La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

2008 Active Directory S. Mouget - IUT Lannion LP GSR 1 WS 2003 Active Directory Présentation générale.

Présentations similaires


Présentation au sujet: "2008 Active Directory S. Mouget - IUT Lannion LP GSR 1 WS 2003 Active Directory Présentation générale."— Transcription de la présentation:

1 2008 Active Directory S. Mouget - IUT Lannion LP GSR 1 WS 2003 Active Directory Présentation générale

2 2008 Active Directory S. Mouget - IUT Lannion LP GSR2 Active Directory –Un annuaire… Pour quoi faire ? –Les plus d’AD –Représentation logique d’AD –Topologie –AD et le DNS –Et physiquement ?

3 2008 Active Directory S. Mouget - IUT Lannion LP GSR3 Un annuaire… Pour quoi faire ?  Sans annuaire: On peut rapidement se retrouver avec autant de bases de données que de services

4 2008 Active Directory S. Mouget - IUT Lannion LP GSR4 Un annuaire… Pour quoi faire ?  Si on utilise un annuaire: L’administration est simplifiée

5 2008 Active Directory S. Mouget - IUT Lannion LP GSR5 Un annuaire… Pour quoi faire ?  Active directory est un annuaire LDAP, les accès à l’annuaire sont donc des requêtes LDAP  L’administration se fait –à l’aide d’interfaces graphiques (MMC sites et services, utilisateurs….ADSI edit) –ou d’une API : ADSI (Active directory service interface)

6 2008 Active Directory S. Mouget - IUT Lannion LP GSR6 Les plus d’AD  Des mécanismes de réplication Réplication entre les contrôleurs made in Microsoft  Un annuaire « fourre-tout » Le schéma est extensible, l’admin peut créer de nouveaux objets (nouvelles classes) et de nouveaux attributs  La sécurité Sécurité granulaire: des ACLs sur chaque conteneur et chaque objet

7 2008 Active Directory S. Mouget - IUT Lannion LP GSR7 Représentation logique d’AD  La forêt  L’arborescence  Les domaines  Les OUs  Les objets  Les approbations

8 2008 Active Directory S. Mouget - IUT Lannion LP GSR8 Représentation logique d’AD La forêt lmf.com Domaines Approbations Unités d’organisation lmf.com rp.lmf.com asie.lmf.com smbek.com asie.smbek.com

9 2008 Active Directory S. Mouget - IUT Lannion LP GSR9 La forêt AD  C’est la plus grosse structure logique d’AD: Un ensemble d’arborescences de domaine reliées entre elles par des approbations transitives et bidirectionnelles

10 2008 Active Directory S. Mouget - IUT Lannion LP GSR10 La forêt AD  Tous les domaines de la forêt partagent le même schéma AD, la même configuration et un catalogue global

11 2008 Active Directory S. Mouget - IUT Lannion LP GSR11 La forêt AD  La forêt est crée lors de la première installation d’active directory sur un serveur  Ensuite: –soit on joint un domaine existant. –soit on créer un domaine enfant,une nouvelle racine (nouvelle arborescence) ou alors, une nouvelle forêt  3 Niveaux fonctionnels: –Windows 2000 (NT, Win 2K, WS2003) (par défaut) –WS 2003 Version préliminaire (NT & WS 2003) –WS 2003 (WS 2003) (approb de forêts, Objets Schéma défunts…)

12 2008 Active Directory S. Mouget - IUT Lannion LP GSR12 La forêt AD  Le premier domaine de la forêt est le « domaine racine »  C’est dans le domaine racine que se trouve le contrôleur de schéma et le maitre d’attribution des noms de domaine

13 2008 Active Directory S. Mouget - IUT Lannion LP GSR13 L’arborescence  C’est un ensemble de domaines contigus lmf.com smbek.com us.lmf.com ny.us.lmf.com sf.us.lmf.comasie.smbek.com bresil.smbek.com Arborescence 1 Arborescence 2 Domaine racine

14 2008 Active Directory S. Mouget - IUT Lannion LP GSR14 Les domaines  « Zone de sécurité » stratégies de domaine  « Zone de réplication » Réplication auto de toutes les mise a jour d’AD  « zone administrative » Les membres du groupe admins du domaine peuvent entièrement gérer le domaine  Les domaines sont nommés avec le DNS

