Administration d'un serveur Windows 200x Partie 2

Administration d'un serveur Windows 200x Partie 2
Server Administration d'un serveur Windows 200x Partie 2 Yonel GRUSSON

Sommaire Première Partie Les outils : Les consoles d'administration
Mode Natif / Mode Mixte L'Active Directory Création d'un compte d'utilisateur Création d'une unité organisationnelle Déplacement d'un objet dans l'Active Directory Yonel GRUSSON

Sommaire L'Active Directory Les Groupes
Type, étendue et contenu des groupes Les groupes prédéfinis Création d'un groupe Ajout dans un groupe Partage et publication d'un dossier partagé Yonel GRUSSON

Sommaire Seconde Partie Stratégies de groupe Les Quotas
Distributed File System (DFS) Les relations d'approbation Yonel GRUSSON

Les stratégies de sécurité
Une stratégie de groupe ou GPO (*) est un ensemble de paramètres applicable à des utilisateurs, des groupes d'utilisateurs ou des ordinateurs. Une GPO peut être définie pour un ordinateur local, un site, un domaine ou une unité organisationnelle. (*) GPO = Group Policy Object (Policy = Politique) Yonel GRUSSON

La stratégie s'impose à TOUS les objets situés dans le conteneur où est appliquée cette stratégie (ordinateur local, OU, site ou domaine). Les GPO sont des objets de l'Active Directory. Yonel GRUSSON

Les stratégies de groupe supportent l'héritage. Par défaut, si aucune stratégie n'est définie sur un conteneur, les stratégies du conteneur parent s'appliquent. L'ordre d'application est le suivant : site, domaine et unité organisationnelle (note : des UOs peuvent être imbriquées). Yonel GRUSSON

En l'absence de conflit, il y a cumul des stratégies. En cas de conflit, l'ordre de préséance est : Stratégie de l'UO Stratégie du domaine Stratégie du site Stratégie de l'ordinateur local Il s'agit de la stratégie la plus proche de l'objet Yonel GRUSSON

Création ou Modification au niveau d'un SITE : Yonel GRUSSON

Création ou Modification au niveau d'un DOMAINE : Yonel GRUSSON

Création ou Modification au niveau d'un DOMAINE : On modifier la GPO par défaut ou en créer une nouvelle (cumul) Yonel GRUSSON

Création ou Modification au niveau d'une UO : Yonel GRUSSON

Création ou Modification au niveau d'une UO : Il est possible de réutiliser une GPO défini sur un autre objet Yonel GRUSSON

Consoles dans les outils d'administration : Cette console concerne l'UO des contrôleurs de domaine (Domain Controlers) de l'Active Directory Yonel GRUSSON

Consoles dans les outils d'administration : Cette console est équivalente à : "Paramètres Windows" sous la "Configuration ordinateur" de la GPO définie sur l'UO "Domain Controlers" Yonel GRUSSON

Consoles dans les outils d'administration : Yonel GRUSSON

Consoles dans les outils d'administration : Cette console est équivalente à : "Paramètres Windows" sous la "Configuration ordinateur" de la GPO définie sur le domaine Yonel GRUSSON

Aperçu de quelques sécurités Il est impossible de passer en revue toutes les stratégies de sécurité (Windows 2003 en propose 220 de plus que Windows 2000) . Chacune d'elle est associée à une aide qu'il faut consulter. Yonel GRUSSON

D'une façon générale les différentes stratégies que l'on peut mettre en place sont : Paramètres logiciel : Pour permettre la diffusion et le déploiement de logiciels pour des utilisateurs et des ordinateurs. Modèles d'administration : Pour paramétrer l'environnement des utilisateurs (niveau d'accès au panneau de configuration, les quotas de disques, etc.) Yonel GRUSSON

Les modèles d'administration utilisent des fichiers ".adm". Ces fichiers modèles permettent de créer 2 fichiers Registry.pol qui lors de la connexion d'un utilisateur viennent modifier la base de registre de la station. Un fichier modifie HKEY_CURRENT_USER et l'autre HKEY_LOCAL_MACHINE. Yonel GRUSSON

