La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Présentation générale

Présentations similaires


Présentation au sujet: "Présentation générale"— Transcription de la présentation:

1 Présentation générale
WS Active Directory Présentation générale 2006 Active Directory S. Mouget - IUT Lannion LP GSR

2 Active Directory S. Mouget - IUT Lannion LP GSR
Un annuaire… Pour quoi faire ? Les plus d’AD Représentation logique d’AD Topologie AD et le DNS Et physiquement ? 2006 Active Directory S. Mouget - IUT Lannion LP GSR

3 Un annuaire… Pour quoi faire ?
Sans annuaire: On peut rapidement se retrouver avec autant de bases de données que de services 2006 Active Directory S. Mouget - IUT Lannion LP GSR

4 Un annuaire… Pour quoi faire ?
Si on utilise un annuaire: L’administration est simplifiée 2006 Active Directory S. Mouget - IUT Lannion LP GSR

5 Un annuaire… Pour quoi faire ?
Active directory est un annuaire LDAP , les accès à l’annuaire sont donc des requêtes LDAP L’administration se fait à l’aide d’interfaces graphiques (MMC sites et services, utilisateurs….ADSI edit) ou d’une API : ADSI (Active directory service interface) LDAP, version allégée des annuaires X500 L’API pour VB ou Java 2006 Active Directory S. Mouget - IUT Lannion LP GSR

6 Active Directory S. Mouget - IUT Lannion LP GSR
Les plus d’AD Des mécanismes de réplication Réplication entre les contrôleurs made in Microsoft Un annuaire « fourre-tout » Le schéma est extensible, l’admin peut créer de nouveaux objets (nouvelles classes) et de nouveaux attributs La sécurité Sécurité granulaire: des ACLs sur chaque conteneur et chaque objet 2006 Active Directory S. Mouget - IUT Lannion LP GSR

7 Représentation logique d’AD
La forêt L’arborescence Les domaines Les OUs Les objets Les approbations 2006 Active Directory S. Mouget - IUT Lannion LP GSR

8 Représentation logique d’AD
La forêt lmf.com Domaines lmf.com smbek.com Approbations rp.lmf.com asie.smbek.com Unités d’organisation asie.lmf.com 2006 Active Directory S. Mouget - IUT Lannion LP GSR

9 Active Directory S. Mouget - IUT Lannion LP GSR
La forêt AD C’est la plus grosse structure logique d’AD: Un ensemble d’arborescences de domaine reliées entre elles par des approbations transitives et bidirectionnelles 2006 Active Directory S. Mouget - IUT Lannion LP GSR

10 Active Directory S. Mouget - IUT Lannion LP GSR
La forêt AD Tous les domaines de la forêt partagent le même schéma AD, la même configuration et un catalogue global 2006 Active Directory S. Mouget - IUT Lannion LP GSR

11 Active Directory S. Mouget - IUT Lannion LP GSR
La forêt AD La forêt est crée lors de la première installation d’active directory sur un serveur Ensuite: soit on joint un domaine existant. soit on créer un domaine enfant ,une nouvelle racine (nouvelle arborescence) ou alors, une nouvelle forêt 3 Niveaux fonctionnels: Windows 2000 (NT, Win 2K, WS2003) (par défaut) WS 2003 Version préliminaire (NT & WS 2003) WS 2003 (WS 2003) (approb de forêts, Objets Schéma défunts…) 2006 Active Directory S. Mouget - IUT Lannion LP GSR

12 Active Directory S. Mouget - IUT Lannion LP GSR
La forêt AD Le premier domaine de la forêt est le « domaine racine » C’est dans le domaine racine que se trouve le contrôleur de schéma et le maitre d’attribution des noms de domaine 2006 Active Directory S. Mouget - IUT Lannion LP GSR

