Your SlideShare is downloading. ×
0
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Alphorm.com : Formation Active directory 2008 R2 (70-640)

5,285

Published on

La formation complète est disponible ici: …

La formation complète est disponible ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-active-directory-2008-r2-70-640

Cette formation pratique offre une connaissance approfondie sur la mise en œuvre, la configuration, la gestion et le dépannage de services de domaine Active Directory (AD DS) dans des environnements Windows Server 2008 et Windows Server 2008 R2 . Elle couvre les concepts et fonctionnalités de base ainsi que la mise en œuvre des stratégies de groupe (GPOs), DNS, opérations de sauvegarde et de restauration et le dépannage des problèmes liés à Active Directory.

Après avoir suivi ce cours, vous serez en mesure de configurer les services AD DS dans leur Windows Server 2008 et Windows Server 2008 R2 environnements et se préparer à la certification 70-640: Windows Server 2008 Active Directory, Configuration.

Published in: Technology
0 Comments
7 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
5,285
On Slideshare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
10
Comments
0
Likes
7
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Active Directory 2008 R2 (70-640) Présentation et installation de l’AD: Présentation de l'Active Directory Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 2. Plan • Authentification autonome • Domaine • Introduction de • Réplication l’authentification avec l’Active Directory • Active Directory comme base de données • Sites • Arborescence • Forêt • Unités d'organisation • Catalogue global • Gestion à base de stratégies • Niveau fonctionnel • Banque de données Active • Partitions d'applications et DNS Directory • Contrôleurs de domaine Active Directory 2008 R2 (70-640) • Relations d'approbation alphorm.com™©
  • 3. • Ressource • Utilisateur (compte utilisateur, compte ordinateur, compte service) • Le besoin de protéger des informations Active Directory 2008 R2 (70-640) alphorm.com™©
  • 4. Authentification autonome (groupe de travail) • Le magasin d'identités est la base de données du Gestionnaire des comptes de sécurité (SAM) dans le système Windows. • Pas de magasin d'identités approuvées • Plusieurs comptes d'utilisateur • Gestion difficile des mots de passe Active Directory 2008 R2 (70-640) alphorm.com™©
  • 5. Introduction de l’authentification avec l’Active Directory Active Directory 2008 R2 (70-640) alphorm.com™©
  • 6. Active Directory • Magasin d'identités centralisé et approuvé par tous les membres du domaine. Il stocke des informations sur les utilisateurs, les groupes, les ordinateurs et les autres identités • Service d'authentification centralisé. L'authentification Kerberos utilisée dans Active Directory fournit l'authentification unique. Les utilisateurs ne sont authentifiés qu'une fois. • Hébergé par un serveur jouant le rôle d'un contrôleur de domaine des Services de domaine Active Directory (AD DS) • Services Active Directory Services de domaine Active Directory (AD DS) Services AD LDS (Active Directory Lightweight Directory Services) Services de certificats Active Directory (AD CS) Services AD RMS (Active Directory Rights Management Services) Services ADFS (Active Directory Federation Services) Active Directory 2008 R2 (70-640) alphorm.com™©
  • 7. Composants et concepts d'Active Directory • Active Directory comme base de données • Démonstration : schéma Active Directory • Unités d'organisation • Gestion à base de stratégies • Banque de données Active Directory • Contrôleurs de domaine • Domaine • Réplication • Sites • Arborescence • Forêt • Catalogue global • Niveau fonctionnel • Partitions d'applications et DNS • Relations d'approbation Active Directory 2008 R2 (70-640) alphorm.com™©
  • 8. Active Directory comme base de données • Active Directory est une base de données Chaque « enregistrement » est un objet • Utilisateurs, groupes, ordinateurs... Chaque « champ » est un attribut • Nom de connexion, SID, mot de passe, description, appartenance... • Services : Kerberos, DNS, réplication, etc. En fin de compte, AD DS est à la fois une base de données et les services qui prennent en charge ou utilisent cette base de données. • Accès à la base de données Outils Windows, interfaces utilisateur et composants API (.NET, VBScript, Windows PowerShell) Lightweight Directory Access Protocol (LDAP) Active Directory 2008 R2 (70-640) alphorm.com™©
  • 9. Banque de données Active Directory • %racinesystème%NTDSntds.dit racinesystème% NTDS • Partitions logiques Schéma Contexte d'appellation de domaine Configuration Catalogue global (aussi appelé Jeu d'attributs partiel [PAS, Partial Attribute Set]) DNS (partitions d'applications) Maître d'opérations du schéma Configuration • SYSVOL %racinesystème%SYSVOL Scripts d'ouverture de session NTDS.DIT *Domaine* DNS Stratégies PAS Active Directory 2008 R2 (70-640) alphorm.com™©
  • 10. Gestion à base de stratégies • Active Directory propose un point unique de gestion pour la sécurité et la configuration par des stratégies Stratégie de groupe • Stratégie de mot de passe et de verrouillage du domaine • Stratégie d'audit • Configuration • Appliquée aux utilisateurs ou aux ordinateurs par une étendue d'objet de stratégie de groupe contenant des paramètres de configuration Stratégies affinées pour les mots de passe et le verrouillage Active Directory 2008 R2 (70-640) alphorm.com™©
  • 11. Contrôleurs de domaine • Les serveurs jouant le rôle AD DS : hébergent la base de données Active Directory (NTDS.DIT) et SYSVOL ; • sont répliqués entre les contrôleurs de domaine. Service Centre de distribution de clés Kerberos (KDC) : authentification Autres services Active Directory • Pratiques recommandées Disponibilité : au moins deux par domaine Sécurité : installation minimale, contrôleurs de domaine en lecture seule Active Directory 2008 R2 (70-640) alphorm.com™©
  • 12. Domaine • Composé d'un ou plusieurs contrôleurs de domaine • Tous les contrôleurs de domaine répliquent le contexte d'appellation de domaine Le domaine est le contexte dans lequel sont créés les utilisateurs, les groupes, les ordinateurs, etc. Les « limites de réplication » • Source d'identité approuvée : tout contrôleur de domaine peut authentifier toute ouverture de session dans le domaine • Le domaine est l'étendue (limite) maximale pour certaines stratégies d'administration Mot de passe Verrouillage Active Directory 2008 R2 (70-640) alphorm.com™©
  • 13. Réplication • Réplication multimaître Objets et attributs dans la base de données Le contenu de SYSVOL est répliqué. • Plusieurs composants travaillent pour créer une topologie de réplication robuste et efficace, et pour répliquer les modifications granulaires dans Active Directory. • La partition de configuration de la base de données stocke des informations sur les sites, la topologie du réseau et la réplication. CD1 CD3 CD2 Active Directory 2008 R2 (70-640) alphorm.com™©
  • 14. Sites • Objet Active Directory qui représente une partie bien connectée de votre réseau Associé à des objets de sous-réseau représentant des sous-réseaux IP • Réplication intrasite/intersites La réplication au sein d'un site se produit très rapidement (15 à 45 secondes). La réplication entre sites peut être gérée. • Localisation des services Ouverture de session sur un contrôleur de domaine de votre site Site B Site A Active Directory 2008 R2 (70-640) alphorm.com™©
  • 15. Arborescence • Un ou plusieurs domaines dans une même instance d'AD DS qui partagent un espace de noms DNS contigu alphorm.local alphardtech.local maghreb.alphorm.local Active Directory 2008 R2 (70-640) alphorm.com™©
  • 16. Forêt • Un ensemble d'une ou plusieurs arborescences de domaines Active Directory • Le premier domaine est le domaine racine de la forêt. forêt • Une seule configuration et un seul schéma répliqués dans tous les contrôleurs de domaine de la forêt • Une limite de sécurité et de réplication Active Directory 2008 R2 (70-640) alphorm.com™©
  • 17. Catalogue global • Jeu d'attributs partiel (PAS) ou catalogue global Domaine A • Contient tous les objets PAS dans chaque domaine de la forêt • Contient uniquement les attributs sélectionnés • Un type d'index • Peut être consulté depuis tout domaine Domaine B PAS • Très important pour de nombreuses applications Active Directory 2008 R2 (70-640) alphorm.com™©
  • 18. Niveau fonctionnel • Niveaux fonctionnels de domaine • Niveaux fonctionnels de forêt • Contrôle : Les fonctionncalités fournies par le domaine Le OS des contrôleurs de domaines Active Directory 2008 R2 (70-640) alphorm.com™©
  • 19. Partitions d'applications et DNS • Active Directory et DNS sont étroitement intégrés. • Relation un à un entre le nom de domaine DNS et l'unité de domaine logique d'Active Directory • Dépendance totale vis-à-vis du DNS pour localiser les ordinateurs et les services dans le domaine • Un contrôleur de domaine agissant comme serveur DNS peut stocker les données de la zone dans Active Directory même, dans une partition d'applications. Active Directory 2008 R2 (70-640) Maître d'opérations du schéma Configuration Domaine DNS PAS alphorm.com™©
  • 20. Relations d'approbation • Étend le concept de magasin d'identités approuvées à un autre domaine • Le domaine d'approbation (avec les ressources) approuve les services de magasin d'identités et d'authentification du domaine approuvé. • Un utilisateur approuvé peut s'authentifier auprès du domaine autorisé à approuver et accéder à ses ressources. • Dans une forêt, chaque domaine approuve tous les autres domaines. Domaine approuvé Active Directory 2008 R2 (70-640) Domaine autorisé à approuver alphorm.com™©
  • 21. Unités d'organisation • Conteneurs Users Computers • Unités d'organisation Des conteneurs qui prennent également en charge la gestion et la configuration des objets à l'aide d'une stratégie de groupe Elles créent des unités d'organisation pour : • déléguer les autorisations administratives ; • appliquer la stratégie de groupe. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 22. Ce qu’on a couvert : • Authentification autonome • Domaine • Introduction de • Réplication l’authentification avec l’Active Directory • Active Directory comme base de données • Sites • Arborescence • Forêt • Unités d'organisation • Catalogue global • Gestion à base de stratégies • Niveau fonctionnel • Banque de données Active • Partitions d'applications et DNS Directory • Contrôleurs de domaine • Relations d'approbation FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 23. Active Directory 2008 R2 (70-640) Présentation et installation de l’AD: Installation de l'AD sur un Windows Complet Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 24. Plan • Installation de l’OS • Taches initiales • Rôle vs Fonctionnalité • Ajout AD DS Active Directory 2008 R2 (70-640) alphorm.com™©
  • 25. Ce qu’on a couvert : • Installation de l’OS • Taches initiales • Rôle vs Fonctionnalité • Ajout AD DS FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 26. Active Directory 2008 R2 (70-640) Présentation et installation de l’AD: Installation de l'AD sur un Windows Core Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 27. Plan • Fonctionnement de l'installation minimale • Installation de l’OS • Taches initiales (sconfig) • Installation de l'AD en CLI Active Directory 2008 R2 (70-640) alphorm.com™©
  • 28. Fonctionnement de l'installation minimale Installation minimale : 3 Go d'espace disque, 256 Mo de RAM Pas d'interface utilisateur graphique : Interface utilisateur locale de ligne de commande. Utilisation possible des outils d'interface utilisateur graphique à distance • Rôles • Fonctionnalités Services de domaine Active Directory Cluster de basculement Microsoft Active Directory AD LDS Équilibrage de la charge réseau Serveur DHCP Sous-système pour applications UNIX Serveur DNS Sauvegarde Windows Services de fichiers MPIO (Multipath I/O) Serveur d'impression Gestion du stockage amovible Services de diffusion multimédia en continu Chiffrement de lecteur BitLocker Windows SNMP Serveur Web : HTML. La version R2 ajoute .NET. WINS Hyper-V Client Telnet Qualité de service (QoS) Active Directory 2008 R2 (70-640) alphorm.com™©
