4. Outils d’administration AD
4
Différentes possibilités pour administrer AD:
• Consoles AD (UI)
• PowerShell
• DOS disponible avec ADDS
• dsadd, dsget, dsrm, dsmove
5. Administration AD Consoles AD
• Utilisateurs et Ordinateurs AD (ADUC)
• Centre administration AD (ADAC)
• Sites et services AD
• Domaines et approbations AD
• Console schéma AD
6. Gestion des comptes utilisateurs
6
• Propriétés de comptes utilisateur
• Attributs comptes
• Nom ouverture de session (SAMAccountName /UPN)
• Attributs facultatifs
• Informations personnelles
• Gestion des comptes utilisateurs (Profil/Scripts d’ouverture)
• Appartenance aux groupes
• Editeur d’attributs disponibles
7. Profil utilisateur itinérant
7
• Profil local
• Créé dans le dossier Utilisateurs de chaque machine
sur laquelle l’utilisateur ouvre une session
• Profil itinérant
• Environnement utilisateur identique quelque soit le
poste utilisé.
• Chemin du profil
– srv1Profiles%username%
• Script d’ouverture de session (.bat ou vbs)
• Dossier de base – chemin d’accès local
8. Gestion des groupes
8
• Facilite l’administration des permissions (ACL)
i.e. ressource partagée.
• Déplace l’administration de l’ACL vers ADUC/ADAC.
• Création de groupes par profil ou par
ressources.
• Type de groupes
• Groupe de sécurité vs groupe de distribution
• Etendue de groupe
• Locale - Domaine local – Globale - Universelle
10. Stratégie de gestion de groupes IDGLA
10
• Ajouter les identités utilisateurs et ordinateurs à
un groupe Global.
• Placer le groupe Global dans un groupe Domain
Local pour définir les permissions d’accès aux
ressources.
• Si les utilisateurs d’autres domaines doivent
avoir des permissions pour la ressource, on peut
placer le groupe Global dans un groupe
Universal, puis placer le groupe Universal dans
un groupe Domain Local pour définir les
permissions d’accès aux ressources.
11. Changement étendue de groupe
11
• Global à universel
• Sous réserve que le groupe global ne soit pas contenu dans un
groupe global.
• Domaine à universel
• A condition que le groupe domaine ne contienne pas un autre
groupe domaine.
• A condition que le groupe domaine ne contienne pas de
référence externe à la forêt.
• Universel à global
• A condition que le groupe universel ne contienne pas d’autre
groupe universel
• Universel à domaine
• Toujours possible.
12. Gestion des comptes ordinateurs
12
• Compte ordinateur créé lors de la jonction de la
machine au domaine.
• Authentification machine
• SAMAccountName /Pwd / SID
• Application GPO
• Classé dans conteneur Computers par défaut
• Comment appliquer GPO ?
• redircmp
• Création amont compte ordinateur (+)
• Droits pour jonction
• Membre du groupe administrateur local de la machine.
• Credentials domaine.
13. Gestion comptes ordinateurs (Tshoot 1)
13
• J’ai un compte utilisateur sans droits
d’administration, je n’arrive pas à joindre ma
machine dans le domaine.
• Compte ordinateur existe, compte admin requis.
• J’ai un compte utilisateur sans droits
d’administration, j’arrive à joindre maxi dix
machines dans le domaine !
• ms-DS-machineAccountQuota = 10
• J’ai un compte administrateur local, je n’arrive
pas à joindre la machine au domaine.
• Check DNS first
14. Gestion comptes ordinateurs (Tshoot 2/2)
14
• Rejoindre le domaine.
! Different SID. Computer lose group membership.
• ADUC
• Réinitialiser le compte.
• Rejoindre le domaine.
• Reboot required.
15. Gestion comptes ordinateurs (Tshoot 2 bis )
15
• DOS
• dsmod computer <distinguished name> -reset
• Server-side
• Rejoin. Reboot.
• netdom reset <computer> /domain:<DomainName>
/Server:<ServerName> /UserO:<Username>
/PasswordO:<Password | *>
• Client-side
• No rejoint, no reboot required.
• nltest /server:Win8Client01 /sc_reset:nuggetlabdcnugget01
• Client-side
• No rejoint, no reboot required
28. IPv4 adressing
28
• Format
• ID réseau vs ID hôte
• Masque de sous-réseau
• Adressage privé / public
• Types d’adresses: Multicast/Broadcast/Unicast
• Manipulation d’adresse
• Classes d’adresses
• CIDR
• Mise en place de sous-réseau
• Subnetting
• VLSM
29. Configurer et maintenir ipv4
29
• netsh for configuration
• ipconfig
• /release, /renew, /displaydns, /flushdns, /registerdns
• ping tracert / pathping
• nslookup for DNS
• routing table
• netstat –r
• route print
• arp –a
• netstat for port monitoring
31. IPv6 Overview
31
• Adresse sur 128 bits
• 2001:0470:82a9:0007:f2de:f1ff:fe5b:b324
• Autoconfiguration sans état
• IPSec obligatoire dans pile TCP/IPv6
• Activé par défaut dans Windows
Consoles disponibles à la promotion en contrôleur de domaine.
Utilisateurs et ordinateurs
Gestion des comptes utilisateurs, ordinateurs et groupes.
Sites et services AD
Permet de gérer la replication entre les sites mais également la topologie du réseau.
Domaines et approbations
La gestion des approbations et des niveaux fonctionnels
Centre d’administration AD
Fait appel à des commandes powershell.
Permet de créer des objets.
Permet gestion de la corbeille active directory.
-
Convention de nommage
- Etendue
- Nom de la ressource
- Droit NFS
Type de groupe à la création.
Etendue de groupe peut être convertie après la création de l’objet.
Groupe de sécurité possède un SID qui permet de le positionner dans des ACL. Mais a les deux rôles de sécurité et de distribution.
Etendue locale ne peut être utilisée sur un contrôleur de domaine – Ce groupe peut être utiliser pour donner des permissions à des utilisateurs locaux ou de la forêt active directory.
Lors de la jonction au domaine les groupes admins du domaine et utilisateurs du domaine sont respectivement membres des groupes locaux Administrateurs et utilisateurs de la machine.
Les groupes locaux et domaines peuvent contenir des comptes ordinateurs et utilisateurs .
http://technet.microsoft.com/en-us/library/cc755692%28v=ws.10%29.aspx
L’avantage dans ce cas d’utiliser des groupes universels, est que si les permissions d’un utilisateur se trouvant dans un des groupes globaux doit être modifié, cela n’a pas d’incidence sur le groupe universel. En effet, les groupes universels ont leurs listes de membres présentes dans le catalogue global. Tout changement génère une réplication dans le catalogue global.
Plus d’info sur le catalogue global - http://msdn.microsoft.com/fr-fr/library/cc736934%28v=ws.10%29.aspx
La création en amont permet à l’administrateur de positionner le compte ordinateur directement dans son UO définitive. Ainsi au redémarrage du poste la bonne stratégie de groupe s’applique. De plus, cette solution permet de déléguer la jonction au domaine à un autre utilisateur.
Pour les comptes utilisateurs utiliser redirusr.
Attribut ms-DS-machineAccountQuota
La base de données de sécurité du serveur n’a pas de compte d’ordinateur pour la relation d’approbation avec cette station de travail.
http://www.thirdtier.net/2012/02/how-do-rejoin-a-computer-to-the-domain-without-losing-its-sid/
.
Csvde
csv is compatible with Excel or some databases.
csvde can only import but not modify existing objects
LDIFDE
Fichier au format LDIF permet de modifier ou de supprimer des objets existants.