15 2008 Active Directory S. Mouget - IUT Lannion LP GSR15 Les domaines  3 rôles unique au niveau du domaine: –Le Maitre d’infrastructure (pour les reférences aux objets externes au domaine) –Le Maitres des ID relatifs, distribue les RID par paquets de 100 aux contrôleurs du domaine –L’émulateur de PDC NT

16 2008 Active Directory S. Mouget - IUT Lannion LP GSR16 Les domaines  4 niveaux fonctionnels: –W2K Mixte Imbrication des groupe partielle (globaux dans Locaux de dom)… –W2K Natif Groupes universels… –WS2003 Version Préliminaire réplication plus efficace… –WS2003 Renommages des contrôleurs et des domaines…

17 2008 Active Directory S. Mouget - IUT Lannion LP GSR17 Les OUs  C’est un conteneur d’objets Utilisé pour effectuer des délégations et appliquer des stratégies de sécurités

18 2008 Active Directory S. Mouget - IUT Lannion LP GSR18 Les objets  Peuvent êtres contenus dans un domaine ou une OU : Utilisateurs, groupes, ordinateurs, partages, imprimantes et OUs

19 2008 Active Directory S. Mouget - IUT Lannion LP GSR19 Les approbations  Canaux sécurisés entre les domaines ou les forêts

20 2008 Active Directory S. Mouget - IUT Lannion LP GSR20 Topologie  C’est la représentation physique du réseau: Des Sites de sous réseaux reliés par des WAN lentes, cela permet de contrôler les ouvertures de sessions et les réplications de AD Les sites sont interconnectables entres eux. On peut avoir un domaine sur plusieurs sites et ou plusieurs domaines sur un site

21 2008 Active Directory S. Mouget - IUT Lannion LP GSR21 AD et le DNS  Indispensable au fonctionnement d’AD –Nommage des domaines –Localisation des contrôleurs –Enregistrement srv  3 approches –1 seul nom (DNS ext et int) –2 noms (avec redirecteur) –sous domaine(pour s’adapter à l’existant) Dans tous les cas, pour que AD fonctionne, il faut un DNS avec SRV, DynamicDNS… et les 4 sous domaines particuliers à ad (_msdcs. ;_sites. ;_tcp. ;_udp.)  Le DNS peut être intégré à AD Soit les zone en fichier texte, ou dans l’annuaire (réplication auto, seul les changements sont répliqués, tous les DNS sont maitres(sécurité du service)

22 2008 Active Directory S. Mouget - IUT Lannion LP GSR22 Et physiquement ?  Un fichier: NTDIS.DIT ( NT Directory Services. Directory Information Tree)  De trois à quatre partitions (Ou contexte de nommage ou Magasin de données) –Domaine : zones DNS, groupes, utilisateurs, ordinateurs. La même sur tous les DC –Configuration : topologie (sites et lien) info de réplications, arborescence. La même pour toute la forêt (!maitre d’attribution des noms de domaine ) localisation des catalogues globaux –Schéma : contient les objets class et attributs. La même pour toute la forêt ( ! contrôleur de schéma ) –Applications : pas par défaut, sert à répliquer des données pour d’autres applications (on peut contrôler où et quand)

23 2008 Active Directory S. Mouget - IUT Lannion LP GSR23

24 2008 Active Directory S. Mouget - IUT Lannion LP GSR24 Et physiquement ?  Le schéma est extensible: Création de nouvelles classes ou de nouveaux attributs.On ne peut pas les supprimer. Juste désactiver ou modifier.  10 millions d’objets peuvent êtres contenus dans AD.

25 2008 Active Directory S. Mouget - IUT Lannion LP GSR25

26 2008 Active Directory S. Mouget - IUT Lannion LP GSR26 Et physiquement ?  Le dossier Sysvol Contient: –Les ADM Template des GPO (les gpt) –Le répertoire netlogon –Les scripts d’ouverture et fermeture de session, d’allumage et d’extinction. Est répliqué sur tout les DCs

27 2008 Active Directory S. Mouget - IUT Lannion LP GSR 27 Fin de la première partie

28 2008 Active Directory S. Mouget - IUT Lannion LP GSR28 Les Approbations  On a vu : C’est des canaux sécurisés entre les domaines,les arbres ou les forêts.  Par défaut, au sein d’une forêt, toutes les approbation sont transitives et bidirectionnelles.

