Cursus de Certifications Informatiques Microsoft Serveur 2003 MCSE MCSA 8 Modules 5 Examens Durée Options M J MCSA/CP M J M2177.

Cursus de Certifications Informatiques Microsoft Serveur 2003 MCSE
MCSA 8 Modules 5 Examens Durée Options M2144 5 J MCSA/CP M2149 70-290 3 J M2177 2 J MCSA M2182 70291 M2223 M2615 70-270 4 J SECURITE M2160 70-227 M2304 70299 8 Modules 5 Examens Durée Options M2144 5 J MCSA/SE M2149 70-290 3 J M2177 2 J M2182 70291 M2189 70-293 MCSE M2194 70-294 M2223 M2615 70-270 4 J SECURITE M2160 70-227 M2113 70-298 M2304 70299 MCP 15 J 29 J 42 J

Présentation de l’administration des comptes et des ressources
PLAN DU COURS Module 1 : Présentation de l’administration des comptes et des ressources Module 2 : Administration des comptes Utilisateurs et ordinateurs Module 3 : Administration des groupes Module 4 : Administration des accès aux ressources Module 5 : Implémentation de l’impression Module 6 : Administration de l’impression Module 7 : Administration des accès aux objets dans les unités d’organisation Module 8 : Implémentation d’une stratégie de groupe Module 9 : Administration de l’environnement en stratégies de groupes Module 10 : Implémentation de modèle d’administration et de stratégie d’audit

Famille Windows Server 2003 :
Module 1 : Présentation de l’administration des comptes et des ressources Famille Windows Server 2003 : Les tâches -Les outils nécessaires à l’administration des comptes et des ressources sur des ordinateurs exécutant Windows Serveur 2003 en réseau

Objectifs du Module 1: Module 1 :
Présentation de l’administration des comptes et des ressources Objectifs du Module 1: 1 2 3 4

Serveur d’applications Serveur Terminal Server
Module 1 : Présentation de l’administration des comptes et des ressources Serveur DNS Contrôleur de domaine ROLE DES SERVEURS Serveur de Fichiers Serveur d’applications Serveur d’impression Serveur Terminal Server

Module 1 : Présentation de l’administration des comptes et des ressources ROLE DES SERVEURS Contrôleur de domaine Ils stockent les données d’annuaire et gèrent : -Les communications entre les utilisateurs et les domaines Les processus d’ouverture de session utilisateur Les processus d’authentification des utilisateurs -Les recherches dans l’annuaire Un serveur devient Contrôleur de domaine quand on installe Active Directory

Module 1 : Présentation de l’administration des comptes et des ressources ROLE DES SERVEURS Serveur de Fichiers Un serveur de fichier fournit sur le réseau : Un emplacement pour stocker les fichiers et les partager entre les autres utilisateurs du réseau -Lorsqu’un utilisateur a besoin d’un fichier important, il peut l’obtenir par le réseau par le serveur de fichier au lieu de le transférer sur son ordinateur

Module 1 : Présentation de l’administration des comptes et des ressources Serveur d’impression ROLE DES SERVEURS Un serveur d’impression fournit sur le réseau : - Un emplacement centralisé dans lequel les utilisateurs peuvent imprimer - Des Mises à jour de Pilotes d’imprimantes - La gestion de l’ensemble de la mise en file d’attente d’impression ainsi que la sécurité

Module 1 : Présentation de l’administration des comptes et des ressources ROLE DES SERVEURS Serveur DNS Service DNS (Domain Name Service) ● Fournit des services de Noms Internet sur le réseau et TCP/IP standard ● Permet aux ordinateurs clients du réseau d’enregistrer et résoudre des Noms de Domaine DNS ● Il est IMPERATIF pour implémenter Active Directory

Serveur d’applications
Module 1 : Présentation de l’administration des comptes et des ressources ROLE DES SERVEURS Serveur d’applications Il fournit une infrastructure et des services essentiels aux applications hébergées dans un système. Un Serveur d’Applications types incluse les services : ● Pool de ressources (ex SGBD, Pool d’objet ● Administration des transations distribuées, ● Communication Asynchrone de programmes via Messsage Queuing, ● Interfaces Automatiques de Services Web XML ● Détection intégrité des applications et sécurité intégrée ● Services IIs hébergement Serveurs Web-FTP

Serveur Terminal Server
Module 1 : Présentation de l’administration des comptes et des ressources Serveur Terminal Server ROLE DES SERVEURS Un Terminal Serveur fournit aux ordinateurs distants un accès aux programmes Windows exécutés sous Windows Serveur 2000/2003. Les applications peuvent être installées sur un seul point afin que les utilisateurs puissent y accéder, sans devoir installer sur leurs PC l’application. Les utilisateurs peuvent enregistrer les fichiers et utiliser les ressources du réseau à partir d’un emplacement distant.

Module 1 : Présentation de l’administration des comptes et des ressources La Famille Windows 2003 Utilisation spécifique Serveur WEB.Pas d’Active Directory implémentable 2 Go Ram- 2 µProcesseurs Web Edition PME/PMI. Controleur de Domaine. Serveurs Membres - Pas de Clusterring possible. 4 Go Ram - 4µProcesseurs Standard Edition PME/PMI. Controleur de Domaine.-Serveur Membre-Web- SGBD-Messagerie-Serveurs Hautes performances 32 Go Ram - 8µProcesseurs. Enterprise Edition DataCenter Edition Idem Enterprise Edition mais Multiclustering 64 Go Ram - 32µProcesseurs. 32 bits 512 Go Ram – 64 µProcesseurs  64 bits

L’Annuaire Active Directory
Module 1 : Présentation de l’administration des comptes et des ressources L’Annuaire Active Directory Avantages d’Active Directory @ Identifie les ressources @ Fournit un cadre cohérent pour : l’attribution de noms la description La localisation Les accès L’administration La sécurité ● Intégration DNS ● Evolutivité ● Administration centralisée ● Administration déléguée

Module 1 : Présentation de l’administration des comptes et des ressources L’Annuaire Active Directory Avantages d’Active Directory ● Intégration DNS @ Identifie les ressources @ Fournit un cadre cohérent pour : l’attribution de noms la description La localisation Les accès L’administration La sécurité AD utilise les conventions d’attribution de noms DNS pour créer une vue hiérarchique ordonnée et évolutive des connexions réseau. DNS sert aussi à faire correspondre les noms d’hôtes, tels que Google.com, à des adresse numériques TCP/IP, telles que

Module 1 : Présentation de l’administration des comptes et des ressources L’Annuaire Active Directory Avantages d’Active Directory ● Evolutivité @ Identifie les ressources @ Fournit un cadre cohérent pour : l’attribution de noms la description La localisation Les accès L’administration La sécurité AD est organisé en sections qui permettent de stocker un très grand nombre d’objets. AD peu évoluer en fonction des besoins de l’entreprise. Une organisation disposant d’un seul serveur avec quelques centaines d’objets, peut évoluer vers des milliers de serveurs et des millions d’objets.

Module 1 : Présentation de l’administration des comptes et des ressources L’Annuaire Active Directory Avantages d’Active Directory ● Administration centralisée @ Identifie les ressources @ Fournit un cadre cohérent pour : l’attribution de noms la description La localisation Les accès L’administration La sécurité AD permet aux administrateurs d’administrer : les ordinateurs distribués Les services réseau Les applications à partir d’un emplacement central dans un environnement cohérent. AD fournit un contrôle centralisé de l’accès aux ressources réseau

Module 1 : Présentation de l’administration des comptes et des ressources L’Annuaire Active Directory Avantages d’Active Directory ● Administration déléguée @ Identifie les ressources @ Fournit un cadre cohérent pour : l’attribution de noms la description La localisation Les accès L’administration La sécurité AD par sa structure hiérarchique permet de : Déléguer le contrôle d’administration que des parties spécifiques de la hiérarchie, Un utilisateur autorisé par un administrateur du domaine peut effectuer des tâches d’administration dans la partie affectée.