  • 29. Ce qu’on a couvert : • Fonctionnement de l'installation minimale • Installation de l’OS • Taches initiales (sconfig) • Installation de l'AD en CLI FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 30. Active Directory 2008 R2 (70-640) Administration sécurisée et efficace de l'AD : Les consoles de gestion de l'AD Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 31. Plan • Les 5 consoles de gestion d’Active Directory • Powershell pour Active Directory • Création d’une structure avec les Unités d'organisation • La console des GPOs Active Directory 2008 R2 (70-640) alphorm.com™©
  • 32. Les 5 consoles de gestion d’Active Directory • Utilisateurs et ordinateurs Active Directory Gérer au quotidien les objets les plus courants, dont les utilisateurs, les groupes, les ordinateurs, les imprimantes et les dossiers partagés • Sites et services Active Directory Gérer la réplication, la topologie du réseau et les services associés • Domaines et approbations Active Directory Configurer et gérer les relations d'approbation et le niveau fonctionnel du domaine et de la forêt • Schéma Active Directory Administrer le schéma À enregistrer avec la commande : regsvr32 schmmgmt dll schmmgmt.dll • Centre d’administration d’Active Directory Un peu de tous ☺ • Powershell pour Active Directory : Get-ADUser –Filter * -SearchBase ‘’dc=alphorm,dc=local’’ Active Directory 2008 R2 (70-640) alphorm.com™©
  • 33. Ce qu’on a couvert : • Les 5 consoles de gestion d’Active Directory • Powershell pour Active Directory • Création d’une structure avec les Unités d'organisation • La console des GPOs FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 34. Active Directory 2008 R2 (70-640) Administration sécurisée et efficace de l'AD : Consoles personnalisées et privilèges minimum Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 35. Plan • Préparer le lab de cette vidéo : Créer un compte utilisateur Attacher CL01 au domaine • Bonne pratique : avoir deux comptes (normal et administrateur) • Création d'une console MMC personnalisée pour administrer Active Directory • Administration sécurisée avec des privilèges minimum, Exécuter en tant qu'administrateur et Contrôle de compte d'utilisateur Active Directory 2008 R2 (70-640) alphorm.com™©
  • 36. Ce qu’on a couvert : • Préparer le lab de cette vidéo : Créer un compte utilisateur Attacher CL01 au domaine • Bonne pratique : avoir deux comptes (normal et administrateur) • Création d'une console MMC personnalisée pour administrer Active Directory • Administration sécurisée avec des privilèges minimum, Exécuter en tant qu'administrateur et Contrôle de compte d'utilisateur FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 37. Active Directory 2008 R2 (70-640) Administration sécurisée et efficace de l'AD : Rechercher des objets dans Active Directory Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 38. Plan • Le besoin de rechercher des objets dans Active Directory • La boîte de dialogue de recherche • Tri et colonnes • La commande Rechercher • Déterminer l'emplacement d'un objet • Les requêtes enregistrées Active Directory 2008 R2 (70-640) alphorm.com™©
  • 39. Recherche d'objets dans Active Directory • Lorsque vous affectez des autorisations à un dossier ou un fichier Sélectionnez le groupe ou l'utilisateur auquel les autorisations sont affectées. • Lorsque vous ajoutez des membres à un groupe Sélectionnez l'utilisateur ou le groupe qui sera ajouté en tant que membre. • Lorsque vous configurez un attribut lié tel que Géré par Sélectionnez l'utilisateur ou le groupe qui sera affiché dans l'onglet Géré par. • Lorsque vous devez administrer un utilisateur, un groupe ou un ordinateur Effectuez une recherche pour trouver l'objet dans Active Directory, au lieu de le rechercher manuellement. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 40. Détermination de l'emplacement d'un objet 1. Vérifiez que l'option Fonctionnalités avancées est sélectionnée dans le menu Affichage de la console MMC. 2. Recherchez l'objet. 3. Ouvrez sa boîte de dialogue Propriétés Propriétés. 4. Ouvrez l'onglet Objet Objet. 5. Affichez le Nom canonique de l'objet ou • Dans la boîte de dialogue Rechercher, Affichage colonnes et ajoutez la colonne Publié à. Active Directory 2008 R2 (70-640) Choisir les alphorm.com™©
  • 41. Les requêtes enregistrées • Utilisateurs Désactivés Dans date d'expiration Non loggués depuis 30j Paris Finance Tous : (objectClass=user) Jamais loggués : (&(objectCategory=person)(objectClass=user))(|(lastLogon=0)(!(lastLogon objectCategory=person)(objectClass=user))(|(lastLogon=0)(!(lastLogon=*))) (&(objectCategory=person)(objectClass=user))(|(lastLogon=0)(!(lastLogon=*))) Créés après 20/01/2010 : (objectCategory=user)(whenCreated>=20100120000000.0Z) objectCategory=user)(whenCreated>=20100120000000.0Z) =user)(whenCreated • Ordinateurs Désactivés Tous : (objectCategory=group) objectCategory=group) • Groupes Tous : (objectCategory=computer) objectCategory=computer) Active Directory 2008 R2 (70-640) alphorm.com™©
  • 42. Ce qu’on a couvert : • Le besoin de rechercher des objets dans Active Directory • La boîte de dialogue de recherche • Tri et colonnes • La commande Rechercher • Déterminer l'emplacement d'un objet • Les requêtes enregistrées FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 43. Active Directory 2008 R2 (70-640) Administration sécurisée et efficace de l'AD : Utiliser les commandes DS Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 44. Plan • Créer les objets • Noms uniques (DN) et Noms communs (CN) • Les commandes DS • Recherche d'objets avec DSQuery • Extraction des attributs des objets avec DSGet • Envoi de noms uniques à d'autres commandes DS • Modification des attributs des objets avec DSMod • Suppression d'un objet avec DSRm • Transfert d'un objet avec DSMove • Ajout d'un objet avec DSAdd • Administration sans l'interface utilisateur graphique Active Directory 2008 R2 (70-640) alphorm.com™©
  • 45. Noms uniques (DN) et Noms communs (CN) CN (nom commun) Nom unique cn=Hamid HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local ou=Vente,ou=Utilisateurs,dc=alphorm,dc=local Nom unique Active Directory 2008 R2 (70-640) alphorm.com™©
  • 46. Commandes DS • DSQuery. Exécute une requête en fonction des paramètres définis DSQuery. sur la ligne de commande et renvoie la liste des objets correspondants. • DSGet. Renvoie les attributs définis d'un objet. DSGet. • DSMod. Modifie les attributs définis d'un objet. DSMod. • DSMove. Transfère un objet vers un nouveau conteneur ou une DSMove. nouvelle UO. • DSAdd. Crée un objet dans l'annuaire. DSAdd. • DSRm. Supprime un objet ou tous les objets dans l'arborescence DSRm. sous un objet conteneur ou les deux. • DScommand /? Exemple : dsquery /? Active Directory 2008 R2 (70-640) alphorm.com™©
  • 47. Recherche d'objets avec DSQuery • dsquery objectType –attribut “critères” BaseDN –scope {subtree|onelevel|base} subtree|onelevel|base} objectType : utilisateur, ordinateur, groupe, unité d'organisation -limit commutateur pour spécifier le nombre de résultats • 100 est la valeur par défaut • 0 signifie « renvoyer tous les résultats » attribut est spécifique à objectType : dsquery objectType /? • Exemples pour utilisateur : -name, -samid, -office, -desc critères entre guillemets s'il y a un espace. Les caractères génériques (*) sont autorisés. BaseDN Spécifier le début et l'étendue de la recherche, Par défaut, l'étendue de la recherche est l'ensemble du domaine. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 48. Recherche d'objets avec DSQuery Exemples : • dsquery user -name "Jam*" • dsquery user "ou=Admins,dc=alphorm,dc=com" -name "Dan*" • dsquery group DC=alphorm,DC=Com • dsquery site -o rdn • dsquery user domainroot -name *smith -inactive 3 Active Directory 2008 R2 (70-640) alphorm.com™©
  • 49. Extraction des attributs des objets avec DSGet • dsget objectType objectDN -attribut Syntaxe courante pour de nombreuses commandes DS • Exemple : dsget user “cn=Hamid HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local" -email • Quelle différence existe-t-il entre DSGet et DSQuery ? Active Directory 2008 R2 (70-640) alphorm.com™©
  • 50. Modification des attributs des objets avec DSMod • dsmod objectType "objectDN" -attribut "nouvelle valeur" • Exemple : • dsmod user "cn=Hamid HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local" dept “IT" • dsquery user "ou=Utilisateurs,dc=alphorm,dc=local " | dsmod user department “IT" Active Directory 2008 R2 (70-640) alphorm.com™©
  • 51. Suppression d'un objet avec DSRm • dsrm objectDN Notez que DSRm n'a pas besoin de objectType • Exemple : dsrm "cn=CL123,ou=Postes,dc=alphorm,dc=local" dsquery computer -stalepwd 90 | dsrm Active Directory 2008 R2 (70-640) alphorm.com™©
  • 52. Transfert d'un objet ave DSMove • dsmove objectDN –newparent targetOUDN objectDN : objet à déplacer targetOUDN : unité d'organisation cible (destination) • dsmove objectDN –newname nouveauNom objectDN : objet à déplacer nouveauNom : nouveau nom de l'objet (utilisé dans le RDN) Active Directory 2008 R2 (70-640) alphorm.com™©
  • 53. Ajout d'un objet avec DSAdd • dsadd objectType objectDN -attribut "valeur" objectType : classe d'objet à ajouter objectDN : unité d'organisation dans laquelle créer l'objet -attribut "valeur" : attributs à renseigner • • Chaque classe d'objet requiert des attributs. Exemple : dsadd ou "ou=Lab,dc=alphorm,dc=local" Active Directory 2008 R2 (70-640) alphorm.com™©
  • 54. Administration sans l'interface graphique utilisateur • Invite de commandes Commandes DS csvde.exe et ldifde.exe • LDAP ldp.exe • Windows PowerShell • Scripts Scripts Windows PowerShell VBScript Active Directory 2008 R2 (70-640) alphorm.com™©
  • 55. Ce qu’on a couvert : • Créer les objets • Noms uniques (DN) et Noms communs (CN) • Les commandes DS • Recherche d'objets avec DSQuery • Extraction des attributs des objets avec DSGet • Envoi de noms uniques à d'autres commandes DS • Modification des attributs des objets avec DSMod • Suppression d'un objet avec DSRm • Transfert d'un objet avec DSMove • Ajout d'un objet avec DSAdd • Administration sans l'interface utilisateur graphique Active Directory 2008 R2 (70-640) FIN alphorm.com™©
  • 56. Active Directory 2008 R2 (70-640) Administration sécurisée et efficace de l'AD : Gestion à distance de l’AD Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 57. Plan • Depuis un autre serveur Windows 2008 R2 • Depuis Windows Seven • RDP • Commandes ds à distance Active Directory 2008 R2 (70-640) alphorm.com™©
  • 58. RDP • RDP depuis un serveur • RDP depuis un client Seven • Bureaux à distance depuis un serveur • Bureaux à distance depuis un client Seven : http://www.microsoft.com/download/en/details.aspx?displaylang=en&i d=21101 Active Directory 2008 R2 (70-640) alphorm.com™©
  • 59. Depuis un client Seven • Installer les RSAT http://www.microsoft.com/download/en/details.aspx?displayla ng=en&id=7887 • Lancer les consoles AD DS depuis un client Seven • Lancer le Gestionnaire du serveur à distance depuis un client Seven • Lancer la Gestion d'ordinateur à distance depuis un client Seven Active Directory 2008 R2 (70-640) alphorm.com™©
  • 60. Ce qu’on a couvert : • Depuis un autre serveur Windows 2008 R2 • Depuis Windows Seven • RDP • Commandes ds à distance FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 61. Active Directory 2008 R2 (70-640) Gestion des utilisateurs : Création et administration des comptes d'utilisateur Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 62. Plan • Qu’est ce que c’est un Compte d'utilisateur? • Création d'un objet utilisateur • Les propriétés d’un compte utilisateur • Opération sur un compte utilisateur Renommer un compte d'utilisateur Réinitialisation du mot de passe d'un utilisateur Déverrouillage d'un compte d'utilisateur Désactivation et activation d'un compte d'utilisateur Suppression d'un compte d'utilisateur Déplacement d'un compte d'utilisateur • Modification des attributs de plusieurs utilisateurs • Création des utilisateurs avec des modèles Active Directory 2008 R2 (70-640) alphorm.com™©
