2. Qu’est ce que TechNet ?
• Un site Web très orienté technique
– http://www.microsoft.com/france/technet/default.mspx
• Une newsletter personnalisable
– http://www.microsoft.com/france/technet/presentation/flash/default.mspx
• Des séminaires techniques toute l’année, partout en
France
– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx
• Des Webcasts accessibles à tout instant
– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx
• Un abonnement
– http://www.microsoft.com/france/technet/presentation/cd/default.mspx
4. Logistique
Pause en milieu de
session
Vos questions sont les
bienvenues.
N’hésitez pas !
Feuille d’évaluation à
remettre remplie en fin
de session
Cédérom
Commodités Merci d’éteindre
vos téléphones
5. Agenda
• Concepts et évolutions apportées par
Windows Server 2003
• Conception de l'espace de noms Active
Directory
• Planification des services
• Les stratégies de groupes
• Conclusion / Q&A
6. Annuaire et Schéma
• Un annuaire est un emplacement de stockage
utilisé comme référentiel
• L’annuaire aura un taux de lectures/écritures
très élevé.
• Un annuaire est un espace de stockage
hiérarchique (non relationnel)
• Tout élément de l’annuaire est un objet doté
d’attributs
– Ex : l’objet de type Utilisateur possède un attribut Numéro de
téléphone
• Les définitions des classes d’objets et des
attributs sont accessibles via le schéma
7. Stockage (distribué) de données identifiant les
ressources présentes dans le système informatique
– Ex : utilisateur, ordinateur, groupe, domaine, application,
imprimante, stratégie…
Protocoles pour accéder et manipuler les données :
– Domain Name System (DNS)
– Lightweight Directory Access Protocol (LDAP)
Utilisation :
– Source d’information globale pour l’entreprise
– Objet utilisateur défini à partir de la classe d’objets
InetOrgPerson (Informational RFC 2798).
Annuaire «Active Directory»
8. • Administrabilité
– Intégration des stratégies de configuration des postes
et des utilisateurs, délégation d’administration,
automatisation via scripting (WSH).
• Modularité
– Hiérarchie de domaines et d’OU.
• Scalabilité
– Réduction du nombre de domaines.
• Interopérabilité
– Utilisation des standards DNS, LDAP, KERBEROS.
• Extensibilité
– Richesse et modification du schéma.
Bénéfices d’Active Directory
9. Active Directory vs base SAM
SAM de MS Windows NT
contient :
• Comptes utilisateurs
• Groupes globaux
• Groupes locaux
• Comptes spéciaux
• Stratégies de comptes
• Stratégies d'audit
• Stratégies des droits
utilisateur
• 40 Mo maxi recommandé
Active Directory
la même chose, plus :
• Contacts
• Groupes de distribution
• Groupes Universels
• Groupes locaux de domaine
• Unité d’organisation (OU)
• Dossiers publiés
• Imprimantes publiées
• Stratégie de groupe (GPO)
• Eléments de configuration de
services (DNS, RPC, DFS)
• Accès par des protocoles
standard (LDAP, DNS)
• Peut contenir des millions
d'objets
10. Schéma «Active Directory»
purge
delete
activate
deactivate
Active Defunct Tomb-
stone
Purged
• Utilisation
– Extensibilité (dynamiquement éditable)
• Ajout de nouvelles classes d’objets
• Ajout de nouveaux attributs à des classes d’objets
existantes
– Interopérabilité
– Pas de suppression possible sous Windows 2000
– Désactivation avec possibilité de réutiliser la classe ou
les attributs désactivés
– Utilisation de la classe inetOrgPerson pour l’ouverture
de session des utilisateurs (meilleure interopérabilité
avec les autres annuaires)
11. Extension du schéma
• Nécessaire pour certains applicatifs
– Exchange 2000, Exchange 2003
– ISA Server 2000 Edition Entreprise
– SMS 2003
– …
• Nécessaire pour certains composants de
Windows 2003 R2
– Service de réplication de fichiers (DFS)
– Publication des imprimantes via les GPO avec la
console Print Management Console
– Intégration des services d’identité pour UNIX
12. Architecture logique
Arbres, forêts, domaines
DOM2.COM
ARBRE
DOM1.COM
ARBRE
FORET
• Arbre
– Ensemble de domaines situés sous une racine
unique, formant un espace de noms contigus.
