointez sur Nouveau, puis cliquez sur Groupe.
7.
Entrez APP_XML Notepad et appuyez sur Entrée.
8.
Dans l'arborescence de la console, développez le domaine contoso.com et l'unité d'organisation Serveurs, puis cliquez sur l'unité d'organisation Fichier.
9.
Dans le volet d'informations, cliquez avec le bouton droit sur SERVER01, puis cliquez sur Gérer. La console Gestion de l'ordinateur s'ouvre, et SERVER01 est sélectionné.
10. Dans l'arborescence de la console, développez Outils système et Dossiers partagés, puis cliquez sur Partages. 11. Cliquez avec le bouton droit sur Partages, puis cliquez sur Nouveau partage. L'assistant Créer un dossier partagé apparaît. 12. Cliquez sur Suivant. 13. Dans la zone Chemin du dossier, entrez C:\Software, puis cliquez sur Suivant. Un message vous demande si vous souhaitez créer le dossier. 14. Cliquez sur Oui. 15. Acceptez le Nom du partage par défaut, Software puis cliquez sur Suivant. 16. Cliquez sur Personnaliser les autorisations, puis cliquez sur le bouton Personnaliser. 17. Cliquez sur l'onglet Sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-70
7-71
18. Cliquez sur Avancé... La boîte de dialogue Paramètres de sécurité avancés. 19. Cliquez sur Modifier. 20. Désélectionnez l'option Inclure les autorisations pouvant être héritées du parent de cet objet. Une boîte de dialogue vous demande si vous souhaitez copier ou supprimer les autorisations. 21. Cliquez sur Copier. 22. Sélectionnez la première autorisation attribuée au groupe Utilisateurs, puis cliquez sur Supprimer. 23. Sélectionnez l'autre autorisation attribuée au groupe Utilisateurs, puis cliquez sur Supprimer. 24. Sélectionnez l'autorisation attribuée au groupe Créateur propriétaire, puis cliquez sur Supprimer. 25. Cliquez sur OK deux fois pour fermer les boîtes de dialogue Paramètres de sécurité avancés. 26. Dans la boîte de dialogue Personnaliser les autorisations, cliquez sur l'onglet Autorisations de partage. 27. Cochez l'option Contrôle total, ainsi que l'option Autoriser. Au niveau de la gestion de la sécurité, il est recommandé de configurer les autorisations minimales de la liste de contrôle d'accès de la ressource. Cela est appliqué aux utilisateurs quelle que soit la manière dont ceux-ci se connectent à la ressource. Vous pouvez alors utiliser l'autorisation Contrôle total sur le dossier partagé SMB. Le niveau d'accès résultant est constitué des autorisations les plus strictes définies dans la liste de contrôle d'accès du dossier. 28. Cliquez sur OK. 29. Cliquez sur Terminer. 30. Cliquez sur Terminer pour fermer l'assistant. 31. Cliquez sur Démarrer, sur Exécuter, entrez \\SERVER01\c$, puis appuyez sur Entrée. La boîte de dialogue Connexion à SERVER01 s'affiche. 32. Dans la zone Nom d'utilisateur, entrez CONTOSO\Pat.Coleman_Admin.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
33. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entrée. Une fenêtre de l'explorateur Windows s'ouvre et affiche le lecteur C sur SERVER01. 34. Ouvrez le dossier Software. 35. Cliquez sur le menu Fichier, pointez sur Nouveau, puis cliquez sur Dossier. Un Nouveau dossier est créé, il est prêt à être renommé. 36. Entrez XML Notepad et appuyez sur Entrée. 37. Cliquez avec le bouton droit sur le dossier XML Notepad, puis cliquez sur Propriétés. 38. Cliquez sur l'onglet Sécurité. 39. Cliquez sur Modifier. 40. Cliquez sur Ajouter. La boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes s'affiche. 41. Entrez APP_XML Notepad et appuyez sur Entrée. Les droits par défaut Lecture et Exécution sont attribués au groupe. 42. Cliquez sur OK deux fois pour fermer les boîtes de dialogue. 43. Ouvrez le dossier XML Notepad. 44. Ouvrez le dossier D:\Labfiles\Lab07b dans une nouvelle fenêtre. 45. Cliquez avec le bouton droit sur XMLNotepad.msi, puis cliquez sur Copier. 46. Basculez vers la fenêtre de l'explorateur Windows qui affiche \\server01\c$\Software\XML Notepad. 47. Cliquez avec le bouton droit dans le volet d'informations, puis cliquez sur Coller. XML Notepad est copié dans le dossier situé sur SERVER01. 48. Fermez toutes les fenêtres de l'explorateur Windows. 49. Fermez la console Gestion de l'ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-72
7-73
Création et définition de l'étendue d'un objet GPO de déploiement de logiciel
Points clés Pour créer un objet GPO (objet de stratégie de groupe) de déploiement de logiciel : 1.
Sur la console Gestion des stratégies de groupe, créez un objet de stratégie de groupe (GPO) ou sélectionnez-en un existant.
2.
Ouvrez l'objet dans l'Éditeur de gestion des stratégies de groupe.
3.
Développez les nœuds de la console Configuration ordinateur\Stratégies \Paramètres du logiciel\Installation de logiciel. Vous pouvez également sélectionner le nœud Installation de logiciel dans Configuration utilisateur.
4.
Cliquez avec le bouton droit sur Installation de logiciel, sélectionnez Nouveau, puis Package.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
5.
Recherchez le fichier .msi de l'application. Cliquez sur Ouvrir. La boîte de dialogue Déploiement du logiciel s'affiche, comme dans la capture d'écran ci-dessous :
6.
Sélectionnez Publié, Attribué ou Avancé. Comme vous ne pouvez pas publier une application sur des ordinateurs, l'option n'est pas disponible si vous créez le package sur le nœud Installation de logiciel de Configuration ordinateur. L'option Avancé vous permet d'indiquer si l'application est publiée ou attribuée, ainsi que de configurer les propriétés avancées du package logiciel. Il est donc conseillé de choisir l'option Avancé. La boîte de dialogue Propriétés du package s'affiche. Vous pouvez configurer différentes propriétés, les plus importantes étant : •
Type de déploiement : sur l'onglet Déploiement, configurez Publié ou Attribué.
•
Options de déploiement : en fonction du type de déploiement sélectionné, différents choix sont affichés dans la section Options de déploiement. Ces options (ainsi que d'autres paramètres de l'onglet Déploiement) déterminent le fonctionnement de l'installation des applications.
•
Désinstaller cette application lorsqu'elle se trouve en dehors de l'étendue de la gestion : si vous sélectionnez cette option, l'application est automatiquement supprimée lorsque l'objet GPO ne s'applique plus à l'utilisateur ou à l'ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-74
7-75
•
Mises à niveau : sur l'onglet Mises à jour, vous pouvez indiquer le logiciel à mettre à jour avec ce package. Les mises à jour sont expliquées dans la section "Maintenance de logiciels déployés avec GPSI" plus loin dans cette leçon.
•
Catégories : l'onglet Catégories vous permet d'associer le package à une ou plusieurs catégories. Les Catégories sont utiles lorsqu'une application est publiée pour un utilisateur. Lorsque l'utilisateur ouvre le Panneau de configuration pour installer un programme, les applications publiées avec GPSI sont présentées dans des groupes reposant sur ces catégories. Pour créer des catégories à associer aux packages, cliquez avec le bouton droit sur Installation de logiciel et sélectionnez Propriétés, puis cliquez sur l'onglet Catégories.
•
Modifications : si un fichier de transformation (fichier .mst) personnalise le package, cliquez sur le bouton Ajouter pour associer la transformation au package. La plupart des onglets de la boîte de dialogue Propriétés du package sont accessibles pour vous permettre de modifier les paramètres lorsque vous le souhaitez. Cependant, l'onglet Modifications est accessible uniquement lorsque vous créez le nouveau package et choisissez l'option Avancé.
Gestion de l'étendue d'un objet GPO de déploiement de logiciel Après avoir créé un objet GPO de déploiement de logiciel, vous pouvez définir son étendue pour distribuer le logiciel aux ordinateurs ou utilisateurs souhaités. Dans la plupart des scénarios de gestion de logiciels, les applications doivent être attribuées aux ordinateurs et non aux utilisateurs. En général, les licences des logiciels permettent d'installer une application sur un ordinateur. Si l'application est attribuée à un utilisateur, l'application est installée sur chaque ordinateur sur lequel l'utilisateur va ouvrir une session. Comme l'explique le Module 6, vous pouvez définir l'étendue d'un objet GPO en reliant l'objet GPO à une unité d'organisation ou en filtrant l'objet GPO afin qu'il s'applique uniquement à un groupe de sécurité global spécifique. Dans de nombreuses entreprises, il s'avère plus simple de gérer les logiciels en reliant l'objet GPO d'une application au domaine et en filtrant l'objet GPO avec un groupe de sécurité global qui contient les utilisateurs et les ordinateurs sur lesquels l'application doit être déployée. Par exemple, un objet GPO qui déploie l'outil XML Notepad (disponible sur le site de téléchargement de Microsoft à l'adresse http://www.microsoft.com/downloads) peut être lié au domaine et filtré pour un groupe incluant des développeurs qui ont besoin de l'outil. Un nom descriptif peut être attribué au groupe afin d'indiquer que l'objectif est la gestion du déploiement de XML Notepad, par exemple APP_XML Notepad.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Maintenance de logiciels déployés avec GPSI
Points clés Lorsqu'un ordinateur installe une application via le package Windows Installer défini par un objet GPO, il ne tente pas ensuite de réinstaller l'application à chaque actualisation de la stratégie de groupe. Dans certains cas, il peut être nécessaire de forcer les systèmes à réinstaller l'application. Par exemple, lorsque des petites modifications sont effectuées sur le package Windows Installer d'origine. Pour redéployer une application déployée avec la stratégie de groupe : •
Cliquez avec le bouton droit sur l'objet GPO Toutes les tâches, puis sélectionnez Redéploiement des applications.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-76
7-77
Vous pouvez également mettre à niveau une application qui a été déployée avec GPSI. 1.
Créez un package pour la nouvelle version de l'application sur le nœud Installation de logiciel de l'objet GPO. Le package peut se trouver dans le même objet GPO que le package de la version précédente ou dans un autre objet GPO.
2.
Cliquez avec le bouton droit sur le package et sélectionnez Propriétés.
3.
Cliquez sur l'onglet Mises à jour, puis sur le bouton Ajouter. La boîte de dialogue Ajout d'un package de mise à niveau s'affiche.
4.
Indiquez si le package de la version précédente de l'application est l'objet GPO en cours ou un autre objet GPO. Si le package précédent est un autre objet GPO, cliquez sur le bouton Parcourir pour sélectionner cet objet GPO.
5.
Puis sélectionnez le package dans la liste Package à mettre à jour.
6.
Selon vos connaissances sur le fonctionnement des mises à jour de l'application, sélectionnez l'une des options de mise à jour proposées au bas de la boîte de dialogue.
7.
•
Désinstaller le package existant, puis installer le package de mise à niveau
•
Le package peut mettre à niveau le package existant
Cliquez sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vous pouvez également supprimer une application qui a été déployée avec GPSI. 1.
Cliquez avec le bouton droit sur le package, cliquez sur Toutes les tâches, puis sélectionnez Supprimer.
2.
Dans la boîte de dialogue Suppression de logiciel, sélectionnez l'une des deux options suivantes : •
Désinstaller immédiatement le logiciel des utilisateurs et des ordinateurs. Cette option (appelée suppression forcée) provoque la suppression de l'application sur les ordinateurs. Si l'application a été déployée avec un package dans la partie Configuration ordinateur de l'objet GPO, l'extension d'installation de logiciel supprime l'application lorsque l'ordinateur redémarre. Si le package se trouve dans la partie Configuration utilisateur, l'application est désinstallée lors de la session suivante de l'utilisateur.
•
Autorise les utilisateurs à continuer à utiliser le logiciel, mais empêche les nouvelles installations. Si ce paramètre (appelé suppression facultative) est activé, l'extension d'installation de logiciel empêche l'ajout du package sur des systèmes sur lesquels le package n'a pas été installé. Sur les ordinateurs où l'application a été précédemment installée, l'application n'est pas désinstallée et les utilisateurs peuvent continuer à l'utiliser.
Si vous utilisez l'une de ces deux options pour supprimer le logiciel avec GPSI, il est important d'autoriser les paramètres dans l'objet GPO pour permettre la propagation à tous les ordinateurs de l'étendue de l'objet GPO avant de supprimer, désactiver ou dissocier l'objet GPO. Les clients doivent recevoir ce paramètre qui définit la suppression forcée ou facultative. Si l'objet GPO est supprimé ou n'est plus appliqué avant que ce paramètre soit reçu par tous les clients, le logiciel n'est pas supprimé selon vos instructions. Cela est particulièrement important dans les environnements où des utilisateurs mobiles équipés d'ordinateurs portables ne peuvent pas se connecter au réseau régulièrement. Lors de la création du package logiciel, si vous choisissez l'option "Désinstaller cette application lorsqu'elle se trouve en dehors de l'étendue de la gestion", vous pouvez simplement supprimer, désactiver ou dissocier l'objet GPO et l'application est obligatoirement supprimée par tous les clients qui ont installé le package avec ce paramètre.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-78
7-79
GPSI et liaisons lentes
Points clés Si un client actualise la stratégie de groupe, il teste les performances du réseau pour déterminer si la connexion est établie sur une liaison lente définie par défaut à 500 kilobits par seconde (Kbits/s). Chaque extension côté client est configurée pour traiter la stratégie de groupe ou ignorer l'application des paramètres sur une liaison lente. Par défaut, l'installation GPSI ne traite pas les paramètres de stratégie de groupe sur une liaison lente car l'installation de logiciels peut s'avérer trop longue à effectuer. Vous pouvez modifier le fonctionnement du traitement de la stratégie sur liaison lente pour chaque extension côté client, à l'aide des paramètres de stratégie placés dans Configuration ordinateur\Stratégies\Modèles d'administration\Système\Stratégie de groupe. Par exemple, vous pouvez modifier le comportement de l'extension d'installation de logiciel de façon à traiter les stratégies sur une liaison lente.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vous pouvez également modifier le seuil à partir duquel la vitesse de connexion constitue une liaison lente. Grâce à la configuration d'un seuil inférieur pour la vitesse de connexion, une liaison lente peut paraître rapide au niveau des extensions côté client. Différents paramètres de Détection d'une liaison lente d'une stratégie de groupe sont définis pour le traitement de la stratégie de l'ordinateur et le traitement de la stratégie de l'utilisateur. Les stratégies se trouvent dans les dossiers Modèles d'administration\Système\Stratégie de groupe, dans Configuration ordinateur et Configuration utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-80
7-81
Atelier pratique C : Gestion de logiciels avec GPSI
Scénario Vous êtes administrateur chez Contoso, Ltd. Les développeurs souhaitent utiliser XML Notepad pour modifier des fichiers XML et vous souhaitez automatiser le déploiement et la gestion du cycle de vie de l'application. Vous décidez d'utiliser l'installation de logiciels de stratégie de groupe (GPSI). Pour la plupart des applications, la licence est associée à un ordinateur. Vous allez donc déployer XML Notepad sur les ordinateurs des développeurs, plutôt que d'associer l'application à leur compte utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Déploiement de logiciel avec GPSI Pour effectuer cet exercice, vous allez utiliser GPSI pour déployer XML Notepad sur les ordinateurs, notamment DESKTOP101. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Créer un dossier de distribution de logiciel
3.
Créer un objet GPO de déploiement de logiciel
4.
Déployer le logiciel sur les ordinateurs.
5.
Vérifier le déploiement du logiciel.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
2.
Démarrez 6238B-SERVER01-A, mais n'ouvrez pas de session.
3.
Attentez la fin du démarrage de SERVER01 avant d'effectuer la tâche suivante.
Tâche 2 : Création d'un dossier de distribution de logiciel 1.
Sur HQDC01, exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l'unité d'organisation Groups\Application, créez un groupe de sécurité global nommé APP_XML Notepad.
3.
Dans l'unité d'organisation Servers\File, cliquez avec le bouton droit sur SERVER01 et cliquez sur Gérer.
4.
À l'aide du composant Dossiers partagés, créez un dossier partagé C:\Software, en attribuant le nom de partage Software. Configurez les autorisations NTFS de la façon suivante : •
Système::Autoriser::Contrôle total
•
Administrateurs::Autoriser::Contrôle total
Configurez l'autorisation de partage de façon à accorder au groupe Tout le monde le Contrôle total.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-82
7-83
Au niveau de la gestion de la sécurité, il est recommandé de configurer les autorisations minimales de la liste de contrôle d'accès de la ressource. Cela est appliqué aux utilisateurs quelle que soit la manière dont ceux-ci se connectent à la ressource. Vous pouvez alors utiliser l'autorisation Contrôle total sur le dossier partagé SMB. Le niveau d'accès résultant est constitué des autorisations les plus strictes définies dans la liste de contrôle d'accès du dossier. 5.
Ouvrez le partage administratif du lecteur C sur SERVER01 (\\SERVER01\c$) en tant que Pat.Coleman_Admin avec le mot de passe Pa$$w0rd.
6.
Dans le dossier Software de SERVER01, créez un dossier appelé XML Notepad.
7.
Ajoutez des droits au dossier XML Notepad afin que le groupe APP_XML Notepad ait des droits de Lecture et Exécution.
8.
Copiez XML Notepad.msi (situé sur D:\Labfiles\Lab07b) dans \\SERVER01\c$\Software\XML Notepad.
9.
Fermez toutes les fenêtres de l'explorateur Windows.
10. Fermez la console Gestion de l’ordinateur.
Tâche 3 : Création d'un objet GPO de déploiement de logiciel 1.
Exécutez Gestion des stratégies de groupe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans le conteneur Objets de stratégie de groupe, créez un objet GPO appelé XML Notepad. Modifiez l'objet GPO.
3.
Développez Configuration ordinateur, Stratégies, Paramètres du logiciel, puis cliquez sur Installation de logiciel.
4.
Cliquez avec le bouton droit sur Installation de logiciel, pointez sur Nouveau, puis cliquez sur Package
5.
Dans la zone de texte Nom de fichier, entrez le chemin d'accès réseau du dossier de distribution de logiciel, \\server01\software\XML Notepad, et appuyez sur Entrée.
6.
Sélectionnez le package Windows Installer XmlNotepad.msi, puis cliquez sur Ouvrir. Après quelques instants d'attente, la boîte de dialogue Déploiement de logiciel s'affiche.
7.
Cliquez sur Avancé, puis sur OK.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
8.
Sur l'onglet Général, notez que le nom du package indique la version : XML Notepad 2007.
9.
Cliquez sur l'onglet Déploiement. Notez que lors du déploiement de logiciel sur des ordinateurs, la seule option est Attribué. Examinez les options disponibles si vous attribuez ou publiez l'application aux utilisateurs.
10. Sélectionnez Désinstaller cette application lorsqu'elle se trouve en dehors de l'étendue de la gestion. 11. Cliquez sur OK. 12. Fermez l'Éditeur de gestion des stratégies de groupe. 13. Définissez l'étendue de l'objet GPO de façon à l'appliquer uniquement aux membres de APP_XML Notepad, et pas aux Utilisateurs authentifiés. 14. Associez l'objet GPO à l'unité d'organisation Client Computers.
Tâche 4 : Déploiement du logiciel sur les ordinateurs 1.
Ajoutez DESKTOP101 au groupe APP_XML Notepad.
2.
Démarrez 6238B-DESKTOP101-A mais n'ouvrez pas de session.
Tâche 5 : Vérification du déploiement du logiciel 1.
Ouvrez une session sur DESKTOP101 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
2.
Vérifiez que XML Notepad a été installé.
Remarque : il peut être nécessaire d'effectuer deux démarrages pour achever l'installation de XML Notepad. Donc si vous ne trouvez pas Notepad, redémarrez l'ordinateur virtuel. Vous devrez peut-être le faire deux fois.
Résultats : au cours de cet exercice, vous déployez XML Notepad sur DESKTOP101.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-84
7-85
Exercice 2 : Mise à niveau d'applications avec GPSI Dans cet exercice, vous allez simuler le déploiement d'une mise à niveau de XML Notepad. La tâche principale de cet exercice est la suivante : •
Créer un package de mise à niveau avec GPSI.
Tâche 1 : Création d'un package de mise à niveau avec GPSI 1.
Basculez vers HQDC01.
2.
Dans l'arborescence de la console Gestion de stratégie de groupe, cliquez avec le bouton droit sur l'objet GPO XML Notepad dans le conteneur Objets de stratégie de groupe, et cliquez sur Modifier. L'Éditeur de gestion des stratégies de groupe s'ouvre.
3.
Dans l'arborescence de la console, développez Configuration ordinateur, Stratégies, Paramètres du logiciel, puis cliquez sur Installation de logiciel.
4.
Cliquez avec le bouton droit sur Installation de logiciel, pointez sur Nouveau, puis cliquez sur Package
5.
Dans la zone de texte Nom de fichier, entrez le chemin d'accès réseau du dossier de distribution de logiciels, \\server01\software\XML Notepad, et appuyez sur Entrée. Pour cet exercice, vous allez utiliser le fichier XmlNotepad.msi, qui est une mise à niveau de XML Notepad.
6.
Sélectionnez le package Windows Installer XmlNotepad.msi, puis cliquez sur Ouvrir. La boîte de dialogue Déploiement de logiciel s'affiche.
7.
Cliquez sur Avancé, puis sur OK.
8.
Sur l'onglet Général, modifiez le nom du package pour indiquer qu'il s'agit de la version suivante de l'application. Entrez XML Notepad 2010.
9.
Cliquez sur l'onglet Déploiement. Comme vous déployez l'application sur des ordinateurs, la seule option pour le type de déploiement est Attribué.