13 Active Directory S. Mouget - IUT Lannion LP GSR
L’arborescence C’est un ensemble de domaines contigus Arborescence 1 Domaine racine Arborescence 2 lmf.com smbek.com us.lmf.com bresil.smbek.com sf.us.lmf.com asie.smbek.com ny.us.lmf.com 2006 Active Directory S. Mouget - IUT Lannion LP GSR

14 Active Directory S. Mouget - IUT Lannion LP GSR
Les domaines « Zone de sécurité » stratégies de domaine « Zone de réplication » Réplication auto de toutes les mise a jour d’AD « zone administrative » Les membres du groupe admins du domaine peuvent entièrement gérer le domaine Les domaines sont nommés avec le DNS 2006 Active Directory S. Mouget - IUT Lannion LP GSR

15 Active Directory S. Mouget - IUT Lannion LP GSR
Les domaines 3 rôles unique au niveau du domaine: Le Maitre d’infrastructure (pour les reférences aux objets externes au domaine) Le Maitres des ID relatifs, distribue les RID par paquets de 100 aux contrôleurs du domaine L’émulateur de PDC NT 2006 Active Directory S. Mouget - IUT Lannion LP GSR

16 Active Directory S. Mouget - IUT Lannion LP GSR
Les domaines 4 niveaux fonctionnels: W2K Mixte Imbrication des groupe partielle (globaux dans Locaux de dom)… W2K Natif Groupes universels… WS2003 Version Préliminaire réplication plus efficace… WS2003 Renommages des contrôleurs et des domaines… 2006 Active Directory S. Mouget - IUT Lannion LP GSR

17 Active Directory S. Mouget - IUT Lannion LP GSR
Les OUs C’est un conteneur d’objets Utilisé pour effectuer des délégations et appliquer des stratégies de sécurités 2006 Active Directory S. Mouget - IUT Lannion LP GSR

18 Active Directory S. Mouget - IUT Lannion LP GSR
Les objets Peuvent êtres contenus dans un domaine ou une OU : Utilisateurs, groupes, ordinateurs, partages, imprimantes et OUs 2006 Active Directory S. Mouget - IUT Lannion LP GSR

19 Active Directory S. Mouget - IUT Lannion LP GSR
Les approbations Canaux sécurisés entre les domaines ou les forêts 2006 Active Directory S. Mouget - IUT Lannion LP GSR

20 Active Directory S. Mouget - IUT Lannion LP GSR
Topologie C’est la représentation physique du réseau: Des Sites de sous réseaux reliés par des WAN lentes, cela permet de contrôler les réplications de AD Les sites sont interconnectables entres eux. On peut avoir un domaine sur plusieurs sites et ou plusieurs domaines sur un site 2006 Active Directory S. Mouget - IUT Lannion LP GSR

21 Active Directory S. Mouget - IUT Lannion LP GSR
AD et le DNS Indispensable au fonctionnement d’AD 3 approches Le DNS peut être intégré à AD Nommage des domaines Localisation des contrôleurs Enregistrement srv 1 seul nom (DNS ext et int) 2 noms (avec redirecteur) ou sous domaine(pour s’adapter a l’existant) Il faut SRV, DynamicDNS… il y a les enregistrement WINS 4sous domaines particuliers à ad (_msdcs. ;_sites. ;_tcp. ;_udp.) Soit les zone en fichier texte, ou dans l’annuaire (réplication auto, seul les changements sont répliqués, tous les DNS sont maitres(sécurité du service) 2006 Active Directory S. Mouget - IUT Lannion LP GSR

22 Active Directory S. Mouget - IUT Lannion LP GSR
Et physiquement ? Un fichier: NTDIS.DIT (NT Directory Services. Directory Information Tree) De trois à quatre partitions (Ou contexte de nommage ou Magasin de données) Domaine : zones DNS, groupes, utilisateurs, ordinateurs. La même sur tous les DC Configuration : topologie (sites et lien) info de réplications, arborescence. La même pour toute la forêt (!maitre d’attribution des noms de domaine ) localisation des catalogues globaux Schéma : contient les objets class et attributs. La même pour toute la forêt ( ! contrôleur de schéma ) Applications : pas par défaut, sert à répliquer des données pour d’autres applications (on peut contrôler où) 2006 Active Directory S. Mouget - IUT Lannion LP GSR