• Forêt
– Ensemble d’arbres ne formant pas un espace de
noms forcément contigus.
13. Notion de Forêt
• Une forêt est un ensemble de domaines
Active Directory qui partagent :
– Des informations de configuration,
– Une description logique et physique.
• Porte le nom du premier domaine installé.
• Les domaines forment une ou plusieurs
arborescences
– Pas d’héritage entre domaines (arborescence
= nommage uniquement)
14. • Dans une forêt, les domaines partagent
– Un même schéma,
– Une même partition de configuration,
– Un même catalogue global.
• Dans une forêt, les domaines
– Sont liés entre eux par des relations
d'approbation
• Bidirectionnelles,
• Transitives.
Caractéristiques d’une forêt
15. Notion de Domaine
• Frontière de réplication et d’administration.
• L’annuaire associé à chaque domaine est
disponible sur un ou plusieurs contrôleurs de
domaines (DC).
• Il est possible de créer des arborescences de
domaines.
• A chaque domaine est associé un nom :
– Ex : europe.contoso.com.
• Le domaine n’est pas une frontière de sécurité
16. Notion d’Unités Organisationnelles
(OU)
• Conteneurs d’objets de type utilisateurs,
groupes, ordinateurs, OU… au sein d’un
domaine.
• Utilisation :
– Organisation des données,
– Délégation des droits d’administration,
– Application des stratégies de groupe.
OU
OU
17. • L’espace de nommage (zone dans laquelle un
nom peut être résolu) de l’Active Directory
repose sur DNS pour la localisation des
services et la résolution des noms.
Espace de nommage hiérarchique
18. Cohabitation
Niveaux de fonctionnalités
• Windows Server 2003 a plusieurs niveaux fonctionnels
– Pour les domaines et les forêts,
– Similaires aux modes mixte/natif de Windows 2000.
• Augmenter les niveaux fonctionnels
– Domaine : possible par domaine
– Forêt : pour l’ensemble de la forêt (impacte tous les domaines),
– Irréversible,
– Apporte de nouvelles fonctionnalités.
19. Niveau de
fonctionnalité
Fonctionnalités activées Types de DC
supportés
Windows 2000
mixte
• Installation depuis un support
• Mise en cache des groupes Universels
• Partitions applicatives
Windows NT4
Windows 2000
Windows 2003
Windows 2000
natif
Ensemble des fonctionnalités du mode Windows 2000
mixte, plus
• Imbrication des groupes
• Groupe de type Universel
• SIDHistory
Windows 2000
Windows 2003
Windows 2003
Intérimaire
Identiques au mode natif de Windows 2000 Windows NT4
Windows 2003
Windows 2003 Ensemble des fonctionnalités du mode Windows 2000
natif, plus
• Mise à jour de l’attribut logon timestamp
• Version de KDC Kerberos
• Mot de passe utilisateur ds INetOrgPerson
Windows 2003
Windows 2003 & Active Directory
Niveau de fonctionnalité pour les domaines
20. Niveau de
fonctionnalité
Fonctionnalités activées Types de DC
supportés
Windows 2000 • Installation depuis un support
• Mise en cache des groupes Universels
• Partitions applicatives
Windows NT4
Windows 2000
Windows 2003
Windows 2003
Intérimaire
Ensemble des fonctionnalités du mode Windows
2000, plus
• Réplication LVR (Linked Value Record)
• Amélioration ISTG (Inter Site Topology Generator)
Windows NT4
Windows 2003
Windows 2003 Ensemble des fonctionnalités du mode Windows 2003
Intérimaire, plus
• Classes Auxiliaires dynamiques
• Modification de la classe User en INetOrgPerson
• Dé/réactivation au sein du schéma
• Changement des noms de domaines
• Relations d’approbation inter forêts
Windows 2003