Les paramètres des modèles d’administration proposent les options suivantes : Non Configurée : Windows ignore ce paramètre et aucune modification n'est apportée dans la base de registre Activée : le paramètre est activé et la valeur est ajoutée dans Registry.pol Yonel GRUSSON

Désactivée : le paramètre est désactivé et la valeur est ajoutée dans Registry.pol <Valeur> : Pour certains paramètres une ou des valeurs peuvent être ajoutées. Rappel : Le modèles d'administration qui configure l'environnement de l'utilisateur est chargé sur la station Yonel GRUSSON

Les Scripts : Pour permettre l'exécution de scripts soit à l'ouverture ou la fermeture d'une session soit au démarrage ou l'arrêt d'un ordinateur. La sécurité : Pour définir les différentes stratégies de sécurité comme les mots de passe, l'audit, etc. La redirection de répertoire : Pour rediriger certains répertoire des utilisateurs (menu démarrer, bureau, etc.) Yonel GRUSSON

Stratégies sur le domaine…. Yonel GRUSSON

Configuration Ordinateur Permet à l'administrateur de définir des stratégies appliquées aux ordinateurs quelque soit l'utilisateur qui ouvre une session Configuration Utilisateur Permet à l'administrateur de définir des stratégies appliquées aux utilisateurs quelque soit l'ordinateur sur lequel ils ouvrent une session Yonel GRUSSON

Quand les stratégies définies ne concernent qu'une seule partie, il est possible de désactiver l'autre. Yonel GRUSSON

Paramètres du logiciel Permet le déploiement et la diffusion de logiciels sur des ordinateurs (pour tous les utilisateurs) ou auprès des utilisateurs Yonel GRUSSON

Paramètres Windows de l’ordinateur L’ordinateur est dans ce cas un serveur ces stratégies sont donc importantes car elles proposent de nombreuses sécurités liées aux connexions et d’une façon générale à la gestion du réseau. Yonel GRUSSON

Paramètres Windows Tenir compte de l'option "N'expire jamais" dans les propriétés de l'utilisateur Yonel GRUSSON

Yonel GRUSSON

Seuil de verrouillage : Nombre de tentatives d'ouverture de session infructueuses autorisées Durée de verrouillage : Nombre de minutes pendant lequel le compte reste verrouillé (la valeur 0 = Verrouillage permanent – Intervention de l'administrateur) Réinitialiser le compteur : Nombre de minutes après lequel le compteur des tentatives est remis à 0. Délai de réinitialisation <= Durée de verrouillage Yonel GRUSSON

Stratégie Kerberos Yonel GRUSSON

Auditer certains évènements … Yonel GRUSSON

Les droits des utilisateurs… Yonel GRUSSON

Autres options de sécurité… Yonel GRUSSON

Paramétrages du journal des évènements… Yonel GRUSSON

Paramètres Windows de l’utilisateur Yonel GRUSSON

Répertoire par défault Scripts d’ouverture et de fermeture de session pour tous les utilisateurs. Ne pas confondre avec les scripts de connexion individuel. Yonel GRUSSON

Yonel GRUSSON

Le répertoire désigné contiendra les icônes du bureau Yonel GRUSSON

Configuration individuelle d’IE Yonel GRUSSON

Les modèles d’administration de l’ordinateur Yonel GRUSSON

Il s’agit de la configuration générale d’I.E Yonel GRUSSON

Yonel GRUSSON

Les modèles d’administration de l’utilisateur Partie importante car ces modèles permettent à l’administrateur de configurer l’environnement de travail des utililisateurs Yonel GRUSSON

Yonel GRUSSON

Stratégies sur une Unité Organisationnelle On retrouve les mêmes éléments mais ils s’appliqueront uniquement aux objets contenus par cette UO (ordinateurs et/ou utilisateurs Yonel GRUSSON

Les QUOTAS Les QUOTAS permettent à l'administrateur de limitée l'espace disque d'un utilisateur. Les QUOTAS sont activés au niveau d'un disque (ou partition). Ils peuvent être plus ou moins restrictifs Yonel GRUSSON

Les QUOTAS Yonel GRUSSON

Les QUOTAS Activation des quotas
Règles qui s'appliquent à l'utilisateur qui ne dispose d'aucune entrée de quota Yonel GRUSSON

