MIT-Dakar Monsieur Karell BILONGO-MANENE

Installation de AD DS; Installation de AD DS en utilisant les options avances; Dploiement de contrleurs de domaine en lecture seule; Configuration des rles de contrleur de domaine des services de domaine AD;

Ordinateur Configuration logicielle

excutant

Windows

Serveur

2008 (Standard, Enterprise, Datacenter);

Partition NTFS minimale de 10 Go;

TCP/ IP configur, y compris les

Configuration rseau

paramtres DNS client; Un serveur DNS prenant en charge les mises jour dynamiques doit tre configur sur le contrleur de domaine

Autorisations dadministrateur local pour

installer le premier contrleur de domaine Autorisations dadministrateur dans une fort; Autorisations dadministrateur de domaine pour installer des DC supplmentaires; Autorisations dadministrateur dEntreprise pour installer dautres domaines dans une fort;

2-Les niveaux fonctionnels du domaine et de la fort

Niveau fonctionnel Utilisation Description du protocole DFS-R pour

rpliquer SYSVOL en lieu et place de FRS; Domaine Support du chiffrement AES 128 et AES 256 au niveau de la mthode

dauthentification Kerberos;
Cration de multiples stratgies de mots de passe et de verrouillage de comptes;

Fort

Rien de nouveau par rapport 2003

3-Comment installer le rle AD-DS?

Installation du rle des services de domaine AD en utilisant le gestionnaire de serveur; Gestionnaire de serveur, console MMC tendue qui vous permet de grer pratiquement toutes les informations et tous les outils qui affectent la

productivit de votre serveur;

SYSVOL (System Volume), rpertoire partag qui stocke la copie serveur des fichiers publics dun domaine qui sont partags pour un accs et une rplication dans tout le domaine (stratgie de groupe, scripts douverture de session) TP: Installer le rle AD-DS

4-Vrification de linstallation de AD-DS

Evaluez les vnements en utilisant la MMC Services de domaine AD; Vrifiez la prsence du domaine pralablement cre, du DC , son type et le site en utilisant la MMC utilisateur et ordinateur AD;

Utilisez la MMC Sites et services AD pour afficher et dfinir les sites trangers et des ordinateurs trangers;

Vrifiez la prsence du fichier ndts.dit et du rpertoire Sysvol;

Slectionnez: Le mode avanc dans lassistant installation; dcpromo /adv;

Le mode avanc est ncessaire pour: Crer une nouvelle arborescence de domaine;

Modifier le nom NETBIOS par dfaut du domaine;

Dfinir la stratgie de rplication du mot de passe pour un RODC; Slectionner le DC source pour linstallation;

1- Mise niveau vers les services de domaine AD de Windows 2008 serveur Domaine Windows 2000 ou 2003 serveur existant:

Si le DC est le premier DC Windows 2K8 de la fort

Etendre le schma sur le maitre doprations du schma en excutant adprep /forestprep; Si le DC est le premier DC Windows 2K8 dun domaine Windows 2000 Serveur Excutez adprep /domainprep /gpprep sur le maitre dinfrastructure ; Le commutateur gpprep ajoute des entres de contrle daccs (ACE) hritables aux GPO situs dans SYSVOL; Si le DC est le premier DC 2K8 dun domaine Windows 2003 Serveur Excutez adprep /domainprep sur le maitre dinfrastructure;
Lien:http://www.labo-microsoft.org/articles/win/Replication-AD/3/

2-Installation de AD-DS sur un ordinateur serveur core

Pour installer AD-DS sur un ordinateur serveur core, effectuez une

installation sans assistance laide dun fichier de rponse;

dcpromo

/answer:nom_fichier

1-Description et fonctionnalits du DC en lecture seule Il hberge les partitions en lecture seule de la base de donnes des services de domaine AD;

La rplication des services de domaine AD dans son ensemble utilise une connexion unidirectionnelle entre le DC disposant dune copie

inscriptible de la base de donnes et le RODC;

Peuvent tre dploy sur des serveurs excutant Windows Serveur 2008 server core pour accroitre la scurit;

Ne peuvent pas dtenir de rles de maitres doprations;

Mise en cache des informations didentification; DNS en lecture seule;

2-Prparation de linstallation du RODC

Dfinir le niveau fonctionnel du domaine et de la fort

La fort et le domaine doivent tre au niveau fonctionnel Windows serveur 2003;

Planifier la disponibilit du DC Windows serveur 2008

Vrifiez quun DC inscriptible excutant Windows serveur 2008 est disponible pour rpliquer la partition du domaine;

Prparer la fort et le domaine

Excutez adprep rpliquer des partitions; Excutez adprep /domainprep dans tous les domaines si le RODC est destin tre un serveur de catalogue global; /rodcprep pour permettre au RODC de

3-Installation du RODC

Choisissez loption dinstallation dun DC supplmentaire dans un domaine existant;

Slectionnez loption installation dun RODC dans lassistant Installation des services de domaine AD;

Choisissez loption dinstallation avance si vous souhaitez configurer la stratgie de rplication de mots de passe;

Pour installer un RODC sur une installation serveur core, utilisez un fichier dinstallation sans assistance avec la valeur ReplicaOrNewDomain = ReadOnlyReplica;

4-Dlgation de linstallation dun RODC

Crer au pralable le compte de lordinateur RODC dans le conteneur des contrleurs de domaine;

Affectez un utilisateur ou un groupe avec lautorisation dinstaller le RODC;

Pour terminer une installation dlgue de RODC, excutez dcpromo /UseExistingAccount:Attach ;

5-Description des stratgies de rplication des mots de passe

La stratgie de rplication des mots de passe dtermine comment le

RODC effectue la mise en cache des informations didentification de lutilisateur authentifi; Par dfaut, le RODC ne met pas en cache les informations didentification ordinateurs; dutilisateur ou celles didentification des

Options de configuration: Pas dinformations didentification mises en cache; Activer la mise en cache dinformation didentification sur un RODC pour des comptes spcifis;

Ajouter des utilisateurs ou des groupes au groupe mot de passe

autoris de RODC afin que les informations didentification soient mises en cache sur tous les RODC;

1-Description des serveurs de catalogue global

Le GC est une rplique partielle (jeu limit dattributs pour chacun des objets de la fort) en lecture seule de toutes les partitions dannuaire de domaine dune fort.

Le serveur de catalogue global est un contrleur de domaine qui hberge galement le catalogue global;

2-Description des rles de matre doprations

Controleur de schema

(01) par fort; Effectue toutes les mises jour du schma AD;
(01) par fort; Gre lajout et la suppression de tous les domaines et partitions dannuaire; (01) par domaine; Alloue les blocs RID chaque DC dans le domaine; (01) par domaine; Rduit le delai de rplication en cas de modification des mots de passe; Synchronise lheure sur tous les DC dans le domaine; (01) par domaine; Actualise les rfrences dobjets dans son domaine qui pointent vers lobjet dans un autre domaine;

Maitre dattribution de noms de domaine

Maitre RID

Emulateur PDC

Matre dinfrastructure

MODULE 2

Prsentation de lintgration des services de domaine AD et de DNS; Configuration des zones intgres des services de domaine AD; Configuration des zones DNS en lecture seule ;

1-Intgration des services de domaine AD et de lespace de noms DNS

Il nest pas obligatoire dinstaller le service DNS sur un DC, nanmoins, il est recommand dinstaller le service DNS sur un DC

parce quil permettra dintgrer les zones DNS AD;

Le nom de la zone DNS qui hberge AD doit tre similaire celui de la fort;

Les espaces de noms public et priv doivent tre diffrents, pour y

parvenir, on pourrait utiliser les concepts de sous-domaine, de dlgation et de redirection;

La mise en uvre de AD ncessite au moins un serveur DNS, il est recommand de se doter dun second serveur DNS pour assurer la redondance. Si lorganisation dispose de nombreux sites, alors, il est recommand dinstaller un serveur DNS sur chaque site pour

rsoudre les requtes locales;

Il est recommand dintgrer et de stocker les fichiers de zone DNS au sein dAD (scurit, configuration du transfert de zones);

2-Enregistrement du localisateur de service (SRV)

Les enregistrements de ressource SRV permettent aux clients DNS de localiser et didentifier des ordinateurs qui hberge des services TCP/IP spcifiques (DC).

La cration du domaine DNS racine dune nouvelle fort AD base sur 2K8
engendre 02 zones DNS: Une zone DNS est ddie au domaine racine de la fort, elle stocke par dfaut, les donnes de zone DNS au sein de la partition dannuaire de domaine, il sensuit une rplication sur tous les DC du domaine ; Une zone DNS ddie au sous domaine _msdcs.ForestName, elle stocke par dfaut, les donnes de zone DNS ( uniquement les RR SRV) au sein

de la partition dannuaire dapplication DNS lechelle de la fort

(ForestDnsZones), il sensuit une rplication vers tous les DC hbergeant le service DNS au sein de la fort. Le processus NetLogon gnre dynamiquement les enregistrements SRV sur chaque DC;

3-Gestion des enregistrements de ressources SRV inscrits par

des DC AD-DS (Dmo)

Utilisez la MMC DNS et supprimer les RR SRV au niveau de la zone DNS du domaine racine de la fort (_tcp);

Redmarrez

Netlogon

(outils

dadministration

Services

Netlogon / Redmarrer); Revrifiez _tcp sous la zone DNS du domaine racine de la fort en

lanant la MMC DNS;

Crer un RR SRV sur un DC Clic droit sur _msdcs.Nomfort;

Nouveaux RR ;
Choisir SRV (telnet) + FQDN de la machine;

4-Utilisation des enregistrements du localisateur de ressource de service

NetLogon: processus qui maintient un canal scuris entre un ordinateur et le DC pour authentifier les utilisateurs et les services; RPC: Remote Procedure Call, protocole rseau permettant de

dexcuter des appels de procdures sur un ordinateur distant laide

du serveur dapplication.

