Chapitre2 - Administration Windows (complet).pdf

Cours Administration Windows
Année universitaire 2023/2024
Rabeb Ben Othmen
benothmenrabeb7@gmail.com
Chapitre 2 : Présentation de services de domaine
Active Directory
INSTITUT SUPÉRIEUR DES TECHNOLOGIES DE L’INFORMATION ET
COMMUNICATIONS (ISTIC)
LISR-2A

PLAN DU CHAPITRE
• Introduction aux services Active Directory
• Administration des objets AD
• Automatiser l’administration d’AD
Rabeb Ben Othmen – Administration Windows

PRINCIPES
1
• Active Directory est le service d’annuaire de Microsoft intégré aux versions serveur de windows
• Active Directory est un annuaire implémenté sur les systèmes d'exploitation Microsoft depuis
Windows 2000 Server. Comme pour les autres annuaires, il s'appuie sur la norme LDAP. Beaucoup
d'améliorations ont été apportées depuis. Il comprend généralement l'ensemble des comptes
nécessaires à l'authentification des ordinateurs et utilisateurs d'une entreprise

INTRODUCTION AUX SERVICES ACTIVE DIRECTORY
2
1. Vue d’ensemble d’Active Directory
2. Vue d’ensemble d’un contrôleur de domaine

3
• Pourquoi déployer AD DS ?
• Qu'est-ce que l'authentification ?
• Qu'est-ce qu'une autorisation ?
• Utilisation d'AD DS pour centraliser la gestion réseau
• Vue d'ensemble des composants AD DS
• Que sont les domaines AD DS ?
• Que sont les unités d'organisation ?
• Qu'est-ce qu'une forêt AD DS ?
• Qu'est-ce que le schéma AD DS ?
Vue d’ensemble d’Active Directory

4
AD DS fournit un système centralisé pour la gestion des utilisateurs, des ordinateurs et d'autres
ressources sur un réseau
Pourquoi déployer AD DS ?
Les fonctionnalités AD DS sont les suivantes :
• Annuaire centralisé
• Accès via authentification unique
• Sécurité intégrée
• Évolutivité
• Interface de gestion commune

5
L'authentification est un processus qui consiste à vérifier l'identité d'un utilisateur sur un réseau
• Ouverture de session interactive : autorise l'accès à l'ordinateur local
• Authentification réseau : autorise l'accès aux ressources réseau
Qu'est-ce que l'authentification ?

6
• Les entités de sécurité sont émises en tant qu'identificateurs de sécurité (SID) lorsque le compte est créé
• Des jetons de sécurité sont émis pour les comptes d'utilisateurs au cours de l'authentification et ils
• incluent le SID de l'utilisateur ainsi que les SID de tout groupe connexe
• Les ressources partagées sur un réseau incluent des listes de contrôle d'accès (ACL) qui définissent qui
peut accéder à la ressource
• Le jeton de sécurité est comparé à la liste DACL sur la ressource et l'accès est accordé ou refusé
L'autorisation est un processus qui consiste à vérifier qu'un utilisateur authentifié a l'autorisation d'exécuter
une action
Qu'est-ce qu'une autorisation ?

7
Utilisation d'AD DS pour centraliser la gestion réseau
AD DS permet de centraliser la gestion réseau en fournissant les éléments suivants :
• Emplacement unique et jeu d'outils pour la gestion des comptes d'utilisateurs et des comptes de
groupes
• Emplacement unique pour l'autorisation d'accès à des ressources réseau partagées
• Service d'annuaire pour les applications utilisées avec AD DS
• Options pour la configuration de stratégies de sécurité qui s'appliquent à tous les utilisateurs et à tous
les ordinateurs
• Stratégies de groupe pour la gestion des bureaux d'utilisateurs et des paramètres de sécurité

8
Le rôle Services de domaine Active Directory contient des composants physiques et logiques.
Composants physiques Composants logiques
• Magasin de données
• Contrôleurs de domaine
• Serveur de catalogue global
• Contrôleur de domaine
en lecture seule
• Partitions
• Schéma
• Domaines
• Arborescences de domaine
• Forêts
• Sites
• Unités d'organisation
Vue d'ensemble des composants AD DS

