Bienvenue Sponsor Officiel

Qu’est ce que TechNet ? Un site Web très orienté technique http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable http://www.microsoft.com/france/technet/presentation/flash/default.mspx Des séminaires techniques toute l’année, partout en France http://www.microsoft.com/france/technet/seminaires/seminaires.mspx Des Webcasts accessibles à tout instant http://www.microsoft.com/france/technet/seminaires/webcasts.mspx Un abonnement http://www.microsoft.com/france/technet/presentation/cd/default.mspx

Conception d'une architecture Active Directory pour Windows Server 2003 Animateur

Logistique Vos questions sont les bienvenues. N’hésitez pas ! Pause en milieu de session Feuille d’évaluation à remettre remplie en fin de session Cédérom Merci d’éteindre vos téléphones Commodités

Agenda Concepts et évolutions apportées par Windows Server 2003 Conception de l'espace de noms Active Directory Planification des services Les stratégies de groupes Conclusion / Q&A

Annuaire et Schéma Un annuaire est un emplacement de stockage utilisé comme référentiel L’annuaire aura un taux de lectures/écritures très élevé. Un annuaire est un espace de stockage hiérarchique (non relationnel) Tout élément de l’annuaire est un objet doté d’attributs Ex : l’objet de type Utilisateur possède un attribut Numéro de téléphone Les définitions des classes d’objets et des attributs sont accessibles via le schéma

Annuaire «Active Directory» Stockage (distribué) de données identifiant les ressources présentes dans le système informatique Ex : utilisateur, ordinateur, groupe, domaine, application, imprimante, stratégie… Protocoles pour accéder et manipuler les données : Domain Name System (DNS) Lightweight Directory Access Protocol (LDAP) Utilisation : Source d’information globale pour l’entreprise Objet utilisateur défini à partir de la classe d’objets InetOrgPerson (Informational RFC 2798).

Bénéfices d’Active Directory Administrabilité Intégration des stratégies de configuration des postes et des utilisateurs, délégation d’administration, automatisation via scripting (WSH). Modularité Hiérarchie de domaines et d’OU. Scalabilité Réduction du nombre de domaines. Interopérabilité Utilisation des standards DNS, LDAP, KERBEROS. Extensibilité Richesse et modification du schéma.

Active Directory vs base SAM la même chose, plus : Contacts Groupes de distribution Groupes Universels Groupes locaux de domaine Unité d’organisation (OU) Dossiers publiés Imprimantes publiées Stratégie de groupe (GPO) Eléments de configuration de services (DNS, RPC, DFS) Accès par des protocoles standard (LDAP, DNS) Peut contenir des millions d'objets SAM de MS Windows NT contient : Comptes utilisateurs Groupes globaux Groupes locaux Comptes spéciaux Stratégies de comptes Stratégies d'audit Stratégies des droits utilisateur 40 Mo maxi recommandé

Schéma «Active Directory» Utilisation Extensibilité (dynamiquement éditable) Ajout de nouvelles classes d’objets Ajout de nouveaux attributs à des classes d’objets existantes Interopérabilité Pas de suppression possible sous Windows 2000 Désactivation avec possibilité de réutiliser la classe ou les attributs désactivés Utilisation de la classe inetOrgPerson pour l’ouverture de session des utilisateurs (meilleure interopérabilité avec les autres annuaires) purge delete activate deactivate Active Defunct Tomb-stone Purged

Extension du schéma Nécessaire pour certains applicatifs Exchange 2000, Exchange 2003 ISA Server 2000 Edition Entreprise SMS 2003 … Nécessaire pour certains composants de Windows 2003 R2 Service de réplication de fichiers (DFS) Publication des imprimantes via les GPO avec la console Print Management Console Intégration des services d’identité pour UNIX

Architecture logique Arbres, forêts, domaines Ensemble de domaines situés sous une racine unique, formant un espace de noms contigus. Forêt Ensemble d’arbres ne formant pas un espace de noms forcément contigus. FORET DOM2.COM DOM1.COM ARBRE ARBRE

Notion de Forêt Une forêt est un ensemble de domaines Active Directory qui partagent : Des informations de configuration, Une description logique et physique. Porte le nom du premier domaine installé. Les domaines forment une ou plusieurs arborescences Pas d’héritage entre domaines (arborescence = nommage uniquement)

Caractéristiques d’une forêt Dans une forêt, les domaines partagent Un même schéma, Une même partition de configuration, Un même catalogue global. Dans une forêt, les domaines Sont liés entre eux par des relations d'approbation Bidirectionnelles, Transitives.