Processus Les ordinateurs clients du domaine utilisent lAPI (DsGetDcName, implment par NetLogon) du localisateur pour localiser un DC en lanant une requte DNS; Le client recueille les informations qui sont ncessaires pour slectionner un DC et passe les informations au service NetLogon laide de lappel DsGetDcName;

 Le service NetLogon sur le client utilise linformation recueillie pour

rechercher un DC pour le domaine spcifi;

DsGetDcName appelle lappel DnsQuery pour lire les enregistrements SRV et les enregistrements de ressources du serveur DNS; Le service NetLogon envoie un datagramme UDP aux ordinateurs qui ont le nom. Chaque DC disponible rpond au datagramme pour indiquer quil est actuellement DsGetDcName. Le service NetLogon met en cache les informations du DC afin que les requtes suivantes ne rptent pas le processus de dcouverte. La mise en cache de ces informations encourage lutilisation cohrente du mme DC ainsi quun affichage cohrent dAD; oprationnel et renvoie les informations

5-Intgration des enregistrements du localisateur de service et des sites AD

Lors du dmarrage du service ouverture de session rseau , le service correspondant de chaque DC numre les objets du site dans le conteneur configuration. Le service ouverture de session rseau utilise les informations sur les sites pour crer une structure en mmoire qui permet de mapper les adresses IP vers les noms de

site.

1- Les zones intgres des services de domaine AD

Les zones intgres des services de domaine AD stockent les donnes de zones DNS dans la base de donnes de service de domaine AD; Avantages: Rplication des informations de zone DNS laide de la rplication des services de domaine AD; Prise en charge de plusieurs serveurs DNS maitres; Scurit renforce (rplication des donnes chiffres); Prise en charge du vieillissement et du nettoyage des enregistrements;

2-Partitions dapplications dans les services de domaine AD

La base de donnes des services de domaine AD est divise en partitions dannuaire, chaque partition tant rplique sur des DC spcifiques: La partition de schma, rplique les informations de schma sur la fort entire; La partition de configuration, rplique les informations de structure physique sur la fort entire; La partition de domaine, rplique les informations de domaine sur

tous les DC dans un domaine.

Une zone DNS peut tre stocke dans la partition de domaine ou dans la partition dapplication; DomainDNSZones et ForestDNSZones , sont des partitions dapplication par dfaut, qui stockent des donnes spcifiques au systme DNS;

3-Options de configuration des partitions dapplications pour DNS

La partition de domaine, rplique les informations sur tous les DC dans le domaine des services de domaine AD;

La partition dapplication DomainDNSZones, rplique les informations sur tous les DC qui sont des serveurs DNS dans le domaine des services de domaine AD;

La partition dapplication ForestDNSZones, rplique les informations sur tous les DC qui sont des serveurs DNS dans la fort des services de domaine AD;

La partition dapplication personnalise, rplique les informations sur tous les DC qui hbergent une partition dapplication particulire;

4-Fonctionnement des mises jour dynamiques

Les mises jour dynamiques permettent aux ordinateurs clients DNS denregistrer et de mettre jour dynamiquement leurs RR sur un serveur DNS chaque fois que des changements se produisent. Le client envoie une requte SOA; Le serveur DNS envoie le nom de la zone et ladresse IP du serveur; Le client vrifie linscription existante; Le serveur DNS rpond en indiquant que linscription nexiste pas; Le client envoie une mise jour dynamique au serveur DNS.

5-Fonctionnement des mises jour DNS dynamiques scurises

Les mises jour dynamiques scurises fonctionnent comme les mises jour dynamiques, avec lexception suivante: le serveur de noms faisant autorit accepte uniquement les mises jour provenant de clients et de serveurs qui sont authentifis et joints au domaine AD dans lequel le serveur DNS se trouve; Le client essai dabord une mise jour non scurise. Si cette tentative choue, le client tente alors de ngocier une mise jour scurise. Si le client a t authentifi par les services de domaine AD, la mise jour russit.

6- Dmo: configuration des zones intgres des services de domaine AD

7-Fonctionnement du chargement de zone larrire plan

Lorsquun DC avec des zones DNS intgres AD dmarre: Il numre toutes les zones charger; Il charge les indications de racine partir des fichiers ou des serveurs de services de domaine AD; Il charge toutes les zones stockes dans des fichiers plutt que dans des services de domaine AD; Il commence rpondre aux requtes et aux appels RPC; Il dmarre une ou plusieurs threads pour charger les zones stockes dans des services de domaine AD;

1-Les zones DNS en lecture seule

Fonctionnalit prise en charge sur les DC accessible en lecture seule; Toutes les partitions dapplication contenant des informations DNS sont rpliques vers le RODC;

Avantages:
Les informations DNS requises pour la rsolution de noms AD sont disponibles pour les clients se trouvant sur le mme site que le

RODC;
Les modifications ne sont pas autorises sur les zones DNS en lecture seule, ce qui renforce la scurit;

2-Fonctionnement du DNS en lecture seule

Le systme DNS en lecture seule est install sur un RODC lorsque les services de domaine AD sont installs et loption DNS est slectionne;

Les donnes de zones DNS en lecture seule peuvent tre affiches, mais pas mises jour;

Les clients DNS dynamiques mis jour laide du RODC sont rfrencs sur un serveur DNS avec une copie des zones accessible en criture;

Les enregistrements ne peuvent pas tre ajouts manuellement la zone en lecture seule;

Configuration des objets AD; Stratgies dutilisation des groupes; Automatisation de la gestion des objets des service de domaine AD. Dlgation de laccs administratif aux objets des services de domaine AD Configuration des approbations des services de domaine AD

1-Les types dobjets des services de domaine AD Les comptes dutilisateur Active une ouverture de session unique pour un utilisateur; Offre un accs aux ressources; Les comptes dordinateur Active lauthentification et laudit de laccs dun ordinateur aux ressources; Les comptes de groupe Aide simplifier ladministration ; InetOrgPerson Semblable un compte dutilisateur Sert la compatibilit avec les autres services dannuaire; Unit dorganisation Regroupe les objets similaires pour ladministration Imprimantes & dossiers partags Simplifient le processus de localisation et de connexion des imprimantes & dossiers partags;

2-Les types de groupe des services de domaine AD

Groupes de distribution Utilis uniquement avec les applications de messagerie; Sans scurit active;

Groupes de scurit Servant affecter des droits et des autorisations aux groupes dutilisateurs et dordinateurs; Utiliss de manire optimale lorsquils sont imbriqus;

3-Etendues de groupes de services de domaine AD

Etendue du groupe Les membres des groupes peuvent inclure
Groupes globaux, de universels, domaine Dans le mme domaine

Autorisations

domaine local

locaux appartenant son propre domaine

Des comptes de nimporte

quel domaine approuv

Globale

Utilisateurs,

groupes

et

ordinateurs appartenant son propre domaine Utilisateurs, groupes et des ordinateurs en tant que membres dun domaine approuv Utilisateurs, groupes et ordinateurs en tant que membres de domaine

Dans nimporte quel domaine approuv

Universelle

Dans nimporte quel domaine approuv

Sur lordinateur local

locale

4-Groupes par dfaut des AD-DS

Conus pour grer des ressources partages et dlguer des rles administratifs de domaine spcifique;
Oprateurs de sauvegarde
Oprateurs de chiffrement

Sauvegarde, restauration des fichiers sur un ordinateur.

Autoriss raliser des oprations de chiffrement. Apporte des modifications aux paramtres TCP/IP, libre et renouvelle des adresses IP; Se connecte distance lordinateur Gre les fonctions de rplication Surveillent les compteurs de performance dun ordinateur. Cration, suppression et modification des comptes dutilisateur, groupe & ordinateur Connexion interactive, cration et suppression des ressources partages, sauvegarde et restauration, arrt du serveur

Oprateurs de configuration rseau

Utilisateurs du bureau distance Replicateur Utilisateurs du journal de performance

Oprateurs de compte

Oprateurs de serveur

5-Identits spciales

Conus pour fournir laccs aux ressources sans interaction de la part de ladministrateur ou de lutilisateur;
Ouverture de session anonyme Utilisateurs authentifis Tche Groupe crateur Crateur / Propritaire Tout le monde Tous les utilisateurs actuels du rseau, y compris les invits Utilisateurs ou services accdant aux ressources par lintermdiaire du rseau sans utiliser de mot de passe, de compte

Interactif
Utilisateurs Terminal serveur

Tous les utilisateurs actuellement connects un ordinateur particulier

6-utilisation des groupes par dfaut et des identits spciales

7- Dmo: Configuration des comptes de groupes AD-DS

1-Options daffectation daccs aux ressources

Les options: Ajout des comptes dutilisateurs la liste de contrle daccs de la ressource. Cette option est destine aux petites organisations. Ajout des comptes dutilisateurs aux groupes et ajout des groupes la liste de contrle daccs de la ressource; cette option requiert un seul niveau de groupe et convient des organisations ayant un seul domaine. Ajout des comptes dutilisateurs aux comptes de groupes, ajout des comptes de groupes aux groupes de ressources et ajout des groupes de ressources la liste de contrle daccs de la ressource; cette option peut tre utilise pour grer les ressources dans un environnement domaine multiple.