Forêt Terminologie de Active Directory Module 1 :
Présentation de l’administration des comptes et des ressources Terminologie de Active Directory Forêt servia.fr Domaine DC Arborescence OU dans un domaine DC DC Paris. servia.fr Lille. servia.fr DC Rouen. servia.fr

Terminologie de Active Directory
Module 1 : Présentation de l’administration des comptes et des ressources Terminologie de Active Directory servia.fr Domaine DC UN DOMAINE est l’unité centrale de la structure logique d’Active Directory C’est un ensemble d’ordinateurs, définis par un administrateur, qui partagent une base de données commune d’annuaires. Un domaine possède un NOM UNIQUE et fournit un accès aux comptes utilisateurs centralisés, ainsi qu’aux comptes de groups administrés par l’administrateur du domaine.

Module 1 : Présentation de l’administration des comptes et des ressources Terminologie de Active Directory servia.fr Domaine DC OU dans un domaine (Organisation Unit) Unité d’Organisation est un type d’objet conteneur qui permet d’organiser les objets dans un domaine. Elle peut contenir des objets tels que des comptes d’utilisateurs,des groupes,des ordinateurs,des imprimantes ou d’autres Unités d’Organisation.

Présentation de l’administration des comptes et des ressources Terminologie de Active Directory Forêt servia.fr Domaine DC Contient 1 ou plusieurs Domaines qui partagent une configuration, un schéma,et un catalogue commun. Racine Arborescence DC DC OU dans un domaine Paris. servia.fr Lille. servia.fr DC Rouen. servia.fr

Présentation de l’administration des comptes et des ressources Terminologie de Active Directory Paris. servia.fr Domaine OU dans un domaine DC Racine Forêt Contient 1 ou plusieurs Domaines qui partagent une configuration, un schéma,et un catalogue commun. Arborescence DC Lille. servia.fr DC Rouen. servia.fr

Module 1 : Présentation de l’administration des comptes et des ressources Terminologie de Active Directory Racine Relations Une Forêt est un ensemble de domaines liés entre eux par des relations d’approbations bidirectionnelles et transitives. Elle est caractérisée par la présence d’un Domaine dit Racine équivalent au premier domaine installé dans la Forêt. Le Domaine Racine est le point de référence pour tous les autres Domaines de la Forêt. d’approbations Servia.fr Achat.servia.com Infos.servia.fr Ventes.servia.fr

Arborescence Terminologie de Active Directory Module 1 :
Présentation de l’administration des comptes et des ressources Terminologie de Active Directory Arborescence Les arborescences de domaines dépendent de leur nom. Lorsqu’un Domaine ne partage pas le même espace de nom qu’un domaine parent, il est considéré comme une nouvelle arborescense, donc, un autre Domaine. Sinon, il s’agit d’un Domaine enfant.

Présentation de l’administration des comptes et des ressources Terminologie de Active Directory Forêt servia.fr Domaine DC Racine Servia.fr est le Domaine Racine DC Paris.servia.fr Lille.servia.fr Rouen.servia.fr sont des Domaines enfants du Domaine Parent Racine servia.fr ssii.servia.com DC DC Paris. servia.fr Lille. servia.fr DC ssii.servia.com ne partage pas le même espace nom sur servia.fr Rouen. servia.fr

Module 1 : Présentation de l’administration des comptes et des ressources Terminologie de Active Directory Les Noms de Domaines utilisés dans Active Directory s’appuient sur une Architecture DNS (Domain Name Service). Les Unités Organisationnelles permettent de structurer hiérarchiquement un Domaine dans le but de l’organiser pour : ● Organiser des différents objets de la Base de données (Users,Groupes,Imprimantes….. ● Déléguer le contrôle d’administration ● Simplifier les ressources d’administration. OU dans un domaine

Configuration de classe
Configuration de classe par groupes. Cf document joint

Configuration de classe
Module 1 : Présentation de l’administration des comptes et des ressources Configuration de classe 1 Contrôleur de Domaine par Groupe 0 vaut le chiffre zéro 5 Groupes de 2 ou 3 Ordinateurs et le serveur de domaine: 1 DCx Contrôleur de domaine 2 SMx Serveurs Membres du Domaine Compte Administrateur Domaine : admin<Nom Ctrl Domaine> ex adminDC3 Mot de Passe Administrateur : 123Abcd Mot de passe complexe Compte Admin Srv Membre : admin<Nom serveur Membre> ex admindublin Mot de passe Srv Membre : 123Abcd Mot de passe complexe Compte utilisateur Srv Membre : User<Nomserveur> ex : Userdublin Mot de passe utilisateur : 123Abcd Mot de passe complexe

Module 1 : Présentation de l’administration des comptes et des ressources INSTALLATION DE SERVEUR 2003 SOMMAIRE A- Configuration Minimum machine B- Installation Manuelle du Serveur 2003 à partir d’un CdRom 1b – Partitionnement des disques 2b – Choix du système de fichiers 3b – Mode de Licence C- Stratégies d’organisations d’entreprise avec Windows Server

Module 1 : Présentation de l’administration des comptes et des ressources INSTALLATION DE SERVEUR 2003 Mini Conseillé Mini Conseillé RAM : 512 Mo µP P4 2 Ghz A- Configuration Minimum machine Espace disque mini conseillé 2 Go ACTIVE Lecteur Logique 1b – Partitionnement des disques NTLDR NTDETCT.COM BOOT.INI NTOSKERNEL.EXE WINDOWS\* Disque 0 Partition Principale Partition étendue La partition principale est la partition système. Elle doit être activée. C’est la partition système qui contient le préchargeur (secteur de démarrage de NT) et le chargeur (NTLDR).(Mini 10 Mo nécessaire). Le Noyau Windows 2003 (NTOSKERNEL.EXE) peut se trouver sur cette partition ou une partition étendue éventuellement.

Module 1 : Présentation de l’administration des comptes et des ressources INSTALLATION DE SERVEUR 2003 2b – Choix du système de fichiers WINDOWS 2003 Supporte les systèmes de fichiers FAT,FAT32,NTFS FAT & FAT 32 sont des formats de disques non sécurisés trouvés sur les systèmes d’exploitation MSDOS,Windows 95,Windows 98/SE,Millenium….. Il ne permettent pas d’obtenir un niveau de sécurité sur les fichiers et les répertoires, ainsi que sur les objets d’un serveur Windows NT,2000,2003. Le système de fichiers FAT ne supporte pas les partitions supérieures à 2 Go. FAT 32 permet de dépasser cette limite, sans toutefois avoir les capacités d’OS tels que NT4,2000,2003 en NTFS ( plusieurs Exa octets). Une partition FAT,FAT32 peut être convertie dans le format NTFS, mais ce processus est irréversible. Ex : Mode commande :CONVERT C: /FS:NTFS

Module 1 : Présentation de l’administration des comptes et des ressources INSTALLATION DE SERVEUR 2003 2b – Choix du système de fichiers Format NTFS 5.1/ 5.2 est recommandé sous Serveur NT,2000 et 2003. Il accroît la sécurité en permettant: & Le contrôle des accès au niveau des fichiers et des répertoires, & des disques et des ressources du serveur, & le contrôle des utilisateurs et des groupes d’utilisateurs, & le contrôle de l’emploi des disques par le quota utilisateurs, & le cryptage des données, & la compression des disques ou des fichiers………… Si la machine est Contrôleur de Domaine, de nombreux autres services de sécurité et de gestion du Domaines sont disponibles (Audit-permissions-gestion des ressources et impressions-sécurité locale etc……

Module 1 : Présentation de l’administration des comptes et des ressources INSTALLATION DE SERVEUR 2003 3b – Mode de Licence 2 Choix de modes de licence sont proposés à l’installation : 1- Licences par Serveur 2 - Licences par poste ou utilisateur (siège) Licences par Serveur, correspond pour un serveur particulier au nombre maximal de clients différents qui pourront se connecter simultanément sur ce serveur. Lorsque la limite est atteinte, un message d’erreur s’affiche et la nouvelle connextion est refusée. Les messages sont consignés dans l’observateur d’évènement du serveur. Il est possible de faire évoluer le nombre de licences par serveur à partir du panneau de configuration - Licences. Cette action est irréversible !!

