Alphorm.com : Formation Active directory 2008 R2 (70-640)

Active Directory 2008 R2 (70-640)

Présentation et installation de l’AD:

Présentation de
l'Active Directory
Hamid HARABAZAN
Fondateur d’alphorm.com
Site : http://alphorm.com
Blog : http://alphorm.com/blog
Forum : http://alphorm.com/forum


Certifications : MCT, MCITP, VCP, A+,
Server+, Linux+, LPIC-1, CCENT/CCNA,…
Contact : contact@alphorm.com

alphorm.com™©

Plan
• Authentification autonome

• Domaine

• Introduction de

• Réplication

l’authentification avec l’Active
Directory
• Active Directory comme base

de données

• Sites
• Arborescence
• Forêt

• Unités d'organisation

• Catalogue global

• Gestion à base de stratégies

• Niveau fonctionnel

• Banque de données Active

• Partitions d'applications et DNS

Directory

• Contrôleurs de domaine


• Relations d'approbation

alphorm.com™©

• Ressource
• Utilisateur (compte utilisateur, compte ordinateur, compte service)
• Le besoin de protéger des informations


alphorm.com™©

Authentification autonome (groupe de travail)
• Le magasin d'identités est la base de données du Gestionnaire des

comptes de sécurité (SAM) dans le système Windows.
• Pas de magasin d'identités approuvées
• Plusieurs comptes d'utilisateur
• Gestion difficile des mots de passe


alphorm.com™©

Introduction de l’authentification avec l’Active Directory


alphorm.com™©

Active Directory
• Magasin d'identités centralisé et approuvé par tous les membres du

domaine. Il stocke des informations sur les utilisateurs, les groupes, les
ordinateurs et les autres identités
• Service d'authentification centralisé. L'authentification Kerberos utilisée

dans Active Directory fournit l'authentification unique. Les utilisateurs ne
sont authentifiés qu'une fois.
• Hébergé par un serveur jouant le rôle d'un contrôleur de domaine des

Services de domaine Active Directory
(AD DS)
• Services Active Directory
Services de domaine Active Directory (AD DS)
Services AD LDS (Active Directory Lightweight Directory Services)
Services de certificats Active Directory (AD CS)
Services AD RMS (Active Directory Rights Management Services)
Services ADFS (Active Directory Federation Services)


alphorm.com™©

Composants et concepts d'Active Directory
• Active Directory comme base de données
• Démonstration : schéma Active Directory
• Banque de données Active Directory
• Domaine
• Réplication
• Sites
• Arborescence
• Forêt


alphorm.com™©

Active Directory comme base de données
• Active Directory est une base de données
Chaque « enregistrement » est un objet
•

Utilisateurs, groupes, ordinateurs...

Chaque « champ » est un attribut
•

Nom de connexion, SID, mot de passe, description, appartenance...

• Services : Kerberos, DNS, réplication, etc.
En fin de compte, AD DS est à la fois une base de données et les
services qui prennent en charge ou utilisent cette base de données.

• Accès à la base de données
Outils Windows, interfaces utilisateur et composants
API (.NET, VBScript, Windows PowerShell)
Lightweight Directory Access Protocol (LDAP)


alphorm.com™©

Banque de données Active Directory
• %racinesystème%NTDSntds.dit
racinesystème% NTDS
• Partitions logiques
Schéma
Contexte d'appellation de domaine
Configuration
Catalogue global (aussi appelé Jeu d'attributs
partiel [PAS, Partial Attribute Set])
DNS (partitions d'applications)

Maître d'opérations
du schéma

Configuration

• SYSVOL
%racinesystème%SYSVOL
Scripts d'ouverture
de session

NTDS.DIT

*Domaine*
DNS

Stratégies

PAS


alphorm.com™©

Gestion à base de stratégies
• Active Directory propose un point unique de gestion pour la sécurité et

la configuration par des stratégies
Stratégie de groupe
•

Stratégie de mot de passe et de verrouillage du domaine

•

Stratégie d'audit

•

Configuration

•

Appliquée aux utilisateurs ou aux ordinateurs par une étendue d'objet de
stratégie de groupe contenant des paramètres de configuration

Stratégies affinées pour les mots de
passe et le verrouillage


alphorm.com™©

Contrôleurs de domaine
• Les serveurs jouant le rôle AD DS :
hébergent la base de données Active Directory (NTDS.DIT) et SYSVOL ;
•

sont répliqués entre les contrôleurs de domaine.

Service Centre de distribution de clés Kerberos (KDC) : authentification
Autres services Active Directory

• Pratiques recommandées
Disponibilité : au moins deux par domaine
Sécurité : installation minimale, contrôleurs de domaine en lecture seule


alphorm.com™©

Domaine
• Composé d'un ou plusieurs contrôleurs de

domaine
• Tous les contrôleurs de domaine répliquent le

contexte d'appellation de domaine
Le domaine est le contexte dans lequel sont créés les
utilisateurs, les groupes, les ordinateurs, etc.
Les « limites de réplication »

• Source d'identité approuvée : tout contrôleur de

domaine peut authentifier toute ouverture de
session dans le domaine
• Le domaine est l'étendue (limite) maximale pour

certaines stratégies d'administration
Mot de passe
Verrouillage


alphorm.com™©

Réplication
• Réplication multimaître
Objets et attributs dans la base de données
Le contenu de SYSVOL est répliqué.
• Plusieurs composants travaillent pour créer une topologie de

réplication robuste et efficace, et pour répliquer les modifications
granulaires dans Active Directory.
• La partition de configuration de la base de données stocke des

informations sur les sites, la topologie du réseau et la réplication.
CD1

CD3

CD2


alphorm.com™©

Sites
• Objet Active Directory qui représente une partie bien connectée de votre

réseau
Associé à des objets de sous-réseau représentant des sous-réseaux IP

• Réplication intrasite/intersites
La réplication au sein d'un site se produit très rapidement (15 à 45 secondes).
La réplication entre sites peut être gérée.

• Localisation des services
Ouverture de session sur un contrôleur de
domaine de votre site
Site B

Site A


alphorm.com™©

Arborescence
• Un ou plusieurs domaines dans une même instance d'AD DS qui

partagent un espace de noms DNS contigu

alphorm.local
alphardtech.local

maghreb.alphorm.local


alphorm.com™©

Forêt
• Un ensemble d'une ou plusieurs arborescences de domaines Active

Directory
• Le premier domaine est le domaine racine de la forêt.
forêt
• Une seule configuration et un seul schéma répliqués dans tous les

contrôleurs de domaine de la forêt
• Une limite de sécurité et de réplication


alphorm.com™©

Catalogue global
• Jeu d'attributs partiel (PAS)

ou catalogue global

Domaine A

• Contient tous les objets

PAS

dans chaque domaine de la
forêt
• Contient uniquement les

attributs sélectionnés
• Un type d'index
• Peut être consulté depuis

tout domaine

Domaine B
PAS

• Très important pour de

nombreuses applications


alphorm.com™©

Niveau fonctionnel
• Niveaux fonctionnels de domaine
• Niveaux fonctionnels de forêt
• Contrôle :
Les fonctionncalités fournies par le domaine
Le OS des contrôleurs de domaines


alphorm.com™©

Partitions d'applications et DNS
• Active Directory et DNS sont étroitement

intégrés.
• Relation un à un entre le nom de domaine DNS

et l'unité de domaine logique d'Active Directory
• Dépendance totale vis-à-vis du DNS pour

localiser les ordinateurs et les services dans le
domaine
• Un contrôleur de domaine agissant comme

serveur DNS peut stocker les données de la
zone dans Active Directory même, dans une
partition d'applications.


Maître d'opérations du
schéma

Configuration
Domaine
DNS
PAS

alphorm.com™©

Relations d'approbation
• Étend le concept de magasin d'identités approuvées à un autre domaine
• Le domaine d'approbation (avec les ressources) approuve les services de

magasin d'identités et d'authentification du domaine approuvé.
• Un utilisateur approuvé peut s'authentifier auprès du domaine autorisé à

approuver et accéder à ses ressources.
• Dans une forêt, chaque domaine approuve tous les autres domaines.