29 2008 Active Directory S. Mouget - IUT Lannion LP GSR29 Les Approbations  Il existe trois types d’approbations transitives dans une forêt : –Les approbations de racines d’arbres, crées automatiquement au moment de l’ajout d’un arbre dans la forêt –Les approbations parent-enfant, crées automatiquement au moment de l’ajout d’un domaine à un arbre existant

30 2008 Active Directory S. Mouget - IUT Lannion LP GSR30 Les Approbations –Les approbations de raccourci, pour créer un raccourci entre deux domaines. Cela permet de raccourcir la durée et de réduire le trafic du processus d’authentification

31 2008 Active Directory S. Mouget - IUT Lannion LP GSR31 Les Approbations lmf.com asie.smbek.com smbek.com asie.lmf.co m Racine d’arbre Parent-enfant Raccourci

32 2008 Active Directory S. Mouget - IUT Lannion LP GSR32 Les Approbations  Les approbations externes : Ce sont des approbations unidirectionnelles, non transitives. On les créer entre deux domaines (nt, 2000 ou 2003) Domaine approuvantDomaine approuvé

33 2008 Active Directory S. Mouget - IUT Lannion LP GSR33 Les Approbations  Les approbations de forêt : Uniquement entre deux forêts 2003 Elles sont transitives et bidirectionnelles  Attention, si une Forêt A approuve une Forêt B, que la forêt B approuve une forêt C, la forêt A n’approuvera pas la forêt C sans créer une approbation entre A et C

34 2008 Active Directory S. Mouget - IUT Lannion LP GSR34 L’authentification  5 protocoles disponibles dont Kerberos (Win 2k et 2003) et NTLM (nt)

35 2008 Active Directory S. Mouget - IUT Lannion LP GSR35 Mécanisme d’ouverture de session dans un même domaine Coté client: 1 L’utilisateur appuie sur Ctrl+Alt+Suppr 2 Winlogon reconnaît la SAS (secure attention sequence) et appel le GINA (graphical identification and authentication) pour ouvrir la session

36 2008 Active Directory S. Mouget - IUT Lannion LP GSR36 Mécanisme d’ouverture de session dans un même domaine 3 Gina collecte les infos utilisateur, et les transmet au LSA (Local Security Authority) 4 Le LSA démarre une session Kerberos 5 Kerberos contacte un KDC (Key Distribution Center)sur un contrôleur de domaine

37 2008 Active Directory S. Mouget - IUT Lannion LP GSR37 Mécanisme d’ouverture de session dans un même domaine Coté serveur Le KDC vérifie les données utilisateurs au LSA du serveur qui valide ou non l’utilisateur Si il y a validation, un TGT puis un jeton sont crées.

38 2008 Active Directory S. Mouget - IUT Lannion LP GSR38 Mécanisme d’ouverture de session dans un même domaine Coté client Si l’utilisateur est valide, GINA lance le shell utilisateur Sinon, il redemande à nouveau les identifiants

39 2008 Active Directory S. Mouget - IUT Lannion LP GSR39 Mécanisme d’ouverture de session Dans un autre domaine - Soit on fait partit du groupe utilisateurs universel. Le KDC du Contrôleur de domaine contactera le KDC d’un catalogue global pour vérifier l’appartenance (sauf si la liste des membres du groupe est mise en cache) - Sinon, la session sera ouverte « dans » le domaine de l’utilisateur: les KDC se contactent les uns les autres

40 2008 Active Directory S. Mouget - IUT Lannion LP GSR 40 Fin de la deuxième partie

41 2008 Active Directory S. Mouget - IUT Lannion LP GSR41 Sites AD et réplication –Les ouvertures de sessions sont lentes –Le lien ADSL entre le siège et le bureau de bordeaux est saturé –Votre routeur ne suit plus… Il va falloir revoir l’organisation de votre réseau et ou planifier les réplications d’AD

42 2008 Active Directory S. Mouget - IUT Lannion LP GSR42 Sites AD et réplication  Il faut etablir la topologie d’AD, pour cela nous avons besoin: –De connaître le réseau –De déterminer l’emplacement des contrôleurs de domaines –De créer des sites –De créer des liens entre ces sites –De créer des ponts entre ces liens

43 2008 Active Directory S. Mouget - IUT Lannion LP GSR43 Connaître le réseau -Etablir une carte géographique de la forêt -Etablir des connexions entre ces lieux et donner leur bande passante (et leur disponibilité) -Lister les sous réseaux -Lister les domaines de chaque lieux et le nombre d’utilisateurs.