10. Cliquez sur l'onglet Mises à niveau. 11. Cliquez sur le bouton Ajouter. 12. Cliquez sur l'option Objet de stratégie de groupe (GPO) actuel.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
13. Dans la liste Package à mettre à niveau, sélectionnez le package de la version précédente, XML Notepad 2007. 14. Cliquez sur Désinstaller le package existant, puis installer le package de mise à niveau. 15. Cliquez sur OK. 16. Cliquez sur OK. Dans le cas d'une mise à niveau réelle, le nouveau package met à jour la version précédente de l'application car les clients ont appliqué l'objet GPO XML Notepad. Comme il s'agit d'une simulation de la mise à niveau, vous pouvez supprimer le package de mise à jour de la simulation. 17. Cliquez avec le bouton droit sur XML Notepad 2010, que vous avez créé pour simuler la mise à niveau, pointez sur Toutes les tâches, puis sélectionnez Supprimer. 18. Dans la boîte de dialogue Suppression de logiciel, cliquez sur Désinstaller immédiatement le logiciel des utilisateurs et des ordinateurs, puis sur OK. Résultats : au cours de cet exercice, vous simulez une mise à niveau de XML Notepad avec GPSI. Important : n'arrêtez pas les ordinateurs virtuels à la fin de cet atelier car les paramètres que vous avez configurés seront utilisés dans les ateliers suivants.
Questions de contrôle des acquis Question : Examinez les autorisations NTFS que vous avez appliquées aux dossiers Software et XML Notepad sur SERVER01. Expliquez pourquoi ces autorisations sont préférables aux autorisations par défaut. Question : Examinez les méthodes utilisées pour définir l'étendue du déploiement de XML Notepad : Attribution d'application aux ordinateurs, filtrage de l'objet GPO pour l'appliquer au groupe APP_XML Notepad qui contient uniquement des ordinateurs, et association de l'objet GPO à l'unité d'organisation Client Computers. Pourquoi cette approche est-elle avantageuse pour le déploiement de la plupart des logiciels ? Quel est l'inconvénient si l'étendue du déploiement de logiciel est définie sur les utilisateurs plutôt que sur les ordinateurs ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-86
7-87
Leçon 4
Audit
L'audit est un composant important de la sécurité. L'audit permet de consigner des activités spécifiques de l'entreprise dans le journal de sécurité Windows, que vous pouvez analyser pour comprendre ces activités et identifier les problèmes à traiter. L'audit permet de consigner des activités en vue de générer de la documentation sur les modifications. Il permet également de consigner les échecs des tentatives d'accès potentiellement malveillantes aux ressources de l'entreprise. L'audit peut faire intervenir jusqu'à trois outils de gestion : stratégie d'audit, audit des paramètres sur les objets, et le journal de sécurité. Cette leçon explique comment configurer l'audit dans différents scénarios courants.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
configurer une stratégie d'audit ;
•
configurer des paramètres d'audit sur des objets de système de fichiers ;
•
afficher le journal de sécurité à l'aide du composant Observateur d'événements.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Présentation des stratégies d'audit
Points clés Une stratégie d'audit configure un système pour auditer des catégories d'activités. Si la stratégie d'audit n'est pas activée, un serveur n'audite pas ces activités. La capture d'écran de la page suivante représente le nœud Stratégie d'audit d'un objet GPO :
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-88
7-89
Pour configurer l'audit, vous devez définir le paramètre de stratégie. Double cliquez sur un paramètre de stratégie et sélectionnez l'option Définir ces paramètres de stratégie. Puis activez l'audit des réussites, l'audit des échecs ou les deux. Le tableau suivant définit chaque stratégie d'audit et les paramètres par défaut correspondants sur un contrôleur de domaine Windows Server 2008. Stratégies d'audit
Paramètre de stratégie d'audit Auditer les événements de connexion aux comptes
Description Création d'un événement lors de la demande d'authentification d'un utilisateur ou d'un ordinateur avec un compte Active Directory. Par exemple, lorsqu'un utilisateur ouvre une session sur un ordinateur du domaine, un événement de connexion à un compte est généré.
Paramètre par défaut pour les Contrôleurs de domaine Windows Server 2008 Les connexions aux comptes réussies sont auditées.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
(suite)
Paramètre de stratégie d'audit
Description
Paramètre par défaut pour les Contrôleurs de domaine Windows Server 2008
Audit des événements de connexion
Création d'un événement lorsqu'un utilisateur se connecte de façon interactive (localement) à un ordinateur ou via le réseau (à distance). Par exemple, si un poste de travail et un serveur sont configurés pour auditer les connexions, le poste de travail audite la connexion d'un utilisateur directement sur ce poste de travail. Si l'utilisateur se connecte à un dossier partagé situé sur le serveur, le serveur consigne cette connexion à distance. Lorsqu'un utilisateur se connecte, le contrôleur de domaine enregistre une connexion car les stratégies et les scripts de connexion proviennent du contrôleur de domaine.
Les connexions réussies sont auditées.
Gestion des comptes d'audit
Événements d'audit, notamment la création, la suppression ou la modification de comptes d'utilisateur, de groupe ou d'ordinateur et réinitialisation des mots de passe utilisateur.
Les activités de gestion de compte réussies sont auditées.
Auditer l'accès au service d'annuaire
Audit des événements définis dans la liste de contrôle d'accès système (SACL), qui s'affiche dans la boîte de dialogue des Propriétés des paramètres de sécurité avancés de l'objet Active Directory. Outre la définition de la stratégie d'audit avec ce paramètre, vous devez également configurer l'audit de l'objet ou des objets spécifiques en utilisant la liste SACL du ou des objets. Cette stratégie est similaire à la stratégie Auditer l'accès aux objets, qui permet d'auditer des fichiers et des dossiers, mais elle s'applique aux objets Active Directory.
Les événements d'accès au service d'annuaire réussis sont audités, mais peu de listes SACL d'objets définissent les paramètres d'audit.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-90
7-91
(suite)
Paramètre de stratégie d'audit
Description
Paramètre par défaut pour les Contrôleurs de domaine Windows Server 2008
Audit des modifications de stratégie
Audit des modifications des stratégies d'attribution de droits utilisateur, des stratégies d'audit ou de stratégies d'approbation.
Les modifications de stratégies réussies sont auditées.
Audit de l'utilisation des privilèges
Audit de l'utilisation d'un privilège ou un droit utilisateur. Voir la description de cette stratégie dans l'Éditeur de gestion des stratégies de groupe.
Aucun audit n'est effectué par défaut.
Audit des événements système
Audit du redémarrage et de l'arrêt du système, ou des modifications qui affectent le système ou le journal de sécurité.
Les événements système réussis sont auditées.
Audit du suivi des processus
Audit des événements tels que l'activation de programme et la sortie de processus. Voir la description de cette stratégie dans l'Éditeur de gestion des stratégies de groupe.
Aucun événement n'est audité.
Audit de l'accès aux objets
Audit de l'accès aux objets, tels que les fichiers, les dossiers, les clés du Registre et les imprimantes, associés à une liste SACL spécifique. Outre l'activation de cette stratégie d'audit, vous devez configurer les entrées d'audit des listes SACL des objets.
Aucun événement n'est audité.
Comme vous pouvez le constater, la plupart des événements Active Directory sont déjà audités par des contrôleurs de domaine, ce qui suppose que les événements sont réussis. Par conséquent, la création d'un utilisateur, la réinitialisation du mot de passe d'un utilisateur, la connexion au domaine et la récupération des scripts de connexion d'un utilisateur sont consignés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Toutefois, tous les événements d'échec sont audités par défaut. Vous pouvez implémenter d'autres audits d'échecs en fonction des stratégies et des besoins de la sécurité informatique de votre entreprise. L'audit des échecs de connexion aux comptes, par exemple, permet de déceler les tentatives malveillantes d'accès au domaine d'après des tentatives répétées de connexion à un compte utilisateur de domaine sans connaissance du mot de passe du compte. L'audit des échecs d'événements de gestion de compte peut révéler des tentatives de manipulation des membres d'un groupe protégé de façon spéciale. L'une des tâches les plus importantes que vous devez effectuer est d'équilibrer et d'adapter la stratégie d'audit en fonction des stratégies de votre entreprise et du contexte réel. La stratégie de l'entreprise peut nécessiter l'audit des échecs de connexion et des modifications réussies des utilisateurs et groupes Active Directory. Cela est simple à obtenir dans Active Directory. Mais comment allezvous utiliser ces informations ? Les journaux d'audit détaillés sont inutiles si vous ne savez pas comment ou avec quels outils les gérer efficacement. Pour implémenter l'audit, vous devez connaître les besoins d'audit de l'entreprise et disposer d'une stratégie d'audit bien configurée, ainsi que des outils permettant de gérer les événements audités.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-92
Définition des paramètres d'audit sur un fichier ou un dossier
Points clés Beaucoup d'entreprises choisissent d'auditer l'accès au système de fichiers afin d'obtenir des informations sur l'utilisation des ressources et les problèmes de sécurité potentiels. Windows Server 2008 prend en charge l'audit granulaire en fonction des comptes d'utilisateur ou de groupe et des actions spécifiques effectuées par ces comptes. Pour configurer l'audit, effectuez les trois étapes suivantes : définition des paramètres d'audit, activation de la stratégie d'audit et évaluation des événements figurant dans le journal de sécurité. Vous pouvez auditer l'accès à un fichier ou un dossier en ajoutant des entrées d'audit à la liste de contrôle d'accès système (SACL) correspondante. 1.
Ouvrez la boîte de dialogue des propriétés du fichier ou du dossier, puis cliquez sur l'onglet Sécurité.
2.
Cliquez sur le bouton Avancé.
7-93
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
3.
Cliquez sur l'onglet Audit. La boîte de dialogue Paramètres de sécurité avancés d'un dossier appelé Confidential Data est représentée sur la capture d'écran suivante :
4.
Pour ajouter une entrée, cliquez sur le bouton Modifier pour ouvrir l'onglet Audit en mode Modification.
5.
Cliquez sur le bouton Ajouter pour sélectionner l'utilisateur, le groupe ou l'ordinateur à auditer.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-94
6.
7-95
La boîte de dialogue Audit représentée sur la capture d'écran suivante indique le type d'accès à auditer :
Vous pouvez auditer les réussites, les échecs ou les deux lors des tentatives d'accès à la ressource effectuées par un utilisateur, un groupe ou un ordinateur selon un ou plusieurs niveaux d'accès granulaires. Vous pouvez auditer les réussites dans les objectifs suivants : •
consigner l'accès aux ressources en vue des rapports et de la facturation ;
•
analyser les accès qui semblent indiquer que les utilisateurs effectuent davantage d'actions que celles que vous avez prévues, ce qui indique que les autorisations ne sont pas assez strictes ;
•
identifier les accès abusifs à un compte, indication possible du piratage du compte d'utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
L'audit des échecs permet d'effectuer les actions suivantes : •
analyser des tentatives malveillantes d'accès à une ressource faisant l'objet d'un refus d'accès ;
•
identifier les tentatives avortées d'accès à un fichier ou un dossier auquel un utilisateur demande d'accéder ; cela indique que les autorisations ne sont pas suffisantes pour répondre à un besoin professionnel.
L'audit des entrées indique à Windows d'auditer les activités réussies ou les échecs d'une entité de sécurité (utilisateur, groupe ou ordinateur) pour utiliser une autorisation spécifique. Dans l'exemple de la capture d'écran de la boîte de dialogue Audit représentée ci-dessus, l'audit consigne les échecs d'accès des utilisateurs du groupe Consultants aux données du dossier Confidential Data à tout niveau. Cela est effectué par configuration d'une entrée d'audit pour l'accès Contrôle total. Le contrôle total inclut tous les niveaux d'accès spécifiques, cette entrée couvre donc tout type d'accès. Si un membre du groupe Consultant tente un accès et échoue, l'activité est consignée. En général, les entrées d'audit correspondent aux entrées des autorisations de l'objet. En d'autres termes, vous pouvez configurer le dossier Confidential Data avec des autorisations qui empêchent les Consultants d'accéder à son contenu. Vous pouvez alors appliquer l'audit pour identifier les Consultants qui essayent tout de même d'accéder à ce dossier. Bien entendu, un membre du groupe Consultants peut également appartenir à un autre groupe qui a l'autorisation d'accéder au dossier. Comme cet accès va aboutir, l'activité n'est pas consignée. Par conséquent, s'il est absolument nécessaire d'empêcher les utilisateurs d'accéder à un dossier, analysez les échecs des tentatives d'accès, mais auditez également les accès réussis pour déterminer les situations dans lesquelles un utilisateur accède au dossier grâce à son appartenance à un autre groupe, lequel peut être potentiellement inacceptable. Important : évitez un excès d'audit. Les journaux d'audit peuvent devenir rapidement très volumineux. Il est donc essentiel de configurer l'audit minimum requis aux activités de l'entreprise. Si l'audit est défini pour consigner les réussites et les échecs sur un dossier de données actif, pour le groupe Tout le monde, avec le Contrôle total (toutes les autorisations), les journaux d'audit générés risquent d'être extrêmement volumineux et d'affecter les performances du serveur, ainsi que la recherche d'un événement particulier.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-96
7-97
Activation de la stratégie d'audit
Points clés La configuration des entrées d'audit dans le descripteur de sécurité d'un fichier ou un dossier n'active pas l'audit. L'audit doit être activé en définissant le paramètre Auditer l'accès aux objets, qui est présenté sur la page suivante :
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Une fois l'audit activé, le sous-système de sécurité commence à surveiller les paramètres de l'audit et à consigner les accès en fonction des paramètres définis. Le paramètre de stratégie doit être appliqué au serveur qui contient l'objet audité. Vous pouvez configurer le paramètre de stratégie dans l'objet GPO local du serveur ou utiliser un objet GPO dont l'étendue est le serveur. Vous pouvez définir la stratégie, puis auditer les réussites, les échecs ou les deux. Le paramètre de stratégie (représenté ci-dessus) doit définir l'audit des réussites ou des échecs correspondant au type d'entrée d'audit de la liste SACL de l'objet (représenté dans la rubrique précédente). Par exemple, pour consigner un échec d'accès des Consultants au dossier Confidential Data, vous devez configurer la stratégie Auditer l'accès aux objets pour auditer les échecs et configurer la liste SACL du dossier Confidential Data pour auditer les échecs. Si seules les réussites sont auditées par la stratégie d'audit, les entrées des échecs de la liste SACL du dossier ne déclenche pas la consignation. Remarque : vérification de la correspondance entre la stratégie d'audit et les entrées d'audit. Notez bien que l'accès audité et consigné est le résultat d'une combinaison des entrées d'audit des fichiers et dossiers spécifiques et des paramètres de la stratégie d'audit. Si vous configurez les entrées d'audit de façon à consigner les échecs, et si la stratégie active uniquement la consignation des réussites, les journaux d'audit restent vides.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-98
7-99
Évaluation des événements dans le journal de sécurité
Points clés Lorsque vous activez le paramètre de stratégie Auditer l'accès aux objets et définissez l'accès à auditer, en utilisant des listes SACL d'objets, le système va commencer à consigner l'accès en fonction des entrées d'audit. Vous pouvez consulter les événements obtenus dans le journal de sécurité du serveur. Ouvrez la console Observateur d'événements depuis le dossier Outils d'administration. Développez Journaux Windows\Sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique D : Audit de l'accès au système de fichiers
Scénario Dans cet atelier, vous allez configurer les paramètres d'audit, activer des stratégies d'audit pour l'accès aux objets, et filtrer des événements particuliers dans le journal de sécurité. L'objectif de l'entreprise est de surveiller un dossier contenant des données confidentielles qui ne doivent pas être consultées par les utilisateurs du groupe Consultants.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-100
7-101
Exercice 1 : Configuration des autorisations et des paramètres d'audit Dans cet exercice, vous allez configurer des autorisations dans le dossier Confidential Data pour refuser l'accès aux consultants. Vous allez ensuite activer l'audit des tentatives d'accès au dossier effectuées par les consultants. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Créer et sécuriser un dossier partagé.
3.
Configurer des paramètres d'audit sur un dossier.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
2.
Démarrez 6238B-SERVER01-A mais n'ouvrez pas de session.
3.
Démarrez 6238B-DESKTOP101-A mais n'ouvrez pas de session.
4.
Attendez la fin du démarrage de tous les ordinateurs virtuels pour passer à la tâche suivante.
Tâche 2 : Création et sécurisation d'un dossier partagé 1.
Basculez vers HQDC01.
2.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
3.
Dans l'unité d'organisation Groups\Role, créez un groupe de sécurité global nommé Consultants.
4.
Ajoutez Mike.Danseglio au groupe Consultants.
5.
Créez un nouveau dossier dans \\server01\c$\data appelé Confidential Data.
6.
Configurez des autorisations NTFS de façon à refuser au groupe Consultants l'accès au dossier.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Configuration des paramètres d'audit sur un dossier •
Configurez des paramètres d'audit dans le dossier Confidential Data pour auditer tout échec d'accès provenant du groupe Consultants.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-102
7-103
Exercice 2 : Configuration de la stratégie d'audit Dans cet exercice, vous allez activer l'audit de l'accès au système de fichiers sur les serveurs de fichiers en utilisant la stratégie de groupe. Les tâches principales de cet exercice sont les suivantes : •
Activer l'audit de l'accès au système de fichiers en utilisant la stratégie de groupe.
Tâche 1 : Activation de l'audit d'accès au système de fichiers en utilisant la stratégie de groupe 1.
Exécutez Gestion des stratégies de groupe en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Créez un objet GPO (ou objet de stratégie de groupe) nommé File Server Auditing.
3.
Configurez l'objet GPO de façon à auditer les échecs d'accès aux objets.
4.
Associez l'objet GPO à l'unité d'organisation Servers\File. Résultats : au cours de cet exercice, vous configurez l'audit des échecs d'accès aux objets du système de fichiers sur les serveurs de l'unité d'organisation Servers\File.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 3 : Analyse des événements de l'audit Dans cet exercice, vous allez auditer des événements d'échec, puis examiner les messages du journal d'événements de sécurité. Les tâches principales de cet exercice sont les suivantes : 1.
Générer des événements d'audit.
2.
Examiner les messages du journal d'événements d'audit.
Tâche 1 : Création des événements d'audit 1.
Ouvrez une session sur SERVER01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
2.
Exécutez l'Invite de commandes en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
3.
Actualisez la Stratégie de groupe pour appliquer les nouveaux paramètres d'audit en exécutant la commande gpupdate.exe /force.
4.
Fermez votre session sur SERVER01.
5.
Ouvrez une session sur DESKTOP101 sous le nom d'utilisateur Mike.Danseglio avec le mot de passe Pa$$w0rd.
6.
Essayez d'ouvrir \\server01\data\Confidential Data. Un message indique que l'accès est refusé.
Tâche 2 : Analyse des messages du journal d'événements d'audit 1.
Basculez vers SERVER01.
2.
Exécutez l'Observateur d’événements en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
3.
Recherchez les événements d'échec relatifs à l'accès de Mike Danseglio au dossier Confidential Data.
Question : À quelle Catégorie de tâche appartient l'événement ? Quel est l'ID de l'événement ? Quel type d'accès a été tenté ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-104
7-105
Résultats : au cours de cet exercice, vous validez l'audit des échecs d'accès des membres du groupe Consultants au dossier Confidential Data.
Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
Questions de contrôle des acquis Question : Quelles sont les trois principales étapes de la configuration de l'audit de l'accès au système de fichiers et aux autres objets ? Question : Sur quels systèmes est-il nécessaire de configurer l'audit ? Existe-t-il une raison de ne pas auditer tous les systèmes de l'entreprise ? Quels types d'accès doivent être audités, et qui doit effectuer l'audit ? Existe-t-il une raison de ne pas auditer tous les accès de tous les utilisateurs ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion de la configuration et de la sécurité de l'entreprise avec les paramètres de stratégie de groupe
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-1
Module 8 Administration sécurisée Table des matières : Leçon 1 : Délégation des autorisations administratives
8-4
Atelier pratique A : Délégation de l'administration
8-27
Leçon 2 : Audit des modifications Active Directory®
8-36
Atelier pratique B : Audit des modifications Active Directory
8-42
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vue d'ensemble du module
La sécurité est au centre des préoccupations de la plupart des grandes entreprises d'aujourd'hui. Alors que les organisations œuvrent à la suppression des privilèges administratifs superflus qui ont été attribués par le passé aux utilisateurs de stations de travail, elles s’efforcent également de verrouiller et de gérer les privilèges accordés aux administrateurs eux-mêmes. Pour gérer la sécurité de l’administration d’Active Directory, il est indispensable de comprendre comment certaines tâches d’administration sont déléguées et comment l’audit des modifications apportées à l’annuaire est effectué.
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
décrire l'objectif de la délégation pour une entreprise ;
•
affecter des autorisations à des objets Active Directory à l'aide des interfaces utilisateur d'éditeur de sécurité et de l'Assistant Délégation de contrôle ;
•
consulter et créer des rapports sur les autorisations au niveau des objets Active Directory à l’aide d’outils d’interface utilisateur et de ligne de commande ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-2
•
rétablir les autorisations par défaut d’un objet ;
•
décrire la relation entre une conception de délégation et une conception d’unité d’organisation ;
•
configurer l'audit des modifications du service d'annuaire ;
•
spécifier les paramètres d'audit au niveau des objets Active Directory ;
•
identifier les entrées de journaux d'événements créées par l'audit d'accès à l'annuaire et l'audit des modifications du service d'annuaire.