Domaine
approuvé


Domaine autorisé
à approuver

alphorm.com™©

Unités d'organisation
• Conteneurs
Users
Computers
Des conteneurs qui prennent
également en charge la gestion
et la configuration des objets à
l'aide d'une stratégie de groupe
Elles créent des unités
d'organisation pour :
•

déléguer les autorisations
administratives ;

•

appliquer la stratégie de
groupe.


alphorm.com™©

Ce qu’on a couvert :
• Authentification autonome

• Domaine

• Introduction de

• Réplication

l’authentification avec l’Active
Directory
• Active Directory comme base

de données

• Sites
• Arborescence
• Forêt





• Banque de données Active


Directory



FIN

alphorm.com™©



Installation de l'AD sur un
Windows Complet
Hamid HARABAZAN



alphorm.com™©

Plan
• Installation de l’OS
• Taches initiales
• Rôle vs Fonctionnalité
• Ajout AD DS


alphorm.com™©

• Taches initiales
• Rôle vs Fonctionnalité
• Ajout AD DS

FIN

alphorm.com™©



Installation de l'AD sur un
Windows Core
Hamid HARABAZAN



alphorm.com™©

Plan
• Fonctionnement de l'installation minimale
• Taches initiales (sconfig)
• Installation de l'AD en CLI


alphorm.com™©

Fonctionnement de l'installation minimale
Installation minimale : 3 Go d'espace disque, 256 Mo de RAM
Pas d'interface utilisateur graphique : Interface utilisateur locale de
ligne de commande. Utilisation possible des outils d'interface utilisateur
graphique à distance
• Rôles

• Fonctionnalités

Services de domaine Active Directory

Cluster de basculement Microsoft

Active Directory AD LDS

Équilibrage de la charge réseau

Serveur DHCP

Sous-système pour applications UNIX

Serveur DNS

Sauvegarde Windows

Services de fichiers

MPIO (Multipath I/O)

Serveur d'impression

Gestion du stockage amovible

Services de diffusion multimédia en
continu

Chiffrement de lecteur BitLocker Windows
SNMP

Serveur Web : HTML. La version R2 ajoute
.NET.

WINS

Hyper-V

Client Telnet
Qualité de service (QoS)


alphorm.com™©

• Fonctionnement de l'installation minimale
• Taches initiales (sconfig)
• Installation de l'AD en CLI

FIN

alphorm.com™©

Administration
sécurisée et efficace de l'AD :

Les consoles de gestion
de l'AD
Hamid HARABAZAN



alphorm.com™©

Plan
• Les 5 consoles de gestion d’Active Directory
• Powershell pour Active Directory
• Création d’une structure avec les Unités

d'organisation
• La console des GPOs


alphorm.com™©

Les 5 consoles de gestion d’Active Directory
• Utilisateurs et ordinateurs Active Directory
Gérer au quotidien les objets les plus courants, dont les utilisateurs, les groupes, les
ordinateurs, les imprimantes et les dossiers partagés

• Sites et services Active Directory
Gérer la réplication, la topologie du réseau et les services associés

• Domaines et approbations Active Directory
Configurer et gérer les relations d'approbation et le niveau fonctionnel du domaine
et de la forêt

• Schéma Active Directory
Administrer le schéma
À enregistrer avec la commande : regsvr32 schmmgmt dll
schmmgmt.dll

• Centre d’administration d’Active Directory
Un peu de tous ☺

• Powershell pour Active Directory :
Get-ADUser –Filter * -SearchBase ‘’dc=alphorm,dc=local’’


alphorm.com™©

• Les 5 consoles de gestion d’Active Directory
• Powershell pour Active Directory
• Création d’une structure avec les Unités

d'organisation
• La console des GPOs

FIN

alphorm.com™©

Administration

Consoles personnalisées
et privilèges minimum
Hamid HARABAZAN



alphorm.com™©

Plan
• Préparer le lab de cette vidéo :
Créer un compte utilisateur
Attacher CL01 au domaine

• Bonne pratique : avoir deux comptes (normal et

administrateur)
• Création d'une console MMC personnalisée pour

administrer Active Directory
• Administration sécurisée avec des privilèges minimum,

Exécuter en tant qu'administrateur et Contrôle de compte
d'utilisateur


alphorm.com™©

• Préparer le lab de cette vidéo :
Créer un compte utilisateur
Attacher CL01 au domaine

• Bonne pratique : avoir deux comptes (normal et

administrateur)
• Création d'une console MMC personnalisée pour

administrer Active Directory
• Administration sécurisée avec des privilèges minimum,

Exécuter en tant qu'administrateur et Contrôle de compte
d'utilisateur

FIN


alphorm.com™©

Administration

Rechercher des objets
dans Active Directory
Hamid HARABAZAN



alphorm.com™©

Plan
• Le besoin de rechercher des objets dans Active

Directory
• La boîte de dialogue de recherche
• Tri et colonnes
• La commande Rechercher
• Déterminer l'emplacement d'un objet
• Les requêtes enregistrées


alphorm.com™©

Recherche d'objets dans Active Directory
• Lorsque vous affectez des autorisations à un dossier ou un fichier
Sélectionnez le groupe ou l'utilisateur auquel les autorisations sont affectées.
• Lorsque vous ajoutez des membres à un groupe
Sélectionnez l'utilisateur ou le groupe qui sera ajouté en tant que membre.
• Lorsque vous configurez un attribut lié tel que Géré par
Sélectionnez l'utilisateur ou le groupe qui sera affiché
dans l'onglet Géré par.
• Lorsque vous devez administrer un utilisateur, un groupe ou un

ordinateur
Effectuez une recherche pour trouver l'objet dans Active Directory, au lieu de
le rechercher manuellement.


alphorm.com™©

Détermination de l'emplacement d'un objet
1.

Vérifiez que l'option Fonctionnalités avancées est sélectionnée
dans le menu Affichage de la console MMC.

2.

Recherchez l'objet.

3.

Ouvrez sa boîte de dialogue Propriétés
Propriétés.

4.

Ouvrez l'onglet Objet
Objet.

5.

Affichez le Nom canonique de l'objet

ou
•

Dans la boîte de dialogue Rechercher, Affichage
colonnes et ajoutez la colonne Publié à.


Choisir les

alphorm.com™©

Les requêtes enregistrées
• Utilisateurs
Désactivés
Dans date d'expiration
Non loggués depuis 30j
Paris
Finance
Tous : (objectClass=user)
Jamais loggués :
(&(objectCategory=person)(objectClass=user))(|(lastLogon=0)(!(lastLogon
objectCategory=person)(objectClass=user))(|(lastLogon=0)(!(lastLogon=*)))
(&(objectCategory=person)(objectClass=user))(|(lastLogon=0)(!(lastLogon=*)))
Créés après 20/01/2010 : (objectCategory=user)(whenCreated>=20100120000000.0Z)
objectCategory=user)(whenCreated>=20100120000000.0Z)
=user)(whenCreated

• Ordinateurs
Désactivés
Tous : (objectCategory=group)
objectCategory=group)

• Groupes
Tous : (objectCategory=computer)
objectCategory=computer)


alphorm.com™©

• Le besoin de rechercher des objets dans Active

Directory
• La boîte de dialogue de recherche
• Tri et colonnes
• La commande Rechercher
• Déterminer l'emplacement d'un objet
• Les requêtes enregistrées

FIN

alphorm.com™©

Administration

Utiliser les commandes DS
Hamid HARABAZAN



alphorm.com™©

Plan
• Créer les objets
• Noms uniques (DN) et Noms communs (CN)
• Les commandes DS
• Recherche d'objets avec DSQuery
• Extraction des attributs des objets avec DSGet
• Envoi de noms uniques à d'autres commandes DS
• Modification des attributs des objets avec DSMod
• Suppression d'un objet avec DSRm
• Transfert d'un objet avec DSMove
• Ajout d'un objet avec DSAdd
• Administration sans l'interface utilisateur graphique


alphorm.com™©

Noms uniques (DN) et Noms communs (CN)

CN (nom commun)

Nom unique

cn=Hamid HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local

ou=Vente,ou=Utilisateurs,dc=alphorm,dc=local
Nom unique


alphorm.com™©

Commandes DS
• DSQuery. Exécute une requête en fonction des paramètres définis
DSQuery.

sur la ligne de commande et renvoie la liste des objets
correspondants.
• DSGet. Renvoie les attributs définis d'un objet.
DSGet.
• DSMod. Modifie les attributs définis d'un objet.
DSMod.
• DSMove. Transfère un objet vers un nouveau conteneur ou une
DSMove.

nouvelle UO.
• DSAdd. Crée un objet dans l'annuaire.
DSAdd.
• DSRm. Supprime un objet ou tous les objets dans l'arborescence
DSRm.

sous un objet conteneur ou les deux.

