Gestion des comptes utilisateurs (Windows 2000) SRIT Lannion Apr-17 Bernadac MP

Gestion des comptes utilisateurs (Windows 2000) Principes généraux d’Active Directory. Structure logique d’Active Directory. Structure physique d’Active Directory. Stratégies de groupe. MMC TP. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Principes généraux d’Active Directory. Structure logique d’Active Directory. Structure physique d’Active Directory. Stratégies de groupe. MMC TP. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory (principes généraux) Définition d’Active Directory : Active Directory (AD) est le service d’annuaire de Windows 2000 Server. Il est destiné à contenir des "objets": utilisateurs, ordinateurs, applications, données partagées, ... et à être interrogé par d'autres machines. Il permet de centraliser l’organisation, la gestion et le contrôle d’accès aux ressources réseau. Avantages : Intégration avec DNS Flexibilité des requêtes Capacités d’extension Administration par stratégie Adaptabilité Réplication d’information Sécurité des informations Interopérabilité SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory (principes généraux) Active Directory et système DNS : La mise en place de l’Active Directory implique l’utilisation du système DNS comme système de résolution de noms. Les DNS mis en oeuvre ne sont pas les DNS publics et servent à la résolution de noms locaux. AD utilise le système DNS pour servir les trois fonctions principales suivantes : Résolution de noms Traduction du nom en @IP. Définition d’espaces de noms AD utilise les conventions DNS pour nommer les domaines. Localisation des composants physiques d’AD Pour ouvrir une session sur le réseau et exécuter des requêtes dans AD, un ordinateur doit localiser un contrôleur de domaine ou un serveur de catalogue global. La base DNS contient ces informations. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory (principes généraux) Active Directory et système DNS : SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory (principes généraux) Contrôleur de domaine : Un contrôleur de domaine est un ordinateur qui stocke un répliqua de l’annuaire du domaine. Il gère également les modifications apportées aux informations de l’annuaire et les duplique vers d’autres contrôleurs du même domaine. Les contrôleurs de domaine gèrent aussi les processus d’ouverture de session des utilisateurs. Au moins 2 contrôleurs pour un domaine. Pas de contrôleur maître dans un domaine. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory (principes généraux) Rôles spécifiques de certains contrôleurs de domaine : Serveur de catalogue global Opérations principales simples : Uniques au niveau de la forêt : Maître de schéma Maître de dénomination de domaine Uniques au niveau du domaine : Maître d’identificateur relatif Emulateur de contrôleur principal de domaine Maître d’infrastructure SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory : structure logique Structure logique d’AD : Objets Domaines Arborescences Forêts Schéma Unités d’organisation Pour résoudre les noms Internet tels que www.voila.fr par exemple, les postes passent par le proxy dont l’adresse est 172.16.xxx.xxx:xxx. Pour permettre l’utilisation des « Tchat » internet, les postes clients ont besoin d’utiliser les DNS publics, l’option Forwarders sur les DNS locaux a donc été activée. Les valeurs du champs Forwarders sont : xxx.xxx.xxx.xxx et xxx.xxx.xxx.xxx. Les zones DNS A-D.net sur les deux serveurs sont de type Active Directory integrated. A la différence des zones de type standard, les zones intégrées à l’AD sont toutes les deux en en lecture/écriture et permettent des mises à jours automatiques sécurisées. La console de gestion du DNS se trouve dans le menu Start / Programs Administrative Tools / DNS SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory : structure logique Objet : Les objets AD sont des éléments qui constituent un réseau. Un objet est un ensemble d’attributs nommé et circonscrit qui représente un élément concret (utilisateur, imprimante, …). Les attributs d’un objet comportent des données qui permettent de décrire précisément l’objet. Conteneur : Réceptacle pour un ensemble d’objets ou pour d’autre conteneurs. (rien de concret). SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory : structure logique Nom unique : DN (Distinguished Name) Chaque objet dans AD possède un nom unique /DC=NET/DC=Siemens/DC=fr003/OU=SS3/OU=Users/CN=Marie-Pierre Bernadac Nom relatif distinct : RDN (Relative Distinguished Name) Partie du nom unique qui constitue un attribut d’un objet. Identificateur Unique Global : GUID (Global Unique Identifier) Représentation hexa sur 128 bits attribuée aux objets lors de leur création. Nom principal d’utilisateur : UPN (User Principle Name) Nom d’ouverture de session + nom DNS du domaine bma07380@fr003.siemens.net SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory : structure logique Domaine : Ensemble d’objets défini par un administrateur qui partage une même base de données d’annuaire. Sert de limite de sécurité. Unité de duplication Arborescence : Organisation hiérarchique d’objets, de conteneurs, de domaines. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory : structure logique Forêt : Regroupement d’arborescences qui ne partagent pas un espace de noms contigus. Tous les arbres d’une forêt partagent un même schéma et un même catalogue global. Tous les arbres d’une forêt s’accordent une confiance mutuelle par l’intermédiaire de relations d’approbations transitives et hiérarchiques. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory : structure logique Schéma : Le schéma est une description des classes d’objets et de leurs attributs. Le schéma est stocké dans AD (et non comme un fichier texte) Consultation à partir de AD Mise à jour dynamique dans AD (création ou modification d’objets du schéma) Deux types de définition : Les classes (objets d’annuaire qui peuvent être créés) Les attributs (une classe est une collection d’attributs) SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory : structure logique Unité d’organisation (OU): Objet conteneur utilisé pour organiser les objets d’un domaine. Une OU contient des objets tels que des utilisateurs, des ordinateurs, des imprimantes, des groupes, d’autres OU… Le contrôle administratif des OU peut être délégué (partiellement ou totalement) SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Active Directory : structure physique Dans AD la structure physique est séparée de la structure logique. La structure logique est utilisée pour organiser les ressources réseau. La structure physique est utilisée pour configurer et gérer le trafic réseau. Elle se compose de sites et de contrôleurs de domaine. Elle définit le lieu et le moment où est généré le trafic lié à la duplication et aux ouvertures de session. Site : Combinaison de un ou plusieurs sous réseaux IP connectés par une liaison à grande vitesse. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Compte utilisateur : Un compte utilisateur permet d’authentifier un utilisateur sur le réseau. La création d’un compte utilisateur peut se faire grâce à la MMC « Utilisateurs et ordinateurs AD » sur n’importe quel DC. Compte ordinateur : Un compte ordinateur permet d’authentifier un ordinateur sur le réseau. Un ordinateur doit disposer d’un compte d’ordinateur valide pour intégrer le domaine. Groupes : Les groupes facilitent l’administration et permettent d’accorder des autorisations à un groupe plutôt qu’à plusieurs utilisateurs. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Stratégies de groupe La stratégie de groupe est la technologie qui permet de gérer les environnements d’ordinateurs en appliquant des paramètres de configuration à des comptes d’ordinateur et d’utilisateur. Elle permet de définir en une seule fois une condition pour un ordinateur ou un utilisateur (condition respectée de façon permanente). Exemples: Paramètres d’application, présentation du bureau, comportement des services. Paramètres de sécurité du réseau, des domaines et des ordinateurs locaux. Gestion centralisée de l’installation des logiciels et des mises à jour. Scripts de démarrage ou d’arrêt des ordinateurs d’une OU. Stockage des dossiers des utilisateurs sur le réseau. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Stratégies de groupe Application des stratégies de groupe : Les paramètres de stratégie de groupe peuvent être appliqués à un domaine, à des unités d'organisation ou à des sites. L'application d'un objet Stratégie de groupe (GPO, Group Policy Object) au domaine définit la manière dont les ressources du domaine peuvent être configurées et utilisées. Ces stratégies sont appliquées uniquement au sein d'un même domaine. Elles ne sont pas transmises d'un domaine à un autre. Le système applique les paramètres de configuration de stratégie de groupe aux ordinateurs au moment de l'amorçage et aux utilisateurs lorsqu'ils ouvrent une session. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) Stratégies de groupe Ordre de traitement des stratégies de groupe : L’ordinateur démarre : Les paramètres de la section Configuration ordinateur sont traités de façon séquentielle en commençant par le conteneur le plus éloigné de celui qui contient le compte d’ordinateur. Les scripts de démarrage s’exécutent de façon séquentielle. Tous les GPO sont traités avant l’affichage de l’écran d’ouverture de session. L’utilisateur ouvre une session : Les paramètres de la section Configuration utilisateur sont traités simultanément. Les scripts d’ouverture de session s’exécutent et l’interface utilisateur est lancée simultanément. Actualisation des paramètres de la console Stratégie de groupe : Toutes les 90 minutes sur les ordinateurs clients. Toutes les 5 minutes sur les DC. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) MMC La MMC (Microsoft management Console) est l’un des principaux outils d’administration permettant la gestion de Windows 2000. Elle permet de créer, sauvegarder et ouvrir les outils administratifs. C’est un programme qui héberge des applications de gestion appelées composants logiciels enfichables. Il existe 2 types de consoles MMC : Consoles pré configurées. Consoles personnalisées. SRIT Lannion Apr-17

Gestion des comptes utilisateurs (Windows 2000) MMC SRIT Lannion Apr-17