8-3
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 1
Délégation des autorisations administratives
Dans les modules précédents, vous avez appris à créer des utilisateurs, des groupes, des ordinateurs et des unités d'organisation, et à accéder aux propriétés de ces objets. Pour pouvoir effectuer ces opérations, il fallait faire partie du groupe Administrateurs du domaine. Or, il n'est pas question d'intégrer tous les utilisateurs de l'équipe de support technique au groupe Administrateurs du domaine pour simplement réinitialiser des mots de passe utilisateur et déverrouiller des comptes d'utilisateurs. Au lieu de cela, le support technique et chaque rôle au sein de l’organisation doivent être en mesure d’effectuer des tâches en rapport avec leur fonction, et pas plus. Dans cette leçon, vous allez apprendre à déléguer des tâches administratives spécifiques dans le cadre d’Active Directory. Cela consiste à modifier les listes de contrôle d’accès (ACL, access control list) au niveau des objets Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-4
8-5
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
décrire l'objectif de la délégation pour une entreprise ;
•
affecter des autorisations à des objets Active Directory à l'aide des interfaces utilisateurs de l'éditeur de sécurité et de l'Assistant Délégation de contrôle ;
•
consulter et créer des rapports sur les autorisations au niveau des objets Active Directory à l’aide d’outils d’interface utilisateur et de ligne de commande ;
•
rétablir les autorisations par défaut d’un objet ;
•
décrire la relation entre une conception de délégation et une conception d’unité d’organisation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Principes de la délégation
Points clés La plupart des organisations comptent plusieurs administrateurs, et il n’est pas rare que ces organisations répartissent les tâches d’administration entre les différents administrateurs ou les organisations de support à mesure qu’elles se développent. Par exemple, dans de nombreuses organisations, le support technique peut réinitialiser les mots de passe utilisateur et déverrouiller les comptes d’utilisateurs qui sont verrouillés. Cette capacité du support technique est une tâche d’administration déléguée. En principe, le support technique ne peut pas créer de nouveaux comptes d’utilisateurs, mais il peut apporter certaines modifications aux comptes d’utilisateurs existants. Cette prérogative déléguée est dite spécifique, ou granulaire. Pour poursuivre cet exemple, dans la plupart des organisations, la capacité du support technique à réinitialiser les mots de passe s’applique aux comptes d’utilisateurs normaux, mais pas aux comptes utilisés pour l’administration ni aux comptes de service. La délégation est alors dite limitée aux comptes d’utilisateurs standard.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-6
8-7
Tous les objets Active Directory, tels que les utilisateurs, les ordinateurs et les groupes que vous avez créés dans le module précédent, peuvent être sécurisés à l’aide d’une liste d’autorisations. Autrement dit, vous pouvez accorder à votre équipe de support technique l’autorisation de réinitialiser les mots de passe au niveau des objets utilisateur. Les autorisations appliquées à un objet sont appelées « entrées de contrôle d’accès » (ACE, access control entry). Elles sont affectées à des utilisateurs, des groupes ou des ordinateurs (appelés principaux de sécurité). Les entrées ACE sont enregistrées dans la liste de contrôle d’accès discrétionnaire (DACL, discretionary access control list) de l’objet. La liste DACL est un élément de la liste de contrôle d’accès (ACL, access control list) de l’objet, qui contient également la liste de contrôle d’accès système (SACL, system access control list) qui comprend les paramètres d’audit. Cela ne vous est pas étranger si vous avez étudié les autorisations applicables aux fichiers et dossiers (les termes et les concepts sont identiques). La délégation du contrôle administratif, également appelée délégation de contrôle ou tout bonnement délégation, consiste simplement à affecter des autorisations qui gèrent l’accès aux objets et aux propriétés dans Active Directory. Tout comme vous pouvez autoriser un groupe à modifier les fichiers dans un dossier, vous pouvez autoriser un groupe à réinitialiser les mots de passe au niveau des objets utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Afficher la liste ACL d’un objet Active Directory
Points clés Pour afficher la liste ACL d’un objet : 1.
Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2.
Cliquez sur le menu Affichage et sélectionnez Fonctionnalités avancées.
3.
Cliquez avec le bouton droit sur un objet et choisissez Propriétés.
4.
Cliquez sur l'onglet Sécurité. Si Fonctionnalités avancées n’est pas activé, l’onglet Sécurité ne s’affiche pas dans la boîte de dialogue Propriétés d’un objet.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-8
5.
8-9
Cliquez sur le bouton Avancé. L’onglet Sécurité offre une vue d’ensemble des principaux de sécurité auxquels des droits d’accès à l’objet ont été attribués. Toutefois, dans le cas des listes ACL Active Directory, il est rare que l’onglet Sécurité soit suffisamment détaillé pour fournir les informations dont vous avez besoin pour interpréter ou gérer une liste ACL. Vous devez toujours cliquer sur Avancé pour ouvrir la boîte de dialogue Paramètres de sécurité avancés. La boîte de dialogue Paramètres de sécurité avancés, illustrée ci-dessous, s’affiche à l’écran.
La page Autorisations de la boîte de dialogue Paramètres de sécurité avancés présente la liste DACL de l’objet. Comme vous pouvez le constater dans la capture d’écran, les entrées ACE sont résumées sur une ligne de la liste Entrées d’autorisations. Cette boîte de dialogue ne contient pas les entrées ACE granulaires de la liste DACL. Par exemple, l’entrée d’autorisation mise en évidence ci-dessus est en fait constituée de deux entrées ACE.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
6.
Pour afficher les entrées ACE granulaires d’une entrée d’autorisation, sélectionnez cette dernière et cliquez sur Modifier. La boîte de dialogue Entrée d’autorisation s’affiche en présentant en détail les entrées ACE spécifiques qui constituent l’entrée.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-10
8-11
Autorisations de propriétés, jeux de propriétés, droits de contrôle d’accès et autorisations d’objet
Points clés La liste DACL d’un objet permet d’affecter des autorisations à des propriétés spécifiques d’un objet. Par exemple, vous pouvez accorder (ou refuser) l’autorisation de modifier les options de téléphone et de messagerie électronique. De fait, il ne s’agit pas là d’une propriété unique, mais d’un jeu de propriétés qui comporte plusieurs propriétés spécifiques. Les jeux de propriétés permettent de gérer plus facilement les autorisations d’accès aux collections de propriétés couramment utilisées. Mais vous pouvez bénéficier d’une plus grande granularité et accorder ou refuser l’autorisation de modifier uniquement le numéro de téléphone mobile ou rien que l’adresse postale. Des autorisations peuvent également être affectées pour gérer les droits de contrôle d’accès, qui correspondent à des opérations telles que la modification ou la réinitialisation d’un mot de passe. Il est important de comprendre la différence entre ces deux droits de contrôle d’accès. Si vous avez le droit de modifier un mot de passe, vous devez connaître et entrer le mot de passe actuel avant de le modifier. Si vous avez le droit de réinitialiser un mot de passe, vous n’êtes pas tenu de connaître le mot de passe précédent.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Enfin, des autorisations peuvent être affectées à des objets. Par exemple, la capacité de modification des autorisations d’un objet est contrôlée par l’entrée ACE Allow Modify Permissions (Autoriser la modification des autorisations). Les autorisations d’objet permettent également de contrôler votre capacité à créer des objets enfants. Par exemple, vous pouvez octroyer à votre équipe de support des ordinateurs de bureau des autorisations de création d’objets ordinateur dans l’unité d’organisation Ordinateurs clients. Dans ce cas, l’entrée Allow Create Computer Objects (Autoriser la création d’objets ordinateur) doit être affectée à l’équipe de support des ordinateurs de bureau au niveau de l’UO. Le type et la portée des autorisations sont gérés sous les onglets Objet et Propriétés, via les listes déroulantes Appliquer à de ces onglets.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-12
8-13
Démonstration : Affecter une autorisation à partir de la boîte de dialogue Paramètres de sécurité avancés
Points clés Imaginez un scénario dans lequel vous souhaiteriez autoriser le support technique à modifier le mot de passe du compte d’utilisateur de Jeff Ford, et uniquement ce compte-là. Dans cette section, vous allez apprendre à effectuer cette opération en commençant par la méthode la plus difficile, à savoir, affecter l’entrée ACE de la liste DACL de l’objet utilisateur. Ensuite, vous apprendrez à définir une délégation via l’Assistant Délégation de contrôle pour toute l’UO des utilisateurs, et vous découvrirez pourquoi cette dernière méthode est recommandée.
Étapes de la démonstration 1.
Démarrez l’ordinateur 6238B-HQDC01-A. Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
2.
Cliquez sur Démarrer > Outils d’administration, puis exécutez Utilisateurs et ordinateurs Active Directory avec des informations d’identification d’administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
3.
Cliquez sur le menu Affichage et sélectionnez Fonctionnalités avancées.
4.
Cliquez avec le bouton droit sur un objet et choisissez Propriétés.
5.
Cliquez sur l'onglet Sécurité.
6.
Cliquez sur le bouton Avancé.
7.
Cliquez sur le bouton Ajouter. Si le Contrôle de compte d’utilisateur est activé, vous devrez peut-être cliquer sur Modifier et entrer des informations d’identification d’administration pour faire apparaître le bouton Ajouter.
8.
Dans la boîte de dialogue Sélectionner, sélectionnez le principal de sécurité auquel les autorisations seront affectées. Il est fortement recommandé d’affecter les autorisations à des groupes, et non à des utilisateurs individuels. Dans cet exemple, vous devez sélectionner votre groupe Support technique et appuyer sur Entrée. La boîte de dialogue Entrée d’autorisation s’affiche.
9.
Configurez les autorisations à affecter. Pour notre exemple, sous l’onglet Objet, faites défiler la liste Autorisations et sélectionnez Autoriser::Réinitialiser le mot de passe.
10. Cliquez sur OK pour fermer chaque boîte de dialogue.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-14
8-15
Comprendre et gérer les autorisations avec héritage
Points clés Vous avez des sueurs froides à l’idée d’avoir à affecter au support technique une autorisation de réinitialisation de mot de passe pour chaque objet utilisateur individuel ? Alors rassurez-vous : vous n’avez pas besoin d’affecter des autorisations à des objets individuels dans Active Directory. Qui plus est, il s’agit d’une mauvaise pratique. De fait, les autorisations doivent être affectées à des unités d’organisation. Tous les objets de l’UO à laquelle vous affectez les autorisations héritent de ces dernières. Autrement dit, si vous octroyez au support technique l’autorisation de réinitialiser les mots de passe pour les objets utilisateur et que vous liez cette autorisation à l’UO qui contient vos utilisateurs, tous les objets utilisateur contenus dans cette UO hériteront de cette autorisation. Ainsi, en une seule opération, vous aurez délégué cette tâche d’administration. L’héritage est un concept facile à comprendre. Les objets enfants héritent des autorisations du conteneur parent ou de l’UO. Ce conteneur ou UO hérite à son tour des autorisations de son conteneur ou UO parent ou, s’il s’agit d’un conteneur ou d’une UO de premier niveau, du domaine lui-même. Si les objets enfants héritent des autorisations de leur parents, c’est parce que l’option Inclure les autorisations pouvant être héritées du parent de cet objet est activée par défaut pour chaque nouvel objet créé.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Toutefois, comme l’option l’indique, les objets enfants héritent uniquement des autorisations qui peuvent être héritées. Certaines autorisations ne peuvent pas être héritées. Par exemple, les objets groupe ne peuvent pas hériter de l’autorisation de réinitialisation des mots de passe affectée à une UO, car ces objets ne possèdent pas d’attribut de mot de passe. L’héritage peut donc être limité à des classes d’objet spécifiques : les mots de passe sont applicables aux objets utilisateur, et non aux groupes. De plus, vous pouvez utiliser la zone Appliquer à de la boîte de dialogue Entrée d’autorisation pour définir la portée de l’héritage d’une autorisation. C’est à ce stade que le sujet peut vous paraître très compliqué. Vous devez savoir que, par défaut, les nouveaux objets héritent des autorisations qui peuvent être héritées de leur objet parent (généralement une UO ou un conteneur). Que se passe-t-il si les autorisations héritées sont mal appropriées ? Vous pouvez modifier les autorisations dont hérite un objet enfant de trois façons différentes : •
Premièrement, vous pouvez désactiver l’héritage en désélectionnant l’option Inclure les autorisations pouvant être héritées du parent de cet objet dans la boîte de dialogue Paramètres de sécurité avancés. Dans ce cas, l’objet n’hérite plus des autorisations de son parent (toutes les autorisations sont alors définies explicitement pour l’objet enfant). En règle générale, cette pratique est à éviter, car elle crée une exception à la règle créée par les autorisations des conteneurs parents.
•
La deuxième possibilité consiste à autoriser l’héritage, mais à remplacer l’autorisation héritée par une autorisation spécifiquement affectée à l’objet enfant (autorisation explicite). Les autorisations explicites ont toujours la priorité sur les autorisations héritées des objets parents. Cela a une conséquence importante : une autorisation explicite qui autorise un accès remplacera de fait une autorisation héritée qui refuse ce même accès. Si cela vous paraît illogique, ravisez-vous : la règle (Refuser) est définie par un parent, mais l’objet enfant a été configuré comme étant une « exception » (Autoriser).
•
En troisième lieu, vous pouvez modifier la portée de l’héritage au niveau de l’autorisation parente elle-même en modifiant l’option dans la liste déroulante Appliquer à de la boîte de dialogue Entrée d’autorisation. Dans la plupart des cas, il s’agit d’une méthode recommandée. Elle consiste en effet à définir de façon plus précise la stratégie de sécurité sous forme de liste ACL à sa source, au lieu d’essayer de la remplacer à un niveau inférieur dans l’arborescence.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-16
8-17
Démonstration : Déléguer des tâches d’administration à l’aide de l’Assistant Délégation de contrôle
Points clés Vous avez pu constater la complexité d’une liste DACL, et vous avez probablement remarqué que la gestion des autorisations via la boîte de dialogue Entrée d’autorisation n’est pas une tâche aisée. Par chance, la meilleure pratique ne consiste pas à gérer les autorisations à partir des interfaces de sécurité, mais plutôt à utiliser l’Assistant Délégation de contrôle. La procédure suivante détaille l’utilisation de l’Assistant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Étapes de la démonstration 1.
Sur l’ordinateur HQDC01, cliquez sur Démarrer > Outils d’administration et exécutez Utilisateurs et ordinateurs Active Directory avec des informations d’identification d’administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Cliquez avec le bouton droit sur le nœud (domaine ou UO) pour lequel vous souhaitez déléguer des tâches d’administration ou le contrôle administratif, puis choisissez Délégation de contrôle. Dans notre exemple, vous devez sélectionner l’UO qui contient vos utilisateurs. L’Assistant Délégation de contrôle s’affiche pour vous guider tout au long de la procédure.
3.
Cliquez sur Suivant. Pour commencer, vous devez sélectionner le groupe d’administration auquel vous accordez des privilèges.
4.
Dans la page Utilisateurs ou groupes, cliquez sur le bouton Ajouter.
5.
Dans la boîte de dialogue Sélectionner, sélectionnez le groupe, puis cliquez sur OK.
6.
Cliquez sur Suivant. Vous devez à présent indiquer la tâche spécifique que vous souhaitez affecter à ce groupe.
7.
Dans la page Tâches à déléguer, sélectionnez la tâche. Dans notre exemple, vous devez sélectionner Réinitialiser les mots de passe utilisateur et forcer le changement de mot de passe à la prochaine ouverture de session.
8.
Cliquez sur Suivant.
9.
Examinez le récapitulatif des actions qui ont été exécutées, puis cliquez sur Terminer. L’Assistant Délégation de contrôle applique les entrées ACE requises pour permettre au groupe sélectionné d’effectuer la tâche spécifiée.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-18
8-19
Consulter et créer de rapports sur les autorisations
Points clés Il existe plusieurs autres façons de consulter et de créer des rapports sur les autorisations lorsque vous avez besoin de savoir qui peut faire quoi. Vous avez déjà découvert qu’il était possible de consulter les autorisations au niveau de la liste DACL via les boîtes de dialogue Paramètres de sécurité avancée et Entrée d’autorisation. DSACLs (dsacls.exe) est également disponible sous la forme d’un outil de ligne de commande qui crée des rapports sur les objets de service d’annuaire. Si vous tapez la commande suivie du nom unique d’un objet, vous obtiendrez un rapport sur les autorisations de l’objet. Par exemple, cette commande génèrera un rapport sur les autorisations associées à l’UO User Accounts : dsacls.exe "ou=User Accounts,dc=contoso,dc=com"
DSACLs permet également de définir des autorisations (à déléguer). Tapez dsacls.exe /? pour obtenir de l’aide concernant la syntaxe et l’utilisation de DSACLs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Supprimer ou réinitialiser les autorisations au niveau d’un objet
Points clés Comment faire pour supprimer ou réinitialiser des autorisations qui ont été déléguées ? Hélas, il n’existe pas de commande d’annulation de délégation. Vous devez procéder de l’une des façons suivantes : •
Ouvrez les boîtes de dialogue Paramètres de sécurité avancés et Entrée d’autorisation pour supprimer les autorisations.
•
Si vous souhaitez rétablir les autorisations par défaut de l’objet, ouvrez la boîte de dialogue Paramètres de sécurité avancés, puis cliquez sur Paramètres par défaut. Les autorisations par défaut sont définies par schéma Active Directory de la classe d’objet. Après avoir rétabli les valeurs par défaut, vous pouvez reconfigurer les autorisations explicites que vous voulez ajouter à la liste DACL.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-20
•
8-21
DSACLs propose également le commutateur /s pour réinitialiser les autorisations avec les valeurs par défaut définies par schéma, ainsi que le commutateur /t pour modifier l’« arborescence » toute entière (l’objet et tous ses objets enfants). Par exemple, pour réinitialiser les autorisations de l’unité d’organisation Personnes et de l’ensemble de ses UO et objets enfants, vous devez entrer : dsacls "ou=User Accounts,dc=contoso,dc=com" /s /t
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Principes des autorisations effectives
Points clés Les autorisations effectives sont les autorisations résultantes d’un principal de sécurité, tel qu’un utilisateur ou un groupe, en fonction de l’effet cumulé de chaque entrée ACE héritée et explicite. Par exemple, votre capacité à réinitialiser le mot de passe d’un utilisateur peut être due au fait que vous être membre d’un groupe ayant obtenu une autorisation Réinitialiser le mot de passe pour une UO située plusieurs niveaux audessus de l’objet utilisateur. L’autorisation héritée affectée à un groupe auquel vous appartenez a engendré une autorisation effective Autoriser::Réinitialiser le mot de passe. Entre les autorisations Autoriser et Refuser, les entrées ACE explicites et héritées et le fait que vous pouvez appartenir à plusieurs groupes, chacun pouvant avoir des autorisations différentes, vos autorisations effectives peuvent être complexes. Qu’elles soient affectées à votre compte d’utilisateur ou à un groupe auquel vous appartenez, les autorisations sont équivalentes. En fin de compte, une entrée ACE s’applique à vous, utilisateur. Si la meilleure pratique consiste à gérer les autorisations en les affectant à des groupes, il est également possible d’affecter les entrées ACE à des utilisateurs ou des ordinateurs individuels. Une autorisation qui a été directement affectée à vous, utilisateur, n’est ni plus importante, ni moins importante qu’une autorisation affectée à un groupe auquel vous appartenez.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-22
8-23
Les autorisations qui autorisent l’accès (Autorisations Autoriser) sont cumulatives. Si vous appartenez à plusieurs groupes et que ces groupes se sont vus affecter des autorisations qui permettent d’effectuer diverses tâches, vous pouvez effectuer toutes les tâches affectées à tous ces groupes, ainsi que les tâches directement affectées à votre compte d’utilisateur. Les autorisations qui refusent l’accès (Autorisations Refuser) se substituent aux autorisations Autoriser. Si vous faites partie à la fois d’un groupe qui est autorisé à réinitialiser les mots de passe et d’un autre groupe qui ne l’est pas, l’autorisation Refuser vous empêche de réinitialiser les mots de passe. Remarque : en règle générale, il n’est pas nécessaire d’affecter des autorisations Refuser : si vous n’affectez pas d’autorisation Autoriser, les utilisateurs ne peuvent tout simplement pas effectuer la tâche. Avant d’affecter une autorisation Refuser, voyez si la suppression d’une autorisation Autoriser ne suffit pas à atteindre votre objectif. Veillez à utiliser les autorisations Refuser avec parcimonie et discernement.
Chaque autorisation est granulaire. Ce n’est pas parce que l’autorisation de réinitialiser les mots de passe vous a été refusée que vous ne pouvez pas, en vertu d’autres autorisations Autoriser, modifier le nom d’ouverture de session ou l’adresse de messagerie de l’utilisateur. Enfin, nous avons vu plus haut dans cette leçon que les objets enfants héritent par défaut des autorisations pouvant être héritées des objets parents, et que les autorisations explicites peuvent se substituer aux autorisations pouvant être héritées. Cela signifie qu’une autorisation Autoriser se substitue de fait à une autorisation Refuser héritée. Malheureusement, du fait de l’interaction complexe entre les autorisations utilisateur, groupe, explicites, héritées, Autoriser et Refuser, il peut être très difficile d’évaluer les autorisations effectives. La boîte de dialogue Paramètres de sécurité avancés d’un objet Active Directory comporte bien un onglet Autorisations effectives, mais celui-ci s’avère pratiquement inutile : il ne présente pas suffisamment d’autorisations pour fournir le type d’information détaillée dont vous aurez besoin. Vous pouvez utiliser les autorisations exposées par la commande DSACLs ou par l’onglet Autorisations de la boîte de dialogue Paramètres de sécurité avancés pour commencer à évaluer les autorisations effectives, mais il s’agira d’une tâche manuelle.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Lectures complémentaires •
Le meilleur moyen de gérer la délégation dans Active Directory est d’utiliser le contrôle d’accès basé sur les rôles. Bien que l’examen de certification ne porte pas sur cette approche, il est très utile de la connaître au moment d’implémenter la délégation en situation réelle. Voir Windows® Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft® Press, 2008) pour plus d’informations.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-24
8-25
Concevoir une structure d’UO afin de prendre en charge la délégation
Points clés Comme vous le savez, les unités d’organisation (UO) sont des conteneurs administratifs. Ils contiennent des objets qui partagent des exigences similaires en termes d’administration, de configuration et de visibilité. Vous connaissez désormais la première de ces exigences : l’administration. Les objets appelés à être administrés de la même manière, par les mêmes administrateurs, doivent être contenus dans une UO unique. En plaçant vos utilisateurs dans une UO unique, par exemple appelée User Accounts, vous pouvez déléguer l’autorisation du support technique de modifier les mots de passe de tous les utilisateurs en affectant une autorisation à une UO. Toute autre autorisation ayant un impact sur les tâches que peut réaliser un administrateur au niveau d’un objet utilisateur doit être affectée à l’UO User Accounts. Ainsi, vous pouvez autoriser vos cadres en ressources humaines à désactiver les comptes d’utilisateurs si leur contrat de travail arrive à terme. Cette autorisation est alors de nouveau déléguée à l’UO User Accounts.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Rappelez-vous que les administrateurs doivent ouvrir une session sur leur système avec des informations d’identification d’utilisateur et lancer les outils d’administration avec les informations d’identification d’un compte secondaire doté d’autorisations permettant d’effectuer des tâches d’administration. Ces comptes secondaires sont les comptes administratifs de l’entreprise. Il n’est pas opportun de permettre au support technique de première ligne de réinitialiser les mots de passe de ces comptes privilégiés, pas plus qu’il n’est souhaitable que les cadres en ressources humaines désactivent des comptes administratifs. Par conséquent, les comptes administratifs ne doivent pas être administrés de la même façon que les comptes d’utilisateurs « normaux ». C’est pourquoi il peut s’avérer utile de disposer d’une UO distincte, telle que Admins, pour les objets utilisateur administratif. Cette UO fera l’objet d’une délégation assez différente de celle de l’UO User Accounts. De la même façon, vous pouvez déléguer à l’équipe de support des ordinateurs de bureau la capacité d’ajouter des objets ordinateur à une UO appelée Client Computers, qui contient vos ordinateurs de bureau et vos ordinateurs portables, mais pas à l’UO Servers, où seul votre groupe Administration de serveur est autorisé à créer et gérer des objets ordinateur. Le rôle principal des UO est de définir de façon efficace la portée de la délégation (pour appliquer des autorisations aux objets et aux sous-UO). Lorsque vous concevez un environnement Active Directory, vous commencez toujours par concevoir une structure d’UO propice à une délégation efficace (une structure à l’image du modèle administratif de votre organisation). Il est rare que l’administration d’objets dans Active Directory ressemble à votre organigramme. En règle générale, tous les comptes d’utilisateurs normaux sont pris en charge de la même façon, par la même équipe (c’est ce qui explique que les objets utilisateur se trouvent souvent dans une même UO ou une même branche d’UO). Il est assez fréquent qu’une organisation qui dispose d’une fonction de support technique centralisée destinée à prêter assistance aux utilisateurs possède également une fonction de support des ordinateurs de bureau centralisée. Auquel cas, tous les objets ordinateur client se trouvent dans une même UO ou une branche d’UO unique. En revanche, si le support des ordinateurs de bureau est décentralisé, il y a des chances pour que l’UO Client Computers soit divisée en sousUO qui représentent des lieux géographiques, chacun ayant fait l’objet d’une délégation pour autoriser l’équipe de support locale à ajouter des objets ordinateur au domaine du lieu correspondant. Vous devez concevoir des UO d’abord pour permettre l’autorisation (délégation) efficace d’objets dans l’annuaire. Dès lors que vous avez créé cette conception, vous pouvez l’affiner pour faciliter la configuration des ordinateurs et des utilisateurs via la Stratégie de groupe.
