SlideShare une entreprise Scribd logo
Bienvenue
Sponsor Officiel
Qu’est ce que TechNet ?
• Un site Web très orienté technique
– http://www.microsoft.com/france/technet/default.mspx
• Une newsletter personnalisable
– http://www.microsoft.com/france/technet/presentation/flash/default.mspx
• Des séminaires techniques toute l’année, partout en
France
– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx
• Des Webcasts accessibles à tout instant
– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx
• Un abonnement
– http://www.microsoft.com/france/technet/presentation/cd/default.mspx
Conception d'une architecture
Active Directory
pour Windows Server 2003 Animateur
Logistique
Pause en milieu de
session
Vos questions sont les
bienvenues.
N’hésitez pas !
Feuille d’évaluation à
remettre remplie en fin
de session
Cédérom
Commodités Merci d’éteindre
vos téléphones
Agenda
• Concepts et évolutions apportées par
Windows Server 2003
• Conception de l'espace de noms Active
Directory
• Planification des services
• Les stratégies de groupes
• Conclusion / Q&A
Annuaire et Schéma
• Un annuaire est un emplacement de stockage
utilisé comme référentiel
• L’annuaire aura un taux de lectures/écritures
très élevé.
• Un annuaire est un espace de stockage
hiérarchique (non relationnel)
• Tout élément de l’annuaire est un objet doté
d’attributs
– Ex : l’objet de type Utilisateur possède un attribut Numéro de
téléphone
• Les définitions des classes d’objets et des
attributs sont accessibles via le schéma
Stockage (distribué) de données identifiant les
ressources présentes dans le système informatique
– Ex : utilisateur, ordinateur, groupe, domaine, application,
imprimante, stratégie…
Protocoles pour accéder et manipuler les données :
– Domain Name System (DNS)
– Lightweight Directory Access Protocol (LDAP)
Utilisation :
– Source d’information globale pour l’entreprise
– Objet utilisateur défini à partir de la classe d’objets
InetOrgPerson (Informational RFC 2798).
Annuaire «Active Directory»
• Administrabilité
– Intégration des stratégies de configuration des postes
et des utilisateurs, délégation d’administration,
automatisation via scripting (WSH).
• Modularité
– Hiérarchie de domaines et d’OU.
• Scalabilité
– Réduction du nombre de domaines.
• Interopérabilité
– Utilisation des standards DNS, LDAP, KERBEROS.
• Extensibilité
– Richesse et modification du schéma.
Bénéfices d’Active Directory
Active Directory vs base SAM
SAM de MS Windows NT
contient :
• Comptes utilisateurs
• Groupes globaux
• Groupes locaux
• Comptes spéciaux
• Stratégies de comptes
• Stratégies d'audit
• Stratégies des droits
utilisateur
• 40 Mo maxi recommandé
Active Directory
la même chose, plus :
• Contacts
• Groupes de distribution
• Groupes Universels
• Groupes locaux de domaine
• Unité d’organisation (OU)
• Dossiers publiés
• Imprimantes publiées
• Stratégie de groupe (GPO)
• Eléments de configuration de
services (DNS, RPC, DFS)
• Accès par des protocoles
standard (LDAP, DNS)
• Peut contenir des millions
d'objets
Schéma «Active Directory»
purge
delete
activate
deactivate
Active Defunct Tomb-
stone
Purged
• Utilisation
– Extensibilité (dynamiquement éditable)
• Ajout de nouvelles classes d’objets
• Ajout de nouveaux attributs à des classes d’objets
existantes
– Interopérabilité
– Pas de suppression possible sous Windows 2000
– Désactivation avec possibilité de réutiliser la classe ou
les attributs désactivés
– Utilisation de la classe inetOrgPerson pour l’ouverture
de session des utilisateurs (meilleure interopérabilité
avec les autres annuaires)
Extension du schéma
• Nécessaire pour certains applicatifs
– Exchange 2000, Exchange 2003
– ISA Server 2000 Edition Entreprise
– SMS 2003
– …
• Nécessaire pour certains composants de
Windows 2003 R2
– Service de réplication de fichiers (DFS)
– Publication des imprimantes via les GPO avec la
console Print Management Console
– Intégration des services d’identité pour UNIX
Architecture logique
Arbres, forêts, domaines
DOM2.COM
ARBRE
DOM1.COM
ARBRE
FORET
• Arbre
– Ensemble de domaines situés sous une racine
unique, formant un espace de noms contigus.
• Forêt
– Ensemble d’arbres ne formant pas un espace de
noms forcément contigus.
Notion de Forêt
• Une forêt est un ensemble de domaines
Active Directory qui partagent :
– Des informations de configuration,
– Une description logique et physique.
• Porte le nom du premier domaine installé.
• Les domaines forment une ou plusieurs
arborescences
– Pas d’héritage entre domaines (arborescence
= nommage uniquement)
• Dans une forêt, les domaines partagent
– Un même schéma,
– Une même partition de configuration,
– Un même catalogue global.
• Dans une forêt, les domaines
– Sont liés entre eux par des relations
d'approbation
• Bidirectionnelles,
• Transitives.
Caractéristiques d’une forêt
Notion de Domaine
• Frontière de réplication et d’administration.
• L’annuaire associé à chaque domaine est
disponible sur un ou plusieurs contrôleurs de
domaines (DC).
• Il est possible de créer des arborescences de
domaines.
• A chaque domaine est associé un nom :
– Ex : europe.contoso.com.
• Le domaine n’est pas une frontière de sécurité
Notion d’Unités Organisationnelles
(OU)
• Conteneurs d’objets de type utilisateurs,
groupes, ordinateurs, OU… au sein d’un
domaine.
• Utilisation :
– Organisation des données,
– Délégation des droits d’administration,
– Application des stratégies de groupe.
OU
OU
• L’espace de nommage (zone dans laquelle un
nom peut être résolu) de l’Active Directory
repose sur DNS pour la localisation des
services et la résolution des noms.
Espace de nommage hiérarchique
Cohabitation
Niveaux de fonctionnalités
• Windows Server 2003 a plusieurs niveaux fonctionnels
– Pour les domaines et les forêts,
– Similaires aux modes mixte/natif de Windows 2000.
• Augmenter les niveaux fonctionnels
– Domaine : possible par domaine
– Forêt : pour l’ensemble de la forêt (impacte tous les domaines),
– Irréversible,
– Apporte de nouvelles fonctionnalités.
Niveau de
fonctionnalité
Fonctionnalités activées Types de DC
supportés
Windows 2000
mixte
• Installation depuis un support
• Mise en cache des groupes Universels
• Partitions applicatives
Windows NT4
Windows 2000
Windows 2003
Windows 2000
natif
Ensemble des fonctionnalités du mode Windows 2000
mixte, plus
• Imbrication des groupes
• Groupe de type Universel
• SIDHistory
Windows 2000
Windows 2003
Windows 2003
Intérimaire
Identiques au mode natif de Windows 2000 Windows NT4
Windows 2003
Windows 2003 Ensemble des fonctionnalités du mode Windows 2000
natif, plus
• Mise à jour de l’attribut logon timestamp
• Version de KDC Kerberos
• Mot de passe utilisateur ds INetOrgPerson
Windows 2003
Windows 2003 & Active Directory
Niveau de fonctionnalité pour les domaines
Niveau de
fonctionnalité
Fonctionnalités activées Types de DC
supportés
Windows 2000 • Installation depuis un support
• Mise en cache des groupes Universels
• Partitions applicatives
Windows NT4
Windows 2000
Windows 2003
Windows 2003
Intérimaire
Ensemble des fonctionnalités du mode Windows
2000, plus
• Réplication LVR (Linked Value Record)
• Amélioration ISTG (Inter Site Topology Generator)
Windows NT4
Windows 2003
Windows 2003 Ensemble des fonctionnalités du mode Windows 2003
Intérimaire, plus
• Classes Auxiliaires dynamiques
• Modification de la classe User en INetOrgPerson
• Dé/réactivation au sein du schéma