23 Active Directory S. Mouget - IUT Lannion LP GSR
2006 Active Directory S. Mouget - IUT Lannion LP GSR

24 Active Directory S. Mouget - IUT Lannion LP GSR
Et physiquement ? Le schéma est extensible: Création de nouvelles classes ou de nouveaux attributs.On ne peut pas les supprimer. Juste désactiver ou modifier. 10 millions d’objets peuvent êtres contenus dans AD. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

25 Active Directory S. Mouget - IUT Lannion LP GSR
2006 Active Directory S. Mouget - IUT Lannion LP GSR

26 Active Directory S. Mouget - IUT Lannion LP GSR
Et physiquement ? Le dossier Sysvol Contient: Les ADM Template des GPO (les gpt) Le répertoire netlogon Les scripts d’ouverture et fermeture de session, d’allumage et d’extinction. Est répliqué sur tout les DCs 2006 Active Directory S. Mouget - IUT Lannion LP GSR

27 Active Directory S. Mouget - IUT Lannion LP GSR
Les Approbations On a vu : C’est des canaux sécurisés entre les domaines ,les arbres ou les forêts. Par défaut, au sein d’une forêt, toutes les approbation sont transitives et bidirectionnelles. Schéma 2006 Active Directory S. Mouget - IUT Lannion LP GSR

28 Active Directory S. Mouget - IUT Lannion LP GSR
Les Approbations Il existe trois types d’approbations transitives dans une forêt : Les approbations de racines d’arbres, crées automatiquement au moment de l’ajout d’un arbre dans la forêt Les approbations parent-enfant, crées automatiquement au moment de l’ajout d’un domaine à un arbre existant schéma 2006 Active Directory S. Mouget - IUT Lannion LP GSR

29 Active Directory S. Mouget - IUT Lannion LP GSR
Les Approbations Les approbations de raccourci, pour créer un raccourci entre deux domaines. Cela permet de raccourcir la durée et de réduire le trafic du processus d’authentification schéma 2006 Active Directory S. Mouget - IUT Lannion LP GSR

30 Active Directory S. Mouget - IUT Lannion LP GSR
Les Approbations Racine d’arbre lmf.com Parent-enfant smbek.com Raccourci asie.lmf.com asie.smbek.com 2006 Active Directory S. Mouget - IUT Lannion LP GSR

31 Active Directory S. Mouget - IUT Lannion LP GSR
Les Approbations Les approbations externes : Ce sont des approbations unidirectionnelles, non transitives. On les créer entre deux domaines (nt, 2000 ou 2003) Le domaine approuvé accède au domaine approuvant Domaine approuvé Domaine approuvant 2006 Active Directory S. Mouget - IUT Lannion LP GSR

32 Active Directory S. Mouget - IUT Lannion LP GSR
Les Approbations Les approbations de forêt : Uniquement entre deux forêts 2003 Elles sont transitives et bidirectionnelles Attention, si une Forêt A approuve une Forêt B, que la forêt B approuve une forêt C, la forêt A n’approuvera pas la forêt C sans créer une approbation entre A et C 2006 Active Directory S. Mouget - IUT Lannion LP GSR

33 Active Directory S. Mouget - IUT Lannion LP GSR
L’authentification 5 protocoles disponibles dont Kerberos (Win 2k et 2003) et NTLM (nt) 2006 Active Directory S. Mouget - IUT Lannion LP GSR

34 Mécanisme d’ouverture de session
Dans un domaine: SAS= Secure attention Key 2006 Active Directory S. Mouget - IUT Lannion LP GSR