Lectures complémentaires •
Voir Windows Administration Resource Kit: Productivity Solutions for IT Professionals de Dan Holme (Microsoft Press, 2008) pour plus d’informations sur la conception d’UO.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-26
Atelier pratique A : Déléguer l’administration
Scénario L’équipe chargée de la sécurité d’entreprise de Contoso vous a demandé de verrouiller les autorisations administratives déléguées au personnel de support.
8-27
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 1 : Déléguer l’autorisation permettant de créer et assurer le support des comptes d’utilisateurs Dans cet exercice, vous allez déléguer au support technique l’autorisation de déverrouiller les comptes d’utilisateurs, de réinitialiser les mots de passe et d’imposer aux utilisateurs de changer de mot de passe à la prochaine ouverture de session. Cette autorisation se limitera aux comptes d’utilisateurs standard et ne permettra pas au support technique de modifier les mots de passe de comptes administratifs. Vous allez également déléguer au groupe Administrateurs de comptes d’utilisateurs l’autorisation de créer et supprimer des comptes d’utilisateurs, ainsi qu’un contrôle total sur les comptes d’utilisateurs. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Créer des groupes de sécurité pour la gestion basée sur les rôles.
3.
Déléguer le contrôle du support utilisateur à l’aide de l’Assistant Délégation de contrôle.
4.
Déléguer l’autorisation de créer et supprimer des utilisateurs depuis l’interface Éditeur de liste de contrôle d’accès.
5.
Valider l’implémentation de la délégation.
Tâche 1 : Préparation de l'atelier pratique. 1.
Démarrez l'ordinateur 6238B-HQDC01-A.
2.
Ouvrez une session sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
3.
Exécutez D:\Labfiles\Lab08a\Lab08a_Setup.bat avec des informations d’identification d’administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-28
8-29
Tâche 2 : Créer des groupes de sécurité pour la gestion basée sur les rôles 1.
Exécutez Utilisateurs et ordinateurs Active Directory avec des informations d’identification d’administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l’UO Groups\Role, créez les groupes de rôle suivants :
3.
4.
5.
•
Support technique (groupe de sécurité global)
•
Administrateurs de comptes d’utilisateurs (groupe de sécurité global)
Ajoutez les comptes administratifs des utilisateurs suivants au groupe Support technique. Veillez à ne pas ajouter le compte standard sans privilèges des utilisateurs. •
Aaron Painter
•
Elly Nkya
•
Julian Price
•
Holly Dickson
Ajoutez les comptes administratifs des utilisateurs suivants au groupe Administrateurs de comptes d’utilisateurs. Veillez à ne pas ajouter le compte standard sans privilèges des utilisateurs. •
Pat Coleman
•
April Meyer
•
Max Stevens
Dans l’UO Admins\Admin Groups\AD Delegations, créez les groupes de gestion d’accès administratif suivants : •
Support_Comptes d’utilisateurs_AD (groupe de sécurité local du domaine)
•
Contrôle total_Comptes d’utilisateurs_AD (groupe de sécurité local du domaine)
6.
Ajoutez le groupe Support technique en tant que membre de Support_Comptes d’utilisateurs_AD.
7.
Ajoutez le groupe Administrateurs de comptes d’utilisateurs en tant que membre de Contrôle total_Comptes d’utilisateurs_AD.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Déléguer le contrôle du support utilisateur à l’aide de l’Assistant Délégation de contrôle •
Cliquez avec le bouton droit sur l’UO User Accounts, puis cliquez sur Délégation de contrôle. Déléguez au groupe Support_Comptes d’utilisateurs_AD le droit de réinitialiser les mots de passe utilisateur et de forcer les utilisateurs à en changer à la prochaine ouverture de session.
Tâche 4 : Déléguer l’autorisation de créer et supprimer des utilisateurs depuis l’interface Éditeur de liste de contrôle d’accès 1.
Activez le mode Fonctionnalités avancées du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2.
Cliquez avec le bouton droit sur l’UO User Accounts, puis cliquez sur Propriétés. Cliquez sur l'onglet Sécurité, puis sur Avancé.
3.
Ajoutez les autorisations qui permettent au groupe Contrôle total_Comptes d’utilisateurs_AD de créer et supprimer des utilisateurs, ainsi que celle qui lui confère un contrôle total sur les objets utilisateur. Veillez à réserver l’autorisation Contrôle total aux objets utilisateur uniquement.
Tâche 5 : Valider l’implémentation de la délégation 1.
Fermez Utilisateurs et ordinateurs Active Directory.
2.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu’administrateur, avec le nom d’utilisateur Aaron.Painter_Admin et le mot de passe Pa$$w0rd.
3.
Vérifiez que vous pouvez réinitialiser le mot de passe de Jeff Ford, dans l’UO Employees, et que vous pouvez le forcer à modifier son mot de passe à la prochaine ouverture de session.
4.
Vérifiez que vous ne pouvez pas désactiver le compte de Jeff Ford.
5.
Vérifiez que vous ne pouvez pas réinitialiser le mot de passe de Pat Coleman (Admin) dans l’UO Admin Identities.
6.
Fermez Utilisateurs et ordinateurs Active Directory.
7.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu’administrateur, avec le nom d’utilisateur April.Meyer_Admin et le mot de passe Pa$$w0rd.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-30
8-31
8.
Vérifiez que vous pouvez créer un compte d’utilisateur dans l’UO Employees en créant un compte à partir de vos prénom et nom, le nom d’utilisateur Prénom.Nom, et le mot de passe Pa$$w0rd.
9.
Fermez Utilisateurs et ordinateurs Active Directory. Résultats : à l’issue de cet exercice, vous aurez délégué au support technique l’autorisation de déverrouiller les comptes d’utilisateurs, de réinitialiser les mots de passe et de forcer les utilisateurs à changer de mot de passe à la prochaine ouverture de session, par le biais de l’appartenance du support technique au groupe Support_Comptes d’utilisateurs_AD. Vous aurez également délégué le contrôle total des objets utilisateur au groupe Administrateurs de comptes d’utilisateurs par le biais de son appartenance au groupe Contrôle total_Comptes d’utilisateurs_AD. Enfin, vous aurez testé les deux délégations pour vérifier qu’elles fonctionnent.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 2 : Consulter les autorisations déléguées Dans cet exercice, vous allez consulter, évaluer et créer un rapport sur les autorisations qui ont été affectées aux objets Active Directory. Les tâches principales de cet exercice sont les suivantes : 1.
Consulter les autorisations dans les interfaces de l’Éditeur de liste de contrôle d’accès.
2.
Créer un rapport sur les autorisations à l’aide de DSACLs.
3.
Évaluer les autorisations effectives.
Tâche 1 : Consulter les autorisations dans les interfaces de l’Éditeur de liste de contrôle d’accès 1.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Cliquez avec le bouton droit sur l’UO User Accounts, puis cliquez sur Propriétés. Cliquez sur l'onglet Sécurité, puis sur Avancé.
3.
Triez l’affichage des autorisations en fonction du groupe auquel elles sont affectées.
Question : combien d’entrées d’autorisations l’Assistant Délégation de contrôle a-til créé pour le groupe Support_Comptes d’utilisateurs_AD ? Est-il facile d’identifier les autorisations qui ont été affectées dans la liste Entrées d’autorisations ? Dressez la liste des autorisations affectées à Support_Comptes d’utilisateurs_AD.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-32
8-33
Tâche 2 : Créer un rapport sur les autorisations à l’aide de DSACLs •
Dans l’invite de commandes, utilisez DSACLs pour créer un rapport sur les autorisations affectées à l’UO User Accounts. Tapez la commande suivante : dsacls.exe "ou=User Accounts,dc=contoso,dc=com"
et appuyez sur Entrée.
Question : quelles autorisations la commande DSACLs renvoie-t-elle pour le groupe Support_Comptes d’utilisateurs_AD ?
Tâche 3 : Évaluer les autorisations effectives 1.
Cliquez avec le bouton droit sur l’UO User Accounts, puis cliquez sur Propriétés. Cliquez sur l'onglet Sécurité, puis sur Avancé.
2.
À partir de la boîte de dialogue Paramètres de sécurité avancés, évaluez les autorisations effectives pour April.Meyer_Admin. Identifiez les autorisations qui lui permettent de créer et supprimer des utilisateurs.
Question : l’autorisation Réinitialiser le mot de passe figure-t-elle dans cette liste ? 3.
Dans l’UO Employees, cliquez avec le bouton droit sur le compte d’utilisateur d’Aaron Lee, puis cliquez sur Propriétés. Cliquez sur l'onglet Sécurité, puis sur Avancé.
4.
À partir de la boîte de dialogue Paramètres de sécurité avancés, évaluez les autorisations effectives pour Aaron.Painter_Admin. Identifiez les autorisations qui lui permettent de réinitialiser le mot de passe d’Aaron Lee. Résultats : à l’issue de cet exercice, vous constaterez que les autorisations que vous avez affectées au cours de l’exercice précédent ont bien été appliquées.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 3 : Supprimer et réinitialiser des autorisations Dans cet exercice, vous allez supprimer des autorisations déléguées et rétablir la liste ACL par défaut définie par schéma d’une UO. Les tâches principales de cet exercice sont les suivantes : 1.
Supprimer les autorisations affectées à Support_Comptes d’utilisateurs_AD.
2.
Rétablir les autorisations par défaut de l’UO User Accounts.
Tâche 1 : Supprimer les autorisations affectées à Support_Comptes d’utilisateurs_AD 1.
Cliquez avec le bouton droit sur l’UO User Accounts, puis cliquez sur Propriétés. Cliquez sur l'onglet Sécurité, puis sur Avancé.
2.
Triez l’affichage des autorisations en fonction du groupe auquel elles sont affectées.
3.
Supprimez les autorisations affectées à Support_Comptes d’utilisateurs_AD.
Tâche 2 : Rétablir les autorisations par défaut de l'UO User Accounts 1.
Cliquez avec le bouton droit sur l’UO User Accounts, puis cliquez sur Propriétés. Cliquez sur l'onglet Sécurité, puis sur Avancé.
2.
Cliquez sur Paramètres par défaut, puis sur Appliquer.
Question : que se passe-t-il lorsque vous cliquez sur Paramètres par défaut ? Quelles sont les autorisations restantes ? Résultats : à l’issue de cet exercice, vous aurez rétabli les autorisations par défaut définies par schéma de l’UO User Accounts.
Remarque : ne fermez pas l’ordinateur virtuel à l’issue de cet atelier pratique. Les paramètres que vous y avez configurés seront réutilisés dans le prochain atelier pratique.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-34
8-35
Questions de contrôle des acquis Question : comment Utilisateurs et ordinateurs Active Directory vous indique-t-il que vous ne disposez pas des autorisations nécessaires pour effectuer une tâche d’administration déterminée ? Question : lorsque vous avez évalué les autorisations effectives d’April Meyer dans l’UO User Accounts, pourquoi cette liste ne comportait-elle pas certaines autorisations, telles que Réinitialiser le mot de passe ? Comment expliquez-vous que l’autorisation se soit affichée lorsque vous avez évalué les autorisations effectives d’Aaron Painter sur le compte d’utilisateur d’Aaron Lee ? Question : Windows permet-il de répondre facilement aux questions suivantes : « Qui peut réinitialiser les mots de passe utilisateur ? » et « Quelles tâches XXX peut-il effectuer en qualité d’administrateur ? ». Question : quel est l’avantage d’une structure de groupe d’administration basée sur les rôles à deux niveaux lors de l’affectation d’autorisations dans Active Directory ? Remarque : l’administration basée sur les rôles est un vaste sujet, dont certains aspects, comme la discipline ou l’audit, sont indispensables pour s’assurer que les membres d’un groupe tel que Support_Comptes d'utilisateurs_AD possèdent les autorisations qu’ils sont censés posséder et que les mêmes autorisations n’ont pas été déléguées à d’autre utilisateurs ou groupes.
Question : à quel risque vous exposez-vous en rétablissant les valeurs par défaut définies par schéma de la liste ACL d’une UO ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 2
Audit des modifications Active Directory
Si l’audit de l’accès aux fichiers et dossiers vous permet d’enregistrer les tentatives d’accès à ces types d’objets, la stratégie Auditer l’accès au service d’annuaire vous permet d’enregistrer les tentatives d’accès aux objets dans Active Directory. Windows Server 2008 introduit une autre catégorie d’audit pour Active Directory : Modification du service d’annuaire.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
configurer une stratégie d’audit pour activer l’audit Modification du service d’annuaire ;
•
spécifier les paramètres d'audit au niveau des objets Active Directory ;
•
identifier les entrées de journaux d'événements créées par l'audit d'accès à l'annuaire et l'audit des modifications du service d'annuaire.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-36
8-37
Activation de la stratégie d'audit
Points clés Si la stratégie Auditer l’accès aux objets vous permet d’enregistrer les tentatives d’accès à certains objets tels que les fichiers et les dossiers, la stratégie Auditer l’accès au service d’annuaire vous permet d’enregistrer les tentatives d’accès aux objets dans Active Directory. Ce sont les mêmes principes de base qui s’appliquent. Vous configurez la stratégie pour auditer les événements de réussite ou d’échec. Vous configurez ensuite la liste SACL de l’objet Active Directory pour spécifier les types d’accès dont vous souhaitez effectuer l’audit. Par exemple, si vous souhaitez surveiller les modifications apportées à l’appartenance d’un groupe sensible sur le plan de la sécurité, comme Admins du domaine, vous pouvez activer la stratégie Auditer l’accès au service d’annuaire pour effectuer l’audit des événements de réussite. Vous pouvez ensuite ouvrir la liste SACL du groupe Admins du domaine et configurer une entrée d’audit pour les modifications réussies de l’attribut Membres du groupe. De fait, la configuration par défaut de Windows Server 2008 effectue l’audit des événements de réussite pour Accès Active Directory, ainsi que l’audit de toutes les modifications apportées au groupe Admins du domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Dans Windows Server 2003 et Windows 2000 Server, vous pouviez effectuer l’audit de l’accès au service d’annuaire. Vous étiez notifié de la modification d’un objet (ou de la propriété d’un objet), mais vous ne pouviez pas identifier l’ancienne et la nouvelle valeur de l’attribut modifié. Par exemple, il était possible d’enregistrer un événement indiquant qu’un certain utilisateur avait modifié un attribut du groupe Admins du domaine, mais il n’était pas facile d’identifier l’attribut qui avait fait l’objet de la modification. De plus, il n’existait aucun moyen de déterminer à partir du journal d’audit quelle modification avait exactement été apportée à cet attribut. Windows Server 2008 ajoute une catégorie d’audit appelée Modification du service d’annuaire. La différence importante qui existe entre l’audit Modification du service d’annuaire et l’audit Accès Active Directory est que le premier permet d’identifier l’ancienne valeur d’un attribut modifié et sa valeur actuelle. L’audit Modification du service d’annuaire n’est pas activé par défaut dans Windows Server 2008. En revanche, l’audit Accès Active Directory est activé pour reproduire la fonctionnalité d’audit des versions antérieures de Windows. Pour activer l’audit des modifications réussies du service d’annuaire, ouvrez une invite de commandes sur un contrôleur de domaine, puis entrez cette commande : auditpol /set /subcategory:"directory service changes" /success:enable
Bien que vous puissiez utiliser la commande précédente pour activer l’audit Modification du service d’annuaire dans le cadre d’un atelier pratique et explorer les événements générés, ne l’implémentez pas dans un domaine tant que vous n’avez pas lu la documentation sur TechNet, à commencer par le guide pas à pas qui se trouve à l’adresse suivante : http://go.microsoft.com/fwlink/?LinkId=168805.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-38
8-39
Définir les paramètres d’audit pour Modification du service d’annuaire
Points clés Vous devez toujours modifier la liste SACL d’objets pour désigner les attributs qui doivent faire l’objet d’un audit. Pour accéder à la liste SACL et à ses entrées d’audit : 1.
Ouvrez la boîte de dialogue Propriétés de l’objet dont vous souhaitez effectuer l’audit.
2.
Cliquez sur l'onglet Sécurité.
3.
Cliquez sur le bouton Avancé.
4.
Cliquez sur l'onglet Audit.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Pour ajouter une entrée d’audit : 1.
Cliquez sur le bouton Ajouter.
2.
Sélectionnez l’utilisateur, le groupe ou l’ordinateur à auditer. Il s’agit souvent du groupe Tout le monde.
3.
Dans la boîte de dialogue Audit de l’entrée, indiquez le type d’accès à auditer. Vous pouvez effectuer l’audit des réussites, des échecs ou des deux au moment où l’utilisateur, le groupe ou l’ordinateur spécifié tente d’accéder à la ressource en utilisant un ou plusieurs niveaux d’accès granulaires.
Vous pouvez effectuer l’audit des réussites pour répondre aux objectifs suivants : •
enregistrer l’accès aux ressources à des fins de création de rapports et de facturation ;
•
analyser les accès pour identifier les utilisateurs qui effectuent des opérations plus importantes que prévu, suggérant ainsi que les autorisations sont trop généreuses ;
•
identifier les accès abusifs à un compte, indication possible du piratage du compte d'utilisateur.
L’audit des événements en échec s’avère utile pour : •
analyser les tentatives malveillantes d'accès à des ressources pourtant interdites d'accès ;
•
identifier les tentatives avortées d'accès à un fichier ou un dossier auquel un utilisateur demande d'accéder. Cela indique que les autorisations ne sont pas suffisantes pour répondre à un besoin professionnel.
Remarque : évitez tout abus en matière d’audit. Les journaux d’audit ont tendance à devenir assez vite volumineux. En matière d’audit, la règle d’or est de configurer le minimum nécessaire pour accomplir les tâches professionnelles. Si l'audit est défini pour consigner les réussites et les échecs sur un dossier de données actif, pour le groupe Tout le monde, avec le Contrôle total (toutes les autorisations), les journaux d'audit générés risquent d'être extrêmement volumineux et d'affecter les performances du serveur, ainsi que la recherche d'un événement particulier.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-40
8-41
Consulter les événements audités dans le journal de sécurité
Points clés Après avoir activé le paramètre de stratégie d’audit souhaité et spécifié l’accès dont vous voulez effectuer l’audit à l’aide de listes SACL d’objets, le système commence à enregistrer l’accès en fonction des entrées d’audit. Vous pouvez consulter les événements obtenus dans le journal de sécurité du serveur. Ouvrez la console Observateur d'événements depuis le dossier Outils d'administration. Développez Journaux Windows, puis sélectionnez Journal sécurité. Lorsque l’audit Modification du service d’annuaire est activé et que les entrées d’audit sont configurées dans la liste SACL des objets du service d’annuaire, les événements sont enregistrés dans le journal de sécurité, qui indique clairement l’attribut qui a été modifié, ainsi que la nature de la modification. Dans la plupart des cas, les entrées du journal d’événements présentent l’ancienne valeur de l’attribut modifié, ainsi que sa valeur actuelle.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique B : Audit des modifications Active Directory
Scénario L’équipe de sécurité d’entreprise de Contoso vous a demandé de produire des rapports détaillés sur les modifications apportées à l’appartenance de groupes sensibles sur le plan de la sécurité, y compris le groupe Admins du domaine. Les rapports doivent indiquer la nature de la modification qui a été apportée, le nom de son auteur et sa date de réalisation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-42
8-43
Exercice 1 : Effectuer l’audit des modifications apportées à Active Directory en utilisant la stratégie d’audit par défaut Dans cet exercice, vous constaterez que l’audit Accès Active Directory est activé par défaut dans Windows Server 2008 et Windows Server 2003. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Vérifier que le groupe Admins du domaine est configuré pour effectuer l’audit des modifications apportées à son appartenance.
3.
Modifier l’appartenance du groupe Admins du domaine.
4.