Windows 2003 & Active Directory
Niveau de fonctionnalité pour la forêt
21. • Un serveur Windows NT peut être :
– Contrôleur Principal de Domaine (PDC)
– Contrôleur Secondaire de Domaine (BDC)
– Serveur Membre
• Un Serveur Windows 2000 / 2003 peut être :
– Contrôleur de Domaine (DC)
– Serveur Membre
– Possibilité de passer d’un rôle à l’autre
(dcpromo.exe)
Rôle des serveurs
22. • Réplication multi maîtres
– Tous les DC sont en écriture
– Plus de notion PDC/BDC
• les rôles FSMO :
– Contrôleur de schéma
– Maîtres d’attribution de noms de domaine
– Maître RID (Relative Identifier)
– Maître d’Infrastructure
– Émulateur PDC
Un seul dans toute la forêt
Rôles FSMO
Un par domaine
Flexible Single Master Operations
23. Installation d’un DC
• Promotion possible à n’importe quel moment via
DCpromo
• Avec Windows 2000, lors de l’installation d’un
contrôleur de domaine, une réplication complète
de l’annuaire est effectuée via le réseau :
– Augmentation des coûts de communication,
– Mise en place de procédures d’expédition des contrôleurs
pré installés.
• Avec Windows Server 2003, DCPROMO est capable
d’installer Active Directory à partir d’une
sauvegarde de l’annuaire :
– Seul le delta est répliqué via le réseau.
24. Global Catalog (GC)
• Le Global Catalog : contient une copie en lecture seule
de tous les objets de tous les domaines mais avec un
nombre réduit d’attributs.
– Permet de localiser n’importe quel objet de façon rapide sans
connaître son emplacement dans l’arborescence
– Un changement de schéma pouvait entraîner un re-calcul du
contenu du GC
• Plus avec Windows Server 2003
– Nécessaire pour ouvrir la session en mode natif
(appartenance aux groupes «Universels»)
• Dans Windows Server 2003, l’appartenance aux groupes
universels peut être mise en cache : nouvelle fonction qui
supprime la nécessité d’un global catalog par site
• Attention : cette fonction ne sert que pour les groupes
universels : le global catalog reste utile pour certaines
applications.
25. Ouverture de session sans Global
Catalog
• Avec Windows 2000, en mode natif, le Global
Catalog est contacté par le contrôleur de domaine
lors de l’ouverture de session pour récupérer la liste
des groupes Universels :
– GC dans chaque site ou mode mixte ou mode natif sans
utilisation de groupes universels.
• Avec Windows Server 2003, l’appartenance aux
groupes globaux est mise en cache au niveau des
contrôleurs :
– Propriété de chaque site,
– Mise en cache initiale lors de la première ouverture de
session puis de façon périodique.
26. Windows NT 4.0 Windows
2000/2003
Relations d’approbation
• Les relations d’approbation entre domaines
Windows 2000/2003 utilisent Kerberos :
– Implicites, transitives et bidirectionnelles.
27. Relations d’approbation multi forets
• Avec Windows 2000, les relations d’approbation
externes à la forêt doivent être gérées comme des
relations NT4.0
• Relations d’approbation inter forêt :
– Transitivité par défaut entre tous les domaines des 2 forêts
– Pas de transitivité entre forêts
– Kerberos
Forest-trust A-B Forest trust B-C
Forêt A Forêt B Forêt C
28. Partitionnement Applicatif (1/2)
• Plusieurs partitions de la base AD existent dès
l’installation :
– La partition de Schéma (1/forêt)
– La partition de Configuration (1/forêt)
– La partition de Domaine (1/Domaine)
• Avantage de AD 2003 : Possibilité de créer de
nouvelles partitions pour des besoins applicatifs.