44 2008 Active Directory S. Mouget - IUT Lannion LP GSR44 déterminer l’emplacement des contrôleurs de domaines –Le serveur racine en position centrale –Les serveurs « régionaux », on place un serveur sur un site si:  On veut authentifier 24h/24, 7j/7 et que la liaison n’est pas disponible à 100%  L’ouverture de session et trop lente (Il y a plus de 100 utilisateurs)  On est pas regardant sur la sécurité et qu’il y a quelqu’un sur place pour administrer (ou on peut l’administrer à distance)

45 2008 Active Directory S. Mouget - IUT Lannion LP GSR45 déterminer l’emplacement des contrôleurs de domaines  On place un Catalogue global si: –Une application le nécessite –Il y a plus de 100 utilisateurs –Il y a beaucoup d’utilisateurs itinérants

46 2008 Active Directory S. Mouget - IUT Lannion LP GSR46 Mécanismes de la réplication Les opération sur les objets de l’annuaire peuvent être faites sur n’importe quel contrôleur de la foret. Pour se faire, il faut mettre à jour et vérifier régulièrement la cohérence des données de l’annuaire. Cette opération s’appelle la réplication, et c’est le KCC (Knowledge Consistency Checker) qui s’en charge

47 2008 Active Directory S. Mouget - IUT Lannion LP GSR47 Mécanismes de la réplication Après modification de l’annuaire (modification de l’attribut d’un objet, suppression d’un objet..) Le DC sur lequel a eu lieu la modif. va notifier les autres DC (au bout de 5mn). Ces derniers contacteront le serveur pour connaître les modification à apporter à leur copie de l’annuaire. De toutes façons, un contrôle de cohérence de l’annuaire est lancé toutes les heures.

48 2008 Active Directory S. Mouget - IUT Lannion LP GSR48 Mécanismes de la réplication Pour éviter les conflits, à tout objet sont attachés des meta-données: –Update Sequence Number (USN) propre a chaque contrôleur, incrémenté a chaque mise a jour de l’objet –Un ticket de modif. Dans lequel on trouve:  Un numéro de version (Property Version Number)  Un ticket d’horodatage  Le GUID du contrôleur où a eu lieu la modif

49 2008 Active Directory S. Mouget - IUT Lannion LP GSR49 Mécanismes de la réplication Les conflits: –Un attribut a été modifié a deux endroits différents dans l’intervalle des 5 mn… Celui avec le PVN le plus haut, ou a défaut le ticket d’horodatage le plus récent sera conservé. –Vous avez supprimé une OU (ou un autre conteneur) et quelqu’un à placé une imprimante (ou un autre objet) dans cette ou… L’imprimante sera rangée dan LostAndFound –Un objet a été créé avec le même non dans deux endroits différents… le plus vieux est renommé, à vous de faire votre choix.

50 2008 Active Directory S. Mouget - IUT Lannion LP GSR50 Les sites  Un ou plusieurs sous réseaux reliés par une connexion réseau « rapide »  Les informations sur les sites sont connues de tous les contrôleurs de la foret (partition configuration de AD)  La réplication à l’intérieur d’un site est instantanée, entre les sites, on peut la planifier.

51 2008 Active Directory S. Mouget - IUT Lannion LP GSR51 Les sites  A la connexion, un client contactera un des DCs du site auquel il appartient.  Le KCC détermine lui même la topologie, et choisit les serveurs « tête de pont ». On peut intervenir manuellement pour forcer certains choix.

52 2008 Active Directory S. Mouget - IUT Lannion LP GSR52 Créer des sites  Uniquement (mais pas forcément) si il y a un contrôleur de domaine sur place.

