SlideShare une entreprise Scribd logo

tn005.ppt

Télécharger en tant que PPT, PDF
M
mustaphaamlik1

présentation active directory

Technologie
1  sur  82
Bienvenue Sponsor Officiel
Qu’est ce que TechNet ? • Un site Web très orienté technique – http://www.microsoft.com/france/technet/default.mspx • Une newsletter personnalisable – http://www.microsoft.com/france/technet/presentation/flash/default.mspx • Des séminaires techniques toute l’année, partout en France – http://www.microsoft.com/france/technet/seminaires/seminaires.mspx • Des Webcasts accessibles à tout instant – http://www.microsoft.com/france/technet/seminaires/webcasts.mspx • Un abonnement – http://www.microsoft.com/france/technet/presentation/cd/default.mspx
Conception d'une architecture Active Directory pour Windows Server 2003 Animateur
Logistique Pause en milieu de session Vos questions sont les bienvenues. N’hésitez pas ! Feuille d’évaluation à remettre remplie en fin de session Cédérom Commodités Merci d’éteindre vos téléphones
Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
Annuaire et Schéma • Un annuaire est un emplacement de stockage utilisé comme référentiel • L’annuaire aura un taux de lectures/écritures très élevé. • Un annuaire est un espace de stockage hiérarchique (non relationnel) • Tout élément de l’annuaire est un objet doté d’attributs – Ex : l’objet de type Utilisateur possède un attribut Numéro de téléphone • Les définitions des classes d’objets et des attributs sont accessibles via le schéma
Stockage (distribué) de données identifiant les ressources présentes dans le système informatique – Ex : utilisateur, ordinateur, groupe, domaine, application, imprimante, stratégie… Protocoles pour accéder et manipuler les données : – Domain Name System (DNS) – Lightweight Directory Access Protocol (LDAP) Utilisation : – Source d’information globale pour l’entreprise – Objet utilisateur défini à partir de la classe d’objets InetOrgPerson (Informational RFC 2798). Annuaire «Active Directory»
• Administrabilité – Intégration des stratégies de configuration des postes et des utilisateurs, délégation d’administration, automatisation via scripting (WSH). • Modularité – Hiérarchie de domaines et d’OU. • Scalabilité – Réduction du nombre de domaines. • Interopérabilité – Utilisation des standards DNS, LDAP, KERBEROS. • Extensibilité – Richesse et modification du schéma. Bénéfices d’Active Directory
Active Directory vs base SAM SAM de MS Windows NT contient : • Comptes utilisateurs • Groupes globaux • Groupes locaux • Comptes spéciaux • Stratégies de comptes • Stratégies d'audit • Stratégies des droits utilisateur • 40 Mo maxi recommandé Active Directory la même chose, plus : • Contacts • Groupes de distribution • Groupes Universels • Groupes locaux de domaine • Unité d’organisation (OU) • Dossiers publiés • Imprimantes publiées • Stratégie de groupe (GPO) • Eléments de configuration de services (DNS, RPC, DFS) • Accès par des protocoles standard (LDAP, DNS) • Peut contenir des millions d'objets
Schéma «Active Directory» purge delete activate deactivate Active Defunct Tomb- stone Purged • Utilisation – Extensibilité (dynamiquement éditable) • Ajout de nouvelles classes d’objets • Ajout de nouveaux attributs à des classes d’objets existantes – Interopérabilité – Pas de suppression possible sous Windows 2000 – Désactivation avec possibilité de réutiliser la classe ou les attributs désactivés – Utilisation de la classe inetOrgPerson pour l’ouverture de session des utilisateurs (meilleure interopérabilité avec les autres annuaires)
Extension du schéma • Nécessaire pour certains applicatifs – Exchange 2000, Exchange 2003 – ISA Server 2000 Edition Entreprise – SMS 2003 – … • Nécessaire pour certains composants de Windows 2003 R2 – Service de réplication de fichiers (DFS) – Publication des imprimantes via les GPO avec la console Print Management Console – Intégration des services d’identité pour UNIX
Architecture logique Arbres, forêts, domaines DOM2.COM ARBRE DOM1.COM ARBRE FORET • Arbre – Ensemble de domaines situés sous une racine unique, formant un espace de noms contigus. • Forêt – Ensemble d’arbres ne formant pas un espace de noms forcément contigus.
Notion de Forêt • Une forêt est un ensemble de domaines Active Directory qui partagent : – Des informations de configuration, – Une description logique et physique. • Porte le nom du premier domaine installé. • Les domaines forment une ou plusieurs arborescences – Pas d’héritage entre domaines (arborescence = nommage uniquement)
• Dans une forêt, les domaines partagent – Un même schéma, – Une même partition de configuration, – Un même catalogue global. • Dans une forêt, les domaines – Sont liés entre eux par des relations d'approbation • Bidirectionnelles, • Transitives. Caractéristiques d’une forêt
Notion de Domaine • Frontière de réplication et d’administration. • L’annuaire associé à chaque domaine est disponible sur un ou plusieurs contrôleurs de domaines (DC). • Il est possible de créer des arborescences de domaines. • A chaque domaine est associé un nom : – Ex : europe.contoso.com. • Le domaine n’est pas une frontière de sécurité
Notion d’Unités Organisationnelles (OU) • Conteneurs d’objets de type utilisateurs, groupes, ordinateurs, OU… au sein d’un domaine. • Utilisation : – Organisation des données, – Délégation des droits d’administration, – Application des stratégies de groupe. OU OU
• L’espace de nommage (zone dans laquelle un nom peut être résolu) de l’Active Directory repose sur DNS pour la localisation des services et la résolution des noms. Espace de nommage hiérarchique
Cohabitation Niveaux de fonctionnalités • Windows Server 2003 a plusieurs niveaux fonctionnels – Pour les domaines et les forêts, – Similaires aux modes mixte/natif de Windows 2000. • Augmenter les niveaux fonctionnels – Domaine : possible par domaine – Forêt : pour l’ensemble de la forêt (impacte tous les domaines), – Irréversible, – Apporte de nouvelles fonctionnalités.
Niveau de fonctionnalité Fonctionnalités activées Types de DC supportés Windows 2000 mixte • Installation depuis un support • Mise en cache des groupes Universels • Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2000 natif Ensemble des fonctionnalités du mode Windows 2000 mixte, plus • Imbrication des groupes • Groupe de type Universel • SIDHistory Windows 2000 Windows 2003 Windows 2003 Intérimaire Identiques au mode natif de Windows 2000 Windows NT4 Windows 2003 Windows 2003 Ensemble des fonctionnalités du mode Windows 2000 natif, plus • Mise à jour de l’attribut logon timestamp • Version de KDC Kerberos • Mot de passe utilisateur ds INetOrgPerson Windows 2003 Windows 2003 & Active Directory Niveau de fonctionnalité pour les domaines
Niveau de fonctionnalité Fonctionnalités activées Types de DC supportés Windows 2000 • Installation depuis un support • Mise en cache des groupes Universels • Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2003 Intérimaire Ensemble des fonctionnalités du mode Windows 2000, plus • Réplication LVR (Linked Value Record) • Amélioration ISTG (Inter Site Topology Generator) Windows NT4 Windows 2003 Windows 2003 Ensemble des fonctionnalités du mode Windows 2003 Intérimaire, plus • Classes Auxiliaires dynamiques • Modification de la classe User en INetOrgPerson • Dé/réactivation au sein du schéma • Changement des noms de domaines • Relations d’approbation inter forêts Windows 2003 Windows 2003 & Active Directory Niveau de fonctionnalité pour la forêt
• Un serveur Windows NT peut être : – Contrôleur Principal de Domaine (PDC) – Contrôleur Secondaire de Domaine (BDC) – Serveur Membre • Un Serveur Windows 2000 / 2003 peut être : – Contrôleur de Domaine (DC) – Serveur Membre – Possibilité de passer d’un rôle à l’autre (dcpromo.exe) Rôle des serveurs
• Réplication multi maîtres – Tous les DC sont en écriture – Plus de notion PDC/BDC • les rôles FSMO : – Contrôleur de schéma – Maîtres d’attribution de noms de domaine – Maître RID (Relative Identifier) – Maître d’Infrastructure – Émulateur PDC Un seul dans toute la forêt Rôles FSMO Un par domaine Flexible Single Master Operations
Installation d’un DC • Promotion possible à n’importe quel moment via DCpromo • Avec Windows 2000, lors de l’installation d’un contrôleur de domaine, une réplication complète de l’annuaire est effectuée via le réseau : – Augmentation des coûts de communication, – Mise en place de procédures d’expédition des contrôleurs pré installés. • Avec Windows Server 2003, DCPROMO est capable d’installer Active Directory à partir d’une sauvegarde de l’annuaire : – Seul le delta est répliqué via le réseau.
Global Catalog (GC) • Le Global Catalog : contient une copie en lecture seule de tous les objets de tous les domaines mais avec un nombre réduit d’attributs. – Permet de localiser n’importe quel objet de façon rapide sans connaître son emplacement dans l’arborescence – Un changement de schéma pouvait entraîner un re-calcul du contenu du GC • Plus avec Windows Server 2003 – Nécessaire pour ouvrir la session en mode natif (appartenance aux groupes «Universels») • Dans Windows Server 2003, l’appartenance aux groupes universels peut être mise en cache : nouvelle fonction qui supprime la nécessité d’un global catalog par site • Attention : cette fonction ne sert que pour les groupes universels : le global catalog reste utile pour certaines applications.