– Réplication sur des DC choisis dans la forêt sans lien avec
la notion de domaine
– Localisables par DNS (enregistrements SRV)
– Non répliquées sur le Catalogue Global
– Ne peuvent contenir des principaux de sécurité
29. Données de DOM1
Données appli1
Données appli2
Données de DOM1
Données appli1
Données de DOM2
Données Appli2
Données de DOM2
Données Appli1
Données
de DOM1
Forêt
DOM1
DOM2
Partitionnement Applicatif (2/2)
DC W2K3
DC W2K3
DC W2K3
DC W2K3
DC W2K3
• Avec Windows 2000, toute donnée stockée dans
l’annuaire est répliquée par défaut vers tous les
contrôleurs du domaine (Naming Context Domain)
ou de la forêt (NC Configuration et Schema).
30. Architecture physique
• Contrôleur de domaine AD
– Un DC appartient à un seul site AD et assure les
services d’annuaire et d’authentification pour les
clients de ce site.
– Il réplique les informations de l’annuaire avec les
autres DC
• Site AD
– Ensemble de sous réseaux IP
– Permet à la réplication Active Directory de
s’appuyer sur la topologie du réseau
Site 1
Site 2
DC W2K3
DC W2K3
DC W2K3
DC W2K3
DC W2K3
DC W2K3
DC W2K3
31. Réplication (1/3)
• Réplication intra site
– Automatique (topologie générée par KCC)
– Basée sur la notification
– Temps de réplication optimisé
• Réplication inter site
– Automatique ou manuelle
– Planifiée
– Utilisation de bande passante optimisée
– Mode redondant de réplication pour les architectures filiales
• Optimisation de la réplication des groupes avec
un nombre de membres importants
– Tous les contrôleurs de la forêt doivent être en version Windows
Server 2003.
32. Réplication (2/3)
• Réplication inter sites
– L’administrateur crée les objets représentant le réseau (sites
et liens de sites)
– Le KCC génère automatiquement la topologie de réplication
– Tolérant à la panne et simple à maintenir
– En 2000, problème d'évolutivité pour un nombre important de
sites (scénario "filiales")
– Avec 2003, l’algorithme (KCC et ISTG) a été re- développé,
utilisation d’un nouvel algorithme fonction (d*s) au lieu de
(d*s2)
– Evolutivité testée jusqu’à 5000 sites
– Possibilité de mise en œuvre un mode redondant
33. • Le Serveur “Tête de pont” est le contrôleur de
domaine chargé de la réplication avec les autres
sites
– On peut choisir une liste de serveurs “tête de pont
préférés”
• En Windows Server 2003, possibilité d’avoir
plusieurs serveurs tête de pont du même domaine
sur un même site (Windows)
– Outil de Load Balancing des connexions (ADLB.exe)
Réplication (3/3)
34. Mode « Branch Office »
• Utilisation :
Repadmin
…./siteoptions
+IS_REDUNDANT_SERVER_TOP
OLOGY_ENABLED
+IS_TOPL_DETECT_STALE_DISA
BLED
• Nécessite une forêt en
mode Windows 2003
Intérim ou Windows 2003
• Mettre en place la
topologie dans les 2
sens entrant et sortant
36. Agenda
• Concepts et évolutions apportées par
Windows Server 2003
• Conception de l'espace de noms Active
Directory
• Planification des services
• Les stratégies de groupes
• Conclusion / Q&A
37. Définition de l'espace de noms
Active Directory
• Ne pas hésiter à viser les topologies idéales
• Doit déboucher sur des livrables :
– Espace de noms des domaines AD et DNS
– Topologie d'OU
– Topologie de sites
• Choix de l’entreprise, donc le consensus est
nécessaire
38. • Combien de forêts ?
• Combien de domaines dans chaque forêt ?
• Comment agencer ces domaines ?
• Comment ces domaines s'appelleront-ils ?
Espace de noms des domaines
Questions posées
39. • Au départ : une forêt
• Une forêt de plus ? Il faut argumenter !
– Nécessité de préserver des schémas distincts
– Refus de dévoiler ma topologie de domaines
– Désaccord sur la composition des groupes
sensibles
• Administrateurs de Schéma
• Administrateurs de l'Entreprise
– Souhait de conserver la maîtrise des approbations
– Frontière de sécurité
Espace de noms des domaines
Combien de forêts ?