2-Avantages & inconvnients de lutilisation des comptes de groupe

Avantages
En stockant les comptes dutilisateurs dans des groupes, on facilite la gestion des ressources; En plaant les utilisateurs qui ont les mmes profils dans un groupe, vous en faciliter lattribution du mme ensemble dautorisations; En utilisant des groupes globaux ou universels, daccs des domaines approuvs vous obtenez des comptes de groupes qui peuvent tre ajouts aux listes de contrle Inconvnients Si vous utilisez le compte de groupe dans des environnements

plusieurs domaines, modifier les exigences dautorisation pour la

ressource partage peut crer des complications dans la gestion des ACL. Un grand nombre dentres dans un ACL, complique sa gestion.

Inconvnients On a besoin dajouter tous les groupes la liste de contrle daccs dune ressource, ce processus ncessite la mme quantit deffort que lajout de comptes dutilisateur lACL de ladite ressource. Si il y a une modification des autorisations pour la ressource partage, vous devez analyser les autorisations attribues chaque groupe;

Si vous utilisez les comptes de groupe dans des environnements plusieurs domaines, modifier les exigences dautorisation pour les ressources partages , peut crer des complications dans la liste de contrle daccs.

3-Les options dutilisation pour les comptes de groupe et les groupes de ressource

Vous pouvez ajouter des comptes dutilisateurs dans des groupes

globaux, ajouter les groupes globaux dans des groupes locaux de domaine, puis attribuer des autorisations dans le domaine du groupe local de domaine. Utilisez cette option pour crer des groupes globaux dans des environnements domaine multiple, puis ajouter ces domaines un groupe de domaine local ou se trouve la ressource;

Vous pouvez ajouter des comptes dutilisateurs des groupes universels,

ajouter les groupes universels des groupes locaux de domaine, puis

attribuer des autorisations dans le domaine des groupes locaux. Lutilisation de cette option ncessite la publication de la liste des membres des groupes universels dans le catalogue global; Cette option permet galement dajouter des comptes issus de plusieurs domaines dans des comptes de groupe;

Comptes dutilisateur

Groupe universel

Groupe local de domaine

Vous pouvez ajouter des comptes dutilisateur dans des groupes

globaux, ajouter les groupes globaux dans des groupes universels.

Ajouter les groupes universels dans des groupes locaux de domaine et affecter les permissions aux groupes locaux de domaine. Cette option rduis les rplications du catalogue global, cre une autre couche demboitement de groupes qui complique la conception et la gestion. Groupe Local de domaine

Comptes dutilisateur

Groupe Global

Groupe Universel

Avantages
Vous pouvez ajouter des comptes de groupe dans des groupes de ressources qui ont les autorisations appropries; Vous pouvez placer les comptes de groupe dans les groupes de ressource des domaines approuvs;

3-affectation des groupes dans les environnements domaine simple ou multiple

Le groupe local de domaine vous aide uniquement affecter les autorisations sur les ressources appartenant au domaine dans lequel a t cre le groupe de domaine local;

Les comptes dutilisateurs devraient tre stocks dans des groupes

globaux pour leur permettre davoir accs aux ressources de larborescence de domaines de la fort;

La consolidation des groupes globaux ncessite, lutilisation des groupes

universels;

Le fait de stocker des comptes dutilisateur dans un domaine global et

daffecter des permissions une ressource situe dans un autre domaine

pour permettre au groupe global dy accder nest pas recommand;

Le groupe de domaine local peut se voir affecter des permissions pour

accder nimporte quel objet du domaine dans lequel il se trouve;

Le groupe de domaine local ne peut pas tre plac au sein dun groupe universel;

Dans les environnements domaine unique, il est recommand de stocker un groupe global dans un autre groupe global pour consolider de nombreux groupes globaux;

1-Outils dautomatisation de la gestion des objets des services de domaine AD

Outils du service dannuaire

dsadd, dsmod, dsrm, dsmove, dsget et dsquery

Windows PowerShell Interface ligne de commande et un langage de script dvelopp par

Microsoft pour crer, modifier et supprimer des objets AD;

csvde Outil en ligne de commande qui utilise un fichier texte pour ajouter des

objets AD (comptes dutilisateur, );

Il ne peut pas tre utilis pour modifier ou supprimer des objets AD;

ldifde

Cre, modifie et supprime des objets AD stocks dans un fichier ldif;

2-Les fonctionnalits de Windows Powershell

cmdlets

Fichiers excutables crits en C # ou tout

autre langage compatible .Net; Les alias sont stocks dans le profil par dfaut de lutilisateur;
Les variables recevant des valeurs sont acceptes ($date, $servername) Connecte les commandes laide de loprateur ( | ). La sortie de chaque commande est utilise comme entre de la suivante; Stocke une sries de commandes qui dans un script (.ps1) afin de les utiliser dans des tches rptitives;

Alias Variables Le traitement en pipeline

La prise en charge des scripts

Laccs toutes les commandes cmd.exe

1-Autorisations sur les objets AD

Les autorisations sur les objets AD scurisent les ressources en permettant de dfinir les administrateurs ou les utilisateurs qui peuvent accder des objets ou des attributs dobjet particulier;

02 catgories dautorisations: Les autorisations standards, ce sont les paramtres de scurit par dfaut appliqus un objet ds sa cration par le systme; Les autorisations spciales, ce sont des autorisations un peu plus dtailles que les prcdentes.

Les options dautorisations

Attribuer ou refuser une autorisation;

Une autorisation non attribue formellement est implicitement refuse; Une autorisation peut tre refuse au sous ensemble dun groupe, alors que le groupe bnficie de cette dernire;

Hritage des autorisations Vous navez pas besoin dattribuer des autorisations aux objets enfant lors de leur cration; Les autorisations attribues aux objets parents sont toujours hrites par les objets enfant;

Pour modifier les autorisations attribues tous les objets dun

conteneur, il suffirait de modifier les autorisations attribues lobjet parent et par la suite, les objets du conteneur hriteront de la dite modification;

2- Les autorisations effectives

Les autorisations effectives rsultent de la combinaison des plus hautes autorisations accordes lutilisateur et de tous les groupes dont lutilisateur est membre;

Loutil autorisations effectives calcule les autorisations octroyes un utilisateur ou un groupe spcifi. Le calcule tient compte des autorisations rsultant de lappartenance un groupe , ainsi que des autorisations hrites de lobjet parent.

3-Description de la dlgation du contrle

Cest la possibilit de confier un autre utilisateur ou un groupe, la responsabilit de la gestion des objets AD;

La dlgation de contrle administratif permet: Accorder des autorisations pour crer ou modifier tous les objets dans une unit dorganisation ou dans un domaine; Accorder des autorisations pour crer ou modifier un certain nombre dobjets dans une OU spcifique ou au niveau du domaine; Accorder des autorisations pour crer ou modifier un objet spcifique dans une OU spcifique ou au niveau du domaine; Accorder des autorisations pour modifier lattribut spcifique dun objet dans une OU spcifie ou au niveau dun domaine;

4-Dmo: Configuration de la dlgation du contrle

6-Personnalisation des outils dadministration

1-Description des approbations des services de domaine AD

Les approbations autorisent les entits de scurit transmettre leurs informations didentification dun domaine un autre et sont ncessaires pour autoriser laccs aux ressources entre les domaines.

Caractristiques des approbations Transitive ou non transitive, la relation dapprobation stend au-del dune relation 02 domaines pour inclure dautres domaines approuvs; Direction de lapprobation, dfinit le domaine des comptes et le domaine des ressources;
Direction de laccs

Domaine autoris approuver (ressources)

Direction de lapprobation

Domaine approuv (compte))

 Directions dapprobation:

Unidirectionnelle entrante,
Unidirectionnelle sortante; Bidirectionnelle Protocole dauthentification, protocole que vous utilisez pour tablir et conserver lapprobation (Kerberos ou NT Lan Manager);

2- Les types dapprobation Le systme gnre 02 approbations par dfaut

TYPE DAPPROBATION TRANSITIVITE Transitif DIRECTION Deux sens DESCRIPTION Etablie par dfaut lors de lajout dun

Parent / Enfant

nouveau
protocole

domaine

enfant. Kerberos est le dauthentification

utilis.
Racine darborescence Transitif Deux sens Etablie cration arborescence lors de la

dune dans est le

une

fort

existante.

Kerberos protocole

dauthentification

utilis.