  • 63. Compte d'utilisateur • Un compte d'utilisateur est un objet qui permet l'authentification d'un utilisateur avec des attributs, notamment le nom d'ouverture de session et le mot de passe est une entité de sécurité associée à un identificateur de sécurité (SID) qui peut avoir des droits d'accès aux ressources • Un compte d'utilisateur peut être stocké dans Active Directory®, où il permet la connexion au domaine et peut avoir des droits d'accès aux ressources en tout point du domaine. • La gestion des comptes d'utilisateur du domaine est effectuée à l'aide des composants logiciels enfichables et les commandes Active Directory. dans la base de données locale du Gestionnaire de comptes de sécurité d'un ordinateur membre, où il permet la connexion à l'ordinateur local et peut avoir des droits d'accès aux ressources locales. • La gestion des comptes d'utilisateur locaux est effectuée à l'aide du logiciel enfichable Utilisateurs et Groupes et la commande net local user Le jeton %username% peut représenter la valeur de –samid, par exemple -profile server01users%username%profile Active Directory 2008 R2 (70-640) alphorm.com™©
  • 64. Ce qu’on a couvert : • Qu’est ce que c’est un Compte d'utilisateur? • Création d'un objet utilisateur • Les propriétés d’un compte utilisateur • Opération sur un compte utilisateur Renommer un compte d'utilisateur Réinitialisation du mot de passe d'un utilisateur Déverrouillage d'un compte d'utilisateur Désactivation et activation d'un compte d'utilisateur Suppression d'un compte d'utilisateur Déplacement d'un compte d'utilisateur • Modification des attributs de plusieurs utilisateurs • Création des utilisateurs avec des modèles Active Directory 2008 R2 (70-640) FIN alphorm.com™©
  • 65. Active Directory 2008 R2 (70-640) Gestion des utilisateurs : Automatisation des comptes d'utilisateur Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 66. Plan • Création et manipulation avec les commandes DS • Création et manipulation avec Powershell • Import/export avec CSVDE • Import/export avec LDIFDE Active Directory 2008 R2 (70-640) alphorm.com™©
  • 67. Création et manipulation avec les commandes DS • dsadd user "DNUtilisateur" –samid nom d'ouverture de session antérieur à "DNUtilisateur DNUtilisateur" Windows 2000 –pwd { mot de passe | * } –mustchpwd yes dsadd user "cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local" -samid AStrande -fn Amy -ln Strande -display "Strande, Amy" -pwd Pa$$w0rd -desc "Vice President, IT" • Changer le mot de passe et obliger l’utilisateur à le modifier : cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local" dsmod user "cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local" –pwd Pa$$w0rd! -mustchpwd yes • Activer/désactiver un compte : cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local" =local"– dsmod user "cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local"– {yes|no yes|no} disabled {yes|no} Active Directory 2008 R2 (70-640) alphorm.com™©
  • 68. Création de comptes utilisateur avec Powershell • Le fournisseur « AD » • New-ADUser -Name "Mary North" • New-ADUser -Path "OU=Comptabilité,DC=alphorm,DC=local" -Name "Mary North“ -SAMAccountName "mnorth" • New-ADUser -Path "ou=User Accounts,dc=contoso,dc=com" -Name "Mary North" -SAMAccountName "mary.north" -AccountPassword (ConvertTo-SecureString -AsPlainText "Pa$$w0rd" -Force) ChangePasswordAtLogon $true -Enabled $true • Création à partir d’un modèle : $user = Get-ADUser "CN=etudiant 2ème année,OU=Utilisateurs,DC=alphorm,DC=local" -Properties MemberOf,Title,Department,Company,PhysicalDeliveryOfficeName New-ADUser -path "OU=Utilisateurs,DC=alphorm,DC=local" -Instance $user -Name "Mary North" -SAMAccountName "mary.north" Active Directory 2008 R2 (70-640) alphorm.com™©
  • 69. Acccéder aux attributs des comptes utilisateurs avec Powershell • Set-ADUser -Identity mary.north -EmailAddress "mary.north@alphorm.com" • Get-ADUser -Identity mary.north | Set-ADUser -EmailAddress "mary.north@alphorm.com" • $user = Get-ADUser -Identity mary.north • $user.mail = "mary.north@alphorm.com" • Set-ADUser -Instance $user • Set-ADAccountPassword -Identity "mary.north" –Reset • Set-ADAccountPassword -Identity "mary.north" -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "Pa$$w0rd" -Force) Active Directory 2008 R2 (70-640) alphorm.com™©
  • 70. Importer un CSV sous Powershell • import-csv "C:importps.csv" | New-ADUser • import-csv "C:importps.csv" | New-ADUser -organization alphorm.com Active Directory 2008 R2 (70-640) alphorm.com™©
  • 71. Exporter des utilisateurs avec CSVDE Exportation • CSVDE.exe Active Directory nom_fichier.csv Importation • CSV (fichier de valeurs séparées par une virgule ou de texte délimité par des virgules) Peut être modifié avec un simple éditeur de texte (Notepad) ou Microsoft Office Excel® • CSVDE.exe csvde -f nomfichier -d DNracine -p ÉtendueRecherche -r Filtre -l ListeAttributs DNracine : Début de l'exportation (par défaut = domaine) ÉtendueRecherche : Étendue de l'exportation (Base,OneLevel,Subtree) Filtre : Filtre dans l'étendue (langage de requêtes LDAP) ListeAttributs : Utilisation du nom LDAP Active Directory 2008 R2 (70-640) alphorm.com™©
  • 72. Importer des utilisateurs avec CSVDE Exportation • CSVDE.exe Active Directory nom_fichier.ldf Importation • CSVDE.exe csvde –i -f NomFichier [-k] i. Importation (le mode par défaut est l'exportation) k. Poursuivre en cas d'erreur (par exemple lorsque l'objet existe déjà) • Les mots de passe ne sont pas importés. Les utilisateurs créés sont donc désactivés. • Les utilisateurs existants ne peuvent pas être modifiés. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 73. Importation des utilisateurs avec LDIFDE Exportation • LDIFDE.exe Active Directory nom_fichier.ldf Importation • LDIF (LDAP Data Interchange Format) • LDIFDE.exe ldifde [-i] [-f NomFichier] [-k] i. Importation (le mode par défaut est l'exportation) k. Poursuivre en cas d'erreur (par exemple lorsque l'objet existe déjà) • Les mots de passe ne sont pas importés. Les utilisateurs créés sont donc désactivés. • Possibilité de modification ou de suppression des utilisateurs existants Active Directory 2008 R2 (70-640) alphorm.com™©
  • 74. Ce qu’on a couvert : • Création et manipulation avec les commandes DS • Création et manipulation avec Powershell • Import/export avec CSVDE • Import/export avec LDIFDE FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 75. Active Directory 2008 R2 (70-640) Gestion des groupes : Gestion d'une entreprise avec des groupes Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 76. Plan • Qu’est ce que c’est un groupe? • Gestion des accès sans utiliser des groupes • Simplification de la gestion par l'utilisation de groupes • Évolutivité de l'utilisation des groupes • Un seul type de groupe ne suffit pas • Gestion à base de rôles : Groupes de rôles et groupes de règles • Type de groupe Groupe de sécurité Groupe de distribution • Étendue d'un groupe Groupes locaux Groupes globaux Groupes universels • Développement d'une stratégie de gestion des groupes (IGDLA) • Définition des conventions d'appellation pour les groupes Active Directory 2008 R2 (70-640) alphorm.com™©
  • 77. Gestion des accès sans utiliser des groupes Identité Active Directory 2008 R2 (70-640) Gestion des accès Ressource alphorm.com™©
  • 78. Gestion des ajouts aux groupes Identité Groupe Ressource Gestion des accès Active Directory 2008 R2 (70-640) alphorm.com™©
  • 79. Évolutivité des ajouts au groupes Identité Groupe Ressource Gestion des accès Active Directory 2008 R2 (70-640) alphorm.com™©
  • 80. Un seul type de groupe ne suffit pas Identité Groupe Active Directory 2008 R2 (70-640) Gestion des accès Ressource alphorm.com™©
  • 81. Gestion à base de rôles : Groupes de rôles et groupes de règles Identité Groupe de rôles Groupe de règles Ressource Gestion des accès Active Directory 2008 R2 (70-640) alphorm.com™©
  • 82. Type de groupe • Groupes de distribution Utilisés uniquement avec les applications de messagerie impossible d'accorder des autorisations • Groupes de sécurité Entité de sécurité avec un SID ; des autorisations peuvent être accordées Peuvent prendre en charge la messagerie Active Directory 2008 R2 (70-640) alphorm.com™©
  • 83. Étendue du groupe • Un groupe peut avoir 4 étendues Locale Globale Locale de domaine Universelle • Caractéristiques de chaque étendue Réplication. Réplication Où sont stockés le groupe et sa liste de membres ? Membres. Membres Quels types d'objets, provenant de quels domaines, peuvent être membres d'un groupe ? étendue) Disponibilité (étendue). Où le groupe peut-il être utilisé ? Dans quelles étendues le groupe peut-il se trouver ? Le groupe peut-il être ajouté à une liste ACL ? Active Directory 2008 R2 (70-640) alphorm.com™©
  • 84. Groupes locaux • Réplication Définition dans le Gestionnaire de comptes de sécurité (SAM) d'un membre de domaine ou d'un ordinateur de groupe de travail Aucune réplication en dehors de l’ordinateur local • Membres : Un groupe local peut inclure : tout type d'entité de sécurité du domaine : utilisateurs (U), ordinateurs (O), groupes globaux (GG) ou groupes locaux de domaine (GLD) U, O, GG de tout domaine de la forêt U, O, GG de tout domaine approuvé groupes universels (GU) définis dans un domaine de la forêt • Disponibilité / étendue Limitée à l'ordinateur dans lequel le groupe est défini. Peut-être utilisé pour les listes ACL sur l'ordinateur local uniquement Ne peut pas appartenir à un autre groupe Active Directory 2008 R2 (70-640) alphorm.com™©
  • 85. Groupes globaux • Réplication Définition dans le contexte d'appellation du domaine Groupe et membres répliqués sur chaque CD du domaine • Membres : Un groupe global peut inclure : Uniquement les entités de sécurité du même domaine : U, O, GG, GLD • Disponibilité / étendue Peut être utilisé par tous les membres d'un domaine, tous les autres domaines de la forêt et tous les domaines externes autorisés à approuver. Peut être sur les listes ACL de toute ressource ou tout ordinateur de ces domaines Peut être membre de tout GLD ou GU de la forêt, et de tout GLD d'un domaine externe autorisé à approuver • Bien adapté à la définition de rôles Active Directory 2008 R2 (70-640) alphorm.com™©
  • 86. Groupes universels • Réplication Définis dans un seul domaine de la forêt Répliqué sur le catalogue global (à l'échelle de la forêt) • Membres : Un groupe universel peut inclure : U, O, GG et GU de tout domaine de la forêt • Disponibilité / étendue Disponible pour chaque domaine et membre de domaine de la forêt Peut être sur les listes ACL de toute ressource sur tout système de la forêt Peut être membre des autres GU ou GLD n'importe où dans la forêt • Utile dans les forêts multi-domaines Définition de rôles incluant des membres de plusieurs domaines Définition de règles de gestion d'entreprise pour gérer les ressources de plusieurs domaines de la forêt Active Directory 2008 R2 (70-640) alphorm.com™©
  • 87. Groupes locaux de domaine • Réplication Définition dans le contexte d'appellation du domaine Groupe et membres répliqués sur chaque CD du domaine • Membres : un groupe local de domaine peut inclure : tout type d'entité de sécurité du domaine : U, O, GG, GLD U, O, GG de tout domaine de la forêt U, O, GG de tout domaine approuvé GU définis dans un domaine de la forêt • Disponibilité / étendue Peut être sur les listes ACL de toute ressource ou membre du domaine Peut être membre des autres groupes locaux du domaine ou des groupes locaux de l'ordinateur • Bien adapté à la définition de règles de gestion d'entreprise Active Directory 2008 R2 (70-640) alphorm.com™©