9
Vue d'ensemble des composants logique AD DS
• Qu'est-ce que le schéma AD DS ?
• Qu'est-ce qu'un domaine ?
• Que sont les approbations AD DS ?
• Qu'est-ce qu'une arborescence de domaine ?
• Qu'est-ce qu'une forêt ?
• Qu'est-ce qu'une unité d'organisation ?
• Discussion : Scénarios pour l'implémentation de composants logiques AD DS
• Que sont les objets AD DS ?
• Démonstration : Outils pour la gestion du composant logique AD DS

10
Qu'est-ce que le schéma AD DS ?
Le schéma AD DS :
• Définit chaque type d'objet qui peut être stocké dans AD DS
• Applique des règles relatives à la création et la configuration d'objet
Vue d’ensemble d’Active Directory : Vue d'ensemble des composants logique AD DS
Types d'objet Fonction Exemples
Objet de classe
Définit les nouveaux objets
qui peuvent être créés
dans l'annuaire
• Classe utilisateur
• Classe ordinateur
Objet attribut
Définit les informations qui
peuvent être stockées pour
chaque classe d'objet
• Nom complet

11
Qu'est-ce qu'un domaine ?
Les domaines sont des composants d'annuaire logiques qui permettent de regrouper et de gérer les
objets AD DS dans une organisation
Les domaines fournissent :
• Une limite administrative pour l'application de stratégies à des groupes d'objets
• Une limite de réplication pour la réplication de données entre des contrôleurs de domaine
• Une limite d'authentification et d'autorisation qui constitue un moyen de limiter l'étendue de
l'accès aux ressources
Woodgrove
Bank.com

12
Que sont les approbations AD DS ?
Les approbations fournissent un mécanisme qui permet aux utilisateurs d'accéder aux ressources d'un autre
domaine
Types
d'approbations Description Diagramme
Directionnelle
La direction de l'approbation
va du domaine approuvé vers
le domaine d'approbation
Accès
APPROBATION
Transitive
La relation d'approbation
s'étend au-delà d'une
approbation à deux domaines
pour inclure d'autres
domaines approuvés
Approbation
& Accès
• Tous les domaines d'une forêt approuvent toutes les autres domaines de la forêt
• Les approbations peuvent s'étendre en dehors de la forêt

13
Qu'est-ce qu'une arborescence de domaine ?
Une arborescence de domaine est une hiérarchie de domaines dans AD DS
Tous les domaines de l'arborescence de domaine :
• Possèdent un espace de noms contigu avec le domaine parent
• Peuvent avoir des domaines enfants supplémentaires ajoutés à l'espace de noms
• Possèdent une approbation transitive bidirectionnelle avec d'autres domaines de
l'arborescence

14
Qu'est-ce qu'une forêt ?
Une forêt est une collection d'une ou de plusieurs arborescences de domaine
Les forêts :
• Partagent un schéma commun
• Partagent une partition de configuration commune
• Partagent un catalogue global commun pour permettre les recherches
• Permettent les approbations entre tous les domaines de la forêt
• Partagent les groupes Administrateurs de l'entreprise et Administrateurs du
schéma

15
Qu'est-ce qu'une unité d'organisation ?
Les unités d'organisation sont des conteneurs Active Directory qui peuvent contenir des
utilisateurs, des groupes, des ordinateurs et d'autres unités d'organisation
Les unités d'organisation peuvent être utilisées pour :
• Représenter votre organisation sous forme hiérarchique et logique
• Gérer une collection d'objets de manière cohérente
• Déléguer des autorisations pour l'administration de groupes d'objets
• Appliquer des stratégies

16
Que sont les objets AD DS ?
Objet Description
Utilisateur • Permet l'accès aux ressources réseau pour un utilisateur
InetOrgPerson
• Similaire à un compte d'utilisateur
• Utilisé à des fins de compatibilité avec d'autres services
d'annuaire
Contacts
• Utilisé essentiellement pour affecter des adresses de
messagerie à des utilisateurs externes
• Ne permet pas l'accès réseau
Groupes • Utilisé pour simplifier l'administration du contrôle d'accès
Ordinateurs
• Permet l'authentification et l'audit de l'accès d'un
ordinateur aux ressources
Imprimantes
• Utilisé pour simplifier le processus de localisation et de
connexion aux imprimantes
Dossiers partagés
• Permet aux utilisateurs de rechercher des dossiers
partagés à partir de propriétés

17
Vue d’ensemble d’Active Directory : Vue d'ensemble des composants Physique AD DS
• Que sont les contrôleurs de domaine AD DS ?
• Vue d'ensemble du service DNS et d'AD DS
• Que sont les serveurs de catalogue global ?
• Qu'est-ce que le magasin de données AD DS ?
• Qu'est-ce que la réplication AD DS ?
• Que sont les sites ?