Ouverture de session sans Global Catalog • Avec Windows 2000, en mode natif, le Global Catalog est contacté par le contrôleur de domaine lors de l’ouverture de session pour récupérer la liste des groupes Universels : – GC dans chaque site ou mode mixte ou mode natif sans utilisation de groupes universels. • Avec Windows Server 2003, l’appartenance aux groupes globaux est mise en cache au niveau des contrôleurs : – Propriété de chaque site, – Mise en cache initiale lors de la première ouverture de session puis de façon périodique.
Windows NT 4.0 Windows 2000/2003 Relations d’approbation • Les relations d’approbation entre domaines Windows 2000/2003 utilisent Kerberos : – Implicites, transitives et bidirectionnelles.
Relations d’approbation multi forets • Avec Windows 2000, les relations d’approbation externes à la forêt doivent être gérées comme des relations NT4.0 • Relations d’approbation inter forêt : – Transitivité par défaut entre tous les domaines des 2 forêts – Pas de transitivité entre forêts – Kerberos Forest-trust A-B Forest trust B-C Forêt A Forêt B Forêt C
Partitionnement Applicatif (1/2) • Plusieurs partitions de la base AD existent dès l’installation : – La partition de Schéma (1/forêt) – La partition de Configuration (1/forêt) – La partition de Domaine (1/Domaine) • Avantage de AD 2003 : Possibilité de créer de nouvelles partitions pour des besoins applicatifs. – Réplication sur des DC choisis dans la forêt sans lien avec la notion de domaine – Localisables par DNS (enregistrements SRV) – Non répliquées sur le Catalogue Global – Ne peuvent contenir des principaux de sécurité
Données de DOM1 Données appli1 Données appli2 Données de DOM1 Données appli1 Données de DOM2 Données Appli2 Données de DOM2 Données Appli1 Données de DOM1 Forêt DOM1 DOM2 Partitionnement Applicatif (2/2) DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3 • Avec Windows 2000, toute donnée stockée dans l’annuaire est répliquée par défaut vers tous les contrôleurs du domaine (Naming Context Domain) ou de la forêt (NC Configuration et Schema).
Architecture physique • Contrôleur de domaine AD – Un DC appartient à un seul site AD et assure les services d’annuaire et d’authentification pour les clients de ce site. – Il réplique les informations de l’annuaire avec les autres DC • Site AD – Ensemble de sous réseaux IP – Permet à la réplication Active Directory de s’appuyer sur la topologie du réseau Site 1 Site 2 DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3
Réplication (1/3) • Réplication intra site – Automatique (topologie générée par KCC) – Basée sur la notification – Temps de réplication optimisé • Réplication inter site – Automatique ou manuelle – Planifiée – Utilisation de bande passante optimisée – Mode redondant de réplication pour les architectures filiales • Optimisation de la réplication des groupes avec un nombre de membres importants – Tous les contrôleurs de la forêt doivent être en version Windows Server 2003.
Réplication (2/3) • Réplication inter sites – L’administrateur crée les objets représentant le réseau (sites et liens de sites) – Le KCC génère automatiquement la topologie de réplication – Tolérant à la panne et simple à maintenir – En 2000, problème d'évolutivité pour un nombre important de sites (scénario "filiales") – Avec 2003, l’algorithme (KCC et ISTG) a été re- développé, utilisation d’un nouvel algorithme fonction (d*s) au lieu de (d*s2) – Evolutivité testée jusqu’à 5000 sites – Possibilité de mise en œuvre un mode redondant
• Le Serveur “Tête de pont” est le contrôleur de domaine chargé de la réplication avec les autres sites – On peut choisir une liste de serveurs “tête de pont préférés” • En Windows Server 2003, possibilité d’avoir plusieurs serveurs tête de pont du même domaine sur un même site (Windows) – Outil de Load Balancing des connexions (ADLB.exe) Réplication (3/3)
Mode « Branch Office » • Utilisation : Repadmin …./siteoptions +IS_REDUNDANT_SERVER_TOP OLOGY_ENABLED +IS_TOPL_DETECT_STALE_DISA BLED • Nécessite une forêt en mode Windows 2003 Intérim ou Windows 2003 • Mettre en place la topologie dans les 2 sens entrant et sortant
Vue d’ensemble des consoles d’administration Demonstration
Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
Définition de l'espace de noms Active Directory • Ne pas hésiter à viser les topologies idéales • Doit déboucher sur des livrables : – Espace de noms des domaines AD et DNS – Topologie d'OU – Topologie de sites • Choix de l’entreprise, donc le consensus est nécessaire
• Combien de forêts ? • Combien de domaines dans chaque forêt ? • Comment agencer ces domaines ? • Comment ces domaines s'appelleront-ils ? Espace de noms des domaines Questions posées
• Au départ : une forêt • Une forêt de plus ? Il faut argumenter ! – Nécessité de préserver des schémas distincts – Refus de dévoiler ma topologie de domaines – Désaccord sur la composition des groupes sensibles • Administrateurs de Schéma • Administrateurs de l'Entreprise – Souhait de conserver la maîtrise des approbations – Frontière de sécurité Espace de noms des domaines Combien de forêts ?
• Un domaine ne peut pas changer de forêt • Déplacement d'objets : – On sait migrer des objets d'un domaine vers un autre, – Mais ce n'est pas toujours une opération anodine ! • On ne sait pas interroger le Catalogue Global d'une autre forêt ... • ... A moins de passer par un Méta Annuaire ? Espace de noms des domaines Combien de forêts ? Contraintes…
• Au départ : un domaine • Un domaine de plus ? Il faut argumenter ! – Délégation ne suffit pas – Nécessité de mettre en œuvre des stratégies spécifiques de : • Gestion des mots de passe, • Verrouillage des comptes, • Gestion des tickets Kerberos. – Soucis d'optimiser la réplication – Restructuration prévue, mais plus tard. Espace de noms des domaines Combien de domaines ?
• Le premier domaine créé devient la racine de la forêt. • Il donne son nom à la forêt. • Il héberge deux groupes sensibles : – Admins de l'entreprise, – Admins du Schéma. • Choix d'un domaine Racine : – A choisir parmi les domaines définis précédemment, – Ou à créer pour les besoins de la cause. Espace de noms des domaines Définition de la racine de la forêt
• Tout domaine AD est repéré par un nom DNS. • Domaines AD vs Domaines DNS – Domaine AD  Organisation logique des objets AD, – Domaine DNS  Localiser des hôtes et des services. • Nom du domaine racine : – Détermine l'espace de nom de tout l'arbre, – Ne peut pas être modifié de façon simple, – Doit permettre d'intégrer de façon harmonieuse toutes les entités présentes et à venir de l'arbre. Espace de noms des domaines Nommage des domaines
• Affecter un nom à chaque domaine, en partant de la racine de chaque arbre. • Ne pas s'écarter des "standards" – RFC 1123 : A  Z ; 0  9 ; - – Eviter Unicode, – Utiliser des noms DNS enregistrés • Draft ".local" a été abandonné. • Préférer les noms courts Espace de noms des domaines Règles de nommage
• Quel nom pour la Racine ? – Tfc.fr ? – Vieuxchaudron.fr ? • Eviter les recouvrements : – En choisissant des noms différents, – En choisissant un sous domaine du domaine public Pas de Proxy Proxy Noms identiques Sync DNS pub et DNS privé Sync srvs pub sur réseau privé Fichier PAC Noms différents ou sous-domaine OK Liste d'exclusions Espace de noms des domaines Espaces de noms privés et publics
Topologie d'OU • Les OU peuvent servir à : – Organiser les objets, – Ne pas tout montrer à tout le monde, – Définir des périmètres de délégation, – Définir des périmètres d'application pour les GPO. • Une OU contient des objets et pas des références à des objets. • Une OU n'est pas un « Security Principal » OU OU OU Rôles des unités organisationnelles
Topologie d'OU • Hiérarchie définie en fonction : – Des emplacements, – De l'organisation, – Des postes. • Hiérarchie hybride définie en fonction : – Des emplacements, puis de l'organisation, – De l'organisation, puis des emplacements. Consignes de conception
• Les OU sont faites pour faciliter la vie des administrateurs, pas celle des utilisateurs. • Penser en termes d'organisation administrative : – Qui gère quoi ? – Qui décide de qui gère quoi ? • Préférer les arbres larges plutôt que profonds. • Affiner la topologie plus tard reste possible : – Facile à créer, déplacer, supprimer, renommer, – Point délicat : évaluer les conséquences sur la délégation et l'application des stratégies de groupes (GPOs). Topologie d'OU
• Qu'est-ce qu'un site ? – Ensemble de machines "bien communicantes« , – Défini comme un agrégat de subnets IP, – Suppose un subnetting géographique. • Qui utilise les sites ? – Station  localiser un DC proche. – KCC  limiter le trafic de réplication sur liaisons lentes. – Client DFS  localiser un répliqua proche. – Utilisateur  localiser une imprimante proche. Notion de site Active Directory Topologie d'OU
Qui réplique avec qui ? • Tout automatique : le KCC est livré à lui-même. • Semi-automatique : Fournir quelques indices au KCC : – Créer manuellement quelques connexions, – Ajouter des liens de site, – Désigner des têtes de pont. • Tout manuel : – Créer toutes les connexions manuellement, – Inhiber le KCC : Q242780. Définition d’une topologie de réplication Topologie d'OU
Intra-site Inter-site Compression Non Oui ( par défaut) Mode de réplication Notifier/Tirer Tiré schedulé Fréquence 5min (par défaut) 3h (par défaut) Transport RPC RPC ou SMTP Connexions Entre tout DC Entre Têtes de pont La réplication Intra site passe à 15 s de fréquence en mode de domaine Windows 2003 Réplication inter sites et intra sites Topologie d'OU
• Dans le cas de Windows 2003, sur chaque site, prévoir : – Un Global Catalog Server • De préférence tête de pont, • Ne doit pas être Infrastructure Master. – Du DNS qui marche ! • Eviter de créer des sites sans DC. • Toute correction reste possible : – Créer/Supprimer des sous réseaux, – Ajouter/Supprimer des sites et des liens de site, – Affecter des serveurs à des sites,  Surveiller le journal "Active Directory" ! Quelques règles simples Topologie d'OU
Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
Planifier les services • Active Directory a besoin de DNS pour : – Résoudre des noms d'hôtes, – Localiser des services : • Serveurs ldap (DC), • Serveur de Catalogue Global. • Pour supporter Active Directory : – Le Primaire et les Secondaires doivent gérer les enregistrements de services SRV • BIND  4.9.6 – Le Primaire devrait savoir gérer les mises à jour dynamiques • BIND  8.2.1 DNS et Active Directory
Planifier les services • Pour que les clients Windows 2000 résolvent les noms des clients pré-Windows 2000 : – Activer le forwarding WINS pour la zone AD, – ou Activer le mandatement DHCP pour que les clients pré-Windows 2000 s'enregistrent dans DNS. • Pour que les clients pré-Windows 2000 résolvent les noms des clients Windows 2000 : – Leur attribuer l'adresse du serveur DNS via DHCP. Planifier DHCP et WINS
Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
Concepts et Fonctionnement Local Site Domain 2 3 1 OU 4 • Le positionnement de la machine ou de l’utilisateur dans Active Directory détermine les stratégies de groupe (GPO) qui seront appliquées • Les GPO sont appliquées au logon(utilisateur) ou au redémarrage (station) et rafraîchies régulièrement.
OU’s A1 A2 Application des stratégies GPO’s A4 A5 A1 A2 A3 A Domaine  Les GPOs sont par domaine  Plusieurs GPO peuvent être associées avec un unique SDOU Site  Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines B GPO’s B1 B2 Domaine OU’s B1 B2 B3 Les GPO ne sont pas héritées entre domaines  Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur)  Plusieurs SDOU peuvent utiliser une unique GPO  L’application d’une GPO peut être filtré au moyen de groupes de sécurité (ACLs) • Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines. • Les GPOs sont par domaine. • Plusieurs GPO peuvent être associées avec un unique SDOU. • Plusieurs SDOU peuvent utiliser une GPO unique. • Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur). • L’application d’une GPO peut être filtrée au moyen de groupes de sécurité (ACLs).
Mise en oeuvre des stratégies de groupe • La plupart des GPO ont 3 états – Activé – Désactivé – Non configuré • Les GPOs ont 2 “noeuds” de configuration (sections) – Utilisateur – Machine PS: Les paramètres “Machines” priment sur ceux “Utilisateur” • Pour recevoir une GPO, le compte machine ou utilisateur : – Doit être dans le S-D-OU qui a un lien vers la GPO, – Doit avoir la permission “Lire et appliquer les stratégies de groupe (Read and Apply Group Policy)” sur la GPO. • Prise en charge par les systèmes Windows 2000, Windows 2003 et Windows XP
Traitements des stratégies de groupes (1/2) • L’ordre d’application va dicter la résolution des conflits de paramétrage – Conflits possibles entre les paramétrages Activé et Désactivé – Pas de conflit avec le paramétrage Non configuré – La dernière GPO traitée impose ses paramètres en cas de conflits • L’ordre de traitement des GPO peut être modifié en : – Bloquant l’héritage des GPOs, – Cochant la case “Ne pas passer outre”, – Évitant de modifier l’ordre de traitement par défaut.
Traitements des stratégies de groupes (2/2) • Filtrer l’étendue d’une stratégie de groupe – Permission par défaut sur les GPOs – Utilisateurs authentifiés • Read and Apply Group Policy – Supprimer Utilisateurs authentifiés – Créer des groupes de sécurité basés sur les paramétrages de l’objet stratégie de groupe – Accorder des permissions aux groupes adéquats • Filtrage de sécurité vs. OUs – Les deux approches permettent de contrôler l’étendue d’application d’une GPO – Ne pas mixer les deux approches
Déploiement d’applications • Publication (optionnelle) – Application «proposée» à l’utilisateur, disponible dans Ajout/Suppression de Programmes, – Installation automatique si nécessaire. • Assignation (obligatoire) – Création des icônes et raccourcis, – Installation à la première invocation.
Déléguer l’administration • Déléguer l’administration des stratégies de groupe – Liaisons SDOU – Modification GPO – Création GPO
Les extensions apportées par Windows 2003 • Nouveaux outils – GPUpdate – GPResult – Jeux résultant de stratégie (RSoP) • Mode journalisation uniquement – Centre d’aide et de support • Informations système détaillées - Stratégie • Rapport sur les paramètres appliqués • Également disponible sous Windows XP
Vue d’ensemble des stratégie de groupe Demonstration
Les apports de Windows Server 2003 • Alternative au filtrage par les permissions, • Application du GPO basée sur : – Le système d’exploitation, – Des pré requis matériels, – Les logiciels installés, – Toute information fournie par WMI. • Utilise WQL (WMI Query Language). Filtres WMI
Filtres WMI • Clients – Windows XP Pro et au-delà. • L’annuaire Active Directory doit être configuré (modification de schéma) pour être conforme avec Windows Server 2003 – MAJ du schéma pour la forêt : ADPrep.exe /ForestPrep, – MAJ de la configuration du domaine : ADprep.exe /DomainPrep, – Les DCs peuvent encore être sous Windows 2000. Compatibilité
Filtres WMI Demonstration
Les apports de Windows Server 2003 • Réduit – Le nb d’outils, – La complexité. • Améliore – La clarté, – La flexibilité. Console de gestion des stratégies de groupe
Console de gestion des stratégies de groupe • La mise en oeuvre des stratégies de groupe peut être complexe – Stratégie par défaut assez simple, – Le blocage d’héritage, “Ne pas passer outre”, le filtrage par permissions, le filtrage WMI, la délégation de droits peuvent rendre les stratégies de groupe difficiles à gérer. • Plusieurs outils – Utilisateurs et Ordinateurs Active Directory (Dsa.msc), – Sites et Services Active Directory (Dssite.msc), – etc… Tâches et outils
Console de gestion des stratégies de groupe • La console de gestion des stratégies de groupe – Consolide des fonctions de différents outils, – Fournit une vision claire de l’organisation des stratégies de groupe, – Permet de clarifier les relations entre GPOs et SDOUs, – Regroupe les tâches possibles concernant les stratégies de groupe de façon logique. • La console de gestion des stratégies de groupe introduit les services suivants : – Sauvegarde / Restauration, – copie, import. Consolidation
Mise en oeuvre des stratégies de groupes • Domaine de préparation – Permet le test des stratégies de groupe – Copie des GPOs entre domaines d’une même forêt – Sauvegarde et import entre domaines de forêts différentes – L’import nécessite que la GPO cible existe déjà • Tables de migration – Mise en correspondance des valeurs “hard codées” (chemins d’accès, identités de sécurité) du domaine de préparation avec celles du domaine de production – Ex : modification des chemins d’accès pour le déploiement d’applications Préparation
Les apports de Windows Server 2003 • Windows XP – Journalisation des stratégies, – Rapport sur les paramètres issus de l’application des stratégies sur un poste. • Windows Server 2003 – Planification des stratégies, – Rapport sur l’application des stratégies suivant le positionnement de l’objet utilisateur et ordinateur dans Active Directory. – Nécessite un DC sous Windows Serveur 2003. – Permet de définir de nombreux scénarios : • Appartenance à un groupe de sécurité, positionnement des objets machine et utilisateur dans des OUs, application de filtres WMI. Planification des stratégies
Utiliser la console de gestion des stratégies de groupe Demonstration
Les apports de Windows Server 2003 • Interfaces de scripting de la console de gestion des stratégies de groupe – Automatise des tâches de gestion des stratégies, – Permet la création d’outils de gestion, – Ne permet pas d’automatiser des modification des GPOs. Utilisation de scripts
Administration par script des stratégies Demonstration
Planifier les stratégies de groupe • Limiter le nombre de stratégies de groupe traitées lors de la connexion d’un utilisateur, • Isoler les paramétrages dans différentes GPOs, • Désactiver les “noeuds” non utilisés (utilisateur/ordinateur), • Limiter les conflits de paramétrages (utilisateur/ordinateur), • Utiliser la console de gestion des stratégies de groupe. Bonnes pratiques
Mise en oeuvre des stratégies de groupes • Éviter les liens de GPOs entre domaines, • Lier les GPOs à des OUs, non à des sites, • Limiter les moyens de contrôle de l’étendue d’une GPO – OU, filtrage par permission, filtre WMI • Pour le filtrage par permission, utiliser l’approche de tout interdire par défaut, • Ne pas trop modifier l’héritage des GPOs. Bonnes pratiques
Conclusion • Les choix lors de la conception d’un annuaire Active Directory sont fondamentaux • Windows Server 2003 apporte plus de souplesse : – Pour le déploiement, – Pour l’administration. • Les stratégies de groupe sont un moyen puissant de contrôler un environnement Windows. • Windows Server 2003 ne modifie pas fondamentalement les stratégies de groupe, mais apporte : – Les filtres WMI, – La console de gestion des stratégies de groupe.
Se former… • Tous les cours sur Windows 2000 Server / Windows Server 2003, et les centres de formation dans votre région sont sur : http://www.microsoft.com/france/formation • Livres Microsoft Press sur Windows 2000 Server et Windows Server 2003 : http://www.microsoft.com/france/mspress • Newsgroups : http://www.microsoft.com/france/communautes/webnews/France/default.ms px?dg=microsoft.public.fr.windows.server&lang=fr&cr=FR&r =4ebff0f5-0e74-499d-874f-a7197b08b375
Questions / Réponses
Votre potentiel, notre passion… A bientôt et merci d’être venus... © 2003 Microsoft France Marketing Technique