Examiner les événements générés.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
Tâche 2 : Vérifier que le groupe Admins du domaine est configuré pour effectuer l’audit des modifications apportées à son appartenance •
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Accédez aux propriétés Paramètres d’audit du groupe Admins du domaine. Recherchez l’entrée qui spécifie l’audit des tentatives de modification réussies de propriétés du groupe, telles que l’appartenance.
Question : quelle est l’entrée d’audit qui permet d’atteindre cet objectif ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Modifier l’appartenance du groupe Admins du domaine •
Ajoutez Stuart Munson (nom d’ouverture de session utilisateur Stuart.Munson) au groupe Admins du domaine. Veillez à appliquer votre modification.
•
Supprimez Stuart Munson du groupe Admins du domaine.
•
Notez l’heure à laquelle vous avez effectué ces modifications. Il vous sera plus facile de repérer les entrées d’audit dans les journaux d’événements.
Tâche 4 : Examiner les événements générés •
Exécutez l’Observateur d’événements en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Ouvrez le Journal de sécurité et recherchez les événements qui ont été générés lorsque vous avez ajouté et supprimé Stuart Munson.
Question : quels sont les ID d’événements qui ont été enregistrés lorsque vous avez apporté vos modifications ? Quelle est la catégorie de tâche ? Question : examinez les informations fournies sous l'onglet Général. Êtes-vous en mesure d'identifier les éléments suivants dans l'entrée du journal d'événements ? •
auteur de la modification ;
•
date de la modification ;
•
objet ayant fait l'objet de la modification ;
•
type d'accès utilisé ;
•
attribut ayant fait l’objet de la modification ; comment l'attribut modifié est-il identifié ?
•
nature de la modification apportée à cet attribut. Résultats : à l’issue de cet exercice,vous aurez généré et examiné des entrées d’audit Accès Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-44
8-45
Exercice 2 : Effectuer l’audit des modifications apportées à Active Directory à l’aide de l’audit Modification du serveur d’annuaire Dans cet exercice, vous allez implémenter la nouvelle fonctionnalité d’audit Modification du service d’annuaire de Windows Server 2008 pour révéler les détails des modifications apportées au groupe Admins du domaine. Les tâches principales de cet exercice sont les suivantes : 1.
Activer l’audit Modification du service d’annuaire.
2.
Modifier l’appartenance du groupe Admins du domaine.
3.
Examiner les événements générés.
Tâche 1 : Activer l’audit Modification du service d’annuaire •
Exécutez l’invite de commandes en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Tapez la commande suivante, puis appuyez sur Entrée : auditpol /set /subcategory:"directory service changes" /success:enable
Tâche 2 : Modifier l’appartenance du groupe Admins du domaine •
Ajoutez Stuart Munson (nom d’ouverture de session utilisateur Stuart.Munson) au groupe Admins du domaine. Veillez à appliquer votre modification.
•
Supprimez Stuart Munson du groupe Admins du domaine.
•
Notez l’heure à laquelle vous avez effectué ces modifications. Il vous sera plus facile de repérer les entrées d’audit dans les journaux d’événements.
Tâche 3 : Examiner les événements générés •
Exécutez l’Observateur d’événements en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Ouvrez le Journal de sécurité et recherchez les nouveaux types d’événements qui ont été générés lorsque vous avez ajouté et supprimé Stuart Munson.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration sécurisée
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Question : quels sont les ID d’événements qui ont été enregistrés lorsque vous avez apporté vos modifications ? Quelle est la catégorie de tâche ? Question : examinez les informations fournies sous l’onglet Général. Êtes-vous en mesure d’identifier les éléments suivants dans l’entrée du journal d’événements ? •
type de modification effectuée ;
•
auteur de la modification ;
•
nom du membre ajouté ou supprimé ;
•
nom du groupe concerné ;
•
date de la modification. Résultats : à l’issue de cet exercice, vous aurez généré des entrées d’audit Modification du service d’annuaire.
Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
Questions de contrôle des acquis Question : parmi les détails capturés par l’audit Modification du service d’annuaire, quels sont ceux que l’audit Accès Active Directory ne capture pas ? Question : quels types d’activités administratives souhaiteriez-vous auditer avec la fonctionnalité d’audit Modification du service d’annuaire ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-46
9-1
Module 9 Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS) Table des matières : Leçon 1 : Configuration des stratégies de mot de passe et de verrouillage
9-4
Atelier pratique A : Configuration des stratégies de mot de passe et de verrouillage de compte
9-24
Leçon 2 : Audit de l'authentification
9-30
Atelier pratique B : Audit de l'authentification
9-40
Leçon 3 : Configuration des contrôleurs de domaine en lecture seule
9-45
Atelier pratique C : Configuration des contrôleurs de domaine en lecture seule
9-66
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vue d'ensemble du module
Lorsqu’un utilisateur se connecte à un domaine Active Directory®, il entre ses nom d’utilisateur et mot de passe et le client utilise ces informations d’identification pour authentifier l’utilisateur, c’est-à-dire, valider son identité par rapport à son compte Active Directory. Dans le module 3, vous avez appris à créer et gérer des comptes d’utilisateurs et leurs propriétés, y compris leurs mots de passe. Dans ce module, vous allez explorer les composants côté domaine de l’authentification, notamment les stratégies qui spécifient les exigences relatives aux mots de passe et l’audit des activités liées à l’authentification. Vous allez également découvrir deux fonctionnalités introduites par Windows Server® 2008 qui peuvent améliorer de manière significative la sécurité de l’authentification dans un domaine des services de domaine Active Directory (AD DS) : les objets PSO (mieux connus sous le nom de stratégie de mot de passe affinée) et les contrôleurs de domaine en lecture seule.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-2
9-3
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
implémenter votre stratégie de mot de passe de domaine et de verrouillage de compte ;
•
configurer et affecter des stratégies de mot de passe affinées ;
•
configurer l’audit des activités liées à l’authentification ;
•
faire la distinction entre les événements de connexion de comptes et les événements Ouverture de session ;
•
identifier les événements liés à l'authentification dans le journal de sécurité ;
•
identifier les besoins de l’entreprise en matière de contrôleurs de domaine en lecture seule ;
•
installer un contrôleur de domaine en lecture seule ;
•
configurer une stratégie de réplication de mot de passe ;
•
contrôler la mise en cache des informations d’identification sur un contrôleur de domaine en lecture seule.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 1
Configuration des stratégies de mot de passe et de verrouillage
Dans un domaine Windows Server 2008, les utilisateurs sont tenus de modifier leur mot de passe tous les 42 jours. Un mot de passe doit être constitué d’au moins sept caractères et doit respecter des exigences de complexité, comme notamment l’utilisation de trois ou quatre types de caractères : majuscules, minuscules, nombres et caractères non alphanumériques. Ces trois stratégies de mot de passe (durée de vie maximale du mot de passe, longueur du mot de passe et complexité du mot de passe) font partie des premières stratégies que les administrateurs comme les utilisateurs rencontrent dans un domaine Active Directory. Il est rare que ces paramètres par défaut correspondent exactement aux exigences de sécurité d’une organisation en matière de mots de passe. Votre organisation peut par exemple exiger que les mots de passe soient modifiés de façon plus ou moins fréquente ou qu’ils soient plus longs. Dans cette leçon, vous allez apprendre à mettre en œuvre les stratégies de mot de passe et de verrouillage de votre entreprise en modifiant l’objet GPO de la stratégie de domaine par défaut.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-4
9-5
Comme vous le savez, il existe des exceptions à chaque règle, et il est probable que vos stratégies de mot de passe en présentent aussi. Pour améliorer la sécurité de votre domaine, vous pouvez définir des exigences de mot de passe plus restrictives pour les comptes affectés aux administrateurs, les comptes utilisés par les services, tels que Microsoft® SQL Server®, ou un utilitaire de sauvegarde. Dans les versions précédentes de Windows®, cela n’était pas possible : une même stratégie de mot de passe s’appliquait à tous les comptes d’un même domaine. Dans cette leçon, vous allez apprendre à configurer des stratégies de mot de passe affinées, nouvelle fonctionnalité de Windows Server 2008 qui vous permet d’affecter différentes stratégies de mot de passe aux utilisateurs et aux groupes de votre domaine.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
implémenter votre stratégie de mot de passe de domaine et de verrouillage de compte ;
•
configurer et affecter des stratégies de mot de passe affinées.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Principes de la stratégie de mot de passe
Points clés La stratégie de mot de passe de votre domaine est configurée par un objet de stratégie de groupe (GPO) étendue au domaine. Dans l’objet GPO, dans le nœud Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de mot de passe, vous pouvez configurer les paramètres de stratégie qui déterminent les exigences de mot de passe. Le nœud Stratégie de mot de passe est illustré dans la capture d’écran suivante.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-6
9-7
Vous pouvez comprendre l’effet des stratégies en examinant le cycle de vie d’un mot de passe utilisateur. Un utilisateur sera appelé à modifier son mot de passe dans un délai (en jours) spécifié par le paramètre de stratégie Durée de vie maximale du mot de passe. Lorsque l’utilisateur entre un nouveau mot de passe, sa longueur est comparée au nombre de caractères imposé par la stratégie Longueur minimale du mot de passe. Si la stratégie Le mot de passe doit respecter des exigences de complexité est activée, le mot de passe doit contenir au moins trois ou quatre types de caractères : •
Majuscules (de A à Z)
•
Minuscules (de a à z)
•
Nombres (de 0 à 9)
•
Caractères non alphanumériques (symboles tels que !, #, % ou &)
Si le nouveau mot de passe respecte les exigences, Active Directory applique à ce dernier un algorithme mathématique qui produit une représentation du mot de passe appelée code de hachage. La code de hachage est unique : deux mots de passe distincts ne peuvent pas créer un même code de hachage. L’algorithme utilisé pour créer le code de hachage est une fonction à sens unique. Vous ne pouvez pas appliquer de fonction inverse au code de hachage afin de retrouver le mot de passe. Le fait que ce soit le code de hachage, et non le mot de passe proprement dit, qui est stocké dans Active Directory contribue à accroître la sécurité du compte d’utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Parfois, certaines applications exigent un mot de passe d’utilisateur lisible. Or, cela n’est pas possible car, par défaut, seul le code de hachage est stocké dans Active Directory. Pour prendre en charge de telles applications, vous pouvez activer la stratégie Enregistrer les mots de passe en utilisant un chiffrement réversible. Cette stratégie n’est pas activée par défaut. Si vous l’activez, les mots de passe utilisateur seront stockés dans un format chiffré qui pourra être déchiffré par l’application. Sachez toutefois que le chiffrement réversible abaisse considérablement le niveau de sécurité de votre domaine. C’est pourquoi il est désactivé par défaut et que vous avez tout intérêt à éliminer les applications qui exigent un accès direct aux mots de passe. De plus, Active Directory peut examiner le cache des codes de hachage précédents de l’utilisateur pour s’assurer que son nouveau mot de passe est différent des anciens. Le nouveau mot de passe est comparé à un nombre d’anciens mots de passe déterminé par la stratégie Conserver l’historique des mots de passe. Par défaut, Windows conserve les 24 codes de hachage précédents. S’il est déterminé qu’un utilisateur réutilise son mot de passe à l’issue de la période d’expiration du mot de passe, il devra en changer 25 fois pour contourner l’historique de mots de passe. Pour éviter cela, la stratégie Durée de vie minimale du mot de passe spécifie la durée qui doit s’écouler entre les changements de mot de passe. Par défaut, cette durée est d’un jour. Par conséquent, l’utilisateur en question devra changer de mot de passe une fois par jour pendant 25 jours pour pouvoir réutiliser un mot de passe. Ce moyen de dissuasion s’avère généralement efficace face à ce type de comportement. Ces paramètres de stratégie (historique, durée de vie minimale et durée de vie maximale) affectent l’utilisateur qui change de mot de passe. En revanche, ils n’ont pas d’effet sur l’administrateur qui utilise la commande Réinitialiser le mot de passe pour modifier le mot de passe d’un autre utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-8
9-9
Principes de la stratégie de verrouillage de compte
Points clés Un intrus peut accéder aux ressources de votre domaine en établissant un nom d’utilisateur et un mot de passe valides. Les noms d’utilisateur sont relativement faciles à identifier, car la plupart des organisations les crée à l’aide de l’adresse électronique, des initiales, des prénom et nom combinés ou de l’ID des employés. Une fois en possession du nom d’utilisateur, l’intrus doit déterminer le mot de passe. Pour cela, il peut soit le deviner, soit tester diverses combinaisons de caractères ou de mots jusqu’à ce qu’il parvienne à se connecter.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Ce type d’attaque, appelé attaque en force brute, peut être contrecarré en limitant le nombre de connexions incorrectes autorisées. C’est exactement le principe des stratégies de verrouillage de compte. Les stratégies de verrouillage de compte sont situées dans le nœud de l’objet GPO situé directement en dessous de Stratégie de mot de passe. Le nœud Stratégie de verrouillage du compte est illustré dans la capture d’écran suivante.
Les paramètres relatifs au verrouillage de compte sont au nombre de trois. Le premier, Seuil de verrouillage du compte, détermine le nombre de tentatives de connexion non valides autorisées dans un délai spécifié par la stratégie Durée de verrouillage des comptes. Si une attaque engendre un nombre d’échecs de connexion supérieur dans le délai imparti, le compte d’utilisateur est verrouillé. Dès lors qu’un compte est verrouillé, Active Directory refuse systématiquement toute connexion à ce compte, même si le mot de passe spécifié est correct. Un administrateur peut déverrouiller un compte d’utilisateur verrouillé. Vous pouvez également configurer Active Directory pour permettre le déverrouillage automatique du compte après un délai spécifié par le paramètre de stratégie Réinitialiser le compteur de verrouillage du compte après.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-10
9-11
Configurer la stratégie du domaine en matière de mot de passe et de verrouillage
Points clés Active Directory prend en charge un seul ensemble de stratégies de mot de passe et de verrouillage par domaine. Ces stratégies sont configurées dans un objet GPO étendu au domaine. Un nouveau domaine contient un objet GPO appelé Stratégie de domaine par défaut. Celui-ci est lié au domaine et il contient les paramètres par défaut des stratégies de mot de passe, de verrouillage de compte et Kerberos. Vous pouvez modifier ces paramètres en modifiant la stratégie de domaine par défaut. La meilleure pratique consiste à modifier l’objet GPO Stratégie de domaine par défaut pour spécifier les paramètres de stratégie de mot de passe de votre organisation. Vous devez également utiliser l’objet GPO Stratégie de domaine par défaut pour spécifier les stratégies de verrouillage de compte et les stratégies Kerberos. En revanche, n’utilisez pas l’objet GPO Stratégie de domaine par défaut pour déployer d’autres paramètres de stratégie personnalisée. En d’autres termes, l’objet GPO Stratégie de domaine par défaut définit les stratégies de mot de passe, de verrouillage de compte et Kerberos pour le domaine, et rien d’autre. Par ailleurs, les stratégies de mot de passe, de verrouillage de compte ou Kerberos du domaine ne doivent pas être définies dans un autre objet GPO.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Les paramètres de mot de passe configurés dans la stratégie de domaine par défaut affectent tous les comptes d’utilisateurs du domaine. Toutefois, ces paramètres peuvent être remplacés par les propriétés relatives aux mots de passe des comptes d’utilisateurs individuels. Sous l’onglet Compte de la boîte de dialogue Propriétés d’un utilisateur, vous pouvez spécifier des paramètres tels que Le mot de passe n’expire jamais ou Enregistrer les mots de passe en utilisant un chiffrement réversible. Par exemple, si cinq utilisateurs disposent d’une application qui exige un accès direct à leurs mots de passe, vous pouvez configurer les comptes de ces utilisateurs pour qu’ils stockent leurs mots de passe en utilisant le chiffrement réversible.
Lectures complémentaires •
Guide de sécurité Windows Server 2003, chapitre 3 : Stratégie de domaine : http://go.microsoft.com/fwlink/?LinkId=99492
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-12
9-13
Démonstration : Configurer les stratégies de compte de domaine
Scénario Configurez les stratégies de compte de domaine de façon à respecter les exigences de mot de passe suivantes : •
longueur minimale de 8 caractères ;
•
conformité avec les exigences de complexité par défaut de Windows ;
•
changement de mot de passe utilisateur tous les 90 jours ;
•
pas plus d’un changement de mot de passe par semaine et par utilisateur ;
•
pas de réutilisation possible d’un même mot de passe avant une année.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Étapes de la démonstration 1.
Exécutez la Console de gestion des stratégies de groupe avec des informations d’identification d’administration puis, dans l’arborescence de la console, développez Forêt:contoso.com, Domaines et contoso.com.
2.
Cliquez avec le bouton droit sur Stratégie de domaine par défaut en dessous du domaine, contoso.com, puis cliquez sur Modifier.
3.
Dans l’arborescence de la console Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité et Stratégies de compte, puis cliquez sur Stratégie de mot de passe.
4.
Double-cliquez sur les paramètres de stratégie suivants dans le volet d’informations de la console, puis configurez les paramètres comme indiqué : •
Conserver l’historique des mots de passe : 53 mots de passe mémorisés
•
Durée de vie maximale du mot de passe : 90 jours
•
Durée de vie minimale du mot de passe : 7 jours
•
Longueur minimale du mot de passe : 8 caractères
•
Les mots de passe doivent respecter des exigences de complexité : Activé
5.
Fermez la fenêtre Éditeur de gestion des stratégies de groupe.
6.
Fermez la fenêtre Gestion des stratégies de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-14
9-15
Stratégie de mot de passe et de verrouillage affinée
Points clés Vous pouvez remplacer la stratégie de mot de passe et de verrouillage du domaine par le biais d’une nouvelle fonctionnalité de Windows Server 2008 appelée stratégie de mot de passe et de verrouillage affinée, souvent abrégée sous la forme stratégie de mot de passe affinée. La stratégie de mot de passe affinée permet de configurer une stratégie qui s’applique à un ou plusieurs groupes ou utilisateurs du domaine. La stratégie de mot de passe affinée est une adjonction à Active Directory très attendue. Elle peut être utilisée dans plusieurs scénarios afin d’améliorer la sécurité de votre domaine. Les comptes utilisés par les administrateurs sont des privilèges délégués qui permettent de modifier les objets dans Active Directory ; par conséquent, si un intrus compromet le compte d’un administrateur, les dommages subis au niveau du domaine sont potentiellement plus importants que s’il s’agit d’un compte d’un utilisateur standard. C’est pourquoi, vous avez tout intérêt à mettre en œuvre des exigences de mot de passe plus strictes pour les comptes administratifs. Par exemple, vous pouvez exiger une longueur de mot de passe supérieure et des changements de mot de passe plus fréquents.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Un autre type de compte qui nécessite un traitement spécial dans un domaine est celui utilisé par les services, tels que SQL Server. Un service exécute ses tâches à partir d’informations d’identification constituées d’un nom d’utilisateur et d’un mot de passe, qui doivent être authentifiées exactement comme celles d’un utilisateur humain. Toutefois, la plupart des services n’étant pas en mesure de changer de mot de passe, les administrateurs configurent les comptes de service en ayant activé l’option Le mot de passe n’expire jamais. Si un mot de passe de compte est appelé à ne pas changer, veillez à ce qu’il soit difficile à compromettre. Vous pouvez par exemple utiliser des stratégies de mot de passe affinées afin de spécifier une longueur de mot de passe minimale importante.
Lectures complémentaires •
Services de domaine Active Directory : Stratégies de mot de passe affinées : http://go.microsoft.com/fwlink/?LinkId=99500
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-16
9-17
Principe de l’objet PSO (Password Settings Object)
Points clés Les paramètres gérés par la stratégie de mot de passe affinée sont identiques à ceux contenus dans les nœuds Stratégie de mot de passe et Stratégies de comptes d’un objet GPO. Cependant, les stratégies de mot de passe affinées ne sont pas mises en œuvre dans le cadre de la Stratégie de groupe, pas plus qu’elles ne sont appliquées dans le cadre d’un objet GPO. De fait, il existe dans Active Directory une classe distincte d’objet qui gère les paramètres relatifs à la stratégie de mot de passe affinée : l’objet PSO (Password Settings Object). La plupart des objets Active Directory peuvent être gérés à l’aide d’outils dotés d’une interface graphique utilisateur conviviale, tels que le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Néanmoins, la gestion des objets PSO se fait à l’aide d’outils de bas niveau comme notamment ADSIEdit, l’Éditeur d’interface ADSI (Active Directory Service Interface).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vous pouvez créer un ou plusieurs objets PSO dans votre domaine. Chaque objet PSO contient un jeu complet de paramètres de stratégie de mot de passe et de verrouillage. Vous pouvez appliquer un objet PSO en le liant à un ou plusieurs utilisateurs ou groupes de sécurité globale. Par exemple, pour configurer une stratégie de mot de passe stricte pour les comptes administratifs, créez un groupe de sécurité globale, ajoutez-y les comptes d’utilisateurs de service en tant que membres, puis liez un objet PSO au groupe. Il est plus facile d’appliquer des stratégies de mot de passe affinées à un groupe de cette façon que de les appliquer individuellement à chaque compte d’utilisateur. Si vous créez un nouveau compte de service, il vous suffit de l’ajouter au groupe pour qu’il soit aussitôt géré par l’objet PSO. Pour utiliser une stratégie de mot de passe affinée, votre domaine doit se trouver au niveau fonctionnel de domaine Windows Server 2008, ce qui signifie que tous les contrôleurs de domaine de votre domaine exécutent Windows Server 2008, et le niveau fonctionnel de domaine a été augmenté pour passer à Windows Server 2008. Pour vérifier et modifier le niveau fonctionnel de domaine : 1.
Ouvrez Domaines et approbations Active Directory.
2.
Dans l’arborescence de la console, développez Domaines et approbations Active Directory, puis développez l’arborescence jusqu’à atteindre le domaine.
3.
Cliquez avec le bouton droit sur le domaine, puis choisissez Augmenter le niveau fonctionnel du domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-18
9-19
Démonstration : Configurer une stratégie de mot de passe affinée
Étapes de la démonstration 1.
Exécutez Utilisateurs et ordinateurs Active Directory avec des informations d’identification d’administration et vérifiez que le Niveau fonctionnel du domaine actuel est Windows Server 2008.
2.
Exécutez Modification ADSI avec des informations d’identification d’administration, le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
3.
Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion.
4.