• DScommand /?

Exemple : dsquery /?


alphorm.com™©

Recherche d'objets avec DSQuery
• dsquery objectType –attribut “critères” BaseDN –scope {subtree|onelevel|base}
subtree|onelevel|base}

objectType : utilisateur, ordinateur, groupe, unité d'organisation
-limit commutateur pour spécifier le nombre de résultats
•

100 est la valeur par défaut

•

0 signifie « renvoyer tous les résultats »

attribut est spécifique à objectType : dsquery objectType /?
•

Exemples pour utilisateur : -name, -samid, -office, -desc

critères entre guillemets s'il y a un espace. Les caractères génériques (*) sont
autorisés.
BaseDN Spécifier le début et l'étendue de la recherche, Par défaut, l'étendue de la
recherche est l'ensemble du domaine.


alphorm.com™©

Recherche d'objets avec DSQuery
Exemples :
• dsquery user -name "Jam*"
• dsquery user "ou=Admins,dc=alphorm,dc=com" -name "Dan*"
• dsquery group DC=alphorm,DC=Com
• dsquery site -o rdn
• dsquery user domainroot -name *smith -inactive 3


alphorm.com™©

Extraction des attributs des objets avec DSGet
•

dsget objectType objectDN -attribut
Syntaxe courante pour de nombreuses commandes DS

•

Exemple :
dsget user “cn=Hamid
HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local" -email

•

Quelle différence existe-t-il entre DSGet et DSQuery ?


alphorm.com™©

Modification des attributs des objets avec DSMod
•

dsmod objectType "objectDN" -attribut "nouvelle valeur"

•

Exemple :

•

dsmod user "cn=Hamid HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local" dept “IT"

•

dsquery user "ou=Utilisateurs,dc=alphorm,dc=local " | dsmod user department “IT"


alphorm.com™©

Suppression d'un objet avec DSRm
•

dsrm objectDN
Notez que DSRm n'a pas besoin de objectType

•

Exemple :
dsrm "cn=CL123,ou=Postes,dc=alphorm,dc=local"
dsquery computer -stalepwd 90 | dsrm


alphorm.com™©

Transfert d'un objet ave DSMove
•

dsmove objectDN –newparent targetOUDN
objectDN : objet à déplacer
targetOUDN : unité d'organisation cible (destination)

•

dsmove objectDN –newname nouveauNom
objectDN : objet à déplacer
nouveauNom : nouveau nom de l'objet (utilisé dans le RDN)


alphorm.com™©

Ajout d'un objet avec DSAdd
•

dsadd objectType objectDN -attribut "valeur"
objectType : classe d'objet à ajouter
objectDN : unité d'organisation dans laquelle créer l'objet
-attribut "valeur" : attributs à renseigner
•

•

Chaque classe d'objet requiert des attributs.

Exemple :
dsadd ou "ou=Lab,dc=alphorm,dc=local"


alphorm.com™©

Administration sans l'interface graphique utilisateur
• Invite de commandes
Commandes DS
csvde.exe et ldifde.exe
• LDAP
ldp.exe
• Windows PowerShell
• Scripts
Scripts Windows PowerShell
VBScript


alphorm.com™©

• Créer les objets
• Noms uniques (DN) et Noms communs (CN)
• Les commandes DS
• Recherche d'objets avec DSQuery
• Extraction des attributs des objets avec DSGet
• Envoi de noms uniques à d'autres commandes DS
• Modification des attributs des objets avec DSMod
• Suppression d'un objet avec DSRm
• Transfert d'un objet avec DSMove
• Ajout d'un objet avec DSAdd
• Administration sans l'interface utilisateur graphique


FIN
alphorm.com™©


Administration

Gestion à distance de l’AD
Hamid HARABAZAN



alphorm.com™©

Plan
• Depuis un autre serveur Windows 2008 R2
• Depuis Windows Seven
• RDP
• Commandes ds à distance


alphorm.com™©

RDP
• RDP depuis un serveur
• RDP depuis un client Seven
• Bureaux à distance depuis un serveur
• Bureaux à distance depuis un client Seven :

http://www.microsoft.com/download/en/details.aspx?displaylang=en&i
d=21101


alphorm.com™©

Depuis un client Seven
• Installer les RSAT

http://www.microsoft.com/download/en/details.aspx?displayla
ng=en&id=7887
• Lancer les consoles AD DS depuis un client Seven
• Lancer le Gestionnaire du serveur à distance depuis un client

Seven
• Lancer la Gestion d'ordinateur à distance depuis un client Seven


alphorm.com™©

• Depuis un autre serveur Windows 2008 R2
• Depuis Windows Seven
• RDP
• Commandes ds à distance

FIN

alphorm.com™©


Gestion des utilisateurs :

Création et administration
des comptes d'utilisateur
Hamid HARABAZAN



alphorm.com™©

Plan
• Qu’est ce que c’est un Compte d'utilisateur?
• Création d'un objet utilisateur
• Les propriétés d’un compte utilisateur
• Opération sur un compte utilisateur
Renommer un compte d'utilisateur
Réinitialisation du mot de passe d'un utilisateur
Déverrouillage d'un compte d'utilisateur
Désactivation et activation d'un compte d'utilisateur
Suppression d'un compte d'utilisateur
Déplacement d'un compte d'utilisateur
• Modification des attributs de plusieurs utilisateurs
• Création des utilisateurs avec des modèles


alphorm.com™©

Compte d'utilisateur
• Un compte d'utilisateur est un objet qui
permet l'authentification d'un utilisateur avec des attributs, notamment le nom
d'ouverture de session et le mot de passe
est une entité de sécurité associée à un identificateur de sécurité (SID) qui peut
avoir des droits d'accès aux ressources

• Un compte d'utilisateur peut être stocké
dans Active Directory®, où il permet la connexion au domaine et peut avoir des
droits d'accès aux ressources en tout point du domaine.
•

La gestion des comptes d'utilisateur du domaine est effectuée à l'aide des
composants logiciels enfichables et les commandes Active Directory.

dans la base de données locale du Gestionnaire de comptes de sécurité d'un
ordinateur membre, où il permet la connexion à l'ordinateur local et peut avoir
des droits d'accès aux ressources locales.
•

La gestion des comptes d'utilisateur locaux est effectuée à l'aide du logiciel
enfichable Utilisateurs et Groupes et la commande net local user

Le jeton %username% peut représenter la valeur de –samid, par exemple
-profile server01users%username%profile


alphorm.com™©

• Qu’est ce que c’est un Compte d'utilisateur?
• Création d'un objet utilisateur
• Les propriétés d’un compte utilisateur
• Opération sur un compte utilisateur
Renommer un compte d'utilisateur
Réinitialisation du mot de passe d'un utilisateur
Déverrouillage d'un compte d'utilisateur
Désactivation et activation d'un compte d'utilisateur
Suppression d'un compte d'utilisateur
Déplacement d'un compte d'utilisateur
• Modification des attributs de plusieurs utilisateurs
• Création des utilisateurs avec des modèles


FIN
alphorm.com™©


Gestion des utilisateurs :
Automatisation
des comptes d'utilisateur
Hamid HARABAZAN



alphorm.com™©

Plan
• Création et manipulation avec les

commandes DS
• Création et manipulation avec Powershell
• Import/export avec CSVDE
• Import/export avec LDIFDE


alphorm.com™©

Création et manipulation avec les commandes DS
• dsadd user "DNUtilisateur" –samid nom d'ouverture de session antérieur à
"DNUtilisateur
DNUtilisateur"