Recommandé

installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003Souhaib El
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm
 
Azure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaAzure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaMicrosoft
 
MDweb: un composant pour le catalogage et la localisation de l'information en...
MDweb: un composant pour le catalogage et la localisation de l'information en...MDweb: un composant pour le catalogage et la localisation de l'information en...
MDweb: un composant pour le catalogage et la localisation de l'information en...Desconnets Jean-Christophe
 
1 présentation de l'ad et groupes
1 présentation de l'ad et groupes1 présentation de l'ad et groupes
1 présentation de l'ad et groupesIMADKASMI
 
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheMeetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheAurelien Navarre
 
AWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévu
AWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévuAWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévu
AWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévuAmazon Web Services
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteMicrosoft
 

Recommandé

installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003Souhaib El
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm
 
Azure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaAzure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaMicrosoft
 
MDweb: un composant pour le catalogage et la localisation de l'information en...
MDweb: un composant pour le catalogage et la localisation de l'information en...MDweb: un composant pour le catalogage et la localisation de l'information en...
MDweb: un composant pour le catalogage et la localisation de l'information en...Desconnets Jean-Christophe
 
1 présentation de l'ad et groupes
1 présentation de l'ad et groupes1 présentation de l'ad et groupes
1 présentation de l'ad et groupesIMADKASMI
 
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheMeetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheAurelien Navarre
 
AWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévu
AWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévuAWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévu
AWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévuAmazon Web Services
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteMicrosoft
 
Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB MongoDB
 
Docker
DockerDocker
DockerJean-Philippe Chateau
 
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...CERTyou Formation
 
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...Christophe Laporte
 
La GED 3 secrets pour réussir
La GED 3 secrets pour réussirLa GED 3 secrets pour réussir
La GED 3 secrets pour réussirSollan France
 
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixteAlphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixteAlphorm
 
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdfLinux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdfThinL389917
 
Rmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frRmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frGaëtan Trellu
 
DataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache CassandraDataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache CassandraVictor Coustenoble
 
Liste des fonctionnalités du CMS Rubedo
Liste des fonctionnalités du CMS RubedoListe des fonctionnalités du CMS Rubedo
Liste des fonctionnalités du CMS RubedoRubedo, a WebTales solution
 
01- DC.pptx
01- DC.pptx01- DC.pptx
01- DC.pptxPierre Mario
 
LP_Admin_base_données.ppt
LP_Admin_base_données.pptLP_Admin_base_données.ppt
LP_Admin_base_données.pptIdriss22
 
Monter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMonter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMicrosoft Technet France
 
Conférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.FrConférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.FrOxalide
 
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...Alphorm
 
[GAB2016] Azure DocumentDB - Jean-Luc Boucho
[GAB2016] Azure DocumentDB - Jean-Luc Boucho[GAB2016] Azure DocumentDB - Jean-Luc Boucho
[GAB2016] Azure DocumentDB - Jean-Luc BouchoCellenza
 
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris AZUG FR
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010Mario Leblond
 
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...Pierre Ternon
 

Contenu connexe

Similaire à tn005.ppt

Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB MongoDB
 
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...CERTyou Formation
 
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...Christophe Laporte
 
La GED 3 secrets pour réussir
La GED 3 secrets pour réussirLa GED 3 secrets pour réussir
La GED 3 secrets pour réussirSollan France
 
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixteAlphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixteAlphorm
 
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdfLinux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdfThinL389917
 
Rmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frRmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frGaëtan Trellu
 
DataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache CassandraDataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache CassandraVictor Coustenoble
 
LP_Admin_base_données.ppt
LP_Admin_base_données.pptLP_Admin_base_données.ppt
LP_Admin_base_données.pptIdriss22
 
Monter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMonter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMicrosoft Technet France
 
Conférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.FrConférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.FrOxalide
 
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...Alphorm
 
[GAB2016] Azure DocumentDB - Jean-Luc Boucho
[GAB2016] Azure DocumentDB - Jean-Luc Boucho[GAB2016] Azure DocumentDB - Jean-Luc Boucho
[GAB2016] Azure DocumentDB - Jean-Luc BouchoCellenza
 
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris AZUG FR
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010Mario Leblond
 
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...Pierre Ternon
 

Similaire à tn005.ppt (20)

Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB
 
Docker
DockerDocker
Docker
 
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
Cl484 g formation-ibm-db2-10-1-for-linux-unix-and-windows-quickstart-for-expe...
 