Notion de Domaine Frontière de réplication et d’administration. L’annuaire associé à chaque domaine est disponible sur un ou plusieurs contrôleurs de domaines (DC). Il est possible de créer des arborescences de domaines. A chaque domaine est associé un nom : Ex : europe.contoso.com. Le domaine n’est pas une frontière de sécurité Domaine = Unité de partitionnement de la forêt Espace de noms différent, Périmètre administratif, Unité de réplication, Pas de contrainte de taille (vs NT4)

Notion d’Unités Organisationnelles (OU) Conteneurs d’objets de type utilisateurs, groupes, ordinateurs, OU… au sein d’un domaine. Utilisation : Organisation des données, Délégation des droits d’administration, Application des stratégies de groupe. OU Unité d’organisation (OU): Organisation hiérarchique des objets à l’intérieur du domaine dans un but d’administration Permet de mettre en place de la délégation d’administration Les OU servent principalement à faciliter la vie des administrateurs

Espace de nommage hiérarchique L’espace de nommage (zone dans laquelle un nom peut être résolu) de l’Active Directory repose sur DNS pour la localisation des services et la résolution des noms.

Cohabitation Niveaux de fonctionnalités Windows Server 2003 a plusieurs niveaux fonctionnels Pour les domaines et les forêts, Similaires aux modes mixte/natif de Windows 2000. Augmenter les niveaux fonctionnels Domaine : possible par domaine Forêt : pour l’ensemble de la forêt (impacte tous les domaines), Irréversible, Apporte de nouvelles fonctionnalités.

Windows 2003 & Active Directory Niveau de fonctionnalité pour les domaines Fonctionnalités activées Types de DC supportés Windows 2000 mixte Installation depuis un support Mise en cache des groupes Universels Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2000 natif Ensemble des fonctionnalités du mode Windows 2000 mixte, plus Imbrication des groupes Groupe de type Universel SIDHistory Windows 2003 Intérimaire Identiques au mode natif de Windows 2000 Ensemble des fonctionnalités du mode Windows 2000 natif, plus Mise à jour de l’attribut logon timestamp Version de KDC Kerberos Mot de passe utilisateur ds INetOrgPerson Groupe universel Visibilité : toute la forêt, Membres : groupes globaux de tout domaine, groupes universels. Groupe global de domaine Membres : utilisateurs et groupes globaux du domaine. Groupe local de domaine Utilisation : permissions sur les ressources Visibilité : tout le domaine Membres : toute la forêt (groupes universels, groupes globaux, groupes locaux du domaine, utilisateurs…) Groupe local Visibilité : uniquement sur le serveur Membres : toute la forêt Imbrication de groupes : les groupes peuvent contenir d’autres groupes.

Windows 2003 & Active Directory Niveau de fonctionnalité pour la forêt Fonctionnalités activées Types de DC supportés Windows 2000 Installation depuis un support Mise en cache des groupes Universels Partitions applicatives Windows NT4 Windows 2003 Windows 2003 Intérimaire Ensemble des fonctionnalités du mode Windows 2000, plus Réplication LVR (Linked Value Record) Amélioration ISTG (Inter Site Topology Generator) Ensemble des fonctionnalités du mode Windows 2003 Intérimaire, plus Classes Auxiliaires dynamiques Modification de la classe User en INetOrgPerson Dé/réactivation au sein du schéma Changement des noms de domaines Relations d’approbation inter forêts

Rôle des serveurs Un serveur Windows NT peut être : Contrôleur Principal de Domaine (PDC) Contrôleur Secondaire de Domaine (BDC) Serveur Membre Un Serveur Windows 2000 / 2003 peut être : Contrôleur de Domaine (DC) Possibilité de passer d’un rôle à l’autre (dcpromo.exe)

