Collection
Expert IT
Extrait
216
Lister et dtailler toutes les options de scurit et leur impact n'est pas l'objet
de cet ouvrage. Nous allons plutt nous concentrer sur les lments principaux inhrents la scurit de Windows grce aux stratgies de groupe.
Dans ce chapitre, nous prsenterons les paramtres de scurit considrs
comme les plus importants. Nous expliquerons leurs actions et explorerons les
diffrents niveaux des stratgies de scurit.
Pour finir, la stratgie de groupe Default Domain Controllers Policy est cre
et lie l'unit d'organisation Domain Controllers. Cette GPO dfinit les paramtres de stratgies qui s'appliquent aux contrleurs de domaine de l'entreprise.
Microsoft recommande de modifier uniquement les paramtres de scurit de
ces stratgies de groupe. Pour toute modification n'ayant aucun lien avec la
scurit, il est prfrable de crer des GPO exclusives. Il est ensuite possible de
les lier au niveau du domaine si ncessaire.
217
218
Comptes : Renommer le compte administrateur local : vous pouvez renommer le nom du compte administrateur local du poste.
Comptes : Renommer le compte invit : vous pouvez l'utiliser pour renommer le compte invit sur les postes de travail.
Comptes : Statut du compte administrateur : cette option fonctionne partir des versions Windows Server 2003 et suprieures. Vous pouvez dsactiver le compte administrateur local sur les postes de travail.
Comptes : Statut du compte invit : cette option fonctionne partir des versions Windows Server 2003 et suprieures. Vous pouvez dsactiver le
compte invit sur les postes de travail.
Remarque
Ces paramtres de stratgie ne fonctionnent que s'ils sont appliqus au domaine entier.
Si vous choisissez de crer une nouvelle GPO pour configurer les comptes utilisateurs, le problme de la prcdence des GPO se pose. Or, dans le chapitre
Grer les stratgies avec GPMC 2.0 (Grer les GPO avec la console de gestion
des stratgies de groupes - GPMC 2.0), nous avons indiqu que la dernire
GPO qui s'applique "gagne". Il faudra donc changer la prcdence de la stratgie des comptes utilisateurs pour qu'elle s'applique en dernier, aprs la Default
Domain Policy. Sinon, les paramtres de configuration des comptes utilisateurs ne prendront pas effet sur les postes de travail car ils seront annuls et
remplacs par ceux de la Default Domain Policy.
Il est recommand de modifier la Default Domain Policy directement pour les
paramtres de stratgies des comptes utilisateurs. Il faut penser lui attribuer
le niveau de prcdence le plus lev, et viter l'apparition de conflit car elle
aura la priorit sur les autres GPO du domaine.
Il est possible de modifier directement la Default Domain Policy pour configurer le comportement des comptes utilisateurs du domaine ou de crer une
stratgie part entire et de la lier au niveau du domaine.
219
220
Une fois authentifi, ditez une fentre de commande DOS et tapez la commande DCGPOFIX en choisissant un des paramtres suivants :
DCGPOFIX /Target:Domain pour restaurer la Default Domain Policy.
DCGPOFIX /Target:DC pour restaurer la Default Domain Controllers Policy.
DCGPOFIX /Target:BOTH pour restaurer les deux.
Toutefois, DCGPOFIX ne fonctionne pas si le schma Active Directory a subi
des modifications depuis l'installation du contrleur de domaine.
Dans ce cas, utilisez la commande suivante :
GPOFIX /ignoreschema pour ignorer les modifications du schma.
Remarque
Astuce : pour restaurer les GPO par dfaut d'un contrleur de domaine Windows Server 2000, vous pouvez tlcharger l'outil RecreateDefPol sur le site de
Microsoft.
221
Editions ENI
Collection
Expert IT
Extrait
202
Administration avance
Pour tous les rseaux internes, le choix se portera videmment toujours sur les
classes rseaux prives. Si lon ne peut pas toujours modifier lintgralit des
rseaux existants pour des raisons souvent historiques, on peut au moins crer
tous les nouveaux rseaux en suivant cette rgle.
La classe du rseau se choisit en fonction du nombre de machines prsentes sur le
rseau, du nombre de sites, etc. Un rseau de classe C (192.168.0.X) reprsente
souvent un bon choix initial. Il est toujours possible de changer de classe, de
rseau ou mme surtout dutiliser plusieurs rseaux en fonction des besoins.
Lusage de TCPIP v6 nest pas encore bien dvelopp mais deviendra ncessaire
dans les 2 ou 3 annes qui suivent, principalement sur Internet. Sur le rseau local,
il reste encore de nombreux logiciels qui ne sont pas compatibles, mais ceci devrait
voluer trs rapidement !
2.2.1 Dfinition
Le protocole DHCP (Dynamic Host Configuration Protocol) a pour but de fournir une
adresse IP et un masque tout priphrique rseau (station, serveur ou autre) qui
en fait la demande. Selon la configuration, dautres paramtres tous aussi importants seront transmis en mme temps : les adresses IP de la route par dfaut, des
serveurs DNS utiliser, des serveurs WINS et le suffixe de domaine pour ne citer
que les principaux.
DHCP est souvent rserv aux stations, aux imprimantes et ne devrait servir
quexceptionnellement aux serveurs.
2.2.2 Linstallation
Comme pour tous les composants Windows, linstallation peut se faire graphiquement ou en mode ligne de commande sans avoir besoin dinsrer le moindre
mdia.
servermanagercmd install DHCP
n Remarque
Attention, le service devra tre mis en dmarrage automatique !
203
204
Administration avance
2.2.3 La configuration
La console dadministration DHCP est automatiquement installe en mme temps
que le service, mais peut aussi tre lance partir de toute autre machine la
possdant.
Y compris sur le serveur lui-mme, slectionnez le serveur DHCP (ou les serveurs)
que vous souhaitez grer. La liste des serveurs dj autoriss saffiche automatiquement.
Chaque serveur DHCP peut servir de nombreuses tendues, mais une seule pour
chaque rseau IP.
Voici une tendue classique pour un rseau 192.168.2.X de classe C utilisant le
masque standard 255.255.255.0 !
Pour autoriser un serveur DHCP, utilisez loption Grer les serveurs autoriss,
puis cliquez sur le bouton Autoriser, et saisissez le nom ou ladresse IP.
Les serveurs autoriss apparaissent avec une flche verte.
La plage utilise ne doit pas forcment utiliser la totalit de la classe rseau afin de
laisser de la place pour les serveurs ou les adresses IP rserves pour les
imprimantes.
La route par dfaut fait partie des paramtres habituels lis ltendue.
Les options au niveau du serveur contiennent les paramtres qui sont valables
globalement sur toutes les tendues.
Les options de serveur (005,006,015,046) servent de valeurs par dfaut, mais sont
remplaces par les options de ltendue qui ont priorit.
205
206
Le bouton Configurer permet dactiver la protection des noms lors de linscription, les mises jour et la suppression des enregistrements de type A et PTR.
Cette protection nest effective que si le mode Mise jour dynamique scuris est
actif.
Lorsque les zones de recherche inverses (Reverse ARP) sont cres et utilises, il est
important de mettre jour les enregistrements PTR et de ne pas les ignorer
lorsque le bail est supprim.
La dure du bail sera dautant plus longue que le nombre dadresses IP disponibles
est important et que le risque de conflit est limit.
207