La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Bienvenue Sponsor Officiel. Quest ce que TechNet ? Un site Web très orienté technique –http://www.microsoft.com/france/technet/default.mspxhttp://www.microsoft.com/france/technet/default.mspx.

Présentations similaires


Présentation au sujet: "Bienvenue Sponsor Officiel. Quest ce que TechNet ? Un site Web très orienté technique –http://www.microsoft.com/france/technet/default.mspxhttp://www.microsoft.com/france/technet/default.mspx."— Transcription de la présentation:

1 Bienvenue Sponsor Officiel

2 Quest ce que TechNet ? Un site Web très orienté technique –http://www.microsoft.com/france/technet/default.mspxhttp://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable –http://www.microsoft.com/france/technet/presentation/flash/default.mspxhttp://www.microsoft.com/france/technet/presentation/flash/default.mspx Des séminaires techniques toute lannée, partout en France –http://www.microsoft.com/france/technet/seminaires/seminaires.mspxhttp://www.microsoft.com/france/technet/seminaires/seminaires.mspx Des Webcasts accessibles à tout instant –http://www.microsoft.com/france/technet/seminaires/webcasts.mspxhttp://www.microsoft.com/france/technet/seminaires/webcasts.mspx Un abonnement –http://www.microsoft.com/france/technet/presentation/cd/default.mspxhttp://www.microsoft.com/france/technet/presentation/cd/default.mspx

3 Conception d'une architecture Active Directory pour Windows Server 2003 Animateur

4 Logistique Pause en milieu de session Vos questions sont les bienvenues. Nhésitez pas ! Feuille dévaluation à remettre remplie en fin de session Cédérom Commodités Merci déteindre vos téléphones

5 Agenda Concepts et évolutions apportées par Windows Server 2003 Conception de l'espace de noms Active Directory Planification des services Les stratégies de groupes Conclusion / Q&A

6 Annuaire et Schéma Un annuaire est un emplacement de stockage utilisé comme référentiel Lannuaire aura un taux de lectures/écritures très élevé. Un annuaire est un espace de stockage hiérarchique (non relationnel) Tout élément de lannuaire est un objet doté dattributs –Ex : lobjet de type Utilisateur possède un attribut Numéro de téléphone Les définitions des classes dobjets et des attributs sont accessibles via le schéma

7 Stockage (distribué) de données identifiant les ressources présentes dans le système informatique –Ex : utilisateur, ordinateur, groupe, domaine, application, imprimante, stratégie… Protocoles pour accéder et manipuler les données : –Domain Name System (DNS) –Lightweight Directory Access Protocol (LDAP) Utilisation : –Source dinformation globale pour lentreprise –Objet utilisateur défini à partir de la classe dobjets InetOrgPerson (Informational RFC 2798). Annuaire «Active Directory»

8 Administrabilité –Intégration des stratégies de configuration des postes et des utilisateurs, délégation dadministration, automatisation via scripting (WSH). Modularité –Hiérarchie de domaines et dOU. Scalabilité –Réduction du nombre de domaines. Interopérabilité –Utilisation des standards DNS, LDAP, KERBEROS. Extensibilité –Richesse et modification du schéma. Bénéfices dActive Directory

9 Active Directory vs base SAM SAM de MS Windows NT contient : Comptes utilisateurs Groupes globaux Groupes locaux Comptes spéciaux Stratégies de comptes Stratégies d'audit Stratégies des droits utilisateur 40 Mo maxi recommandé Active Directory la même chose, plus : Contacts Groupes de distribution Groupes Universels Groupes locaux de domaine Unité dorganisation (OU) Dossiers publiés Imprimantes publiées Stratégie de groupe (GPO) Eléments de configuration de services (DNS, RPC, DFS) Accès par des protocoles standard (LDAP, DNS) Peut contenir des millions d'objets

10 Schéma «Active Directory» purge delete activate deactivate Active Defunct Tomb- stone Purged Utilisation –Extensibilité (dynamiquement éditable) Ajout de nouvelles classes dobjets Ajout de nouveaux attributs à des classes dobjets existantes –Interopérabilité –Pas de suppression possible sous Windows 2000 –Désactivation avec possibilité de réutiliser la classe ou les attributs désactivés –Utilisation de la classe inetOrgPerson pour louverture de session des utilisateurs (meilleure interopérabilité avec les autres annuaires)

