Administration d'un serveur Windows 200x Partie 2 Server Administration d'un serveur Windows 200x Partie 2 Yonel GRUSSON
Sommaire Première Partie Les outils : Les consoles d'administration Mode Natif / Mode Mixte L'Active Directory Création d'un compte d'utilisateur Création d'une unité organisationnelle Déplacement d'un objet dans l'Active Directory Yonel GRUSSON
Sommaire L'Active Directory Les Groupes Type, étendue et contenu des groupes Les groupes prédéfinis Création d'un groupe Ajout dans un groupe Partage et publication d'un dossier partagé Yonel GRUSSON
Sommaire Seconde Partie Stratégies de groupe Les Quotas Distributed File System (DFS) Les relations d'approbation Yonel GRUSSON
Les stratégies de sécurité Une stratégie de groupe ou GPO (*) est un ensemble de paramètres applicable à des utilisateurs, des groupes d'utilisateurs ou des ordinateurs. Une GPO peut être définie pour un ordinateur local, un site, un domaine ou une unité organisationnelle. (*) GPO = Group Policy Object (Policy = Politique) Yonel GRUSSON
Les stratégies de sécurité La stratégie s'impose à TOUS les objets situés dans le conteneur où est appliquée cette stratégie (ordinateur local, OU, site ou domaine). Les GPO sont des objets de l'Active Directory. Yonel GRUSSON
Les stratégies de sécurité Les stratégies de groupe supportent l'héritage. Par défaut, si aucune stratégie n'est définie sur un conteneur, les stratégies du conteneur parent s'appliquent. L'ordre d'application est le suivant : site, domaine et unité organisationnelle (note : des UOs peuvent être imbriquées). Yonel GRUSSON
Les stratégies de sécurité En l'absence de conflit, il y a cumul des stratégies. En cas de conflit, l'ordre de préséance est : Stratégie de l'UO Stratégie du domaine Stratégie du site Stratégie de l'ordinateur local Il s'agit de la stratégie la plus proche de l'objet Yonel GRUSSON
Les stratégies de sécurité Création ou Modification au niveau d'un SITE : Yonel GRUSSON
Les stratégies de sécurité Création ou Modification au niveau d'un SITE : Yonel GRUSSON
Les stratégies de sécurité Création ou Modification au niveau d'un DOMAINE : Yonel GRUSSON
Les stratégies de sécurité Création ou Modification au niveau d'un DOMAINE : On modifier la GPO par défaut ou en créer une nouvelle (cumul) Yonel GRUSSON
Les stratégies de sécurité Création ou Modification au niveau d'une UO : Yonel GRUSSON
Les stratégies de sécurité Création ou Modification au niveau d'une UO : Yonel GRUSSON
Les stratégies de sécurité Création ou Modification au niveau d'une UO : Il est possible de réutiliser une GPO défini sur un autre objet Yonel GRUSSON
Les stratégies de sécurité Consoles dans les outils d'administration : Cette console concerne l'UO des contrôleurs de domaine (Domain Controlers) de l'Active Directory Yonel GRUSSON
Les stratégies de sécurité Consoles dans les outils d'administration : Cette console est équivalente à : "Paramètres Windows" sous la "Configuration ordinateur" de la GPO définie sur l'UO "Domain Controlers" Yonel GRUSSON
Les stratégies de sécurité Consoles dans les outils d'administration : Yonel GRUSSON
Les stratégies de sécurité Consoles dans les outils d'administration : Cette console est équivalente à : "Paramètres Windows" sous la "Configuration ordinateur" de la GPO définie sur le domaine Yonel GRUSSON
Les stratégies de sécurité Aperçu de quelques sécurités Il est impossible de passer en revue toutes les stratégies de sécurité (Windows 2003 en propose 220 de plus que Windows 2000) . Chacune d'elle est associée à une aide qu'il faut consulter. Yonel GRUSSON
Les stratégies de sécurité D'une façon générale les différentes stratégies que l'on peut mettre en place sont : Paramètres logiciel : Pour permettre la diffusion et le déploiement de logiciels pour des utilisateurs et des ordinateurs. Modèles d'administration : Pour paramétrer l'environnement des utilisateurs (niveau d'accès au panneau de configuration, les quotas de disques, etc.) Yonel GRUSSON
Les stratégies de sécurité Les modèles d'administration utilisent des fichiers ".adm". Ces fichiers modèles permettent de créer 2 fichiers Registry.pol qui lors de la connexion d'un utilisateur viennent modifier la base de registre de la station. Un fichier modifie HKEY_CURRENT_USER et l'autre HKEY_LOCAL_MACHINE. Yonel GRUSSON