35 Mécanisme d’ouverture de session
Dans un autre domaine - Soit on fait partit du groupe utilisateurs universel. Le Contrôleur de domaine contactera un catalogue global pour vérifier l’appartenance (sauf si la liste des membres du groupe est mise en cache) - Sinon, la session sera ouverte « dans » le domaine de l’utilisateur (le catalogue global sera contacté pour d’autres opérations) Faire schéma 2006 Active Directory S. Mouget - IUT Lannion LP GSR

36 Active Directory S. Mouget - IUT Lannion LP GSR
Gestion des sites Il faut créer la topologie d’AD, pour cela nous avons besoin: De connaître le réseau De déterminer l’emplacement des contrôleurs de domaines De créer des sites De créer des liens entre ces sites De créer des ponts entre ces liens 2006 Active Directory S. Mouget - IUT Lannion LP GSR

37 Active Directory S. Mouget - IUT Lannion LP GSR
Connaître le réseau Etablir une carte géographique de la forêt Etablir des connexions entre ces lieux et donner leur bande passante (et leur disponibilité) Lister les sous réseaux Lister les domaines de chaque lieux et le nombre d’utilisateurs. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

38 déterminer l’emplacement des contrôleurs de domaines
Le serveur racine en position centrale Les serveurs « régionaux », on place un serveur sur un site si: On veut authentifier 24h/24, 7j/7 et que la liaison n’est pas disponible à 100% L’ouverture de session et trop lente (Il y a plus de 100 utilisateurs) On est pas regardant sur la sécurité et qu’il y a quelqu’un sur place pour administrer (ou on peut l’administrer à distance) 2006 Active Directory S. Mouget - IUT Lannion LP GSR

39 déterminer l’emplacement des contrôleurs de domaines
On place un Catalogue global si: Une application le nécessite Il y a plus de 100 utilisateurs Il y a beaucoup d’utilisateurs itinérants Si la liaison n’est pas dispo a 100%, mettre en cache les groupes universel 2006 Active Directory S. Mouget - IUT Lannion LP GSR

40 Active Directory S. Mouget - IUT Lannion LP GSR
Créer des sites Si il y a un contrôleur de domaine sur place. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

41 Créer des liens entre ces sites
On choisi les deux sites On donne un cout au lien On planifie la réplication On choisi le transport 2006 Active Directory S. Mouget - IUT Lannion LP GSR

42 Créer des ponts entre ces liens
Cela se fait automatiquement On peut désactiver la fonction pour contrôler la réplication d’AD 2006 Active Directory S. Mouget - IUT Lannion LP GSR

43 Active Directory S. Mouget - IUT Lannion LP GSR
Le catalogue global 2006 Active Directory S. Mouget - IUT Lannion LP GSR

44 Active Directory S. Mouget - IUT Lannion LP GSR
Le catalogue global C’est une copie partielle des attributs (les plus utilisés) de tous les objets de tous les domaines de la forêt. Les contrôleurs de domaines n’hébergeant que leur partition de domaine, si il fallait localiser un objet d’ un autre domaine, l’utilisateur ou l’application devrai fournir le nom du domaine 2006 Active Directory S. Mouget - IUT Lannion LP GSR

45 Active Directory S. Mouget - IUT Lannion LP GSR
Le catalogue global Si on a 3 domaines D1, D2 et D3: Domaine D1 Configuration Le Ntdis.dit d’un DC de D1 contient: Schéma Domaine D1 Configuration Le Ntdis.dit d’un GC de D1 contient: Schéma Domaine D2 Domaine D3 2006 Active Directory S. Mouget - IUT Lannion LP GSR

46 Active Directory S. Mouget - IUT Lannion LP GSR
Le catalogue global La partition Domaine D2 sera composé de tous les objets de D2 et de leurs attributs si ils font parti du PAS (Partial Attribute Set ) Le PAS est modifiable à l’aide de la console schéma active directory 2006 Active Directory S. Mouget - IUT Lannion LP GSR