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
 
La GED 3 secrets pour réussir
La GED 3 secrets pour réussirLa GED 3 secrets pour réussir
La GED 3 secrets pour réussir
 
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixteAlphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
 
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdfLinux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
 
Rmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frRmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-fr
 
DataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache CassandraDataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache Cassandra
 
Liste des fonctionnalités du CMS Rubedo
Liste des fonctionnalités du CMS RubedoListe des fonctionnalités du CMS Rubedo
Liste des fonctionnalités du CMS Rubedo
 
01- DC.pptx
01- DC.pptx01- DC.pptx
01- DC.pptx
 
LP_Admin_base_données.ppt
LP_Admin_base_données.pptLP_Admin_base_données.ppt
LP_Admin_base_données.ppt
 
Monter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMonter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows Azure
 
Conférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.FrConférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.Fr
 
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
 
[GAB2016] Azure DocumentDB - Jean-Luc Boucho
[GAB2016] Azure DocumentDB - Jean-Luc Boucho[GAB2016] Azure DocumentDB - Jean-Luc Boucho
[GAB2016] Azure DocumentDB - Jean-Luc Boucho
 
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
Jean-Luc Boucho - Azure DocumentDB - Global Azure Bootcamp 2016 Paris
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
Mise à niveau de Sharepoint 2007 vers Sharepoint 20102010
 