Module 1 : Présentation de l’administration des comptes et des ressources INSTALLATION DE SERVEUR 2003 3b – Mode de Licence 2 Choix de modes de licence sont proposés à l’installation : 1- Licences par Serveur 2 -Licences par poste ou utilisateur (siège) Mode de licence ou le Siège de l’entreprise ou un client spécifique est sujet au paiement d’une licence. Les serveurs ne disposent d’aucune restriction particulière en termes de connexions maximales concomittantes, mais chaque client doit être connu du siège.

Module 1 : Présentation de l’administration des comptes et des ressources INSTALLATION DE SERVEUR 2003 C- Stratégies d’organisations d’entreprise avec Windows Server Notions de Sites. Le choix de l’organisation hiérarchique du système d’informations que vous allez mettre en place dans une entreprise nécessite de bien réfléchir à l’organisation fonctionnelle et géographique de celle-ci, au moment de l’implantation du S.I : - Situation géographique de la maison mère, et ses filiales éventuelles et de définir déjà pour celle-ci les hiérarchies organisationnelles existantes et futures en termes de technologies de liaisons mais aussi : Les services, (utilisateurs,groupes,permissions,rôles,Unités organisationnelles), Les utilisateurs, (par services, en groupes,autorisations,sécurité,délégations), Les ordinateurs, (Stratégies d’identification sur le réseau), Les périphériques,(par services,disponibilités réseau,identification..) Les Serveurs, (sur chaque sites, les licences, les logiciels,sécurité des données….) Les applications, (SGBD,Internet,Intranet…………..)

Module 1 : Présentation de l’administration des comptes et des ressources INSTALLATION DE SERVEUR 2003 C- Stratégies d’organisations d’entreprise avec Windows Server Notions de Sites. Le choix d’implantation d’un serveur au sein d’une entreprise comme Contrôleur de Domaine, implique l’installation d’une structure logique nommée :  Active Directory. Dans un environnement de plusieurs Contrôleurs de Domaines, chacun d’eux échange et réplique les modifications dans leur base de données respectives (AD se trouve dans %WinDir%\NTDS\NTDS.DIT) Dans le cas d’une structure ayant des filiales plus ou moins éloignées, le choix des liaisons physiques, fonctions de leurs situations géographiques est important Active Directory utilise une structure physique qui permet de maîtriser les échanges entre les Contrôleurs de Domaines. C’est la notion de Sites.

Module 1 : Présentation de l’administration des comptes et des ressources INSTALLATION DE SERVEUR 2003 C- Stratégies d’organisations d’entreprise avec Windows Server Notions de Sites. Site=Sous-reseau1 + Sous-réseau2 + Sous-réseau 3 +++ Réplication de AD

Module 1 : Présentation de l’administration des comptes et des ressources INSTALLATION DE SERVEUR 2003 Comportement selon le type de domaine Un Serveur Windows 2000/2003 peut être membre d’un Domaine NT4 (Type Netbios). Il utilisera le mécanisme de la résolution des Noms Netbios pour trouver les contrôleurs de domaines Il peut être membre d’un Domaine Active Directory et utilisera les mécanismes de résolution de Noms DNS srv, pour trouver les Contrôleurs de Domaine Il peut être aussi Contrôleur de Domaine lui-même. Il supporte alors les clients NetBios et les clients DNS. Les postes clients antérieurs à Windows 2000 (NT4,Win 98se), joignent le Domaine au nom NetBios(nom court). Les clients depuis Windows 2000 doivent utiliser le nom DNS du domaine.

Module 1 : Présentation de l’administration des comptes et des ressources Choix d’Installation du Serveur Windows 2003 L’installation d’Active Directory sur un Serveur Windows 2003 propose l’organigramme suivant : 1 Contrôleur de domaine pour un Nouveau Domaine n Contrôleur de domaine supplémentaire Domaine existant FORET 1 Créer une nouvelle arborescence de domaine Créer un nouveau domaine enfant dans un arborescence de domaine existante 1 a.fr 3 1 2 Créer une nouvelle forêt d’arborescence de domaine Créer une nouvelle arborescence de domaine dans une forêt existante 2 3 A.com b.a.fr

Module 1 : Présentation de l’administration des comptes et des ressources Travaux Pratiques. Installation du Contrôleur de Domaine par groupe. Création d’un Nouveau Domaine ou Domaine Racine FSQ10-M2144-TP01 : Suivre la procédure fournie pour installer Serveur 2003

Module 1 : Présentation de l’administration des comptes et des ressources

Module 1 : Présentation de l’administration des comptes et des ressources OUVERTURE DE SESSION ET D’AUTHENTIFICATION Le jeton d'accès contient : - Les identificateurs de sécurité (ou SID, Security Identifier) qui définissent les droits et les privilèges des utilisateurs. - Un SID est une valeur qui identifie un compte d'utilisateur, de groupe ou d'ordinateur dans une entreprise. - Chaque compte créé est affecté d'un SID. Les droits et les autorisations d'un utilisateur, d'un groupe ou d'un ordinateur sont définis dans des listes de contrôle d'accès (Access Control List, ACL) qui contiennent les SID autorisés. Outre votre SID unique, les SID des groupes dont vous êtes membre vous identifient.

Module 1 : Présentation de l’administration des comptes et des ressources OUVERTURE DE SESSION ET D’AUTHENTIFICATION Le jeton d'accès contient : Ces informations sont stockées dans un jeton d'accès qui contient toutes les informations associées à votre identité et au contexte de sécurité au cours d'une session. Des jetons d'accès sont recréés chaque fois qu'une entité de sécurité ouvre une session.

Module 1 : Présentation de l’administration des comptes et des ressources OUVERTURE DE SESSION ET D’AUTHENTIFICATION

Module 1 : Présentation de l’administration des comptes et des ressources OUVERTURE DE SESSION ET D’AUTHENTIFICATION Ouverture de Session en réseau en tant qu’Administrateur du domaine ( à partir de votre serveur membre). Suivez la fiche Procédure M2 – FSQ 10 – M 2144 – TP 04 que vous avez reçue.

Module 1 : Présentation de l’administration des comptes et des ressources INSTALLATION et CONFIGURATION des OUTILS d’ADMINISTRATION - Outils d’Administration couramment utilisés : Utilisateurs et Ordinateurs Active Directory Sites et Services Active Directory Domaines et Approbations Active Directory Gestion de l’ordinateur DNS Bureau à distance - Installation pour l’administration distante

Module 1 : Présentation de l’administration des comptes et des ressources Les Outils d’administration permettent aux Administrateurs réseau : - d’Ajouter - Rechercher - Modifier - Les paramètres des ordinateurs et du réseau et d’effectuer ces opérations sur les objets Active Directory. - Les outils d’administration peuvent également être installés sur des ordinateurs exécutant Windows XP Pro et Windows 2000, au même titre que Serveur 2003. - Les outils d’administration nécessaires peuvent être préparé en console personnalisée grâce à MMC.EXE.

Module 1 : Présentation de l’administration des comptes et des ressources Les Outils d’administration Ils peuvent servir à : - Administrer à distance des ressources réseau AD - Des services réseau tel que WINS (Windows Name Service) - Les protocoles DHCP (Dynamic Host Configuration Protocol) à partir d’un poste client - Sous XP Pro les outils d’administration ne peuvent s’installer que sous SP1. - Windows Serveur 2003 inclut les outils d’administration sous forme de composants logiciels enfichables ajoutés à MMC.