47 Active Directory S. Mouget - IUT Lannion LP GSR
Le catalogue global Attention : l’ajout d’attributs dans le PAS augmente le trafic de réplication. La réplication est gérée automatiquement, chaque domaine « s’occupant » de la mise à jour de sa partition sur les GC 2006 Active Directory S. Mouget - IUT Lannion LP GSR

48 Active Directory S. Mouget - IUT Lannion LP GSR
Le catalogue global Le catalogue global est utilisé dans les cas suivants: Ouverture de session: Sous Windows 2000, le catalogue global était utilisé systématiquement, pour vérifier les appartenances des comptes utilisateurs. Avec Windows 2003, les appartenances aux groupes locaux et globaux peuvent être retrouvées sur tous les DCs du domaine. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

49 Active Directory S. Mouget - IUT Lannion LP GSR
Le catalogue global Si les groupes universel sont disponibles, alors le catalogue global doit être contacté pour savoir desquels l’utilisateur (ou les groupes globaux auxquels il appartient) est membre. Les appartenances aux groupes universel (et globaux) peuvent être mise en cache sur un DC (pour réduire le trafic WAN ou accélérer les ouvertures de sessions par exemple). Ce cache est mis à jour a partir d’un catalogue global. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

50 Active Directory S. Mouget - IUT Lannion LP GSR
Le catalogue global Ouvertures de session avec le nom UPN Si les noms UPN simplifiés sont utilisés ( ), le catalogue global sera utilisé pour retrouver le domaine d’appartenance de l’utilisateur ( le GC renvoie au DC le nom unique de l’utilisateur CN=johndoe, OU=compta, DC=asie, DC=smbek, DC=lmf, DC=com le DC en déduit le domaine de John) 2006 Active Directory S. Mouget - IUT Lannion LP GSR

51 Active Directory S. Mouget - IUT Lannion LP GSR
Le catalogue global Recherches dans l’annuaire: Lorsque l’on (ou une application) recherche un objet, il faut connaitre son DN ou son domaine. On peut simplifier la tache en utilisant les attributs stockés par le catalogue global (le nom d’un personne par ex.), c’est ce dernier qui localisera l’objet. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

52 Active Directory S. Mouget - IUT Lannion LP GSR
Le catalogue global Attention Lorsque un objet O1 (un groupe par ex.) fait référence à un autre objet O2(un utilisateur par ex.), le maitre d’infrastructure vérifie la présence de cet objet dans les partition AD. Si cet objet n’est pas présent(il provient d’un autre domaine) , il crée un objet OF dit « Fantôme » dans l’annuaire, avec les SID, GUID et DN de O2. Ainsi, on a pas besoin de contacter les autres domaines pour lister un groupe. Le maitre d’infrastructure synchronise la suppression ou les changement de nom des fantômes avec le GC et les réplique sur les autres DCs du domaine 2006 Active Directory S. Mouget - IUT Lannion LP GSR

53 Active Directory S. Mouget - IUT Lannion LP GSR
Le catalogue global Si le maitre d’infrastructure est aussi catalogue global, dans ce cas, tous les objets de la forêt étant dans une des partions AD, aucun fantôme ne sera crée. Si tous les DCs du domaines sont aussi GC ou qu’il n’y a qu’un domaine, le maitre d’infrastructure n’est pas utilisé. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

54 Active Directory S. Mouget - IUT Lannion LP GSR
Les délégations 2006 Active Directory S. Mouget - IUT Lannion LP GSR

55 Active Directory S. Mouget - IUT Lannion LP GSR
Les délégations Pour vous aider dans votre gestion, vous pouvez déléguer des taches pour un site, un domaine, une OU. Il y a deux approches: Soit déléguer au niveau d’ objet. Par exemple, le groupe DevWeb a le contrôle totale sur l’ OU Web (contenant les serveur web) Soit déléguer au niveau des taches. Par exemple, le groupe RHasie peut créer ou modifier des utilisateurs pour tout le domaine Asie. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