11 Extension du schéma Nécessaire pour certains applicatifs –Exchange 2000, Exchange 2003 –ISA Server 2000 Edition Entreprise –SMS 2003 –… Nécessaire pour certains composants de Windows 2003 R2 –Service de réplication de fichiers (DFS) –Publication des imprimantes via les GPO avec la console Print Management Console –Intégration des services didentité pour UNIX

12 Architecture logique Arbres, forêts, domaines DOM2.COM ARBRE DOM1.COM ARBRE FORET Arbre –Ensemble de domaines situés sous une racine unique, formant un espace de noms contigus. Forêt –Ensemble darbres ne formant pas un espace de noms forcément contigus.

13 Notion de Forêt Une forêt est un ensemble de domaines Active Directory qui partagent : –Des informations de configuration, –Une description logique et physique. Porte le nom du premier domaine installé. Les domaines forment une ou plusieurs arborescences –Pas dhéritage entre domaines (arborescence = nommage uniquement)

14 Dans une forêt, les domaines partagent –Un même schéma, –Une même partition de configuration, –Un même catalogue global. Dans une forêt, les domaines –Sont liés entre eux par des relations d'approbation Bidirectionnelles, Transitives. Caractéristiques dune forêt

15 Notion de Domaine Frontière de réplication et dadministration. Lannuaire associé à chaque domaine est disponible sur un ou plusieurs contrôleurs de domaines (DC). Il est possible de créer des arborescences de domaines. A chaque domaine est associé un nom : –Ex : europe.contoso.com. Le domaine nest pas une frontière de sécurité

16 Notion dUnités Organisationnelles (OU) Conteneurs dobjets de type utilisateurs, groupes, ordinateurs, OU… au sein dun domaine. Utilisation : –Organisation des données, –Délégation des droits dadministration, –Application des stratégies de groupe. OU OU

17 Lespace de nommage (zone dans laquelle un nom peut être résolu) de lActive Directory repose sur DNS pour la localisation des services et la résolution des noms. Espace de nommage hiérarchique

18 Cohabitation Niveaux de fonctionnalités Windows Server 2003 a plusieurs niveaux fonctionnels –Pour les domaines et les forêts, –Similaires aux modes mixte/natif de Windows Augmenter les niveaux fonctionnels –Domaine : possible par domaine –Forêt : pour lensemble de la forêt (impacte tous les domaines), –Irréversible, –Apporte de nouvelles fonctionnalités.

19 Niveau de fonctionnalité Fonctionnalités activéesTypes de DC supportés Windows 2000 mixte Installation depuis un support Mise en cache des groupes Universels Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2000 natif Ensemble des fonctionnalités du mode Windows 2000 mixte, plus Imbrication des groupes Groupe de type Universel SIDHistory Windows 2000 Windows 2003 Windows 2003 Intérimaire Identiques au mode natif de Windows 2000Windows NT4 Windows 2003 Ensemble des fonctionnalités du mode Windows 2000 natif, plus Mise à jour de lattribut logon timestamp Version de KDC Kerberos Mot de passe utilisateur ds INetOrgPerson Windows 2003 Windows 2003 & Active Directory Niveau de fonctionnalité pour les domaines

20 Niveau de fonctionnalité Fonctionnalités activéesTypes de DC supportés Windows 2000 Installation depuis un support Mise en cache des groupes Universels Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2003 Intérimaire Ensemble des fonctionnalités du mode Windows 2000, plus Réplication LVR (Linked Value Record) Amélioration ISTG (Inter Site Topology Generator) Windows NT4 Windows 2003 Ensemble des fonctionnalités du mode Windows 2003 Intérimaire, plus Classes Auxiliaires dynamiques Modification de la classe User en INetOrgPerson Dé/réactivation au sein du schéma Changement des noms de domaines Relations dapprobation inter forêts Windows 2003 Windows 2003 & Active Directory Niveau de fonctionnalité pour la forêt

21 Un serveur Windows NT peut être : –Contrôleur Principal de Domaine (PDC) –Contrôleur Secondaire de Domaine (BDC) –Serveur Membre Un Serveur Windows 2000 / 2003 peut être : –Contrôleur de Domaine (DC) –Serveur Membre –Possibilité de passer dun rôle à lautre (dcpromo.exe) Rôle des serveurs