Module 1 : Présentation de l’administration des comptes et des ressources Installation des outils d’administrations Windows Serveur 2003  Suivez la Procédure d’installation fournie avec la Fiche Procédure M2 – FSQ 10 – M 2144 – TP 05

Module 1 : Présentation de l’administration des comptes et des ressources Description de MMC (Microsoft Management Console) C’est un utilitaire fournit par Microsoft qui permet : - de créer, enregistrer et ouvrir les outils d’administration appelés Consoles Les consoles personnalisées gèrent les composants matériels, logiciels et réseau de votre système d’exploitation. Les composants enfichables installés dans une Console personnalisée, autorisent l’administration de plusieurs services depuis une seule interface. Une console peut être personnalisée et conçue avec des droits et restrictions et être proposée à une personne déléguée par l’administrateur du réseau.

Module 1 : Présentation de l’administration des comptes et des ressources Procédure de création d’une console MMC personnalisée  Suivre la Fiche Procédure M2 – FSQ 10 – M 2144 – TP 05bis fournie à cet effet.

Module 1 : Présentation de l’administration des comptes et des ressources Les Unités d’organisation UO/ou (Organisation Unit) - Organise les objets d’un domaine - Permet de déléguer le contrôle de l’administration - Simplifie l’administration des ressources qui appartiennent communément à des groupes. Une UO est un objet de Active Directory. L’organisation hiérarchique des Unités d’Organisation est élaborée généralement par l’Ingénieur Système.

Module 1 : Présentation de l’administration des comptes et des ressources LES MODÈLES HIÉRARCHIQUES DES UNITÉS D’ORGANISATION - 4 types de modèles sont exploités généralement : Fondé sur la fonction Fondé sur l’organisation R I F F = Fabrication I = Ingénierie R = Recherche V = Ventes C = Consultants M = Marketing V C M Fondé sur l’emplacement Modèles Hybrides N = Norvège F = France I = Indonésie - Fonction - Organisation N F I - Emplacement - Fonction - Organisation - Emplacement

Module 1 : Présentation de l’administration des comptes et des ressources Modèles hiérarchiques fondés sur la fonction V = Ventes C = Consultants M = Marketing V C M Les modèles reposent uniquement sur les métiers de l’entreprise Ils ne tiennent pas compte de l’emplacement géographique, ni des services et des divisions de l’entreprise. C’est une hiérarchie utilisable uniquement si la fonction informatique ne repose pas sur l’emplacement ou l’entreprise.

Module 1 : Présentation de l’administration des comptes et des ressources Caractéristiques de la hiérarchies fondée par la fonction Tenir compte des caractéristiques suivantes : Non affectée par les réorganisations Nécessité éventuelle d’autre couches pour permettre l’administration des utilisateurs, des imprimantes, des serveurs et des partages réseau  Peut avoir un impact sur la réplication ; dans le cas de l’utilisation de domaines complémentaires (Réplication entre serveurs de domaines gourmand en bande passante) Cette structure ne s’applique qu’aux petites entreprises, généralement

Module 1 : Présentation de l’administration des comptes et des ressources Hiérarchie fondée sur la Organisation F = Fabrication I = Ingénierie R = Recherche F I R - C’est une stratégie qui repose sur les Services et les Divisions de l’entreprise. - Active Directory doit être adapté à l’administrateur et non à l’utilisateur. - AD reflète uniquement la structure de l’entreprise, les problèmes suivants risquent d’apparaître dans ce mode hiérarchique : - Difficultés pour la délégation de l’autorité d’administration (imprimantes, partage de fichiers...)

Module 1 : Présentation de l’administration des comptes et des ressources Hiérarchie fondée sur l’emplacement : N = Norvège F = France I = Indonésie Efficace si : L’Organisation est centralisée La gestion du réseau est distribuée géographiquement N F I Dans ce cas on crée des U O selon l’emplacement dans le même domaine. Caractéristiques : - Non affectée par les réorganisations. L’emplacement change rarement dans la plupart des entreprises (les divisions et session peuvent changer + fréquemment). - Tient compte des fusions et de la croissance de l’entreprise : Créations d’ UO nouvelles aisées.

Module 1 : Présentation de l’administration des comptes et des ressources Hiérarchie fondée sur l’emplacement : N = Norvège F = France I = Indonésie N F I Caractéristiques (suite) : - Tire partie des points forts du réseau Permet de tirer partie des bandes passantes larges liées aux découpages du réseau de l’entreprise. Faiblesses : - Peut mettre en péril la sécurité du réseau si un emplacement comporte plusieurs Divisions ou Services, si une personne ou un groupe dispose d’une autorité d’administration sur le domaine des UO.

Module 1 : Présentation de l’administration des comptes et des ressources Hiérarchie hybride Direction des études Achats Qualité Contrôle Fabrication B E Une combinaison hiérarchique sur plusieurs modèles est appelée hybride. Exemples Hybrides - Fonction - Organisation - Emplacement - Fonction - Organisation - Emplacement Caractéristiques : - Intègre la croissance des secteurs géographiques, des services ou des divisions. - Crée des limites d’administration distincte en fonction du service ou de la division. - Nécessite que les Administrateur coopèrent afin d’assurer la réalisation des tâches d’Administration.

Module 1 : Présentation de l’administration des comptes et des ressources Création des Unités d’Organisation Noms des Unités d’Organisation - Active Directory référence chaque objet par plusieurs types de noms qui décrivent l’emplacement de l’objet. Le nom de chaque objet est unique et complet lors de sa création. Les syntaxes des noms UO différent selon la manière de créer les UO (en mode graphique sous Windows ou en mode commande) Nom relatif LDAP (Lightweight Directory Access Protocol) Le nom identifie de façon unique l’objet dans son conteneur parent Exemple : OU = mon unité d’organisation

Module 1 : Présentation de l’administration des comptes et des ressources Création des Unités d’Organisation Noms des Unités d’Organisation Nom unique LDAP c’est l’écriture du nom unique GLOBAL utilisé par les administrateurs en mode commande. OU = mon unité organisation, DC = servia, DC = FR Ligne de commande de création d’une UO Exemple : dsadd ou Nom unique UO – desc Description – s Serveur – d Domaine – U Utilisateur – p Mot de passe Taper : dsadd/? et ’’entrée’’

Module 1 : Présentation de l’administration des comptes et des ressources Création d’une Unité d’Organisation dans Active Directory  Procédure de création d’Unité d’Organisation (voir Procédure jointe FSQ 10 – M 2144 – TP 06.

Module 1 : Présentation de l’administration des comptes et des ressources Les Unités d’Organisation Différences entre la notion de Groupes et les Unités d’Organisation (UO) ♦ Les groupes vont contenir des ressources telles que des utilisateurs pour distinguer un regroupement de personnes dans une localisation ou une fonction donnée ou encore un service. ♦ Les Unités d’Organisation vont permettre de découper, clarifier les groupes, d’autoriser des accès aux ressources, de permettre une délégation de stratégie pour le groupe, à certaines personnes.

Module 1 : Présentation de l’administration des comptes et des ressources Les Unités d’Organisation Exemple de stratégie d’organisation DC SERVIA.DOM AMIENS OU LILLE OU OU Cette arborescence facilite l’administration. Les regroupements en OU peuvent reprendre les mê-mes stratégies, générale-ment : Qui peut accéder à l’Internet ? Dans quelle plage horaire ? Qui peut accéder aux dossiers VENTES, SAV etc... OU VENTES S A V FORMATION COMPTA-FINANCES OU VENTES COMPTABILITE

Module 1 : Présentation de l’administration des comptes et des ressources Déplacement des Unités d’Organisation dans l’arborescence - Pour déplacer une U O la technique habituelle du DRAG and DROP avec la souris permet de le faire... Démonstration

Module 1 : Présentation de l’administration des comptes et des ressources EXERCICE : Création d’une hiérarchie d’Unités d’Organisation Selon le scénario décrit dans la Fiche Séquence complémentaire créez les Unités d’Organisation demandées.