Windows 2000 –pwd { mot de passe | * } –mustchpwd yes
dsadd user "cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local" -samid
AStrande -fn Amy -ln Strande -display "Strande, Amy" -pwd Pa$$w0rd -desc
"Vice President, IT"
• Changer le mot de passe et obliger l’utilisateur à le modifier :

cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local"
dsmod user "cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local" –pwd
Pa$$w0rd! -mustchpwd yes
• Activer/désactiver un compte :

cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local"
=local"–
dsmod user "cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local"–
{yes|no
yes|no}
disabled {yes|no}


alphorm.com™©

Création de comptes utilisateur avec Powershell
• Le fournisseur « AD »
• New-ADUser -Name "Mary North"
• New-ADUser -Path "OU=Comptabilité,DC=alphorm,DC=local" -Name

"Mary North“ -SAMAccountName "mnorth"
• New-ADUser -Path "ou=User Accounts,dc=contoso,dc=com" -Name

"Mary North" -SAMAccountName "mary.north" -AccountPassword
(ConvertTo-SecureString -AsPlainText "Pa$$w0rd" -Force) ChangePasswordAtLogon $true -Enabled $true
• Création à partir d’un modèle :
$user = Get-ADUser "CN=etudiant 2ème
année,OU=Utilisateurs,DC=alphorm,DC=local" -Properties
MemberOf,Title,Department,Company,PhysicalDeliveryOfficeName
New-ADUser -path "OU=Utilisateurs,DC=alphorm,DC=local" -Instance $user
-Name "Mary North" -SAMAccountName "mary.north"


alphorm.com™©

Acccéder aux attributs des comptes utilisateurs avec Powershell
• Set-ADUser -Identity mary.north -EmailAddress

"mary.north@alphorm.com"
• Get-ADUser -Identity mary.north | Set-ADUser -EmailAddress

"mary.north@alphorm.com"

• $user = Get-ADUser -Identity mary.north
• $user.mail = "mary.north@alphorm.com"
• Set-ADUser -Instance $user

• Set-ADAccountPassword -Identity "mary.north" –Reset
• Set-ADAccountPassword -Identity "mary.north" -Reset -NewPassword

(ConvertTo-SecureString -AsPlainText "Pa$$w0rd" -Force)


alphorm.com™©

Importer un CSV sous Powershell
• import-csv "C:importps.csv" | New-ADUser
• import-csv "C:importps.csv" | New-ADUser -organization alphorm.com


alphorm.com™©

Exporter des utilisateurs avec CSVDE
Exportation

• CSVDE.exe
Active Directory

nom_fichier.csv

Importation

• CSV (fichier de valeurs séparées par une virgule ou de texte délimité par des

virgules)
Peut être modifié avec un simple éditeur de texte (Notepad) ou Microsoft Office
Excel®

• CSVDE.exe
csvde -f nomfichier -d DNracine -p ÉtendueRecherche -r Filtre
-l ListeAttributs
DNracine : Début de l'exportation (par défaut = domaine)
ÉtendueRecherche : Étendue de l'exportation (Base,OneLevel,Subtree)
Filtre : Filtre dans l'étendue (langage de requêtes LDAP)
ListeAttributs : Utilisation du nom LDAP


alphorm.com™©

Importer des utilisateurs avec CSVDE
Exportation

• CSVDE.exe
Active Directory

nom_fichier.ldf

Importation

• CSVDE.exe
csvde –i -f NomFichier [-k]
i. Importation (le mode par défaut est l'exportation)
k. Poursuivre en cas d'erreur (par exemple lorsque l'objet existe déjà)
• Les mots de passe ne sont pas importés. Les utilisateurs créés sont

donc désactivés.
• Les utilisateurs existants ne peuvent pas être modifiés.


alphorm.com™©

Importation des utilisateurs avec LDIFDE
Exportation

• LDIFDE.exe
Active Directory

nom_fichier.ldf

Importation

• LDIF (LDAP Data Interchange Format)
• LDIFDE.exe
ldifde [-i] [-f NomFichier] [-k]
i. Importation (le mode par défaut est l'exportation)
k. Poursuivre en cas d'erreur (par exemple lorsque l'objet existe déjà)
• Les mots de passe ne sont pas importés. Les utilisateurs créés sont

donc désactivés.
• Possibilité de modification ou de suppression des utilisateurs

existants


alphorm.com™©

• Création et manipulation avec les

commandes DS
• Création et manipulation avec Powershell
• Import/export avec CSVDE
• Import/export avec LDIFDE

FIN

alphorm.com™©


Gestion des groupes :

Gestion d'une entreprise
avec des groupes
Hamid HARABAZAN



alphorm.com™©

Plan
• Qu’est ce que c’est un groupe?
• Gestion des accès sans utiliser des groupes
• Simplification de la gestion par l'utilisation de groupes
• Évolutivité de l'utilisation des groupes
• Un seul type de groupe ne suffit pas
• Gestion à base de rôles : Groupes de rôles et groupes de règles
• Type de groupe
Groupe de sécurité
Groupe de distribution

• Étendue d'un groupe
Groupes locaux
Groupes globaux
Groupes universels

• Développement d'une stratégie de gestion des groupes (IGDLA)
• Définition des conventions d'appellation pour les groupes


alphorm.com™©

Gestion des accès sans utiliser des groupes

Identité


Gestion des accès

Ressource

alphorm.com™©

Gestion des ajouts aux groupes

Identité

Groupe

Ressource

Gestion des accès


alphorm.com™©

Évolutivité des ajouts au groupes

Identité

Groupe

Ressource

Gestion des accès


alphorm.com™©

Un seul type de groupe ne suffit pas

Identité

Groupe


Gestion des accès

Ressource

alphorm.com™©

Gestion à base de rôles : Groupes de rôles et groupes de règles

Identité

Groupe de rôles Groupe de règles

Ressource

Gestion des accès


alphorm.com™©

Type de groupe
• Groupes de distribution
Utilisés uniquement avec les applications de messagerie
impossible d'accorder des autorisations
• Groupes de sécurité
Entité de sécurité avec un SID ; des autorisations peuvent être
accordées
Peuvent prendre en charge la messagerie


alphorm.com™©

Étendue du groupe
• Un groupe peut avoir 4 étendues
Locale
Globale
Locale de domaine
Universelle
• Caractéristiques de chaque étendue
Réplication.
Réplication Où sont stockés le groupe et sa liste de membres ?
Membres.
Membres Quels types d'objets, provenant de quels domaines, peuvent
être membres d'un groupe ?
étendue)
Disponibilité (étendue). Où le groupe peut-il être utilisé ? Dans quelles
étendues le groupe peut-il se trouver ? Le groupe peut-il être ajouté à une
liste ACL ?


alphorm.com™©

Groupes locaux
• Réplication
Définition dans le Gestionnaire de comptes de sécurité (SAM) d'un membre de
domaine ou d'un ordinateur de groupe de travail
Aucune réplication en dehors de l’ordinateur local

• Membres : Un groupe local peut inclure :
tout type d'entité de sécurité du domaine : utilisateurs (U), ordinateurs (O),
groupes globaux (GG) ou groupes locaux de domaine (GLD)
U, O, GG de tout domaine de la forêt
U, O, GG de tout domaine approuvé
groupes universels (GU) définis dans un domaine de la forêt

• Disponibilité / étendue
Limitée à l'ordinateur dans lequel le groupe est défini. Peut-être utilisé pour les
listes ACL sur l'ordinateur local uniquement
Ne peut pas appartenir à un autre groupe


alphorm.com™©

Groupes globaux
• Réplication
Définition dans le contexte d'appellation du domaine
Groupe et membres répliqués sur chaque CD du domaine
• Membres : Un groupe global peut inclure :