  • 88. Récapitulatif des possibilités de l'étendue des groupes Étendue du groupe Membres d'un même domaine Membres d'un domaine de la même forêt Membres d'un domaine externe approuvé Attribution d'autorisations sur les ressources Locale U, O, GG, GLD, GU et utilisateurs locaux U, O, GG, GU U, O, GG Dans l'ordinateur local uniquement Locale de domaine U, O, GG, GLD, GU U, O, GG, GU U, O, GG N'importe où dans le domaine Universelle U, O, GG, GU U, O, GG, GU S/O N'importe où dans la forêt Globale U, O, GG S/O S/O N'importe où dans le domaine ou un domaine approuvé U O GG GLD GU Utilisateur Ordinateur Groupe global Groupe local de domaine Groupe universel Active Directory 2008 R2 (70-640) alphorm.com™©
  • 89. Développer une stratégie de gestion de groupes (IGDLA) • Identités (utilisateurs ou ordinateurs) membres de • Groupes Globaux qui collectent des membres en fonction de leurs rôles qui sont membres de • Groupes de Domaine Locaux qui assurent des fonctions de gestion, telles que la gestion de l'accès aux ressources qui • ont Accès à une ressource (par exemple, sur une liste ACL) • constituent une forêt multi-domaines : IGUDLA U Active Directory 2008 R2 (70-640) alphorm.com™©
  • 90. Gestion à base de rôles et stratégie de gestion de groupes Windows Gestion des accès Identité Groupe de rôles Groupe de règles Identité Globale Active Directory 2008 R2 (70-640) Locale de domaine Ressource Accès alphorm.com™©
  • 91. Définition des conventions d'appellation pour les groupes • Propriétés liées au nom groupe. Nom de groupe. cn et nom de groupe -- unique dans l'UO Nom de groupe (avant Windows 2000). sAMAccountName du groupe - unique dans le domaine Utiliser le même nom (unique dans le domaine) pour les deux propriétés • Conventions d'appellation rôles. Groupes de rôles. Nom simple unique, tel que GG_Vente ou GU_Vente gestion. Folders_L, Groupes de gestion. Par exemple, ACL_Sales Folders_L ACL_Docs_Finance_E Préfixe. Préfixe. Fonction de gestion du groupe, par exemple liste ACL Active Directory 2008 R2 (70-640) alphorm.com™©
  • 92. Ce qu’on a couvert : • Qu’est ce que c’est un groupe? • Gestion des accès sans utiliser des groupes • Simplification de la gestion par l'utilisation de groupes • Évolutivité de l'utilisation des groupes • Un seul type de groupe ne suffit pas • Gestion à base de rôles : Groupes de rôles et groupes de règles • Type de groupe Groupe de sécurité Groupe de distribution • Étendue d'un groupe Groupes locaux Groupes globaux Groupes universels FIN • Développement d'une stratégie de gestion des groupes (IGDLA) • Définition des conventions d'appellation pour les groupes Active Directory 2008 R2 (70-640) alphorm.com™©
  • 93. Active Directory 2008 R2 (70-640) Gestion des groupes : Propriétés et opérations des groupes Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 94. Plan • Documenter les groupes • Protéger les groupes contre la suppression accidentelle • Déléguer la gestion des membres • Changer le type de groupe • Opérations : Déplacer, Supprimer, Renommer • Groupes par défaut • Identités spéciales Active Directory 2008 R2 (70-640) alphorm.com™©
  • 95. Documenter les groupes • Pourquoi décrire les groupes ? Faciliter leur identification lors des recherches Mieux comprendre comment et quand utiliser un groupe • Établir et respecter une convention d'appellation stricte Un préfixe, par exemple, permet de différencier APP_Budget et ACL_Budget_Edit Un préfixe facilite la recherche d'un groupe dans la boîte de dialogue de sélection • Indiquer la fonction d'un groupe avec son attribut de description Apparaît dans le volet d'informations du composant Utilisateurs et ordinateurs Active Directory • Détailler la fonction d'un groupe dans la zone des commentaires Active Directory 2008 R2 (70-640) alphorm.com™©
  • 96. Application des appartenances • Les modifications de la liste des membres ne sont pas appliquées immédiatement Active Directory 2008 R2 (70-640) alphorm.com™©
  • 97. Délégation de la gestion des membres • L'onglet Géré par a deux fonctions : Fournir des informations de contact indiquant qui gère le groupe L'utilisateur (ou le groupe) indiqué peut modifier les membres des groupes si l'option "Le gestionnaire peut mettre à jour la liste des membres" est sélectionnée • Conseil Il faut cliquer sur OK (et pas uniquement sur Appliquer) pour changer l'ACL du groupe Pour définir un groupe dans la zone Nom, cliquez sur Modifier, puis sur Types d'objet, puis sur Groupes Active Directory 2008 R2 (70-640) alphorm.com™©
  • 98. Groupes par défaut • Groupes locaux par défaut dans les conteneurs BUILTIN et Utilisateurs Administrateurs de l'entreprise, Administrateurs du schéma, Administrateurs, Admins du domaine, Opérateurs de serveur, Opérateurs de compte, Opérateurs de sauvegarde, Opérateurs d'impression • Problèmes liés à ces groupes Excès de délégation • Les opérateurs de compte, par exemple, peuvent ouvrir des sessions sur un contrôleur du domaine (CD). • Recommandation : Laisser ces groupes vides et créer des groupes personnalisés avec les droits et privilèges nécessaires Active Directory 2008 R2 (70-640) alphorm.com™©
  • 99. Identités spéciales • L'appartenance aux groupes est gérée par Windows : Impossible de les afficher, les modifier ni les ajouter à d'autres groupes Peuvent être utilisées sur les listes ACL • Exemples Ouverture de session anonyme. Représente les connexions à un ordinateur sans nom d'utilisateur ni mot de passe Utilisateurs authentifiés. Représente les identités authentifiées, mais n'inclut pas l'identité Invité Tout le monde. Inclut Utilisateurs authentifiés et Invité (mais pas Ouverture de session anonyme par défaut dans Windows Server 2003/2008) Interactif. Utilisateurs connectés en session locale ou Bureau à distance Réseau. Utilisateurs accédant à une ressource par le réseau Active Directory 2008 R2 (70-640) alphorm.com™©
  • 100. Ce qu’on a couvert : • Documenter les groupes • Protéger les groupes contre la suppression accidentelle • Déléguer la gestion des membres • Changer le type de groupe • Opérations : Déplacer, Supprimer, Renommer • Groupes par défaut • Identités spéciales FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 101. Active Directory 2008 R2 (70-640) Gestion des groupes : Automatisation des groupes Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 102. Plan • Création de groupes avec DSAdd • Modification des membres des groupes avec DSMod • Extraction des membres des groupes avec DSGet • Copie des membres des groupes • Déplacement des groupes et changement de leurs noms • Suppression de groupes • Importation de groupes avec CSVDE • Importation de groupes avec LDIFDE • Modification des membres des groupes avec LDIFDE • Conversion de l'étendue et du type de groupe • Gestion des groupes avec Powershell Active Directory 2008 R2 (70-640) alphorm.com™©
  • 103. Création de groupes avec DSAdd • dsadd group DNGroupe –secgrp {yes|no} –scope {g | l | u} DNGroupe. DNGroupe. Nom unique du groupe à créer -secgrp. Security-enabled (yes=sécurité ; no=distribution) secgrp -scope. étendue (globale, locale du domaine, universelle) scope g -samid. sAMAccountName (non nécessaire, par défaut cn) samid Description. -desc Description attribut description espace) -member MemberDN …. Liste des membres (séparés par un espace à ajouter lors de la création du groupe espace) -memberof DNGroupe …. Liste des groupes (séparés par un espace auxquels ajouter ce groupe • Exemples : "CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local" GG_HelpDesk,OU= dsadd group "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" – GG_HelpDesk, samid GG_HelpDesk, –secgrp yes –scope g Active Directory 2008 R2 (70-640) alphorm.com™©
  • 104. Modification des membres des groupes avec DSMod • dsmod group "DNGroupe" [options] -addmbr "Member DN" addmbr -rmmbr "Member DN“ rmmbr • Exemples : "CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local" GG_HelpDesk,OU= dsmod group "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local" addmbr "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local" "CN=james bond,OU=Utilisateurs,DC=alphorm,DC=local" "CN=james bond,OU=Utilisateurs,DC=alphorm,DC=local" "CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local" GG_HelpDesk,OU= dsmod group "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local" rmmbr "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local" Active Directory 2008 R2 (70-640) alphorm.com™©
  • 105. Extraction des membres des groupes avec DSGet • Aucune option pour obtenir la liste complète des membres d'un groupe dans Utilisateurs et ordinateurs Active Directory • DSGet permet d'obtenir la liste complète (y compris des membres imbriqués) imbriqués • dsget group "DNGroupe" –members [-expand] Liste des membres d'un groupe (DNGroupe), pouvant inclure les membres imbriqués (-expand) Exemple : dsget group "CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local" GG_HelpDesk,OU= "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" –members -expand • dsget {user|computer} "DNObjet" –memberof [-expand] • Liste des appartenances d'un utilisateur ou un ordinateur (DNObjet), pouvant inclure les appartenances à des groupes imbriqués (-expand) • Exemple : dsget user "CN=hamid "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local" harabazan,OU=Utilisateurs,DC=alphorm,DC=local" –memberof -expand Active Directory 2008 R2 (70-640) alphorm.com™©
  • 106. Copie des membres de groupes • Copie des membres d'un groupe dans un autre "CN=GG_Marketing,OU Groupes,DC=alphorm,DC=local" GG_Marketing,OU= dsget group "CN=GG_Marketing,OU=Groupes,DC=alphorm,DC=local" – members | dsmod group "CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local GG_HelpDesk,OU= =local" "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" –addmbr • Copie des appartenances d'un utilisateur sur un autre "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local" dsget user "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local" – "CN=james memberof | dsmod group –addmbr "CN=james bond,OU=Utilisateurs,DC=alphorm,DC=local" bond,OU=Utilisateurs,DC=alphorm,DC=local" Active Directory 2008 R2 (70-640) alphorm.com™©
  • 107. Déplacer et renommer des groupes • Utilisateurs et ordinateurs Active Directory Cliquez avec le bouton droit sur le groupe, puis cliquez sur Déplacer ou Renommer • Commande DSMove dsmove DNObjet [-newname NouveauNom] [-newparent DNUOcible] • DNObjet est le DN du groupe • -newparent DNUOcible déplace le groupe dans une nouvelle UO • -newname NouveauNom modifie le cn du groupe - Il faut utiliser DSMod Group pour modifier sAMAccountName • dsmove "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" –newparent "CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local" GG_HelpDesk,OU= "OU=Utilisateurs,DC=alphorm,DC=local" "OU=Utilisateurs,DC=alphorm,DC=local" Utilisateurs,DC • dsmove "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" –newname "CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local" GG_HelpDesk,OU= "GG_Support" GG_Support" • dsmod group "CN=GG_Support,OU=Groupes,DC=alphorm,DC=local" -samid "CN=GG_Support,OU Groupes,DC=alphorm,DC=local" GG_Support,OU= "GG_Support" GG_Support" Active Directory 2008 R2 (70-640) alphorm.com™©
  • 108. Suppression de groupes • Utilisateurs et ordinateurs Active Directory : Clic droit, Supprimer • Commande DSRm dsrm DNObjet ... [-subtree [-exclude]] [-noprompt] [-c] • -noprompt évite les demandes de confirmation de chaque suppression • -c permet de continuer en cas d'erreur (refus d'accès par exemple) • -subtree supprime l'objet et tous les objets enfants • -subtree -exclude supprime tous les objets enfants mais pas l'objet lui-même • Exemples : • dsrm "CN=GG_Support,OU=Groupes,DC=alphorm,DC=local" • La suppression d'un groupe de sécurité entraîne des conséquences importantes Le SID est perdu et ne peut plus être rétabli même si le groupe est à nouveau créé Conseil : D'abord, enregistrez puis supprimez tous les membres durant une période de test, pour évaluer tous les effets indésirables possibles Active Directory 2008 R2 (70-640) alphorm.com™©