53 2008 Active Directory S. Mouget - IUT Lannion LP GSR53 Créer des liens entre ces sites  On choisi les deux sites  On donne un cout au lien  On planifie la réplication  On choisi le transport

54 2008 Active Directory S. Mouget - IUT Lannion LP GSR54 Créer des ponts entre ces liens  Cela se fait automatiquement  On peut désactiver la fonction pour contrôler la réplication d’AD

55 2008 Active Directory S. Mouget - IUT Lannion LP GSR 55 Le catalogue global

56 2008 Active Directory S. Mouget - IUT Lannion LP GSR56 Le catalogue global  C’est une copie partielle des attributs (les plus utilisés) de tous les objets de tous les domaines de la forêt. Les contrôleurs de domaines n’hébergeant que leur partition de domaine, si il fallait localiser un objet d’ un autre domaine, l’utilisateur ou l’application devrai fournir le nom du domaine

57 2008 Active Directory S. Mouget - IUT Lannion LP GSR57 Le catalogue global Si on a 3 domaines D1, D2 et D3: Le Ntdis.dit d’un DC de D1 contient: Le Ntdis.dit d’un GC de D1 contient: Domaine D1 Configuration Schéma Domaine D1 Configuration Schéma Domaine D2 Domaine D3

58 2008 Active Directory S. Mouget - IUT Lannion LP GSR58 Le catalogue global La partition Domaine D2 sera composé de tous les objets de D2 et de leurs attributs si ils font parti du PAS (Partial Attribute Set ) Le PAS est modifiable à l’aide de la console schéma active directory

59 2008 Active Directory S. Mouget - IUT Lannion LP GSR59 Le catalogue global  Attention : l’ajout d’attributs dans le PAS augmente le trafic de réplication.  La réplication est gérée automatiquement, chaque domaine « s’occupant » de la mise à jour de sa partition sur les GC

60 2008 Active Directory S. Mouget - IUT Lannion LP GSR60 Le catalogue global Le catalogue global est utilisé dans les cas suivants: –Ouverture de session: Sous Windows 2000, le catalogue global était utilisé systématiquement, pour vérifier les appartenances des comptes utilisateurs. Sous Windows 2000, le catalogue global était utilisé systématiquement, pour vérifier les appartenances des comptes utilisateurs. Avec Windows 2003, les appartenances aux groupes locaux et globaux peuvent être retrouvées sur tous les DCs du domaine.

61 2008 Active Directory S. Mouget - IUT Lannion LP GSR61 Le catalogue global Si les groupes universel sont disponibles, alors le catalogue global doit être contacté pour savoir desquels l’utilisateur (ou les groupes globaux auxquels il appartient) est membre. Les appartenances aux groupes universel (et globaux) peuvent être mise en cache sur un DC (pour réduire le trafic WAN ou accélérer les ouvertures de sessions par exemple). Ce cache est mis à jour a partir d’un catalogue global.

62 2008 Active Directory S. Mouget - IUT Lannion LP GSR62 Le catalogue global –Ouvertures de session avec le nom UPN Si les noms UPN simplifiés sont utilisés ( ), le catalogue global sera utilisé pour retrouver le domaine d’appartenance de l’utilisateur ( le GC renvoie au DC le nom unique de l’utilisateur CN=johndoe, OU=compta, DC=asie, DC=smbek, DC=lmf, DC=com le DC en déduit le domaine de John)

63 2008 Active Directory S. Mouget - IUT Lannion LP GSR63 Le catalogue global – Recherches dans l’annuaire: Lorsque l’on (ou une application) recherche un objet, il faut connaitre son DN ou son domaine. On peut simplifier la tache en utilisant les attributs stockés par le catalogue global (le nom d’un personne par ex.), c’est ce dernier qui localisera l’objet.

64 2008 Active Directory S. Mouget - IUT Lannion LP GSR64 Le catalogue global Attention Lorsque un objet O1 (un groupe par ex.) fait référence à un autre objet O2(un utilisateur par ex.), le maitre d’infrastructure vérifie la présence de cet objet dans les partition AD. Si cet objet n’est pas présent(il provient d’un autre domaine), il crée un objet OF dit « Fantôme » dans l’annuaire, avec les SID, GUID et DN de O2. Ainsi, on a pas besoin de contacter les autres domaines pour lister un groupe. Le maitre d’infrastructure synchronise la suppression ou les changement de nom des fantômes avec le GC et les réplique sur les autres DCs du domaine

65 2008 Active Directory S. Mouget - IUT Lannion LP GSR65 Le catalogue global Si le maitre d’infrastructure est aussi catalogue global, dans ce cas, tous les objets de la forêt étant dans une des partions AD, aucun fantôme ne sera crée. Si tous les DCs du domaines sont aussi GC ou qu’il n’y a qu’un domaine, le maitre d’infrastructure n’est pas utilisé.