Rôles FSMO Flexible Single Master Operations Réplication multi maîtres Tous les DC sont en écriture Plus de notion PDC/BDC les rôles FSMO : Contrôleur de schéma Maîtres d’attribution de noms de domaine Maître RID (Relative Identifier) Maître d’Infrastructure Émulateur PDC Un seul dans toute la forêt Un par domaine Contrôleur de schéma - Un détenteur du rôle de contrôleur par forêt. Le détenteur du rôle FSMO de contrôleur de schéma est le contrôleur de domaine chargé de mettre à niveau le schéma d'annuaire. Maître d'attribution de noms de domaine - Un détenteur du rôle de maître par forêt. Le détenteur du rôle FSMO de maître d'attribution de noms de domaine est le contrôleur de domaine chargé de modifier l'espace de noms du domaine dans toute la forêt de l'annuaire. Maître d'infrastructure - Un détenteur du rôle de maître par domaine. Le détenteur du rôle FSMO de maître d'infrastructure est le contrôleur de domaine chargé de mettre à jour l'identificateur de sécurité (SID) et le nom unique d'un objet dans une référence d'objet entre domaines. Maître RID - Un détenteur du rôle de maître par domaine. Le détenteur du rôle FSMO de maître RID est le contrôleur de domaine unique chargé de traiter les demandes du pool RID provenant de tous les contrôleurs de domaine d'un domaine particulier. Émulateur PDC - Un détenteur du rôle de maître par domaine. Le détenteur du rôle FSMO d'émulateur PDC est un contrôleur de domaine Windows 2000 qui se proclame contrôleur principal de domaine auprès des postes de travail, serveurs membres et contrôleurs de domaine de versions antérieures. Il agit aussi comme l'explorateur principal du domaine et traite les incohérences de mots de passe. Rôle FSMO Contrôleur de schéma Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d'effectuer des mises à jour du schéma d'annuaire (c'est-à-dire, du contexte de nommage Schéma ou LDAP://cn=schema,cn=configuration,dc=<domaine>). Ce contrôleur de domaine est le seul qui peut traiter les mises à jour du schéma d'annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l'annuaire. Il ne peut y avoir qu'un contrôleur de schéma par annuaire. Rôle FSMO Maître d'attribution de noms de domaine Le détenteur du rôle FSMO Maître d'attribution de noms de domaine est le contrôleur de domaine chargé d'apporter des modifications à l'espace de noms des domaines de niveau forêt de l'annuaire (c'est-à-dire le contexte de nommage Partitions\Configuration ou LDAP://CN=Partitions, CN=Configuration, DC=<domaine>). Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine dans l'annuaire. Il peut ajouter également ou supprimer des références croisées à des domaines d'annuaires externes. Rôle FSMO Maître RID Le détenteur du rôle FSMO Maître RID est le seul contrôleur de domaine chargé du traitement des demandes de pools de RID émanant de tous les contrôleurs de domaine d'un domaine donné. Il est aussi chargé de supprimer un objet de son domaine et de le placer dans un autre domaine lors du déplacement d'un objet. Lorsqu'un contrôleur de domaine crée un objet entité de sécurité tel qu'un utilisateur ou un groupe, il joint à l'objet un ID de sécurité (SID) unique. Ce SID est constitué d'un SID de domaine (le même pour tous les SID créés dans un domaine) et d'un ID relatif (RID), unique pour chaque SID d'entité de sécurité créé dans un domaine. Chaque contrôleur de domaine Windows 2000 d'un domaine se voit allouer un pool de RID qu'il peut attribuer aux entités de sécurité qu'il crée. Lorsque le pool de RID d'un contrôleur de domaine tombe en deçà d'un certain seuil, le contrôleur de domaine demande des RID supplémentaires au maître RID du domaine. Le maître RID répond à la demande en récupérant des RID du pool de RID non alloués du domaine et les affecte au pool du contrôleur de domaine demandeur. Il ne peut y avoir qu'un maître RID par domaine dans un annuaire. Rôle FSMO Émulateur PDC L'émulateur PDC est nécessaire pour synchroniser l'heure dans une entreprise. Windows 2000 inclut le service de temps W32Time (service de temps Windows), requis par le protocole d'authentification Kerberos. Tous les ordinateurs Windows 2000 d'une entreprise utilisent une heure commune. L'objectif du service de temps est de garantir que le service de temps Windows utilise une relation hiérarchique qui contrôle l'autorité et n'autorise pas de boucles afin de garantir l'utilisation d'une heure commune appropriée. L'émulateur PDC d'un domaine fait autorité pour le domaine. L'émulateur PDC situé à la racine de la forêt acquiert l'autorité pour l'entreprise et doit être configuré de façon à percevoir l'heure d'une source externe. Tous les détenteurs de rôles FSMO Émulateur PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire d'heure entrante. Dans un domaine Windows 2000, le détenteur du rôle Émulateur PDC assure les fonctions suivantes : •Les changements de mots de passe effectués par d'autres contrôleurs de domaine du domaine sont répliqués préférentiellement sur l'émulateur PDC. •Les échecs d'authentification qui se produisent en raison d'un mot de passe inexact sur un contrôleur donné dans un domaine sont transférés à l'émulateur PDC avant que l'échec ne soit signalé à l'utilisateur dans un message. •Le verrouillage de compte est traité sur l'émulateur PDC. Notez que le rôle Émulateur PDC devient inutile à mesure que les stations de travail de bas niveau, les serveurs membres et les contrôleurs de domaine sont tous mis à niveau vers Windows 2000, auquel cas les informations suivantes s'appliquent : •Les clients Windows 2000 (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués n'effectuent pas les écritures d'annuaire (comme les changements de mots de passe) préférentiellement sur le contrôleur de domaine qui s'est autoproclamé contrôleur principal de domaine ; ils utilisent n'importe quel contrôleur du domaine. •Une fois les contrôleurs secondaires de domaine des domaines de bas niveau mis à niveau vers Windows 2000, l'émulateur PDC ne reçoit pas de demandes de réplica de niveau inférieur. •Les clients Windows 2000 (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués utilisent l'annuaire Active Directory pour localiser des ressources réseau. Ils n'ont pas besoin du service Explorateur d'ordinateurs de Windows NT. Rôle FSMO Infrastructure Lorsqu'un objet d'un domaine est référencé par un autre objet situé dans un autre domaine, il représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le nom unique (DN) de l'objet référencé. Le détenteur du rôle FSMO Infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d'un objet dans une référence d'objet interdomaine. REMARQUE : Le rôle Maître d'infrastructure doit être assuré par un contrôleur de domaine qui n'est pas un serveur de catalogues global. Si le maître d'infrastructure s'exécute sur un serveur de catalogues global, il cessera de mettre à jour les informations de l'objet, car il ne contient aucune référence aux objets qu'il ne détient pas. En effet, un serveur de catalogues global détient un réplica partiel de chaque objet de la forêt. En conséquence, les références d'objets interdomaines de ce domaine ne seront pas mises à jour et un avertissement dans ce sens sera consigné dans le journal des événements de ce contrôleur de domaine.