  • 109. Importation de groupes avec CSVDE • csvde -i -f "nomfichier" [-k] -i. Importation (mode par défaut : exportation) -f. Nom du fichier -k. Poursuivre en cas d'erreur (par exemple si un objet existe déjà) • CSVDE permet de créer des groupes, pas de modifier les groupes existants Active Directory 2008 R2 (70-640) alphorm.com™©
  • 110. Importation de groupes avec LDIFDE • Ldifde -i -f "nomfichier" [-k] -i. Importation (mode par défaut : exportation) -f. Nom du fichier -k. Poursuivre en cas d'erreur (par exemple si un objet existe déjà) Active Directory 2008 R2 (70-640) alphorm.com™©
  • 111. Modification des membres des groupes avec LDIFDE • Fichier LDIF • Changetype: modify • 3e ligne : Quel type de modification ? Ajouter une valeur à un membre Supprimer un membre, modifier pour supprimer : member • L'opération de modification se termine par une ligne contenant uniquement – Active Directory 2008 R2 (70-640) alphorm.com™©
  • 112. Conversion d'étendue et de type de groupe • dsmod group DNGroupe –secgrp {yes|no } –scope {l|g|u} {l|g|u l|g|u} • Exemples : CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local" GG_HelpDesk,OU= dsmod group CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" GG_Marketing –secgrp no CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local" GG_HelpDesk,OU= dsmod group CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" GG_Marketing –secgrp yes –scope u Active Directory 2008 R2 (70-640) alphorm.com™©
  • 113. Gestion des groupes avec Powershell • Help *adgroup* ou Get-Command *ADGroup* • Get-ADGroup • New-ADGroup • Remove-ADGroup • Set-ADGroup • Get-ADGroup GG_marketing -Properties members • Get-ADGroupMember -Identity "GG_HelpDesk" • New-ADGroup -Path "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" -Name "GG_HelpDesk -sAMAccountName "GG_HelpDesk" -GroupCategory Security -GroupScope Global • Add-ADGroupMember -Identity "GG_HelpDesk" -Members "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local" Active Directory 2008 R2 (70-640) alphorm.com™©
  • 114. Ce qu’on a couvert : • Création de groupes avec DSAdd • Modification des membres des groupes avec DSMod • Extraction des membres des groupes avec DSGet • Copie des membres des groupes • Déplacement des groupes et changement de leurs noms • Suppression de groupes • Importation de groupes avec CSVDE • Importation de groupes avec LDIFDE • Modification des membres des groupes avec LDIFDE • Conversion de l'étendue et du type de groupe • Gestion des groupes avec Powershell Active Directory 2008 R2 (70-640) FIN alphorm.com™©
  • 115. Active Directory 2008 R2 (70-640) Support des comptes d'ordinateur: Création d'ordinateurs et jonction au domaine Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 116. Plan • Groupes de travail, domaines et approbations • Création et jonction au domaine • Sécurisation de la création d'ordinateurs et des jonctions Active Directory 2008 R2 (70-640) alphorm.com™©
  • 117. Groupes de travail, domaines et approbations Active Directory 2008 R2 (70-640) alphorm.com™©
  • 118. Création et jonction au domaine • Méthode 1 : Jonction directe au domaine Redémarrage Le compte ordinateur et créé dans le conteneur « Computers » Déplacer dans la OU appropriée • Méthode 2 : Définissez au préalable (pré-création) un ordinateur dans l'UO appropriée (possibilité de délégation) Jonction Redémarrage Active Directory 2008 R2 (70-640) alphorm.com™©
  • 119. Sécuriser la création d'ordinateurs et les jonctions • Limitation de la capacité des utilisateurs à créer des ordinateurs Par défaut, tout utilisateur peut joindre 10 ordinateurs au domaine. • La prédéfinition n'est pas nécessaire. Définissez la valeur ms-DS-MachineAccountQuota sur 0. ms-DS- • Délégation, aux groupes appropriés, de l'autorisation de créer des objets ordinateur dans les UO appropriées • Prédéfinition des objets ordinateur dans les UO appropriées L'ordinateur est dans l'UO appropriée et n'a pas besoin d'être déplacé. La Stratégie de groupe s'applique à l'ordinateur dès sa jonction au domaine. • Configuration du conteneur Ordinateurs par défaut redircmp "DN de l'UO pour les nouveaux objets ordinateur" Active Directory 2008 R2 (70-640) alphorm.com™©
  • 120. Ce qu’on a couvert : • Groupes de travail, domaines et approbations • Création et jonction au domaine • Sécurisation de la création d'ordinateurs et des jonctions FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 121. Active Directory 2008 R2 (70-640) Support des comptes d'ordinateur: Propriétés et opérations des comptes d'ordinateur Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 122. Plan • Configuration des attributs d'ordinateur • Comptes d'ordinateur et canal sécurisé • Identification des problèmes de comptes d'ordinateur • Réinitialisation d'un compte d'ordinateur • Modification du nom d'un ordinateur • Désactivation et activation d'un ordinateur • Suppression et recyclage des comptes d'ordinateur Active Directory 2008 R2 (70-640) alphorm.com™©
  • 123. Configurer des attributs d'ordinateur • Attributs utiles Description Emplacement • FranceParisSiegeBat3Etage22Coul3 • Utilisé par les applications détectant l'emplacement telles que la recherche d'imprimantes Géré par • Lié à l'utilisateur correspondant à l'utilisateur principal de l'ordinateur • Lié au groupe responsable de l'ordinateur (serveurs) Membre de • Groupes : Filtrage de stratégie de groupe, déploiement de logiciels Active Directory 2008 R2 (70-640) alphorm.com™©
  • 124. Compte d'ordinateur et canal sécurisé • Les ordinateurs ont des comptes. un nom sAMAccountName et un mot de passe Utilisé pour créer un canal sécurisé entre l'ordinateur et un contrôleur de domaine • Le canal sécurisé peut être rompu. Lors de la réinstallation d'un ordinateur, même avec le même nom, qui génère un nouveau SID et mot de passe. Lors de la restauration d'un ordinateur à partir d'une ancienne sauvegarde ou de la réapplication d'un ancien instantané Lorsque l'ordinateur et le domaine ne sont pas d'accord sur le mot de passe Active Directory 2008 R2 (70-640) alphorm.com™©
  • 125. Reconnaître les problèmes de compte d'ordinateur • Messages d'ouverture de session • Erreurs du journal d'événements, comprenant des mots clés tels que Mot de passe Approbation Canal sécurisé Relations avec le domaine ou les contrôleurs de domaine • Absence d'un compte d'ordinateur dans Active Directory Active Directory 2008 R2 (70-640) alphorm.com™©
  • 126. Réinitialiser un compte d'ordinateur • Évitez de supprimer un ordinateur du domaine et de l'y joindre à nouveau. Création d'un nouveau compte : nouveau SID, perte des appartenances aux groupes • Réinitialiser le canal sécurisé Utilisateurs et ordinateurs Active Directory* • Cliquez du bouton droit sur l'ordinateur et choisissez Réinitialiser le compte. DSMod* • dsmod computer "NomUniqueOrdinateur" –reset NetDom • netdom reset NomOrdinateur /domain NomDomaine /UserO NomUtilisateur /PasswordO {Mot de passe | *} NLTest • nltest /server:NomServeur /sc_reset:DOMAINDC * = exige une nouvelle jonction au domaine et un redémarrage Active Directory 2008 R2 (70-640) alphorm.com™©
  • 127. Renommer un ordinateur • Servez-vous des propriétés système de l'ordinateur pour renommer correctement ce dernier et son compte. • NetDom netdom renamecomputer NomOrdinateur /NewName:NouveauNom [/UserO:NomUtilisateurLocal] [/PasswordO:{MotDePasseLocal|*} ][/UserD:NomUtilisateurDomaine] [/PasswordD:{MotDePasseDomaine|*} ] [/SecurePasswordPrompt] [/REBoot[:TempsEnSecondes] ] • Soyez conscient des conséquences du changement de nom sur les services et les certificats associés au nom de l'ordinateur. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 128. Désactiver et activer un ordinateur • Désactivez un ordinateur lorsqu'il doit rester hors connexion pendant une longue période. L'opération correspond à la désactivation d'un utilisateur qui part en congé. L'opération empêchant l'établissement du canal sécurisé, les utilisateurs dont les informations d'identification n'ont pas été mises en cache dans l'ordinateur ne peuvent pas ouvrir de session. • Utilisateurs et ordinateurs Active Directory Cliquez du bouton droit sur l'ordinateur et choisissez Activer le compte ou Désactiver le compte. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 129. Supprimer et recycler des comptes d'ordinateur • Suppression d'un ordinateur avec Utilisateurs et comptes Active Directory Cliquez du bouton droit sur l'ordinateur et choisissez Supprimer. • La suppression détruit le SID et les appartenances aux groupes. Lors du remplacement ou de la réinstallation d'un ordinateur, s'il doit jouer le même rôle, réinitialisez son compte au lieu de le supprimer. Préserve tous les attributs de l'ordinateur, y compris le SID et les appartenances aux groupes Vous pouvez renommer l'objet si l'ordinateur est renommé pendant la réinstallation/mise à niveau. Cette opération « recycle » le compte d'ordinateur. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 130. Ce qu’on a couvert : • Configuration des attributs d'ordinateur • Comptes d'ordinateur et canal sécurisé • Identification des problèmes de comptes d'ordinateur • Réinitialisation d'un compte d'ordinateur • Modification du nom d'un ordinateur • Désactivation et activation d'un ordinateur • Suppression et recyclage des comptes d'ordinateur FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 131. Implémentation d'une infrastructure de stratégie de groupe Fonctionnement de la Stratégie de groupe Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 132. Plan • Qu'est-ce que la gestion des configurations ? • Aperçu et examen de la stratégie de groupe • Création d’une stratégie de test • Actualisation de la stratégie de groupe • Stockage des objets GPO • Objets GPO locaux Active Directory 2008 R2 (70-640) alphorm.com™©
  • 133. configurations ? Active Directory 2008 R2 (70-640) alphorm.com™©
  • 134. groupe • Stratégies ordinateur/utilisateur • Stratégs vs Préférences • Étendue • Lien de GPO Le filtrage par groupe de sécurité • Le filtrage WMI • Ciblage des préférences • Paramètres • Étendue • Application • Jeu de stratégies résultant • Client de stratégie de groupe et extensions côté client • Actualisation de la stratégie de groupe Active Directory 2008 R2 (70-640) alphorm.com™©
  • 135. Démonstration : Création, liaison et modification d'objets GPO Dans cette démonstration, nous allons : • Créer un objet GPO • Lier un objet GPO • Ouvrir un objet GPO pour modification • GPO ordinateur : Configurer Windows Update • GPO utilisateur : Masquer le paneau de configuration Active Directory 2008 R2 (70-640) alphorm.com™©
  • 136. Actualisation de la stratégie de groupe • À quel moment les GPO et leurs paramètres sont-ils appliqués ? • Configuration ordinateur Démarrage Toutes les 90 à 120 minutes Déclenchement : commande GPUpdate • Configuration utilisateur Ouverture de session Toutes les 90 à 120 minutes Déclenchement : commande GPUpdate Active Directory 2008 R2 (70-640) alphorm.com™©
  • 137. Stockage des objets GPO • Objet de stratégie de groupe (GPO) Conteneur de stratégie de groupe (GPC) • Éditeur ADSI • Est stocké dans les services de domaine Active Directory. • Nom convivial, identificateur unique global (GUID) • Version Modèle de stratégie de groupe (GPT) • Stocké dans le dossier SYSVOL des contrôleurs de domaine • Contient tous les fichiers requis pour définir et appliquer des paramètres • Le fichier .ini contient la Version. • Mécanismes de réplication distincts • GPOTool Active Directory 2008 R2 (70-640) alphorm.com™©
  • 138. Objets GPO locaux • Les GPO locaux s'appliquent avant les GPO de domaine. Tout paramètre spécifié par un GPO de domaine remplacera celui des GPO locaux. • gpedit.msc Serveur Client Active Directory 2008 R2 (70-640) alphorm.com™©