• Changement des noms de domaines
• Relations d’approbation inter forêts
Windows 2003
Windows 2003 & Active Directory
Niveau de fonctionnalité pour la forêt
• Un serveur Windows NT peut être :
– Contrôleur Principal de Domaine (PDC)
– Contrôleur Secondaire de Domaine (BDC)
– Serveur Membre
• Un Serveur Windows 2000 / 2003 peut être :
– Contrôleur de Domaine (DC)
– Serveur Membre
– Possibilité de passer d’un rôle à l’autre
(dcpromo.exe)
Rôle des serveurs
• Réplication multi maîtres
– Tous les DC sont en écriture
– Plus de notion PDC/BDC
• les rôles FSMO :
– Contrôleur de schéma
– Maîtres d’attribution de noms de domaine
– Maître RID (Relative Identifier)
– Maître d’Infrastructure
– Émulateur PDC
Un seul dans toute la forêt
Rôles FSMO
Un par domaine
Flexible Single Master Operations
Installation d’un DC
• Promotion possible à n’importe quel moment via
DCpromo
• Avec Windows 2000, lors de l’installation d’un
contrôleur de domaine, une réplication complète
de l’annuaire est effectuée via le réseau :
– Augmentation des coûts de communication,
– Mise en place de procédures d’expédition des contrôleurs
pré installés.
• Avec Windows Server 2003, DCPROMO est capable
d’installer Active Directory à partir d’une
sauvegarde de l’annuaire :
– Seul le delta est répliqué via le réseau.
Global Catalog (GC)
• Le Global Catalog : contient une copie en lecture seule
de tous les objets de tous les domaines mais avec un
nombre réduit d’attributs.
– Permet de localiser n’importe quel objet de façon rapide sans
connaître son emplacement dans l’arborescence
– Un changement de schéma pouvait entraîner un re-calcul du
contenu du GC
• Plus avec Windows Server 2003
– Nécessaire pour ouvrir la session en mode natif
(appartenance aux groupes «Universels»)
• Dans Windows Server 2003, l’appartenance aux groupes
universels peut être mise en cache : nouvelle fonction qui
supprime la nécessité d’un global catalog par site
• Attention : cette fonction ne sert que pour les groupes
universels : le global catalog reste utile pour certaines
applications.
Ouverture de session sans Global
Catalog
• Avec Windows 2000, en mode natif, le Global
Catalog est contacté par le contrôleur de domaine
lors de l’ouverture de session pour récupérer la liste
des groupes Universels :
– GC dans chaque site ou mode mixte ou mode natif sans
utilisation de groupes universels.
• Avec Windows Server 2003, l’appartenance aux
groupes globaux est mise en cache au niveau des
contrôleurs :
– Propriété de chaque site,
– Mise en cache initiale lors de la première ouverture de
session puis de façon périodique.
Windows NT 4.0 Windows
2000/2003
Relations d’approbation
• Les relations d’approbation entre domaines
Windows 2000/2003 utilisent Kerberos :
– Implicites, transitives et bidirectionnelles.
Relations d’approbation multi forets
• Avec Windows 2000, les relations d’approbation
externes à la forêt doivent être gérées comme des
relations NT4.0
• Relations d’approbation inter forêt :
– Transitivité par défaut entre tous les domaines des 2 forêts
– Pas de transitivité entre forêts
– Kerberos
Forest-trust A-B Forest trust B-C
Forêt A Forêt B Forêt C
Partitionnement Applicatif (1/2)
• Plusieurs partitions de la base AD existent dès
l’installation :
– La partition de Schéma (1/forêt)
– La partition de Configuration (1/forêt)
– La partition de Domaine (1/Domaine)
• Avantage de AD 2003 : Possibilité de créer de
nouvelles partitions pour des besoins applicatifs.
– Réplication sur des DC choisis dans la forêt sans lien avec
la notion de domaine
– Localisables par DNS (enregistrements SRV)
– Non répliquées sur le Catalogue Global
– Ne peuvent contenir des principaux de sécurité
Données de DOM1
Données appli1
Données appli2
Données de DOM1
Données appli1
Données de DOM2
Données Appli2
Données de DOM2
Données Appli1
Données
de DOM1
Forêt
DOM1
DOM2
Partitionnement Applicatif (2/2)
DC W2K3
DC W2K3
DC W2K3
DC W2K3
DC W2K3
• Avec Windows 2000, toute donnée stockée dans
l’annuaire est répliquée par défaut vers tous les
contrôleurs du domaine (Naming Context Domain)
ou de la forêt (NC Configuration et Schema).
Architecture physique
• Contrôleur de domaine AD
– Un DC appartient à un seul site AD et assure les
services d’annuaire et d’authentification pour les
clients de ce site.
– Il réplique les informations de l’annuaire avec les
autres DC
• Site AD
– Ensemble de sous réseaux IP
– Permet à la réplication Active Directory de
s’appuyer sur la topologie du réseau
Site 1
Site 2
DC W2K3
DC W2K3
DC W2K3
DC W2K3
DC W2K3
DC W2K3
DC W2K3
Réplication (1/3)
• Réplication intra site
– Automatique (topologie générée par KCC)
– Basée sur la notification
– Temps de réplication optimisé
• Réplication inter site
– Automatique ou manuelle
– Planifiée
– Utilisation de bande passante optimisée
– Mode redondant de réplication pour les architectures filiales
• Optimisation de la réplication des groupes avec
un nombre de membres importants
– Tous les contrôleurs de la forêt doivent être en version Windows
Server 2003.
Réplication (2/3)
• Réplication inter sites
– L’administrateur crée les objets représentant le réseau (sites
et liens de sites)
– Le KCC génère automatiquement la topologie de réplication
– Tolérant à la panne et simple à maintenir
– En 2000, problème d'évolutivité pour un nombre important de
sites (scénario "filiales")
– Avec 2003, l’algorithme (KCC et ISTG) a été re- développé,
utilisation d’un nouvel algorithme fonction (d*s) au lieu de
(d*s2)
– Evolutivité testée jusqu’à 5000 sites
– Possibilité de mise en œuvre un mode redondant
• Le Serveur “Tête de pont” est le contrôleur de
domaine chargé de la réplication avec les autres
sites
– On peut choisir une liste de serveurs “tête de pont
préférés”
• En Windows Server 2003, possibilité d’avoir
plusieurs serveurs tête de pont du même domaine
sur un même site (Windows)
– Outil de Load Balancing des connexions (ADLB.exe)
Réplication (3/3)
Mode « Branch Office »
• Utilisation :
Repadmin
…./siteoptions
+IS_REDUNDANT_SERVER_TOP
OLOGY_ENABLED
+IS_TOPL_DETECT_STALE_DISA
BLED
• Nécessite une forêt en
mode Windows 2003
Intérim ou Windows 2003
• Mettre en place la
topologie dans les 2
sens entrant et sortant
Vue d’ensemble des
consoles d’administration
Demonstration
Agenda
• Concepts et évolutions apportées par
Windows Server 2003
• Conception de l'espace de noms Active
Directory
• Planification des services
• Les stratégies de groupes
• Conclusion / Q&A
Définition de l'espace de noms
Active Directory
• Ne pas hésiter à viser les topologies idéales
• Doit déboucher sur des livrables :
– Espace de noms des domaines AD et DNS
– Topologie d'OU
– Topologie de sites
• Choix de l’entreprise, donc le consensus est
nécessaire
• Combien de forêts ?
• Combien de domaines dans chaque forêt ?
• Comment agencer ces domaines ?
• Comment ces domaines s'appelleront-ils ?
Espace de noms des domaines
Questions posées
• Au départ : une forêt
• Une forêt de plus ? Il faut argumenter !
– Nécessité de préserver des schémas distincts
– Refus de dévoiler ma topologie de domaines
– Désaccord sur la composition des groupes
sensibles
• Administrateurs de Schéma
• Administrateurs de l'Entreprise
– Souhait de conserver la maîtrise des approbations
– Frontière de sécurité
Espace de noms des domaines
Combien de forêts ?
• Un domaine ne peut pas changer de forêt
• Déplacement d'objets :
– On sait migrer des objets d'un domaine vers un