18
Que sont les contrôleurs de domaine AD DS ?
Un contrôleur de domaine est un serveur sur lequel le rôle serveur AD DS est installé
Les contrôleurs de domaine :
• Hébergent une copie du magasin d'annuaire AD DS
• Fournissent des services d'authentification et d'autorisation
• Répliquent les mises à jour sur d'autres contrôleurs de domaine dans le domaine et la forêt
• Autorisent l'accès d'administration pour la gestion des comptes d'utilisateurs et des ressources réseau
Windows Server 2008 AD DS prend en charge les contrôleurs de domaine en lecture seule

19
Vue d'ensemble du service DNS et d'AD DS
• AD DS requiert une infrastructure DNS
• Les noms de domaine AD DS doivent être des noms de domaine DNS
• Les enregistrements de contrôleur de domaine AD DS doivent être inscrits dans DNS afin de permettre
aux autres contrôleurs de domaine et aux ordinateurs clients de localiser les contrôleurs de domaine
• Les zones DNS peuvent être stockées dans AD DS comme les zones intégrées à Active Directory

20
Que sont les serveurs de catalogue global ?
Les serveurs de catalogue global sont des contrôleurs de domaine qui stockent également une copie du
catalogue global
Le catalogue global :
• Contient une copie de tous les objets AD DS dans une forêt qui inclut uniquement certains
attributs pour chaque objet de la forêt
• Améliore l'efficacité des recherches d'objet en évitant les références inutiles aux contrôleurs de
domaine
• Est requis pour que les utilisateurs puissent ouvrir une session sur un domaine

21
Qu'est-ce que le magasin de données AD DS ?
Le magasin de données AD DS contient les fichiers de base de données et les processus qui stockent et gèrent les
informations d'annuaire relatives aux utilisateurs, aux services et aux applications
Le magasin de données AD DS :
• Comporte le fichier Ntds.dit
• Est stocké par défaut dans le dossier %SystemRoot%NTDS sur tous les contrôleurs de domaine
• Est uniquement accessible à partir des processus et des protocoles de contrôleur de domaine

22
Qu'est-ce que la réplication AD DS ?
La réplication AD DS copie toutes les mises à jour de la base de données AD DS sur tous les autres
contrôleurs de domaine dans un domaine ou une forêt
La réplication AD DS :
• Vérifie que tous les contrôleurs de domaine disposent des mêmes informations
• Utilise un modèle de réplication multimaître
• Peut être gérée par la création de sites AD DS
La topologie de réplication AD DS est créée automatiquement au fur et à mesure que de nouveaux
contrôleurs de domaine sont ajoutés au domaine

23
Que sont les sites ?
Un site AD DS est utilisé pour représenter un segment réseau dans lequel tous les contrôleurs de domaine
sont connectés via une connexion réseau rapide et fiable
Les sites sont :
• Associés à des sous-réseaux IP
• Utilisés pour gérer le trafic de réplication
• Utilisés pour gérer le trafic d'ouverture de session client
• Utilisés par des applications orientées site telles que le système de fichiers DFS (Distributed File
Systems) ou Exchange Server 2007
• Utilisés pour attribuer des objets de stratégie de groupe à tous les utilisateurs et à tous les
ordinateurs sur un site d'entreprise

24
Vue d’ensemble des contrôleurs de domaine
Qu'est-ce qu'un contrôleur de domaine ?
Contrôleurs de domaine
• Des serveurs qui hébergent la base de données Active Directory (NTDS.DIT) et SYSVOL
• Le service d'authentification Kerberos et les services KDC effectuent l'authentification
• Meilleures pratiques
• Disponibilité : Au moins deux contrôleurs de domaine dans un domaine
• Sécurité : Contrôleur de domaine en lecture seule et BitLocker

24
ADMINISTRATION DES OBJETS AD DS

24
Gestion des utilisateurs
Gestion des groupes
Gestion des Ordinateurs
Gestion des unités organisationnelles

24
Microsoft Windows se base sur le type de compte utilisateur pour déterminer les
autorisations d'accès du compte utilisateur associé. Un compte utilisateur peut être
global ou local. DRA prend également en charge des objets InetOrgPerson, mais les
identifie comme de utilisateurs normaux.