40. • Un domaine ne peut pas changer de forêt
• Déplacement d'objets :
– On sait migrer des objets d'un domaine vers un
autre,
– Mais ce n'est pas toujours une opération anodine !
• On ne sait pas interroger le Catalogue Global
d'une autre forêt ...
• ... A moins de passer par un Méta Annuaire ?
Espace de noms des domaines
Combien de forêts ? Contraintes…
41. • Au départ : un domaine
• Un domaine de plus ? Il faut argumenter !
– Délégation ne suffit pas
– Nécessité de mettre en œuvre des stratégies
spécifiques de :
• Gestion des mots de passe,
• Verrouillage des comptes,
• Gestion des tickets Kerberos.
– Soucis d'optimiser la réplication
– Restructuration prévue, mais plus tard.
Espace de noms des domaines
Combien de domaines ?
42. • Le premier domaine créé devient la racine de la
forêt.
• Il donne son nom à la forêt.
• Il héberge deux groupes sensibles :
– Admins de l'entreprise,
– Admins du Schéma.
• Choix d'un domaine Racine :
– A choisir parmi les domaines définis précédemment,
– Ou à créer pour les besoins de la cause.
Espace de noms des domaines
Définition de la racine de la forêt
43. • Tout domaine AD est repéré par un nom DNS.
• Domaines AD vs Domaines DNS
– Domaine AD Organisation logique des objets AD,
– Domaine DNS Localiser des hôtes et des
services.
• Nom du domaine racine :
– Détermine l'espace de nom de tout l'arbre,
– Ne peut pas être modifié de façon simple,
– Doit permettre d'intégrer de façon harmonieuse
toutes les entités présentes et à venir de l'arbre.
Espace de noms des domaines
Nommage des domaines
44. • Affecter un nom à chaque domaine, en
partant de la racine de chaque arbre.
• Ne pas s'écarter des "standards"
– RFC 1123 : A Z ; 0 9 ; -
– Eviter Unicode,
– Utiliser des noms DNS enregistrés
• Draft ".local" a été abandonné.
• Préférer les noms courts
Espace de noms des domaines
Règles de nommage
45. • Quel nom pour la Racine ?
– Tfc.fr ?
– Vieuxchaudron.fr ?
• Eviter les recouvrements :
– En choisissant des noms différents,
– En choisissant un sous domaine du domaine
public
Pas de Proxy Proxy
Noms identiques
Sync DNS pub et DNS privé
Sync srvs pub sur réseau privé
Fichier PAC
Noms différents
ou sous-domaine
OK Liste d'exclusions
Espace de noms des domaines
Espaces de noms privés et publics
46. Topologie d'OU
• Les OU peuvent servir à :
– Organiser les objets,
– Ne pas tout montrer à tout le monde,
– Définir des périmètres de délégation,
– Définir des périmètres d'application pour les
GPO.
• Une OU contient des objets et pas des
références à des objets.
• Une OU n'est pas un « Security Principal »
OU
OU OU
Rôles des unités organisationnelles
47. Topologie d'OU
• Hiérarchie définie en fonction :
– Des emplacements,
– De l'organisation,
– Des postes.
• Hiérarchie hybride définie en fonction :
– Des emplacements, puis de l'organisation,
– De l'organisation, puis des emplacements.
Consignes de conception
48. • Les OU sont faites pour faciliter la vie des
administrateurs, pas celle des utilisateurs.
• Penser en termes d'organisation administrative :
– Qui gère quoi ?
– Qui décide de qui gère quoi ?
• Préférer les arbres larges plutôt que profonds.
• Affiner la topologie plus tard reste possible :
– Facile à créer, déplacer, supprimer, renommer,
– Point délicat : évaluer les conséquences sur la
délégation et l'application des stratégies de groupes
(GPOs).
Topologie d'OU
49. • Qu'est-ce qu'un site ?
– Ensemble de machines "bien communicantes« ,
– Défini comme un agrégat de subnets IP,
– Suppose un subnetting géographique.
• Qui utilise les sites ?
– Station localiser un DC proche.
– KCC limiter le trafic de réplication sur liaisons
lentes.