Module 2 : Administration des comptes utilisateurs et ordinateurs Table des matières - création de comptes d’utilisateurs - création de comptes d’ordinateurs - modification des propriétés des comptes d’utilisateurs et d’ordinateurs - création d’un modèle de compte utilisateur - activation et déverrouillage des comptes utilisateurs et ordinateurs - réinitialisation des comptes utilisateurs et ordinateurs - recherche de compte utilisateurs et ordinateurs dans Active Directory - enregistrement des requêtes - Atelier A : Administration des comptes utilisateurs et des comptes d’ordinateurs

Module 2 : Administration des comptes utilisateurs et ordinateurs Pour accéder aux ressources d’un domaine l’administrateur doit autoriser les utilisateurs à y accéder, ainsi que les ordinateurs. Il faut créer des comptes utilisateurs pour les identifier et les authentifier sur le domaine et le réseau. Un compte utilisateur est un objet qui regroupe les informations définissant un utilisateur sous Windows Serveur 2000 et 2003. Un compte utilisateur peut avoir 2 modèles : - Local - Domaine - Un compte utilisateur contient le nom de l’utilisateur (unique) et un mot de passe unique pour ouvrir une Session locale ou sur le domaine.

Module 2 : Administration des comptes utilisateurs et ordinateurs Les comptes Utilisateurs Un compte Utilisateur est obligatoire pour :  Permettre à un utilisateur d’ouvrir une session sur un ordinateur en fonction de l’identité du compte d’utilisateur,  Permettre aux processus et aux sessions de s’exécuter sous un contexte de sécurité absolue,  Administrer les accès d’un utilisateur à des ressources et leurs propriétés (objets Active Directory) :  des dossiers partagés,  des fichiers,  des répertoires et des files d’attentes d’impression.

(média\ 2144_2274_1_accts.swf) Module 2 :
Administration des comptes utilisateurs et ordinateurs Types de comptes utilisateurs (média\ 2144_2274_1_accts.swf)

Module 2 : Administration des comptes utilisateurs et ordinateurs Noms associés aux comptes d’utilisateurs des domaine : 4 Types de Noms N O M E x e m p l e Nom d’ouverture de session utilisateur JAYET PAT Nom d’ouverture de session Pré Windows 2000 DCSERVIA\JAYETPAT Nom Principal d’ouverture de session d’utilisateur, c’est le nom UPN (User Principal Name) Nom unique relatif LDAP (Lightweight Directory Access Protocol) ► les administrateurs utilisent cette syntaxe en ligne de commande pour ajouter des utilisateurs à partir d’un script ou d’une ligne de commande CN=JAYETPAT, CN=USERS, DC= DCSERVIA.DOM

1- le nom utilisateur d’ouverture de session
Module 2 : Administration des comptes utilisateurs et ordinateurs Noms associés aux comptes utilisateurs du domaine  Lors de la création d’un compte utilisateur, l’administrateur tape un nom d’ouverture de session utilisateur.  Le nom d’ouverture de session doit être unique dans la forêt dans laquelle le compte utilisateur est créé.  Le compte créé est utilisé comme nom unique relatif. L’utilisateur tape : 1- le nom utilisateur d’ouverture de session 2- un mot de passe 3- le nom du domaine  Les noms d’ouverture de Session peuvent comporter jusqu’à 20 caractères (reconnus) majuscules et minuscules.

Module 2 : Administration des comptes utilisateurs et ordinateurs Noms associés aux comptes utilisateurs du domaine  Un nom de compte utilisateur peut inclure une combinaison de caractères spéciaux et alphanumériques, Exceptions : “ \ / [ ] : ; Ι + * ? < > . “ Bon exemple : JAYETPAT………est un nom d’ouverture correct JAYETPAT12695……est correct JayeTp1At2695……. est correct est correct Incorrect : J-AYET/PAT.\\12:695

Module 2 : Administration des comptes utilisateurs et ordinateurs Création d’une Convention d’Attribution de noms pour les comptes utilisateurs Une Convention d’attribution de nom pour les compte utilisateur doit tenir compte : ● des employés homonymes ● des différents types d’employés, comme les intérimaires ou les titulaires

Module 2 : Administration des comptes utilisateurs et ordinateurs Création d’une Convention d’Attribution de noms pour les comptes utilisateurs  Une convention d’attribution des noms de comptes doit être adaptée en fonction des noms homonymes dans l’entreprise.  Une méthode adaptée consiste à utiliser : 1) Prénom + initiale du nom 2) Ajouter des lettres du nom pour les noms identiques Exemple : JAYETPAT → JAYET PATRICK JAYETLYD → JAYET LYDIE Dans certains cas, il n’est pas inintéressant d’identifier les employés par un préfixe ajouté au nom d’ouverture de Session, en fonction du Service qui l’emploie : Exemple : V-JAYETPAT → V= VENTES C-JAYETLYD → C= COMPTABILITE

Conception Géopolitique Conception d’Entreprise
Module 2 : Administration des comptes utilisateurs et ordinateurs Positionnement des comptes utilisateurs dans une hiérarchie Conception Géopolitique Conception d’Entreprise Image Dossier Amérique du Nord Comptabilité Utilisateurs Utilisateurs Image liste utilisateurs Ventes Amérique du Sud Utilisateurs Utilisateurs

Options de compte Descriptions
Module 2 : Administration des comptes utilisateurs et ordinateurs Options de compte Descriptions L’utilisateur doit changer le mot de passe à la prochaine ouverture de session Les utilisateurs doivent modifier leur mot de passe la prochaine fois, lorsqu’ils ouvriront une nouvelle session sur le réseau : Suite à la création d’un nouveau compte ou à la réinitialisation du compte par l’Administrateur. L’utilisateur ne peut pas changer son mot de passe Un utilisateur ne possède pas les autorisations pour changer son mot de passe. Permet à l’Administrateur de contrôler le moment où celui-ci peut-être modifié. Le mot de passe n’expire jamais Le mot de passe d’un utilisateur ne peut pas expirer. Préférable de ne pas l’utiliser pour des raisons de sécurité d’accès au domaine. Le compte est désactivé Un utilisateur ne peut plus ouvrir de session avec le compte de session. Suite à des erreurs de saisie consécutives d’un utilisateur ou de la décision de l’Administrateur du réseau.

Administration des comptes utilisateurs et ordinateurs
Module 2 : Administration des comptes utilisateurs et ordinateurs Procédure de création de comptes utilisateurs Atelier Voir Fiche Séquence FSQ 10-M2144 – TP 08 Créer des comptes d’utilisateur de domaine Créer des comptes d’utilisateur local Note : Vous en pouvez pas créer de comptes d’utilisateurs locaux sur un contrôleur de domaine.

Module 2 : Administration des comptes utilisateurs et ordinateurs Description et fonction des comptes d’ordinateurs ♦ Un compte utilisateur fournit un moyen d’authentifier et d’auditer l’accès aux ordinateurs du réseau, ainsi qu’aux ressources du domaine. ♦ Dans Active Directory, les ordinateurs sont des unités de sécurité, au même titre que les utilisateurs. ♦ Pour être authentifier, un utilisateur doit disposer d’un compte valide sur le domaine et ouvrir une session sur le domaine à partir d’un ordinateur lui- même validé et identifié dans Active Directory.