Installation d’un DC Promotion possible à n’importe quel moment via DCpromo Avec Windows 2000, lors de l’installation d’un contrôleur de domaine, une réplication complète de l’annuaire est effectuée via le réseau : Augmentation des coûts de communication, Mise en place de procédures d’expédition des contrôleurs pré installés. Avec Windows Server 2003, DCPROMO est capable d’installer Active Directory à partir d’une sauvegarde de l’annuaire : Seul le delta est répliqué via le réseau.

Global Catalog (GC) Le Global Catalog : contient une copie en lecture seule de tous les objets de tous les domaines mais avec un nombre réduit d’attributs. Permet de localiser n’importe quel objet de façon rapide sans connaître son emplacement dans l’arborescence Un changement de schéma pouvait entraîner un re-calcul du contenu du GC Plus avec Windows Server 2003 Nécessaire pour ouvrir la session en mode natif (appartenance aux groupes «Universels») Dans Windows Server 2003, l’appartenance aux groupes universels peut être mise en cache : nouvelle fonction qui supprime la nécessité d’un global catalog par site Attention : cette fonction ne sert que pour les groupes universels : le global catalog reste utile pour certaines applications. Avec Windows 2000, l’ajout d’attributs au (Partial Attribut Set du) Global Catalog génère une synchronisation complète de l’ensemble des copies du Global Catalog : Paramétrage des attributs préalable au déploiement des GC. Avec Windows Server 2003, seuls les attributs ajoutés sont répliqués : Tous les contrôleurs de la forêt doivent être en version Server 2003.

Ouverture de session sans Global Catalog Avec Windows 2000, en mode natif, le Global Catalog est contacté par le contrôleur de domaine lors de l’ouverture de session pour récupérer la liste des groupes Universels : GC dans chaque site ou mode mixte ou mode natif sans utilisation de groupes universels. Avec Windows Server 2003, l’appartenance aux groupes globaux est mise en cache au niveau des contrôleurs : Propriété de chaque site, Mise en cache initiale lors de la première ouverture de session puis de façon périodique.

Relations d’approbation Les relations d’approbation entre domaines Windows 2000/2003 utilisent Kerberos : Implicites, transitives et bidirectionnelles. Windows NT 4.0 Windows 2000/2003

Relations d’approbation multi forets Avec Windows 2000, les relations d’approbation externes à la forêt doivent être gérées comme des relations NT4.0 Relations d’approbation inter forêt : Transitivité par défaut entre tous les domaines des 2 forêts Pas de transitivité entre forêts Kerberos Forêt A Forêt B Forêt C Forest-trust A-B Forest trust B-C Avec Windows Server 2003, les relations d’approbation inter forêts permettent de réduire la charge administrative.

Partitionnement Applicatif (1/2) Plusieurs partitions de la base AD existent dès l’installation : La partition de Schéma (1/forêt) La partition de Configuration (1/forêt) La partition de Domaine (1/Domaine) Avantage de AD 2003 : Possibilité de créer de nouvelles partitions pour des besoins applicatifs. Réplication sur des DC choisis dans la forêt sans lien avec la notion de domaine Localisables par DNS (enregistrements SRV) Non répliquées sur le Catalogue Global Ne peuvent contenir des principaux de sécurité

Partitionnement Applicatif (2/2) Avec Windows 2000, toute donnée stockée dans l’annuaire est répliquée par défaut vers tous les contrôleurs du domaine (Naming Context Domain) ou de la forêt (NC Configuration et Schema). Données de DOM1 Données appli1 Données appli2 Données de DOM2 Données Appli2 DOM1 Forêt DOM2 Données de DOM1 Données appli1 Données de DOM2 Données Appli1 Données de DOM1

Architecture physique Contrôleur de domaine AD Un DC appartient à un seul site AD et assure les services d’annuaire et d’authentification pour les clients de ce site. Il réplique les informations de l’annuaire avec les autres DC Site AD Ensemble de sous réseaux IP Permet à la réplication Active Directory de s’appuyer sur la topologie du réseau Site 1 Site 2

Réplication (1/3) Réplication intra site Réplication inter site Automatique (topologie générée par KCC) Basée sur la notification Temps de réplication optimisé Réplication inter site Automatique ou manuelle Planifiée Utilisation de bande passante optimisée Mode redondant de réplication pour les architectures filiales Optimisation de la réplication des groupes avec un nombre de membres importants Tous les contrôleurs de la forêt doivent être en version Windows Server 2003. Avec Windows 2000, les attributs multi valués (tels que les groupes) sont stockés comme une valeur unique. Ces attributs ont une taille limite. De plus, ils sont répliqués en bloc ce qui entraîne une consommation de bande passante inutile et des risques de pertes d’informations en cas de mises à jour concurrentes. Avec Windows Server 2003, réplication unitaire des modifications (Linked-Value Replication) : Suppression de la limite maximale des 5 000 utilisateurs par groupe, réconciliation en cas de mises à jour concurrentes, Tous les contrôleurs de la forêt doivent être en version Server 2003.