autre,
– Mais ce n'est pas toujours une opération anodine !
• On ne sait pas interroger le Catalogue Global
d'une autre forêt ...
• ... A moins de passer par un Méta Annuaire ?
Espace de noms des domaines
Combien de forêts ? Contraintes…
• Au départ : un domaine
• Un domaine de plus ? Il faut argumenter !
– Délégation ne suffit pas
– Nécessité de mettre en œuvre des stratégies
spécifiques de :
• Gestion des mots de passe,
• Verrouillage des comptes,
• Gestion des tickets Kerberos.
– Soucis d'optimiser la réplication
– Restructuration prévue, mais plus tard.
Espace de noms des domaines
Combien de domaines ?
• Le premier domaine créé devient la racine de la
forêt.
• Il donne son nom à la forêt.
• Il héberge deux groupes sensibles :
– Admins de l'entreprise,
– Admins du Schéma.
• Choix d'un domaine Racine :
– A choisir parmi les domaines définis précédemment,
– Ou à créer pour les besoins de la cause.
Espace de noms des domaines
Définition de la racine de la forêt
• Tout domaine AD est repéré par un nom DNS.
• Domaines AD vs Domaines DNS
– Domaine AD  Organisation logique des objets AD,
– Domaine DNS  Localiser des hôtes et des
services.
• Nom du domaine racine :
– Détermine l'espace de nom de tout l'arbre,
– Ne peut pas être modifié de façon simple,
– Doit permettre d'intégrer de façon harmonieuse
toutes les entités présentes et à venir de l'arbre.
Espace de noms des domaines
Nommage des domaines
• Affecter un nom à chaque domaine, en
partant de la racine de chaque arbre.
• Ne pas s'écarter des "standards"
– RFC 1123 : A  Z ; 0  9 ; -
– Eviter Unicode,
– Utiliser des noms DNS enregistrés
• Draft ".local" a été abandonné.
• Préférer les noms courts
Espace de noms des domaines
Règles de nommage
• Quel nom pour la Racine ?
– Tfc.fr ?
– Vieuxchaudron.fr ?
• Eviter les recouvrements :
– En choisissant des noms différents,
– En choisissant un sous domaine du domaine
public
Pas de Proxy Proxy
Noms identiques
Sync DNS pub et DNS privé
Sync srvs pub sur réseau privé
Fichier PAC
Noms différents
ou sous-domaine
OK Liste d'exclusions
Espace de noms des domaines
Espaces de noms privés et publics
Topologie d'OU
• Les OU peuvent servir à :
– Organiser les objets,
– Ne pas tout montrer à tout le monde,
– Définir des périmètres de délégation,
– Définir des périmètres d'application pour les
GPO.
• Une OU contient des objets et pas des
références à des objets.
• Une OU n'est pas un « Security Principal »
OU
OU OU
Rôles des unités organisationnelles
Topologie d'OU
• Hiérarchie définie en fonction :
– Des emplacements,
– De l'organisation,
– Des postes.
• Hiérarchie hybride définie en fonction :
– Des emplacements, puis de l'organisation,
– De l'organisation, puis des emplacements.
Consignes de conception
• Les OU sont faites pour faciliter la vie des
administrateurs, pas celle des utilisateurs.
• Penser en termes d'organisation administrative :
– Qui gère quoi ?
– Qui décide de qui gère quoi ?
• Préférer les arbres larges plutôt que profonds.
• Affiner la topologie plus tard reste possible :
– Facile à créer, déplacer, supprimer, renommer,
– Point délicat : évaluer les conséquences sur la
délégation et l'application des stratégies de groupes
(GPOs).
Topologie d'OU
• Qu'est-ce qu'un site ?
– Ensemble de machines "bien communicantes« ,
– Défini comme un agrégat de subnets IP,
– Suppose un subnetting géographique.
• Qui utilise les sites ?
– Station  localiser un DC proche.
– KCC  limiter le trafic de réplication sur liaisons
lentes.
– Client DFS  localiser un répliqua proche.
– Utilisateur  localiser une imprimante proche.
Notion de site Active Directory
Topologie d'OU
Qui réplique avec qui ?
• Tout automatique : le KCC est livré à lui-même.
• Semi-automatique :
Fournir quelques indices au KCC :
– Créer manuellement quelques connexions,
– Ajouter des liens de site,
– Désigner des têtes de pont.
• Tout manuel :
– Créer toutes les connexions manuellement,
– Inhiber le KCC : Q242780.
Définition d’une topologie de réplication
Topologie d'OU
Intra-site Inter-site
Compression Non Oui ( par défaut)
Mode de réplication Notifier/Tirer Tiré schedulé
Fréquence 5min (par défaut) 3h (par défaut)
Transport RPC RPC ou SMTP
Connexions Entre tout DC Entre Têtes de pont
La réplication Intra site passe à 15 s de fréquence
en mode de domaine Windows 2003
Réplication inter sites et intra sites
Topologie d'OU
• Dans le cas de Windows 2003, sur chaque site, prévoir :
– Un Global Catalog Server
• De préférence tête de pont,
• Ne doit pas être Infrastructure Master.
– Du DNS qui marche !
• Eviter de créer des sites sans DC.
• Toute correction reste possible :
– Créer/Supprimer des sous réseaux,
– Ajouter/Supprimer des sites et des liens de site,
– Affecter des serveurs à des sites,
 Surveiller le journal "Active Directory" !
Quelques règles simples
Topologie d'OU
Agenda
• Concepts et évolutions apportées par
Windows Server 2003
• Conception de l'espace de noms Active
Directory
• Planification des services
• Les stratégies de groupes
• Conclusion / Q&A
Planifier les services
• Active Directory a besoin de DNS pour :
– Résoudre des noms d'hôtes,
– Localiser des services :
• Serveurs ldap (DC),
• Serveur de Catalogue Global.
• Pour supporter Active Directory :
– Le Primaire et les Secondaires doivent gérer les
enregistrements de services SRV
• BIND  4.9.6
– Le Primaire devrait savoir gérer les mises à jour
dynamiques
• BIND  8.2.1
DNS et Active Directory
Planifier les services
• Pour que les clients Windows 2000 résolvent
les noms des clients pré-Windows 2000 :
– Activer le forwarding WINS pour la zone AD,
– ou Activer le mandatement DHCP pour que les
clients pré-Windows 2000 s'enregistrent dans
DNS.
• Pour que les clients pré-Windows 2000
résolvent les noms des clients Windows
2000 :
– Leur attribuer l'adresse du serveur DNS via
DHCP.
Planifier DHCP et WINS
Agenda
• Concepts et évolutions apportées par
Windows Server 2003
• Conception de l'espace de noms Active
Directory
• Planification des services
• Les stratégies de groupes
• Conclusion / Q&A
Concepts et Fonctionnement
Local
Site
Domain
2
3
1
OU 4
• Le positionnement de la machine ou de l’utilisateur dans
Active Directory détermine les stratégies de groupe (GPO)
qui seront appliquées
• Les GPO sont appliquées au logon(utilisateur) ou au
redémarrage (station) et rafraîchies régulièrement.
OU’s
A1 A2
Application des stratégies
GPO’s
A4
A5
A1
A2
A3
A
Domaine
 Les GPOs sont par domaine
 Plusieurs GPO peuvent être
associées avec un unique
SDOU
Site
 Les Sites sont composés de
un ou plusieurs sous réseaux
IP et peuvent englober
plusieurs domaines
B
GPO’s
B1
B2
Domaine
OU’s
B1 B2
B3
Les GPO ne sont pas
héritées entre
domaines  Tout SDOU peut être associé
à toute GPO, y compris entre
domaines (lenteur)
 Plusieurs SDOU peuvent
utiliser une unique GPO
 L’application d’une GPO peut
être filtré au moyen de
groupes de sécurité (ACLs)
• Les Sites sont composés de
un ou plusieurs sous
réseaux IP et peuvent
englober plusieurs
domaines.
• Les GPOs sont par
domaine.
• Plusieurs GPO peuvent être
associées avec un unique
SDOU.
• Plusieurs SDOU peuvent
utiliser une GPO unique.
• Tout SDOU peut être
associé à toute GPO, y
compris entre domaines
(lenteur).
• L’application d’une GPO
peut être filtrée au moyen
de groupes de sécurité
(ACLs).
Mise en oeuvre des stratégies de
groupe
• La plupart des GPO ont 3 états
– Activé
– Désactivé