22 Réplication multi maîtres –Tous les DC sont en écriture –Plus de notion PDC/BDC les rôles FSMO : –Contrôleur de schéma –Maîtres dattribution de noms de domaine –Maître RID ( Relative Identifier ) –Maître dInfrastructure –Émulateur PDC Un seul dans toute la forêt Rôles FSMO Un par domaine Flexible Single Master Operations

23 Installation dun DC Promotion possible à nimporte quel moment via DCpromo Avec Windows 2000, lors de linstallation dun contrôleur de domaine, une réplication complète de lannuaire est effectuée via le réseau : –Augmentation des coûts de communication, –Mise en place de procédures dexpédition des contrôleurs pré installés. Avec Windows Server 2003, DCPROMO est capable dinstaller Active Directory à partir dune sauvegarde de lannuaire : –Seul le delta est répliqué via le réseau.

24 Global Catalog (GC) Le Global Catalog : contient une copie en lecture seule de tous les objets de tous les domaines mais avec un nombre réduit dattributs. –Permet de localiser nimporte quel objet de façon rapide sans connaître son emplacement dans larborescence –Un changement de schéma pouvait entraîner un re-calcul du contenu du GC Plus avec Windows Server 2003 –Nécessaire pour ouvrir la session en mode natif (appartenance aux groupes «Universels») Dans Windows Server 2003, lappartenance aux groupes universels peut être mise en cache : nouvelle fonction qui supprime la nécessité dun global catalog par site Attention : cette fonction ne sert que pour les groupes universels : le global catalog reste utile pour certaines applications.

25 Ouverture de session sans Global Catalog Avec Windows 2000, en mode natif, le Global Catalog est contacté par le contrôleur de domaine lors de louverture de session pour récupérer la liste des groupes Universels : –GC dans chaque site ou mode mixte ou mode natif sans utilisation de groupes universels. Avec Windows Server 2003, lappartenance aux groupes globaux est mise en cache au niveau des contrôleurs : –Propriété de chaque site, –Mise en cache initiale lors de la première ouverture de session puis de façon périodique.

26 Windows NT 4.0 Windows 2000/2003 Relations dapprobation Les relations dapprobation entre domaines Windows 2000/2003 utilisent Kerberos : –Implicites, transitives et bidirectionnelles.

27 Relations dapprobation multi forets Avec Windows 2000, les relations dapprobation externes à la forêt doivent être gérées comme des relations NT4.0 Relations dapprobation inter forêt : –Transitivité par défaut entre tous les domaines des 2 forêts –Pas de transitivité entre forêts –Kerberos Forest-trust A-B Forest trust B-C Forêt AForêt BForêt C

28 Partitionnement Applicatif (1/2) Plusieurs partitions de la base AD existent dès linstallation : –La partition de Schéma (1/forêt) –La partition de Configuration (1/forêt) –La partition de Domaine (1/Domaine) Avantage de AD 2003 : Possibilité de créer de nouvelles partitions pour des besoins applicatifs. –Réplication sur des DC choisis dans la forêt sans lien avec la notion de domaine –Localisables par DNS (enregistrements SRV) –Non répliquées sur le Catalogue Global –Ne peuvent contenir des principaux de sécurité

29 Données de DOM1 Données de DOM1 Données appli1 Données appli1 Données appli2 Données appli2 Données de DOM1 Données de DOM1 Données appli1 Données appli1 Données de DOM2 Données de DOM2 Données Appli2 Données Appli2 Données de DOM2 Données de DOM2 Données Appli1 Données Appli1 Données Données de DOM1 de DOM1 Forêt DOM1 DOM2 Partitionnement Applicatif (2/2) Avec Windows 2000, toute donnée stockée dans lannuaire est répliquée par défaut vers tous les contrôleurs du domaine (Naming Context Domain) ou de la forêt (NC Configuration et Schema).

30 Architecture physique Contrôleur de domaine AD –Un DC appartient à un seul site AD et assure les services dannuaire et dauthentification pour les clients de ce site. –Il réplique les informations de lannuaire avec les autres DC Site AD –Ensemble de sous réseaux IP –Permet à la réplication Active Directory de sappuyer sur la topologie du réseau Site 1 Site 2

31 Réplication (1/3) Réplication intra site –Automatique (topologie générée par KCC) –Basée sur la notification –Temps de réplication optimisé Réplication inter site –Automatique ou manuelle –Planifiée –Utilisation de bande passante optimisée –Mode redondant de réplication pour les architectures filiales Optimisation de la réplication des groupes avec un nombre de membres importants –Tous les contrôleurs de la forêt doivent être en version Windows Server 2003.