Réplication (2/3) Réplication inter sites L’administrateur crée les objets représentant le réseau (sites et liens de sites) Le KCC génère automatiquement la topologie de réplication Tolérant à la panne et simple à maintenir En 2000, problème d'évolutivité pour un nombre important de sites (scénario "filiales") Avec 2003, l’algorithme (KCC et ISTG) a été re- développé, utilisation d’un nouvel algorithme fonction (d*s) au lieu de (d*s2) Evolutivité testée jusqu’à 5000 sites Possibilité de mise en œuvre un mode redondant Avec Windows 2000, la topologie de réplication inter sites auto générée par l’ISTG (Inter Site Topology Generator) n’est pas exploitable avec un nombre de sites importants (> 250). Génération manuelle de la topologie de réplication. Avec Windows Server 2003, utilisation d’un nouvel algorithme fonction (d*s) au lieu de (d*s2) Tous les contrôleurs de la forêt doivent être en version Server 2003.

Réplication (3/3) Le Serveur “Tête de pont” est le contrôleur de domaine chargé de la réplication avec les autres sites On peut choisir une liste de serveurs “tête de pont préférés” En Windows Server 2003, possibilité d’avoir plusieurs serveurs tête de pont du même domaine sur un même site (Windows) Outil de Load Balancing des connexions (ADLB.exe)

Mode « Branch Office » Utilisation : Repadmin …./siteoptions +IS_REDUNDANT_SERVER_TOPOLOGY_ENABLED +IS_TOPL_DETECT_STALE_DISABLED Nécessite une forêt en mode Windows 2003 Intérim ou Windows 2003 Mettre en place la topologie dans les 2 sens entrant et sortant

Vue d’ensemble des consoles d’administration Demonstration

Agenda Concepts et évolutions apportées par Windows Server 2003 Conception de l'espace de noms Active Directory Planification des services Les stratégies de groupes Conclusion / Q&A

Définition de l'espace de noms Active Directory Ne pas hésiter à viser les topologies idéales Doit déboucher sur des livrables : Espace de noms des domaines AD et DNS Topologie d'OU Topologie de sites Choix de l’entreprise, donc le consensus est nécessaire

Espace de noms des domaines Questions posées Combien de forêts ? Combien de domaines dans chaque forêt ? Comment agencer ces domaines ? Comment ces domaines s'appelleront-ils ?

Espace de noms des domaines Combien de forêts ? Au départ : une forêt Une forêt de plus ? Il faut argumenter ! Nécessité de préserver des schémas distincts Refus de dévoiler ma topologie de domaines Désaccord sur la composition des groupes sensibles Administrateurs de Schéma Administrateurs de l'Entreprise Souhait de conserver la maîtrise des approbations Frontière de sécurité

Espace de noms des domaines Combien de forêts ? Contraintes… Un domaine ne peut pas changer de forêt Déplacement d'objets : On sait migrer des objets d'un domaine vers un autre, Mais ce n'est pas toujours une opération anodine ! On ne sait pas interroger le Catalogue Global d'une autre forêt ... ... A moins de passer par un Méta Annuaire ?

Espace de noms des domaines Combien de domaines ? Au départ : un domaine Un domaine de plus ? Il faut argumenter ! Délégation ne suffit pas Nécessité de mettre en œuvre des stratégies spécifiques de : Gestion des mots de passe, Verrouillage des comptes, Gestion des tickets Kerberos. Soucis d'optimiser la réplication Restructuration prévue, mais plus tard.

Espace de noms des domaines Définition de la racine de la forêt Le premier domaine créé devient la racine de la forêt. Il donne son nom à la forêt. Il héberge deux groupes sensibles : Admins de l'entreprise, Admins du Schéma. Choix d'un domaine Racine : A choisir parmi les domaines définis précédemment, Ou à créer pour les besoins de la cause.

Espace de noms des domaines Nommage des domaines Tout domaine AD est repéré par un nom DNS. Domaines AD vs Domaines DNS Domaine AD  Organisation logique des objets AD, Domaine DNS  Localiser des hôtes et des services. Nom du domaine racine : Détermine l'espace de nom de tout l'arbre, Ne peut pas être modifié de façon simple, Doit permettre d'intégrer de façon harmonieuse toutes les entités présentes et à venir de l'arbre.