Acceptez toutes les valeurs par défaut. Cliquez sur OK.
5.
Dans l’arborescence de la console, cliquez sur Contexte d’attribution de noms par défaut.
6.
Dans l’arborescence de la console, développez Contexte d’attribution de noms par défaut, cliquez sur DC=contoso,DC=com, puis sur CN=System.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
7.
Dans l’arborescence de la console, développez CN=System, puis cliquez sur CN=Password Settings Container. Tous les objets PSO sont créés et stockés dans la classe d’objets PSC (Password Settings Container).
8.
Cliquez avec le bouton droit sur PSC, pointez sur Nouveau, puis cliquez sur Objet. La boîte de dialogue Créer un objet s’affiche. Vous êtes invité à sélectionner le type d’objet à créer. Il n’y a qu’un seul choix : msDS-PasswordSettings (nom technique de la classe d’objets référencée en tant qu’objet PSO).
9.
Cliquez sur Suivant. Vous êtes ensuite invité à indiquer la valeur de chaque attribut d’un objet PSO. Ces attributs sont comparables à ceux rencontrés dans les stratégies de compte de domaine.
10. Configurez chaque attribut comme indiqué ci-dessous. Cliquez sur Suivant après chaque attribut. •
cn: My Domain Admins PSO. Il s’agit du nom commun de l’objet PSO.
•
msDS-PasswordSettingsPrecedence: 1. Cet objet PSO présente la priorité la plus élevée possible.
•
msDS-PasswordReversibleEncryptionEnabled: False. Le mot de passe n’est pas stocké en utilisant le chiffrement réversible.
•
msDS-PasswordHistoryLength: 30. L’utilisateur ne peut réutiliser aucun des 30 derniers mots de passe.
•
msDS-PasswordComplexityEnabled: True. Les règles de complexité de mot s’appliquent.
•
msDS-MinimumPasswordLength: 15. Les mots de passe doivent être constitués d’au moins 15 caractères.
•
msDS-MinimumPasswordAge: 1:00:00:00. Un utilisateur ne peut pas changer de mot de passe dans le jour qui suit une première modification. Le format est j:hh:mm:ss (jours, heures, minutes, secondes).
•
msDS-MaximumPasswordAge: 45:00:00:00. Le mot de passe doit être modifié tous les 45 jours.
•
msDS-LockoutThreshold: 5. Cinq ouvertures de session non valides dans un délai spécifié par XXX (attribut suivant) entraîne un verrouillage de compte.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-20
9-21
•
msDS-LockoutObservationWindow: 0:01:00:00. Cinq ouvertures de session non valides (spécifié par l’attribut précédent) en l’espace d’une heure entraîne un verrouillage de compte.
•
msDS-LockoutDuration: 1:00:00:00. Un compte verrouillé le reste pendant une heure s’il n’est pas déverrouillé avant manuellement. Si la valeur est égale à zéro, le compte reste verrouillé jusqu’à ce qu’un administrateur le déverrouille.
11. Cliquez sur Terminer et fermez Modification ADSI. 12. Exécutez Utilisateurs et ordinateurs Active Directory comme auparavant puis, dans l’arborescence de la console, développez le conteneur System. Si le conteneur System n’est pas visible, cliquez sur le menu Affichage de la console MMC, puis assurez-vous que Fonctionnalités avancées est sélectionné. 13. Dans l’arborescence de la console, cliquez sur Password Settings Container. 14. Cliquez avec le bouton droit sur My Domain Admins PSO, cliquez sur Propriétés, puis sur l’onglet Éditeur d’attributs. 15. Dans la liste Attributs, sélectionnez msDS-PSOAppliesTo, puis cliquez sur Modifier. La boîte de dialogue Éditeur à valeurs multiples de noms uniques avec entités de sécurité s’affiche. 16. Cliquez sur Ajouter un compte Windows. La boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes s’affiche. 17. Tapez Domain Admins, puis appuyez sur Entrée. 18. Cliquez sur OK à deux reprises et fermez les boîtes de dialogue ouvertes. 19. Dans l’arborescence de la console, développez le domaine contoso.com et l’UO Admins, puis cliquez sur l’UO Admin Identities. 20. Cliquez avec le bouton droit sur Pat Coleman (Administrateur), puis cliquez sur Propriétés. 21. Cliquez sur l’onglet Éditeur d’attributs. 22. Cliquez sur le bouton Filtrer, puis sur l’option Construit de façon à l’activer. 23. Ouvrez la valeur de l’attribut msDS-ResultantPSO.
Lectures complémentaires •
Guide pas à pas relatif à la configuration des stratégies de verrouillage de compte et de mot de passe affinées : http://go.microsoft.com/fwlink/?LinkId=113764
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Priorité des objets PSO et objets PSO résultants
Points clés Un objet PSO peut être lié à plusieurs groupes ou utilisateurs, un groupe ou un utilisateur individuel peut comporte plusieurs objets PSO liés et un utilisateur peut appartenir à plusieurs groupes. Compte tenu de cela, quels sont les paramètres de stratégie de mot de passe et de verrouillage affinée qui s’appliquent à un utilisateur ? Un seul et même objet PSO détermine les paramètres de mot de passe et de verrouillage d’un utilisateur. Cet objet PSO est appelé objet PSO résultant. Chaque objet PSO possède un attribut qui détermine la priorité des objets PSO. La valeur de priorité est un nombre supérieur à 0, le nombre 1 indiquant la priorité la plus élevée. Si plusieurs objets PSO s’appliquent à un utilisateur, c’est l’objet dont la priorité est la plus élevée qui prend effet. Les règles qui déterminent la priorité sont les suivantes : •
Si plusieurs objets PSO s’appliquent aux groupes d’appartenance d’un utilisateur, c’est l’objet dont la priorité est la plus élevée qui l’emporte.
•
Si un ou plusieurs objets PSO sont liés directement à l’utilisateur, les objets PSO liés aux groupes sont ignorés, quelle que soit leur priorité. C’est l’objet PSO lié à l’utilisateur dont la priorité est la plus élevée qui l’emporte.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-22
•
9-23
Si un ou plusieurs objets PSO ont la même valeur de priorité, Active Directory doit faire un choix. Il choisit l’objet PSO dont l’identificateur global unique (GUID) est le plus bas. Les GUID s’apparentent à des numéros de série pour objets Active Directory (un GUID ne peut pas être partagé par deux objets). Les GUID n’ayant aucune signification particulière (ce sont uniquement des identificateurs), la décision de choisir l’objet avec le GUID le plus bas est totalement arbitraire. Vous devez configurer les objets PSO avec des valeurs de priorité uniques et spécifiques pour éviter ce cas de figure.
Ces règles déterminent l’objet PSO résultant. Active Directory expose l’objet PSO résultant dans un attribut d’objet utilisateur, msDS-ResultantPSO, de sorte que vous puissiez identifier facilement l’objet PSO qui affectera un utilisateur. Les objets PSO contiennent tous les paramètres de mot de passe et de verrouillage. Les paramètres ne sont donc ni hérités, ni fusionnés. L’objet PSO résultant est l’objet PSO qui fait autorité. Pour examiner l’attribut msDS-ResultantPSO d’un utilisateur : 1.
Assurez-vous que Fonctionnalités avancées est activé dans le menu Affichage.
2.
Ouvrez les propriétés du compte d’utilisateur.
3.
Cliquez sur l’onglet Éditeur d’attributs.
4.
Cliquez sur le bouton Filtrer et assurez-vous que Construit est sélectionné.
5.
Recherchez l’attribut msDS-ResultantPSO.
Objets PSO, UO et groupes instantanés Les objets PSO peuvent être liés à des groupes de sécurité globale ou à des utilisateurs. Les objets PSO ne peuvent pas être liés à des UO. Si vous souhaitez appliquer des stratégies de mot de passe et de verrouillage aux utilisateurs d’une UO, vous devez créer un groupe de sécurité globale qui inclue tous les utilisateurs de l’UO. Ce type de groupe est appelé groupe instantané : son appartenance est une reproduction de l’appartenance d’une UO.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique A : Configuration des stratégies de mot de passe et de verrouillage de compte
Scénario L’équipe responsable de la sécurité chez Contoso vous a chargé d’améliorer la sécurité et de contrôler l’authentification pour le domaine AD DS de l’entreprise. Plus spécifiquement, vous devez appliquer une stratégie de mot de passe précise pour tous les comptes d’utilisateurs, ainsi qu’une stratégie de mot de passe plus stricte pour des comptes administratifs sensibles sur le plan de la sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-24
9-25
Exercice 1 : Configurer les stratégies du domaine en matière de mot de passe et de verrouillage Dans cet exercice, vous allez modifier l’objet GPO Stratégie de domaine par défaut afin de mettre en œuvre une stratégie de mot de passe et de verrouillage pour les utilisateurs du domaine contoso.com. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Configurer les stratégies de comptes du domaine.
Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
Tâche 2 : Configurer les stratégies de comptes du domaine 1.
Exécutez la Gestion des stratégies de groupe en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Modifiez l’objet GPO Stratégie de domaine par défaut.
3.
Configurez les paramètres de stratégie de mot de passe ci-dessous. Conservez les valeurs par défaut des autres paramètres.
4.
•
Durée de vie maximale du mot de passe : 90 jours
•
Longueur minimale du mot de passe : 10 caractères
Configurez le paramètre de stratégie de verrouillage de compte ci-dessous. Conservez les valeurs par défaut des autres paramètres. •
5.
Seuil de verrouillage de compte : 5 tentatives d’ouverture de session non valides.
Fermez l’Éditeur de gestion des stratégies de groupe et la Gestion des stratégies de groupe. Résultats : à l’issue de cet exercice, vous aurez configuré de nouveaux paramètres pour les stratégies de comptes du domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Exercice 2 : Configurer une stratégie de mot de passe affinée Dans cet exercice, vous allez créer un objet PSO qui applique une stratégie de mot de passe restrictive et affinée aux comptes d’utilisateurs du groupe Admins du domaine. Vous allez identifier l’objet PSO qui contrôle les stratégies de mot de passe et de verrouillage pour un utilisateur individuel. Enfin, vous allez supprimer l’objet PSO que vous avez créé. Les tâches principales de cet exercice sont les suivantes : 1.
Créer un objet PSO.
2.
Lier un objet PSO à un groupe.
3.
Identifier l’objet PSO résultant pour un utilisateur.
4.
Supprimer un objet PSO.
Tâche 1 : Créer un objet PSO 1.
Cliquez sur Démarrer, pointez sur Outils d’administration, cliquez avec le bouton droit sur Modification ADSI, puis choisissez Exécuter en tant qu’administrateur.
2.
Cliquez sur Utiliser un autre compte.
3.
Dans la zone Nom d’utilisateur, tapez Pat.Coleman_Admin.
4.
Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entrée. Modification ADSI s’ouvre.
5.
Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion.
6.
Acceptez toutes les valeurs par défaut. Cliquez sur OK.
7.
Cliquez sur Contexte d’attribution de noms par défaut dans l’arborescence de la console.
8.
Développez Contexte d’attribution de noms par défaut, puis sélectionnez DC=contoso,DC=com.
9.
Développez DC=contoso,DC=com, puis sélectionnez CN=System.
10. Développez CN=System, puis sélectionnez CN=Password Settings Container. Tous les objets PSO sont créés et stockés dans la classe d’objets PSC (Password Settings Container).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-26
9-27
11. Cliquez avec le bouton droit sur PSC, puis choisissez Nouveau, Objet. La boîte de dialogue Créer un objet s’affiche. Vous êtes invité à sélectionner le type d’objet à créer. Il n’y a qu’un seul choix : msDS-PasswordSettings (nom technique de la classe d’objets référencée en tant qu’objet PSO). 12. Cliquez sur Suivant. Vous êtes ensuite invité à indiquer la valeur de chaque attribut d’un objet PSO. Ces attributs sont comparables à ceux rencontrés dans les stratégies de compte de domaine. 13. Configurez chaque attribut comme indiqué ci-dessous. Cliquez sur Suivant après chaque attribut. •
Common-Name : My Domain Admins PSO. Il s’agit du nom convivial de l’objet PSO.
•
msDS-PasswordSettingsPrecedence: 1. Cet objet PSO présente la priorité la plus élevée possible.
•
msDS-PasswordReversibleEncryptionEnabled: False. Le mot de passe n’est pas stocké en utilisant le chiffrement réversible.
•
msDS-PasswordHistoryLength: 30. L’utilisateur ne peut réutiliser aucun des 30 derniers mots de passe.
•
msDS-PasswordComplexityEnabled: True. Les règles de complexité de mot s’appliquent.
•
msDS-MinimumPasswordLength: 15. Les mots de passe doivent être constitués d’au moins 15 caractères.
•
msDS-MinimumPasswordAge: 1:00:00:00. Un utilisateur ne peut pas changer de mot de passe dans le jour qui suit une première modification. Le format est j:hh:mm:ss (jours, heures, minutes, secondes).
•
msDS-MaximumPasswordAge: 45:00:00:00. Le mot de passe doit être modifié tous les 45 jours.
•
msDS-LockoutThreshold: 5. Cinq ouvertures de session non valides dans un délai spécifié par XXX (attribut suivant) entraîne un verrouillage de compte.
•
msDS-LockoutObservationWindow: 0:01:00:00. Cinq ouvertures de session non valides (spécifié par l’attribut précédent) en l’espace d’une heure entraîne un verrouillage de compte.
•
msDS-LockoutDuration: 1:00:00:00. Un compte verrouillé le reste pendant une heure s’il n’est pas déverrouillé avant manuellement. Si la valeur est égale à zéro, le compte reste verrouillé jusqu’à ce qu’un administrateur le déverrouille.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
14. Cliquez sur Terminer. 15. Fermez Modification ADSI.
Tâche 2 : Lier un objet PSO à un groupe 1.
Exécutez Utilisateurs et ordinateurs Active Directory avec des informations d’identification d’administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l’arborescence de la console, développez le conteneur System. Si le conteneur System n’est pas visible, cliquez sur le menu Affichage de la console MMC, puis assurez-vous que Fonctionnalités avancées est sélectionné.
3.
Dans l’arborescence de la console, cliquez sur Password Settings Container.
4.
Cliquez avec le bouton droit sur My Domain Admins PSO, puis cliquez sur l’onglet Éditeur d’attributs.
5.
Dans la liste Attributs, sélectionnez msDS-PSOAppliesTo, puis cliquez sur Modifier. La boîte de dialogue Éditeur à valeurs multiples de noms uniques avec entités de sécurité s’affiche.
6.
Cliquez sur Ajouter un compte Windows. La boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes s’affiche.
7.
Tapez Admins du domaine, puis appuyez sur Entrée.
8.
Cliquez sur OK à deux reprises et fermez les boîtes de dialogue ouvertes.
Tâche 3 : Identifier l’objet PSO résultant pour un utilisateur 1.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Ouvrez l’Éditeur d’attributs dans la boîte de dialogue Propriétés pour le compte Pat.Coleman_Admin.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-28
3.
9-29
Cliquez sur le bouton Filtrer et assurez-vous que Construit est sélectionné. L’attribut que vous trouverez à l’étape suivante est un attribut construit, ce qui signifie que l’objet PSO résultant n’est pas un attribut codé en dur d’utilisateur ; il est calculé en examinant les objets PSO liés à un utilisateur en temps réel.
Question : quel est l’objet PSO résultant de Pat Coleman (Administrateur) ?
Tâche 4 : Supprimer un objet PSO 1.
Après avoir activé Fonctionnalités avancées dans le menu Affichage d’Utilisateurs et ordinateurs Active Directory, ouvrez le conteneur System et la classe d’objets PSC (Password Settings Container).
2.
Supprimez l’objet PSO que vous avez créé, My Domain Admins PSO. Résultats : à l’issue de cet exercice, vous devez avoir créé un objet PSO, l’avoir appliqué au groupe Admins du domaine et vérifié qu’il est bien appliqué. Vous devez ensuite supprimer l’objet PSO.
Remarque : ne fermez pas l’ordinateur virtuel à l’issue de cet atelier pratique. Les paramètres que vous y avez configurés seront réutilisés dans les prochains ateliers pratiques de ce module.
Questions de contrôle des acquis Question : à quel endroit devez-vous définir les stratégies de mot de passe et de verrouillage de compte par défaut pour les comptes d’utilisateurs du domaine ? Question : quelles sont les meilleures pratiques en matière de gestion d’objets PSO d’un domaine ? Question : comment définir une stratégie de mot de passe unique pour tous les comptes de service de l’UO Comptes de service ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Leçon 2
Audit de l'authentification
Windows Server 2008 permet également d’effectuer l’audit de l’activité de connexion des utilisateurs d’un domaine. En effectuant l’audit des connexions réussies, vous pouvez rechercher les cas où un compte est utilisé à des heures inhabituelles ou dans des lieux inattendus, ce qui peut indiquer qu’un intrus se connecte au compte. L’audit des connexions ayant échoué peut révéler des tentatives de compromission de compte par des intrus. Dans cette leçon, vous allez apprendre à configurer l’audit de l’authentification de connexion.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
configurer l’audit des activités liées à l’authentification ;
•
faire la distinction entre les événements de connexion de comptes et les événements Ouverture de session ;
•
identifier les événements liés à l'authentification dans le journal de sécurité ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-30
9-31
Événements de connexion aux comptes et événements de connexion
Points clés Cette leçon examine deux paramètres de stratégie spécifiques : Auditer les événements de connexion aux comptes et Auditer les événements de connexion. Il est important de comprendre la différence entre ces deux paramètres de stratégie pourtant si proches par leur nom. Lorsqu’un utilisateur essaie d’ouvrir une session sur un ordinateur du domaine en utilisant un compte d’utilisateur du domaine, un contrôleur de domaine authentifie la tentative de connexion au compte du domaine. Cette opération génère un événement de connexion de compte sur le contrôleur de domaine. L’ordinateur sur lequel l’utilisateur ouvre une session (p.ex., l’ordinateur portable de l’utilisateur) génère un événement de connexion. L’ordinateur n’a pas authentifié l’utilisateur par rapport à son compte : il a transféré le compte à un contrôleur de domaine pour être validé. En revanche, l’ordinateur a autorisé l’utilisateur à s’y connecter de façon interactive. Par conséquent, l’événement est un événement de connexion.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Lorsque l’utilisateur se connecte à un dossier sur un serveur du domaine, ce serveur autorise l’utilisateur pour un type de connexion appelé ouverture de session réseau. Là encore, le serveur n’authentifie pas l’utilisateur : il se fie au ticket fourni à l’utilisateur par le contrôleur de domaine. Cependant, la connexion de l’utilisateur génère un événement de connexion sur le serveur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-32
9-33
Configurer les stratégies d’audit liées à l’authentification
Points clés Les événements de connexion aux comptes et les événements de connexion peuvent être audités par Windows Server 2008. Ces paramètres qui gèrent l’audit sont situés dans un objet GPO dans le nœud Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d’audit. Le nœud Stratégie d’audit et les deux paramètres sont illustrés dans la capture d’écran suivante.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Pour configurer une stratégie d’audit, double-cliquez sur la stratégie pour faire apparaître ses propriétés dans une boîte de dialogue. La boîte de dialogue Propriétés de Auditer les événements de connexion aux comptes est illustrée dans la capture d’écran suivante.
Le paramètre de stratégie peut être associé à l’un des quatre états suivants : •
Non défini : si la case à cocher Définir ces paramètres de stratégie est désactivée, le paramètre de stratégie n’est pas défini. Dans ce cas, le serveur pratiquera l’audit de l’événement en fonction de ses paramètres par défaut ou des paramètres spécifiés dans un autre objet GPO.
•
Audit non défini : si la case à cocher Définir ces paramètres de stratégie est activée, mais que les cases à cocher Réussite et Échec sont désactivées, le serveur n’assurera pas l’audit de l’événement.
•
Audit des événements réussis : si la case à cocher Définir ces paramètres de stratégie est activée et que la case à cocher Réussite est activée, le serveur enregistrera les événements réussis dans son journal Sécurité.
•
Audit des événements ayant échoué : si la case à cocher Définir ces paramètres de stratégie est activée et que la case à cocher Échec est activée, le serveur enregistrera les événements non réussis dans son journal Sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-34
9-35
Le comportement d’audit d’un serveur est déterminé par l’un de ces quatre paramètres appliqué comme jeu de stratégie résultant. Dans Windows Server 2008, le paramètre par défaut procède à l’audit des événements de connexion aux comptes réussis et des événements de connexion réussis. Ainsi, les événements des deux types sont entrés dans le journal Sécurité du serveur dans la mesure où il s’agit d’événements réussis. Si vous souhaitez effectuer l’audit des échecs ou désactiver l’audit, vous devez définir le paramètre approprié dans la stratégie d’audit.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Définition de la portée des stratégies d’audit
Points clés Comme pour tous les paramètres de stratégie, vous devez veiller à définir la portée des paramètres de sorte qu’ils s’appliquent aux systèmes appropriés. Par exemple, si vous voulez effectuer l’audit des tentatives de connexion des utilisateurs aux serveurs Bureau à distance, vous pouvez configurer l’audit des événements de connexion dans un objet GPO lié à l’UO qui contient vos serveurs Bureau à distance. En revanche, si vous souhaitez effectuer l’audit des connexions des utilisateurs aux ordinateurs de bureau de votre département Ressources humaines, vous pouvez configurer l’audit des événements de connexion dans un objet GPO lié à l’UO contenant les objets ordinateur des ressources humaines. Gardez à l’esprit que les utilisateurs du domaine qui se connectent à un ordinateur client ou à un serveur génèrent un événement de connexion (et non un événement de connexion à un compte) sur ce système.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-36
9-37
Seuls les contrôleurs de domaine génèrent des événements de connexion aux comptes pour les utilisateurs du domaine. N’oubliez pas qu’un événement de connexion à un compte se produit sur le contrôleur de domaine qui authentifie un utilisateur du domaine, quel que soit l’endroit à partir duquel cet utilisateur se connecte. Si vous souhaitez effectuer l’audit des connexions aux comptes du domaine, vous devez définir la portée de cet audit de sorte qu’il affecte uniquement les contrôleurs du domaine. En fait, l’objet GPO Contrôleurs de domaine par défaut qui est créé lorsque vous installez votre premier contrôleur de domaine est un objet GPO idéal pour y configurer des stratégies d’audit de connexion aux comptes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Examiner les événements de connexion
Points clés Dans la mesure où ils font l’objet d’un audit, les événements de connexion aux comptes et les événements de connexion apparaissent dans le journal Sécurité du système qui a généré ces événements. Un exemple est illustré dans la capture d’écran suivante.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-38
9-39
Ainsi, si vous effectuez l’audit des ouvertures de session sur les ordinateurs du département Ressources humaines, les événements sont entrés dans le journal Sécurité de chaque ordinateur. De la même manière, si vous assurez l’audit des connexions aux comptes ayant échoué dans le but d’identifier les tentatives d’intrusion potentielles, les événements sont entrés dans le journal Sécurité de chaque contrôleur de domaine. Cela signifie que, par défaut, vous devrez examiner les journaux Sécurité de tous les contrôleurs de domaine afin d’obtenir un aperçu complet des événements de connexion aux comptes de votre domaine. Il va sans dire que dans un environnement complexe constitué de plusieurs contrôleurs de domaine et de nombreux utilisateurs, l’audit des connexions aux comptes ou des connexions peut générer un nombre d’événements incalculable. La présence d’événements trop nombreux peut rendre difficile l’identification d’événements suspects qui mériteraient un examen plus attentif. Vous devez trouver un compromis entre le volume d’informations journalisées, les exigences de sécurité de votre entreprise et les ressources dont vous disposez pour analyser les événements enregistrés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique B : Audit de l'authentification
Scénario L’équipe responsable de la sécurité chez Contoso vous a chargé d’améliorer la sécurité et de contrôler l’authentification pour le domaine AD DS de l’entreprise. Plus précisément, vous devez créer une piste d’audit des connexions.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-40
9-41
Exercice 1 : Effectuer l’audit de l’authentification Dans cet exercice, vous allez utiliser la Stratégie de groupe pour activer l’audit des connexions réussies et celles ayant échoué, qui ont été initiées par les utilisateurs du domaine contoso.com. Vous génèrerez ensuite des événements de connexion et examinerez les entrées résultantes dans les journaux d’événements. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Configurer l’audit des événements de connexion aux comptes.