TYPE DAPPROBATION

TRANSITIVITE

DIRECTION

DESCRIPTION

Permet daccder des

ressources situes dans

un NT Externe Non-Transitif Sens unique ou deux sens domaine 4.0 ou se Windows dans un trouvant par NTLM une est

domaine non lie

dans une autre fort,

approbation de fort. Le protocole utilis. Cre une relation

dapprobation entre un domaine Kerberos non Domaine Kerberos Transitif ou NonTransitif Sens unique ou deux sens

Windows
2008. Le

et

Windows
protocole

dauthentification Kerberos est utilis.

TYPE DAPPROBATION

TRANSITIVITE

DIRECTION

DESCRIPTION

Permet de partager des

ressources entre deux

forts davoir Fort Transitif ou Non transitif Sens unique ou deux sens fonctionnel le condition niveau Windows est utilis

serveur 2003;
Kerberos pour lauthentification;

Amliore

les

ouvertures de session entre deux domaines au Raccourcie Transitif ou NonTransitif Sens unique ou deux sens sein de la mme fort.

Kerberos;

3-Fonctionnement des approbations dans une fort

Les objets de domaine approuv (TDO, Trusted Domaine Object) sont des objets reprsentant chaque relation dapprobation dans un domaine particulier. Chaque fois quune relation dapprobation est tablie, un TDO unique est cre et stock (dans le conteur systme) de son domaine. Les attributs tels que la transitivit et le

type dapprobation sont reprsents dans le TDO;

Lorsquun utilisateur tente daccder une ressource dans un autre domaine, le protocole dauthentification Kerberos V5 doit dterminer si le domaine approuver possde une relation dapprobation avec le domaine approuv;

Pour dterminer cette relation, le protocole Kerberos V5 suit le chemin dapprobation en utilisant le TDO afin dobtenir une rfrence au DC du domaine cible. Le DC cible met un ticket de service pour le service demand;

4-Fonctionnement des approbations entre les forts

1.

Un utilisateur du domaine EMEA.woodgrovebank.com tente daccder

un

dossier partag de la fort contoso.com . Lordinateur de lutilisateur contacte le KDC dun DC du domaine EMEA.woodgrovebank.com et demande un ticket de service en utilisant le SPN (nom DNS dun hte ou dun domaine)de lordinateur

sur lequel rside la ressource;

2.

Les ressources ne sont pas localises sur EMEA.woodgrovebank.com, le DC de EMEA.woodgrovebank.com demande donc au catalogue global de voir si elles se trouvent dans un autre domaine de la fort. Il ne trouve pas le SPN, il recherche alors dans sa base de donnes des informations relatives des approbations de fort qui ont t tablies avec sa fort. Si il en trouve une, il compare les suffixes de noms rpertoris dans le TDO de lapprobation de fort par rapport au suffixe du SPN cible. Sil trouve une correspondance, le catalogue global fournit les informations de routage relatives la manire de localiser les ressources au DC

1. 2. 3.

Prsentation de la rplication des services de domaine AD;

Configuration des sites et des liens de sites des services de domaine AD; Gestion de la rplication des services de domaine AD;

PRESENTATION DE LA REPLICATION DES SERVICES DE DOMAINE AD

1-Fonctionnement de la rplication AD DS La rplication AD :

Utilise un modle multi maitre lexception des RODC;

Utilise la rplication par rception;

Les changements qui dclenchent la rplication:

Ajout dun objet au service de domaine AD; Modification des valeurs dattribut dun objet; Suppression dun objet de lannuaire; La suppression dun objet de lannuaire gnre la cration dun objet tombstone. Lobjet tombstone est en ralit, lobjet dorigine avec un attribut dfini pour indiquer que lobjet a t supprim.

Les attributs (GUID, SID, USN et nom unique) sont ncessaires lidentification de

lobjet et seront conservs dans lobjet tombstone.

La dure de vie dun objet tombstone est de 60 jours, au terme de ce dlai, chaque DC supprimera lobjet tombstone de sa copie de la base de donnes.

2-Fonctionnement de la rplication des services de domaine AD au sein dun site.

Au sein du mme site, le processus de rplication est lanc par une notification du DC metteur;

Les DC avertissent les partenaires de rplication lorsque des mises jour sont appliques;

Pour les mises jour normales, la notification de changement se produit 15

secondes aprs lapplication de la modification;

La modification des attributs sensibles la scurit dans Active Directory , oblige le DC source gnrer une notification immdiate des partenaires de rplication via une rplication urgente;

Les mises jour de rplication gnre un trafic de rplication qui nest pas compress parce quil y a une connexion rseau rapide pour relier tous les ordinateurs du site. Un trafic de rplication non compress prserve les

performances du serveur;

Les conflits de rplication peuvent survenir lorsque: Le mme attribut est modifi simultanment sur deux DC;

Un objet est dplac ou ajout un conteneur supprim sur un autre DC;

Deux objets portant le mme nom unique relatif sont ajouts au mme conteneur sur deux DC diffrents;

Pour rsoudre les conflits de rplications, AD DS utilisent un timbre unique attach chaque valeur de lattribut rpliqu. Ce timbre contient: Le numro de version; Horodatage

GUID du serveur

3-Description des partitions dannuaire

La base de donnes des services de domaine AD est repartie logiquement en partition dannuaire: La partition de schma, Dfini tous les objets et attributs au sein du service dannuaire; Contient les rgles de cration et de manipulation des objets et des attributs;

La partition de configuration,
Contient des informations sur la structure (Fort, domaines et sites) Active Directory; La partition de domaine, Stocke au sein de chaque DC dun domaine; Contient des informations sur les objets spcifiques au domaine;

4-Description de la topologie de rplication

La topologie de rplication est litinraire suivi par les donnes de la rplication travers un rseau.

AD DS cre une topologie de rplication en se basant sur linformation contenue au sein de AD DS. La topologie de rplication peut diffrer en fonction des partitions

dannuaire de schma, de configuration, de domaine et dapplication parce que

chaque partition dannuaire est rpliqu sur des DC diffrents au sein dun site. Pour optimiser le trafic de rplication, peut disposer de plusieurs partenaires de rplication pour diffrentes partitions;

Les partenaires de rplication sont des DC qui sont lis par des objets de connexion. Un objet de connexion est un chemin de rplication unidirectionnel entre deux objets de serveur (DC source et destination). Les objets de connexion

sont cres sur chaque DC et identifient un autre DC pour les informations de

rplication;

Sur un site, la topologie de rplication est redondante et tolrante aux pannes. En effet, si le site contient plus de 02 DC, chaque DC aura au moins 02 partenaires de rplication pour chaque partition AD DS;

La rplication des partitions de schma et de configuration sur tous les DC ; La rplication de la partition de domaine se fait par tous les DC du mme domaine; La partition dapplication est galement rplique vers les DC du domaine;

5-Gnration de la topologie de rplication

Lajout de DC un site, conduit AD DS utiliser le vrificateur de cohrence de connaissances (KCC) pour tablir un chemin de rplication entre les DC;

KCC est un processus intgr qui sexcute sur chaque DC et gnre la topologie de rplication pour toutes les partitions dannuaire contenues au sein dun DC;

KCC sexcute toutes les 15 minutes et gnre le chemin de rplication entre les

DC fonde sur le lien disponible;

Lorsque vous ajoutez un nouveau DC un site, KCC cre les objets de connexion ncessaires de manire intgrer les DC dans la topologie de rplication. Pour crer les objets de connexion, KCC configure chaque DC avec 02 partenaires de rplication directs pour la partition dannuaire.

Chaque objet de connexion est un chemin de rplication unidirectionnelle. KCC cre 02 objets de connexion sens unique entre 02 DC, puis KCC utilise chaque

objet de connexion pour rpliquer les partitions de lannuaire.

1-Description des sites AD-DS

Les sites permettent de contrler le trafic de rplication, de connexion et les requtes des machines clientes vers le serveur de catalogue global. Les sites permettent de dfinir la structure physique du rseau. Les sous rseaux disposant de plages dadresses TCP/IP qui dfinit un groupe de

DC qui sont interconnects via des connexion rapides et fiables;

Les sites disposent dobjets serveur, qui contiennent des objets de connexion pour grer la rplication; Les objets sous-rseaux identifient les adresses qui mappent des ordinateurs aux

sites;

AD DS cre un site par dfaut lorsquon installe le premier DC dans une fort (Default-First-Site-Name), qui y sera dailleurs plac; Un lien de site runie 02 sites pour leur permettre dchanger des donnes de

rplication. Cest aussi un chemin logique utilis par KCC pour tablir la rplication
entre les sites. La cration du premier domaine gnre un lien de site par dfaut (DEFAULTIPSITELINK)

2-Besoins pour limplmentation de sites supplmentaires

Un sous rseau TCP/IP est associ un seul et unique site;

Pour sassurer quun DC local authentifiera les utilisateurs, vous devriez crer un conteneur site associ un objet sous-rseau pour chaque branche, par la suite, dplacer le DC au sein du site conteneur.

Il faut sassurer que chaque site dispose dun serveur de catalogue global pour permettre lauthentification des utilisateurs;

Il est possible de dplacer un DC dun site vers un autre, condition de modifier les

paramtres IP dudit DC;

La cration de multiple sites et liens de sites entre les DC, permet dviter la congestion des donnes de rplication;

3-Configuration des sites AD DS Dmo

4-Fonctionnement de la rplication entre site

La rplication des services de domaine AD peut garantir une utilisation optimale du rseau dans une fort contenant plusieurs sites.