Espace de noms des domaines Règles de nommage Affecter un nom à chaque domaine, en partant de la racine de chaque arbre. Ne pas s'écarter des "standards" RFC 1123 : A  Z ; 0  9 ; - Eviter Unicode, Utiliser des noms DNS enregistrés Draft ".local" a été abandonné. Préférer les noms courts

Espace de noms des domaines Espaces de noms privés et publics Quel nom pour la Racine ? Tfc.fr ? Vieuxchaudron.fr ? Eviter les recouvrements : En choisissant des noms différents, En choisissant un sous domaine du domaine public

Topologie d'OU Rôles des unités organisationnelles Les OU peuvent servir à : Organiser les objets, Ne pas tout montrer à tout le monde, Définir des périmètres de délégation, Définir des périmètres d'application pour les GPO. Une OU contient des objets et pas des références à des objets. Une OU n'est pas un « Security Principal »

Topologie d'OU Consignes de conception Hiérarchie définie en fonction : Des emplacements, De l'organisation, Des postes. Hiérarchie hybride définie en fonction : Des emplacements, puis de l'organisation, De l'organisation, puis des emplacements.

Topologie d'OU Les OU sont faites pour faciliter la vie des administrateurs, pas celle des utilisateurs. Penser en termes d'organisation administrative : Qui gère quoi ? Qui décide de qui gère quoi ? Préférer les arbres larges plutôt que profonds. Affiner la topologie plus tard reste possible : Facile à créer, déplacer, supprimer, renommer, Point délicat : évaluer les conséquences sur la délégation et l'application des stratégies de groupes (GPOs).

Topologie d'OU Notion de site Active Directory Qu'est-ce qu'un site ? Ensemble de machines "bien communicantes« , Défini comme un agrégat de subnets IP, Suppose un subnetting géographique. Qui utilise les sites ? Station  localiser un DC proche. KCC  limiter le trafic de réplication sur liaisons lentes. Client DFS  localiser un répliqua proche. Utilisateur  localiser une imprimante proche.

Topologie d'OU Définition d’une topologie de réplication Qui réplique avec qui ? Tout automatique : le KCC est livré à lui-même. Semi-automatique : Fournir quelques indices au KCC : Créer manuellement quelques connexions, Ajouter des liens de site, Désigner des têtes de pont. Tout manuel : Créer toutes les connexions manuellement, Inhiber le KCC : Q242780.

Topologie d'OU Réplication inter sites et intra sites La réplication Intra site passe à 15 s de fréquence en mode de domaine Windows 2003

Topologie d'OU Quelques règles simples Dans le cas de Windows 2003, sur chaque site, prévoir : Un Global Catalog Server De préférence tête de pont, Ne doit pas être Infrastructure Master. Du DNS qui marche ! Eviter de créer des sites sans DC. Toute correction reste possible : Créer/Supprimer des sous réseaux, Ajouter/Supprimer des sites et des liens de site, Affecter des serveurs à des sites,  Surveiller le journal "Active Directory" !

Agenda Concepts et évolutions apportées par Windows Server 2003 Conception de l'espace de noms Active Directory Planification des services Les stratégies de groupes Conclusion / Q&A

Planifier les services DNS et Active Directory Active Directory a besoin de DNS pour : Résoudre des noms d'hôtes, Localiser des services : Serveurs ldap (DC), Serveur de Catalogue Global. Pour supporter Active Directory : Le Primaire et les Secondaires doivent gérer les enregistrements de services SRV BIND  4.9.6 Le Primaire devrait savoir gérer les mises à jour dynamiques BIND  8.2.1

Planifier les services Planifier DHCP et WINS Pour que les clients Windows 2000 résolvent les noms des clients pré-Windows 2000 : Activer le forwarding WINS pour la zone AD, ou Activer le mandatement DHCP pour que les clients pré-Windows 2000 s'enregistrent dans DNS. Pour que les clients pré-Windows 2000 résolvent les noms des clients Windows 2000 : Leur attribuer l'adresse du serveur DNS via DHCP.

Agenda Concepts et évolutions apportées par Windows Server 2003 Conception de l'espace de noms Active Directory Planification des services Les stratégies de groupes Conclusion / Q&A

Concepts et Fonctionnement Local Site Domain 2 3 1 OU 4 Le positionnement de la machine ou de l’utilisateur dans Active Directory détermine les stratégies de groupe (GPO) qui seront appliquées Les GPO sont appliquées au logon(utilisateur) ou au redémarrage (station) et rafraîchies régulièrement. Les GPOs sont comparables aux stratégies système de NT 4.0, mais Possibilité de cibler de manière plus efficace Par la structuration des OU Par groupe de sécurité Par filtrage WMI De définir des GPO sur plusieurs niveaux Local Site Domaines OU (LSDOU) Pas de « tatouage » du Registre Possibilité de contrôler les droits d’accès sur les ressources disques (ACL) S’appliquent : Au poste et/ou à l’utilisateur Concernent : Le déploiement des applications, Les paramètres système (sécurité, scripts, IE et re-direction des dossiers), Les modèles administratifs (composants Windows, menu démarrer, bureau, panneau de configuration, réseau, système…) extensibles (Office 2000). Déploiement : Répliquées de façon automatique et selon la topologie de sites mais indépendamment de l’annuaire, Associées aux Site(s), Domaine(s), OU(s). Héritables et cumulatives