24
Compte utilisateur global
Ce compte utilisateur peut être utilisé dans n'importe quel domaine qui approuve le domaine dans
lequel le compte utilisateur a été créé. Vous pouvez accorder des autorisations spécifiques à un
compte utilisateur. Vous pouvez également faire en sorte qu'un compte utilisateur devienne membre
d'un groupe, puis assigner des autorisations à ce groupe. Le regroupement des comptes utilisateur
vous aide à simplifier le processus de gestion des autorisations réseau pour de nombreux comptes
utilisateur.
Compte utilisateur local
Un compte utilisateur local correspond à tout compte que vous employez pour vous connecter à un
système d'exploitation Windows. Il vous permet d'accéder aux ressources du système situées dans
votre propre espace utilisateur.

24
Comptes utilisateur dans des domaines approuvés
Microsoft Windows stocke les définitions de groupe et de compte utilisateur dans le
répertoire du domaine géré. Par conséquent, un serveur d'administration ne peut pas
modifier les informations d'annuaire à partir d'un domaine approuvé, sauf si ce domaine est
également géré par DRA.
Par exemple, au niveau de la console de gestion des comptes et des ressources, certains
groupes et comptes utilisateurs affichés ne peuvent pas être modifiés. Ces groupes et
comptes utilisateur sont définis dans des domaines approuvés par un des domaines gérés.
Toutefois, vous pouvez ajouter des comptes et des groupes à partir d'un domaine approuvé à
d'autres groupes dans le domaine géré.

24
AVERTISSEMENT :lorsque vous créez un compte utilisateur, Microsoft Windows lui assigne un identificateur de
sécurité (SID). Le SID n'est pas généré à partir du nom du compte. Microsoft Windows utilise des identificateurs de
sécurité pour enregistrer les privilèges dans les listes de contrôle d'accès (ACL) pour chaque ressource. Si vous
supprimez un compte utilisateur, vous ne pouvez pas restaurer les droits d'accès à ce compte en créant un nouveau
compte utilisateur portant le même nom.
Tâches de gestion des comptes utilisateur
• Création d'un compte utilisateur
• Modification des propriétés du compte utilisateur
• Gestion de votre propre compte
• Modification du nom d'un compte utilisateur
• Activation d'un compte utilisateur
• Désactivation d'un compte utilisateur
• Déverrouillage d'un compte utilisateur
• Réinitialisation du mot de passe d'un compte utilisateur
• Suppression d'un compte utilisateur
• Ajouter des utilisateurs
• Ajouter des utilisateurs à des groupes
• Modifier l'accès des utilisateurs à des
équipements
• Modifier les profils de sécurité du
groupe

24
Gestion des groupes
En tant qu'assistant administrateur, vous pouvez utiliser DRA pour gérer des groupes et
modifier leurs propriétés. Les groupes vous permettent de donner des autorisations
spécifiques à un ensemble défini de comptes utilisateur. Les groupes vous permettent de
contrôler les données et ressources accessibles à un compte utilisateur dans n'importe quel
domaine.

24
Gestion des groupes
Types de groupes
Groupes de distribution
Utilisés uniquement avec les applications de
messagerie
Sans sécurité activée (pas de SID) ;
ne peuvent pas se voir attribuer des
autorisations
Groupes de sécurité
Entité de sécurité avec un SID ;
peuvent se voir attribuer des autorisations
La réception de messages électroniques peut
être activée