32 Réplication (2/3) Réplication inter sites –Ladministrateur crée les objets représentant le réseau (sites et liens de sites) –Le KCC génère automatiquement la topologie de réplication –Tolérant à la panne et simple à maintenir –En 2000, problème d'évolutivité pour un nombre important de sites (scénario "filiales") –Avec 2003, lalgorithme (KCC et ISTG) a été re- développé, utilisation dun nouvel algorithme fonction (d*s) au lieu de (d*s 2 ) –Evolutivité testée jusquà 5000 sites –Possibilité de mise en œuvre un mode redondant

33 Le Serveur Tête de pont est le contrôleur de domaine chargé de la réplication avec les autres sites –On peut choisir une liste de serveurs tête de pont préférés En Windows Server 2003, possibilité davoir plusieurs serveurs tête de pont du même domaine sur un même site (Windows) –Outil de Load Balancing des connexions (ADLB.exe) Réplication (3/3)

34 Mode « Branch Office » Utilisation : Repadmin …./siteoptions +IS_REDUNDANT_SERVER_TOP OLOGY_ENABLED +IS_TOPL_DETECT_STALE_DISA BLED Nécessite une forêt en mode Windows 2003 Intérim ou Windows 2003 Mettre en place la topologie dans les 2 sens entrant et sortant

35 Vue densemble des consoles dadministration Demonstration

36 Agenda Concepts et évolutions apportées par Windows Server 2003 Conception de l'espace de noms Active Directory Planification des services Les stratégies de groupes Conclusion / Q&A

37 Définition de l'espace de noms Active Directory Ne pas hésiter à viser les topologies idéales Doit déboucher sur des livrables : –Espace de noms des domaines AD et DNS –Topologie d'OU –Topologie de sites Choix de lentreprise, donc le consensus est nécessaire

38 Combien de forêts ? Combien de domaines dans chaque forêt ? Comment agencer ces domaines ? Comment ces domaines s'appelleront-ils ? Espace de noms des domaines Questions posées

39 Au départ : une forêt Une forêt de plus ? Il faut argumenter ! –Nécessité de préserver des schémas distincts –Refus de dévoiler ma topologie de domaines –Désaccord sur la composition des groupes sensibles Administrateurs de Schéma Administrateurs de l'Entreprise –Souhait de conserver la maîtrise des approbations –Frontière de sécurité Espace de noms des domaines Combien de forêts ?

40 Un domaine ne peut pas changer de forêt Déplacement d'objets : –On sait migrer des objets d'un domaine vers un autre, –Mais ce n'est pas toujours une opération anodine ! On ne sait pas interroger le Catalogue Global d'une autre forêt A moins de passer par un Méta Annuaire ? Espace de noms des domaines Combien de forêts ? Contraintes…

41 Au départ : un domaine Un domaine de plus ? Il faut argumenter ! –Délégation ne suffit pas –Nécessité de mettre en œuvre des stratégies spécifiques de : Gestion des mots de passe, Verrouillage des comptes, Gestion des tickets Kerberos. –Soucis d'optimiser la réplication –Restructuration prévue, mais plus tard. Espace de noms des domaines Combien de domaines ?

42 Le premier domaine créé devient la racine de la forêt. Il donne son nom à la forêt. Il héberge deux groupes sensibles : –Admins de l'entreprise, –Admins du Schéma. Choix d'un domaine Racine : –A choisir parmi les domaines définis précédemment, –Ou à créer pour les besoins de la cause. Espace de noms des domaines Définition de la racine de la forêt

43 Tout domaine AD est repéré par un nom DNS. Domaines AD vs Domaines DNS –Domaine AD Organisation logique des objets AD, –Domaine DNS Localiser des hôtes et des services. Nom du domaine racine : –Détermine l'espace de nom de tout l'arbre, –Ne peut pas être modifié de façon simple, –Doit permettre d'intégrer de façon harmonieuse toutes les entités présentes et à venir de l'arbre. Espace de noms des domaines Nommage des domaines

44 Affecter un nom à chaque domaine, en partant de la racine de chaque arbre. Ne pas s'écarter des "standards" –RFC 1123 : A Z ; 0 9 ; - –Eviter Unicode, –Utiliser des noms DNS enregistrés Draft ".local" a été abandonné. Préférer les noms courts Espace de noms des domaines Règles de nommage