Uniquement les entités de sécurité du même domaine : U, O, GG, GLD
Peut être utilisé par tous les membres d'un domaine, tous les autres
domaines de la forêt et tous les domaines externes autorisés à
approuver.
Peut être sur les listes ACL de toute ressource ou tout ordinateur de ces
domaines
Peut être membre de tout GLD ou GU de la forêt, et de tout GLD d'un
domaine externe autorisé à approuver
• Bien adapté à la définition de rôles


alphorm.com™©

Groupes universels
• Réplication
Définis dans un seul domaine de la forêt
Répliqué sur le catalogue global (à l'échelle de la forêt)

• Membres : Un groupe universel peut inclure :
U, O, GG et GU de tout domaine de la forêt

Disponible pour chaque domaine et membre de domaine de la forêt
Peut être sur les listes ACL de toute ressource sur tout système de la forêt
Peut être membre des autres GU ou GLD n'importe où dans la forêt

• Utile dans les forêts multi-domaines
Définition de rôles incluant des membres de plusieurs domaines
Définition de règles de gestion d'entreprise pour gérer les ressources de
plusieurs domaines de la forêt


alphorm.com™©

Groupes locaux de domaine
• Réplication
Définition dans le contexte d'appellation du domaine
Groupe et membres répliqués sur chaque CD du domaine

• Membres : un groupe local de domaine peut inclure :
tout type d'entité de sécurité du domaine : U, O, GG, GLD
U, O, GG de tout domaine de la forêt
U, O, GG de tout domaine approuvé
GU définis dans un domaine de la forêt

Peut être sur les listes ACL de toute ressource ou membre du domaine
Peut être membre des autres groupes locaux du domaine ou des groupes
locaux de l'ordinateur

• Bien adapté à la définition de règles de gestion d'entreprise


alphorm.com™©

Récapitulatif des possibilités de l'étendue des groupes
Étendue du
groupe

Membres d'un
même domaine

Membres d'un
domaine de la
même forêt

Membres d'un
domaine
externe
approuvé

Attribution
d'autorisations
sur les ressources

Locale

U, O,
GG, GLD, GU
et utilisateurs
locaux

U, O,
GG, GU

U, O,
GG

Dans l'ordinateur
local uniquement

Locale de
domaine

U, O,
GG, GLD, GU

U, O,
GG, GU

U, O,
GG

N'importe où
dans le domaine

Universelle

U, O,
GG, GU

U, O,
GG, GU

S/O

N'importe où
dans la forêt

Globale

U, O,
GG

S/O

S/O

N'importe où
dans le domaine
ou un domaine
approuvé

U
O
GG
GLD
GU

Utilisateur
Ordinateur
Groupe global
Groupe local de domaine
Groupe universel


alphorm.com™©

Développer une stratégie de gestion de groupes (IGDLA)
• Identités (utilisateurs ou ordinateurs)

membres de
• Groupes Globaux

qui collectent des membres
en fonction de leurs rôles
qui sont membres de
• Groupes de Domaine

Locaux
qui assurent des
fonctions de
gestion, telles que la
gestion de l'accès aux
ressources
qui
• ont Accès à une ressource (par exemple, sur une liste ACL)
• constituent une forêt multi-domaines : IGUDLA
U


alphorm.com™©

Gestion à base de rôles et stratégie de gestion de groupes Windows

Gestion des accès

Identité Groupe de rôles Groupe de règles
Identité

Globale


Locale de domaine

Ressource
Accès

alphorm.com™©

Définition des conventions d'appellation pour les groupes
• Propriétés liées au nom
groupe.
Nom de groupe. cn et nom de groupe -- unique dans l'UO
Nom de groupe (avant Windows 2000). sAMAccountName du groupe - unique dans
le domaine
Utiliser le même nom (unique dans le domaine) pour les deux propriétés

• Conventions d'appellation
rôles.
Groupes de rôles. Nom simple unique, tel que GG_Vente ou GU_Vente
gestion.
Folders_L,
Groupes de gestion. Par exemple, ACL_Sales Folders_L ACL_Docs_Finance_E
Préfixe.
Préfixe. Fonction de gestion du groupe, par exemple liste ACL


alphorm.com™©

• Qu’est ce que c’est un groupe?
• Gestion des accès sans utiliser des groupes
• Simplification de la gestion par l'utilisation de groupes
• Évolutivité de l'utilisation des groupes
• Un seul type de groupe ne suffit pas
• Gestion à base de rôles : Groupes de rôles et groupes de règles
• Type de groupe
Groupe de sécurité
Groupe de distribution

• Étendue d'un groupe
Groupes locaux
Groupes globaux
Groupes universels

FIN

• Développement d'une stratégie de gestion des groupes (IGDLA)
• Définition des conventions d'appellation pour les groupes


alphorm.com™©



Propriétés et opérations
des groupes
Hamid HARABAZAN



alphorm.com™©

Plan
• Documenter les groupes
• Protéger les groupes contre la suppression accidentelle
• Déléguer la gestion des membres
• Changer le type de groupe
• Opérations : Déplacer, Supprimer, Renommer
• Groupes par défaut
• Identités spéciales


alphorm.com™©

Documenter les groupes
• Pourquoi décrire les groupes ?
Faciliter leur identification lors des recherches
Mieux comprendre comment et quand utiliser un groupe

• Établir et respecter une convention d'appellation stricte
Un préfixe, par exemple, permet de différencier
APP_Budget et ACL_Budget_Edit
Un préfixe facilite la recherche d'un groupe dans la boîte de dialogue de sélection

• Indiquer la fonction d'un groupe avec son attribut de description
Apparaît dans le volet d'informations du composant Utilisateurs et ordinateurs Active
Directory

• Détailler la fonction d'un groupe dans la zone des commentaires


alphorm.com™©

Application des appartenances
• Les modifications de la liste des membres ne sont pas appliquées

immédiatement


alphorm.com™©

Délégation de la gestion des membres
• L'onglet Géré par a deux fonctions :
Fournir des informations de contact indiquant qui gère le groupe
L'utilisateur (ou le groupe) indiqué peut modifier les membres des groupes
si l'option "Le gestionnaire peut mettre à jour la liste des membres" est
sélectionnée
• Conseil
Il faut cliquer sur OK (et pas
uniquement sur Appliquer) pour
changer l'ACL du groupe
Pour définir un groupe dans la zone
Nom, cliquez sur Modifier, puis sur
Types d'objet, puis sur Groupes


alphorm.com™©

Groupes par défaut
• Groupes locaux par défaut dans les conteneurs BUILTIN et Utilisateurs
Administrateurs de l'entreprise, Administrateurs du schéma, Administrateurs, Admins du
domaine, Opérateurs de serveur, Opérateurs de compte, Opérateurs de sauvegarde,
Opérateurs d'impression

• Problèmes liés à ces groupes
Excès de délégation
•

Les opérateurs de compte, par exemple, peuvent ouvrir des sessions sur un
contrôleur du domaine (CD).

• Recommandation : Laisser ces groupes vides et créer des groupes personnalisés

avec les droits et privilèges nécessaires


alphorm.com™©

Identités spéciales
• L'appartenance aux groupes est gérée par Windows :
Impossible de les afficher, les modifier ni les ajouter à d'autres groupes
Peuvent être utilisées sur les listes ACL
• Exemples
Ouverture de session anonyme. Représente les connexions à un ordinateur
sans nom d'utilisateur ni mot de passe
Utilisateurs authentifiés. Représente les identités authentifiées, mais n'inclut
pas l'identité Invité
Tout le monde. Inclut Utilisateurs authentifiés et Invité (mais pas Ouverture
de session anonyme par défaut dans Windows Server 2003/2008)
Interactif. Utilisateurs connectés en session locale ou Bureau à distance
Réseau. Utilisateurs accédant à une ressource par le réseau


alphorm.com™©

• Documenter les groupes
• Protéger les groupes contre la suppression accidentelle
• Déléguer la gestion des membres
• Changer le type de groupe
• Opérations : Déplacer, Supprimer, Renommer
• Groupes par défaut
• Identités spéciales