66 2008 Active Directory S. Mouget - IUT Lannion LP GSR 66 Les délégations

67 2008 Active Directory S. Mouget - IUT Lannion LP GSR67 Les délégations  Pour vous aider dans votre gestion, vous pouvez déléguer des taches pour un site, un domaine, une OU.  Il y a deux approches: –Soit déléguer au niveau d’ objet. Par exemple, le groupe DevWeb a le contrôle totale sur l’ OU Web (contenant les serveur web) –Soit déléguer au niveau des taches. Par exemple, le groupe RHasie peut créer ou modifier des utilisateurs pour tout le domaine Asie.

68 2008 Active Directory S. Mouget - IUT Lannion LP GSR68 Les délégations  Il est préférable de déléguer à des groupes plutôt qu’a des utilisateurs  De même, il est préférable de déléguer sur des OU plutôt que des sites ou domaines  Les délégations sont héritées, mais peuvent être bloqués pour un objet enfant

69 2008 Active Directory S. Mouget - IUT Lannion LP GSR 69 Les stratégies de groupes

70 2008 Active Directory S. Mouget - IUT Lannion LP GSR70 Les stratégies de groupes Les stratégies de groupes permettent de définir un ensemble de paramètres pour des utilisateurs et/ou des ordinateurs fonctionnant sous W2003, W2K et XP.

71 2008 Active Directory S. Mouget - IUT Lannion LP GSR71 Les stratégies de groupes  Toutes les stratégies au niveau des domaines et des sites sont centralisées, les stratégies étant définies dans active directory.  Les stratégies s’appliquent aux domaines, aux sites et aux UO

72 2008 Active Directory S. Mouget - IUT Lannion LP GSR72 Les stratégies de groupes  Les paramètres d’une stratégie de groupe sont « rangés » dans un objet stratégie de groupe, un GPO

73 2008 Active Directory S. Mouget - IUT Lannion LP GSR73 Les stratégies de groupes  Deux types principaux de paramètres au sein d’un GPO: –La configuration Ordinateur Les paramètres s‘appliquent à tous les ordinateurs concernés par le GPO –La configuration Utilisateur Les paramètres s‘appliquent à tous les utilisateurs concernés par le GPO

74 2008 Active Directory S. Mouget - IUT Lannion LP GSR74 Les stratégies de groupes  Sur un contrôleur de domaine, les information d’un GPO sont réparties dans deux endroits : –Le conteneur AD « Stratégie de groupe », dans lequel sont stockés les attributs et les versions des GPO. Les contrôleurs de domaines s’en servent pour vérifier la version des GPO dont ils disposent. Les clients s’en servent pour localiser le modèle de stratégie de groupe GPT associé aux GPO qui leur est appliqué

75 2008 Active Directory S. Mouget - IUT Lannion LP GSR75

76 2008 Active Directory S. Mouget - IUT Lannion LP GSR76 Les stratégies de groupes –Le modèle Stratégie de groupe est un ensemble de dossiers (une hiérarchie) stocké dans le répertoire SYSVOL des DCs Chaque objet stratégie à son modèle associé. Le nom du modèle est le GUID de la stratégie. Le modèle stratégie de groupe contient: Les modèles d’administration, les paramètres de sécurité, les paramètres d’installation des logiciels, les paramètres de redirection des dossiers et les scripts du GPO

77 2008 Active Directory S. Mouget - IUT Lannion LP GSR77

78 2008 Active Directory S. Mouget - IUT Lannion LP GSR78 Les stratégies de groupes  On trouve 6 catégories de paramètres: –Modèles d’administration –Scripts –Redirection des dossiers –Paramètre de sécurité –Installation de logiciels –Maintenance d’Internet Explorer

