Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
IFAPME X41 Administrateur serveur
Module 7 Active Directory Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
2
Active Directory Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
3
Service d’annuaire Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
4
Annuaire Un annuaire est une source d'information utilisée pour stocker des informations sur certains objets importants, comme par exemple un annuaire téléphonique contenant les numéros des abonnés. Dans un système informatique, il existe de nombreux objets intéressants comme des imprimantes, des serveurs d’impression, des bases de données et d'autres utilisateurs. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
5
Service d’annuaire Un service d’annuaire constitue à la fois la source d’information et les services rendant cette information disponible et exploitable. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
6
Active Directory Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
7
Active Directory Active Directory est le service d'annuaire fourni par Microsoft Windows. Il résulte de l'évolution de la base de compte plane SAM. Ce service est disponible depuis la version Windows 2000 Server. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
8
Rôle principal Le rôle principal d'Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
9
Avantages d’Active Directory
Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
10
Avantages Centralisation des données Standardisation Évolutivité
Sécurité Extensibilité Indépendance du réseau physique Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
11
Centralisation des données
Active Directory répertorie tous les éléments d'un réseau administré tels que les comptes utilisateurs, les ordinateurs, les serveurs, les dossiers partagés, les imprimantes, etc. La centralisation des données fourni un point unique d’administration et de recherche de ressources. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
12
Standardisation Le service d’annuaire propose l’accès à ses données via des normes ouvertes. Microsoft propose des protocoles d’accès standardisés comme LDAP (Lightweight Directory Access Protocol) permettant l’interrogation et la modification du service d’annuaire. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
13
Évolutivité Active Directory est capable d’assurer la croissance du réseau. Le service d’annuaire Microsoft supporte des bases de données énormes: 2 billions d’objets par contrôleur de domaine Environ 1 billion d’identifiants uniques de sécurité (SID) 999 stratégies de groupe (GPO) par utilisateur, ordinateur ou groupe Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
14
Sécurité Le trafic est signé et crypté.
L’authentification est garantie par Kerberos, SSL et par les certificats X.509. Active Directory permet la création de contrôles d’accès pour chacun des objets de l’annuaire. Les stratégies de sécurité peuvent être appliquées à l’échelle de sites, domaines ou unités organisationnelles. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
15
Extensibilité Active Directory permet aux gestionnaires et logiciels d’ajouter toutes sortes de données en fonction des besoins. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
16
Indépendance du réseau physique
Le service d’annuaire rend la topologie physique du réseau transparente et permet l’accès à une ressource indépendamment de l’emplacement physique sur le réseau. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
17
Concepts importants Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
18
Portée La portée de Active Directory est vaste.
Il peut inclure tout objet isolé (imprimante, fichier, utilisateur), tout serveur et tout domaine d'un réseau étendu (WAN) isolé. Il peut aussi inclure plusieurs réseaux étendus associés. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
19
Espace de noms Active Directory constitue un espace de noms dans lequel le nom d'un objet de l'annuaire peut être résolu pour obtenir l'objet lui- même. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
20
Topologie logique Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
21
Les objets Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
22
Les objets L’objet dans Active Directory représente une ressource unique, comme par exemple un utilisateur ou un ordinateur. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
23
Les attributs d’objets
Un objet est en fait un ensemble d’attributs tel que le nom, le prénom, le mot de passe, l'appartenance à un groupe,… Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
24
Les classes d’objets Les attributs d’un objet sont définis par une classe d’objets. Les classes d’objets permettent de regrouper les objets d’après leurs similitudes. Ainsi, tous les objets « ordinateur » sont définis par la classe « ordinateur » Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
25
Le schéma Active Directory
Le schéma contient les définitions formelles de chaque classe (et donc chaque attribut d’objet) existant dans Active Directory. Le schéma est protégé par des listes de contrôles d’accès (Access Control Lists – ACL). Il est déconseillé d’apporter des modifications au schéma. Les erreurs de modification de schéma peuvent entraîner la perte et l’altération de données. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
26
Les domaines Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
27
Les domaines Sur un poste de travail isolé, le domaine est l'ordinateur lui-même. Un domaine est une partition dans une forêt Active Directory. Un domaine peut recouvrir plusieurs sites physiques. Le partitionnement des données permet aux organisations de répliquer des données uniquement là où elles sont requises. Chaque domaine a sa propre politique de sécurité et ses propres relations de sécurité avec les autres domaines. Un serveur informatique hébergeant l'annuaire Active Directory est appelé «contrôleur de domaine ». Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
28
Les domaines – Service d’identification
Les domaines permettent la création des identités d’utilisateurs afin de les référencer sur n’importe quel ordinateur du domaine. Autrement dit, au moment où un utilisateur (et donc son identifié) est créé sur un des contrôleurs du domaine; celui-ci est connu sur tous les ordinateurs joints à ce domaine. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