– Client DFS localiser un répliqua proche.
– Utilisateur localiser une imprimante proche.
Notion de site Active Directory
Topologie d'OU
50. Qui réplique avec qui ?
• Tout automatique : le KCC est livré à lui-même.
• Semi-automatique :
Fournir quelques indices au KCC :
– Créer manuellement quelques connexions,
– Ajouter des liens de site,
– Désigner des têtes de pont.
• Tout manuel :
– Créer toutes les connexions manuellement,
– Inhiber le KCC : Q242780.
Définition d’une topologie de réplication
Topologie d'OU
51. Intra-site Inter-site
Compression Non Oui ( par défaut)
Mode de réplication Notifier/Tirer Tiré schedulé
Fréquence 5min (par défaut) 3h (par défaut)
Transport RPC RPC ou SMTP
Connexions Entre tout DC Entre Têtes de pont
La réplication Intra site passe à 15 s de fréquence
en mode de domaine Windows 2003
Réplication inter sites et intra sites
Topologie d'OU
52. • Dans le cas de Windows 2003, sur chaque site, prévoir :
– Un Global Catalog Server
• De préférence tête de pont,
• Ne doit pas être Infrastructure Master.
– Du DNS qui marche !
• Eviter de créer des sites sans DC.
• Toute correction reste possible :
– Créer/Supprimer des sous réseaux,
– Ajouter/Supprimer des sites et des liens de site,
– Affecter des serveurs à des sites,
Surveiller le journal "Active Directory" !
Quelques règles simples
Topologie d'OU
53. Agenda
• Concepts et évolutions apportées par
Windows Server 2003
• Conception de l'espace de noms Active
Directory
• Planification des services
• Les stratégies de groupes
• Conclusion / Q&A
54. Planifier les services
• Active Directory a besoin de DNS pour :
– Résoudre des noms d'hôtes,
– Localiser des services :
• Serveurs ldap (DC),
• Serveur de Catalogue Global.
• Pour supporter Active Directory :
– Le Primaire et les Secondaires doivent gérer les
enregistrements de services SRV
• BIND 4.9.6
– Le Primaire devrait savoir gérer les mises à jour
dynamiques
• BIND 8.2.1
DNS et Active Directory
55. Planifier les services
• Pour que les clients Windows 2000 résolvent
les noms des clients pré-Windows 2000 :
– Activer le forwarding WINS pour la zone AD,
– ou Activer le mandatement DHCP pour que les
clients pré-Windows 2000 s'enregistrent dans
DNS.
• Pour que les clients pré-Windows 2000
résolvent les noms des clients Windows
2000 :
– Leur attribuer l'adresse du serveur DNS via
DHCP.
Planifier DHCP et WINS
56. Agenda
• Concepts et évolutions apportées par
Windows Server 2003
• Conception de l'espace de noms Active
Directory
• Planification des services
• Les stratégies de groupes
• Conclusion / Q&A
57. Concepts et Fonctionnement
Local
Site
Domain
2
3
1
OU 4
• Le positionnement de la machine ou de l’utilisateur dans
Active Directory détermine les stratégies de groupe (GPO)
qui seront appliquées
• Les GPO sont appliquées au logon(utilisateur) ou au
redémarrage (station) et rafraîchies régulièrement.
58. OU’s
A1 A2
Application des stratégies
GPO’s
A4
A5
A1
A2
A3
A
Domaine
Les GPOs sont par domaine
Plusieurs GPO peuvent être
associées avec un unique
SDOU
Site
Les Sites sont composés de
un ou plusieurs sous réseaux
IP et peuvent englober
plusieurs domaines
B
GPO’s
B1
B2
Domaine
OU’s
B1 B2
B3
Les GPO ne sont pas
héritées entre
domaines Tout SDOU peut être associé
à toute GPO, y compris entre
domaines (lenteur)
Plusieurs SDOU peuvent
utiliser une unique GPO
L’application d’une GPO peut
être filtré au moyen de
groupes de sécurité (ACLs)
• Les Sites sont composés de
un ou plusieurs sous
réseaux IP et peuvent
englober plusieurs
domaines.