Les chemins de rplication rseau entre sites permettent dacheminer le trafic de rplication des services de domaine AD, il est possible de les configurer en configurant le cout du lien de site. Le cout du lien de site est un numro que lon

peut affecter un lien, il est bas sur la vitesse relative et la fiabilit du rseau; un
cout de lien de site bas et une priorit de lien lev rendra un chemin de rplication privilgi et utilisable par AD DS;

Il est possible de configurer la planification et la frquence de la rplication. La valeur par dfaut de la frquence de rplication est de 180 minutes. Cette valeur doit tre comprise entre (15 minutes et 1 semaine);

La rplication vers les RODC est unidirectionnelle, elle garantit que les modifications

apportes un RODC ne sont jamais rpliques vers aucun autre DC;

5-Configuration des liens de sites des services de domaine AD Dmo

6-Fonctionnement du gnrateur de topologie inter site

Le KCC dun DC du site est dsign comme gnrateur de topologie inter site (ISTG) du site. LISTG: Calcule la topologie idale de rplication du site; Il existe un seul gnrateur de topologie inter site par site et ce, quelque soit le nombre de domaines ou de partitions dannuaire que comporte le site;

il dsigne le serveur tte de pont du site

Le serveur tte de pont est un DC unique, responsable de lchange des donnes rpliques avec dautres sites. Le serveur tte de pont du site dorigine collecte toutes les modifications de rplication de son site et les envoie au serveur tte de pont du site destinataire, qui rplique les modifications sur tous les DC de son domaine; Le gnrateur de topologie inter site identifie un DC dans chaque site en tant

que serveur tte de pont pour chaque lien de sites;

1-Description du serveur tte de pont

Les raisons justifiant une configuration manuelle du serveur tte de pont:

Remplacement dun serveur tte de pont surexploit et aux capacits limites,

par un autre , plus puissant; Lexistence de firewall entre les sites, pourraient conduire fixer des rgles visant autoriser le trafic de rplication entre 02 serveurs tte de pont pralablement identifis;

Les points considrer lors de la configuration manuelle des serveurs tte de pont: Un serveur tte de pont doit tre dsign pour chaque domaine du site;

Vous pouvez spcifier une liste de serveur tte de pont prfrs, en cas
dindisponibilit dun des serveurs, le second sur la liste prfre sera promu;

2-Description du pontage de liens de sites

Tous les liens de sites des services de domaine AD sont transitifs ou de type pont. Si le site A possde un lien de sites commun avec le site B, le site B possde galement un lien de sites commun avec le site C et les deux liens de site sont relis par un pont (pont entre lien de sites). Les DC du site A peuvent rpliquer directement avec

les DC du site C, mme si , il nexiste aucun lien de sites entre les sites A et C;

Vous pouvez modifier la configuration de pontage des liens de site par dfaut en dsactivant le pontage de liens de sites, puis en le configurant uniquement pour les liens qui doivent tre transitifs;

Le pontage de liens de sites peut tre utilis pour configurer la rplication pour une organisation qui dispose de nombreux petits sites connects un backbone rapide, via des liaisons rseaux lentes;

3-Comment configurer la rplication AD DS Dmo

Configuration de la stratgie de groupe Configuration de ltendue des objets de stratgie de groupe Evaluation de lapplication des objets de stratgie de groupe

Gestion des objets de stratgie de groupe

1-Quest ce que la stratgie de groupe?

Technologie Microsoft qui prend en charge la gestion des ordinateurs et des

utilisateurs de type un--plusieurs dans un environnement AD.

Un objet de stratgie de groupe dsigne la collection de paramtres qui sont appliqus des utilisateurs et des ordinateurs slectionns;

2-Les paramtres de stratgies de groupe

Les

paramtres

de

stratgie

de Logiciels
Windows Scurit Bureau

groupe pour les utilisateurs contrlent les paramtres ci-aprs

Les paramtres de stratgie de groupe pour les ordinateurs contrlent les

paramtres suivants:

Logiciels Windows Scurit Systme dexploitation

3-Application de la stratgie de groupe

Au dmarrage de lordinateur: Obtention dune liste de GPO pour lordinateur depuis AD Application des paramtres de lordinateur; Excution des scripts de dmarrage;

Ouverture de session par lutilisateur

Application des paramtres de lutilisateur Excution des scripts douverture de session

Les stratgies de groupe sont actualises toutes les 90 minutes , auxquelles, il faut ajouter un intervalle de 0-30 minutes, soit finalement 120 minutes;

Pour les liaisons lentes (500kbits/s), certaines extensions ct client ne sont pas traites;

4-Les fichiers ADM et ADMX

Fichiers modles de stratgie de groupe utiliss par les stratgies de groupe Les fichiers ADM Copis dans chaque objet de stratgies de groupe du rpertoire SYSVOL; Difficils personnaliser; Chaque nouveau GPO cre occupe 4Mo sur le DC;

Les fichiers ADMX Nouveau format daffichage des paramtres de stratgie bass sur le registre; Utilisent un langage neutre;

Ils ne sont pas stocks dans les objets de stratgie de groupe

Ils sont extensibles par le biais du langage XML;

5-Description du magasin central

Il offre un rfrentiel central pour les fichiers ADMX et ADML; Il est stock dans le rpertoire SYSVOL; Il doit tre cre manuellement; Il est dtect automatiquement par Windows serveur 2008 ou Windows Vista

6-Dmo

1-Ordre de traitement de la stratgie de groupe Groupe local; Site

Domain
Unit dorganisation Unit dorganisation enfant

2-Options de modification du traitement de la stratgie de groupe

Blocage de lhritage

Par dfaut, les objets enfants hritent des objets de stratgie de groupe des
objets parents. Il est possible de bloquer lhritage des stratgies pour un domaine ou une unit dorganisation;

Filtrage laide des groupes de scurit Permet de slectionner un groupe de scurit qui nhritera pas des paramtres lis une stratgie de groupe ou un groupe de scurit qui hritera exclusivement des paramtres dune stratgie de groupe donne;

Dsactivation des stratgies de groupe

Vous pouvez bloquer lapplication du GPO dun site , dun domaine en dsactivant lensemble des paramtres, ou les paramtres de la configuration ordinateur ..

Filtrage en utilisant des filtres WMI Un filtre WMI (Windows Management Instrumentation) peut tre ajout un GPO; Le filtre WMI permet de spcifier des critres qui doivent tre remplis pour que le GPO li soit appliqu un ordinateur; Le traitement en boucle Par dfaut, si un utilisateur se connecte sur un ordinateur appartenant une OU sur laquelle est dfinie un GPO (lutilisateur nappartenant pas cette OU), la configuration ordinateur de cette stratgie sapplique cumule la configuration utilisateur du GPO dfinie sur lOU laquelle appartient lutilisateur. Il est possible de ne pas prendre en compte la stratgie de lutilisateur en activant le traitement en boucle: Le mode fusion (par dfaut), qui va appliquer la configuration de lutilisateur et celle du poste sur lequel lutilisateur se connecte; Le mode remplacement, qui va permettre de ne prendre en compte que les

paramtres de configuration ordinateur du poste sur lequel lutilisateur se

connecte et empcher lxcution de la stratgie de lutilisateur;

1-Description des rapports de stratgie de groupe

Les rapports de stratgie de groupe permettent de planifier et rsoudre les problmes de stratgie de groupe. GPResult.exe Gpresult /R; Affiche le jeu de stratgie rsultant (RSOP, Resultant Set Of Policy) pour un utilisateur ou un ordinateur; Fournit des informations sur la dernire fois ou les stratgies ont t appliques; Les stratgies de groupe qui ont t appliques ainsi que lordre dans lequel,

elles lont t;
Les stratgies de groupe qui nont pas t appliques; Les groupes de scurit auxquels appartiennent lutilisateur et lordinateur concern;

La console de GPMC Clic droit sur Rsultat de la stratgie de groupe de la console GPMC; Affiche les rsultats dtaills des stratgies de groupe appliqus aux utilisateurs

ou aux ordinateurs;
Vous pouvez imprimer ou sauvegarder ces rapports au format HTML ; Elle renvoi les paramtres qui sont rellement appliqus ,incluant les paramtres de stratgie de groupe locaux; Prrequis lutilisation de la GPMC Il faut quun utilisateur se soit prcdemment authentifi sur un ordinateur donn, pour tester un ensemble de paramtres inhrents ce dernier; Le port RPC doit tre ouvert sur les machines distantes;

2-Description de la modlisation de stratgie de groupe

Lassistant modlisation de stratgie de groupe calcule leffet net simul des objets de stratgie de groupe.