3.
Configurer l’audit des événements de connexion.
4.
Forcer une actualisation de la Stratégie de groupe.
5.
Générer des événements de connexion à un compte.
6.
Examiner les événements de connexion aux comptes.
7.
Examiner les événements de connexion.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
3.
Ouvrez D:\Labfiles\Lab09b.
4.
Exécutez Lab09b_Setup.bat avec des informations d’identification d’administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tâche 2 : Configurer l’audit des événements de connexion aux comptes 1.
Exécutez la Gestion des stratégies de groupe en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Modifiez l’objet de stratégie de groupe de la stratégie par défaut des contrôleurs de domaine pour activer l’audit des événements de connexion aux comptes qui ont réussi et ceux qui ont échoué.
3.
Fermez l’Éditeur de gestion des stratégies de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 3 : Configurer l’audit des événements de connexion 1.
Créez un objet de stratégie de groupe (GPO) lié à l’UO Servers\Important Project. Nommez l’objet GPO Server Lockdown Policy.
2.
Modifiez la Server Lockdown Policy pour activer l’audit des événements de connexion aux comptes qui ont réussi et ceux qui ont échoué.
3.
Fermez l’Éditeur de gestion des stratégies de groupe et la Gestion des stratégies de groupe.
Tâche 4 : Forcer une actualisation de la Stratégie de groupe 1.
Démarrez SERVER01-A. Pendant le démarrage, l’ordinateur applique les modifications que vous avez apportées à la Stratégie de groupe.
2.
Sur HQDC01, exécutez l’invite de commandes en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd, puis exécutez la commande gpupdate.exe /force. Fermez l’invite de commandes.
Tâche 5 : Générer des événements de connexion à un compte 1.
Sur SERVER01, ouvrez une session sous le nom Pat.Coleman, mais entrez un mot de passe incorrect.
2.
Après que l’ouverture de session vous a été refusée, ouvrez à nouveau une session avec le mot de passe correct, à savoir, Pa$$w0rd.
Tâche 6 : Examiner les événements de connexion aux comptes 1.
Exécutez l'Observateur d'événements en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Identifiez les événements ayant échoué et les événements réussis dans le journal Sécurité.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-42
9-43
Question : quel ID d’événement est associé aux événements d’échec de connexion aux comptes ? (Conseil : recherchez la première série d’événements d’échec au moment où vous vous êtes connecté de manière incorrecte à SERVER01.) Question : quel est l’ID d’événement qui est associé à la connexion réussie au compte ? (Conseil : recherchez la première série d’événements au moment où vous vous êtes connecté de manière incorrecte à SERVER01.)
Tâche 7 : Examiner les événements de connexion 1.
Sur SERVER01, exécutez l’Observateur d’événements en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Identifiez les événements ayant échoué et les événements réussis dans le journal Sécurité.
Question : quel est l’ID d’événement qui est associé aux événements d’échec de connexion ? (Conseil : recherchez la première série d’événements d’échec au moment où vous vous êtes connecté de manière incorrecte à SERVER01.) Question : quel est l’ID d’événement qui est associé à la connexion réussie ? (Conseil : recherchez la première série d’événements au moment où vous vous êtes connecté de manière incorrecte à SERVER01.) Résultats : à l’issue de cet exercice, vous aurez établi et analysé l’audit des connexions réussies et en échec au domaine et aux serveurs dans l’UO Projet important.
Remarque : ne fermez pas l’ordinateur virtuel à l’issue de cet atelier pratique. Les paramètres que vous y avez configurés seront réutilisés dans les prochains ateliers pratiques de ce module.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Questions de contrôle des acquis Question : quel serait l’inconvénient de procéder à l’audit de toutes les connexions réussies et en échec sur tous les ordinateurs du domaine ? Question : vous avez été chargé d’assurer l’audit des tentatives d’ouverture de session sur les ordinateurs de bureau et les ordinateurs portables de la division Finances à l’aide de comptes locaux, tels que le compte Administrateur. Quel type de stratégie d’audit définissez-vous, et dans quel(s) objet(s) GPO ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-44
9-45
Leçon 3
Configuration des contrôleurs de domaine en lecture seule
Pour le personnel informatique d’une entreprise, les filiales posent un problème unique : faut-il placer un contrôleur de domaine dans une filiale qui est séparée du site central par une liaison de réseau étendu (WAN, wide area network) ? Avec les versions précédentes de Windows, il n’était pas simple de répondre à cette question. En revanche, Windows Server 2008 permet de répondre plus facilement à cette question grâce au nouveau type de contrôleur de domaine qu’il introduit : le contrôleur de domaine en lecture seule. Dans cette leçon, vous allez explorer les problèmes liés à l’authentification des filiales et au placement des contrôleurs de domaine, et vous apprendrez à implémenter un contrôleur de domaine en lecture seule de filiale et à en assurer le support.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
identifier les besoins de l’entreprise en matière de contrôleurs de domaine en lecture seule ;
•
installer un contrôleur de domaine en lecture seule ;
•
configurer une stratégie de réplication de mot de passe ;
•
contrôler la mise en cache des informations d’identification sur un contrôleur de domaine en lecture seule.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-46
9-47
Authentification et placement d’un contrôleur de domaine dans une filiale
Points clés Imaginons le cas d’une entreprise constituée d’un site central et de plusieurs filiales. Les filiales se connectent au site central au moyen de liaisons WAN qui peuvent être congestionnées, coûteuses, lentes ou peu fiables. Dans les filiales, les utilisateurs doivent être authentifiés par Active Directory pour pouvoir accéder aux ressources du domaine. Faut-il placer un contrôleur de domaine dans les filiales ? Dans les filiales, bon nombre de services informatiques sont centralisés sur le site central, dont la maintenance est soigneusement assurée par le personnel informatique. Dans les grandes organisations, le site central peut comporter un centre de données robuste. Toutefois, les filiales sont souvent des sites de plus petite taille qui sont dépourvus de centre de données. De fait, hormis quelques serveurs, il est rare que les filiales disposent de ressources informatiques importantes. Elles ne disposent pas nécessairement d’installations physiquement sécurisées pour abriter des serveurs de filiale. Le personnel informatique sur place, si tant est qu’il en existe un, n’est pas suffisant pour assurer le support des serveurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
En l’absence d’un contrôleur de domaine dans la filiale, les activités d’authentification et de ticket de service sont dirigées vers le site central via la liaison WAN. L’authentification se produit lorsqu’un utilisateur ouvre la première session sur son ordinateur le matin. Les tickets de service sont une composante du mécanisme d’authentification Kerberos utilisé par les domaines Windows Server 2008. Vous pouvez considérer un ticket de service comme une clé émise par le contrôleur de domaine pour un utilisateur. La clé permet à l’utilisateur de se connecter à un service, tel que le service de fichiers et d’impression, sur un serveur de fichiers. Lorsqu’un utilisateur essaie d’accéder pour la première fois à un service spécifique, le client de l’utilisateur demande ce qui s’appelle un ticket de service auprès du contrôleur de domaine. Comme les utilisateurs se connectent généralement à plusieurs services au cours d’une même journée de travail, l’activité de ticket de service se répète régulièrement. L’activité d’authentification et de ticket de service sur la liaison WAN entre une filiale et un site central peut entraîner des ralentissements et nuire à la fiabilité. Si la présence d’un contrôleur de domaine dans la filiale permet une authentification bien plus efficace, cette solution présente plusieurs risques sérieux. En effet, un contrôleur de domaine conserve une copie de tous les attributs de l’ensemble des objets du domaine, y compris des informations confidentielles telles que les mots de passe des utilisateurs. En cas d’accès au contrôleur de domaine voire de vol de ce dernier, il devient possible pour un expert déterminé d’identifier des noms d’utilisateur et des mots de passe valides, ce qui compromettra le domaine tout entier. Au minimum, vous devez réinitialiser les mots de passe de chaque compte d’utilisateur du domaine. La sécurité des serveurs au niveau des filiales étant souvent défaillante, un contrôleur de domaine de filiale pose un risque de sécurité considérable. Autre source de préoccupation : les modifications apportées à la base de données Active Directory sur un contrôleur de domaine de filiale sont répliquées sur le site central et sur tous les autres contrôleurs de domaine de l’environnement. Par conséquent, la corruption d’un contrôleur de domaine de filiale constitue un risque pour l’intégrité du service d’annuaire de l’entreprise. Par exemple, si l’administrateur d’une filiale restaure le contrôleur de domaine à partir d’une sauvegarde obsolète, les répercussions au niveau du domaine tout entier risquent d’être importantes. Le troisième sujet d’inquiétude concerne l’administration. Un contrôleur de domaine de filiale peut nécessiter des opérations de maintenance, par exemple, l’installation d’un nouveau pilote de périphérique. Pour pouvoir réaliser des opérations de maintenance sur un contrôleur de domaine standard, vous devez ouvrir une session en tant que membre du groupe Administrateurs sur le contrôleur de domaine, ce qui signifie que vous êtes de facto un administrateur du domaine. Or, l’octroi d’un tel niveau de prérogative à une équipe de support de filiale n’est pas forcément indiqué.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-48
9-49
Contrôleurs de domaine en lecture seule
Points clés Devant ces différents sujets d’inquiétude (sécurité, intégrité du service d’annuaire et administration) et du fait de l’absence de recommandations, bon nombre d’entreprises se sont trouvées face à des incertitudes. Avec Windows Server 2008 est apparu le contrôleur de domaine en lecture seule, qui a été spécialement conçu pour répondre aux besoins des filiales. Un contrôleur de domaine en lecture seule est un contrôleur de domaine qui prend généralement place dans une filiale. Il conserve une copie de tous les objets du domaine et de tous les attributs, à l’exception d’informations confidentielles telles que les propriétés relatives aux mots de passe. Lorsqu’un utilisateur de la filiale ouvre une session, le contrôleur de domaine en lecture seule reçoit la demande et la transfère à un contrôle de domaine sur le site central pour être authentifiée.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vous pouvez configurer une stratégie de réplication de mot de passe pour le contrôleur de domaine en lecture seule qui spécifie les comptes d’utilisateurs que ce dernier est autorisé à mettre en cache. Si l’utilisateur qui ouvre une session est inclus dans la stratégie de réplication de mot de passe, le contrôleur de domaine en lecture seule met en cache les informations d’identification de l’utilisateur, ce qui lui permet d’effectuer la tâche en local à la prochaine demande d’authentification. À mesure que les utilisateurs inclus dans la stratégie de réplication de mot de passe ouvrent une session, le contrôleur de domaine en lecture seule se constitue un cache d’informations d’identification et peut ainsi procéder à l’authentification de ces utilisateurs en local. Sachez que le contrôleur de domaine en lecture seule conserve uniquement un sous-ensemble d’informations d’identification. Autrement dit, si le contrôleur de domaine en lecture seule est compromis ou volé, le risque de sécurité est limité : seuls les mots de passe des comptes d’utilisateurs qui ont été mis en cache sur le contrôleur de domaine en lecture seule doivent être modifiés. Le contrôleur de domaine en lecture seule réplique les modifications dans Active Directory à partir des contrôleurs de domaine du site central. La réplication est unidirectionnelle. Aucune des modifications apportées au contrôleur de domaine en lecture seule n’est répliquée sur un autre contrôleur de domaine. Cela élimine tout risque de corruption du service d’annuaire du fait de modifications apportées à un contrôleur de domaine de filiale compromis. Enfin, il existe sur les contrôleurs de domaine en lecture seule l’équivalent d’un groupe Administrateurs local. Vous pouvez accorder à une ou plusieurs personnes du service de support local le droit de gérer entièrement un contrôleur de domaine en lecture seule sans leur octroyer l’équivalence des Admins de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-50
9-51
Déployer un contrôleur de domaine en lecture seule
Points clés Les principales étapes d’installation d’un contrôleur de domaine en lecture seule sont les suivantes : 1.
S’assurer que le niveau fonctionnel de la forêt est Windows Server 2003 ou une version supérieure.
2.
Si la forêt présente des contrôleurs de domaine fonctionnant sous Windows Server 2003, exécuter adprep /rodcprep.
3.
S’assurer qu’il existe au moins un contrôleur de domaine accessible en écriture fonctionnant sous Windows Server 2008.
4.
Installer le contrôleur de domaine en lecture seule.
Chacune de ces étapes est détaillée dans les sections suivantes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vérification et configuration du niveau fonctionnel de la forêt (Windows Server 2003 ou version supérieure) Les niveaux fonctionnels activent des fonctionnalités uniques spécifiques aux versions de Windows. Les versions de Windows exécutées sur les contrôleurs de domaine sont donc déterminantes. Si tous les contrôleurs de domaine s’exécutent sous Windows Server 2003 ou une version ultérieure, le niveau fonctionnel de domaine peut être défini à Windows Server 2003. Si tous les domaines sont au niveau fonctionnel de domaine Windows Server 2003, le niveau fonctionnel de la forêt peut être défini à Windows Server 2003. Les niveaux fonctionnels de domaine et de forêt sont traités en détail dans un autre module. Les contrôleurs de domaine en lecture seule nécessitent un niveau fonctionnel de forêt Windows Server 2003 ou version supérieure. Autrement dit, tous les contrôleurs de domaine de la forêt entière doivent exécuter Windows Server 2003 ou une version ultérieure. Pour déterminer le niveau fonctionnel de votre forêt : 1.
Ouvrez Domaines et approbations Active Directory.
2.
Cliquez avec le bouton droit sur le nom de la forêt, puis cliquez sur Propriétés.
3.
Vérifiez le niveau fonctionnel de la forêt, comme indiqué ci-dessous. N’importe quel utilisateur peut vérifier le niveau fonctionnel de la forêt en procédant de la sorte. Il n’est pas nécessaire de disposer d’informations d’identification d’administration pour consulter le niveau fonctionnel d’une forêt.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-52
9-53
Si le niveau fonctionnel de la forêt n’est pas au minimum Windows Server 2003, examinez les propriétés de chaque domaine pour identifier celui ou ceux dont le niveau fonctionnel n’est pas au moins Windows Server 2003. Si vous trouvez un domaine de ce type, vous devez vous assurer que tous les contrôleurs de domaine exécutent Windows Server 2003. Ensuite, dans Domaines et approbations Active Directory, cliquez avec le bouton droit sur le nom du domaine et choisissez Augmenter le niveau fonctionnel du domaine. Après avoir fait passer le niveau fonctionnel de chaque domaine à au moins Windows Server 2003, cliquez avec le bouton droit sur le nœud racine du composant logiciel enfichable Domaines et approbations Active Directory, puis choisissez Augmenter le niveau fonctionnel de la forêt. Dans la liste déroulante Sélectionner un niveau fonctionnel de forêt disponible, choisissez Windows Server 2003, puis cliquez sur Augmenter. Vous devez être administrateur d’un domaine pour pouvoir augmenter son niveau fonctionnel. Pour augmenter le niveau fonctionnel d’une forêt, vous devez soit être membre du groupe Admins du domaine dans le domaine racine de la forêt, soit faire partie du groupe Administrateurs de l’entreprise. Exécution de la commande ADPrep /RODCPrep Si vous décidez de mettre à niveau une forêt existante de façon à y inclure les contrôleurs de domaine qui exécutent Windows Server 2008, vous devez exécuter adprep /rodcprep. Cette commande configure les autorisations pour permettre aux contrôleurs de domaine en lecture seule de répliquer les partitions d’annuaire d’applications DNS. Les partitions d’annuaire d’applications DNS sont traitées dans un autre module. Si vous créez une nouvelle forêt Active Directory et que tous les contrôleurs de domaine sont appelés à exécuter Windows Server 2008, vous n’avez pas besoin d’exécuter adprep /rodcprep. La commande se trouve dans le dossier \sources\adprep du DVD d’installation de Windows Server 2008. Copiez le dossier sur le contrôleur de domaine qui fait office de contrôleur de schéma. Le rôle de contrôleur de schéma est décrit dans un autre module. Ouvrez une session sur le contrôleur de schéma en tant que membre du groupe Administrateurs de l’entreprise, ouvrez une invite de commandes, modifiez les répertoires en désignant le dossier adprep, puis tapez adprep /rodcprep. Avant d’exécuter adprep /rodcpep, vous devez exécuter adprep /forestprep et adprep /domainprep. Voir le module 14 pour plus d’informations sur la préparation d’un domaine et d’une forêt Windows Server 2003 pour le premier contrôleur de domaine Windows Server 2008.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Placement d’un contrôleur de domaine Windows Server 2008 accessible en écriture Un contrôleur de domaine en lecture seule doit répliquer les mises à jour de domaine à partir d’un contrôleur de domaine accessible en écriture exécutant Windows Server 2008. Il est essentiel qu’un contrôleur de domaine en lecture seule puisse établir une connexion de réplication avec un contrôleur de domaine Windows Server 2008 accessible en écriture. Dans l’idéal, le contrôleur de domaine Windows Server 2008 accessible en écriture doit se trouver sur le site le plus proche (le site central). Si vous souhaitez que le contrôleur de domaine en lecture seule joue le rôle de serveur DNS, le contrôleur de domaine Windows Server 2008 accessible en écriture doit également héberger la zone de domaine DNS. Installation d’un contrôleur de domaine en lecture seule Après avoir exécuté les étapes préparatoires, vous pouvez installer un contrôleur de domaine en lecture seule. Celui-ci peut consister en une installation complète ou minimale de Windows Server 2008. Avec une installation complète de Windows Server 2008, vous pouvez utiliser l’Assistant Installation des services de domaine Active Directory pour créer un contrôleur de domaine en lecture seule. Il vous suffit de sélectionner Contrôleur de domaine en lecture seule (RODC) dans la page Options supplémentaires pour le contrôleur de domaine, comme indiqué cidessous.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-54
9-55
Vous pouvez également utiliser la commande dcpromo.exe avec le commutateur /unattend pour créer le contrôleur de domaine en lecture seule. Sur une installation minimale de Windows Server 2008, vous devez utiliser la commande dcpromo.exe /unattend. Il est également possible de déléguer l’installation du contrôleur de domaine en lecture seule, ce qui permet à un utilisateur qui n’est pas administrateur de domaine de créer le contrôleur de domaine en lecture seule, en ajoutant un nouveau serveur dans la filiale et en exécutant dcpromo.exe. Pour déléguer l’installation d’un contrôleur de domaine en lecture seule, créez au préalable un compte d’ordinateur pour le contrôleur de domaine en lecture seule dans l’UO Domain Controllers et spécifiez les informations d’identification qui seront utilisées pour ajouter le contrôleur de domaine en lecture seule au domaine. Cet utilisateur peut rattacher un serveur exécutant Windows Server 2008 au compte du contrôleur de domaine en lecture seule. Le serveur doit être membre d’un groupe de travail (pas du domaine) au moment de créer un contrôleur de domaine en lecture seule via l’installation déléguée.