  • 139. Ce qu’on a couvert • Qu'est-ce que la gestion des configurations ? • Aperçu et examen de la stratégie de groupe • Création d’une stratégie de test • Actualisation de la stratégie de groupe • Stockage des objets GPO • Objets GPO locaux FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 140. Implémentation d'une infrastructure de stratégie de groupe Examen approfondi des paramètres et des objets GPO Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 141. Plan • Modèles d'administration • Import des GPOs • Paramètres gérés et non gérés, et préférences • Magasin central • Démonstration : Utilisation des paramètres et des objets GPO Commentaer/Copier/Sauvegarder/Importer/Supprimer/Restaurer… • Les objets GPO gérés et leurs paramètres Active Directory 2008 R2 (70-640) alphorm.com™©
  • 142. Modèles d'administration • .ADMX Active Directory 2008 R2 (70-640) • .ADML alphorm.com™©
  • 143. Import des GPOs • ADM Avant Windows Vista et Windows 2008 • ADMX/ADML A partir de Windows Vista et Windows 2008 Active Directory 2008 R2 (70-640) alphorm.com™©
  • 144. Paramètres gérés et non gérés, et préférences • Modèles d'administration Paramètre de stratégie géré • L'interface utilisateur est verrouillée. L'utilisateur ne peut pas modifier le paramètre. • Les modifications concernent l'une des quatre clés de Registre réservées. • La modification et le verrouillage de l'interface utilisateur sont « libérés » lorsque l'utilisateur ou l'ordinateur n'entre plus dans l'étendue. Paramètre de stratégie non géré • L'interface utilisateur n'est pas verrouillée. • Les modifications apportées sont permanentes ; elles « tatouent » le Registre. Par défaut, seuls les paramètres gérés s'affichent. Pour afficher les paramètres non gérés, définissez les Options de filtre. • Préférences L'effet des préférences varie. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 145. Magasin central • Fichiers .ADM Stockés dans le Modèle de stratégie de groupe (GPT) Entraînent des problèmes de contrôle des versions et d'encombrement des GPO • Fichiers .ADMX/.ADML Récupérés depuis le client Problématiques si le client ne dispose pas des fichiers appropriés • Magasin central Créez un dossier nommé PolicyDefinitions dans un contrôleur de domaine. • À distance : par-dc01SYSVOLalphorm.localPoliciesPolicyDefinitions • Localement : %SystemRoot%WindowsPolicyDefinitions Copiez les fichiers .ADMX de votre dossier %SystemRoot%PolicyDefinitions. Copiez le fichier .ADML stocké dans les sous-dossiers propres à la langue (par exemple en-us). Active Directory 2008 R2 (70-640) alphorm.com™©
  • 146. Démonstration : Utilisation des paramètres et des objets GPO.Dans cette démonstration, nous allons : • Utiliser des Options de filtre pour localiser des stratégies dans les modèles d'administration • Ajouter des commentaires à un objet GPO • Créer un nouvel objet GPO à partir d'un GPO Starter • Créer un nouveau GPO par copie d'un GPO existant • Sauvegader les GPOs • Créer un nouveau GPO par importation des paramètres exportés à partir d'un autre GPO Active Directory 2008 R2 (70-640) alphorm.com™©
  • 147. Gestion des objets GPO et de leurs paramètres • Copier (et Coller dans un conteneur Objets GPO) Créer une nouvelle « copie » d'un GPO et modifiez-la. Transférer un GPO dans un domaine approuvé, par exemple test-to-production. • Sauvegarder tous les paramètres, objets, liens, autorisations (listes ACL). • Restaurer dans le même domaine que la sauvegarde. • Importer les paramètres dans un nouveau GPO du même domaine ou d'un autre domaine. Table de migration pour le mappage source/cible des chemins UNC et des noms de groupe de sécurité Remplace tous les paramètres du GPO (pas de « fusion ») • Enregistrer le rapport. • Supprimer • Renommer Active Directory 2008 R2 (70-640) alphorm.com™©
  • 148. Ce qu’on a couvert • Modèles d'administration • Import des GPOs • Paramètres gérés et non gérés, et préférences • Magasin central • Démonstration : Utilisation des paramètres et des objets GPO Commentaer/Copier/Sauvegarder/Importer/Supprimer/Restaurer… • Les objets GPO gérés et leurs paramètres FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 149. Implémentation d'une infrastructure de stratégie de groupe Gestion de l'étendue de la stratégie de groupe Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 150. Plan • Ordre de traitement de la stratégie de groupe • Liens de GPO • Héritage et priorité des objets GPO • Filtrage de sécurité pour modifier l'étendue d'un objet GPO • Filtres WMI • Activation ou désactivation d'objets GPO et de nœuds de GPO • Ciblage des préférences • Traitement en boucle des strategies • Examen approfondi du traitement de la stratégie de groupe Active Directory 2008 R2 (70-640) alphorm.com™©
  • 151. GPO OU GPO de domaine GPO de sites Ordre de priorité Ordre d’application Ordre de traitement de la stratégie de groupe GPO local Active Directory 2008 R2 (70-640) alphorm.com™©
  • 152. Liens de GPO • Un lien de GPO Entraîne l'application des paramètres de stratégie de ce GPO aux utilisateurs ou aux ordinateurs de ce conteneur Relie le GPO à un site, à un domaine ou à une UO • Les sites doivent être activés dans la console GPM. Un GPO peut être relié à plusieurs sites ou UO. Un lien peut exister mais être désactivé. Un lien peut être supprimé, mais le GPO existe toujours. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 153. Héritage et priorité des objets GPO • L'application des GPO liés à chaque conteneur entraîne un effet cumulé appelé héritage. Priorité par défaut : Local Site Domaine UO UO… (LSDUO) Visible dans l'onglet Héritage de Stratégie de groupe • Ordre des liens (attribut du lien de GPO) Numéro inférieur Plus haut dans la liste Prioritaire • Blocage de l'héritage (attribut de l'UO) Bloque le traitement des GPO à partir du dessus • Imposé (attribut du lien de GPO) Les GPO imposés « ignorent » le blocage de l'héritage. Les paramètres de GPO imposés l'emportent sur les paramètres conflictuels des GPO inférieurs. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 154. Filtrage de sécurité pour modifier l'étendue d'un objet GPO • Application d'une autorisation de stratégie de groupe Le GPO possède une liste ACL (onglet Délégation Avancé). Par défaut : les utilisateurs authentifiés disposent de l'autorisation Appliquer la stratégie de groupe. • L'étendue comprend uniquement les utilisateurs du ou des groupes globaux sélectionnés. Supprimez des utilisateurs authentifiés. Ajoutez les groupes globaux appropriés. • Il doit s'agir de groupes globaux (l'étendue des GPO ne comprend pas le domaine local). • L'étendue comprend les utilisateurs sauf ceux du ou des groupes sélectionnés. Dans l'onglet Délégation, cliquez sur Avancé. Ajoutez les groupes globaux appropriés. Refusez l'autorisation Appliquer la stratégie de groupe. N'apparaît pas dans l'onglet Délégation ni dans la section du filtrage Active Directory 2008 R2 (70-640) alphorm.com™©
  • 155. Filtres WMI • Windows Management Instrumentation (WMI) • Langage de requêtes WMI (WQL) Similaire à T-SQL Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft Windows XP Professional" AND CSDVersion="Service Pack 3" • Création d'un filtre WMI • Utilisation du filtre pour un ou plusieurs GPO Active Directory 2008 R2 (70-640) alphorm.com™©
  • 156. Activation ou désactivation d'objets GPO et de nœuds de GPO • Onglet Détails du GPO Liste déroulante État GPO • Activé : les extensions CSE appliquent les paramètres Configuration ordinateur et Configuration utilisateur. • Tous les paramètres désactivés : les extensions CSE ne traitent pas le GPO. • Paramètres de Configuration ordinateur désactivés : les extensions CSE ne traitent pas les paramètres de Configuration ordinateur. • Paramètres de Configuration utilisateur désactivés : les extensions CSE ne traitent pas les paramètres de Configuration utilisateur. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 157. Ciblage des préférences • Ciblage au sein d'un GPO Étendue = étendue du GPO x étendue du ciblage Possible uniquement avec les préférences • De très nombreuses options Active Directory 2008 R2 (70-640) alphorm.com™©
  • 158. Traitement des stratégies en boucle • À l'ouverture de session d'un utilisateur, les paramètres utilisateur issus des GPO dont l'étendue comprend un objet ordinateur sont appliqués. Expérience utilisateur cohérente sur un ordinateur Salles de conférence, kiosques, ateliers informatiques, Infrastructure de bureau virtuel (VDI), RDS/TS, etc. • Configuration ordinateurStratégiesModèles d'administrationSystèmeStratégie de groupe ordinateurStratégies d'administrationSystème Mode de traitement en boucle de la stratégie de groupe utilisateur • Mode de remplacement L'utilisateur n'obtient aucun des paramètres utilisateur dont l'étendue comprend l'utilisateur… uniquement les paramètres utilisateur dont l'étendue comprend l'ordinateur. • Mode de fusion L'utilisateur obtient les paramètres utilisateur dont l'étendue comprend cet utilisateur, mais les paramètres utilisateur dont l'étendue comprend l'ordinateur se superposent à ces paramètres. L'ordinateur gagne. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 159. Traitement des stratégies en boucle Entreprise Clients Ordinateur C Utilisateur Ordinateur B+C Utilisateur B+E Active Directory 2008 R2 (70-640) Employés Ordinateur B Utilisateur B Kiosques Fusion Ordinateur B+K Utilisateur E+B+K Ordinateur Utilisateur E Bouclage Ordinateur K Utilisateur K Remplacement Ordinateur B+K Utilisateur B+K alphorm.com™©
  • 160. Examen approfondi du traitement de la stratégie de groupe • L'ordinateur démarre. Les services RPCSS (Remote Procedure Call System Service) et MUP (Multiple Universal Naming Convention Provider) démarrent. • Le Client de stratégie de groupe démarre et obtient la liste ordonnée des GPO dont l'étendue comprend l'ordinateur. Local Site Domaine UO GPO imposés • Le conteneur de stratégie de groupe (GPC) traite chaque GPO dans l'ordre. Doit-il être appliqué ? (activé/désactivé/autorisation/filtre WMI) Les extension CSE sont déclenchées pour traiter les paramètres du GPO. • Les paramètres définis sur Activé ou Désactivé sont traités. • Ouverture de session par l'utilisateur • Le processus se répète pour les paramètres utilisateur. • L'actualisation de l'ordinateur survient au démarrage, puis toutes les 90 à 120 minutes. • L'actualisation de l'utilisateur survient à l'ouverture de session, puis toutes les 90 à 120 minutes. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 161. Liaisons lentes et systèmes déconnectés • Le client de stratégie de groupe détermine si la liaison au domaine doit être considérée comme lente. Par défaut, inférieure à 500 Kbits/s Chaque CSE peut utiliser cette détermination de liaison lente pour choisir ou non d'effectuer le traitement. • L'extension CSE Logiciel, par exemple, n'effectue pas le traitement. • Environnement déconnecté Les paramètres appliqués précédemment restent en vigueur. Les exceptions comprennent les scripts de démarrage, d'ouverture de session, de fermeture de session et d'arrêt. • Environnement connecté Windows Vista et les versions ultérieures détectent les nouvelles connexions et actualisent la stratégie de groupe lorsqu'une fenêtre d'actualisation a été manquée pendant la déconnexion. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 162. Entrée en vigueur des paramètres • La réplication des GPO doit survenir. Le GPC et le GPT doivent être répliqués. • Les modifications de groupe doivent être intégrées. Fermeture/ouverture de session pour l'utilisateur ; redémarrage pour l'ordinateur • L'actualisation de la stratégie de groupe doit survenir. Clients Windows XP, Windows Vista et Windows 7 Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session • Les paramètres nécessitent parfois une fermeture/ouverture de session (utilisateur) ou un redémarrage (ordinateur) pour prendre effet. • Actualisation manuelle : GPUpdate [/force] [/logoff] [/boot] • La plupart des extensions CSE ne réappliquent pas les paramètres si le GPO n'a pas changé. Ordinateur d'administrationSystème Configuration dans OrdinateurModèles d'administrationSystèmeStratégie de groupe Active Directory 2008 R2 (70-640) alphorm.com™©