- Fonctions de Active Directory
Module 2 : Administration des comptes utilisateurs et ordinateurs Intérêt de la création d’un compte d’ordinateur ● SECURITE ● ADMINISTRATION - Authentification - IPSec - Audit - Fonctions de Active Directory Déploiement de logiciels Gestion des bureaux - Inventaire matériel et logiciel par SMS

Module 2 : Administration des comptes utilisateurs et ordinateurs Intérêt de la création d’un compte d’ordinateur ● Les ordinateurs sont chargés d’effectuer des tâches clés : ▪ Authentification des ouvertures de session utilisateurs ▪ Distribution des adresses IP (Internet Protocol) ▪ Gestion de l’intégralité de Active Directory ▪ Application des stratégies de sécurité ▪ Activités de sécurité et de gestion des ressources

Module 2 : Administration des comptes utilisateurs et ordinateurs Intérêt de la création d’un compte d’ordinateur ► SECURITE ● Un compte d’ordinateur doit-être créé dans Active Directory ● L’ordinateur peut utiliser des processus d’authentification avancés tel que l’authentification Kerberos et la Sécurité IPSec (Internet Protocol Sécurity) ● IPSec permet de crypter le trafic ► ADMINISTRATION Les comptes d’ordinateur aident l’administrateur système à gérer la structure du réseau : ● Gestion des fonctions graphiques de l’environnement utilisateur ● Automatisation du déploiement des logiciels ● Administration de l’inventaire du parc matériel et logiciel par SMS (Systems Management Server)

Module 2 : Administration des comptes utilisateurs et ordinateurs Emplacement de création des comptes d’ordinateurs dans un domaine ♦ Les administrateurs disposent dans Active Directory d’un conteneur ( U O) nommé Computer par défaut ♦ Au même titre que les comptes utilisateurs, les comptes d’ordinateur se composent : ▪ d’un nom ▪ d’un mot de passe ▪ d’un I D de sécurité (SID, Security Indentification) Ces propriétés sont incorporées à la classe objet de l’ordinateur dans Active Directory (Base de Registre)

Module 2 : Administration des comptes utilisateurs et ordinateurs Emplacement de création des comptes d’ordinateurs dans un domaine

Module 2 : Administration des comptes utilisateurs et ordinateurs Emplacement de création des comptes d’ordinateurs dans un domaine  Lorsqu’un ordinateur non déclaré dans le domaine au préalable, est joint à un domaine, le compte ordinateur est créé par défaut dans le conteneur Computers  Par défaut les utilisateurs authentifiés d’Active Directory peuvent ajouter jusqu’à 10 ordinateurs, chacun, au domaine avec les identifications de leur compte d’utilisateurs, dans le conteneur par défaut.  Pour éviter ces ajouts par défaut, il est nécessaire que l’administrateur créé un compte d’ordinateur au préalable.  L’ajout d’un compte d’ordinateur au domaine avec un compte précédemment créé s’appelle la pré-génération.

1- Ordinateur pré-Windows 2000 choix
Module 2 : Administration des comptes utilisateurs et ordinateurs Options des Comptes d’Ordinateur Il existe 2 fonctions facultatives que l’on peut activer lors de la création d’un compte d’ordinateur : 1- Ordinateur pré-Windows choix  Coché permet d’attribuer un mot de passe basé sur le nom de l’ordinateur  Non coché, le mot de passe sera aléatoire à la 1ère ouverture de Session  Le mot de passe change tous les 5 jours entre l’ordinateur et le domaine dans lequel est situé le compte d’ordinateur.  Cette option permet de garantir qu’un ordinateur antérieur à Windows pourra déterminer si le mot de passe respecte les exigences de mots de passe.

2- Contrôleur de Domaine Secondaire
Module 2 : Administration des comptes utilisateurs et ordinateurs Options des Comptes d’Ordinateur 2- Contrôleur de Domaine Secondaire  Activez cette case si vous comptez utiliser l’ordinateur comme contrôleur de domaine secondaire :  Fonction à utiliser si vous vous trouvez dans un environnement Windows 2003 et un Contrôleur Secondaire NT4.

Module 2 : Administration des comptes utilisateurs et ordinateurs Procédure de création d’un compte d’ordinateur TP09 ● Créer des comptes ordinateurs dans Active Directory en suivant la fiche Procédure FSQ10-m2144-TP09-Création Comptes Ordinateurs ▪ Fiche séquence : Description objectifs ▪ Fiche Procédure : Démarche détaillée

Module 2 : Administration des comptes utilisateurs et ordinateurs Création de Modèles de comptes utilisateurs Créez une classification distincte pour chaque département Créez un groupe distinct pour les employés à court terme et temporaires Définissez les dates d’expiration des comptes d’utilisateurs pour les employés à court termes et temporaires Désactivez le modèle de compte Identifiez le modèle de compte Exemple : Mettez un M- devant le compte modèle pour le distinguer

Module 2 : Administration des comptes utilisateurs et ordinateurs Procédure de création d’un compte modèle d’utilisateur Cf Fiche séquence FSQ 10 - m TP 11 Cf Fiche Procédure FSQ 10 – m2144 – TP 11

Module 2 : Administration des comptes utilisateurs et ordinateurs Modifications des propriétés des comptes d’utilisateurs et d’ordinateurs Quand modifier ? Modifiez les propriétés des Comptes d’utilisateur pour : ▪ Faciliter l’utilisation des fonctionnalités de recherche pour trouver des utilisateurs ▪ Reproduire la hiérarchie organisationnelle de la Société ▪ Déterminer l’appartenance à un groupe d’un compte d’utilisateur Modifier les propriétés des comptes d’ordinateur pour : ▪ Faciliter le suivi des ressources (propriété emplacement) ▪ Renseigner qui assure l’administration d’un ordinateur (propriété géré par)

Module 2 : Administration des comptes utilisateurs et ordinateurs Propriétés des Comptes Utilisateurs Découverte des onglets Propriétés

Module 2 : Administration des comptes utilisateurs et ordinateurs Propriétés des Comptes Utilisateurs

Module 2 : Administration des comptes utilisateurs et ordinateurs Création d’un modèle de Compte Utilisateur ♦ Le modèle de compte utilisateur est un compte utilisateur contenant les propriétés qui s’appliquent aux utilisateurs courants. ♦ Les modèles de comptes utilisateurs rationnalisent le création de compte utilisateur avec des configurations standard. Modèle de compte Utilisateur Standard Réplication du Modèle Standard

Module 2 : Administration des comptes utilisateurs et ordinateurs Création d’un modèle de Compte Utilisateur Utilité  Pour chaque nouveau compte utilisateur, vous ne devrez ajouter que les informations qui lui sont uniques. Exemple d’application ♦ une entreprise dispose de 15 commerciaux par lieux géographiques en Europe et dans le Monde (15 filiales) ♦ chaque filiale a déterminé que ses 15 commerciaux forment 1 groupe Vente ♦ 1 seul Responsable Vente est connu pour tous les commerciaux, pour toutes les filiales Demande ♦ Tous les employés commerciaux doivent faire partie des 15 groupes de Vente avec le même responsable. Solution a) vous créez un modèle qui inclut l’appartenance à tous les groupes et le responsable. b) vous recopiez X fois le modèle pour les commerciaux. Les appartenances aux groupes sont répercutées.

Module 2 : Administration des comptes utilisateurs et ordinateurs Propriétés d’un modèle de compte copié ONGLET PROPRIETES COPIEES Adresse Toutes les propriétés à l’exception de « Adresse » sont copiées. Elle sera à compléter le cas échéant, cas par cas. Compte Toutes les propriétés, à l’exception du Nom d’ouverture de Session de l’Utilisateur, sont copiées. Profil Toutes les propriétés à l’exception des entrées Chemin du profil et Dossier de base, reflètent le nom d’ouverture de Session du nouvel utilisateur Organisation Toutes les propriétés à l’exception de « Titre ». Membre de Toutes les propriétés.