24
Gestion des groupes
Étendues de groupes
Étendue
de groupe
Membres d'un
même domaine
Membres d'un
domaine dans
la même forêt
Membres
d'un domaine
externe
approuvé
Possibilité de
se voir attribuer
des autorisations
aux ressources
Local U, O,
GG, GLD, GU
et utilisateurs locaux
U, O,
GG, GU
U, O,
GG
Sur l'ordinateur
local uniquement
Domaine local U, O,
GG, GLD, GU
U, O,
GG, GU
U, O,
GG
N'importe
où dans le domaine
Universel U, O,
GG, GU
U, O,
GG, GU
N/A N'importe
où dans la forêt
Global U, O,
GG
N/A N/A N'importe où
dans le domaine
ou domaine
approuvé
U Utilisateur
O Ordinateur
GG Groupe global
GLD Groupe local de
domaine
GU Groupe
universel

24
Gestion des groupes
Étendues de groupes
Groupes locaux de domaine
qui assurent la gestion
telle que l'accès aux ressources,
qui sont
DL
Dans une forêt à plusieurs
domaines, il s'agit d'IGUDLA,
où U signifie Universel
Identités
Utilisateurs ou ordinateurs
qui sont membres de
I
Groupes globaux
qui collectent des membres
en fonction de leurs rôles,
qui sont membres de
G
ACL_Sales_Read
(groupe local de domaine)
Ventes
(groupe global)
Auditeurs
(groupe global)

24
Gestion des ordinateurs
DRA vous permet de gérer les ordinateurs du domaine géré ou de la sous-arborescence gérée. Par
exemple, vous pouvez ajouter ou supprimer des comptes d'ordinateur des domaines gérés, mais aussi
gérer les ressources de chaque ordinateur. Lorsque vous ajoutez un ordinateur à un domaine, DRA crée un
compte d'ordinateur dans ce domaine pour cet ordinateur. Vous pouvez ensuite connecter l'ordinateur à
ce domaine et configurer l'ordinateur pour qu'il utilise ce compte d'ordinateur. Vous pouvez également
afficher et modifier les propriétés de comptes d'ordinateur. DRA vous permet aussi d'arrêter un
ordinateur et de synchroniser les contrôleurs de domaine dans un domaine géré.
Les tâches
• Gestion des propriétés d'un compte d'ordinateur
• Ajout d'un ordinateur à un domaine
• Suppression d'un ordinateur d'un domaine
• Déplacement d'un ordinateur
• Arrêt ou redémarrage d'un ordinateur

24
Gestion des services
Un service est un type d'application bénéficiant d'un traitement spécial de la part du système
d'exploitation Windows. Les services peuvent s'exécuter même si aucun utilisateur n'est actuellement
connecté à un ordinateur. DRA permet aux assistants administrateur (AA) possédant les pouvoirs
appropriés de gérer les services via la console de gestion des comptes et des ressources.
• Gestion des propriétés de services
• Démarrage d'un service
• Spécification d'un type de démarrage de services
• Spécification d'un compte de connexion à un service
• Redémarrage d'un service
• Arrêt d'un service

24
Gestion des services
• Pour gérer des imprimantes, vous pouvez gérer les files d'attente d'impression qui desservent ces imprimantes. DRA vous
permet de suspendre ou de reprendre, mais aussi de démarrer, de modifier, d'arrêter et d'afficher les imprimantes de la
ressource et celles publiées. Il vous permet également de modifier les propriétés et les priorités des travaux d'impression.
Pour ajouter ou supprimer une imprimante, utilisez les outils Windows natifs.
• Un serveur d'impression est un ordinateur sur lequel une ou plusieurs imprimantes logiques sont installées. Une
imprimante logique est définie sur l'ordinateur qui héberge le pilote de périphérique d'impression. Une imprimante
logique inclut le pilote et la file d'attente d'impression ainsi que les ports d'une imprimante. Le serveur d'impression
associe les imprimantes logiques à des périphériques d'impression.
• Une imprimante connectée est définie sur les ordinateurs à partir desquels des documents sont sélectionnés pour être
imprimés. Une imprimante est qualifiée de connectée lorsqu'elle est connectée à un partage d'impression sur le réseau.
Par conséquent, vous pouvez gérer des imprimantes et des travaux d'impression par le biais des ordinateurs associés.
• Une imprimante publiée est une imprimante publiée dans Active Directory. Une imprimante publiée peut être une
imprimante réseau qui n'est pas directement connectée à un serveur, ou il peut s'agir d'une imprimante hébergée par un
serveur de grappe.