45 Quel nom pour la Racine ? –Tfc.fr ? –Vieuxchaudron.fr ? Eviter les recouvrements : –En choisissant des noms différents, –En choisissant un sous domaine du domaine public Espace de noms des domaines Espaces de noms privés et publics

46 Topologie d'OU Les OU peuvent servir à : –Organiser les objets, –Ne pas tout montrer à tout le monde, –Définir des périmètres de délégation, –Définir des périmètres d'application pour les GPO. Une OU contient des objets et pas des références à des objets. Une OU n'est pas un « Security Principal » OU OU OU Rôles des unités organisationnelles

47 Topologie d'OU Hiérarchie définie en fonction : –Des emplacements, –De l'organisation, –Des postes. Hiérarchie hybride définie en fonction : –Des emplacements, puis de l'organisation, –De l'organisation, puis des emplacements. Consignes de conception

48 Les OU sont faites pour faciliter la vie des administrateurs, pas celle des utilisateurs. Penser en termes d'organisation administrative : –Qui gère quoi ? –Qui décide de qui gère quoi ? Préférer les arbres larges plutôt que profonds. Affiner la topologie plus tard reste possible : –Facile à créer, déplacer, supprimer, renommer, –Point délicat : évaluer les conséquences sur la délégation et l'application des stratégies de groupes (GPOs). Topologie d'OU

49 Qu'est-ce qu'un site ? –Ensemble de machines "bien communicantes«, –Défini comme un agrégat de subnets IP, –Suppose un subnetting géographique. Qui utilise les sites ? –Station localiser un DC proche. –KCC limiter le trafic de réplication sur liaisons lentes. –Client DFS localiser un répliqua proche. –Utilisateur localiser une imprimante proche. Notion de site Active Directory Topologie d'OU

50 Qui réplique avec qui ? Tout automatique : le KCC est livré à lui-même. Semi-automatique : Fournir quelques indices au KCC : –Créer manuellement quelques connexions, –Ajouter des liens de site, –Désigner des têtes de pont. Tout manuel : –Créer toutes les connexions manuellement, –Inhiber le KCC : Q Définition dune topologie de réplication Topologie d'OU

51 La réplication Intra site passe à 15 s de fréquence en mode de domaine Windows 2003 Réplication inter sites et intra sites Topologie d'OU

52 Dans le cas de Windows 2003, sur chaque site, prévoir : –Un Global Catalog Server De préférence tête de pont, Ne doit pas être Infrastructure Master. –Du DNS qui marche ! Eviter de créer des sites sans DC. Toute correction reste possible : –Créer/Supprimer des sous réseaux, –Ajouter/Supprimer des sites et des liens de site, –Affecter des serveurs à des sites, Surveiller le journal "Active Directory" ! Quelques règles simples Topologie d'OU

53 Agenda Concepts et évolutions apportées par Windows Server 2003 Conception de l'espace de noms Active Directory Planification des services Les stratégies de groupes Conclusion / Q&A

54 Planifier les services Active Directory a besoin de DNS pour : –Résoudre des noms d'hôtes, –Localiser des services : Serveurs ldap (DC), Serveur de Catalogue Global. Pour supporter Active Directory : –Le Primaire et les Secondaires doivent gérer les enregistrements de services SRV BIND –Le Primaire devrait savoir gérer les mises à jour dynamiques BIND DNS et Active Directory

55 Planifier les services Pour que les clients Windows 2000 résolvent les noms des clients pré-Windows 2000 : –Activer le forwarding WINS pour la zone AD, –ou Activer le mandatement DHCP pour que les clients pré-Windows 2000 s'enregistrent dans DNS. Pour que les clients pré-Windows 2000 résolvent les noms des clients Windows 2000 : –Leur attribuer l'adresse du serveur DNS via DHCP. Planifier DHCP et WINS

56 Agenda Concepts et évolutions apportées par Windows Server 2003 Conception de l'espace de noms Active Directory Planification des services Les stratégies de groupes Conclusion / Q&A

57 Concepts et FonctionnementLocal Site Domain 2 31OU 4 Le positionnement de la machine ou de lutilisateur dans Active Directory détermine les stratégies de groupe (GPO) qui seront appliquées Les GPO sont appliquées au logon(utilisateur) ou au redémarrage (station) et rafraîchies régulièrement.