Les QUOTAS Entrée de Quota Yonel GRUSSON

Distributed File System - DFS
Le système DFS permet à l'administrateur de regrouper les différentes ressources partagées d'un ou plusieurs utilisateurs sous un seul partage. Intégrée à l'Active Directory une ressource DFS rend tous les partages transparents pour les utilisateurs. Yonel GRUSSON

Application : L’adminstrateur désire présenter ces 2 partages à l’aide d’une seule connexion réseau Yonel GRUSSON

Images capturée sous 2003 – Les interfaces 2000 sont très peu différentes Yonel GRUSSON

Yonel GRUSSON

Si le partage "Gibson" n'existe pas l'assistant vous demande de le créer Yonel GRUSSON

Ajout des autres partages sous la racine : Yonel GRUSSON

Yonel GRUSSON

Sur le disque du serveur on trouve : Chrono et Dossiers sont ici des lien et non des répertoires Yonel GRUSSON

Utilisation par un utilisateur : Yonel GRUSSON

Publication dans l'Active Directory Yonel GRUSSON

Il est possible d’imbriquer les racines DFS Yonel GRUSSON

Il y a 2 types de racines DFS : Racine Autonome : Racine implanté sur un serveur, elle n'utilise pas l'Active Directory (différent de la publication citée précédemment). Racine de Domaine : Racine implantée dans l'Active Directory qui prend en charge la réplication des fichiers Yonel GRUSSON

Les Relations d'Approbations Le Problème….
Que doit faire l'administrateur du domaine D1 pour permettre à un utilisateur X de ce domaine d'utiliser la ressource R du domaine D2 ? Domaine D2 Domaine D1 R X Yonel GRUSSON

Le Problème…. Première solution :
L'utilisateur X est déclaré une seconde fois sur le domaine D2. Mais il s'agit d'un autre utilisateur, même avec le même nom et un mot de passe identique. Il y a une redondance qui oblige l'utilisateur à gérer ses connexions. Il est aussi possible de dupliquer la ressource (pas toujours possible, problème de licence,etc. Seconde solution : Mise en place d'une relation d'approbation Yonel GRUSSON

La Relation d'Approbation
Une relation d'approbation permet à un domaine (D2) de reconnaître (approuver) tous les comptes d'un autre domaine (D1) * D2 approuve D1. * D2 est le domaine approbateur. Domaine D2 Domaine D1 Ensemble des ressources Ensemble des utilisateurs * D1 est approuvé par D2 Yonel GRUSSON Flèche : Des ressources vers les utilisateurs

Avec une relation d'approbation, un utilisateur du domaine D1 : Se connecte et est authentifié par D1 (il ne figure pas dans l'Active Directory de D2). Utilise les ressources de D2. Pour cela il faut que l'administrateur de D2 affecte des permissions sur les ressources de D2 pour les groupes et/ou utilisateurs de D1. Rappel : La relation d'approbation seule donne un droit d'accès au domaine et non un droit d'utiliser les ressources de ce domaine. Yonel GRUSSON

L'administrateur d'un domaine peut donc être amené à : Demander l'approbation de son domaine. En général c'est l'administrateur des utilisateurs ''demandeurs'' qui réclame que son domaine soit approuvé Approuver un autre domaine. En général à la suite d'une domaine d'approbation (cas précédent) Yonel GRUSSON

L'administrateur d'un domaine peut donc être amené à : Gérer les permissions sur ses ressources pour les utilisateurs d'un domaine approuvé. A partir du moment ou une relation d'approbation à été mise en place, la fenêtre de connexion de l'utilisateur présentera tous les domaines concernés. Yonel GRUSSON

Dans la mise en place des relations d'approbation, il faut bien distinguer les systèmes : NT4 Server. Aucune relation d'approbation n'est crée automatiquement. L'administrateur doit les implanter (cf. cours NT4). Windows 2000 et 2003 Server. Depuis Windows 2000 Server, des approbations bidirectionnelles transitives sont crées à la création d'un sous-domaine ou l'ajout d'un arbre de domaine dans une forêt. Les relations créées par l'administrateur seront dites explicites. Yonel GRUSSON