• Les GPOs sont par
domaine.
• Plusieurs GPO peuvent être
associées avec un unique
SDOU.
• Plusieurs SDOU peuvent
utiliser une GPO unique.
• Tout SDOU peut être
associé à toute GPO, y
compris entre domaines
(lenteur).
• L’application d’une GPO
peut être filtrée au moyen
de groupes de sécurité
(ACLs).
59. Mise en oeuvre des stratégies de
groupe
• La plupart des GPO ont 3 états
– Activé
– Désactivé
– Non configuré
• Les GPOs ont 2 “noeuds” de configuration (sections)
– Utilisateur
– Machine
PS: Les paramètres “Machines” priment sur ceux “Utilisateur”
• Pour recevoir une GPO, le compte machine ou
utilisateur :
– Doit être dans le S-D-OU qui a un lien vers la GPO,
– Doit avoir la permission “Lire et appliquer les stratégies de
groupe (Read and Apply Group Policy)” sur la GPO.
• Prise en charge par les systèmes Windows 2000,
Windows 2003 et Windows XP
60. Traitements des stratégies de
groupes (1/2)
• L’ordre d’application va dicter la résolution des conflits
de paramétrage
– Conflits possibles entre les paramétrages Activé et Désactivé
– Pas de conflit avec le paramétrage Non configuré
– La dernière GPO traitée impose ses paramètres en cas de
conflits
• L’ordre de traitement des GPO peut être modifié en :
– Bloquant l’héritage des GPOs,
– Cochant la case “Ne pas passer outre”,
– Évitant de modifier l’ordre de traitement par défaut.
61. Traitements des stratégies de
groupes (2/2)
• Filtrer l’étendue d’une stratégie de groupe
– Permission par défaut sur les GPOs – Utilisateurs authentifiés
• Read and Apply Group Policy
– Supprimer Utilisateurs authentifiés
– Créer des groupes de sécurité basés sur les paramétrages de
l’objet stratégie de groupe
– Accorder des permissions aux groupes adéquats
• Filtrage de sécurité vs. OUs
– Les deux approches permettent de contrôler l’étendue d’application
d’une GPO
– Ne pas mixer les deux approches
62. Déploiement d’applications
• Publication (optionnelle)
– Application «proposée» à l’utilisateur, disponible dans
Ajout/Suppression de Programmes,
– Installation automatique si nécessaire.
• Assignation (obligatoire)
– Création des icônes et raccourcis,
– Installation à la première invocation.
64. Les extensions apportées par
Windows 2003
• Nouveaux outils
– GPUpdate
– GPResult
– Jeux résultant de stratégie (RSoP)
• Mode journalisation uniquement
– Centre d’aide et de support
• Informations système détaillées - Stratégie
• Rapport sur les paramètres appliqués
• Également disponible sous Windows XP
66. Les apports de Windows Server
2003
• Alternative au filtrage par les permissions,
• Application du GPO basée sur :
– Le système d’exploitation,
– Des pré requis matériels,
– Les logiciels installés,
– Toute information fournie par WMI.
• Utilise WQL (WMI Query Language).
Filtres WMI
67. Filtres WMI
• Clients
– Windows XP Pro et au-delà.
• L’annuaire Active Directory doit être configuré
(modification de schéma) pour être conforme
avec Windows Server 2003
– MAJ du schéma pour la forêt : ADPrep.exe
/ForestPrep,
– MAJ de la configuration du domaine : ADprep.exe
/DomainPrep,
– Les DCs peuvent encore être sous Windows 2000.
Compatibilité
69. Les apports de Windows Server
2003
• Réduit
– Le nb d’outils,
– La complexité.
• Améliore
– La clarté,
– La flexibilité.
Console de gestion des stratégies de groupe
70. Console de gestion des stratégies
de groupe
• La mise en oeuvre des stratégies de groupe peut être
complexe
– Stratégie par défaut assez simple,
– Le blocage d’héritage, “Ne pas passer outre”, le filtrage par
permissions, le filtrage WMI, la délégation de droits peuvent
rendre les stratégies de groupe difficiles à gérer.