29
Les domaines – Service d’authentification et d’autorisation
Un domaine fournit les services d’authentification et d’autorisation pour l’ensemble de ses utilisateurs afin de faciliter les connexions aux ressources partagées. Le processus d’authentification garantit que l’utilisateur est bien celui qu’il prétend être. Une fois identifié, l’utilisateur peut être autorisé ou non à accéder à une ressource par l’intermédiaire du mécanisme de contrôle d’accès. Les listes de contrôle d’accès ou Access Control Lists (ACL) définissent ses autorisations. L’autorisation est déterminée non seulement par l’identité de l’utilisateur, mais aussi par l’appartenance à un ou plusieurs groupes de sécurité. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
30
Les domaines - Relations d’approbation
Les domaines peuvent étendre les services d’authentification vers d’autres domaines en dehors de leur propre domaine ou forêt grâce au mécanisme de relations d’approbation ou « Trusts ». Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
31
Les domaines – Réplication
Chaque contrôleur de domaine réplique ses données vers les autres contrôleurs de données. De cette manière, tous les contrôleurs de domaine possèdent les mêmes informations. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
32
Les arbres Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
33
Les arbre Les domaines sont organisés en une structure hiérarchique appelée arbre. Le premier domaine créé dans un arbre est le domaine racine. Tous les domaines d’un arbre se partagent le même schéma et un espace de noms. Forêt domaine.be Sub.domaine.be Sub2.domaine.be Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
34
Les forêts Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
35
Les forêts Lorsqu’une entreprise ne partage pas le même espace de noms, un seul arbre ne suffit pas. Une forêt représente un groupe d’arbres d’espace de noms différents mais qui partagent un même schéma et un même catalogue global. Il existe toujours une forêt, même avec un seul arbre. Forêt domaine.be autre.be Sub.domaine.be Sub2.domaine.be Sub.autre.be Sub2.autre.be Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
36
Les unités organisationnelles
Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
37
Les unités organisationnelles
Une Unité organisationnelle ou Organisation Unit (OU) est un objet conteneur qui permet de hiérarchiser les objets dans Active Directory. Les OU peuvent être utilisées pour grouper les objets afin de déléguer l’administration ou d’appliquer les stratégies de groupe. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
38
Topologie physique Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
39
Les sites Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
40
Les sites Un site est une combinaison d’un ou plusieurs réseaux ou sous-réseaux IP reliés entre eux par une liaison filaire (LAN). Il est possible de regrouper plusieurs sites par liaison WAN. Les sites ne contiennent que les objets ordinateurs et les connexions utilisées pour la réplication de ses sites. Les différents sites ne font pas partie du même espace de noms. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
41
Les sites NB: Un domaine peut s’étendre sur plusieurs sites géographiques. Les sites servent principalement à contrôler la réplication entre les différents contrôleurs de domaine. Par défaut, tous les contrôleurs de domaine font partie du même site. L’administrateur doit créer les sites manuellement dans Active Directory Sites and Services. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
42
Les contrôleurs de domaine
Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
43
Les contrôleurs de domaine
Le contrôleur de domaine permet: L’identification et l’authentification des utilisateurs sur le réseau. La recherche des objets. La gestion des autorisations pour l’accès aux ressources. Un domaine ne peut exister que s’il comporte au moins un contrôleur de domaine. Pour des questions de sécurité et de disponibilité, il est conseillé de configurer au moins deux contrôleurs pour chaque domaine. Si l’entreprise est répartie sur plusieurs sites, un contrôleur de domaine peut être mis en place sur chaque site afin de réduire le trafic WAN. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
44
Les rôles maîtres d’opérations
Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
45
Les rôles maîtres d’opérations
Dans une forêt, les différents rôles maîtres sont partagés entre les contrôleurs. Un contrôleur peut s’occuper de plusieurs rôles maîtres. Les rôles maîtres d’opérations sont divisés en deux familles: Rôles maîtres d’opérations de la forêt Le maître du schéma Le maître d’attribution de noms de domaine Rôles maîtres d’opérations des domaines Le maître d’ID relatifs Le maître d’émulateur PDC (contrôleur principal de domaine) Le maître d’infrastructure Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
46
Les rôles maîtres d’opérations de la forêt
Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
47
Le maître de schéma Le premier contrôleur de domaine de la forêt est chargé de gérer et distribuer le schéma AD au reste de la forêt. Il contient la liste de toutes les classes ainsi que les attributs définissant les objets. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
48
Le maître d’attribution de noms de domaine
Le maître d’attribution de noms de domaine est consulté à chaque ajout ou suppression d’un domaine à la forêt. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
49
Les rôles maîtres des domaines
Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
50
Le maître d’ID relatifs ou maître RID
Le maître d’ID relatifs se trouve sur un seul contrôleur de domaine dans chaque domaine de la forêt. Le maître RID alloue des séquences d’ID relatifs à chacun des différents contrôleurs de domaine de son domaine. Lorsqu’on crée un objet utilisateur, groupe ou ordinateur, un ID de sécurité unique lui est attribué. Cet ID se compose d'un SID de domaine qui est identique pour tous les SID créés dans le domaine et d'un ID relatif (RID) qui est unique pour chaque SID créé dans le domaine. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
51