FIN

alphorm.com™©



Automatisation des groupes
Hamid HARABAZAN



alphorm.com™©

Plan
• Création de groupes avec DSAdd
• Modification des membres des groupes avec DSMod
• Extraction des membres des groupes avec DSGet
• Copie des membres des groupes
• Déplacement des groupes et changement de leurs noms
• Suppression de groupes
• Importation de groupes avec CSVDE
• Importation de groupes avec LDIFDE
• Modification des membres des groupes avec LDIFDE
• Conversion de l'étendue et du type de groupe
• Gestion des groupes avec Powershell


alphorm.com™©

Création de groupes avec DSAdd
• dsadd group DNGroupe –secgrp {yes|no} –scope {g | l | u}

DNGroupe.
DNGroupe. Nom unique du groupe à créer
-secgrp. Security-enabled (yes=sécurité ; no=distribution)
secgrp
-scope. étendue (globale, locale du domaine, universelle)
scope
g
-samid. sAMAccountName (non nécessaire, par défaut cn)
samid
Description.
-desc Description attribut description
espace)
-member MemberDN …. Liste des membres (séparés par un espace à ajouter
lors de la création du groupe
espace)
-memberof DNGroupe …. Liste des groupes (séparés par un espace auxquels
ajouter ce groupe
• Exemples :
"CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local"
GG_HelpDesk,OU=
dsadd group "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" –
GG_HelpDesk,
samid GG_HelpDesk, –secgrp yes –scope g


alphorm.com™©

Modification des membres des groupes avec DSMod
• dsmod group "DNGroupe" [options]
-addmbr "Member DN"
addmbr
-rmmbr "Member DN“
rmmbr
• Exemples :
GG_HelpDesk,OU=
dsmod group "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local"
addmbr "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local"
"CN=james bond,OU=Utilisateurs,DC=alphorm,DC=local"
"CN=james bond,OU=Utilisateurs,DC=alphorm,DC=local"
GG_HelpDesk,OU=
dsmod group "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local"
rmmbr "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local"


alphorm.com™©

Extraction des membres des groupes avec DSGet
• Aucune option pour obtenir la liste complète des membres d'un groupe

dans Utilisateurs et ordinateurs Active Directory
• DSGet permet d'obtenir la liste complète (y compris des membres

imbriqués)
imbriqués
• dsget group "DNGroupe" –members [-expand]
Liste des membres d'un groupe (DNGroupe), pouvant inclure
les membres imbriqués (-expand)
Exemple : dsget group
GG_HelpDesk,OU=
"CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" –members -expand
• dsget {user|computer} "DNObjet" –memberof [-expand]
• Liste des appartenances d'un utilisateur ou un ordinateur (DNObjet),

pouvant inclure les appartenances à des groupes imbriqués (-expand)
• Exemple : dsget user "CN=hamid
"CN=hamid

harabazan,OU=Utilisateurs,DC=alphorm,DC=local"
harabazan,OU=Utilisateurs,DC=alphorm,DC=local" –memberof -expand


alphorm.com™©

Copie des membres de groupes
• Copie des membres d'un groupe dans un autre
"CN=GG_Marketing,OU Groupes,DC=alphorm,DC=local"
GG_Marketing,OU=
dsget group "CN=GG_Marketing,OU=Groupes,DC=alphorm,DC=local" –
members | dsmod group
"CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local
GG_HelpDesk,OU=
=local"
"CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" –addmbr

• Copie des appartenances d'un utilisateur sur un autre
"CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local"
dsget user "CN=hamid harabazan,OU=Utilisateurs,DC=alphorm,DC=local" –
"CN=james
memberof | dsmod group –addmbr "CN=james
bond,OU=Utilisateurs,DC=alphorm,DC=local"
bond,OU=Utilisateurs,DC=alphorm,DC=local"


alphorm.com™©

Déplacer et renommer des groupes
Cliquez avec le bouton droit sur le groupe, puis cliquez sur Déplacer ou
Renommer

• Commande DSMove
dsmove DNObjet [-newname NouveauNom]
[-newparent DNUOcible]
•

DNObjet est le DN du groupe

•

-newparent DNUOcible déplace le groupe dans une nouvelle UO

•

-newname NouveauNom modifie le cn du groupe
- Il faut utiliser DSMod Group pour modifier sAMAccountName

• dsmove "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" –newparent
GG_HelpDesk,OU=

"OU=Utilisateurs,DC=alphorm,DC=local"
"OU=Utilisateurs,DC=alphorm,DC=local"
Utilisateurs,DC
• dsmove "CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" –newname
GG_HelpDesk,OU=

"GG_Support"
GG_Support"
• dsmod group "CN=GG_Support,OU=Groupes,DC=alphorm,DC=local" -samid
"CN=GG_Support,OU Groupes,DC=alphorm,DC=local"
GG_Support,OU=

"GG_Support"
GG_Support"


alphorm.com™©

Suppression de groupes
• Utilisateurs et ordinateurs Active Directory : Clic droit, Supprimer
• Commande DSRm
dsrm DNObjet ... [-subtree [-exclude]] [-noprompt] [-c]
•

-noprompt évite les demandes de confirmation de chaque suppression

•

-c permet de continuer en cas d'erreur (refus d'accès par exemple)

•

-subtree supprime l'objet et tous les objets enfants

•

-subtree -exclude supprime tous les objets enfants mais pas l'objet lui-même

• Exemples :
• dsrm "CN=GG_Support,OU=Groupes,DC=alphorm,DC=local"
• La suppression d'un groupe de sécurité entraîne des conséquences

importantes
Le SID est perdu et ne peut plus être rétabli même si le groupe est à nouveau créé
Conseil : D'abord, enregistrez puis supprimez tous les membres durant une
période de test, pour évaluer tous les effets indésirables possibles


alphorm.com™©

Importation de groupes avec CSVDE
• csvde -i -f "nomfichier" [-k]
-i. Importation (mode par défaut : exportation)
-f. Nom du fichier
-k. Poursuivre en cas d'erreur (par exemple si un objet existe déjà)
• CSVDE permet de créer des groupes, pas de modifier les groupes

existants


alphorm.com™©

Importation de groupes avec LDIFDE
• Ldifde -i -f "nomfichier" [-k]
-i. Importation (mode par défaut : exportation)
-f. Nom du fichier
-k. Poursuivre en cas d'erreur (par exemple si un objet existe déjà)


alphorm.com™©

Modification des membres des groupes avec LDIFDE
• Fichier LDIF
• Changetype: modify
• 3e ligne : Quel type de modification ? Ajouter une valeur à un membre
Supprimer un membre, modifier pour supprimer : member
• L'opération de modification se termine par une ligne contenant

uniquement –


alphorm.com™©

Conversion d'étendue et de type de groupe
• dsmod group DNGroupe –secgrp {yes|no } –scope {l|g|u}
{l|g|u
l|g|u}
• Exemples :

CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local"
GG_HelpDesk,OU=
dsmod group CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local"
GG_Marketing –secgrp no
CN=GG_HelpDesk,OU Groupes,DC=alphorm,DC=local"
GG_HelpDesk,OU=
dsmod group CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local"
GG_Marketing –secgrp yes –scope u


alphorm.com™©

Gestion des groupes avec Powershell
• Help *adgroup* ou Get-Command *ADGroup*
• Get-ADGroup
• New-ADGroup
• Remove-ADGroup
• Set-ADGroup
• Get-ADGroup GG_marketing -Properties members
• Get-ADGroupMember -Identity "GG_HelpDesk"
• New-ADGroup -Path

"CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" -Name
"GG_HelpDesk -sAMAccountName "GG_HelpDesk" -GroupCategory
Security -GroupScope Global
• Add-ADGroupMember -Identity "GG_HelpDesk" -Members "CN=hamid

harabazan,OU=Utilisateurs,DC=alphorm,DC=local"


alphorm.com™©

• Création de groupes avec DSAdd
• Modification des membres des groupes avec DSMod
• Extraction des membres des groupes avec DSGet
• Copie des membres des groupes
• Déplacement des groupes et changement de leurs noms
• Suppression de groupes
• Importation de groupes avec CSVDE
• Importation de groupes avec LDIFDE
• Modification des membres des groupes avec LDIFDE
• Conversion de l'étendue et du type de groupe
• Gestion des groupes avec Powershell


FIN
alphorm.com™©


Support des comptes d'ordinateur:

Création d'ordinateurs
et jonction au domaine
Hamid HARABAZAN



alphorm.com™©

Plan
• Groupes de travail, domaines et

approbations
• Création et jonction au domaine
• Sécurisation de la création d'ordinateurs et

des jonctions


alphorm.com™©

Groupes de travail, domaines et approbations


alphorm.com™©

Création et jonction au domaine
• Méthode 1 :
Jonction directe au domaine
Redémarrage
Le compte ordinateur et créé dans le conteneur « Computers »
Déplacer dans la OU appropriée
• Méthode 2 :
Définissez au préalable (pré-création) un ordinateur dans l'UO appropriée
(possibilité de délégation)
Jonction
Redémarrage


alphorm.com™©

Sécuriser la création d'ordinateurs et les jonctions
• Limitation de la capacité des utilisateurs à créer des ordinateurs
Par défaut, tout utilisateur peut joindre 10 ordinateurs au domaine.
•

La prédéfinition n'est pas nécessaire.