Les stratégies de sécurité Les paramètres des modèles d’administration proposent les options suivantes : Non Configurée : Windows ignore ce paramètre et aucune modification n'est apportée dans la base de registre Activée : le paramètre est activé et la valeur est ajoutée dans Registry.pol Yonel GRUSSON
Les stratégies de sécurité Désactivée : le paramètre est désactivé et la valeur est ajoutée dans Registry.pol <Valeur> : Pour certains paramètres une ou des valeurs peuvent être ajoutées. Rappel : Le modèles d'administration qui configure l'environnement de l'utilisateur est chargé sur la station Yonel GRUSSON
Les stratégies de sécurité Les Scripts : Pour permettre l'exécution de scripts soit à l'ouverture ou la fermeture d'une session soit au démarrage ou l'arrêt d'un ordinateur. La sécurité : Pour définir les différentes stratégies de sécurité comme les mots de passe, l'audit, etc. La redirection de répertoire : Pour rediriger certains répertoire des utilisateurs (menu démarrer, bureau, etc.) Yonel GRUSSON
Les stratégies de sécurité Stratégies sur le domaine…. Yonel GRUSSON
Les stratégies de sécurité Configuration Ordinateur Permet à l'administrateur de définir des stratégies appliquées aux ordinateurs quelque soit l'utilisateur qui ouvre une session Configuration Utilisateur Permet à l'administrateur de définir des stratégies appliquées aux utilisateurs quelque soit l'ordinateur sur lequel ils ouvrent une session Yonel GRUSSON
Les stratégies de sécurité Quand les stratégies définies ne concernent qu'une seule partie, il est possible de désactiver l'autre. Yonel GRUSSON
Les stratégies de sécurité Paramètres du logiciel Permet le déploiement et la diffusion de logiciels sur des ordinateurs (pour tous les utilisateurs) ou auprès des utilisateurs Yonel GRUSSON
Les stratégies de sécurité Paramètres Windows de l’ordinateur L’ordinateur est dans ce cas un serveur ces stratégies sont donc importantes car elles proposent de nombreuses sécurités liées aux connexions et d’une façon générale à la gestion du réseau. Yonel GRUSSON
Les stratégies de sécurité Paramètres Windows Tenir compte de l'option "N'expire jamais" dans les propriétés de l'utilisateur Yonel GRUSSON
Les stratégies de sécurité Yonel GRUSSON
Les stratégies de sécurité Seuil de verrouillage : Nombre de tentatives d'ouverture de session infructueuses autorisées Durée de verrouillage : Nombre de minutes pendant lequel le compte reste verrouillé (la valeur 0 = Verrouillage permanent – Intervention de l'administrateur) Réinitialiser le compteur : Nombre de minutes après lequel le compteur des tentatives est remis à 0. Délai de réinitialisation <= Durée de verrouillage Yonel GRUSSON
Les stratégies de sécurité Stratégie Kerberos Yonel GRUSSON
Les stratégies de sécurité Auditer certains évènements … Yonel GRUSSON
Les stratégies de sécurité Les droits des utilisateurs… Yonel GRUSSON
Les stratégies de sécurité Autres options de sécurité… Yonel GRUSSON
Les stratégies de sécurité Paramétrages du journal des évènements… Yonel GRUSSON
Les stratégies de sécurité Paramètres Windows de l’utilisateur Yonel GRUSSON
Les stratégies de sécurité Répertoire par défault Scripts d’ouverture et de fermeture de session pour tous les utilisateurs. Ne pas confondre avec les scripts de connexion individuel. Yonel GRUSSON
Les stratégies de sécurité Yonel GRUSSON
Les stratégies de sécurité Le répertoire désigné contiendra les icônes du bureau Yonel GRUSSON
Les stratégies de sécurité Configuration individuelle d’IE Yonel GRUSSON
Les stratégies de sécurité Les modèles d’administration de l’ordinateur Yonel GRUSSON
Les stratégies de sécurité Il s’agit de la configuration générale d’I.E Yonel GRUSSON
Les stratégies de sécurité Yonel GRUSSON
Les stratégies de sécurité Les modèles d’administration de l’utilisateur Partie importante car ces modèles permettent à l’administrateur de configurer l’environnement de travail des utililisateurs Yonel GRUSSON
Les stratégies de sécurité Yonel GRUSSON
Les stratégies de sécurité Stratégies sur une Unité Organisationnelle On retrouve les mêmes éléments mais ils s’appliqueront uniquement aux objets contenus par cette UO (ordinateurs et/ou utilisateurs Yonel GRUSSON
Les QUOTAS Les QUOTAS permettent à l'administrateur de limitée l'espace disque d'un utilisateur. Les QUOTAS sont activés au niveau d'un disque (ou partition). Ils peuvent être plus ou moins restrictifs Yonel GRUSSON
Les QUOTAS Yonel GRUSSON
Les QUOTAS Yonel GRUSSON