Il modlise les modifications de lenvironnement avant quelles ne soient rellement effectues;

Lassistant modlisation de stratgie de groupe simule:

Lappartenance au site;
Lappartenance au groupe de scurit; Les filtres WMI; Les liaisons lentes; Le traitement en boucle; Les effets du dplacement des objets utilisateur ou ordinateur vers un autre conteneur AD;

Lassistant modlisation de stratgie de groupe tourne sur un DC et nest jamais utilis pour interroger une machine cliente;

1-Tches de gestion des objets de stratgie de groupe

Sauvegarde des objets de stratgie de groupe Restauration des GPO;

Copie des GPO;

Importation des paramtres des GPO;

2-Description de lobjet de stratgie de groupe starter

Ils

stockent

une

collection

de

paramtres

de

la

stratgie

de

modles

dadministration dans un seul objet;

Il peut tre export dans des fichiers .cab; Peut tre import dans dautres zones de lentreprise;

Configuration des paramtres de stratgie de groupe; Configuration de scripts et redirection de dossiers laide dune stratgie de groupe; Configuration des modles dadministration; Configuration des prfrences de stratgie de groupe;

1-Options de configuration des paramtres de stratgie de groupe

Pour quun paramtre de stratgie de groupe ait un effet, vous devez le configurer. La plupart des paramtres de stratgie de groupe ont 03 tats , savoir: Activ; Dsactiv;

Non configur;

Vous devez galement configurer les valeurs de certains paramtres de stratgie de groupe.

1-Description des sites de stratgie de groupe

Les scripts peuvent tre utiliss pour effectuer diffrentes tches (suppression du contenu temporaire) au dmarrage ou larrt dun ordinateur, lorsquun utilisateur se connecte ou se dconnecte; Les stratgies de groupe affectent des scripts aux ordinateurs et aux utilisateurs Scripts de dmarrage et darrt de lordinateur

Au dmarrage de lordinateur, il y a une application de la stratgie de

lordinateur; Dmarrage des scripts, les uns la suite des autres; Le dlai dattente pour le lancement dun script est de 600 secondes; Les scripts sexcutent de manire synchrone; Aucune interface graphique nest lance pendant le chargement des stratgies de lordinateur;

 Les scripts douverture et de fermeture de session Les scripts douverture et de fermeture de session sont pris en charge par la configuration des utilisateurs; Lors de la connexion, la stratgie de lutilisateur est applique suivi du traitements des scripts douverture de session; Par dfaut, les scripts douverture de session bass sur les stratgies de groupe

sont cachs et sexcutent de faon asynchrone;

2-Description de la redirection de dossiers

En redirigeant les dossiers, vous changez leur emplacement sur le disque dur local de lordinateur de lutilisateur par un dossier partag sur un serveur de fichiers du rseau.

La fonction de redirection de dossiers facilite ladministration et la sauvegarde des donnes. En redirigeant les dossiers, vous garantissez laccs de lutilisateur aux donnes indpendamment de lordinateur sur lequel il ouvre une session.

Les dossiers pouvant tre redirigs Mes Documents; Application Data;

Bureau;
Menu Dmarrer

3-Options de scurisation des dossiers redirigs

Si vous devez crer manuellement un dossier rseau partag pour y stocker les dossiers redirigs, la fonction de redirection des dossiers peut crer pour vous les dossiers redirigs par les utilisateurs. Dans ce cas, les autorisations appropries sont automatiquement configures. Si vous crez manuellement les dossiers, vous devez connaitre les autorisations appropries:

Autorisations NTFS pour le dossier racine

Contrle total sous dossier s et fichiers seulement Aucun Liste du dossier/lecture de donnes, Cration de dossiers/Ajout de donnes-Ce dossier seulement Contrle total

Crateur / Propritaire Administrateur Groupe de scurit des utilisateurs qui placent des donnes sur partage System local

Autorisations de partage pour le dossier racine

contrle total-sous dossiers et fichier sseulement Contrle total

Crateur/Propritaire Groupes de scurit des utilisateurs qui placent des donnes sur partage

Autorisations NTFS pour le dossier redirig de chaque utilisateur

Contrle total sous dossiers et fichiers seulement Contrle total, propritaire du dossier Aucun Contrle total

Crateur / Propritaire %nom_utilisateur% Administrateurs Systme local

Les modles dadministration vous permettent de contrler lenvironnement du systme dexploitation et lexprience de lutilisateur;

Les modles dadministration sont le principal moyen de configurer les paramtres de registre (HKEY_LOCAL_MACHINE & HKEY_CURRENT_USER) de lordinateur client via les stratgies de groupe;
Les sections des modles destines aux utilisateurs Composants Windows; Menu Dmarrer et barre des tches; Bureau; dadministration

Les sections des modles dadministration destines aux ordinateurs Composants Windows; Systme; Rseau Imprimantes

Panneau de configuration;
Dossiers partags; Rseau; Systme;

2-Modification des modles dadministration

Les fichiers ADMX : Sont extensibles; Peuvent tre dits dans nimporte quel diteur de texte; De nouveaux fichiers ADMX peuvent tre joints au dossier dfinitions de stratgies ou au magasin central;

1-Description des prfrences de stratgie de groupe

Les prfrences de stratgie de groupe tendent la gamme des paramtres

configurables au sein dun objet de stratgie de groupe;

Ils ne sont pas mis en uvre; Permettent aux informaticiens de configurer, de dployer et de grer des paramtres de systme dexploitation et dapplication qui ne pouvaient pas tre grs laide dune stratgie de groupe;
Paramtres de stratgie de groupe Prfrences de stratgie de groupe Sont crites aux emplacements normaux du registre utiliss par la fonctionnalit de lapplication ou du systme dexploitation pour stocker le paramtre; nentrainent pas la fonctionnalit de lapplication ou du systme dexploitation dsactiver linterface utilisateur pour les paramtres configurs actualisent les prfrences laide du mme intervalle que les paramtres de stratgie de groupe par dfaut.

Mettent strictement en uvre des paramtres de stratgie en les crivant dans les zones du registre que les utilisateurs standard ne peuvent pas modifier ; En dsactivant gnralement linterface utilisateur pour les paramtres utiliss par la stratgie de groupe

Actualisent les paramtres de stratgie intervalle rgulier

Configuration des stratgies de scurit;

Implmentation des stratgie de mots de passe affins;

Restriction de lappartenance des groupes et de laccs aux logiciels; Gestion de la scurit laide de modles de scurit

1-Description des stratgies de scurit

Les stratgies de scurit sont des rgles qui servent protger des ressources sur les ordinateurs et les rseaux. La stratgie de groupe permet de configurer un grand nombre de ces rgles comme paramtres de stratgie de groupe; Stratgies de comptes Stratgies locales Journal des vnements Groupes restreints Stratgies de mot de passe, verrouillage de comptes et stratgies Kerberos; Stratgies daudit, attribution des droits utilisateurs et les options de scurit Dure, mthode, taille et accs aux journaux de scurit, systme et application Utilisateurs particuliers; bnficiant de privilges

Services systme

Permissions de dmarrage des services systme;

Permissions pour les clefs de registre

Registre
Systme de fichiers

Permissions sur les rpertoires et les

fichiers;

2-Description de la stratgie de scurit de domaine par dfaut

Fournit des stratgies de compte pour le domaine; les autres paramtres ne sont pas configurs par dfaut;

Utilis pour fournir des paramtres de scurit qui affectent tout le domaine;

3-Description des stratgies de compte

Les stratgies de compte attnuent la menace de dtection de mots de passe de comptes;

Stratgies

Description
Appliquer lhistorique des mots de passe; Antriorit maximale du mot de passe; Antriorit minimale du mot de passe; Longueur minimale du mot de passe; Mots de passe complexe; Dure de verrouillage; Seuil de verrouillage Rinitialiser le compteur de verrouillage de compte aprs;

Mot de passe

Verrouillage de comptes

Ne peut tre appliqu quau niveau du domaine

Kerberos

4-Dscription des stratgies locales

Les stratgies locales dterminent les options de scurit pour un utilisateur compte de service;

ou

Chaque ordinateur excutant Windows 2000 et versions ultrieures dune stratgie de scurit locale faisant partie de groupe locale;

Dans un groupe de travail, vous devez configurer des stratgies de scurit locales
pour fournir la scurit;

La stratgie de domaine prsance sur les stratgies locales en cas de conflit; Vous pouvez affecter des droits locaux via des stratgies de groupes locales; Les options de scurit contrlent de nombreux aspects de la scurit dun ordinateur;

5-Description de la stratgie par dfaut du contrleur de domaine Lie lunit dorganisation Domain Controlers. Affecte les contrleurs de domaine et les objets AD DS; Laudit permettra didentifier les utilisateurs responsables de modifications portant sur les rpertoires, les dates de modification Permettent de renforcer la scurit du DC et du rseau;

Stratgies daudit

Options de scurit

Affecter les droits utilisateur de manire

Stratgie daffectation des droits utilisateur limiter le nombre dutilisateur habilit

ouvrir une session sur le DC et lxcution de tches administratives sur le DC; Stratgie du journal des vnements Augmenter considrablement la taille du journal des vnements de scurit, pour prendre en charge le nombre supplmentaire dvnements audits;

1-Description des stratgies de mot de passe affines

Les stratgies de mots de passe affines: Autorisent lexistence de plusieurs stratgies de mot de passe dans le mme domaine; Employes pour appliquer diffrentes restrictions pour les stratgies de verrouillage de compte et de mots de passe diffrent groupe dutilisateur dun domaine;

Les stratgies de mots de passe affines sont exclusivement applicables:

Objets utilisateurs (Objets inetOrgPerson compris); Groupes de scurit globaux; Groupes intermdiaires (Shadow Group); Les groupes intermdiaires sont des groupes de scurit global mapp de manire logique une unit dorganisation afin dappliquer une stratgie de mots de passe affines;