– Non configuré
• Les GPOs ont 2 “noeuds” de configuration (sections)
– Utilisateur
– Machine
PS: Les paramètres “Machines” priment sur ceux “Utilisateur”
• Pour recevoir une GPO, le compte machine ou
utilisateur :
– Doit être dans le S-D-OU qui a un lien vers la GPO,
– Doit avoir la permission “Lire et appliquer les stratégies de
groupe (Read and Apply Group Policy)” sur la GPO.
• Prise en charge par les systèmes Windows 2000,
Windows 2003 et Windows XP
Traitements des stratégies de
groupes (1/2)
• L’ordre d’application va dicter la résolution des conflits
de paramétrage
– Conflits possibles entre les paramétrages Activé et Désactivé
– Pas de conflit avec le paramétrage Non configuré
– La dernière GPO traitée impose ses paramètres en cas de
conflits
• L’ordre de traitement des GPO peut être modifié en :
– Bloquant l’héritage des GPOs,
– Cochant la case “Ne pas passer outre”,
– Évitant de modifier l’ordre de traitement par défaut.
Traitements des stratégies de
groupes (2/2)
• Filtrer l’étendue d’une stratégie de groupe
– Permission par défaut sur les GPOs – Utilisateurs authentifiés
• Read and Apply Group Policy
– Supprimer Utilisateurs authentifiés
– Créer des groupes de sécurité basés sur les paramétrages de
l’objet stratégie de groupe
– Accorder des permissions aux groupes adéquats
• Filtrage de sécurité vs. OUs
– Les deux approches permettent de contrôler l’étendue d’application
d’une GPO
– Ne pas mixer les deux approches
Déploiement d’applications
• Publication (optionnelle)
– Application «proposée» à l’utilisateur, disponible dans
Ajout/Suppression de Programmes,
– Installation automatique si nécessaire.
• Assignation (obligatoire)
– Création des icônes et raccourcis,
– Installation à la première invocation.
Déléguer l’administration
• Déléguer l’administration des stratégies de groupe
– Liaisons SDOU
– Modification GPO
– Création GPO
Les extensions apportées par
Windows 2003
• Nouveaux outils
– GPUpdate
– GPResult
– Jeux résultant de stratégie (RSoP)
• Mode journalisation uniquement
– Centre d’aide et de support
• Informations système détaillées - Stratégie
• Rapport sur les paramètres appliqués
• Également disponible sous Windows XP
Vue d’ensemble des
stratégie de groupe
Demonstration
Les apports de Windows Server
2003
• Alternative au filtrage par les permissions,
• Application du GPO basée sur :
– Le système d’exploitation,
– Des pré requis matériels,
– Les logiciels installés,
– Toute information fournie par WMI.
• Utilise WQL (WMI Query Language).
Filtres WMI
Filtres WMI
• Clients
– Windows XP Pro et au-delà.
• L’annuaire Active Directory doit être configuré
(modification de schéma) pour être conforme
avec Windows Server 2003
– MAJ du schéma pour la forêt : ADPrep.exe
/ForestPrep,
– MAJ de la configuration du domaine : ADprep.exe
/DomainPrep,
– Les DCs peuvent encore être sous Windows 2000.
Compatibilité
Filtres WMI
Demonstration
Les apports de Windows Server
2003
• Réduit
– Le nb d’outils,
– La complexité.
• Améliore
– La clarté,
– La flexibilité.
Console de gestion des stratégies de groupe
Console de gestion des stratégies
de groupe
• La mise en oeuvre des stratégies de groupe peut être
complexe
– Stratégie par défaut assez simple,
– Le blocage d’héritage, “Ne pas passer outre”, le filtrage par
permissions, le filtrage WMI, la délégation de droits peuvent
rendre les stratégies de groupe difficiles à gérer.
• Plusieurs outils
– Utilisateurs et Ordinateurs Active Directory (Dsa.msc),
– Sites et Services Active Directory (Dssite.msc),
– etc…
Tâches et outils
Console de gestion des stratégies de
groupe
• La console de gestion des stratégies de groupe
– Consolide des fonctions de différents outils,
– Fournit une vision claire de l’organisation des stratégies de
groupe,
– Permet de clarifier les relations entre GPOs et SDOUs,
– Regroupe les tâches possibles concernant les stratégies de
groupe de façon logique.
• La console de gestion des stratégies de groupe
introduit les services suivants :
– Sauvegarde / Restauration,
– copie, import.
Consolidation
Mise en oeuvre des stratégies de
groupes
• Domaine de préparation
– Permet le test des stratégies de groupe
– Copie des GPOs entre domaines d’une même forêt
– Sauvegarde et import entre domaines de forêts différentes
– L’import nécessite que la GPO cible existe déjà
• Tables de migration
– Mise en correspondance des valeurs “hard codées” (chemins
d’accès, identités de sécurité) du domaine de préparation avec
celles du domaine de production
– Ex : modification des chemins d’accès pour le déploiement
d’applications
Préparation
Les apports de Windows Server 2003
• Windows XP
– Journalisation des stratégies,
– Rapport sur les paramètres issus de l’application des stratégies
sur un poste.
• Windows Server 2003
– Planification des stratégies,
– Rapport sur l’application des stratégies suivant le positionnement
de l’objet utilisateur et ordinateur dans Active Directory.
– Nécessite un DC sous Windows Serveur 2003.
– Permet de définir de nombreux scénarios :
• Appartenance à un groupe de sécurité, positionnement des objets
machine et utilisateur dans des OUs, application de filtres WMI.
Planification des stratégies
Utiliser la console de gestion
des stratégies de groupe
Demonstration
Les apports de Windows Server 2003
• Interfaces de scripting de la console de gestion
des stratégies de groupe
– Automatise des tâches de gestion des stratégies,
– Permet la création d’outils de gestion,
– Ne permet pas d’automatiser des modification des
GPOs.
Utilisation de scripts
Administration par script
des stratégies
Demonstration
Planifier les stratégies de groupe
• Limiter le nombre de stratégies de groupe
traitées lors de la connexion d’un utilisateur,
• Isoler les paramétrages dans différentes
GPOs,
• Désactiver les “noeuds” non utilisés
(utilisateur/ordinateur),
• Limiter les conflits de paramétrages
(utilisateur/ordinateur),
• Utiliser la console de gestion des stratégies
de groupe.
Bonnes pratiques
Mise en oeuvre des stratégies de
groupes
• Éviter les liens de GPOs entre domaines,
• Lier les GPOs à des OUs, non à des sites,
• Limiter les moyens de contrôle de l’étendue d’une
GPO
– OU, filtrage par permission, filtre WMI
• Pour le filtrage par permission, utiliser l’approche de
tout interdire par défaut,
• Ne pas trop modifier l’héritage des GPOs.
Bonnes pratiques
Conclusion
• Les choix lors de la conception d’un annuaire Active
Directory sont fondamentaux
• Windows Server 2003 apporte plus de souplesse :
– Pour le déploiement,
– Pour l’administration.
• Les stratégies de groupe sont un moyen puissant de
contrôler un environnement Windows.
• Windows Server 2003 ne modifie pas fondamentalement
les stratégies de groupe, mais apporte :
– Les filtres WMI,
– La console de gestion des stratégies de groupe.
Se former…
• Tous les cours sur Windows 2000 Server / Windows
Server 2003, et les centres de formation dans votre
région sont sur :
http://www.microsoft.com/france/formation
• Livres Microsoft Press sur Windows 2000 Server et
Windows Server 2003 :
http://www.microsoft.com/france/mspress
• Newsgroups :
http://www.microsoft.com/france/communautes/webnews/France/default.ms
px?dg=microsoft.public.fr.windows.server&lang=fr&cr=FR&r
=4ebff0f5-0e74-499d-874f-a7197b08b375
Questions / Réponses
Votre potentiel, notre passion…
A bientôt
et merci d’être venus...
© 2003 Microsoft France
Marketing Technique