D1 Approuve D2 Domaine D1 Domaine D2 D2 Approuve D1 D3 Approuve D2 Bidirectionnelle : D1 Approuve D2 et D2 Approuve D1 Transitive : D1 approuve D2 et D2 approuve D3 donc D1 approuve D3 Attention : Entre les domaines NT les relations d'approbation ne sont jamais transitives D2 Approuve D3 Domaine D3 Yonel GRUSSON

Observation d'une situation : Yonel GRUSSON

gestion.ab (domaine 2000) peda approuve gestion.ab peda (domaine NT4) Gestion.ab approuve peda Les relations créées par l'administrateur sont dites EXTERNES tsinfo.ab approuve gestion.ab gestion.ab approuve tsinfo.ab tsinfo.ab (domaine 2000) Yonel GRUSSON

Création d’une relation d’approbation
Premier exemple : Entre un domaine NT4 nommé peda et un domaine Windows 2003 nommé clapton.sts. L'administrateur du domaine clapton.sts désire que les utilisateurs de son domaine puissent utiliser les ressources du domaine peda c'est à dire d'être authentifiés par ce domaine. Il va demander à être approuvé par ce domaine Yonel GRUSSON

Avec un domaine NT4 (entre le domaine 2003 clapton.sts et le domaine NT4 peda) Yonel GRUSSON

Sur le serveur du domaine clapton.sts : Yonel GRUSSON

Ce mot de passe sera communiqué à l'administrateur du domaine peda afin qu'il puisse (ou non) valider l'approbation Yonel GRUSSON

Yonel GRUSSON

Sur le serveur du domaine peda : Yonel GRUSSON

Yonel GRUSSON

Deuxième exemple : Entre 2 domaines Windows 2003 Server. Établissement d'une relation d'approbation bidirectionnelle entre les domaines clapton.sts et serv.bts. serv.bts Serveur : jfcas (domaine 2003) Clapton.sts doit approuver serv.bts Serv.bts doit approuver clapton.sts clapton.sts Serveur : eric Yonel GRUSSON

Remarques : Il y a plusieurs façons de créer une relation d'approbation entre des domaines Windows 200x, en fonction : De l'objectif : relation bidirectionnelle, entrante ou sortante, Des conditions matérielles : domaines appartenant ou non à la même organisation, etc. Yonel GRUSSON

Remarques : Dans l'exemple qui suit, la relation sera créée à partir du domaine clapton.sts (serveur eric) et sera validée directement à partir de ce serveur car l'administrateur de clapton.sts et également administrateur sur serv.bts. Yonel GRUSSON

Condition préliminaire, les serveurs DNS doivent "se voir" mutuellement Yonel GRUSSON

Yonel GRUSSON

Résumé de l'opération Yonel GRUSSON

Yonel GRUSSON

On obtient sur le domaine serv.bts : Yonel GRUSSON

Yonel GRUSSON

Mise à disposition des ressources
Attribution de permissions aux utilisateurs du domaine serv.bts : On désire donner des permissions d'accès au utilisateurs du domaine serv.bts sur le répertoire Gibson. Yonel GRUSSON

L'administrateur de clapton.sts ne fait pas partie des administrateurs de serv.bts Yonel GRUSSON

Domaine A Domaine B Groupe Global Groupe local Le groupe global contiendra les utilisateurs qui désirent utiliser les ressources du domaine A Le Groupe local contiendra le groupe global du domaine B avec éventuellement d'autres utilisateurs et/ou groupes du domaine A Yonel GRUSSON

Il est évidemment possible d'ajouter nominativement des utilisateurs du domaine B dans le groupe local du domaine A. Mais dans le cas de domaines éloignés et/ou de domaines administrés par des personnes différentes, il est préférable et plus simple d'utiliser un groupe global intégré dans un groupe local. L'administrateur du domaine B ajoute et supprime des utilisateurs dans le groupe global et ceci sans faire intervenir l'administrateur du domaine A Yonel GRUSSON

Administration d'un serveur Windows 200x Partie 2

Présentations similaires

Présentation au sujet: "Administration d'un serveur Windows 200x Partie 2"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back

Entrer

S'autoriser via un réseau social:

Administration d'un serveur Windows 200x Partie 2

Présentations similaires

Présentation au sujet: "Administration d'un serveur Windows 200x Partie 2"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back