56 Active Directory S. Mouget - IUT Lannion LP GSR
Les délégations Il est préférable de déléguer à des groupes plutôt qu’a des utilisateurs De même, il est préférable de déléguer sur des OU plutôt que des sites ou domaines Les délégations sont héritées, mais peuvent être bloqués pour un objet enfant 2006 Active Directory S. Mouget - IUT Lannion LP GSR

57 Les stratégies de groupes
2006 Active Directory S. Mouget - IUT Lannion LP GSR

58 Les stratégies de groupes
Les stratégies de groupes permettent de définir un ensemble de paramètres pour des utilisateurs et/ou des ordinateurs fonctionnant sous W2003, W2K et XP. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

59 Les stratégies de groupes
Toutes les stratégies au niveau des domaines et des sites sont centralisées, les stratégies étant définies dans active directory. Les stratégies s’appliquent aux domaines, aux sites et aux UO 2006 Active Directory S. Mouget - IUT Lannion LP GSR

60 Les stratégies de groupes
Les paramètres d’une stratégie de groupe sont « rangés » dans un objet stratégie de groupe, un GPO 2006 Active Directory S. Mouget - IUT Lannion LP GSR

61 Les stratégies de groupes
Deux types principaux de paramètres au sein d’un GPO: La configuration Ordinateur Les paramètres s‘appliquent à tous les ordinateurs concernés par le GPO La configuration Utilisateur Les paramètres s‘appliquent à tous les utilisateurs concernés par le GPO 2006 Active Directory S. Mouget - IUT Lannion LP GSR

62 Les stratégies de groupes
Sur un contrôleur de domaine, les information d’un GPO sont réparties dans deux endroits : Le conteneur AD « Stratégie de groupe », dans lequel sont stockés les attributs et les versions des GPO. Les contrôleurs de domaines s’en servent pour vérifier la version des GPO dont ils disposent. Les clients s’en servent pour localiser le modèle de stratégie de groupe GPT associé aux GPO qui leur est appliqué Si on modifie la stratégie sur un DC, au moment de la réplication, si le DC qui consulte n’est pas à jour, il répliquera le GPO sur lui-même 2006 Active Directory S. Mouget - IUT Lannion LP GSR

63 Active Directory S. Mouget - IUT Lannion LP GSR
2006 Active Directory S. Mouget - IUT Lannion LP GSR

64 Les stratégies de groupes
Le modèle Stratégie de groupe est un ensemble de dossiers (une hiérarchie) stocké dans le répertoire SYSVOL des DCs Chaque objet stratégie à son modèle associé. Le nom du modèle est le GUID de la stratégie. Le modèle stratégie de groupe contient: Les modèles d’administration, les paramètres de sécurité, les paramètres d’installation des logiciels, les paramètres de redirection des dossiers et les scripts du GPO 2006 Active Directory S. Mouget - IUT Lannion LP GSR

65 Active Directory S. Mouget - IUT Lannion LP GSR
2006 Active Directory S. Mouget - IUT Lannion LP GSR

66 Les stratégies de groupes
On trouve 6 catégories de paramètres: Modèles d’administration Scripts Redirection des dossiers Paramètre de sécurité Installation de logiciels Maintenance d’Internet Explorer 6 par défaut (exemple installation à distance) 2006 Active Directory S. Mouget - IUT Lannion LP GSR

67 Les stratégies de groupes
Les modèles d’administration Permettent de gérer l’environnement utilisateur : Verrouiller des fonctions Paramétrer les fonctionnalités du système d’exploitation ou d’applications Uniformiser le poste de travail… 2006 Active Directory S. Mouget - IUT Lannion LP GSR