2-Fonctionnement des stratgies de mots de passe affines

Le stockage de stratgies de mots de passe affins par Windows 2008 serveur inclut 02 nouvelles classes dobjet dans le schma AD: Conteneur de paramtres de mot de passe (PSC); Cre par dfaut dans le conteneur systme du domaine qui stocke les objets paramtres de mot de passe dans ce domaine; Vous ne pouvez pas renommer ce conteneur, ni le dplacer ou le supprimer; Objet paramtre de mot de passe (PSO); Stratgies de mot de passe;

Stratgies de verrouillage de compte;

Ne contient pas la stratgie Kerberos; Lien PSO (nouvel attribut plusieurs valeurs , li aux objets utilisateur et ou groupe); Priorit (nouvel attribut , reprsentant une valeur entire , utilise pour rsoudre les conflits si plusieurs PSO sont appliques aux objets utilisateur ou groupe );

3-Implmentation des stratgies de mots de passe affines

1ere tape: Cration des groupes de scurit globales mapps sur les OU (groupes intermdiaires )concerns et ajout des utilisateurs appropris ces groupes, parce que les PSO ne sappliquent pas aux OU;

2 me tape: Cration des objets paramtres de mot de passe pour toutes les stratgies de mot de passe dfinies. Chaque PSO cre contiendra une seule

stratgie de mots de passe et de verrouillage de compte;

3 me tape : Application des objets paramtres de mot de passe aux utilisateurs ou aux groupes de scurit globale appropris;

Un utilisateur ou un groupe de scurit peut tre li plusieurs PSO;

Le PSO directement li un objet utilisateur est prioritaire sur les PSO lis aux objets groupe; Si plusieurs objets PSO sont lis un utilisateur ou un groupe, lobjet PSO rsultant qui est appliqu est dtermin de la manire suivante : Un objet PSO qui est li directement lobjet utilisateur est lobjet PSO rsultant. Si

aucun objet PSO nest li lobjet utilisateur, les appartenances aux groupes de
scurit globaux de lutilisateur (et tous les objets PSO applicables lutilisateur en fonction de ces appartenances aux groupes globaux) sont compares. Lobjet PSO avec la plus petite valeur msDS-PasswordSettingsPrecedence est lobjet PSO

rsultant.
Si aucun objet PSO nest obtenu partir des conditions prcdentes, la stratgie de domaine par dfaut est applique.

4-Comment implmenter une stratgie de mots de passe affines? Dmo

1-Description de lappartenance des groupes restreints

Les groupes restreints: groupes pour lesquels, la scurit est un facteur sensible;
La stratgie de groupe restreint Dfinir les utilisateurs qui appartiennent ou non au groupe restreint ; Dfinir les groupes dont font parti le groupe restreint;

2-Dmo sur la configuration de lappartenance des groupes restreints

3-Description de la stratgie de restriction logicielle Mcanisme fond sur une stratgie pour identifier et contrler le logiciel sur un ordinateur client; Mcanisme restreignant linstallation de logiciels et les virus; Autorise par dfaut tous les logiciels sexcuter sur un ordinateur, mais ncessite la configuration de rgles supplmentaires pour bloquer des applications spcifiques. Redmarrer lordinateur si le GPO Non restreint sapplique la configuration ordinateur; Redmarrer la session, si le GPO sapplique la configuration utilisateur;

Utilisateur standard

utilis pour autoriser lexcution dune application par un utilisateur qui ne dispose pas de droit administrateur;

Rejet

Utilis dans des environnements de trs haute scurit. Chaque application ncessite une rgle spcifique pour sexcuter sur un ordinateur, par un utilisateur disposant des autorisations

4-Options de configuration des stratgies de restriction logicielle

Les stratgies de restriction logicielle utilisent des rgles pour dterminer si une application est autorise tre excute. Pour crer une rgle:
Identifier

lapplication;

Identifier lapplication comme exception au paramtre de stratgie par dfaut Non

restreint ou non autoris;

Le moteur de mise en uvre interroge les rgles de la stratgie de restriction logicielle avant de permettre dexcuter un programme;

Rgle de certificat Rgle de Hachage

Utiliser pour employer le hachage MD5 ou SHA1 dun fichier pour confirmer lidentit; Utiliser pour autoriser ou interdire lexcution dune certaine version du fichier; Vrifie la signature numrique sur lapplication; Utilis pour restreindre les applications Win32 et le contenu ActiveX;

Rgle de zone Internet

Rgle de chemin daccs

Utiliser lors de la restriction dun chemin daccs un fichier; Utiliser lorsque plusieurs fichiers existent pour la mme application; Essentiel lorsque les stratgies de restriction logicielle sont strictes;

Contrle le mode daccs aux zones Internet; Sutilise dans les environnements haute scurit pour contrler laccs aux applications web;

5-Dmo- Configuration des stratgies de restriction logicielle

1-Description des modles de scurit Le modle de scurit est un ensemble de paramtres de scurit configurs. Utilisez le composant logiciel enfichable Modles de scurit pour crer ou personnaliser des modles;

Setup security .inf

Cre au cours de linstallation de lordinateur. Contient les paramtres de scurit par dfaut et peut tre utilis sur les serveurs et les ordinateurs clients. Automatiquement cre lorsquun ordinateur est promu DC. Contient tous les paramtres par dfaut des rpertoires, fichiers, registres et autres services systme

Dc security.inf

compatws

Contient les autorisations par dfaut initialement accordes aux groupes locaux administrateurs, utilisateurs avec pouvoir et utilisateurs;

Secure.inf

Contient les meilleurs paramtres de scurit

que ceux obtenus linstallation du systme. (mot de passe, de vrruillage de compte)

Hisec.inf

Le modle hautement scuris exige un

cryptage renforc et la signature pour les donnes de canaux scuriss qui tablissent des relations de confiance de domaine membre de domaine.

 Surveillance de AD DS Configuration de laudit de AD DS Maintenance des contrleurs de domaine AD DS Sauvegarde de AD DS Restauration de AD DS

1-Dmo, prsentation de lobservateur dvnement

2-Description de la fonctionnalit abonnements de lobservateur dvnements

Lobservateur dvnement vous permet dafficher des vnements provenant de lordinateur local ou dun ordinateur distant;

Windows server 2008 a la capacit de collecter des copies dvnements sur plusieurs ordinateurs distants pour les stocker en local. Pour cela, il suffit de crer un abonnement aux vnements pour spcifier les vnements collecter.

La fonction de collecte dvnements, ncessite la configuration simultane de lordinateur qui transfre et celui qui collecte les vnements: Cette fonctionnalit dpend du service de Gestion distance de Windows (WinRM) et du service de Collecteur dvnements de Windows (Wecsvc); Ces deux services doivent tre excuts sur les ordinateurs participant aux processus de transfert et de collecte.

3-Dmo-Configuration des abonnements et des vues personalises

4-Fonctionnalits de lanalyseur de fiabilit et de performances

Lanalyseur de fiabilit et de performances vous permet deffectuer les oprations suivantes: Effectuer une surveillance en temps rel; Collecter des donnes;

Suivre les performances des applications et des services;

Gnrer des alertes; Prendre des mesures lorsque les seuils sont atteints; Gnrer des rapports;

 Vue densemble graphique en temps rel

Affichage des ressources

de lutilisation du processeur, du disque, du rseau et de la mmoire; Fournit un affichage visuel des compteurs

Analyseur de performance

de

performance

Windows

intgrs,

en

temps rel ou pour revoir des donnes historiques.

Calcule un index de stabilit du systme

Moniteur de fiabilit qui reflte si des problmes inattendus ont diminu la fiabilit du systme. Collecteurs de donnes

Permet de grouper des collecteurs de

donnes en lments rutilisables pour les utiliser dans diffrents scnarios danalyse de performances.

Rapports de diagnostics

Gnrer des rapports partir de donnes

collectes au moyen dun ensemble de collecteurs de donnes quelconque.

5-Analyse des services de domaine AD laide de lanalyseur de performances

Lanalyse des services de domaine AD permet de conserver la cohrence des donnes dannuaire, ainsi que le niveau de service requis dans la fort.

Lanalyseur de performance est un outil de visualisation permettant de visualiser les donnes de performance en temps rel et des fichiers journaux;

Les compteurs de performance sont des mesures de ltat du systme ou dune

activit;

 Nombre total doctets reus par le biais de la rplication; NTDS \ Nombre total doctets DRA entrants /s Nombre total doctets de donnes compress et non compress; Si, il nindique pas lactivit au fil du

temps, cela signifie, que le rseau ralentit la

rplication;

NTDS \ Nombre dobjets DRA entrants / s

Nombre

dobjets

provenant

de

DC

rpliqus voisins;

Nombre
Labsence

total

doctets
sur

de
ce

donnes
compteur

compress et non compress; NTDS \ Nombre total doctets DRA sortants /s dactivit indique gnralement que le matriel du

serveur

ou

des

problmes

rseau

ralentissent la rplication;

 Nombre de synchronisations d'annuaire qui sont en attente pour ce serveur et non NTDS \ Nombre de synchronisations de rplication DRA en attente encore traites. Ce compteur vous aide dterminer les retards de rplication. Plus la valeur est

leve, plus le retard est important.