79 2008 Active Directory S. Mouget - IUT Lannion LP GSR79 Les stratégies de groupes  Les modèles d’administration Permettent de gérer l’environnement utilisateur : Verrouiller des fonctions Paramétrer les fonctionnalités du système d’exploitation ou d’applications Uniformiser le poste de travail…

80 2008 Active Directory S. Mouget - IUT Lannion LP GSR80 Les stratégies de groupes –Dans les modèles d’administrations, il existe huit groupes de paramètres. Dans le GPO, certains sont sous la config. ordinateur, d’autres sous la config. utilisateur et d’autres sous les deux config. Si un paramètre est défini dans les deux config, c’est la config ordinateur qui l’emporte

81 2008 Active Directory S. Mouget - IUT Lannion LP GSR81 Les stratégies de groupes –Panneau de configuration  Utilisateur –Bureau  Utilisateur –Réseau  Utilisateur et Ordinateur –Imprimantes  Ordinateur –Dossiers partagés  Utilisateur –Menu démarrer et barre des taches  Utilisateur –Système  Utilisateur et Ordinateur –Composants Windows  Utilisateur et Ordinateur

82 2008 Active Directory S. Mouget - IUT Lannion LP GSR82 Les stratégies de groupes –Les paramètres des modèles d’administration sont stockés dans deux fichiers registry.pol placé dans le modèle de stratégie (GPT) du GPO dans le répertoire SYSVOL  Un dans sysvol\domaine\policies\GUID_du_GPO\machine  L’autre dans sysvol\domaine\policies\GUID_du_GPO\user

83 2008 Active Directory S. Mouget - IUT Lannion LP GSR83 Les stratégies de groupes –Lorsque le GPO est appliqué, les paramètres des modèles d’administration modifient la base de registre du client dans HKCU pour les paramètres utilisateurs et HKLM pour ceux ordinateur. –Ils sont enregistré dans Software\Policies et Software\Microsoft\Windows\CurentVersion\Poli cies. –Les paramètres du GPO l’emportent sur les paramètres locaux.

84 2008 Active Directory S. Mouget - IUT Lannion LP GSR84 Les stratégies de groupes  Scripts Paramètres pour automatiser l’exécution des scripts sur le client. Quatre types de scripts:  Scripts de démarrage (Synchrone)  Scripts d’ouverture de session (Async)  Scripts de fermeture de session (Async)  Scripts d’arrêt (Sync)

85 2008 Active Directory S. Mouget - IUT Lannion LP GSR85 Les stratégies de groupes  La redirection des dossiers: Pour rediriger les dossiers utilisateurs  Application Data  Bureau  Menu Démarrer  Mes documents

86 2008 Active Directory S. Mouget - IUT Lannion LP GSR86 Les stratégies de groupes  Paramètres de sécurité: Pour sécuriser les ordinateurs et le réseau. Il y a 11 groupes de paramètres –Stratégies de comptes S’appliquent à tous les utilisateurs et ne fonctionnent que pour un GPO lié à un domaine. –Stratégies locales ( Droits utilisateurs …) –Journal des événements –Groupes restreints

87 2008 Active Directory S. Mouget - IUT Lannion LP GSR87 Les stratégies de groupes –Services systèmes –Registre –Système de fichier –Stratégies de réseau sans fil –Stratégies de clé publique –Stratégies de restriction logicielle –Stratégies de sécurité IP sur AD

88 2008 Active Directory S. Mouget - IUT Lannion LP GSR88 Les stratégies de groupes  Installation de logiciels L’installation de logiciels fonctionne avec Windows installer et de façon associée à AD. Deux manières de déployer les logiciels:  Attribution d’application A un utilisateur, un raccourci est placé sur son bureau, si il double-clique sur le raccourci ou sur un fichier dont l’extension est associée, l’application s’installe. A un ordinateur, l’application s’installera au démarrage de la machine.

89 2008 Active Directory S. Mouget - IUT Lannion LP GSR89 Les stratégies de groupes  Publication de l’application Des informations sont placées dans AD indiquant aux ordinateurs qu’une application est disponible à un point de distribution réseau donné. L’installation se fait via ajout/suppression de programme, ou lorsque l’utilisateur ouvre un fichier dont l’extension est associée.