Contenu connexe

Similaire à tn005.ppt

Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDBRéussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB
MongoDB
 
Docker
DockerDocker
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
CERTyou Formation
 
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Christophe Laporte
 
La GED 3 secrets pour réussir
La GED 3 secrets pour réussirLa GED 3 secrets pour réussir
La GED 3 secrets pour réussir
Sollan France
 
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdfLinux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
ThinL389917
 
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixteAlphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm
 
Rmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frRmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-fr
Gaëtan Trellu
 
DataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache CassandraDataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache Cassandra
Victor Coustenoble
 
Liste des fonctionnalités du CMS Rubedo
Liste des fonctionnalités du CMS RubedoListe des fonctionnalités du CMS Rubedo
Liste des fonctionnalités du CMS Rubedo
Rubedo, a WebTales solution
 
01- DC.pptx
01- DC.pptx01- DC.pptx
01- DC.pptx
Pierre Mario
 
LP_Admin_base_données.ppt
LP_Admin_base_données.pptLP_Admin_base_données.ppt
LP_Admin_base_données.ppt
Idriss22
 
Monter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMonter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows Azure
Microsoft Technet France
 
Conférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.FrConférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.Fr
Oxalide
 
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de  Haute Disponibilité sous Windows Serv...Alphorm.com Formation Les solutions de  Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm
 
[GAB2016] Azure DocumentDB - Jean-Luc Boucho
[GAB2016] Azure DocumentDB - Jean-Luc Boucho[GAB2016] Azure DocumentDB - Jean-Luc Boucho
[GAB2016] Azure DocumentDB - Jean-Luc Boucho
Cellenza
 
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
AZUG FR
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
Microsoft Technet France
 
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
Mario Leblond
 
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Pierre Ternon
 

Similaire à tn005.ppt (20)

Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDBRéussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB
 
Docker
DockerDocker
Docker
 
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
 
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
 
La GED 3 secrets pour réussir
La GED 3 secrets pour réussirLa GED 3 secrets pour réussir
La GED 3 secrets pour réussir
 
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdfLinux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
 
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixteAlphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
 
Rmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frRmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-fr
 
DataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache CassandraDataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache Cassandra
 
Liste des fonctionnalités du CMS Rubedo
Liste des fonctionnalités du CMS RubedoListe des fonctionnalités du CMS Rubedo
Liste des fonctionnalités du CMS Rubedo
 
01- DC.pptx
01- DC.pptx01- DC.pptx
01- DC.pptx
 
LP_Admin_base_données.ppt
LP_Admin_base_données.pptLP_Admin_base_données.ppt
LP_Admin_base_données.ppt
 
Monter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMonter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows Azure
 
Conférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.FrConférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.Fr
 
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de  Haute Disponibilité sous Windows Serv...Alphorm.com Formation Les solutions de  Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
 
[GAB2016] Azure DocumentDB - Jean-Luc Boucho
[GAB2016] Azure DocumentDB - Jean-Luc Boucho[GAB2016] Azure DocumentDB - Jean-Luc Boucho
[GAB2016] Azure DocumentDB - Jean-Luc Boucho
 