Nombre d'authentifications Kerberos (par seconde) excutes par ce contrleur de NTDS \ Authentification Kerberos / s domaine. Labsence de fonctionnement de ce compteur indique des problmes rseau. Nombre NTDS \ Authentification NTLM d'authentifications NTLM (par

seconde) excutes par le contrleur de

domaine.
Nombre actuel de threads utilises par le NTDS \ Nombre de threads du service d'annuaire utilises service d'annuaire. Labsence de fonctionnement indique des problmes rseaux qui perturbent les

6-Analyse de AD DS laide densemble de collecteurs de donnes

Lensemble des collecteurs de donnes reprsente une nouvelle fonctionnalit de lanalyseur de performance et de fiabilit, il regroupe dans un composant unique plusieurs points de collecte de donnes qui peuvent tre utiliss pour examiner ou journaliser les performances; ils peuvent tre configurs de manire gnrer des alertes quand les seuils sont atteints;

Les ensembles de collecteurs de donnes peuvent contenir les types de collecteurs de donnes suivants: Compteurs de performance; Donnes de suivi dvnements; Informations de configuration du systme (valeurs de clef de registre);

1-Description de laudit

Laudit est processus qui surveille les objets spcifis et enregistrent les modifications dans des fichiers journaux; La Liste de contrle daccs systme (SACL) , est la partie du descripteur de scurit dun objet qui spcifie les oprations qui doivent tre audites pour une entit de scurit. Elle constitue toujours lautorit ultime pour dterminer si une vrification daccs doit ou non tre audite. La stratgie daudit AD DS est divise en 04 sous catgories: Accs au service dannuaire ( dfinie pour le succs par dfaut, concerne les objets) Modification du service dannuaire ( modification des attributs AD DS); Rplication du service dannuaire( information sur la rplication);

Rplication du service dannuaire dtaill( informations dtailles sur la rplication);

Utilisez loutil de ligne de commande Auditpol.exe pour afficher ou dfinir des souscatgories de stratgie daudit;

2- Les types dvnements auditer Cration dun nouvel objet au sein du service dannuaire; Modification avec succs dun attribut au sein de AD DS; Dplacement dun objet au sein du domaine AD DS; Restauration dun objet au sein du service dannuaire; ID de lvnement 4662 4722 4726 4738 5136 5137 Catgorie Accs AD DS Evnement Opration effectue sur un objet AD DS

Administration des comptes utilisateurs

Administration des comptes utilisateurs Administration des comptes utilisateur Modification du service dannuaire Modification du service dannuaire

Activation utilisateur
Suppression utilisateur Modification utilisateur

dun
dun dun

compte
compte compte

Modification dun objet AD DS Cration dun nouvel objet AD DS

5138

Modification du service dannuaire

Suppression objet AD DS

annule

dun

3-Dmo Configuration de laudit de AD DS Audipol /get /category:*

1-Base de donnes des services de domaine AD & fichiers journaux

Fichier de base de donnes AD DS;

Ntds.dit stocke tous les objets AD DS sur le DC; Utilise lemplacement par dfaut systemroot\NTDS. Edb*.log Fichier journal des transactions; Utilise le fichier journal des transactions par dfaut; Fichier de point de vrification Edb*.chk Suit les donnes qui ne sont pas encore crites dans le fichier de base de donnes

des services de domaine AD;

Temp.edb

fichier

temporaire qui stocke des informations sur les transactions en cours. Contient galement les pages qui sont tires de Ntds.dit pendant le compactage.

Ebdres00001.jrs

Fichiers journaux rservs de transaction

2-Dfragmentation hors connexion de la base de donnes AD DS

La dfragmentation rorganise les donnes stockes dans la base de donnes AD: La dfragmentation hors connexion, permet de rorganiser des pages dans la base de donnes AD et de crer une version compresse du fichier de base de donnes (ntds.dit).

Pour effectuer une dfragmentation hors connexion, il faut arrter AD DS et utiliser

loutil ntdsutil.exe pour compresser le fichier ntds.dit; La dfragmentation hors connexion peut seffectuer dans les moments suivants: Lespace disque est trs faible et vous ntes pas prt dplacer la base de donns sur un disque plus grand; Un grand nombre dobjets AD ont t retir de la base de donnes AD; Le DC disposait autrefois dune zone DNS intgre AD DS, mais cette zone a t

dplace vers un serveur DNS standard;

3- Description des services de domaine AD redmarrables

Vous pouvez interrompre les services de domaine Active Directory (AD DS) pour effectuer certaines tches telles que la dfragmentation hors connexion de la base de donnes AD DS, sans avoir redmarrer le contrleur de domaine. Considrations relatives lutilisation du redmarrage des services de domaine Active Directory (AD DS) Bien que vous ne puissiez pas dmarrer un contrleur qui excute Windows Server 2008 alors quil est en tat Arrt des services de domaine Active Directory, vous pouvez le faire en mode de restauration de services dannuaire(DSRM). Si le contrleur de domaine est un serveur DNS (Domain Name System), il ne rpondra aucune requte de zones intgres Active Directory tant que les services de domaine Active Directory seront arrts. Les services qui ne dpendent pas des services de domaine Active Directory

continuent fonctionner lorsque ces derniers sont arrts. En revanche, les services
(Rplication de fichiers, Centre de distribution de cls Kerbela et Messagerie intersite. ) qui en dpendent prennent fin avant larrt des services de domaine Active Directory.

Un contrleur de domaine qui excute Windows Server 2008 peut tre dans trois tats : tat Dmarr des services de domaine Active Directory; AD DS fonctionne normalement; tat Arrt des services de domaine Active Directory Serveur membre; AD DS est temporairement arrt, en attendant un redmarrage; Mode de restauration des services dannuaire.

Serveur membre;
AD DS ne peut pas redmarrer; Sauvegarde et restauration de AD autorise;

4-Dmo gestion de la base de donnes AD DS

1-Prsentation de la sauvegarde des services de domaine AD

Utilisez lutilitaire de sauvegarde Windows serveur pour sauvegarder les services de

domaine AD, cet utilitaire permettra de sauvegarder tous les volumes critiques: Le volume systme (fichiers de dmarrage); Le volume de dmarrage (OS Windows + Registre); Le volume hbergeant larborescence SYSVOL; Le volume hbergeant la base de donnes des AD DS (ntds.dit); Le volume qui hberge les fichiers journaux de la base de donnes AD DS;

Loutil wbadmin.exe , permet de planifier les sauvegardes quotidiennes du DC tout

entier et les restaurations de fichier, rpertoire, volume et applications depuis la ligne de commandes. Il est nanmoins impossible de restaurer un volume sauvegard avec ntbackup;

2-Les fonctionnalits de sauvegarde de Windows serveur Le service Sauvegarde de Windows Server ou loutil Wbadmin.exe; Stocker les sauvegardes planifies sur un disque physique local qui nheberge pas les volumes critiques. Le volume sauvegard doit tre stock sur un emplacement tendance effectuer diffrent du volume source; La sauvegarde planifie Sauvegarde planifie formater le lecteur cible; Vous ne pouvez pas une

sauvegarde planifie sur un partage rseau;

Le priphrique de stockage externe de la sauvegarde doit tre connect au contrleur de domaine que vous sauvegardez;

Sauvegarde sur support

CD & DVD; Impossible faire sur bande & disque dynamique; Aprs avoir configur un disque pour la sauvegarde planifie, Windows gre automatiquement lutilisation du disque (suppression des anciennes sauvegardes pour les remplacer par de nouvelles et rutilisation de lespace, affichage des sauvegardes disponibles et des informations disponibles);

Gestion des sauvegardes

VSS, technologie de sauvegarde au

Sauvegarde VSS niveau bloc , permettant de sauvegarder et de restaurer des OS, fichiers, dossiers et volumes; VSS fournit les mcanismes pour crer des clichs instantans

 Une Sauvegarde la demande

sauvegarde

manuelle

ou

la

demande

peut

tre

initie

par

les

membres du groupe administrateur ou oprateur de sauvegarde;

3-Comment Sauvegarder AD DS ?

1-Fonctionnement des travaux de restauration AD DS Restaure ltat du service dannuaire au moment ou la sauvegarde a t cre; Restauration normale Les donnes sont alors mise jour en utilisant le processus normal de rplication;

Utilis lorsquon souhaite restaurer un seul

DC, restaurer une base de donnes AD DS corrompue ; Permet de rcuprer des objets et des conteneurs qui ont t supprims dans AD DS; Restauration faisant autorit Pour effectuer une restauration faisant autorit, vous devez effectuer une restauration normale et puis marquer des donnes spcifiques comme faisant autorit pour prvenir la rplication de rcriture

des donnes.

Restauration complte du serveur

Une restauration complte de serveur est

utilise pour restaurer un DC dfaillant sur du nouveau matriel ou si toutes les autres tentatives pour rcuprer le serveur

sur le matriel existant chouent.

2-Restauration ne faisant pas autorit des AD DS

Initie lorsque:
Perte de donnes au sein de AD DS; Donnes endommages;

Rle: Restauration de AD DS vers un tat de fonctionnement normal;