Les QUOTAS Activation des quotas Règles qui s'appliquent à l'utilisateur qui ne dispose d'aucune entrée de quota Yonel GRUSSON
Les QUOTAS Entrée de Quota Yonel GRUSSON
Les QUOTAS Entrée de Quota Yonel GRUSSON
Distributed File System - DFS Le système DFS permet à l'administrateur de regrouper les différentes ressources partagées d'un ou plusieurs utilisateurs sous un seul partage. Intégrée à l'Active Directory une ressource DFS rend tous les partages transparents pour les utilisateurs. Yonel GRUSSON
Distributed File System - DFS Application : L’adminstrateur désire présenter ces 2 partages à l’aide d’une seule connexion réseau Yonel GRUSSON
Distributed File System - DFS Images capturée sous 2003 – Les interfaces 2000 sont très peu différentes Yonel GRUSSON
Distributed File System - DFS Yonel GRUSSON
Distributed File System - DFS Si le partage "Gibson" n'existe pas l'assistant vous demande de le créer Yonel GRUSSON
Distributed File System - DFS Ajout des autres partages sous la racine : Yonel GRUSSON
Distributed File System - DFS Yonel GRUSSON
Distributed File System - DFS Sur le disque du serveur on trouve : Chrono et Dossiers sont ici des lien et non des répertoires Yonel GRUSSON
Distributed File System - DFS Utilisation par un utilisateur : Yonel GRUSSON
Distributed File System - DFS Publication dans l'Active Directory Yonel GRUSSON
Distributed File System - DFS Il est possible d’imbriquer les racines DFS Yonel GRUSSON
Distributed File System - DFS Il y a 2 types de racines DFS : Racine Autonome : Racine implanté sur un serveur, elle n'utilise pas l'Active Directory (différent de la publication citée précédemment). Racine de Domaine : Racine implantée dans l'Active Directory qui prend en charge la réplication des fichiers Yonel GRUSSON
Les Relations d'Approbations Le Problème…. Que doit faire l'administrateur du domaine D1 pour permettre à un utilisateur X de ce domaine d'utiliser la ressource R du domaine D2 ? Domaine D2 Domaine D1 R X Yonel GRUSSON
Le Problème…. Première solution : L'utilisateur X est déclaré une seconde fois sur le domaine D2. Mais il s'agit d'un autre utilisateur, même avec le même nom et un mot de passe identique. Il y a une redondance qui oblige l'utilisateur à gérer ses connexions. Il est aussi possible de dupliquer la ressource (pas toujours possible, problème de licence,etc. Seconde solution : Mise en place d'une relation d'approbation Yonel GRUSSON
La Relation d'Approbation Une relation d'approbation permet à un domaine (D2) de reconnaître (approuver) tous les comptes d'un autre domaine (D1) * D2 approuve D1. * D2 est le domaine approbateur. Domaine D2 Domaine D1 Ensemble des ressources Ensemble des utilisateurs * D1 est approuvé par D2 Yonel GRUSSON Flèche : Des ressources vers les utilisateurs
La Relation d'Approbation Avec une relation d'approbation, un utilisateur du domaine D1 : Se connecte et est authentifié par D1 (il ne figure pas dans l'Active Directory de D2). Utilise les ressources de D2. Pour cela il faut que l'administrateur de D2 affecte des permissions sur les ressources de D2 pour les groupes et/ou utilisateurs de D1. Rappel : La relation d'approbation seule donne un droit d'accès au domaine et non un droit d'utiliser les ressources de ce domaine. Yonel GRUSSON
La Relation d'Approbation L'administrateur d'un domaine peut donc être amené à : Demander l'approbation de son domaine. En général c'est l'administrateur des utilisateurs ''demandeurs'' qui réclame que son domaine soit approuvé Approuver un autre domaine. En général à la suite d'une domaine d'approbation (cas précédent) Yonel GRUSSON
La Relation d'Approbation L'administrateur d'un domaine peut donc être amené à : Gérer les permissions sur ses ressources pour les utilisateurs d'un domaine approuvé. A partir du moment ou une relation d'approbation à été mise en place, la fenêtre de connexion de l'utilisateur présentera tous les domaines concernés. Yonel GRUSSON
La Relation d'Approbation Dans la mise en place des relations d'approbation, il faut bien distinguer les systèmes : NT4 Server. Aucune relation d'approbation n'est crée automatiquement. L'administrateur doit les implanter (cf. cours NT4). Windows 2000 et 2003 Server. Depuis Windows 2000 Server, des approbations bidirectionnelles transitives sont crées à la création d'un sous-domaine ou l'ajout d'un arbre de domaine dans une forêt. Les relations créées par l'administrateur seront dites explicites. Yonel GRUSSON