Application des stratégies Site GPO’s A4 A5 A1 A2 A3 A Domaine Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines. Les GPOs sont par domaine. Plusieurs GPO peuvent être associées avec un unique SDOU. Plusieurs SDOU peuvent utiliser une GPO unique. Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur). L’application d’une GPO peut être filtrée au moyen de groupes de sécurité (ACLs). B GPO’s B1 B2 Domaine OU’s B3 OU’s A1 A2 Les GPOs sont par domaine Plusieurs GPO peuvent être associées avec un unique SDOU Les GPO ne sont pas héritées entre domaines Lent Plusieurs SDOU peuvent utiliser une unique GPO Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur) L’application d’une GPO peut être filtré au moyen de groupes de sécurité (ACLs)

Mise en oeuvre des stratégies de groupe La plupart des GPO ont 3 états Activé Désactivé Non configuré Les GPOs ont 2 “noeuds” de configuration (sections) Utilisateur Machine PS: Les paramètres “Machines” priment sur ceux “Utilisateur” Pour recevoir une GPO, le compte machine ou utilisateur : Doit être dans le S-D-OU qui a un lien vers la GPO, Doit avoir la permission “Lire et appliquer les stratégies de groupe (Read and Apply Group Policy)” sur la GPO. Prise en charge par les systèmes Windows 2000, Windows 2003 et Windows XP Les GPOs sont traitées dans l’ordre par défaut : Les paramétrages locaux sont appliqués puis : Site, Domaine, OU – toutes les GPOs d’une arborescence d’OU sont traitées.

Traitements des stratégies de groupes (1/2) L’ordre d’application va dicter la résolution des conflits de paramétrage Conflits possibles entre les paramétrages Activé et Désactivé Pas de conflit avec le paramétrage Non configuré La dernière GPO traitée impose ses paramètres en cas de conflits L’ordre de traitement des GPO peut être modifié en : Bloquant l’héritage des GPOs, Cochant la case “Ne pas passer outre”, Évitant de modifier l’ordre de traitement par défaut.

Traitements des stratégies de groupes (2/2) Filtrer l’étendue d’une stratégie de groupe Permission par défaut sur les GPOs – Utilisateurs authentifiés Read and Apply Group Policy Supprimer Utilisateurs authentifiés Créer des groupes de sécurité basés sur les paramétrages de l’objet stratégie de groupe Accorder des permissions aux groupes adéquats Filtrage de sécurité vs. OUs Les deux approches permettent de contrôler l’étendue d’application d’une GPO Ne pas mixer les deux approches

Déploiement d’applications Publication (optionnelle) Application «proposée» à l’utilisateur, disponible dans Ajout/Suppression de Programmes, Installation automatique si nécessaire. Assignation (obligatoire) Création des icônes et raccourcis, Installation à la première invocation.

Déléguer l’administration Déléguer l’administration des stratégies de groupe Liaisons SDOU Modification GPO Création GPO

Les extensions apportées par Windows 2003 Nouveaux outils GPUpdate GPResult Jeux résultant de stratégie (RSoP) Mode journalisation uniquement Centre d’aide et de support Informations système détaillées - Stratégie Rapport sur les paramètres appliqués Également disponible sous Windows XP

Vue d’ensemble des stratégie de groupe Demonstration

Les apports de Windows Server 2003 Filtres WMI Alternative au filtrage par les permissions, Application du GPO basée sur : Le système d’exploitation, Des pré requis matériels, Les logiciels installés, Toute information fournie par WMI. Utilise WQL (WMI Query Language). WQL Langage de requète proche de SQL SELECT * FROM Win32OperatingSystem WHERE Caption LIKE “Windows XP Pour les développeurs et créateurs de scripts Voir le SDK WMI pour une documentation complète Pour les administrateurs et créateurs occasionnels de scripts Voir le livre blanc “Technical Overview of Management Services”, Appendice B pour obtenir des exemples, Télécharger l’outil “Scriptomatic” du site Technet, Voir la rubrique d’aide pour le filtrage WMI dans la console de gestion des stratégies de groupe.

Filtres WMI Compatibilité Clients Windows XP Pro et au-delà. L’annuaire Active Directory doit être configuré (modification de schéma) pour être conforme avec Windows Server 2003 MAJ du schéma pour la forêt : ADPrep.exe /ForestPrep, MAJ de la configuration du domaine : ADprep.exe /DomainPrep, Les DCs peuvent encore être sous Windows 2000.

Filtres WMI Demonstration

Les apports de Windows Server 2003 Console de gestion des stratégies de groupe Réduit Le nb d’outils, La complexité. Améliore La clarté, La flexibilité.