PLAN DU COURS Module 1 : Présentation de l’administration des comptes et des ressources Module 2 : Administration des comptes Utilisateurs et ordinateurs Module 3 : Administration des groupes Module 4 : Administration des accès aux ressources Module 5 : Implémentation de l’impression Module 6 : Administration de l’impression Module 7 : Administration des accès aux objets dans les unités d’organisation Module 8 : Implémentation d’une stratégie de groupe Module 9 : Administration de l’environnement en stratégies de groupes Module 10 : Implémentation de modèle d’administration et de stratégie d’audit

Module 3 : Administration des groupes Vue d’ensemble Création de Groupes Administration de l’appartenance à un groupe Stratégies d’utilisation des groupes Utilisation des groupes par défaut Recommandations relatives à l’administration des groupes ATELIER : Création et administration des groupes

Module 3 : Administration des groupes Vue d’ensemble Un Groupe est un ensemble de comptes d’utilisateurs et de comptes d’ordinateurs administrables sous la forme d’une entité. Les groupes : Simplifient l’administration en permettant d’accorder des autorisations sur des ressources une seule fois à un groupe, plutôt qu’à chaque compte d’utilisateurs individuellement, Peuvent être situés dans Active Directory ou localement sur un ordinateur personnel, Se caractérisent par l’étendue et le type, Peuvent être imbriqués, cad qu’il est possible d’insérer une groupe dans un autre groupe

Module 3 : Administration des groupes

Module 3 : Administration des groupes Vue d’ensemble

Module 3 : Administration des groupes Vue d’ensemble Exemple : VENTES Comptabilité

Module 3 : Administration des groupes Vue d’ensemble L’étendue d’un groupe détermine si le groupe couvre plusieurs Domaines ou s’il est limité à un seul domaine. L’étendue d’un Groupe permet d’octroyer des autorisations. Elle détermine : - les domaines à partir desquels vous pouvez ajouter des membres au Groupe - Les domaines dans lesquels vous pouvez utiliser le groupe pour accorder des autorisations - Les domaines dans lesquels vous pouvez imbriquer le groupe dans d’autres groupes

Module 3 : Administration des groupes Vue d’ensemble - L’étendue d’un Groupe détermine également les membres du Groupe. Les règles d’appartenance gouvernent les membres qu’un groupe peut contenir et les groupes dont peut faire partie un groupe Les membres d’un groupe sont : Des comptes d’utilisateurs, Des comptes d’ordinateurs, d’autres groupes contenant eux-mêmes des objets similaires

Module 3 : Administration des groupes Bien comprendre les caractéristiques de l’étendue des groupes. Vous disposez des 4 étendues de groupe suivants : - GLOBALE - Domaine Local - Universelle - Locale Définition Groupe Global Un Groupe global est un groupe de sécurité ou de distribution qui peut contenir des utilisateurs, des groupes et des ordinateurs qui : appartiennent au même Domaine que le Groupe Global - Vous pouvez utiliser des groupes de sécurité Globaux pour affecter des droits utilisateurs et des autorisations d’accès aux ressources de n’importe quel domaine de la forêt.

Windows 2000 natif Windows Serveur 2003
Module 3 : Administration des groupes Description des niveaux fonctionnels d’un domaine Windows 2000 mixte ( par défaut) Windows 2000 natif Windows Serveur 2003 Windows NT Server 4.0 Windows 2000 Server Windows 2003 Server Windows 2000 Advanced Server Global, domaine local, Domaine local, Universel Contrôleur de domaine pris en charge Etendues de groupe prises en charge

Module 3 : Administration des groupes Vue d’ensemble TYPE DE GROUPE SECURITE Distribution DESCRIPTION Utilisée pour attribuer des droits et des autorisations d’utilisateurs Utilisable sous forme de liste de distribution de courrier électronique Utilisable Uniquement avec les applications de messagerie électronique. Ne peut pas être utilisée pour attribuer des autorisations.

1- Description des Groupes Globaux
Module 3 : Administration des groupes 1- Description des Groupes Globaux 2- Description des Groupes de Domaine local 3- Description des Groupes Universels 4- Description des Groupes locaux

Module 3 : Administration des groupes 1- Description des Groupes Globaux Définition. Un groupe Global est un groupe de Sécurité ou de Distribution qui peut contenir : - des Utilisateurs, - des ordinateurs, qui appartiennent au même Domaine que le Groupe Global Vous pouvez utiliser ces Groupes pour : - Affecter des droits Utilisateur, - des Autorisations d’accès aux ressources, de n’importe quel domaine de la forêt.

Règles de groupes Globaux
Module 3 : Administration des groupes Règles de groupes Globaux MEMBRES APPARTENANCE ETENDUE AUTORISATIONS ►Mode Mixte : Compte d’utilisateurs et Comptes d’ordinateurs du même domaine ► Mode Natif : Comptes d’utilisateurs,Comptes d’ordinateurs et groupes globaux du même domaine ► Mode Mixte : Groupes du Domaine local ► Mode Natif : Groupes Universel et de Domaine local dans un domaine quelconque et Groupes Globaux dans le même Domaine Tous les Domaines de la forêt et tous les domaines qui approuvent Tous les Domaines de la Forêt et tous les Domaines qui approuvent

Module 3 : Administration des groupes 1- Description des Groupes Globaux Conditions d’utilisation : Etant donné que les Groupes Globaux sont visibles dans toute la forêt, ne les utilisez pas pour accorder des accès aux ressources propres à un domaine. Utilisez-les plutôt pour organiser les utilisateurs qui partagent des tâches professionnelles et qui ont des besoins similaires d’accès au réseau. Il existe un autre type de groupe plus approprié pour contrôler les accès aux ressources d’un domaine. 2- Description des Groupes de Domaine local 3- Description des Groupes Universels 4- Description des Groupes locaux

2- Description des Groupes de Domaine local
Module 3 : Administration des groupes 2- Description des Groupes de Domaine local Définition. Un groupe de Domaine Local est un groupe de Sécurité ou de Distribution qui peut contenir : - Des Groupes Universels, - Des Groupes Globaux; - d’autres Groupes locaux de son propre Domaine, - Des comptes de n’importe quel Domaine de la Forêt Vous pouvez utiliser ces Groupes pour : - Affecter des droits Utilisateur, - des Autorisations d’accès aux ressources, UNIQUEMENT dans le domaine auquel appartient le groupe de Domaine Local.

2- Description des Groupes de Domaine local
Module 3 : Administration des groupes 2- Description des Groupes de Domaine local Membres Mode Mixte : Comptes utilisateurs,ordinateurs,Groupes Globaux de n’importe quel Domaine, Mode natif :Un Groupe Universel peut contenir des Comptes Utilisateurs, Ordinateurs, Groupes Globaux et Groupes Universels qui appartiennent à n’importe quel domaine de la forêt , ainsi que des Groupes de Domaine Local du Même Domaine, Appartenance Mode Mixte : Aucun @ En mode Natif, Groupe de Domaine local du même Domaine Etendue Les Groupes de Domaine local ne sont visibles QUE dans son propre Domaine Autorisations Domaine auquel appartient le Groupe de domaine local

Module 3 : Administration des groupes 1- Description des Groupes Globaux 2- Description des Groupes de Domaine local Conditions d’utilisation :Utilisez un groupe de Domaine Local pour affecter des autorisations aux ressources qui se trouvent dans le MEME DOMAINE que le Groupe de Domaine local. Vous pouvez placer tous les groupes globaux qui doivent partager les mêmes ressources dans le domaine local approprié. 3- Description des Groupes Universels 4- Description des Groupes locaux

MULTIMEDIA INFOS MICROSOFT
Module 3 : Administration des groupes MULTIMEDIA INFOS MICROSOFT F:\Cours Réseaux MCSE 2003\Cours MCSE 2003_Tosh\Multimedia\Media\2144A_2270a_06_2_3_0_a.html

3- Description des Groupes Universels
Module 3 : Administration des groupes 3- Description des Groupes Universels Définition. Un groupe Universel est un groupe de Sécurité ou de Distribution qui peut contenir : - des Utilisateurs, - des ordinateurs, qui appartiennent à n’importe quel Domaine de la forêt Vous pouvez utiliser ces Groupes pour : - Affecter des droits Utilisateur, - des Autorisations d’accès aux ressources, de n’importe quel domaine de la forêt.

