Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T
Rappels Systèmes 2000 Active Directory Groupes dans Active Directory Stratégies de groupes Sécurité de l’accès au ressources Quelques utilitaires
Domaine NT et groupe de travail gtr.com mygroup Sur workgroup: « net view /domain:nom_du_workgroup » permet de lister les serveurs du workgroup Puis « net view \\machine » permet de lister les partages de la machine Sur Domaine NT L ’appartenance à un Domaine NT nécessite : Un nom de domaine NT Un contrôleur de domaine PDC Un compte ordinateur sur le domaine L’appartenance à Workgroup Un nom de groupe de travail
Domaine NT et groupe de travail Insertion dans un domaine Déclaration d’appartenance à un workgroup
groupes Locaux et Globaux (NT) Groupe local utilisable sur une station du domaine compte ne pouvant sortir d’un domaine un groupe local peut contenir un ou des groupes globaux Groupe global groupe défini sur le PDC compte utilisable sur tout le domaine Pour être opérationnel, le groupe global doit être inclus dans des groupes locaux sur chaque machine. Ex : AdminX inclus dans le groupe global «Administrateurs du domaine» «Administrateurs du domaine» inclus, sur chaque poste, dans le groupe local «Administrateurs»
Le Registre Windows est une base de données Role Configuration de la machine (matériel, système) Configuration globale de chaque logiciel Configuration des logiciels par chaque utilisateur Configuration des droits Structure Hiérarchique Contient des clés, sous-clés, rubriques valuées Ruche : branche du Registre stockée dans un fichier
Structure du Registre Clés racine Ruche NTuser.dat
Modification du Registre Quand le Registre est-il modifié ? Modification de façon transparente En utilisant les logiciels Installation, … Mémorise la position de la fenêtre, le dernier fichier ouvert, … Par les boites de dialogue « Options… » Modification avec des outils spécifiques regedit.exe: accès au registre « brut » gpedit.msc: stratégie de groupe local Stratégie Ordinateur / Stratégie Utilisateur Par application de stratégies Domaine NT: stratégies définies par Poledit Domaine Active Directory: stratégies de groupe
Rappels Systèmes 200x Active Directory Groupes dans Active Directory Stratégies de groupes Sécurité de l’accès au ressources Quelques utilitaires
Microsoft Windows Servers 2003 Feature Standard Edition Enterprise Edition Datacenter Edition Web Edition RAM Maximum 32 64 2 SMP 4 8 Internet Connection Firewall8 Terminal Server Services for UNIX Network Load Balancing Cluster Service Virtual Private Network (VPN) Distributed File System (DFS) Encrypting File System (EFS) Group Policy Results Remote OS Installation Remote Installation Services (RIS) .NET Framework9 Internet Information Services (IIS) 6.0 ASP.NET10
Windows 2000/XP Pro n’est pas : Windows 2000 PRO /XP Pro Windows 2000/XP Pro n’est pas : Contrôleur de domaine Serveur DNS Serveur DHCP Windows 2000/XP Pro peut être : Serveur de fichiers (10 connexions) Serveur Ftp Serveur Web (connectivité limitée)
Choix d’un mode de licence Licence par siège 1 licence par client Licence par serveur 1 licence par connexion
Rappels Systèmes 2000 Active Directory Groupes dans Active Directory Stratégies de groupes Sécurité de l’accès au ressources Quelques utilitaires
Conformité aux standards Active Directory Service d’Annuaire Hiérarchique Gestion centralisée Conformité aux standards Annuaire LDAP Authentification Kerberos Service de nom DNS (pour la recherche des serveurs)
Conventions de nommage Nom complet ou DN (Distinguish Name): cn=Albert Dupont,ou=users,dc=gtr,dc=com Nom relatif Albert Dupond Mapping possible vers adresse mail : Albert.dupond@gtr.com Un nom complet =1 identifiant unique sur AD Convention de nommage LDAP CN: Common Name OU: Organizational Unit DC: Directory Content
Structure logique d’Active Directory domaine FORET Approbations bidirectionnelles transitives gtr.com domaine domaine UO france.gtr.com domaine maboite.fr quebec.gtr.com UO domaine UO Arborescence domaine prod.maboite.fr ventes.maboite.fr Approbations UNIdirectionnelle non transitive Domaine NT
Glossaire Objet : représente une ressource du réseau (ex: ordinateur, compte utilisateur, groupe de sécurité) Unité organisationnelle (OU) : conteneur regroupant des objets Domaine : ensemble de poste présentant une unité dans la gestion de la sécurité Arbre : groupement de domaines AD qui partagent des espaces de noms contigus (par exemple : iut.com, gtr.iut.com, geii.iut.com) Forêt : groupement d’arbres AD qui ont des noms disjoints (par exemple : labo.com, microsoft.com)
Création d’un utilisateur
Création d’un compte d’ordinateur
Choix de l’arborescence Arbre par services ou par localisation dc=fr dc=fr dc=entreprise dc=entreprise ou=R&D ou=Paris ou=ventes ou=gestion ou=Nantes ou=Lyon cn=dupont cn=dupont cn=durand cn=durand
Rappels Systèmes 2000 Active Directory Groupes dans Active Directory Stratégies de groupes Sécurité de l’accès au ressources Quelques utilitaires
Groupes de distribution : Différents groupes Groupe de sécurité : permettent de gérer les autorisations d'accès à une ressource Ils permettent aussi de gérer des listes de distributions de messagerie. Groupes de distribution : servent à des fonctions non liées à la sécurité comme l'envoi de messages On ne peut pas gérer d'autorisations avec ces groupes
Groupes locaux prédéfinis Les groupes locaux Groupes locaux prédéfinis Administrateurs Opérateurs de sauvegarde Invités : Accès limité au ressources Utilisateurs avec pouvoir : Peuvent créer et modifier des comptes locaux sur l'ordinateur, partager des ressources ou installer des pilotes de périphériques. Duplicateurs Utilisateurs
Entités de sécurité intégrée Tout le monde : tous les utilisateurs qui accèdent à l’ordinateur Utilisateur authentifié : Inclut tous les utilisateurs avec un compte utilisateur sur l’ordinateur ou sur le domaine (utilisé pour éviter les accès anonymes à des ressources) Créateur propriétaire : Inclut le compte utilisateur pour l’utilisateur qui a créé ou pris possession d’une ressource Réseau : Inclut tout utilisateur avec une connexion courante depuis un autre ordinateur du réseau vers une ressource partagée de l’ordinateur Utilisateur Anonyme : Tout utilisateur que Windows n’a pas authentifié Accès Distant : Tout utilisateur employant une connexion d’accès réseau à distance.