Console de gestion des stratégies de groupe Tâches et outils La mise en oeuvre des stratégies de groupe peut être complexe Stratégie par défaut assez simple, Le blocage d’héritage, “Ne pas passer outre”, le filtrage par permissions, le filtrage WMI, la délégation de droits peuvent rendre les stratégies de groupe difficiles à gérer. Plusieurs outils Utilisateurs et Ordinateurs Active Directory (Dsa.msc), Sites et Services Active Directory (Dssite.msc), etc… Création de GPOsGP Editor, Dsa.msc, Dssite.msc Modification de GPOsGP Editor, Dsa.msc, Dssite.msc Lier des GPOsDsa.msc, Dssite.msc Délégation de droitsDsa.msc, Dssite.msc Résolution de problèmesGpresult.exe, RSoP Test des stratégiesn/aCopie des GPOsn/a Sauvegarde des GPOsNTBackup.exe Restauration des GPOsDirectory Services Restore Mode, NTBackup.exe, NTDSUtil

Console de gestion des stratégies de groupe Consolidation La console de gestion des stratégies de groupe Consolide des fonctions de différents outils, Fournit une vision claire de l’organisation des stratégies de groupe, Permet de clarifier les relations entre GPOs et SDOUs, Regroupe les tâches possibles concernant les stratégies de groupe de façon logique. La console de gestion des stratégies de groupe introduit les services suivants : Sauvegarde / Restauration, copie, import. Il est possible de sauvegarder les GPOs avec la console de gestion des stratégies de groupe Par répertoire, Sauvegardes multiples, Ne sauvegarde que les GPOs, pas les liens, les filtres WMI ou les stratégies IPsec. Les GPOs peuvent être restaurées Dans le même domaine, Ecrase les GPOs existantes, Permet de restaurer une GPO effacée, Préserve les GUIDs.

Mise en oeuvre des stratégies de groupes Préparation Domaine de préparation Permet le test des stratégies de groupe Copie des GPOs entre domaines d’une même forêt Sauvegarde et import entre domaines de forêts différentes L’import nécessite que la GPO cible existe déjà Tables de migration Mise en correspondance des valeurs “hard codées” (chemins d’accès, identités de sécurité) du domaine de préparation avec celles du domaine de production Ex : modification des chemins d’accès pour le déploiement d’applications

Les apports de Windows Server 2003 Planification des stratégies Windows XP Journalisation des stratégies, Rapport sur les paramètres issus de l’application des stratégies sur un poste. Windows Server 2003 Planification des stratégies, Rapport sur l’application des stratégies suivant le positionnement de l’objet utilisateur et ordinateur dans Active Directory. Nécessite un DC sous Windows Serveur 2003. Permet de définir de nombreux scénarios : Appartenance à un groupe de sécurité, positionnement des objets machine et utilisateur dans des OUs, application de filtres WMI.

Utiliser la console de gestion des stratégies de groupe Demonstration

Les apports de Windows Server 2003 Utilisation de scripts Interfaces de scripting de la console de gestion des stratégies de groupe Automatise des tâches de gestion des stratégies, Permet la création d’outils de gestion, Ne permet pas d’automatiser des modification des GPOs. Toutes les fonctionnalités apportés par la console de gestion des stratégies de groupe sont supportées : Recherche, Sauvegarde / Restauration / Import, Gestion des tables de migration, Gréation / Suppression de GPO, Gestion des liens GPO, Gestion des permissions, Création / Transfert de structure d’OU et GPOs.

Administration par script des stratégies Demonstration

Planifier les stratégies de groupe Bonnes pratiques Limiter le nombre de stratégies de groupe traitées lors de la connexion d’un utilisateur, Isoler les paramétrages dans différentes GPOs, Désactiver les “noeuds” non utilisés (utilisateur/ordinateur), Limiter les conflits de paramétrages (utilisateur/ordinateur), Utiliser la console de gestion des stratégies de groupe.

Mise en oeuvre des stratégies de groupes Bonnes pratiques Éviter les liens de GPOs entre domaines, Lier les GPOs à des OUs, non à des sites, Limiter les moyens de contrôle de l’étendue d’une GPO OU, filtrage par permission, filtre WMI Pour le filtrage par permission, utiliser l’approche de tout interdire par défaut, Ne pas trop modifier l’héritage des GPOs.

Conclusion Les choix lors de la conception d’un annuaire Active Directory sont fondamentaux Windows Server 2003 apporte plus de souplesse : Pour le déploiement, Pour l’administration. Les stratégies de groupe sont un moyen puissant de contrôler un environnement Windows. Windows Server 2003 ne modifie pas fondamentalement les stratégies de groupe, mais apporte : Les filtres WMI, La console de gestion des stratégies de groupe.

Se former… Tous les cours sur Windows 2000 Server / Windows Server 2003, et les centres de formation dans votre région sont sur : http://www.microsoft.com/france/formation Livres Microsoft Press sur Windows 2000 Server et Windows Server 2003 : http://www.microsoft.com/france/mspress Newsgroups : http://www.microsoft.com/france/communautes/webnews/France/default.mspx?dg=microsoft.public.fr.windows.server&lang=fr&cr=FR&r=4ebff0f5-0e74-499d-874f-a7197b08b375

Questions / Réponses

Votre potentiel, notre passion… A bientôt et merci d’être venus... Votre potentiel, notre passion… © 2003 Microsoft France Marketing Technique