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
 

tn005.ppt

  • 2. Qu’est ce que TechNet ? • Un site Web très orienté technique – http://www.microsoft.com/france/technet/default.mspx • Une newsletter personnalisable – http://www.microsoft.com/france/technet/presentation/flash/default.mspx • Des séminaires techniques toute l’année, partout en France – http://www.microsoft.com/france/technet/seminaires/seminaires.mspx • Des Webcasts accessibles à tout instant – http://www.microsoft.com/france/technet/seminaires/webcasts.mspx • Un abonnement – http://www.microsoft.com/france/technet/presentation/cd/default.mspx
  • 3. Conception d'une architecture Active Directory pour Windows Server 2003 Animateur
  • 4. Logistique Pause en milieu de session Vos questions sont les bienvenues. N’hésitez pas ! Feuille d’évaluation à remettre remplie en fin de session Cédérom Commodités Merci d’éteindre vos téléphones
  • 5. Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
  • 6. Annuaire et Schéma • Un annuaire est un emplacement de stockage utilisé comme référentiel • L’annuaire aura un taux de lectures/écritures très élevé. • Un annuaire est un espace de stockage hiérarchique (non relationnel) • Tout élément de l’annuaire est un objet doté d’attributs – Ex : l’objet de type Utilisateur possède un attribut Numéro de téléphone • Les définitions des classes d’objets et des attributs sont accessibles via le schéma
  • 7. Stockage (distribué) de données identifiant les ressources présentes dans le système informatique – Ex : utilisateur, ordinateur, groupe, domaine, application, imprimante, stratégie… Protocoles pour accéder et manipuler les données : – Domain Name System (DNS) – Lightweight Directory Access Protocol (LDAP) Utilisation : – Source d’information globale pour l’entreprise – Objet utilisateur défini à partir de la classe d’objets InetOrgPerson (Informational RFC 2798). Annuaire «Active Directory»
  • 8. • Administrabilité – Intégration des stratégies de configuration des postes et des utilisateurs, délégation d’administration, automatisation via scripting (WSH). • Modularité – Hiérarchie de domaines et d’OU. • Scalabilité – Réduction du nombre de domaines. • Interopérabilité – Utilisation des standards DNS, LDAP, KERBEROS. • Extensibilité – Richesse et modification du schéma. Bénéfices d’Active Directory
  • 9. Active Directory vs base SAM SAM de MS Windows NT contient : • Comptes utilisateurs • Groupes globaux • Groupes locaux • Comptes spéciaux • Stratégies de comptes • Stratégies d'audit • Stratégies des droits utilisateur • 40 Mo maxi recommandé Active Directory la même chose, plus : • Contacts • Groupes de distribution • Groupes Universels • Groupes locaux de domaine • Unité d’organisation (OU) • Dossiers publiés • Imprimantes publiées • Stratégie de groupe (GPO) • Eléments de configuration de services (DNS, RPC, DFS) • Accès par des protocoles standard (LDAP, DNS) • Peut contenir des millions d'objets
  • 10. Schéma «Active Directory» purge delete activate deactivate Active Defunct Tomb- stone Purged • Utilisation – Extensibilité (dynamiquement éditable) • Ajout de nouvelles classes d’objets • Ajout de nouveaux attributs à des classes d’objets existantes – Interopérabilité – Pas de suppression possible sous Windows 2000 – Désactivation avec possibilité de réutiliser la classe ou les attributs désactivés – Utilisation de la classe inetOrgPerson pour l’ouverture de session des utilisateurs (meilleure interopérabilité avec les autres annuaires)
  • 11. Extension du schéma • Nécessaire pour certains applicatifs – Exchange 2000, Exchange 2003 – ISA Server 2000 Edition Entreprise – SMS 2003 – … • Nécessaire pour certains composants de Windows 2003 R2 – Service de réplication de fichiers (DFS) – Publication des imprimantes via les GPO avec la console Print Management Console – Intégration des services d’identité pour UNIX
  • 12. Architecture logique Arbres, forêts, domaines DOM2.COM ARBRE DOM1.COM ARBRE FORET • Arbre – Ensemble de domaines situés sous une racine unique, formant un espace de noms contigus. • Forêt – Ensemble d’arbres ne formant pas un espace de noms forcément contigus.
  • 13. Notion de Forêt • Une forêt est un ensemble de domaines Active Directory qui partagent : – Des informations de configuration, – Une description logique et physique. • Porte le nom du premier domaine installé. • Les domaines forment une ou plusieurs arborescences – Pas d’héritage entre domaines (arborescence = nommage uniquement)
  • 14. • Dans une forêt, les domaines partagent – Un même schéma, – Une même partition de configuration, – Un même catalogue global. • Dans une forêt, les domaines – Sont liés entre eux par des relations d'approbation • Bidirectionnelles, • Transitives. Caractéristiques d’une forêt
  • 15. Notion de Domaine • Frontière de réplication et d’administration. • L’annuaire associé à chaque domaine est disponible sur un ou plusieurs contrôleurs de domaines (DC). • Il est possible de créer des arborescences de domaines. • A chaque domaine est associé un nom : – Ex : europe.contoso.com. • Le domaine n’est pas une frontière de sécurité
  • 16. Notion d’Unités Organisationnelles (OU) • Conteneurs d’objets de type utilisateurs, groupes, ordinateurs, OU… au sein d’un domaine. • Utilisation : – Organisation des données, – Délégation des droits d’administration, – Application des stratégies de groupe. OU OU
  • 17. • L’espace de nommage (zone dans laquelle un nom peut être résolu) de l’Active Directory repose sur DNS pour la localisation des services et la résolution des noms. Espace de nommage hiérarchique
  • 18. Cohabitation Niveaux de fonctionnalités • Windows Server 2003 a plusieurs niveaux fonctionnels – Pour les domaines et les forêts, – Similaires aux modes mixte/natif de Windows 2000. • Augmenter les niveaux fonctionnels – Domaine : possible par domaine – Forêt : pour l’ensemble de la forêt (impacte tous les domaines), – Irréversible, – Apporte de nouvelles fonctionnalités.
  • 19. Niveau de fonctionnalité Fonctionnalités activées Types de DC supportés Windows 2000 mixte • Installation depuis un support • Mise en cache des groupes Universels • Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2000 natif Ensemble des fonctionnalités du mode Windows 2000 mixte, plus • Imbrication des groupes • Groupe de type Universel • SIDHistory Windows 2000 Windows 2003 Windows 2003 Intérimaire Identiques au mode natif de Windows 2000 Windows NT4 Windows 2003 Windows 2003 Ensemble des fonctionnalités du mode Windows 2000 natif, plus • Mise à jour de l’attribut logon timestamp • Version de KDC Kerberos • Mot de passe utilisateur ds INetOrgPerson Windows 2003 Windows 2003 & Active Directory Niveau de fonctionnalité pour les domaines
  • 20. Niveau de fonctionnalité Fonctionnalités activées Types de DC supportés Windows 2000 • Installation depuis un support • Mise en cache des groupes Universels • Partitions applicatives Windows NT4 Windows 2000 Windows 2003 Windows 2003 Intérimaire Ensemble des fonctionnalités du mode Windows 2000, plus • Réplication LVR (Linked Value Record) • Amélioration ISTG (Inter Site Topology Generator) Windows NT4 Windows 2003 Windows 2003 Ensemble des fonctionnalités du mode Windows 2003 Intérimaire, plus • Classes Auxiliaires dynamiques • Modification de la classe User en INetOrgPerson • Dé/réactivation au sein du schéma • Changement des noms de domaines • Relations d’approbation inter forêts Windows 2003 Windows 2003 & Active Directory Niveau de fonctionnalité pour la forêt
  • 21. • Un serveur Windows NT peut être : – Contrôleur Principal de Domaine (PDC) – Contrôleur Secondaire de Domaine (BDC) – Serveur Membre • Un Serveur Windows 2000 / 2003 peut être : – Contrôleur de Domaine (DC) – Serveur Membre – Possibilité de passer d’un rôle à l’autre (dcpromo.exe) Rôle des serveurs
  • 22. • Réplication multi maîtres – Tous les DC sont en écriture – Plus de notion PDC/BDC • les rôles FSMO : – Contrôleur de schéma – Maîtres d’attribution de noms de domaine – Maître RID (Relative Identifier) – Maître d’Infrastructure – Émulateur PDC Un seul dans toute la forêt Rôles FSMO Un par domaine Flexible Single Master Operations
  • 23. Installation d’un DC • Promotion possible à n’importe quel moment via DCpromo • Avec Windows 2000, lors de l’installation d’un contrôleur de domaine, une réplication complète de l’annuaire est effectuée via le réseau : – Augmentation des coûts de communication, – Mise en place de procédures d’expédition des contrôleurs pré installés. • Avec Windows Server 2003, DCPROMO est capable d’installer Active Directory à partir d’une sauvegarde de l’annuaire : – Seul le delta est répliqué via le réseau.
  • 24. Global Catalog (GC) • Le Global Catalog : contient une copie en lecture seule de tous les objets de tous les domaines mais avec un nombre réduit d’attributs. – Permet de localiser n’importe quel objet de façon rapide sans connaître son emplacement dans l’arborescence – Un changement de schéma pouvait entraîner un re-calcul du contenu du GC • Plus avec Windows Server 2003 – Nécessaire pour ouvrir la session en mode natif (appartenance aux groupes «Universels») • Dans Windows Server 2003, l’appartenance aux groupes universels peut être mise en cache : nouvelle fonction qui supprime la nécessité d’un global catalog par site • Attention : cette fonction ne sert que pour les groupes universels : le global catalog reste utile pour certaines applications.
  • 25. Ouverture de session sans Global Catalog • Avec Windows 2000, en mode natif, le Global Catalog est contacté par le contrôleur de domaine lors de l’ouverture de session pour récupérer la liste des groupes Universels : – GC dans chaque site ou mode mixte ou mode natif sans utilisation de groupes universels. • Avec Windows Server 2003, l’appartenance aux groupes globaux est mise en cache au niveau des contrôleurs : – Propriété de chaque site, – Mise en cache initiale lors de la première ouverture de session puis de façon périodique.