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
 
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
 

tn005.ppt

  • 2. Qu’est ce que TechNet ? • Un site Web très orienté technique – http://www.microsoft.com/france/technet/default.mspx • Une newsletter personnalisable – http://www.microsoft.com/france/technet/presentation/flash/default.mspx • Des séminaires techniques toute l’année, partout en France – http://www.microsoft.com/france/technet/seminaires/seminaires.mspx • Des Webcasts accessibles à tout instant – http://www.microsoft.com/france/technet/seminaires/webcasts.mspx • Un abonnement – http://www.microsoft.com/france/technet/presentation/cd/default.mspx
  • 3. Conception d'une architecture Active Directory pour Windows Server 2003 Animateur
  • 4. Logistique Pause en milieu de session Vos questions sont les bienvenues. N’hésitez pas ! Feuille d’évaluation à remettre remplie en fin de session Cédérom Commodités Merci d’éteindre vos téléphones
  • 5. Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
  • 6. Annuaire et Schéma • Un annuaire est un emplacement de stockage utilisé comme référentiel • L’annuaire aura un taux de lectures/écritures très élevé. • Un annuaire est un espace de stockage hiérarchique (non relationnel) • Tout élément de l’annuaire est un objet doté d’attributs – Ex : l’objet de type Utilisateur possède un attribut Numéro de téléphone • Les définitions des classes d’objets et des attributs sont accessibles via le schéma
  • 7. Stockage (distribué) de données identifiant les ressources présentes dans le système informatique – Ex : utilisateur, ordinateur, groupe, domaine, application, imprimante, stratégie… Protocoles pour accéder et manipuler les données : – Domain Name System (DNS) – Lightweight Directory Access Protocol (LDAP) Utilisation : – Source d’information globale pour l’entreprise – Objet utilisateur défini à partir de la classe d’objets InetOrgPerson (Informational RFC 2798). Annuaire «Active Directory»
  • 8. • Administrabilité – Intégration des stratégies de configuration des postes et des utilisateurs, délégation d’administration, automatisation via scripting (WSH). • Modularité – Hiérarchie de domaines et d’OU. • Scalabilité – Réduction du nombre de domaines. • Interopérabilité – Utilisation des standards DNS, LDAP, KERBEROS. • Extensibilité – Richesse et modification du schéma. Bénéfices d’Active Directory
  • 9. Active Directory vs base SAM SAM de MS Windows NT contient : • Comptes utilisateurs • Groupes globaux • Groupes locaux • Comptes spéciaux • Stratégies de comptes • Stratégies d'audit • Stratégies des droits utilisateur • 40 Mo maxi recommandé Active Directory la même chose, plus : • Contacts • Groupes de distribution • Groupes Universels • Groupes locaux de domaine • Unité d’organisation (OU) • Dossiers publiés • Imprimantes publiées • Stratégie de groupe (GPO) • Eléments de configuration de services (DNS, RPC, DFS) • Accès par des protocoles standard (LDAP, DNS) • Peut contenir des millions d'objets
  • 10. Schéma «Active Directory» purge delete activate deactivate Active Defunct Tomb- stone Purged • Utilisation – Extensibilité (dynamiquement éditable) • Ajout de nouvelles classes d’objets • Ajout de nouveaux attributs à des classes d’objets existantes – Interopérabilité – Pas de suppression possible sous Windows 2000 – Désactivation avec possibilité de réutiliser la classe ou les attributs désactivés – Utilisation de la classe inetOrgPerson pour l’ouverture de session des utilisateurs (meilleure interopérabilité avec les autres annuaires)
  • 11. Extension du schéma • Nécessaire pour certains applicatifs – Exchange 2000, Exchange 2003 – ISA Server 2000 Edition Entreprise – SMS 2003 – … • Nécessaire pour certains composants de Windows 2003 R2 – Service de réplication de fichiers (DFS) – Publication des imprimantes via les GPO avec la console Print Management Console – Intégration des services d’identité pour UNIX
  • 12. Architecture logique Arbres, forêts, domaines DOM2.COM ARBRE DOM1.COM ARBRE FORET • Arbre – Ensemble de domaines situés sous une racine unique, formant un espace de noms contigus. • Forêt – Ensemble d’arbres ne formant pas un espace de noms forcément contigus.
  • 13. Notion de Forêt • Une forêt est un ensemble de domaines Active Directory qui partagent : – Des informations de configuration, – Une description logique et physique. • Porte le nom du premier domaine installé. • Les domaines forment une ou plusieurs arborescences – Pas d’héritage entre domaines (arborescence = nommage uniquement)
  • 14. • Dans une forêt, les domaines partagent – Un même schéma, – Une même partition de configuration, – Un même catalogue global. • Dans une forêt, les domaines – Sont liés entre eux par des relations d'approbation • Bidirectionnelles, • Transitives. Caractéristiques d’une forêt
  • 15. Notion de Domaine • Frontière de réplication et d’administration. • L’annuaire associé à chaque domaine est disponible sur un ou plusieurs contrôleurs de domaines (DC). • Il est possible de créer des arborescences de domaines. • A chaque domaine est associé un nom : – Ex : europe.contoso.com. • Le domaine n’est pas une frontière de sécurité
  • 16. Notion d’Unités Organisationnelles (OU) • Conteneurs d’objets de type utilisateurs, groupes, ordinateurs, OU… au sein d’un domaine. • Utilisation : – Organisation des données, – Délégation des droits d’administration, – Application des stratégies de groupe. OU OU
  • 17. • L’espace de nommage (zone dans laquelle un nom peut être résolu) de l’Active Directory repose sur DNS pour la localisation des services et la résolution des noms. Espace de nommage hiérarchique
  • 18. Cohabitation Niveaux de fonctionnalités • Windows Server 2003 a plusieurs niveaux fonctionnels – Pour les domaines et les forêts, – Similaires aux modes mixte/natif de Windows 2000. • Augmenter les niveaux fonctionnels – Domaine : possible par domaine – Forêt : pour l’ensemble de la forêt (impacte tous les domaines), – Irréversible, – Apporte de nouvelles fonctionnalités.
  • 19. Niveau de fonctionnalité Fonctionnalités activées Types de DC supportés Windows 2000 mixte • Installation depuis un support • Mise en cache des groupes Universels • Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2000 natif Ensemble des fonctionnalités du mode Windows 2000 mixte, plus • Imbrication des groupes • Groupe de type Universel • SIDHistory Windows 2000 Windows 2003 Windows 2003 Intérimaire Identiques au mode natif de Windows 2000 Windows NT4 Windows 2003 Windows 2003 Ensemble des fonctionnalités du mode Windows 2000 natif, plus • Mise à jour de l’attribut logon timestamp • Version de KDC Kerberos • Mot de passe utilisateur ds INetOrgPerson Windows 2003 Windows 2003 & Active Directory Niveau de fonctionnalité pour les domaines
  • 20. Niveau de fonctionnalité Fonctionnalités activées Types de DC supportés Windows 2000 • Installation depuis un support • Mise en cache des groupes Universels • Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2003 Intérimaire Ensemble des fonctionnalités du mode Windows 2000, plus • Réplication LVR (Linked Value Record) • Amélioration ISTG (Inter Site Topology Generator) Windows NT4 Windows 2003 Windows 2003 Ensemble des fonctionnalités du mode Windows 2003 Intérimaire, plus • Classes Auxiliaires dynamiques • Modification de la classe User en INetOrgPerson • Dé/réactivation au sein du schéma • Changement des noms de domaines • Relations d’approbation inter forêts Windows 2003 Windows 2003 & Active Directory Niveau de fonctionnalité pour la forêt
  • 21. • Un serveur Windows NT peut être : – Contrôleur Principal de Domaine (PDC) – Contrôleur Secondaire de Domaine (BDC) – Serveur Membre • Un Serveur Windows 2000 / 2003 peut être : – Contrôleur de Domaine (DC) – Serveur Membre – Possibilité de passer d’un rôle à l’autre (dcpromo.exe) Rôle des serveurs
  • 22. • Réplication multi maîtres – Tous les DC sont en écriture – Plus de notion PDC/BDC • les rôles FSMO : – Contrôleur de schéma – Maîtres d’attribution de noms de domaine – Maître RID (Relative Identifier) – Maître d’Infrastructure – Émulateur PDC Un seul dans toute la forêt Rôles FSMO Un par domaine Flexible Single Master Operations
  • 23. Installation d’un DC • Promotion possible à n’importe quel moment via DCpromo • Avec Windows 2000, lors de l’installation d’un contrôleur de domaine, une réplication complète de l’annuaire est effectuée via le réseau : – Augmentation des coûts de communication, – Mise en place de procédures d’expédition des contrôleurs pré installés. • Avec Windows Server 2003, DCPROMO est capable d’installer Active Directory à partir d’une sauvegarde de l’annuaire : – Seul le delta est répliqué via le réseau.
  • 24. Global Catalog (GC) • Le Global Catalog : contient une copie en lecture seule de tous les objets de tous les domaines mais avec un nombre réduit d’attributs. – Permet de localiser n’importe quel objet de façon rapide sans connaître son emplacement dans l’arborescence – Un changement de schéma pouvait entraîner un re-calcul du contenu du GC • Plus avec Windows Server 2003 – Nécessaire pour ouvrir la session en mode natif (appartenance aux groupes «Universels») • Dans Windows Server 2003, l’appartenance aux groupes universels peut être mise en cache : nouvelle fonction qui supprime la nécessité d’un global catalog par site • Attention : cette fonction ne sert que pour les groupes universels : le global catalog reste utile pour certaines applications.
  • 25. Ouverture de session sans Global Catalog • Avec Windows 2000, en mode natif, le Global Catalog est contacté par le contrôleur de domaine lors de l’ouverture de session pour récupérer la liste des groupes Universels : – GC dans chaque site ou mode mixte ou mode natif sans utilisation de groupes universels. • Avec Windows Server 2003, l’appartenance aux groupes globaux est mise en cache au niveau des contrôleurs : – Propriété de chaque site, – Mise en cache initiale lors de la première ouverture de session puis de façon périodique.