Groupe de domaine local Groupe global Groupe universel Les groupes non locaux Groupe de domaine local Groupe global Groupe universel
Étendue des groupes Groupe global : groupes globaux sous Windows NT4 U GG On insère un utilisateur dans un groupe global GG GDL On peut ajouter un groupe global à un groupe de domaine local GG GU On peut ajouter un groupe global à un groupe universel Groupe de domaine local : ≃ groupes locaux sous Windows NT4 Permettent d'accorder des autorisations sur les ressources du domaine U GDL GG GDL GDL autre groupe GU GDL Groupe de domaine universelle Permettent d'accorder des autorisations sur des domaines connexes Membres d’un domaine quelconque de la forêt Peuvent accéder au ressources d’un domaine quelconque
Procédure de création des groupes Création des utilisateurs Affectation à un groupe global Insertion d’un groupe global dans un groupe de domaine local. Affectation des permissions sur les ressources au groupe de domaine local
Rappels Systèmes 2000 Active Directory Groupes dans Active Directory Stratégies de groupes Sécurité de l’accès au ressources Quelques utilitaires
Le rôle des stratégies de groupe Les stratégies de groupe permettent : De paramétrer le Registre en fonction de la machine et de l’utilisateur De personnaliser les niveaux de sécurités conformément au schéma organisationnel de l’entreprise et conformément à l’organisation technique du parc informatique De gérer les paramètres utilisateurs : scripts de connexion, redirection des dossiers, profils, …
Ordre d’application des stratégies Des stratégies peuvent être attachées à chaque niveaux de l’arborescence AD Les stratégies sont appliquées dans l’ordre descendant 1 Site a domaine 2 b 3 OU c OU d 4 OU
Ordre d’application des stratégies On distingue les stratégies de groupe locales les stratégies de groupe non locales Ordre d’application Locale (propre à la machine) Site Domaine Unité(s) Organisationnelle(s)
Mécanisme d’héritage des stratégies Une stratégie s’applique à tous les niveaux inférieurs Résolution de conflits En cas de stratégies non compatibles entre niveau hiérarchiques : La stratégie enfant s’applique Modification de l’héritage Ne pas passer outre Mode de rappel de boucle
Applications des règles de stratégie Démarrage de l’ordinateur Applications des paramètres ordinateur Scripts de démarrage Connexion de l’utilisateur Applications des paramètres utilisateur Scripts d’ouverture de session Actualisation périodique des stratégies de groupe Toutes les 5 mn sur les contrôleurs de domaine Toutes les 90 minutes sur les stations
Création d’une stratégie
Modification du registre par les GPO Stratégies de groupes Règles Non configuré = Ne rien faire Activé ou Désactivé = Ecrire dans la base de registre
Rappels Systèmes 2000 Active Directory Groupes dans Active Directory Stratégies de groupes Sécurité de l’accès au ressources Quelques utilitaires
Permissions et autorisations Accès aux fichiers par le réseau Autorisations sur les partages Accès aux fichiers sur le disque dur Permissions NTFS L’accès à une ressource par le réseau dépend de ces deux barrières de sécurité
Propriétés d’un fichier ou d’un répertoire Accès par le WEB (Si IIS est installé) Accès au DISQUE (Permissions NTFS) Accès par le réseau (Autorisations sur les partages) Chiffrement et compression Attributs
La sécurité NTFS Liste de contrôle d’accès Autorisations associées Gestion élaborées des ACLS
La sécurité NTFS Calculateur des autorisations effectives Utilisateur, groupe ou Entité de sécurité intégrée Portée Modification des autorisations Mécanismes d’héritage et de mise à jour des enfants
Autorisation sur les partages Utilisateurs ou groupes Nom de partage Autorisations
Rappels Systèmes 2000 Active Directory Groupes dans Active Directory Stratégies de groupes Sécurité de l’accès au ressources Quelques utilitaires
Gpedit.msc
Microsoft Management Console
Quelques commandes utiles netstat ex : netstat –an –p TCP nbtstat ex : nbtstat –n ipconfig ex : ipconfig /all ipconfig /release *local* ipconfig /renew *local*
Scripts netsh Scripts à insérer dans un fichier .cmd Exemple : Modifier l’adresse IP à l’aide d’un script sur un poste XP (On suppose que l’interface Ethernet du PC a été renommée « eth0 » au préalable ) netsh interface ip set address name="eth0" source=static addr=10.0.0.1 mask=255.0.0.0 netsh interface ip set address name="eth0" gateway=10.0.0.254 gwmetric=0 netsh interface ip set dns name="eth0" source=static addr=none netsh interface ip set wins name="eth0" source=static addr=none