  • 26. Windows NT 4.0 Windows 2000/2003 Relations d’approbation • Les relations d’approbation entre domaines Windows 2000/2003 utilisent Kerberos : – Implicites, transitives et bidirectionnelles.
  • 27. Relations d’approbation multi forets • Avec Windows 2000, les relations d’approbation externes à la forêt doivent être gérées comme des relations NT4.0 • Relations d’approbation inter forêt : – Transitivité par défaut entre tous les domaines des 2 forêts – Pas de transitivité entre forêts – Kerberos Forest-trust A-B Forest trust B-C Forêt A Forêt B Forêt C
  • 28. Partitionnement Applicatif (1/2) • Plusieurs partitions de la base AD existent dès l’installation : – La partition de Schéma (1/forêt) – La partition de Configuration (1/forêt) – La partition de Domaine (1/Domaine) • Avantage de AD 2003 : Possibilité de créer de nouvelles partitions pour des besoins applicatifs. – Réplication sur des DC choisis dans la forêt sans lien avec la notion de domaine – Localisables par DNS (enregistrements SRV) – Non répliquées sur le Catalogue Global – Ne peuvent contenir des principaux de sécurité
  • 29. Données de DOM1 Données appli1 Données appli2 Données de DOM1 Données appli1 Données de DOM2 Données Appli2 Données de DOM2 Données Appli1 Données de DOM1 Forêt DOM1 DOM2 Partitionnement Applicatif (2/2) DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3 • Avec Windows 2000, toute donnée stockée dans l’annuaire est répliquée par défaut vers tous les contrôleurs du domaine (Naming Context Domain) ou de la forêt (NC Configuration et Schema).
  • 30. Architecture physique • Contrôleur de domaine AD – Un DC appartient à un seul site AD et assure les services d’annuaire et d’authentification pour les clients de ce site. – Il réplique les informations de l’annuaire avec les autres DC • Site AD – Ensemble de sous réseaux IP – Permet à la réplication Active Directory de s’appuyer sur la topologie du réseau Site 1 Site 2 DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3 DC W2K3
  • 31. Réplication (1/3) • Réplication intra site – Automatique (topologie générée par KCC) – Basée sur la notification – Temps de réplication optimisé • Réplication inter site – Automatique ou manuelle – Planifiée – Utilisation de bande passante optimisée – Mode redondant de réplication pour les architectures filiales • Optimisation de la réplication des groupes avec un nombre de membres importants – Tous les contrôleurs de la forêt doivent être en version Windows Server 2003.
  • 32. Réplication (2/3) • Réplication inter sites – L’administrateur crée les objets représentant le réseau (sites et liens de sites) – Le KCC génère automatiquement la topologie de réplication – Tolérant à la panne et simple à maintenir – En 2000, problème d'évolutivité pour un nombre important de sites (scénario "filiales") – Avec 2003, l’algorithme (KCC et ISTG) a été re- développé, utilisation d’un nouvel algorithme fonction (d*s) au lieu de (d*s2) – Evolutivité testée jusqu’à 5000 sites – Possibilité de mise en œuvre un mode redondant
  • 33. • Le Serveur “Tête de pont” est le contrôleur de domaine chargé de la réplication avec les autres sites – On peut choisir une liste de serveurs “tête de pont préférés” • En Windows Server 2003, possibilité d’avoir plusieurs serveurs tête de pont du même domaine sur un même site (Windows) – Outil de Load Balancing des connexions (ADLB.exe) Réplication (3/3)
  • 34. Mode « Branch Office » • Utilisation : Repadmin …./siteoptions +IS_REDUNDANT_SERVER_TOP OLOGY_ENABLED +IS_TOPL_DETECT_STALE_DISA BLED • Nécessite une forêt en mode Windows 2003 Intérim ou Windows 2003 • Mettre en place la topologie dans les 2 sens entrant et sortant
  • 35. Vue d’ensemble des consoles d’administration Demonstration
  • 36. Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
  • 37. Définition de l'espace de noms Active Directory • Ne pas hésiter à viser les topologies idéales • Doit déboucher sur des livrables : – Espace de noms des domaines AD et DNS – Topologie d'OU – Topologie de sites • Choix de l’entreprise, donc le consensus est nécessaire
  • 38. • Combien de forêts ? • Combien de domaines dans chaque forêt ? • Comment agencer ces domaines ? • Comment ces domaines s'appelleront-ils ? Espace de noms des domaines Questions posées
  • 39. • Au départ : une forêt • Une forêt de plus ? Il faut argumenter ! – Nécessité de préserver des schémas distincts – Refus de dévoiler ma topologie de domaines – Désaccord sur la composition des groupes sensibles • Administrateurs de Schéma • Administrateurs de l'Entreprise – Souhait de conserver la maîtrise des approbations – Frontière de sécurité Espace de noms des domaines Combien de forêts ?
  • 40. • Un domaine ne peut pas changer de forêt • Déplacement d'objets : – On sait migrer des objets d'un domaine vers un autre, – Mais ce n'est pas toujours une opération anodine ! • On ne sait pas interroger le Catalogue Global d'une autre forêt ... • ... A moins de passer par un Méta Annuaire ? Espace de noms des domaines Combien de forêts ? Contraintes…
  • 41. • Au départ : un domaine • Un domaine de plus ? Il faut argumenter ! – Délégation ne suffit pas – Nécessité de mettre en œuvre des stratégies spécifiques de : • Gestion des mots de passe, • Verrouillage des comptes, • Gestion des tickets Kerberos. – Soucis d'optimiser la réplication – Restructuration prévue, mais plus tard. Espace de noms des domaines Combien de domaines ?
  • 42. • Le premier domaine créé devient la racine de la forêt. • Il donne son nom à la forêt. • Il héberge deux groupes sensibles : – Admins de l'entreprise, – Admins du Schéma. • Choix d'un domaine Racine : – A choisir parmi les domaines définis précédemment, – Ou à créer pour les besoins de la cause. Espace de noms des domaines Définition de la racine de la forêt
  • 43. • Tout domaine AD est repéré par un nom DNS. • Domaines AD vs Domaines DNS – Domaine AD  Organisation logique des objets AD, – Domaine DNS  Localiser des hôtes et des services. • Nom du domaine racine : – Détermine l'espace de nom de tout l'arbre, – Ne peut pas être modifié de façon simple, – Doit permettre d'intégrer de façon harmonieuse toutes les entités présentes et à venir de l'arbre. Espace de noms des domaines Nommage des domaines
  • 44. • Affecter un nom à chaque domaine, en partant de la racine de chaque arbre. • Ne pas s'écarter des "standards" – RFC 1123 : A  Z ; 0  9 ; - – Eviter Unicode, – Utiliser des noms DNS enregistrés • Draft ".local" a été abandonné. • Préférer les noms courts Espace de noms des domaines Règles de nommage
  • 45. • Quel nom pour la Racine ? – Tfc.fr ? – Vieuxchaudron.fr ? • Eviter les recouvrements : – En choisissant des noms différents, – En choisissant un sous domaine du domaine public Pas de Proxy Proxy Noms identiques Sync DNS pub et DNS privé Sync srvs pub sur réseau privé Fichier PAC Noms différents ou sous-domaine OK Liste d'exclusions Espace de noms des domaines Espaces de noms privés et publics
  • 46. Topologie d'OU • Les OU peuvent servir à : – Organiser les objets, – Ne pas tout montrer à tout le monde, – Définir des périmètres de délégation, – Définir des périmètres d'application pour les GPO. • Une OU contient des objets et pas des références à des objets. • Une OU n'est pas un « Security Principal » OU OU OU Rôles des unités organisationnelles
  • 47. Topologie d'OU • Hiérarchie définie en fonction : – Des emplacements, – De l'organisation, – Des postes. • Hiérarchie hybride définie en fonction : – Des emplacements, puis de l'organisation, – De l'organisation, puis des emplacements. Consignes de conception
  • 48. • Les OU sont faites pour faciliter la vie des administrateurs, pas celle des utilisateurs. • Penser en termes d'organisation administrative : – Qui gère quoi ? – Qui décide de qui gère quoi ? • Préférer les arbres larges plutôt que profonds. • Affiner la topologie plus tard reste possible : – Facile à créer, déplacer, supprimer, renommer, – Point délicat : évaluer les conséquences sur la délégation et l'application des stratégies de groupes (GPOs). Topologie d'OU
  • 49. • Qu'est-ce qu'un site ? – Ensemble de machines "bien communicantes« , – Défini comme un agrégat de subnets IP, – Suppose un subnetting géographique. • Qui utilise les sites ? – Station  localiser un DC proche. – KCC  limiter le trafic de réplication sur liaisons lentes. – Client DFS  localiser un répliqua proche. – Utilisateur  localiser une imprimante proche. Notion de site Active Directory Topologie d'OU
  • 50. Qui réplique avec qui ? • Tout automatique : le KCC est livré à lui-même. • Semi-automatique : Fournir quelques indices au KCC : – Créer manuellement quelques connexions, – Ajouter des liens de site, – Désigner des têtes de pont. • Tout manuel : – Créer toutes les connexions manuellement, – Inhiber le KCC : Q242780. Définition d’une topologie de réplication Topologie d'OU
  • 51. Intra-site Inter-site Compression Non Oui ( par défaut) Mode de réplication Notifier/Tirer Tiré schedulé Fréquence 5min (par défaut) 3h (par défaut) Transport RPC RPC ou SMTP Connexions Entre tout DC Entre Têtes de pont La réplication Intra site passe à 15 s de fréquence en mode de domaine Windows 2003 Réplication inter sites et intra sites Topologie d'OU
  • 52. • Dans le cas de Windows 2003, sur chaque site, prévoir : – Un Global Catalog Server • De préférence tête de pont, • Ne doit pas être Infrastructure Master. – Du DNS qui marche ! • Eviter de créer des sites sans DC. • Toute correction reste possible : – Créer/Supprimer des sous réseaux, – Ajouter/Supprimer des sites et des liens de site, – Affecter des serveurs à des sites,  Surveiller le journal "Active Directory" ! Quelques règles simples Topologie d'OU