Le maître d’émulateur PDC
Ce contrôleur émule un contrôleur de domaine principal (Primary Domain Controller) pour les clients pré Windows 2000. Son rôle principal est de contrôler l’ouverture de session pour ses clients. Il est également chargé de synchroniser l’heure sur tous les contrôleurs de domaine du domaine. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
52
Le maître d’infrastructure
Toutes les modifications apportées aux objets du domaine sont d’abord signalées au maître d’infrastructure avant d’être répliquées vers les autres contrôleurs du domaine. Il ne peut exister qu’un seul maître d’infrastructure par domaine. Le maître d’infrastructure gère aussi les groupes et les appartenances aux groupes. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
53
Le catalogue global Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
54
Le catalogue global Le catalogue global pour une nouvelle forêt est créé automatiquement sur le premier contrôleur de domaine de la forêt. Vous pouvez ajouter ou supprimer la fonctionnalité de catalogue global à d’autres contrôleurs de domaine. Les serveurs de catalogue global contiennent: La réplique complète de tous les objets de leur propre domaine. La réplique partielle de tous les objets de la forêt. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
55
Le catalogue global Le catalogue global permet:
La recherche d’objets au travers de la forêt, quelque soit l’emplacement de stockage des données. L’authentification interdomaines des utilisateurs. La validation des références à un objet. Lorsqu’un contrôleur de domaine détient un objet d’annuaire avec un attribut qui contient une référence à un objet situé dans un autre domaine. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
56
La réplication Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
57
La réplication Afin que chaque contrôleur de domaine possède les mêmes informations, tous les objets et attributs sont répliqués vers tous les contrôleurs d’un domaine. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
58
La réplication intrasite
Lorsqu’une modification est effectuée sur l’un des contrôleurs de domaine du même site, les informations sont immédiatement envoyées sous forme non compressée aux partenaires de réplication. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
59
La réplication intersite
Lorsqu’une modification est effectuée sur l’un des contrôleurs de domaine d‘un site, les informations sont envoyées sous forme compressée aux partenaires de réplication des autres sites à plusieurs heures d'intervalle. De plus, il vous est possible de définir les plages horaires durant lesquelles la réplication aura lieu. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
60
Conception logique d’Active Directory
Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
61
Modèle de domaine unique
La forêt ne compte qu’un seul domaine qui contient tous les objets. N’importe quel contrôleur de domaine peut authentifier tous les utilisateurs de la forêt. Le catalogue global ne contient que les informations du domaine ifapme.local. La planification du catalogue global n’est pas nécessaire. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
62
Modèle de domaine unique
Ce modèle convient généralement à la plupart des petites entreprises. L’administration est facile et les coûts limités. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
63
Modèle de domaine régional
La forêt comporte plusieurs domaines basés sur l’emplacement géographique. Les domaines sont interconnectés via le WAN. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
64
Modèle de domaine régional
Ce modèle permet une autonomie de gestion aux administrateurs des différents domaines. Il permet la croissance de l’entreprise. Microsoft conseille de vous limiter à 10 domaines par forêt pour faciliter la gestion. NB: Les domaines ne permettent pas d’assurer l’isolation des données ou des services. L’implémentation d’une autre forêt serait nécessaire. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
65
Modèle basé sur les divisions
Ce modèle est identique au modèle de domaine régional, sauf qu’il ne repose pas sur l’emplacement géographique mais sur la division ou l’entité de l’entreprise. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
66
Déterminer le nombre de domaines requis
Outre le choix du modèle, le nombre d’utilisateurs par domaine joue une grande importance. Le nombre maximal d’utilisateurs par domaine est basé sur la plus lente des liaisons devant assurer la réplication entre les contrôleurs de domaine et la bande passante disponible. Avec une liaison de 28.8 Kb/s et seul 1% de bande passante libre, le nombre maximal d’utilisateurs est de Avec une liaison de 1500 Kb/s et seul 1% de la bande passante libre, le nombre maximal d’utilisateurs est de Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
67
Hand On Lab Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
68
Hands On Lab 1 – Installation du rôle Active Directory Domain Services
Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
69
Hands On Lab 2 – Configuration du contrôleur de domaine primaire en interface graphique.
Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
70
Hands On Lab 2 – Informations complémentaires
Présentation des niveaux fonctionnels des services de domaine: WEB : directory-functional-levels%28v=ws.10%29.aspx WORD : ASE_M7_A1.DOCX Dans un environnement de plus de 100 utilisateurs, la base de données NTDS.DIT, les logs et les dossiers partagés SYSVOL devraient être répartis sur différents disques. Dans tous les cas, il est conseillé de ne pas les placer sur le disque contenant le système. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
71
Hands On Lab 3 – Configuration du contrôleur de domaine secondaire sur Server Core
Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
72
Hands On Lab 3 – Informations complémentaires
La commande a exécuter: Dcpromo /unattend /replicaOrnewDomain:replica /replicaDomainDNSName:ifapme.local /ConfirmGC:yes /username:administrator /userDomain:ifapme /Password:* Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
73
Hands On Lab 4 – rechercher les serveur détenant les différents rôles maîtres
La commande a exéuter : Netdom /query FSMO Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.