24
DES OBJETS AD DS
Le fonctionnement d'Active Directory est basé sur des protocoles standards de l’Internet :
• TCP/IP : famille de protocoles réseau Internet.
• DNS : gestion de l’espace de nom des domaines W2K. Les clients doivent utiliser le même
serveur DNS car pour l'ouverture de session, le serveur DNS est consulté pour obtenir la liste
du (des) serveur(s) de son domaine (enregistrement DNS de type SRV).
• DHCP: distribution de la configuration IP.
• Kerberos : authentification.
• LDIF : synchronisation de l’annuaire.
• SNTP : protocole de distribution de l’heure pour synchroniser les ordinateurs du réseau.
L'authentification Kerberos se base sur un ticket d’accès horodaté.
• LDAP : protocole d’accès à l’annuaire (recherche, etc.)

24
DES OBJETS AD DS
Serveur DHCP:
Le protocole DHCP simplifie et réduit le travail administratif grâce à L’usage de la configuration
automatique du protocole IP.« Protocole de configuration Dynamique desclients »
Bâti sur un modèle client-serveur utilisant UDP Composé de deux parties :
-Un protocole
- Un mécanisme de création d’adresses

24
DES OBJETS AD DS
Pourquoi utiliser DHCP ?
• Chaque appareil sur un réseau TCP/IP doit avoir une adresse IP unique pour accéder au réseau et à ses
ressources. Sans DHCP, les adresses IP des nouveaux ordinateurs ou ordinateurs qui sont déplacés d’un
sous-réseau à un autre doit être configurées manuellement ; les adresses IP des ordinateurs supprimés
du réseau doivent être récupérées manuellement.
• Avec DHCP, l’ensemble de ce processus est automatisé et géré de manière centralisée. Le serveur DHCP
gère un pool d’adresses IP et loue une adresse à n’importe quel client avec DHCP lorsqu’il démarre sur le
réseau. Étant donné que les adresses IP sont dynamiques (louées) plutôt que statiques (affectées de
manière permanente), les adresses qui ne sont plus utilisées sont automatiquement retournées au pool
pour la réaffectation.
Serveur DHCP:

24
DES OBJETS AD DS
Serveur Dns:
• DNS (Domain Name Service) : fait correspondre des noms D’ordinateurs avec des adresses IP. Chaque
correspondance est appelée un «enregistrement DNS.»
• Active Directory Domain Services (AD DS) utilise des services de résolution de noms DNS (Domain Name
System) pour permettre aux clients de localiser des contrôleurs de domaine et aux contrôleurs de domaine
qui hébergent le service d’annuaire de communiquer entre eux.
• AD DS permet d’intégrer facilement l’espace de noms Active Directory à un espace de noms DNS existant.
Des fonctionnalités comme les zones DNS intégrées à Active Directory facilitent le déploiement de
l’infrastructure DNS en éliminant la nécessité de configurer des zones secondaires, puis de configurer des
transferts de zone.

24
DES OBJETS AD DS
LDAP (Lightweight Directory Access Protocol)
• LDAP (Lightweight Directory Access Protocol) est un protocole ouvert et multiplateforme utilisé pour l’authentification
des services d’annuaire.
• LDAP fournit le langage de communication utilisé par les applications pour communiquer avec d’autres serveurs de
services d’annuaire. Les services d’annuaire stockent les comptes et les mots de passe des utilisateurs et des
ordinateurs, et partagent ces informations avec d’autres entités du réseau.
LDAP vs. Active Directory
• LDAP est un moyen de communiquer avec Active Directory.
• LDAP est un protocole compris par un grand nombre de services d’annuaire et de solutions de gestion des
accès.
• Les relations entre AD et LDAP sont très similaires aux relations entre Apache et HTTP :
• HTTP est un protocole Web.
• Apache est un serveur Web qui utilise le protocole HTTP.
• LDAP est un protocole de services d’annuaire.
• Active Directory est un serveur d’annuaire qui utilise le protocole LDAP.

Chapitre2 - Administration Windows (complet).pdf

Contenu connexe

Similaire à Chapitre2 - Administration Windows (complet).pdf

Chapitre2 - Administration Windows (complet).pdf