  • 163. Ce qu’on a couvert • Ordre de traitement de la stratégie de groupe • Liens de GPO • Héritage et priorité des objets GPO • Filtrage de sécurité pour modifier l'étendue d'un objet GPO • Filtres WMI • Activation ou désactivation d'objets GPO et de nœuds de GPO • Ciblage des préférences • Traitement en boucle des strategies • Examen approfondi du traitement de la stratégie de groupe FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 164. Implémentation d'une infrastructure de stratégie de groupe Résolution des problèmes liés à l'application des stratégies Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 165. Plan • Jeu de stratégies résultant • Génération des rapports RSoP • Assistant Modélisation de stratégie de groupe • Examen des journaux d'événements de stratégie Active Directory 2008 R2 (70-640) alphorm.com™©
  • 166. Jeu de stratégies résultant • Effet cumulatif d'une stratégie de groupe Un utilisateur ou un ordinateur appartient généralement à l'étendue de plusieurs GPO. Paramètres potentiellement en conflit : priorité • Outils indiquant dans un rapport les paramètres appliqués et le GPO « vainqueur » en cas de paramètres conflictuels • Outils permettant de modéliser les effets des modifications apportées à l'infrastructure de stratégie de groupe ou à l'emplacement des objets dans Active Directory Active Directory 2008 R2 (70-640) alphorm.com™©
  • 167. Jeu de stratégies résultant • L'héritage, les filtres, les boucles et les autres facteurs d'étendue et de priorité sont complexes. • RSoP « Résultat final » de l'application d'une stratégie Outils simplifiant l'évaluation, la modélisation et la résolution des problèmes d'application des paramètres de stratégie de groupe • Trois outils RSoP Assistant Résultats de stratégie de groupe Assistant Modélisation de stratégie de groupe GPResult.exe Active Directory 2008 R2 (70-640) alphorm.com™©
  • 168. Génération des rapports RSoP • Assistant Résultats de stratégie de groupe Interroge l'infrastructure WMI pour générer des rapports sur l'application réelle d'une stratégie de groupe • Spécifications Identifiants d'administrateur sur l'ordinateur cible Accès à l'infrastructure WMI (pare-feu) L'utilisateur doit avoir ouvert au moins une session. • Le rapport RSoP Peut être enregistré S'affiche en mode Avancé • Expose des paramètres qui n'apparaissent pas dans le rapport HTML • Présente les événements du traitement de la stratégie de groupe Active Directory 2008 R2 (70-640) alphorm.com™©
  • 169. Assistant Modélisation de stratégie de groupe • Analyses basées sur des hypothèses par l'Assistant Modélisation de stratégie de groupe • Assistant Modélisation de stratégie de groupe Émule l'application d'une stratégie de groupe pour générer un rapport RSoP anticipé Active Directory 2008 R2 (70-640) alphorm.com™©
  • 170. Examen des journaux d'événements de stratégie • Journal système Informations générales sur la stratégie de groupe Erreurs en un endroit quelconque du système, susceptibles d'affecter la stratégie de groupe • Journal des applications Événements enregistrés par les extensions CSE • Journal opérationnel de la stratégie de groupe Suivi détaillé de l'application d'une stratégie de groupe Active Directory 2008 R2 (70-640) alphorm.com™©
  • 171. Ce qu’on a couvert • Jeu de stratégies résultant • Génération des rapports RSoP • Assistant Modélisation de stratégie de groupe • Examen des journaux d'événements de stratégie FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 172. Gestion de la configuration et de la sécurité avec des GPOs Délégation du support technique des ordinateurs Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 173. Plan • Fonctionnement du support technique des ordinateurs • Définition de l'appartenance aux groupes à l'aide des préférences de la stratégie de groupe Active Directory 2008 R2 (70-640) alphorm.com™©
  • 174. Fonctionnement des stratégies de groupes restreints • Les stratégies de Groupes restreints permettent de gérer l'appartenance aux groupes. Membre de • Stratégie pour un groupe de domaine • Désignation de son appartenance à un groupe local • Cumulative Active Directory 2008 R2 (70-640) Membres • Stratégie pour un groupe local • Désignation de ses membres (groupes et utilisateurs) • Faisant autorité alphorm.com™©
  • 175. Définition des membres un groupes à • Créer, supprimer ou remplacerde groupe local l'aide des préférences • Renommer un groupe local • Changer la Description • Modifier l'appartenance à un groupe • Les préférences Groupe local sont accessibles dans Configuration ordinateur et Configuration utilisateur. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 176. Ce qu’on a couvert • Fonctionnement du support technique des ordinateurs • Définition de l'appartenance aux groupes à l'aide des préférences de la stratégie de groupe FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 177. Gestion de la configuration et de la sécurité avec des GPOs Gestion des paramètres de sécurité Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 178. Plan • Qu'est-ce que la gestion des stratégies de sécurité ? • Configurer la stratégie de sécurité locale • Gérer la configuration de la sécurité à l'aide des modèles de sécurité • Utilisation de Configuration et analyse de la sécurité • Assistant Configuration de la sécurité Active Directory 2008 R2 (70-640) alphorm.com™©
  • 179. Qu'est-ce que la gestion des stratégies de sécurité ? • Gérer la configuration de la sécurité Créez la stratégie de sécurité. Appliquez-la à un ou plusieurs systèmes. Analysez les paramètres de sécurité par rapport à la stratégie. Mettez la stratégie à jour ou corrigez les incohérences du système. • Outils Stratégie de groupe local et Stratégie de groupe de domaine Modèles de sécurité (composant logiciel enfichable) Configuration et analyse de la sécurité (composant logiciel enfichable) Assistant Configuration de la sécurité Active Directory 2008 R2 (70-640) alphorm.com™©
  • 180. La stratégie de sécurité locale et de domaine • Stratégie de sécurité locale • Stratégie de groupe de domaine Active Directory 2008 R2 (70-640) alphorm.com™©
  • 181. Les modèles de sécurité • Les paramètres sont un sous-ensemble des paramètres du GPO domaine, mais diffèrent du GPO local. • Modèles de sécurité Fichiers au format texte Applicables directement à un ordinateur • Configuration et analyse de la sécurité • Secedit.exe Déployables avec la Stratégie de groupe Permet de comparer les paramètres de sécurité actuels d'un ordinateur par rapport à ceux du modèle de sécurité Active Directory 2008 R2 (70-640) alphorm.com™©
  • 182. L'outil de ConfigurationSecedit.exe de la sécurité • et analyse • Construire votre propre console MMC • Créer une base de données Importer un ou des modèles • Utiliser la base de données Analyser un ordinateur Corriger les incohérences secedit /configure /db BaselineSecurity.sdb /cfg BaselineSecurity.inf /log BaselineSecurity.log secedit /generaterollback /cfg BaselineSecurity.inf /rbk BaselineSecurityRollback.inf /log BaselineSecurityRollback.log Configurer l'ordinateur Exporter sous forme de modèle Active Directory 2008 R2 (70-640) alphorm.com™©
  • 183. Assistant Configuration de la sécurité • Stratégie de sécurité : fichier .xml qui configure : Configuration de services à base de rôles La sécurité du réseau, notamment les règles du pare-feu Les valeurs du registre La stratégie d'audit Peut comprendre un modèle de sécurité (.inf) • Créer la stratégie • Modifier la stratégie • Appliquer la stratégie • Annuler la stratégie • Transformer la stratégie en objet GPO /p:"MySecurity.xml /g:"Mon p:"MySecurity.xml" scwcmd transform /p:"MySecurity.xml" /g:"Mon nouveau GPO" Active Directory 2008 R2 (70-640) alphorm.com™©
  • 184. Ce qu’on a couvert • Qu'est-ce que la gestion des stratégies de sécurité ? • Configurer la stratégie de sécurité locale • Gérer la configuration de la sécurité à l'aide des modèles de sécurité • Utilisation de Configuration et analyse de la sécurité • Assistant Configuration de la sécurité FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 185. Gestion de la configuration et de la sécurité avec des GPOs Gestion des logiciels avec GPSI Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 186. Plan • Fonctionnement de l'installation de logiciels de la stratégie de groupe (GPSI) • Création d'un point de distribution de logiciels • Maintenance des logiciels déployés avec un objet GPO • GPSI et liaisons lentes Active Directory 2008 R2 (70-640) alphorm.com™©
  • 187. Fonctionnement de GPSI • Extension côté client (CSE) • Installe les packages pris en charge Packages Windows Installer (fichiers .msi msi) • Éventuellement modifiés par Transform (.mst ou des correctifs (.msp .mst) .msp) • GPSI installe automatiquement avec des privilèges élevés élevés. Package d'applications de bas niveau (.zap zap) zap • Pris en charge uniquement par l'option Publier • Exige un utilisateur avec privilèges Admin SCCM (System Center Configuration Manager) et d'autres outils de déploiement peuvent prendre en charge un grand nombre de packages d'installation et de configuration. • Aucun « retour » Pas d'indication centralisée sur la réussite ou l'échec Aucune gestion intégrée des mesures, de l'audit et des licences Active Directory 2008 R2 (70-640) alphorm.com™©
  • 188. Fonctionnement de GPSI (suite) • Options de déploiement de logiciels Affectation de l'application aux utilisateurs • Les raccourcis du menu Démarrer apparaissent. - Installation à la demande • Associations de fichiers effectives (Installation automatique en option) - Installation à l'invocation de document • En option, configurer pour l'installation à la connexion Publier l'application pour les utilisateurs • Publié dans Programmes et fonctionnalités (Panneau de configuration) - Installation sur requête Affectation aux ordinateurs • Installation au démarrage Active Directory 2008 R2 (70-640) alphorm.com™©
  • 189. Démonstration : Création d'un point de distribution de logiciels • Créer un dossier partagé • Y mettre les logiciels : XML Notepad : http://www.microsoft.com/enus/download/details.aspx?id=7973 Active Directory 2008 R2 (70-640) alphorm.com™©
  • 190. GPSI • Redéploiement d'application Après une installation réussie, le client ne tentera pas de réinstaller l'application. Vous devrez modifier le package. Package Toutes les tâches Redéployer l'application • Mise à niveau d'une application Créez un nouveau package dans le même GPO ou dans un autre. Avancé Mises à niveau Sélectionner le package à mettre à niveau Commencez par désinstaller l'ancienne version ou remplacez-la par la nouvelle. • Suppression d'une application Package Toutes les tâches Supprimer Désinstallez immédiatement (retrait forcé) ou empêchez les nouvelles installations (retrait optionnel). Ne supprimez pas le GPO et n'annulez pas son lien avant que tous les clients n'aient appliqué le paramètre. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 191. GPSI et liaisons lentes • Le Client de stratégie de groupe détermine si le contrôleur de domaine qui fournit les GPO est à l'autre extrémité d'une liaison lente. < 500 Kbits/s par défaut • Chaque extension CSE identifie les liaisons lentes pour décider si le traitement doit avoir lieu. Par défaut, GPSI ne traite pas en cas de liaison lente. • Vous pouvez modifier le comportement de traitement en cas de liaison lente pour chaque extension CSE. ordinateurStratégies d'administration Système Configuration ordinateurStratégiesModèles d'administration SystèmeStratégie de groupe • Vous pouvez modifier le seuil de liaison lente. utilisateur] Stratégies d'administration Système Configuration ordinateur [ou utilisateur] StratégiesModèles d'administration SystèmeStratégie de groupe Active Directory 2008 R2 (70-640) alphorm.com™©