  • 26. Windows NT 4.0 Windows 2000/2003 Relations d’approbation • Les relations d’approbation entre domaines Windows 2000/2003 utilisent Kerberos : – Implicites, transitives et bidirectionnelles.
  • 27. Relations d’approbation multi forets • Avec Windows 2000, les relations d’approbation externes à la forêt doivent être gérées comme des relations NT4.0 • Relations d’approbation inter forêt : – Transitivité par défaut entre tous les domaines des 2 forêts – Pas de transitivité entre forêts – Kerberos Forest-trust A-B Forest trust B-C Forêt A Forêt B Forêt C
  • 28. Partitionnement Applicatif (1/2) • Plusieurs partitions de la base AD existent dès l’installation : – La partition de Schéma (1/forêt) – La partition de Configuration (1/forêt) – La partition de Domaine (1/Domaine) • Avantage de AD 2003 : Possibilité de créer de nouvelles partitions pour des besoins applicatifs. – Réplication sur des DC choisis dans la forêt sans lien avec la notion de domaine – Localisables par DNS (enregistrements SRV) – Non répliquées sur le Catalogue Global – Ne peuvent contenir des principaux de sécurité
  • 29. Données de DOM1 Données appli1 Données appli2 Données de DOM1 Données appli1 Données de DOM2 Données Appli2 Données de DOM2 Données Appli1 Données de DOM1 Forêt DOM1 DOM2 Partitionnement Applicatif (2/2) DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3 • Avec Windows 2000, toute donnée stockée dans l’annuaire est répliquée par défaut vers tous les contrôleurs du domaine (Naming Context Domain) ou de la forêt (NC Configuration et Schema).
  • 30. Architecture physique • Contrôleur de domaine AD – Un DC appartient à un seul site AD et assure les services d’annuaire et d’authentification pour les clients de ce site. – Il réplique les informations de l’annuaire avec les autres DC • Site AD – Ensemble de sous réseaux IP – Permet à la réplication Active Directory de s’appuyer sur la topologie du réseau Site 1 Site 2 DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3
  • 31. Réplication (1/3) • Réplication intra site – Automatique (topologie générée par KCC) – Basée sur la notification – Temps de réplication optimisé • Réplication inter site – Automatique ou manuelle – Planifiée – Utilisation de bande passante optimisée – Mode redondant de réplication pour les architectures filiales • Optimisation de la réplication des groupes avec un nombre de membres importants – Tous les contrôleurs de la forêt doivent être en version Windows Server 2003.
  • 32. Réplication (2/3) • Réplication inter sites – L’administrateur crée les objets représentant le réseau (sites et liens de sites) – Le KCC génère automatiquement la topologie de réplication – Tolérant à la panne et simple à maintenir – En 2000, problème d'évolutivité pour un nombre important de sites (scénario "filiales") – Avec 2003, l’algorithme (KCC et ISTG) a été re- développé, utilisation d’un nouvel algorithme fonction (d*s) au lieu de (d*s2) – Evolutivité testée jusqu’à 5000 sites – Possibilité de mise en œuvre un mode redondant
  • 33. • Le Serveur “Tête de pont” est le contrôleur de domaine chargé de la réplication avec les autres sites – On peut choisir une liste de serveurs “tête de pont préférés” • En Windows Server 2003, possibilité d’avoir plusieurs serveurs tête de pont du même domaine sur un même site (Windows) – Outil de Load Balancing des connexions (ADLB.exe) Réplication (3/3)
  • 34. Mode « Branch Office » • Utilisation : Repadmin …./siteoptions +IS_REDUNDANT_SERVER_TOP OLOGY_ENABLED +IS_TOPL_DETECT_STALE_DISA BLED • Nécessite une forêt en mode Windows 2003 Intérim ou Windows 2003 • Mettre en place la topologie dans les 2 sens entrant et sortant
  • 35. Vue d’ensemble des consoles d’administration Demonstration
  • 36. Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
  • 37. Définition de l'espace de noms Active Directory • Ne pas hésiter à viser les topologies idéales • Doit déboucher sur des livrables : – Espace de noms des domaines AD et DNS – Topologie d'OU – Topologie de sites • Choix de l’entreprise, donc le consensus est nécessaire
  • 38. • Combien de forêts ? • Combien de domaines dans chaque forêt ? • Comment agencer ces domaines ? • Comment ces domaines s'appelleront-ils ? Espace de noms des domaines Questions posées
  • 39. • Au départ : une forêt • Une forêt de plus ? Il faut argumenter ! – Nécessité de préserver des schémas distincts – Refus de dévoiler ma topologie de domaines – Désaccord sur la composition des groupes sensibles • Administrateurs de Schéma • Administrateurs de l'Entreprise – Souhait de conserver la maîtrise des approbations – Frontière de sécurité Espace de noms des domaines Combien de forêts ?
  • 40. • Un domaine ne peut pas changer de forêt • Déplacement d'objets : – On sait migrer des objets d'un domaine vers un autre, – Mais ce n'est pas toujours une opération anodine ! • On ne sait pas interroger le Catalogue Global d'une autre forêt ... • ... A moins de passer par un Méta Annuaire ? Espace de noms des domaines Combien de forêts ? Contraintes…
  • 41. • Au départ : un domaine • Un domaine de plus ? Il faut argumenter ! – Délégation ne suffit pas – Nécessité de mettre en œuvre des stratégies spécifiques de : • Gestion des mots de passe, • Verrouillage des comptes, • Gestion des tickets Kerberos. – Soucis d'optimiser la réplication – Restructuration prévue, mais plus tard. Espace de noms des domaines Combien de domaines ?
  • 42. • Le premier domaine créé devient la racine de la forêt. • Il donne son nom à la forêt. • Il héberge deux groupes sensibles : – Admins de l'entreprise, – Admins du Schéma. • Choix d'un domaine Racine : – A choisir parmi les domaines définis précédemment, – Ou à créer pour les besoins de la cause. Espace de noms des domaines Définition de la racine de la forêt
  • 43. • Tout domaine AD est repéré par un nom DNS. • Domaines AD vs Domaines DNS – Domaine AD  Organisation logique des objets AD, – Domaine DNS  Localiser des hôtes et des services. • Nom du domaine racine : – Détermine l'espace de nom de tout l'arbre, – Ne peut pas être modifié de façon simple, – Doit permettre d'intégrer de façon harmonieuse toutes les entités présentes et à venir de l'arbre. Espace de noms des domaines Nommage des domaines
  • 44. • Affecter un nom à chaque domaine, en partant de la racine de chaque arbre. • Ne pas s'écarter des "standards" – RFC 1123 : A  Z ; 0  9 ; - – Eviter Unicode, – Utiliser des noms DNS enregistrés • Draft ".local" a été abandonné. • Préférer les noms courts Espace de noms des domaines Règles de nommage
  • 45. • Quel nom pour la Racine ? – Tfc.fr ? – Vieuxchaudron.fr ? • Eviter les recouvrements : – En choisissant des noms différents, – En choisissant un sous domaine du domaine public Pas de Proxy Proxy Noms identiques Sync DNS pub et DNS privé Sync srvs pub sur réseau privé Fichier PAC Noms différents ou sous-domaine OK Liste d'exclusions Espace de noms des domaines Espaces de noms privés et publics
  • 46. Topologie d'OU • Les OU peuvent servir à : – Organiser les objets, – Ne pas tout montrer à tout le monde, – Définir des périmètres de délégation, – Définir des périmètres d'application pour les GPO. • Une OU contient des objets et pas des références à des objets. • Une OU n'est pas un « Security Principal » OU OU OU Rôles des unités organisationnelles
  • 47. Topologie d'OU • Hiérarchie définie en fonction : – Des emplacements, – De l'organisation, – Des postes. • Hiérarchie hybride définie en fonction : – Des emplacements, puis de l'organisation, – De l'organisation, puis des emplacements. Consignes de conception
  • 48. • Les OU sont faites pour faciliter la vie des administrateurs, pas celle des utilisateurs. • Penser en termes d'organisation administrative : – Qui gère quoi ? – Qui décide de qui gère quoi ? • Préférer les arbres larges plutôt que profonds. • Affiner la topologie plus tard reste possible : – Facile à créer, déplacer, supprimer, renommer, – Point délicat : évaluer les conséquences sur la délégation et l'application des stratégies de groupes (GPOs). Topologie d'OU
  • 49. • Qu'est-ce qu'un site ? – Ensemble de machines "bien communicantes« , – Défini comme un agrégat de subnets IP, – Suppose un subnetting géographique. • Qui utilise les sites ? – Station  localiser un DC proche. – KCC  limiter le trafic de réplication sur liaisons lentes. – Client DFS  localiser un répliqua proche. – Utilisateur  localiser une imprimante proche. Notion de site Active Directory Topologie d'OU
  • 50. Qui réplique avec qui ? • Tout automatique : le KCC est livré à lui-même. • Semi-automatique : Fournir quelques indices au KCC : – Créer manuellement quelques connexions, – Ajouter des liens de site, – Désigner des têtes de pont. • Tout manuel : – Créer toutes les connexions manuellement, – Inhiber le KCC : Q242780. Définition d’une topologie de réplication Topologie d'OU
  • 51. Intra-site Inter-site Compression Non Oui ( par défaut) Mode de réplication Notifier/Tirer Tiré schedulé Fréquence 5min (par défaut) 3h (par défaut) Transport RPC RPC ou SMTP Connexions Entre tout DC Entre Têtes de pont La réplication Intra site passe à 15 s de fréquence en mode de domaine Windows 2003 Réplication inter sites et intra sites Topologie d'OU
  • 52. • Dans le cas de Windows 2003, sur chaque site, prévoir : – Un Global Catalog Server • De préférence tête de pont, • Ne doit pas être Infrastructure Master. – Du DNS qui marche ! • Eviter de créer des sites sans DC. • Toute correction reste possible : – Créer/Supprimer des sous réseaux, – Ajouter/Supprimer des sites et des liens de site, – Affecter des serveurs à des sites,  Surveiller le journal "Active Directory" ! Quelques règles simples Topologie d'OU