68 Les stratégies de groupes
Dans les modèles d’administrations, il existe huit groupes de paramètres. Dans le GPO, certains sont sous la config. ordinateur, d’autres sous la config. utilisateur et d’autres sous les deux config. Si un paramètre est défini dans les deux config, c’est la config ordinateur qui l’emporte 2006 Active Directory S. Mouget - IUT Lannion LP GSR

69 Les stratégies de groupes
Panneau de configuration  Utilisateur Bureau  Utilisateur Réseau  Utilisateur et Ordinateur Imprimantes  Ordinateur Dossiers partagés  Utilisateur Menu démarrer et barre des taches  Utilisateur Système  Utilisateur et Ordinateur Composants Windows  Utilisateur et Ordinateur 2006 Active Directory S. Mouget - IUT Lannion LP GSR

70 Les stratégies de groupes
Les paramètres des modèles d’administration sont stockés dans deux fichiers registry.pol placé dans le modèle de stratégie (GPT) du GPO dans le répertoire SYSVOL Un dans sysvol\domaine\policies\GUID_du_GPO\machine L’autre dans sysvol\domaine\policies\GUID_du_GPO\user 2006 Active Directory S. Mouget - IUT Lannion LP GSR

71 Les stratégies de groupes
Lorsque le GPO est appliqué, les paramètres des modèles d’administration modifient la base de registre du client dans HKCU pour les paramètres utilisateurs et HKLM pour ceux ordinateur. Ils sont enregistré dans Software\Policies et Software\Microsoft\Windows\CurentVersion\Policies. Les paramètres du GPO l’emportent sur les paramètres locaux. Si le GPO pas appliqué, les paramètres locaux sont utilisés. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

72 Les stratégies de groupes
Scripts Paramètres pour automatiser l’exécution des scripts sur le client. Quatre types de scripts: Scripts de démarrage (Synchrone) Scripts d’ouverture de session (Async) Scripts de fermeture de session (Async) Scripts d’arrêt (Sync) 2006 Active Directory S. Mouget - IUT Lannion LP GSR

73 Les stratégies de groupes
La redirection des dossiers: Pour rediriger les dossiers utilisateurs Application Data Bureau Menu Démarrer Mes documents 2006 Active Directory S. Mouget - IUT Lannion LP GSR

74 Les stratégies de groupes
Paramètres de sécurité: Pour sécuriser les ordinateurs et le réseau. Il y a 11 groupes de paramètres Stratégies de comptes S’appliquent à tous les utilisateurs et ne fonctionnent que pour un GPO lié à un domaine. Stratégies locales (Droits utilisateurs …) Journal des événements Groupes restreints 2006 Active Directory S. Mouget - IUT Lannion LP GSR

75 Les stratégies de groupes
Services systèmes Registre Système de fichier Stratégies de réseau sans fil Stratégies de clé publique Stratégies de restriction logicielle Stratégies de sécurité IP sur AD Services systèmes (lancement des services) Registre (droits sur des arborescences de clés) Système de fichier (droits sur les fichiers) Stratégie de clé publique (autorités de certification) Stratégies de restriction logicielle (autorisation d’execution (bien avec les emplacements)) 2006 Active Directory S. Mouget - IUT Lannion LP GSR

76 Les stratégies de groupes
Installation de logiciels L’installation de logiciels fonctionne avec Windows installer et de façon associée à AD. Deux manières de déployer les logiciels: Attribution d’application A un utilisateur, un raccourci est placé sur son bureau, si il double-clique sur le raccourci ou sur un fichier dont l’extension est associée, l’application s’installe. A un ordinateur, l’application s’installera au démarrage de la machine. Si le logiciel est endommagé, il sera réinstallé a la prochaine ouverture de session ou demmarage. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

77 Les stratégies de groupes
Publication de l’application Des informations sont placées dans AD indiquant aux ordinateurs qu’une application est disponible à un point de distribution réseau donné. L’installation se fait via ajout/suppression de programme, ou lorsque l’utilisateur ouvre un fichier dont l’extension est associée. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