90 2008 Active Directory S. Mouget - IUT Lannion LP GSR90 Les stratégies de groupes  Maintenance d’internet explorer Pour gérer les favoris, les zones de sécurité…

91 2008 Active Directory S. Mouget - IUT Lannion LP GSR 91 Les stratégies de groupes Utilisation des stratégies de groupes

92 2008 Active Directory S. Mouget - IUT Lannion LP GSR92 Les stratégies de groupes Pour déployer une stratégie de groupe, il faut: Pour déployer une stratégie de groupe, il faut: 1.Créer un GPO On peut modifier un GPO existant, si un nouveau GPO est crée, aucun paramètres ne seront configurés. 2.Lier ce GPO On l’associe à un conteneur AD (un domaine, un site ou une OU), les paramètres de ce GPO seront appliqués aux utilisateurs et au ordinateurs de ce conteneur. On peut lier plusieurs conteneurs à un GPO ou plusieurs GPO a un conteneur.

93 2008 Active Directory S. Mouget - IUT Lannion LP GSR93 Les stratégies de groupes L’application des stratégies se fait dans cet ordre: 1.La stratégie locale de la machine 2.La stratégie du site 3.La stratégie du domaine 4.La stratégie de l’UO

94 2008 Active Directory S. Mouget - IUT Lannion LP GSR94 Les stratégies de groupes  Conflits Lorsqu’il y a un conflit sur un paramètre (défini dans deux GPO), c’est le paramètre du dernier GPO en conflit qui s’applique. Lorsque plusieurs GPO sont liés à un même conteneur, les GPO sont traités dans l’ordre de la liste des liaisons du conteneur. Lorsqu’un paramètre utilisateur et ordinateur entrent en conflit, c’est l’ordinateur qui l’emporte

95 2008 Active Directory S. Mouget - IUT Lannion LP GSR95 Les stratégies de groupes  Héritage Les conteneurs enfants héritent des paramètres de GPO des conteneurs parents.  Blocage Si on active le blocage, les paramètres de GPO du conteneur parent sont bloqué, sauf dans le cas du…  Forçage Pour forcer l’héritage de GPO dans les conteneurs enfants

96 2008 Active Directory S. Mouget - IUT Lannion LP GSR96 Les stratégies de groupes  Filtrage Pour empêcher l’héritage des paramètres d’un GPO pour certains utilisateurs, groupes ou ordinateurs du conteneur.

97 2008 Active Directory S. Mouget - IUT Lannion LP GSR97 Les stratégies de groupes  Application de la stratégie de groupe Au démarrage de l’ordinateur: 1.Application des paramètres ordinateur 2.Traitement des scripts de démarrage (si il y a lieu) 3.Application des paramètres utilisateur 4.Traitement des scripts d’ouverture de session (avant ceux spécifiés dans le profil utilisateur)

98 2008 Active Directory S. Mouget - IUT Lannion LP GSR98 Les stratégies de groupes L’actualisation de la stratégie de groupe (connexion en cours ou non) est effectuée toutes les 5 minutes sur les contrôleurs, et toutes les 90+(+/-30) minutes sur les stations de travail (sauf les stratégies d’installation de logiciel)

99 2008 Active Directory S. Mouget - IUT Lannion LP GSR99 Les stratégies de groupes  Planification des stratégies ! La planification d’active directory influence celle des stratégie –GPO Niveau site: Affecte tous les ordinateurs et utilisateurs du site (excepté les utilisateurs mobiles). Tous les domaines du site sont affectés.

100 2008 Active Directory S. Mouget - IUT Lannion LP GSR100 Les stratégies de groupes –GPO Niveau domaine: Affecte tous les ordinateurs et utilisateurs du domaine. Le GPO d’un domaine parent n’affecte pas un domaine enfant. Seul les admins du domaine peuvent modifier les GPO liés à un domaine.

101 2008 Active Directory S. Mouget - IUT Lannion LP GSR101 Les stratégies de groupes –GPO niveau OU Affecte tous les ordinateur et utilisateurs de l’OU ainsi que les OU enfant selon les spécifications vues précédemment. la gestion des GPO d’une OU peut être déléguée


Télécharger ppt "2008 Active Directory S. Mouget - IUT Lannion LP GSR 1 WS 2003 Active Directory Présentation générale."

Présentations similaires


Annonces Google