Lectures complémentaires •
Pour plus d’informations sur les autres options d’installation d’un contrôleur de domaine en lecture seule, y compris l’installation déléguée, voir http://go.microsoft.com/fwlink/?LinkId=168763.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Démonstration : Stratégie de réplication de mot de passe
Points clés Ouvrez les propriétés de BRANCHDC01-A dans l’UO Domain Controllers. Cliquez sur l’onglet Stratégie de réplication de mot de passe. La stratégie de réplication de mot de passe désigne les utilisateurs dont les informations d’identification peuvent être mises en cache sur un contrôleur de domaine en lecture seule spécifique. Si la stratégie de réplication de mot passe autorise un contrôleur de domaine en lecture seule à mettre en cache les informations d’identification d’un utilisateur, les activités d’authentification et de ticket de service de cet utilisateur peuvent être traitées par le contrôleur de domaine en lecture seule. Si les informations d’identification d’un utilisateur ne peuvent pas être mises en cache sur le contrôleur de domaine en lecture seule, celui-ci adresse les activités d’authentification et de ticket de service à un contrôleur de domaine accessible en écriture.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-56
9-57
La stratégie de réplication de mot de passe d’un contrôleur de domaine en lecture seule est déterminée par deux attributs à valeurs multiples du compte d’ordinateur du contrôleur de domaine en lecture seule. Ces attributs sont connus sous le nom de liste verte et de liste d’exclusion. Si le compte d’un utilisateur se trouve dans la liste verte, les informations d’identification de l’utilisateur sont mises en cache. Vous pouvez inclure des groupes dans la liste verte. Dans ce cas, les informations d’identification de tous les utilisateurs qui appartiennent au groupe peuvent être mises en cache sur le contrôleur de domaine en lecture seule. Si un utilisateur se trouve à la fois dans la liste verte et dans la liste d’exclusion, les informations d’identification de cet utilisateur ne sont pas mises en cache, car la liste d’exclusion est prioritaire. Configurer une stratégie de réplication de mot de passe à l’échelle d’un domaine Pour faciliter la gestion d’une stratégie de réplication de mot de passe, Windows Server 2008 crée deux groupes de sécurité locale de domaine dans le conteneur Utilisateurs d’Active Directory. Le premier, nommé Groupe de réplication dont le mot de passe RODC est autorisé, est ajouté à la liste verte de chaque nouveau contrôleur de domaine en lecture seule. Par défaut, ce groupe ne possède aucun membre. Ainsi, par défaut, un nouveau contrôleur de domaine en lecture seule ne mettra en cache les informations d’identification d’aucun utilisateur. Si vous voulez que les informations d’identification de certains utilisateurs soient mises en cache par tous les contrôleurs de domaine en lecture seule du domaine, ajoutez ces utilisateurs au Groupe de réplication dont le mot de passe RODC est autorisé. Le deuxième groupe est nommé Groupe de réplication dont le mot de passe RODC est refusé. Il est ajouté à la liste d’exclusion de chaque nouveau contrôleur de domaine en lecture seule. Si vous voulez faire en sorte que les informations d’identification de certains utilisateurs ne soient jamais mises en cache par les contrôleurs de domaine en lecture seule du domaine, ajoutez ces utilisateurs au Groupe de réplication dont le mot de passe RODC est refusé. Par défaut, ce groupe contient des comptes sensibles sur le plan de la sécurité qui sont membres de groupes tels que Admins du domaine, Administrateurs de l’entreprise et Propriétaires créateurs de la stratégie de groupe. Remarque : les ordinateurs aussi sont des acteurs. Ne perdez pas de vue que les utilisateurs ne sont pas les seuls à générer une activité d’authentification et de ticket de service. Les ordinateurs d’une filiale ont également besoin de cette activité. Pour améliorer les performances des systèmes d’une filiale, autorisez aussi le contrôleur de domaine en lecture seule de la filiale à mettre en cache les informations d’identification des ordinateurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Configurer une stratégie de réplication de mot de passe spécifique à un contrôleur de domaine en lecture seule Les deux groupes décrits dans la section précédente fournissent une méthode qui permet de gérer la stratégie de réplication de mot de passe sur tous les contrôleurs de domaine en lecture seule. Toutefois, dans un scénario de filiale, il est recommandé sinon nécessaire d’autoriser le contrôleur de domaine en lecture seule de chaque filiale à mettre en cache les informations d’identification des utilisateurs de ces sites. Vous devez donc configurer la liste verte et la liste d’exclusion de chaque contrôleur de domaine en lecture seule. Pour configurer la stratégie de réplication de mot de passe d’un contrôleur de domaine en lecture seule, accédez aux propriétés du compte d’ordinateur du contrôleur de domaine en lecture seule correspondant dans l’UO Domain Controllers. Sous l’onglet Réplication de mot de passe, illustré dans la capture d’écran ci-dessous, vous pouvez consulter les paramètres de la stratégie de réplication de mot de passe active et y ajouter ou supprimer des utilisateurs ou des groupes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-58
9-59
Étapes de la démonstration 1.
Exécutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l’UO Domain Controllers, accédez aux propriétés de BRANCHDC01.
3.
Cliquez sur l’onglet Réplication de mot de passe et examinez la stratégie par défaut.
4.
Fermez la fenêtre de propriétés de BRANCHDC01.
5.
Dans l’arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur le conteneur Users.
6.
Double-cliquez sur Allowed RODC Password Replication Group. Accédez à l’onglet Membres et examinez l’appartenance par défaut de Allowed RODC Password Replication Group.
7.
Cliquez sur OK.
8.
Double-cliquez sur Denied RODC Password Replication Group et accédez à l’onglet Membres.
9.
Cliquez sur Annuler pour fermer la fenêtre de propriétés du Denied RODC Password Replication Group.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Démonstration : Administration de la mise en cache des informations d'identification d'un contrôleur de domaine en lecture seule
Points clés Pour les besoins de cette démonstration, utilisez l’ordinateur virtuel BRANCHDC01, puis ouvrez Utilisation de la stratégie.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-60
9-61
Lorsque vous cliquez sur le bouton Avancé sous l’onglet Stratégie de réplication de mot de passe d’un contrôleur de domaine en lecture seule, la boîte de dialogue Stratégie de réplication de mot de passe avancée s’affiche à l’écran. Un exemple est illustré dans la capture d’écran suivante.
La liste déroulante située dans la partie supérieure de l’onglet Utilisation de la stratégie vous permet de sélectionner l’un des deux rapports pour le contrôleur de domaine en lecture seule : •
Comptes dont les mots de passe sont stockés sur ce contrôleur de domaine en lecture seule : affiche la liste des informations d’identification d’utilisateurs et d’ordinateurs actuellement en cache sur le contrôleur de domaine en lecture seule. Cette liste permet d’identifier les informations d’identification mises en cache sur le contrôleur de domaine en lecture seule et qui ne doivent pas l’être, et de modifier la stratégie de réplication de mot de passe en conséquence.
•
Comptes authentifiés sur ce contrôleur de domaine en lecture seule : affiche la liste des informations d’identification d’utilisateurs et d’ordinateurs qui ont été adressées à un contrôleur de domaine accessible en écriture pour le traitement de l’authentification ou du ticket de service. Cette liste permet d’identifier les utilisateurs ou les ordinateurs qui tentent de s’authentifier auprès du contrôleur de domaine en lecture seule. Si certains de ces comptes ne sont pas mis en cache, envisagez de les ajouter à la stratégie de réplication de mot de passe.
Dans la même boîte de dialogue, l’onglet Stratégie résultante permet d’évaluer la stratégie de mise en cache en vigueur pour un utilisateur ou un ordinateur individuel. Cliquez sur le bouton Ajouter pour sélectionner un compte d’utilisateur ou d’ordinateur en vue de l’évaluer.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Vous pouvez également utiliser la boîte de dialogue Stratégie de réplication de mot de passe avancée pour préremplir les informations d’identification dans le cache du contrôleur de domaine en lecture seule. Si un utilisateur ou un ordinateur figure dans la liste verte d’un contrôleur de domaine en lecture seule, les informations d’identification du compte peuvent être mises en cache sur le contrôleur de domaine en lecture seule. Toutefois, elles ne le seront pas tant que les événements d’authentification ou de ticket de service n’auront pas conduit le contrôleur de domaine en lecture seule à répliquer les informations d’identification à partir d’un contrôleur de domaine accessible en écriture. En préremplissant les informations d’identification dans le cache du contrôleur de domaine en lecture seule, par exemple, pour les utilisateurs et les ordinateurs d’une filiale, vous pouvez faire en sorte que l’activité d’authentification et de ticket de service soit traitée localement par le contrôleur de domaine en lecture seule, même si les utilisateurs ou les ordinateurs s’authentifient pour la première fois. Pour préremplir les informations d’identification, cliquez sur le bouton Préremplir les mots de passe et sélectionnez les utilisateurs et les ordinateurs appropriés.
Étapes de la démonstration 1.
Sur HQDC01, dans l’arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur l’UO Domain Controllers et accédez aux propriétés de BRANCHDC01.
2.
Cliquez sur l’onglet Stratégie de réplication de mot de passe.
3.
Cliquez sur le bouton Avancé. La boîte de dialogue Stratégie de réplication de mot de passe avancée pour BRANCHDC01 s’affiche à l’écran. L’onglet Utilisation de la stratégie affiche les comptes dont les mots de passe sont stockés sur ce contrôleur de domaine en lecture seule.
4.
Dans la liste déroulante, sélectionnez Comptes dont les mots de passe sont stockés sur ce contrôleur de domaine en lecture seule.
5.
Dans la liste déroulante, sélectionnez Comptes authentifiés sur ce contrôleur de domaine en lecture seule.
6.
Cliquez sur l’onglet Stratégie résultante, puis cliquez sur le bouton Ajouter. La boîte de dialogue Sélectionner des utilisateurs ou des ordinateurs s'affiche.
7.
Tapez Chris.Gallagher, puis appuyez sur Entrée.
8.
Cliquez sur l’onglet Utilisation de la stratégie.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-62
9.
9-63
Cliquez sur le bouton Préremplir les mots de passe. La boîte de dialogue Sélectionner des utilisateurs ou des ordinateurs s'affiche.
10. Tapez le nom du compte que vous souhaitez préremplir, puis cliquez sur OK. 11. Cliquez sur Oui pour confirmer que vous voulez envoyer les informations d’identification au contrôleur de domaine en lecture seule. Le message suivant s’affiche : Les mots de passe de tous les comptes ont été correctement préremplis.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Séparation des rôles d’administrateur
Points clés Les contrôleurs de domaine en lecture seule des filiales peuvent nécessiter des opérations de maintenance, comme la mise à jour d’un pilote de périphérique. Par ailleurs, dans les petites filiales, un même système peut combiner les rôles de contrôleur de domaine en lecture seule et de serveur de fichiers. Dans ce cas, il est important de pouvoir sauvegarder le système. Les contrôleurs de domaine en lecture seule autorisent une administration locale grâce à une fonctionnalité appelée séparation des rôles d’administrateur. Chaque contrôleur de domaine en lecture seule dispose d’une base de données locale de groupes à des fins d’administration spécifiques. Vous pouvez ajouter un compte d’utilisateur de domaine à ces rôles locaux pour permettre le support d’un contrôleur de domaine en lecture seule.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-64
9-65
Vous pouvez configurer la séparation des rôles d’administrateur à l’aide de la commande dsmgmt.exe. Pour ajouter un utilisateur au rôle Administrateurs d’un contrôleur de domaine en lecture seule, procédez comme suit : 1.
Ouvrez un invite de commandes sur le contrôleur de domaine en lecture seule.
2.
Tapez dsmgmt, puis appuyez sur Entrée.
3.
Tapez local roles, puis appuyez sur Entrée. À l’invite « local roles », vous pouvez taper ? et appuyer sur Entrée pour obtenir une liste de commandes. Vous pouvez également taper list roles et appuyer sur Entrée pour obtenir la liste des rôles locaux.
4.
Tapez add nom d’utilisateur administrators, où nom d’utilisateur est le nom d’ouverture de session antérieur à Windows 2000 d’un utilisateur du domaine, puis appuyez sur Entrée.
Vous pouvez répéter cette procédure pour ajouter d’autres utilisateurs aux divers rôles locaux d’un contrôleur de domaine en lecture seule.
Lectures complémentaires •
Le contrôleur de domaine en lecture seule est une nouveauté extrêmement utile qui permet d’améliorer l’authentification et la sécurité dans les filiales. Veillez à lire la documentation détaillée sur le site Web Microsoft à l’adresse suivante : http://go.microsoft.com/fwlink/?LinkId=168764
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Atelier pratique C : Configurer des contrôleurs de domaine en lecture seule
Scénario L’équipe responsable de la sécurité chez Contoso vous a chargé d’améliorer la sécurité et de contrôler l’authentification pour le domaine AD DS de l’entreprise. Plus précisément, vous devez améliorer la sécurité des contrôles de domaine de filiales.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-66
9-67
Exercice 1 : Installer un contrôleur de domaine en lecture seule Dans cet exercice, vous allez configurer le serveur BRANCHDC01 en tant que contrôleur de domaine en lecture seule de la filiale distante. Afin d’éviter les coûts de déplacement, vous décidez d’opérer la conversion à distance, avec l’aide d’Aaron Painter, le technicien de support des ordinateurs de bureau et unique informaticien de la filiale. Aaron Painter a déjà installé un ordinateur Windows Server 2008 nommé BRANCHDC01 en tant que serveur dans un groupe de travail. Vous allez prédéfinir l’installation déléguée d’un contrôleur de domaine en lecture seule pour permettre à Aaron Painter de réaliser l’installation. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Prédéfinir l’installation déléguée d’un contrôleur de domaine en lecture seule.
3.
Exécuter l’Assistant Installation des services de domaine Active Directory sur un serveur de groupe de travail.
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-A.
2.
Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
3.
Ouvrez D:\Labfiles\Lab09c.
4.
Exécutez Lab09c_Setup.bat avec des informations d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
5.
Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé, appuyez sur une touche quelconque.
6.
Fermez la fenêtre de l’Explorateur Windows, Lab09c.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 2 : Prédéfinir l’installation déléguée d’un contrôleur de domaine en lecture seule 1.
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Cliquez avec le bouton droit sur l’UO Domain Controllers, puis cliquez sur Créer au préalable un compte de contrôleur de domaine en lecture seule.
3.
Suivez les étapes de l’Assistant Installation des services de domaine Active Directory en acceptant les valeurs par défaut. Utilisez le nom d’ordinateur BRANCHDC01 puis, dans la page Délégation de l’installation et de l’administration du contrôleur de domaine en lecture seule (RODC), déléguez l’installation à Aaron.Painter_Admin. Notez que lorsque l’Assistant est terminé, le serveur apparaît dans l’UO Domain Controllers avec la mention Compte de contrôleur de domaine inoccupé (Lecture seule, CG) dans la colonne Type de contrôleur de domaine.
Tâche 3 : Exécuter l’Assistant Installation des services de domaine Active Directory sur un serveur de groupe de travail 1.
Démarrez l’ordinateur 6238B-BRANCHDC01-A.
2.
Sur BRANCHDC01, ouvrez une session en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
3.
Cliquez sur Démarrer, puis sur Exécuter...
4.
Tapez dcpromo, puis appuyez sur Entrée. Une fenêtre s’affiche pour vous signaler que les fichiers binaires des services de domaine Active Directory sont en cours d’installation. À l’issue de l’installation, l’Assistant Installation des services de domaine Active Directory s’affiche.
5.
Cliquez sur Suivant.
6.
Dans la page Compatibilité du système d’exploitation, cliquez sur Suivant.
7.
Dans la page Choisissez une configuration de déploiement, cliquez successivement sur l’option Forêt existante, sur Ajouter un contrôleur de domaine à un domaine existant, puis sur Suivant.
8.
Dans la page Informations d’identification réseau, tapez contoso.com.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-68
9.
9-69
Cliquez sur le bouton Définir. La boîte de dialogue Sécurité de Windows s’affiche.
10. Dans la zone Nom d’utilisateur, tapez Aaron.Painter_Admin. 11. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entrée. 12. Cliquez sur Suivant. 13. Dans la page Sélectionnez un domaine, sélectionnez contoso.com, puis cliquez sur Suivant. Un message s’affiche pour vous informer que vos informations d’identification n’appartiennent pas au groupe Admins du domaine, ni au groupe Administrateurs de l’entreprise. Comme vous avez prédéfini l’administration déléguée du contrôleur de domaine en lecture seule, vous pouvez poursuivre avec les informations d’identification déléguées. 14. Cliquez sur Oui. Un message s’affiche pour vous informer que le compte pour BRANCHDC01 a été prédéfini dans Active Directory en tant que contrôleur de domaine en lecture seule. 15. Cliquez sur OK. Un message d’avertissement s’affiche qui indique que l’ordinateur dispose d’une adresse IP affectée dynamiquement. BRANCHDC01 possède une adresse IPv6 affectée dynamiquement. En revanche, le serveur ne possède pas d’adresse IPv4 fixe. Les adresses IPv6 n’étant pas utilisées dans ce cours, vous pouvez ignorer ce message. 16. Cliquez sur Oui, l'ordinateur utilisera une adresse IP attribuée dynamiquement (non recommandé). 17. Dans la page Emplacement de la base de données, des fichiers journaux et de SYSVOL, cliquez sur Suivant. 18. Dans la page Mot de passe administrateur de restauration des services d’annuaire, tapez Pa$$w0rd12345 dans les zones Mot de passe et Confirmer le mot de passe, puis cliquez sur Suivant. Dans un environnement de production, vous devez affecter un mot de passe complexe et sécurisé au compte Administrateur de restauration des services d’annuaire. De même, notez que nous avons modifié la longueur minimale de mot de passe dans l’Atelier pratique A. À ce titre, veillez à respecter les nouvelles exigences de longueur de mot de passe minimale.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
19. Dans la page Résumé, cliquez sur Suivant. 20. Dans la fenêtre de progression, activez la case à cocher Redémarrer à la fin de l’opération. Les services de domaine Active Directory sont installés sur BRANCHDC01, le serveur redémarre. Résultats : à l’issue de cet exercice, vous aurez créé un nouveau contrôleur de domaine en lecture seule nommé BRANCHDC01 dans le domaine contoso.com.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-70
9-71
Exercice 2 : Configurer une stratégie de réplication de mot de passe Dans cet exercice, vous allez configurer la stratégie de réplication de mot de passe à l’échelle du domaine et celle spécifique à BRANCHDC01. Les tâches principales de cet exercice sont les suivantes : 1.
Configurer la stratégie de réplication de mot de passe à l’échelle du domaine.
2.
Créer un groupe pour gérer la réplication de mot de passe sur le contrôleur de domaine en lecture seule d’une filiale.
3.
Configurer la stratégie de réplication de mot de passe pour le contrôleur de domaine en lecture seule de la filiale.
4.
Évaluer la stratégie de réplication de mot de passe résultante.
Tâche 1 : Configurer la stratégie de réplication de mot de passe à l’échelle du domaine •
Qui sont les membres par défaut du Groupe de réplication dont le mot de passe RODC est autorisé ?
•
Qui sont les membres par défaut du Groupe de réplication dont le mot de passe RODC est refusé ?
•
Ajoutez le groupe DNSAdmins comme membre du Groupe de réplication dont le mot de passe RODC est refusé.
•
Examinez la propriété de réplication de mot de passe de BRANCHDC01.
•
Quelle est la stratégie de réplication de mot de passe pour le Groupe de réplication dont le mot de passe RODC est autorisé ? Et pour le Groupe de réplication dont le mot de passe RODC est refusé ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 2 : Créer un groupe pour gérer la réplication de mot de passe sur le contrôleur de domaine en lecture seule d’une filiale 1.
Dans l’UO Groups\Role, créez un groupe de sécurité global sous le nom Branch Office Users.
2.
Ajoutez les utilisateurs suivants au groupe Utilisateurs de la filiale : •
Anav.Silverman
•
Chris.Gallagher
•
Christa.Geller
•
Daniel.Roth
Tâche 3 : Configurer la stratégie de réplication de mot de passe pour le contrôleur de domaine en lecture seule de la filiale •
Configurez BRANCHDC01 de sorte qu’il mette en cache les mots de passe des utilisateurs du groupe Branch Office Users.
Tâche 4 : Évaluer la stratégie de réplication de mot de passe résultante •
Ouvrez l’onglet Stratégie résultante pour la stratégie de réplication de mot de passe de BRANCHDC01.
Question : quelle est la stratégie résultante pour Chris.Gallagher ? Résultats : à l’issue de cet exercice, vous aurez configuré la stratégie de réplication de mot de passe à l’échelle du domaine de façon à empêcher la réplication des mots de passe des membres du groupe DNSAdmins sur les contrôleurs de domaine en lecture seule. Vous aurez également configuré la stratégie de réplication de mot de passe de BRANCHDC01 pour permettre la réplication des mots de passe des membres du groupe Branch Office Users.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-72
9-73
Exercice 3 : Gérer la mise en cache des informations d’identification Dans cet exercice, vous allez contrôler la mise en cache des informations d’identification. Les tâches principales de cet exercice sont les suivantes : 1.
Contrôler la mise en cache des informations d’identification.
2.
Préremplir les informations d’identification dans le cache.
Tâche 1 : Contrôler la mise en cache des informations d’identification 1.
Sur BRANCHDC01, ouvrez une session sous le nom d'utilisateur Chris.Gallagher avec le mot de passe Pa$$w0rd, puis fermez la session.
2.
Sur BRANCHDC01, ouvrez une session sous le nom d'utilisateur Mike.Danseglio avec le mot de passe Pa$$w0rd, puis fermez la session. Le domaine contoso.com utilisé dans ce cours comporte un objet Stratégie de groupe (nommé 6238B) qui permet aux utilisateurs de se connecter aux contrôleurs de domaine. Dans un environnement de production, il n’est pas recommandé d’accorder le droit aux utilisateurs de se connecter aux contrôleurs de domaine.
3.
Sur HQDC01, dans Utilisateurs et ordinateurs Active Directory, examinez la stratégie de réplication de mot de passe de BRANCHDC01.
Question : quels mots de passe d’utilisateurs sont actuellement en cache sur BRANCHDC01 ? Question : quels utilisateurs ont été authentifiés par BRANCHDC01 ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Amélioration de la sécurité de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Configuration et résolution des problèmes des services de domaine Windows Server® 2008 Active Directory®
Tâche 2 : Préremplir les informations d’identification dans le cache •
Dans la stratégie de réplication de mot de passe de BRANCHDC01, préremplissez le mot de passe de Christa Geller. Résultats : à l’issue de cet exercice, vous aurez identifié les comptes qui ont été mis en cache sur BRANCHDC01 ou qui ont été transférés à un autre contrôleur de domaine afin d’être authentifiés. Vous aurez également prérempli dans le cache les informations d’identification de Christa Geller.
Questions de contrôle des acquis Question : pourquoi devez-vous vous assurer que la liste verte de la stratégie de réplication de mot de passe d’un contrôleur de domaine en lecture seule d’une filiale contient les comptes des ordinateurs de la filiale, ainsi que les utilisateurs ? Question : quel serait le moyen le plus simple de s’assurer que les ordinateurs d’une filiale figurent dans la liste verte de la stratégie de réplication de mot de passe d’un contrôleur de domaine en lecture seule ? Question : le préremplissage des informations d’identification pour l’ensemble des utilisateurs et des ordinateurs d’une filiale sur le contrôleur de domaine en lecture seule de ladite filiale présente des avantages et des incovénients. Quels sont-ils ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-74
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Remarques
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Remarques
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Remarques
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Remarques