58 OUs A1A2 Application des stratégies GPOs A4 A5 A1 A2 A3 A Domaine Les GPOs sont par domaine Les GPOs sont par domaine Plusieurs GPO peuvent être associées avec un unique SDOU Plusieurs GPO peuvent être associées avec un unique SDOU Site Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines B GPOs B1 B2 Domaine OUs B1B2 B3 Les GPO ne sont pas héritées entre domaines Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur) Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur) Plusieurs SDOU peuvent utiliser une unique GPO Plusieurs SDOU peuvent utiliser une unique GPO Lapplication dune GPO peut être filtré au moyen de groupes de sécurité (ACLs) Lapplication dune GPO peut être filtré au moyen de groupes de sécurité (ACLs) Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines. Les GPOs sont par domaine. Plusieurs GPO peuvent être associées avec un unique SDOU. Plusieurs SDOU peuvent utiliser une GPO unique. Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur). Lapplication dune GPO peut être filtrée au moyen de groupes de sécurité (ACLs).

59 Mise en oeuvre des stratégies de groupe La plupart des GPO ont 3 états –Activé –Désactivé –Non configuré Les GPOs ont 2 noeuds de configuration (sections) –Utilisateur –Machine PS: Les paramètres Machines priment sur ceux Utilisateur Pour recevoir une GPO, le compte machine ou utilisateur : –Doit être dans le S-D-OU qui a un lien vers la GPO, –Doit avoir la permission Lire et appliquer les stratégies de groupe (Read and Apply Group Policy) sur la GPO. Prise en charge par les systèmes Windows 2000, Windows 2003 et Windows XP

60 Traitements des stratégies de groupes (1/2) Lordre dapplication va dicter la résolution des conflits de paramétrage –Conflits possibles entre les paramétrages Activé et Désactivé –Pas de conflit avec le paramétrage Non configuré –La dernière GPO traitée impose ses paramètres en cas de conflits Lordre de traitement des GPO peut être modifié en : –Bloquant lhéritage des GPOs, –Cochant la case Ne pas passer outre, –Évitant de modifier lordre de traitement par défaut.

61 Traitements des stratégies de groupes (2/2) Filtrer létendue dune stratégie de groupe –Permission par défaut sur les GPOs – Utilisateurs authentifiés Read and Apply Group Policy –Supprimer Utilisateurs authentifiés –Créer des groupes de sécurité basés sur les paramétrages de lobjet stratégie de groupe –Accorder des permissions aux groupes adéquats Filtrage de sécurité vs. OUs –Les deux approches permettent de contrôler létendue dapplication dune GPO –Ne pas mixer les deux approches

62 Déploiement dapplications Publication (optionnelle) –Application «proposée» à lutilisateur, disponible dans Ajout/Suppression de Programmes, –Installation automatique si nécessaire. Assignation (obligatoire) –Création des icônes et raccourcis, –Installation à la première invocation.

63 Déléguer ladministration Déléguer ladministration des stratégies de groupe –Liaisons SDOU –Modification GPO –Création GPO

64 Les extensions apportées par Windows 2003 Nouveaux outils –GPUpdate –GPResult –Jeux résultant de stratégie (RSoP) Mode journalisation uniquement –Centre daide et de support Informations système détaillées - Stratégie Rapport sur les paramètres appliqués Également disponible sous Windows XP

65 Vue densemble des stratégie de groupe Demonstration

66 Les apports de Windows Server 2003 Alternative au filtrage par les permissions, Application du GPO basée sur : –Le système dexploitation, –Des pré requis matériels, –Les logiciels installés, –Toute information fournie par WMI. Utilise WQL (WMI Query Language). Filtres WMI

67 Clients –Windows XP Pro et au-delà. Lannuaire Active Directory doit être configuré (modification de schéma) pour être conforme avec Windows Server 2003 –MAJ du schéma pour la forêt : ADPrep.exe /ForestPrep, –MAJ de la configuration du domaine : ADprep.exe /DomainPrep, –Les DCs peuvent encore être sous Windows Compatibilité

68 Filtres WMI Demonstration

69 Les apports de Windows Server 2003 Réduit –Le nb doutils, –La complexité. Améliore –La clarté, –La flexibilité. Console de gestion des stratégies de groupe