  • 53. Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
  • 54. Planifier les services • Active Directory a besoin de DNS pour : – Résoudre des noms d'hôtes, – Localiser des services : • Serveurs ldap (DC), • Serveur de Catalogue Global. • Pour supporter Active Directory : – Le Primaire et les Secondaires doivent gérer les enregistrements de services SRV • BIND  4.9.6 – Le Primaire devrait savoir gérer les mises à jour dynamiques • BIND  8.2.1 DNS et Active Directory
  • 55. Planifier les services • Pour que les clients Windows 2000 résolvent les noms des clients pré-Windows 2000 : – Activer le forwarding WINS pour la zone AD, – ou Activer le mandatement DHCP pour que les clients pré-Windows 2000 s'enregistrent dans DNS. • Pour que les clients pré-Windows 2000 résolvent les noms des clients Windows 2000 : – Leur attribuer l'adresse du serveur DNS via DHCP. Planifier DHCP et WINS
  • 56. Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A
  • 57. Concepts et Fonctionnement Local Site Domain 2 3 1 OU 4 • Le positionnement de la machine ou de l’utilisateur dans Active Directory détermine les stratégies de groupe (GPO) qui seront appliquées • Les GPO sont appliquées au logon(utilisateur) ou au redémarrage (station) et rafraîchies régulièrement.
  • 58. OU’s A1 A2 Application des stratégies GPO’s A4 A5 A1 A2 A3 A Domaine  Les GPOs sont par domaine  Plusieurs GPO peuvent être associées avec un unique SDOU Site  Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines B GPO’s B1 B2 Domaine OU’s B1 B2 B3 Les GPO ne sont pas héritées entre domaines  Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur)  Plusieurs SDOU peuvent utiliser une unique GPO  L’application d’une GPO peut être filtré au moyen de groupes de sécurité (ACLs) • Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines. • Les GPOs sont par domaine. • Plusieurs GPO peuvent être associées avec un unique SDOU. • Plusieurs SDOU peuvent utiliser une GPO unique. • Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur). • L’application d’une GPO peut être filtrée au moyen de groupes de sécurité (ACLs).
  • 59. Mise en oeuvre des stratégies de groupe • La plupart des GPO ont 3 états – Activé – Désactivé – Non configuré • Les GPOs ont 2 “noeuds” de configuration (sections) – Utilisateur – Machine PS: Les paramètres “Machines” priment sur ceux “Utilisateur” • Pour recevoir une GPO, le compte machine ou utilisateur : – Doit être dans le S-D-OU qui a un lien vers la GPO, – Doit avoir la permission “Lire et appliquer les stratégies de groupe (Read and Apply Group Policy)” sur la GPO. • Prise en charge par les systèmes Windows 2000, Windows 2003 et Windows XP
  • 60. Traitements des stratégies de groupes (1/2) • L’ordre d’application va dicter la résolution des conflits de paramétrage – Conflits possibles entre les paramétrages Activé et Désactivé – Pas de conflit avec le paramétrage Non configuré – La dernière GPO traitée impose ses paramètres en cas de conflits • L’ordre de traitement des GPO peut être modifié en : – Bloquant l’héritage des GPOs, – Cochant la case “Ne pas passer outre”, – Évitant de modifier l’ordre de traitement par défaut.
  • 61. Traitements des stratégies de groupes (2/2) • Filtrer l’étendue d’une stratégie de groupe – Permission par défaut sur les GPOs – Utilisateurs authentifiés • Read and Apply Group Policy – Supprimer Utilisateurs authentifiés – Créer des groupes de sécurité basés sur les paramétrages de l’objet stratégie de groupe – Accorder des permissions aux groupes adéquats • Filtrage de sécurité vs. OUs – Les deux approches permettent de contrôler l’étendue d’application d’une GPO – Ne pas mixer les deux approches
  • 62. Déploiement d’applications • Publication (optionnelle) – Application «proposée» à l’utilisateur, disponible dans Ajout/Suppression de Programmes, – Installation automatique si nécessaire. • Assignation (obligatoire) – Création des icônes et raccourcis, – Installation à la première invocation.
  • 63. Déléguer l’administration • Déléguer l’administration des stratégies de groupe – Liaisons SDOU – Modification GPO – Création GPO
  • 64. Les extensions apportées par Windows 2003 • Nouveaux outils – GPUpdate – GPResult – Jeux résultant de stratégie (RSoP) • Mode journalisation uniquement – Centre d’aide et de support • Informations système détaillées - Stratégie • Rapport sur les paramètres appliqués • Également disponible sous Windows XP
  • 65. Vue d’ensemble des stratégie de groupe Demonstration
  • 66. Les apports de Windows Server 2003 • Alternative au filtrage par les permissions, • Application du GPO basée sur : – Le système d’exploitation, – Des pré requis matériels, – Les logiciels installés, – Toute information fournie par WMI. • Utilise WQL (WMI Query Language). Filtres WMI
  • 67. Filtres WMI • Clients – Windows XP Pro et au-delà. • L’annuaire Active Directory doit être configuré (modification de schéma) pour être conforme avec Windows Server 2003 – MAJ du schéma pour la forêt : ADPrep.exe /ForestPrep, – MAJ de la configuration du domaine : ADprep.exe /DomainPrep, – Les DCs peuvent encore être sous Windows 2000. Compatibilité
  • 69. Les apports de Windows Server 2003 • Réduit – Le nb d’outils, – La complexité. • Améliore – La clarté, – La flexibilité. Console de gestion des stratégies de groupe
  • 70. Console de gestion des stratégies de groupe • La mise en oeuvre des stratégies de groupe peut être complexe – Stratégie par défaut assez simple, – Le blocage d’héritage, “Ne pas passer outre”, le filtrage par permissions, le filtrage WMI, la délégation de droits peuvent rendre les stratégies de groupe difficiles à gérer. • Plusieurs outils – Utilisateurs et Ordinateurs Active Directory (Dsa.msc), – Sites et Services Active Directory (Dssite.msc), – etc… Tâches et outils
  • 71. Console de gestion des stratégies de groupe • La console de gestion des stratégies de groupe – Consolide des fonctions de différents outils, – Fournit une vision claire de l’organisation des stratégies de groupe, – Permet de clarifier les relations entre GPOs et SDOUs, – Regroupe les tâches possibles concernant les stratégies de groupe de façon logique. • La console de gestion des stratégies de groupe introduit les services suivants : – Sauvegarde / Restauration, – copie, import. Consolidation
  • 72. Mise en oeuvre des stratégies de groupes • Domaine de préparation – Permet le test des stratégies de groupe – Copie des GPOs entre domaines d’une même forêt – Sauvegarde et import entre domaines de forêts différentes – L’import nécessite que la GPO cible existe déjà • Tables de migration – Mise en correspondance des valeurs “hard codées” (chemins d’accès, identités de sécurité) du domaine de préparation avec celles du domaine de production – Ex : modification des chemins d’accès pour le déploiement d’applications Préparation
  • 73. Les apports de Windows Server 2003 • Windows XP – Journalisation des stratégies, – Rapport sur les paramètres issus de l’application des stratégies sur un poste. • Windows Server 2003 – Planification des stratégies, – Rapport sur l’application des stratégies suivant le positionnement de l’objet utilisateur et ordinateur dans Active Directory. – Nécessite un DC sous Windows Serveur 2003. – Permet de définir de nombreux scénarios : • Appartenance à un groupe de sécurité, positionnement des objets machine et utilisateur dans des OUs, application de filtres WMI. Planification des stratégies
  • 74. Utiliser la console de gestion des stratégies de groupe Demonstration
  • 75. Les apports de Windows Server 2003 • Interfaces de scripting de la console de gestion des stratégies de groupe – Automatise des tâches de gestion des stratégies, – Permet la création d’outils de gestion, – Ne permet pas d’automatiser des modification des GPOs. Utilisation de scripts
  • 76. Administration par script des stratégies Demonstration
  • 77. Planifier les stratégies de groupe • Limiter le nombre de stratégies de groupe traitées lors de la connexion d’un utilisateur, • Isoler les paramétrages dans différentes GPOs, • Désactiver les “noeuds” non utilisés (utilisateur/ordinateur), • Limiter les conflits de paramétrages (utilisateur/ordinateur), • Utiliser la console de gestion des stratégies de groupe. Bonnes pratiques
  • 78. Mise en oeuvre des stratégies de groupes • Éviter les liens de GPOs entre domaines, • Lier les GPOs à des OUs, non à des sites, • Limiter les moyens de contrôle de l’étendue d’une GPO – OU, filtrage par permission, filtre WMI • Pour le filtrage par permission, utiliser l’approche de tout interdire par défaut, • Ne pas trop modifier l’héritage des GPOs. Bonnes pratiques
  • 79. Conclusion • Les choix lors de la conception d’un annuaire Active Directory sont fondamentaux • Windows Server 2003 apporte plus de souplesse : – Pour le déploiement, – Pour l’administration. • Les stratégies de groupe sont un moyen puissant de contrôler un environnement Windows. • Windows Server 2003 ne modifie pas fondamentalement les stratégies de groupe, mais apporte : – Les filtres WMI, – La console de gestion des stratégies de groupe.
  • 80. Se former… • Tous les cours sur Windows 2000 Server / Windows Server 2003, et les centres de formation dans votre région sont sur : http://www.microsoft.com/france/formation • Livres Microsoft Press sur Windows 2000 Server et Windows Server 2003 : http://www.microsoft.com/france/mspress • Newsgroups : http://www.microsoft.com/france/communautes/webnews/France/default.ms px?dg=microsoft.public.fr.windows.server&lang=fr&cr=FR&r =4ebff0f5-0e74-499d-874f-a7197b08b375
  • 82. Votre potentiel, notre passion… A bientôt et merci d’être venus... © 2003 Microsoft France Marketing Technique