  • 192. Ce qu’on a couvert • Fonctionnement de l'installation de logiciels de la stratégie de groupe (GPSI) • Création d'un point de distribution de logiciels • Maintenance des logiciels déployés avec un objet GPO • GPSI et liaisons lentes FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 193. Gestion de la configuration et de la sécurité avec des GPOs Les stratégies d'audit Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 194. Plan • Présentation des stratégies d'audit • Définition des paramètres d'audit sur un fichier ou un dossier • Activation d'une stratégie d'audit • Évaluation des événements dans le journal de sécurité Active Directory 2008 R2 (70-640) alphorm.com™©
  • 195. Présentation des stratégies d'audit • Audit des événements d'une catégorie d'activités Accès aux fichiers/dossiers NTFS Modifications des comptes ou des objets dans Active Directory Ouverture de session Affectation ou utilisation de droits d'utilisateur • Par défaut, les contrôleurs de domaine auditent les événements de réussite de la plupart des catégories. • Objectif : aligner les stratégies d'audit sur les stratégies de sécurité et les besoins concrets de l'entreprise Excès d'audit : les journaux sont si volumineux qu'il est difficile d'y localiser les événements importants. Audit insuffisant : les événements importants ne sont pas journalisés. Des outils très utiles peuvent vous aider à regrouper les journaux. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 196. L'audit sur un fichier ou un dossier • Modification de la liste de contrôle d'accès système (SACL) Propriétés Avancé Audit Modification Active Directory 2008 R2 (70-640) alphorm.com™©
  • 197. Activation de la stratégie d'audit • Activation de l'audit de l'accès aux objets : Réussite et/ou Échec • L'étendue de l'objet GPO doit être définie sur le serveur. • Le paramètre de stratégie Réussite/Échec doit correspondre aux paramètres d'audit (réussite/échec). Active Directory 2008 R2 (70-640) alphorm.com™©
  • 198. Évaluation des événements dans le journal de sécurité • Journal de sécurité • Récapitulatif La stratégie Auditer l'accès aux objets doit être activée pour auditer la Réussite ou l'Échec. • L'étendue de l'objet GPO doit être définie sur le serveur. La liste de contrôle d'accès système (SACL) doit être configurée pour auditer les accès ayant réussi ou échoué. L'examen du journal de sécurité est nécessaire. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 199. Ce qu’on a couvert • Présentation des stratégies d'audit • Définition des paramètres d'audit sur un fichier ou un dossier • Activation d'une stratégie d'audit • Évaluation des événements dans le journal de sécurité FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 200. Gestion de la configuration et de la sécurité avec des GPOs Audit de l'administration d'Active Directory Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 201. Plan • Activation de la stratégie d'audit • Amélioration de la stratégie d'audit • Consultation des événements audités dans le journal de la sécurité Active Directory 2008 R2 (70-640) alphorm.com™©
  • 202. Amélioration de la stratégie d'audit • Une entrée du journal des événements signale que « cet objet a été modifié ». • Difficultés à identifier l'attribut qui a été modifié • Impossible de connaître l'ancienne ou la nouvelle valeur de l'attribut • Modification du service d'annuaire Identifie l'objet, l'attribut et les anciennes et nouvelles valeurs Non activé par défaut 4 sous categories : • Directory Service Access • Directory Service Changes • Directory Service Replication • Detailed Directory Service Replication À activer depuis l'invite de commande : /subcategory subcategory:"modification /success:enable auditpol /set /subcategory:"modification du service d’annuaire" /success:enable Active Directory 2008 R2 (70-640) alphorm.com™©
  • 203. Ce qu’on a couvert • Activation de la stratégie d'audit • Amélioration de la stratégie d'audit • Consultation des événements audités dans le journal de la sécurité FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 204. Amélioration de la sécurité de l'authentification Configuration des stratégies de mot de passe et de verrouillage Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 205. Plan • Principes de la stratégie de mot de passe • Fonctionnement des stratégies de verrouillage des comptes • Configuration de la stratégie du domaine pour les mots de passe et le verrouillage • Stratégie affinée pour les mots de passe et le verrouillage (PSO) • Les étapes d’implementation des objets PSO (Password Settings Object) • Priorité des objets PSO et objet PSO résultant Active Directory 2008 R2 (70-640) alphorm.com™©
  • 206. Principes de la stratégie de mot de passe • Les stratégies de mot de passe se composent des éléments suivants : Conserver l'historique des mots de passe : 24 mots de passe Durée de vie maximale du mot de passe : 42 jours Durée de vie minimale du mot de passe : 1 jour Longueur minimale du mot de passe : 7 caractères Le mot de passe doit respecter des exigences de complexité : activé Enregistrer les mots de passe en utilisant un chiffrement réversible : désactivé Active Directory 2008 R2 (70-640) alphorm.com™©
  • 207. Principes de la stratégie de verrouillage de compte • Les stratégies de verrouillage des comptes se composent des éléments suivants : Durée de verrouillage : non défini Seuil de verrouillage : 0 tentative d'ouverture de session non valide Réinitialiser le compteur de verrouillage du compte après : non défini • Permettent d'atténuer la menace des attaques en force visant les comptes d'utilisateur • Déverrouillage Tout utilisateur verrouillé peut être déverrouillé par un administrateur. La stratégie de réinitialisation du verrouillage de compte peut définir un délai après lequel un compte verrouillé est automatiquement déverrouillé. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 208. • La stratégie de mot de passe et de Les stratégies de mot de passe du domaine sont définies par l'objet GPO prioritaire dont verrouillage l'étendue comprend les contrôleurs de domaine. Par défaut, il s'agit du GPO de la stratégie de domaine par défaut. • Recommandations : Modifiez les paramètres des stratégies de mot de passe, de verrouillage et Kerberos dans le GPO par défaut du domaine. N'utilisez pas le GPO par défaut du domaine pour déployer d'autres paramètres de stratégie. Ne définissez pas les paramètres de mot de passe, de verrouillage ou Kerberos du domaine dans un autre objet GPO. • Les paramètres de stratégie sont remplacés par les options des comptes utilisateur. utilisateur. jamais. Le mot de passe n'expire jamais. réversible. Enregistrez les mots de passe avec un chiffrement réversible. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 209. Stratégie affinée pour les mots de passe et le verrouillage Les stratégies affinées autorisent la cohabitation de plusieurs stratégies de mot de passe et de verrouillage dans le même domaine. Stratégie du domaine : Longueur : 10 Âge max. : 90 Verrouillage : 5 en 30 min Réinitialisé : 30 min Le mot de passe n'expire jamais Longueur : 64 Verrouillage : Aucune Comptes de service Active Directory 2008 R2 (70-640) Administrateurs Utilisateurs Finances Longueur : 15 Âge max. : 45 Verrouillage : 5 en 60 min Réinitialisé : 1 jour Longueur : 15 Âge max. : 60 Verrouillage : 5 en 30 min Réinitialisé : 30 min alphorm.com™©
  • 210. Les étapes d’implementation des objets PSO • http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx • Conditions : Le niveau fonctionnel de domaine Windows Server 2008 est obligatoire. Les objets PSO peuvent uniquement être appliqués à des utilisateurs ou à des groupes globaux. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 211. Priorité des objets PSO et objets PSO résultants • Un même objet PSO peut être lié à plusieurs groupes ou utilisateurs. • Un même groupe ou utilisateur peut être lié à plusieurs objets PSO. • Un seul objet PSO « l'emporte » : l'objet PSO résultant. résultant. Priorité : plus le nombre est faible (proche de 1), plus la priorité est élevée. Le PSO de groupe global dont la priorité est la plus élevée (la plus proche de 1) l'emporte. Tout objet PSO lié à un utilisateur remplace tous les objets PSO des groupes globaux. L'objet PSO lié à un utilisateur dont la priorité est la plus élevée (la plus proche de 1) l'emporte. • Attribut msDS-ResultantPSO d'un utilisateur dans l'Éditeur d'attributs msDSCliquez sur le bouton Filtrer et vérifiez que Construit est sélectionné. • En l'absence de PSO, les stratégies des comptes du domaine s'appliquent. • Recommandations Utilisez uniquement des objets PSO liés à des groupes. Ne les liez pas à des objets utilisateur. Évitez de donner la même valeur de priorité à deux objets PSO. • Les objets PSO ne peuvent pas être « liés » à une UO. Créez un groupe instantané contenant tous les utilisateurs de l'UO. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 212. Ce qu’on a couvert • Principes de la stratégie de mot de passe • Fonctionnement des stratégies de verrouillage des comptes • Configuration de la stratégie du domaine pour les mots de passe et le verrouillage • Stratégie affinée pour les mots de passe et le verrouillage (PSO) • Les étapes d’implementation des objets PSO (Password Settings Object) • Priorité des objets PSO et objet PSO résultant FIN Active Directory 2008 R2 (70-640) alphorm.com™©
  • 213. Amélioration de la sécurité de l'authentification Audit de l'authentification Hamid HARABAZAN Fondateur d’alphorm.com Site : http://alphorm.com Blog : http://alphorm.com/blog Forum : http://alphorm.com/forum Active Directory 2008 R2 (70-640) Certifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,… Contact : contact@alphorm.com alphorm.com™©
  • 214. Plan • Événements de connexion aux comptes et événements de connexion • Configuration des stratégies d'audit liées à l'authentification • Définition de l'étendue des stratégies d'audit • Examen des événements de connexion Active Directory 2008 R2 (70-640) alphorm.com™©
  • 215. Événements de connexion aux comptes et événements de connexion Événement de connexion au compte • Événements de connexion au compte Enregistrés par le système qui authentifie le compte Pour les comptes de domaine : contrôleurs de domaine Événement de connexion Pour les comptes locaux : ordinateur local • Événements de connexion Enregistrés par l'ordinateur sur lequel l'utilisateur a ouvert une session ou auquel il s'est connecté Ouverture de session interactive : système de l'utilisateur Connexion réseau : serveur Active Directory 2008 R2 (70-640) Événement de connexion alphorm.com™©
  • 216. Configurer les stratégies d'audit liées à l'authentification • Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit La configuration par défaut de Windows Server 2008 consiste à auditer les événements Opération réussie pour les événements de connexion au compte et de connexion. Active Directory 2008 R2 (70-640) alphorm.com™©
  • 217. d'audit Stratégie Contrôleurs de domaine par défaut Compte de connexion au compte Contrôleurs de domaine Active Directory 2008 R2 (70-640) GPO personnalisé Événements de connexion Serveurs Bureau à distance Clients Finance alphorm.com™©
  • 218. Examiner les événements de connexion • Journal Sécurité du système qui a généré l'événement Contrôleur de domaine qui a authentifié l'utilisateur : connexion au compte • Remarque : pas de réplication dans les autres contrôleurs de domaine Système sur lequel l'utilisateur a ouvert une session ou auquel il s'est connecté : connexion Active Directory 2008 R2 (70-640) alphorm.com™©
  • 219. Ce qu’on a couvert • Événements de connexion aux comptes et événements de connexion • Configuration des stratégies d'audit liées à l'authentification • Définition de l'étendue des stratégies d'audit • Examen des événements de connexion FIN Active Directory 2008 R2 (70-640) alphorm.com™©

×