  • 53. Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
  • 54. Planifier les services • Active Directory a besoin de DNS pour : – Résoudre des noms d'hôtes, – Localiser des services : • Serveurs ldap (DC), • Serveur de Catalogue Global. • Pour supporter Active Directory : – Le Primaire et les Secondaires doivent gérer les enregistrements de services SRV • BIND  4.9.6 – Le Primaire devrait savoir gérer les mises à jour dynamiques • BIND  8.2.1 DNS et Active Directory
  • 55. Planifier les services • Pour que les clients Windows 2000 résolvent les noms des clients pré-Windows 2000 : – Activer le forwarding WINS pour la zone AD, – ou Activer le mandatement DHCP pour que les clients pré-Windows 2000 s'enregistrent dans DNS. • Pour que les clients pré-Windows 2000 résolvent les noms des clients Windows 2000 : – Leur attribuer l'adresse du serveur DNS via DHCP. Planifier DHCP et WINS
  • 56. Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
  • 57. Concepts et Fonctionnement Local Site Domain 2 3 1 OU 4 • Le positionnement de la machine ou de l’utilisateur dans Active Directory détermine les stratégies de groupe (GPO) qui seront appliquées • Les GPO sont appliquées au logon(utilisateur) ou au redémarrage (station) et rafraîchies régulièrement.
  • 58. OU’s A1 A2 Application des stratégies GPO’s A4 A5 A1 A2 A3 A Domaine  Les GPOs sont par domaine  Plusieurs GPO peuvent être associées avec un unique SDOU Site  Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines B GPO’s B1 B2 Domaine OU’s B1 B2 B3 Les GPO ne sont pas héritées entre domaines  Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur)  Plusieurs SDOU peuvent utiliser une unique GPO  L’application d’une GPO peut être filtré au moyen de groupes de sécurité (ACLs) • Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines. • Les GPOs sont par domaine. • Plusieurs GPO peuvent être associées avec un unique SDOU. • Plusieurs SDOU peuvent utiliser une GPO unique. • Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur). • L’application d’une GPO peut être filtrée au moyen de groupes de sécurité (ACLs).
  • 59. Mise en oeuvre des stratégies de groupe • La plupart des GPO ont 3 états – Activé – Désactivé – Non configuré • Les GPOs ont 2 “noeuds” de configuration (sections) – Utilisateur – Machine PS: Les paramètres “Machines” priment sur ceux “Utilisateur” • Pour recevoir une GPO, le compte machine ou utilisateur : – Doit être dans le S-D-OU qui a un lien vers la GPO, – Doit avoir la permission “Lire et appliquer les stratégies de groupe (Read and Apply Group Policy)” sur la GPO. • Prise en charge par les systèmes Windows 2000, Windows 2003 et Windows XP
  • 60. Traitements des stratégies de groupes (1/2) • L’ordre d’application va dicter la résolution des conflits de paramétrage – Conflits possibles entre les paramétrages Activé et Désactivé – Pas de conflit avec le paramétrage Non configuré – La dernière GPO traitée impose ses paramètres en cas de conflits • L’ordre de traitement des GPO peut être modifié en : – Bloquant l’héritage des GPOs, – Cochant la case “Ne pas passer outre”, – Évitant de modifier l’ordre de traitement par défaut.
  • 61. Traitements des stratégies de groupes (2/2) • Filtrer l’étendue d’une stratégie de groupe – Permission par défaut sur les GPOs – Utilisateurs authentifiés • Read and Apply Group Policy – Supprimer Utilisateurs authentifiés – Créer des groupes de sécurité basés sur les paramétrages de l’objet stratégie de groupe – Accorder des permissions aux groupes adéquats • Filtrage de sécurité vs. OUs – Les deux approches permettent de contrôler l’étendue d’application d’une GPO – Ne pas mixer les deux approches
  • 62. Déploiement d’applications • Publication (optionnelle) – Application «proposée» à l’utilisateur, disponible dans Ajout/Suppression de Programmes, – Installation automatique si nécessaire. • Assignation (obligatoire) – Création des icônes et raccourcis, – Installation à la première invocation.
  • 63. Déléguer l’administration • Déléguer l’administration des stratégies de groupe – Liaisons SDOU – Modification GPO – Création GPO
  • 64. Les extensions apportées par Windows 2003 • Nouveaux outils – GPUpdate – GPResult – Jeux résultant de stratégie (RSoP) • Mode journalisation uniquement – Centre d’aide et de support • Informations système détaillées - Stratégie • Rapport sur les paramètres appliqués • Également disponible sous Windows XP
  • 65. Vue d’ensemble des stratégie de groupe Demonstration
  • 66. Les apports de Windows Server 2003 • Alternative au filtrage par les permissions, • Application du GPO basée sur : – Le système d’exploitation, – Des pré requis matériels, – Les logiciels installés, – Toute information fournie par WMI. • Utilise WQL (WMI Query Language). Filtres WMI
  • 67. Filtres WMI • Clients – Windows XP Pro et au-delà. • L’annuaire Active Directory doit être configuré (modification de schéma) pour être conforme avec Windows Server 2003 – MAJ du schéma pour la forêt : ADPrep.exe /ForestPrep, – MAJ de la configuration du domaine : ADprep.exe /DomainPrep, – Les DCs peuvent encore être sous Windows 2000. Compatibilité
  • 69. Les apports de Windows Server 2003 • Réduit – Le nb d’outils, – La complexité. • Améliore – La clarté, – La flexibilité. Console de gestion des stratégies de groupe
  • 70. Console de gestion des stratégies de groupe • La mise en oeuvre des stratégies de groupe peut être complexe – Stratégie par défaut assez simple, – Le blocage d’héritage, “Ne pas passer outre”, le filtrage par permissions, le filtrage WMI, la délégation de droits peuvent rendre les stratégies de groupe difficiles à gérer. • Plusieurs outils – Utilisateurs et Ordinateurs Active Directory (Dsa.msc), – Sites et Services Active Directory (Dssite.msc), – etc… Tâches et outils
  • 71. Console de gestion des stratégies de groupe • La console de gestion des stratégies de groupe – Consolide des fonctions de différents outils, – Fournit une vision claire de l’organisation des stratégies de groupe, – Permet de clarifier les relations entre GPOs et SDOUs, – Regroupe les tâches possibles concernant les stratégies de groupe de façon logique. • La console de gestion des stratégies de groupe introduit les services suivants : – Sauvegarde / Restauration, – copie, import. Consolidation
  • 72. Mise en oeuvre des stratégies de groupes • Domaine de préparation – Permet le test des stratégies de groupe – Copie des GPOs entre domaines d’une même forêt – Sauvegarde et import entre domaines de forêts différentes – L’import nécessite que la GPO cible existe déjà • Tables de migration – Mise en correspondance des valeurs “hard codées” (chemins d’accès, identités de sécurité) du domaine de préparation avec celles du domaine de production – Ex : modification des chemins d’accès pour le déploiement d’applications Préparation
  • 73. Les apports de Windows Server 2003 • Windows XP – Journalisation des stratégies, – Rapport sur les paramètres issus de l’application des stratégies sur un poste. • Windows Server 2003 – Planification des stratégies, – Rapport sur l’application des stratégies suivant le positionnement de l’objet utilisateur et ordinateur dans Active Directory. – Nécessite un DC sous Windows Serveur 2003. – Permet de définir de nombreux scénarios : • Appartenance à un groupe de sécurité, positionnement des objets machine et utilisateur dans des OUs, application de filtres WMI. Planification des stratégies
  • 74. Utiliser la console de gestion des stratégies de groupe Demonstration
  • 75. Les apports de Windows Server 2003 • Interfaces de scripting de la console de gestion des stratégies de groupe – Automatise des tâches de gestion des stratégies, – Permet la création d’outils de gestion, – Ne permet pas d’automatiser des modification des GPOs. Utilisation de scripts
  • 76. Administration par script des stratégies Demonstration
  • 77. Planifier les stratégies de groupe • Limiter le nombre de stratégies de groupe traitées lors de la connexion d’un utilisateur, • Isoler les paramétrages dans différentes GPOs, • Désactiver les “noeuds” non utilisés (utilisateur/ordinateur), • Limiter les conflits de paramétrages (utilisateur/ordinateur), • Utiliser la console de gestion des stratégies de groupe. Bonnes pratiques
  • 78. Mise en oeuvre des stratégies de groupes • Éviter les liens de GPOs entre domaines, • Lier les GPOs à des OUs, non à des sites, • Limiter les moyens de contrôle de l’étendue d’une GPO – OU, filtrage par permission, filtre WMI • Pour le filtrage par permission, utiliser l’approche de tout interdire par défaut, • Ne pas trop modifier l’héritage des GPOs. Bonnes pratiques
  • 79. Conclusion • Les choix lors de la conception d’un annuaire Active Directory sont fondamentaux • Windows Server 2003 apporte plus de souplesse : – Pour le déploiement, – Pour l’administration. • Les stratégies de groupe sont un moyen puissant de contrôler un environnement Windows. • Windows Server 2003 ne modifie pas fondamentalement les stratégies de groupe, mais apporte : – Les filtres WMI, – La console de gestion des stratégies de groupe.
  • 80. Se former… • Tous les cours sur Windows 2000 Server / Windows Server 2003, et les centres de formation dans votre région sont sur : http://www.microsoft.com/france/formation • Livres Microsoft Press sur Windows 2000 Server et Windows Server 2003 : http://www.microsoft.com/france/mspress • Newsgroups : http://www.microsoft.com/france/communautes/webnews/France/default.ms px?dg=microsoft.public.fr.windows.server&lang=fr&cr=FR&r =4ebff0f5-0e74-499d-874f-a7197b08b375
  • 82. Votre potentiel, notre passion… A bientôt et merci d’être venus... © 2003 Microsoft France Marketing Technique