70 La mise en oeuvre des stratégies de groupe peut être complexe –Stratégie par défaut assez simple, –Le blocage dhéritage, Ne pas passer outre, le filtrage par permissions, le filtrage WMI, la délégation de droits peuvent rendre les stratégies de groupe difficiles à gérer. Plusieurs outils –Utilisateurs et Ordinateurs Active Directory (Dsa.msc), –Sites et Services Active Directory (Dssite.msc), –etc… Tâches et outils

71 Console de gestion des stratégies de groupe La console de gestion des stratégies de groupe –Consolide des fonctions de différents outils, –Fournit une vision claire de lorganisation des stratégies de groupe, –Permet de clarifier les relations entre GPOs et SDOUs, –Regroupe les tâches possibles concernant les stratégies de groupe de façon logique. La console de gestion des stratégies de groupe introduit les services suivants : –Sauvegarde / Restauration, –copie, import. Consolidation

72 Mise en oeuvre des stratégies de groupes Domaine de préparation –Permet le test des stratégies de groupe –Copie des GPOs entre domaines dune même forêt –Sauvegarde et import entre domaines de forêts différentes –Limport nécessite que la GPO cible existe déjà Tables de migration –Mise en correspondance des valeurs hard codées (chemins daccès, identités de sécurité) du domaine de préparation avec celles du domaine de production –Ex : modification des chemins daccès pour le déploiement dapplications Préparation

73 Les apports de Windows Server 2003 Windows XP –Journalisation des stratégies, –Rapport sur les paramètres issus de lapplication des stratégies sur un poste. Windows Server 2003 –Planification des stratégies, –Rapport sur lapplication des stratégies suivant le positionnement de lobjet utilisateur et ordinateur dans Active Directory. –Nécessite un DC sous Windows Serveur –Permet de définir de nombreux scénarios : Appartenance à un groupe de sécurité, positionnement des objets machine et utilisateur dans des OUs, application de filtres WMI. Planification des stratégies

74 Utiliser la console de gestion des stratégies de groupe Demonstration

75 Les apports de Windows Server 2003 Interfaces de scripting de la console de gestion des stratégies de groupe –Automatise des tâches de gestion des stratégies, –Permet la création doutils de gestion, –Ne permet pas dautomatiser des modification des GPOs. Utilisation de scripts

76 Administration par script des stratégies Demonstration

77 Planifier les stratégies de groupe Limiter le nombre de stratégies de groupe traitées lors de la connexion dun utilisateur, Isoler les paramétrages dans différentes GPOs, Désactiver les noeuds non utilisés (utilisateur/ordinateur), Limiter les conflits de paramétrages (utilisateur/ordinateur), Utiliser la console de gestion des stratégies de groupe. Bonnes pratiques

78 Mise en oeuvre des stratégies de groupes Éviter les liens de GPOs entre domaines, Lier les GPOs à des OUs, non à des sites, Limiter les moyens de contrôle de létendue dune GPO –OU, filtrage par permission, filtre WMI Pour le filtrage par permission, utiliser lapproche de tout interdire par défaut, Ne pas trop modifier lhéritage des GPOs. Bonnes pratiques

79 Conclusion Les choix lors de la conception dun annuaire Active Directory sont fondamentaux Windows Server 2003 apporte plus de souplesse : –Pour le déploiement, –Pour ladministration. Les stratégies de groupe sont un moyen puissant de contrôler un environnement Windows. Windows Server 2003 ne modifie pas fondamentalement les stratégies de groupe, mais apporte : –Les filtres WMI, –La console de gestion des stratégies de groupe.

80 Se former… Tous les cours sur Windows 2000 Server / Windows Server 2003, et les centres de formation dans votre région sont sur : Livres Microsoft Press sur Windows 2000 Server et Windows Server 2003 : Newsgroups : px?dg=microsoft.public.fr.windows.server&lang=fr&cr=FR&r =4ebff0f5-0e74-499d-874f-a7197b08b375

81 Questions / Réponses

82 Votre potentiel, notre passion… A bientôt et merci dêtre venus... © 2003 Microsoft France Marketing Technique


Télécharger ppt "Bienvenue Sponsor Officiel. Quest ce que TechNet ? Un site Web très orienté technique –http://www.microsoft.com/france/technet/default.mspxhttp://www.microsoft.com/france/technet/default.mspx."

Présentations similaires


Annonces Google