Définissez la valeur ms-DS-MachineAccountQuota sur 0.
ms-DS-

• Délégation, aux groupes appropriés, de l'autorisation de créer des objets

ordinateur dans les UO appropriées
• Prédéfinition des objets ordinateur dans les UO appropriées
L'ordinateur est dans l'UO appropriée et n'a pas besoin d'être déplacé.
La Stratégie de groupe s'applique à l'ordinateur dès sa jonction au domaine.

• Configuration du conteneur Ordinateurs par défaut
redircmp "DN de l'UO pour les nouveaux objets ordinateur"


alphorm.com™©

• Groupes de travail, domaines et

approbations
• Création et jonction au domaine
• Sécurisation de la création d'ordinateurs et

des jonctions

FIN

alphorm.com™©


Support des comptes d'ordinateur:

Propriétés et opérations
des comptes d'ordinateur
Hamid HARABAZAN



alphorm.com™©

Plan
• Configuration des attributs d'ordinateur
• Comptes d'ordinateur et canal sécurisé
• Identification des problèmes de comptes d'ordinateur
• Réinitialisation d'un compte d'ordinateur
• Modification du nom d'un ordinateur
• Désactivation et activation d'un ordinateur
• Suppression et recyclage des comptes d'ordinateur


alphorm.com™©

Configurer des attributs d'ordinateur
• Attributs utiles
Description
Emplacement
•

FranceParisSiegeBat3Etage22Coul3

•

Utilisé par les applications détectant l'emplacement
telles que la recherche d'imprimantes

Géré par
•

Lié à l'utilisateur correspondant à l'utilisateur principal de l'ordinateur

•

Lié au groupe responsable de l'ordinateur (serveurs)

Membre de
•

Groupes : Filtrage de stratégie de groupe, déploiement de logiciels


alphorm.com™©

Compte d'ordinateur et canal sécurisé
• Les ordinateurs ont des comptes.
un nom sAMAccountName et un mot de passe
Utilisé pour créer un canal sécurisé entre l'ordinateur et un contrôleur de
domaine
• Le canal sécurisé peut être rompu.
Lors de la réinstallation d'un ordinateur, même avec le même nom, qui
génère un nouveau SID et mot de passe.
Lors de la restauration d'un ordinateur à partir d'une ancienne sauvegarde ou
de la réapplication d'un ancien instantané
Lorsque l'ordinateur et le domaine ne sont pas d'accord sur le mot de passe


alphorm.com™©

Reconnaître les problèmes de compte d'ordinateur
• Messages d'ouverture de session

• Erreurs du journal d'événements, comprenant des mots clés tels que
Mot de passe
Approbation
Canal sécurisé
Relations avec le domaine ou les contrôleurs de domaine
• Absence d'un compte d'ordinateur dans Active Directory


alphorm.com™©

Réinitialiser un compte d'ordinateur
• Évitez de supprimer un ordinateur du domaine et de l'y joindre à nouveau.
Création d'un nouveau compte : nouveau SID, perte des appartenances aux
groupes
• Réinitialiser le canal sécurisé
Utilisateurs et ordinateurs Active Directory*
•

Cliquez du bouton droit sur l'ordinateur et choisissez Réinitialiser le compte.

DSMod*
• dsmod computer "NomUniqueOrdinateur" –reset
NetDom
• netdom reset NomOrdinateur /domain NomDomaine /UserO
NomUtilisateur /PasswordO {Mot de passe | *}
NLTest
• nltest /server:NomServeur /sc_reset:DOMAINDC

* = exige une nouvelle jonction au domaine et un redémarrage


alphorm.com™©

Renommer un ordinateur
• Servez-vous des propriétés système de l'ordinateur pour renommer

correctement ce dernier et son compte.
• NetDom
netdom renamecomputer NomOrdinateur /NewName:NouveauNom
[/UserO:NomUtilisateurLocal] [/PasswordO:{MotDePasseLocal|*}
][/UserD:NomUtilisateurDomaine]
[/PasswordD:{MotDePasseDomaine|*} ]
[/SecurePasswordPrompt] [/REBoot[:TempsEnSecondes] ]
• Soyez conscient des conséquences du changement de nom sur les services

et les certificats associés au nom de l'ordinateur.


alphorm.com™©

Désactiver et activer un ordinateur
• Désactivez un ordinateur lorsqu'il doit rester hors connexion pendant

une longue période.
L'opération correspond à la désactivation d'un utilisateur qui part en congé.
L'opération empêchant l'établissement du canal
sécurisé, les utilisateurs dont les informations
d'identification n'ont pas été mises en cache dans
l'ordinateur ne peuvent pas ouvrir de session.
Cliquez du bouton droit sur l'ordinateur et choisissez Activer le compte ou
Désactiver le compte.


alphorm.com™©

Supprimer et recycler des comptes d'ordinateur
• Suppression d'un ordinateur avec Utilisateurs et comptes Active

Directory
Cliquez du bouton droit sur l'ordinateur et choisissez Supprimer.
• La suppression détruit le SID et les appartenances aux groupes.
Lors du remplacement ou de la réinstallation d'un ordinateur, s'il doit jouer
le même rôle, réinitialisez son compte au lieu de le supprimer.
Préserve tous les attributs de l'ordinateur, y compris le SID et les
appartenances aux groupes
Vous pouvez renommer l'objet si l'ordinateur est renommé pendant la
réinstallation/mise à niveau.
Cette opération « recycle » le compte d'ordinateur.


alphorm.com™©

• Configuration des attributs d'ordinateur
• Comptes d'ordinateur et canal sécurisé
• Identification des problèmes de comptes d'ordinateur
• Réinitialisation d'un compte d'ordinateur
• Modification du nom d'un ordinateur
• Désactivation et activation d'un ordinateur
• Suppression et recyclage des comptes d'ordinateur

FIN

alphorm.com™©

Implémentation d'une infrastructure
de stratégie de groupe

Fonctionnement de
la Stratégie de groupe
Hamid HARABAZAN




alphorm.com™©

Plan
• Qu'est-ce que la gestion des configurations ?
• Aperçu et examen de la stratégie de groupe
• Création d’une stratégie de test
• Actualisation de la stratégie de groupe
• Stockage des objets GPO
• Objets GPO locaux


alphorm.com™©

configurations ?


alphorm.com™©

groupe
• Stratégies ordinateur/utilisateur
• Stratégs vs Préférences
• Étendue
• Lien de GPO Le filtrage par groupe de sécurité
• Le filtrage WMI
• Ciblage des préférences
• Paramètres
• Étendue
• Application
• Jeu de stratégies résultant
• Client de stratégie de groupe et extensions côté client


alphorm.com™©

Démonstration : Création, liaison et modification d'objets GPO
Dans cette démonstration, nous allons :
• Créer un objet GPO
• Lier un objet GPO
• Ouvrir un objet GPO pour modification
• GPO ordinateur :
Configurer Windows Update

• GPO utilisateur :
Masquer le paneau de configuration


alphorm.com™©

Actualisation de la stratégie de groupe
• À quel moment les GPO et leurs paramètres sont-ils appliqués ?
• Configuration ordinateur
Démarrage
Toutes les 90 à 120 minutes
Déclenchement : commande GPUpdate
• Configuration utilisateur
Ouverture de session
Toutes les 90 à 120 minutes
Déclenchement : commande GPUpdate


alphorm.com™©

Stockage des objets GPO
• Objet de stratégie de groupe (GPO)
Conteneur de stratégie de groupe (GPC)
•

Éditeur ADSI

•

Est stocké dans les services de domaine Active Directory.