3- Description des Groupes Universels
Module 3 : Administration des groupes 3- Description des Groupes Universels Synthèse des caractéristiques Membres Mode Mixte : Pas de création de groupes Universel autorisé Mode natif :Un Groupe Universel peut contenir des Comptes Utilisateurs, Ordinateurs, Groupes Globaux et Groupes Universels qui appartiennent à n’importe quel domaine de la forêt Appartenance @ le Groupe Universel n’est pas applicable en Mode Mixte @ En mode Natif, un Groupe universel peut être membre de groupes locaux et de Groupes universels appartenant à n’importe quel domaine Etendue Les Groupes Universels sont visibles dans tous les domaines de la forêt et dans les domaines qui approuvent Autorisations Vous pouvez octroyer des autorisations à un Groupe Universel pour tous les Domaines de la Forêt

Windows 2000 natif Windows Serveur 2003
Module 3 : Administration des groupes Description des niveaux fonctionnels d’un domaine : RAPPEL Windows 2000 mixte ( par défaut) Windows 2000 natif Windows Serveur 2003 Windows NT Server 4.0 Windows 2000 Server Windows 2003 Server Windows 2000 Advance Server Global, domaine local, Domaine local, Universel Contrôleur de domaine pris en charge Etendues de groupe prises en charge

Module 3 : Administration des groupes 1- Description des Groupes Globaux 2- Description des Groupes de Domaine local 3- Description des Groupes Universels Conditions d’utilisation : Utilisez les groupes universels pour imbriquer des groupes Globaux afin d’affecter des autorisations à des ressources apparentées à plusieurs Domaines. Une domaine Windows Server 2003 doit fonctionner en mode Windows 2000 natif ou supérieur pour pouvoir utiliser les groupes universels. 4- Description des Groupes locaux

3- Description des Groupes Locaux
Module 3 : Administration des groupes 3- Description des Groupes Locaux Définition. Un groupe local est un ensemble de comptes utilisateurs, ou comptes de groupes de domaine créés sur : - Un serveur membre, - Un serveur autonome, Vous pouvez créer des groupes locaux dans la base de données de sécurité locale (SAM). Un groupe local peut contenir : - des utilisateurs, - des comptes d’ordinateurs, - des groupes : globaux, Universels, et d’autres groupes de domaine local.

3- Description des Groupes Locaux
Module 3 : Administration des groupes 3- Description des Groupes Locaux Définition. Certains groupes ayant une étendue locale de domaine sont parfois appelé « Groupes locaux ». Il est important de distinguer un groupe local d’un groupe ayant une étendue locale de domaine. Les groupes locaux sont parfois appelés « Groupes locaux de machines » pour les distinguer des groupes de domaine local. Un groupe local peut contenir des comptes d’utilisateurs locaux situés sur l’ordinateur à partir duquel vous avez créé le Groupe local. Les groupes locaux ne peuvent être membres d’aucun autre Groupe.

Module 3 : Administration des groupes 1- Description des Groupes Globaux 2- Description des Groupes de Domaine local 3- Description des Groupes Universels 4- Description des Groupes locaux Conditions d’utilisation : Vous ne pouvez utiliser des groupes locaux que sur l’ordinateur à partir duquel vous les avez créés. Les autorisations liées à un groupe local donnent uniquement accès aux ressources de l’ordinateur sur lequel vous avez créé le groupe local Vous pouvez utiliser les groupes locaux sur les ordinateurs dotés des systèmes d’exploitation clients Microsoft actuellement pris en charge et sur les serveurs membres de type Windows Server 2003. Vous ne pouvez pas créer des groupes locaux sur le Contrôleur de Domaine, car ces derniers ne peuvent pas avoir une Base de Données de sécurité indépendante de la base de données Active Directory. Créez des groupes locaux pour limiter l’accès des utilisateurs et des groupes locaux aux ressources du réseau si vous ne voulez pas créer de groupes de Domaine.

4- Règles des Groupes Locaux
Module 3 : Administration des groupes 4- Règles des Groupes Locaux Synthèse des caractéristiques Membres Comptes d’utilisateurs locaux provenant de l’ordinateur, des Comptes de Domaines et des groupes de Domaines Appartenance AUCUNE

1- Emplacement de création des groupes
Module 3 : Administration des groupes 1- Emplacement de création des groupes 2- Instructions d’attribution de Noms aux groupes 3- Procédure de création d’un Groupe 4- Atelier pratique : Création de Groupes Globaux et Locaux

Module 3 : Administration des groupes 1- Emplacement de création des groupes Les groupes peuvent être créés : Dans le Domaine Racine de la Forêt, Dans un autre Domaine de la Forêt, Dans une unité d’Organisation ( OU) (UO) Choisissez le Domaine ou l’Unité d’organisation dans lequel vous voulez créer le groupe en fonction des conditions d’administration associées au groupe. Exemple : Si votre Annuaire possède plusieurs Unités d’organisation dont chacune possède une Administrateur différent, vous pouvez y créer des Groupes locaux.

Module 3 : Administration des groupes 1- Emplacement de création des groupes Introduction. Dans Active Directory, les groupes sont créés dans les Domaines. Utilisez la Console Utilisateurs et Ordinateurs Active Directory pour créer des groupes. Vous pouvez créer des groupes dans n’importe quel Domaine de la forêt ou dans une unité d’organisation, si vous disposez des autorisations nécessaires. Outre le Domaine dans lequel il est créé, un Groupe se caractérise également par son étendue. L’étendue du Groupe détermine : Le Domaine à partir duquel vous pouvez ajouter des membres, Le Domaine dans lequel les droits utilisateur et les autorisations affectés au groupe sont valides.

Module 3 : Administration des groupes 1- Emplacement de création des groupes Choix d’un Domaine ou d’une Unité d’Organisation Choisissez le Domaine ou l’Unité d’organisation dans lequel ou dans laquelle vous voulez créer le groupe en fonction des conditions d’administration associées au Groupe. Exemple : Votre Annuaire ( AD) possède plusieurs UO Chaque UO est gérée par un administrateur différent. Vous pouvez créer des Groupes Globaux dans les UO pour permettre aux administrateurs d’administrer l’appartenance des utilisateurs aux Groupes dans leurs UO respectives. Si vous vous devez utiliser des Groupes pour contrôler les accès en dehors de l’UO, vous pouvez imbriquer les Groupes dans l’UO pour former des groupes Universels utilisés ailleurs dans la forêt.

2- Instructions d’attribution de Noms aux groupes
Module 3 : Administration des groupes 2- Instructions d’attribution de Noms aux groupes Introduction. Dans Active Directory il existe de nombreux groupes de sécurité et de Distribution. Les conventions d’attribution de Noms doivent refléter le schéma des entreprises autant que possible. Tenez compte des éléments suivants lorsque vous définissez une convention d’attribution de Noms pour les Groupes de sécurité : Exemples Etendue de Groupe de sécurité GG IT Admins G pour Groupes Globaux UN Tous les IT Admins U pour Groupes Universels DL IT Admins Full Control DL pour Groupes de Domaine Local Propriétaires du groupe de Sécurité : G Marketing Managers Identifie clairement le propriétaire en incluant le Nom de la Division DL IT Admins Full COntrol

2- Instructions d’attribution de Noms aux groupes
Module 3 : Administration des groupes 2- Instructions d’attribution de Noms aux groupes Introduction. Exemples Nom de Domaine G DCServia1 Marketing DL DCServia2.Dom IT Admins Read Etc… Groupes locaux. Le nom d’attribution d’un Groupe local ne peut pas être identique au nom d’un autre groupe ou d’un utilisateur sur l’ordinateur local Administré. Un Nom de groupe local ne peut pas contenir des caractères interdits tels que : . (Point) ou des Espaces. Evitez les caractères : / \ [ ] : ; | , + * ? < >

3- Procédure de création d’un Groupe
Module 3 : Administration des groupes 3- Procédure de création d’un Groupe

Cursus de Certifications Informatiques Microsoft Serveur 2003 MCSE MCSA 8 Modules 5 Examens Durée Options M J MCSA/CP M J M2177.

Présentations similaires

Présentation au sujet: "Cursus de Certifications Informatiques Microsoft Serveur 2003 MCSE MCSA 8 Modules 5 Examens Durée Options M J MCSA/CP M J M2177."— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back

Entrer

S'autoriser via un réseau social:

Cursus de Certifications Informatiques Microsoft Serveur 2003 MCSE MCSA 8 Modules 5 Examens Durée Options M J MCSA/CP M J M2177.

Présentations similaires

Présentation au sujet: "Cursus de Certifications Informatiques Microsoft Serveur 2003 MCSE MCSA 8 Modules 5 Examens Durée Options M J MCSA/CP M J M2177."— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back