78 Les stratégies de groupes
Maintenance d’internet explorer Pour gérer les favoris, les zones de sécurité… 2006 Active Directory S. Mouget - IUT Lannion LP GSR

79 Les stratégies de groupes
Utilisation des stratégies de groupes 2006 Active Directory S. Mouget - IUT Lannion LP GSR

80 Les stratégies de groupes
Pour déployer une stratégie de groupe, il faut: Créer un GPO On peut modifier un GPO existant, si un nouveau GPO est crée, aucun paramètres ne seront configurés. Lier ce GPO On l’associe à un conteneur AD (un domaine, un site ou une OU), les paramètres de ce GPO seront appliqués aux utilisateurs et au ordinateurs de ce conteneur. On peut lier plusieurs conteneurs à un GPO ou plusieurs GPO a un conteneur. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

81 Les stratégies de groupes
L’application des stratégies se fait dans cet ordre: La stratégie locale de la machine La stratégie du site La stratégie du domaine La stratégie de l’UO 2006 Active Directory S. Mouget - IUT Lannion LP GSR

82 Les stratégies de groupes
Conflits Lorsqu’il y a un conflit sur un paramètre (défini dans deux GPO), c’est le paramètre du dernier GPO en conflit qui s’applique. Lorsque plusieurs GPO sont liés à un même conteneur, les GPO sont traités dans l’ordre de la liste des liaisons du conteneur. Lorsqu’un paramètre utilisateur et ordinateur entrent en conflit, c’est l’ordinateur qui l’emporte 2006 Active Directory S. Mouget - IUT Lannion LP GSR

83 Les stratégies de groupes
Héritage Les conteneurs enfants héritent des paramètres de GPO des conteneurs parents. Blocage Si on active le blocage, les paramètres de GPO du conteneur parent sont bloqué, sauf dans le cas du… Forçage Pour forcer l’héritage de GPO dans les conteneurs enfants 2006 Active Directory S. Mouget - IUT Lannion LP GSR

84 Les stratégies de groupes
Filtrage Pour empêcher l’héritage des paramètres d’un GPO pour certains utilisateurs, groupes ou ordinateurs du conteneur. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

85 Les stratégies de groupes
Application de la stratégie de groupe Au démarrage de l’ordinateur: Application des paramètres ordinateur Traitement des scripts de démarrage (si il y a lieu) Application des paramètres utilisateur Traitement des scripts d’ouverture de session (avant ceux spécifiés dans le profil utilisateur) 2006 Active Directory S. Mouget - IUT Lannion LP GSR

86 Les stratégies de groupes
L’actualisation de la stratégie de groupe (connexion en cours ou non) est effectuée toutes les 5 minutes sur les contrôleurs, et toutes les 90+(+/-30) minutes sur les stations de travail (sauf les stratégies d’installation de logiciel) 2006 Active Directory S. Mouget - IUT Lannion LP GSR

87 Les stratégies de groupes
Planification des stratégies ! La planification d’active directory influence celle des stratégie GPO Niveau site: Affecte tous les ordinateurs et utilisateurs du site (excepté les utilisateurs mobiles). Tous les domaines du site sont affectés. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

88 Les stratégies de groupes
GPO Niveau domaine: Affecte tous les ordinateurs et utilisateurs du domaine. Le GPO d’un domaine parent n’affecte pas un domaine enfant. Seul les admins du domaine peuvent modifier les GPO liés à un domaine. 2006 Active Directory S. Mouget - IUT Lannion LP GSR

89 Les stratégies de groupes
GPO niveau OU Affecte tous les ordinateur et utilisateurs de l’OU ainsi que les OU enfant selon les spécifications vues précédemment. la gestion des GPO d’une OU peut être déléguée 2006 Active Directory S. Mouget - IUT Lannion LP GSR


Télécharger ppt "Présentation générale"

Présentations similaires


Annonces Google