La Relation d'Approbation D1 Approuve D2 Domaine D1 Domaine D2 D2 Approuve D1 D3 Approuve D2 Bidirectionnelle : D1 Approuve D2 et D2 Approuve D1 Transitive : D1 approuve D2 et D2 approuve D3 donc D1 approuve D3 Attention : Entre les domaines NT les relations d'approbation ne sont jamais transitives D2 Approuve D3 Domaine D3 Yonel GRUSSON
La Relation d'Approbation Observation d'une situation : Yonel GRUSSON
La Relation d'Approbation gestion.ab (domaine 2000) peda approuve gestion.ab peda (domaine NT4) Gestion.ab approuve peda Les relations créées par l'administrateur sont dites EXTERNES tsinfo.ab approuve gestion.ab gestion.ab approuve tsinfo.ab tsinfo.ab (domaine 2000) Yonel GRUSSON
Création d’une relation d’approbation Premier exemple : Entre un domaine NT4 nommé peda et un domaine Windows 2003 nommé clapton.sts. L'administrateur du domaine clapton.sts désire que les utilisateurs de son domaine puissent utiliser les ressources du domaine peda c'est à dire d'être authentifiés par ce domaine. Il va demander à être approuvé par ce domaine Yonel GRUSSON
Création d’une relation d’approbation Avec un domaine NT4 (entre le domaine 2003 clapton.sts et le domaine NT4 peda) Yonel GRUSSON
Création d’une relation d’approbation Sur le serveur du domaine clapton.sts : Yonel GRUSSON
Création d’une relation d’approbation Ce mot de passe sera communiqué à l'administrateur du domaine peda afin qu'il puisse (ou non) valider l'approbation Yonel GRUSSON
Création d’une relation d’approbation Yonel GRUSSON
Création d’une relation d’approbation Yonel GRUSSON
Création d’une relation d’approbation Sur le serveur du domaine peda : Yonel GRUSSON
Création d’une relation d’approbation Yonel GRUSSON
Création d’une relation d’approbation Deuxième exemple : Entre 2 domaines Windows 2003 Server. Établissement d'une relation d'approbation bidirectionnelle entre les domaines clapton.sts et serv.bts. serv.bts Serveur : jfcas (domaine 2003) Clapton.sts doit approuver serv.bts Serv.bts doit approuver clapton.sts clapton.sts Serveur : eric Yonel GRUSSON
Création d’une relation d’approbation Remarques : Il y a plusieurs façons de créer une relation d'approbation entre des domaines Windows 200x, en fonction : De l'objectif : relation bidirectionnelle, entrante ou sortante, Des conditions matérielles : domaines appartenant ou non à la même organisation, etc. Yonel GRUSSON
Création d’une relation d’approbation Remarques : Dans l'exemple qui suit, la relation sera créée à partir du domaine clapton.sts (serveur eric) et sera validée directement à partir de ce serveur car l'administrateur de clapton.sts et également administrateur sur serv.bts. Yonel GRUSSON
Création d’une relation d’approbation Condition préliminaire, les serveurs DNS doivent "se voir" mutuellement Yonel GRUSSON
Création d’une relation d’approbation Yonel GRUSSON
Création d’une relation d’approbation Résumé de l'opération Yonel GRUSSON
Création d’une relation d’approbation Yonel GRUSSON
Création d’une relation d’approbation Yonel GRUSSON
Création d’une relation d’approbation On obtient sur le domaine serv.bts : Yonel GRUSSON
Création d’une relation d’approbation Yonel GRUSSON
Mise à disposition des ressources Attribution de permissions aux utilisateurs du domaine serv.bts : On désire donner des permissions d'accès au utilisateurs du domaine serv.bts sur le répertoire Gibson. Yonel GRUSSON
Mise à disposition des ressources L'administrateur de clapton.sts ne fait pas partie des administrateurs de serv.bts Yonel GRUSSON
Mise à disposition des ressources Domaine A Domaine B Groupe Global Groupe local Le groupe global contiendra les utilisateurs qui désirent utiliser les ressources du domaine A Le Groupe local contiendra le groupe global du domaine B avec éventuellement d'autres utilisateurs et/ou groupes du domaine A Yonel GRUSSON
Mise à disposition des ressources Il est évidemment possible d'ajouter nominativement des utilisateurs du domaine B dans le groupe local du domaine A. Mais dans le cas de domaines éloignés et/ou de domaines administrés par des personnes différentes, il est préférable et plus simple d'utiliser un groupe global intégré dans un groupe local. L'administrateur du domaine B ajoute et supprime des utilisateurs dans le groupe global et ceci sans faire intervenir l'administrateur du domaine A Yonel GRUSSON