• Plusieurs outils
– Utilisateurs et Ordinateurs Active Directory (Dsa.msc),
– Sites et Services Active Directory (Dssite.msc),
– etc…
Tâches et outils
71. Console de gestion des stratégies de
groupe
• La console de gestion des stratégies de groupe
– Consolide des fonctions de différents outils,
– Fournit une vision claire de l’organisation des stratégies de
groupe,
– Permet de clarifier les relations entre GPOs et SDOUs,
– Regroupe les tâches possibles concernant les stratégies de
groupe de façon logique.
• La console de gestion des stratégies de groupe
introduit les services suivants :
– Sauvegarde / Restauration,
– copie, import.
Consolidation
72. Mise en oeuvre des stratégies de
groupes
• Domaine de préparation
– Permet le test des stratégies de groupe
– Copie des GPOs entre domaines d’une même forêt
– Sauvegarde et import entre domaines de forêts différentes
– L’import nécessite que la GPO cible existe déjà
• Tables de migration
– Mise en correspondance des valeurs “hard codées” (chemins
d’accès, identités de sécurité) du domaine de préparation avec
celles du domaine de production
– Ex : modification des chemins d’accès pour le déploiement
d’applications
Préparation
73. Les apports de Windows Server 2003
• Windows XP
– Journalisation des stratégies,
– Rapport sur les paramètres issus de l’application des stratégies
sur un poste.
• Windows Server 2003
– Planification des stratégies,
– Rapport sur l’application des stratégies suivant le positionnement
de l’objet utilisateur et ordinateur dans Active Directory.
– Nécessite un DC sous Windows Serveur 2003.
– Permet de définir de nombreux scénarios :
• Appartenance à un groupe de sécurité, positionnement des objets
machine et utilisateur dans des OUs, application de filtres WMI.
Planification des stratégies
75. Les apports de Windows Server 2003
• Interfaces de scripting de la console de gestion
des stratégies de groupe
– Automatise des tâches de gestion des stratégies,
– Permet la création d’outils de gestion,
– Ne permet pas d’automatiser des modification des
GPOs.
Utilisation de scripts
77. Planifier les stratégies de groupe
• Limiter le nombre de stratégies de groupe
traitées lors de la connexion d’un utilisateur,
• Isoler les paramétrages dans différentes
GPOs,
• Désactiver les “noeuds” non utilisés
(utilisateur/ordinateur),
• Limiter les conflits de paramétrages
(utilisateur/ordinateur),
• Utiliser la console de gestion des stratégies
de groupe.
Bonnes pratiques
78. Mise en oeuvre des stratégies de
groupes
• Éviter les liens de GPOs entre domaines,
• Lier les GPOs à des OUs, non à des sites,
• Limiter les moyens de contrôle de l’étendue d’une
GPO
– OU, filtrage par permission, filtre WMI
• Pour le filtrage par permission, utiliser l’approche de
tout interdire par défaut,
• Ne pas trop modifier l’héritage des GPOs.
Bonnes pratiques
79. Conclusion
• Les choix lors de la conception d’un annuaire Active
Directory sont fondamentaux
• Windows Server 2003 apporte plus de souplesse :
– Pour le déploiement,
– Pour l’administration.
• Les stratégies de groupe sont un moyen puissant de
contrôler un environnement Windows.
• Windows Server 2003 ne modifie pas fondamentalement
les stratégies de groupe, mais apporte :
– Les filtres WMI,
– La console de gestion des stratégies de groupe.
80. Se former…
• Tous les cours sur Windows 2000 Server / Windows
Server 2003, et les centres de formation dans votre
région sont sur :
http://www.microsoft.com/france/formation
• Livres Microsoft Press sur Windows 2000 Server et
Windows Server 2003 :
http://www.microsoft.com/france/mspress
• Newsgroups :
http://www.microsoft.com/france/communautes/webnews/France/default.ms
px?dg=microsoft.public.fr.windows.server&lang=fr&cr=FR&r
=4ebff0f5-0e74-499d-874f-a7197b08b375