•

Nom convivial, identificateur unique global (GUID)

•

Version

Modèle de stratégie de groupe (GPT)
•

Stocké dans le dossier SYSVOL des contrôleurs de domaine

•

Contient tous les fichiers requis pour définir et appliquer des paramètres

•

Le fichier .ini contient la Version.

• Mécanismes de réplication distincts
• GPOTool


alphorm.com™©

Objets GPO locaux
• Les GPO locaux s'appliquent avant les GPO de domaine.
Tout paramètre spécifié par un GPO de domaine remplacera celui des GPO locaux.

• gpedit.msc
Serveur
Client


alphorm.com™©

Ce qu’on a couvert
• Qu'est-ce que la gestion des configurations ?
• Aperçu et examen de la stratégie de groupe
• Création d’une stratégie de test
• Stockage des objets GPO
• Objets GPO locaux

FIN

alphorm.com™©

Plan
• Modèles d'administration
• Import des GPOs
• Paramètres gérés et non gérés, et préférences
• Magasin central
• Démonstration : Utilisation des paramètres et des objets GPO
Commentaer/Copier/Sauvegarder/Importer/Supprimer/Restaurer…
• Les objets GPO gérés et leurs paramètres


alphorm.com™©

Import des GPOs
• ADM
Avant Windows Vista et Windows 2008

• ADMX/ADML
A partir de Windows Vista et Windows 2008


alphorm.com™©

Paramètres gérés et non gérés, et préférences
Paramètre de stratégie géré
•

L'interface utilisateur est verrouillée. L'utilisateur ne peut pas modifier le paramètre.

•

Les modifications concernent l'une des quatre clés de Registre réservées.

•

La modification et le verrouillage de l'interface utilisateur sont « libérés » lorsque l'utilisateur ou
l'ordinateur n'entre plus dans l'étendue.

Paramètre de stratégie non géré
•

L'interface utilisateur n'est pas verrouillée.

•

Les modifications apportées sont permanentes ; elles « tatouent » le Registre.

Par défaut, seuls les paramètres gérés s'affichent.
Pour afficher les paramètres non gérés, définissez les Options de filtre.

• Préférences
L'effet des préférences varie.


alphorm.com™©

Magasin central
• Fichiers .ADM
Stockés dans le Modèle de stratégie de groupe (GPT)
Entraînent des problèmes de contrôle des versions et d'encombrement des GPO

• Fichiers .ADMX/.ADML
Récupérés depuis le client
Problématiques si le client ne dispose pas des fichiers appropriés

• Magasin central
Créez un dossier nommé PolicyDefinitions dans un contrôleur de domaine.
•

À distance : par-dc01SYSVOLalphorm.localPoliciesPolicyDefinitions

•

Localement : %SystemRoot%WindowsPolicyDefinitions

Copiez les fichiers .ADMX de votre dossier %SystemRoot%PolicyDefinitions.
Copiez le fichier .ADML stocké dans les sous-dossiers propres à la langue (par exemple en-us).


alphorm.com™©

Démonstration :
Utilisation des paramètres et des objets GPO.Dans cette démonstration,
nous allons :
• Utiliser des Options de filtre pour localiser des stratégies dans les

modèles d'administration
• Ajouter des commentaires à un objet GPO
• Créer un nouvel objet GPO à partir d'un GPO Starter
• Créer un nouveau GPO par copie d'un GPO existant
• Sauvegader les GPOs
• Créer un nouveau GPO par importation des paramètres exportés à

partir d'un autre GPO


alphorm.com™©

Gestion des objets GPO et de leurs paramètres
• Copier (et Coller dans un conteneur Objets GPO)
Créer une nouvelle « copie » d'un GPO et modifiez-la.
Transférer un GPO dans un domaine approuvé, par exemple test-to-production.

• Sauvegarder tous les paramètres, objets, liens, autorisations (listes ACL).
• Restaurer dans le même domaine que la sauvegarde.
• Importer les paramètres dans un nouveau GPO du même domaine ou d'un autre domaine.
Table de migration pour le mappage source/cible des chemins UNC et des noms de groupe de
sécurité

Remplace tous les paramètres du GPO (pas de « fusion »)
• Enregistrer le rapport.
• Supprimer
• Renommer


alphorm.com™©

• Import des GPOs
• Paramètres gérés et non gérés, et préférences
• Magasin central
• Démonstration : Utilisation des paramètres et des objets GPO
Commentaer/Copier/Sauvegarder/Importer/Supprimer/Restaurer…
• Les objets GPO gérés et leurs paramètres

FIN

alphorm.com™©

Plan
• Ordre de traitement de la stratégie de groupe
• Liens de GPO
• Héritage et priorité des objets GPO
• Filtrage de sécurité pour modifier l'étendue d'un objet GPO
• Filtres WMI
• Activation ou désactivation d'objets GPO et de nœuds de GPO
• Traitement en boucle des strategies
• Examen approfondi du traitement de la stratégie de groupe


alphorm.com™©

GPO OU
GPO de domaine
GPO de sites

Ordre de priorité

Ordre d’application

Ordre de traitement de la stratégie de groupe

GPO local


alphorm.com™©

Liens de GPO
• Un lien de GPO
Entraîne l'application des paramètres de stratégie de ce GPO aux utilisateurs
ou aux ordinateurs de ce conteneur
Relie le GPO à un site, à un domaine ou à une UO
•

Les sites doivent être activés dans la console GPM.

Un GPO peut être relié à plusieurs sites ou UO.
Un lien peut exister mais être désactivé.
Un lien peut être supprimé, mais le GPO existe toujours.


alphorm.com™©

Héritage et priorité des objets GPO
• L'application des GPO liés à chaque conteneur entraîne un effet cumulé appelé héritage.
Priorité par défaut : Local

Site

Domaine

UO

UO… (LSDUO)

Visible dans l'onglet Héritage de Stratégie de groupe

• Ordre des liens (attribut du lien de GPO)
Numéro inférieur

Plus haut dans la liste

Prioritaire

• Blocage de l'héritage (attribut de l'UO)
Bloque le traitement des GPO à partir du dessus

• Imposé (attribut du lien de GPO)
Les GPO imposés « ignorent » le blocage de l'héritage.
Les paramètres de GPO imposés l'emportent sur les paramètres conflictuels des GPO inférieurs.


alphorm.com™©

Filtrage de sécurité pour modifier l'étendue d'un objet GPO
• Application d'une autorisation de stratégie de groupe
Le GPO possède une liste ACL (onglet Délégation

Avancé).

Par défaut : les utilisateurs authentifiés disposent de l'autorisation Appliquer la stratégie de groupe.

• L'étendue comprend uniquement les utilisateurs du ou des groupes globaux sélectionnés.
Supprimez des utilisateurs authentifiés.
Ajoutez les groupes globaux appropriés.
•

Il doit s'agir de groupes globaux (l'étendue des GPO ne comprend pas le domaine local).

• L'étendue comprend les utilisateurs sauf ceux du ou des groupes sélectionnés.
Dans l'onglet Délégation, cliquez sur Avancé.
Ajoutez les groupes globaux appropriés.

Refusez l'autorisation Appliquer la stratégie de groupe.
N'apparaît pas dans l'onglet Délégation ni dans la section du filtrage


alphorm.com™©

Filtres WMI
• Windows Management Instrumentation (WMI)
• Langage de requêtes WMI (WQL)
Similaire à T-SQL
Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft Windows XP
Professional" AND CSDVersion="Service Pack 3"

• Création d'un filtre WMI
• Utilisation du filtre pour un ou plusieurs GPO


alphorm.com™©

Activation ou désactivation d'objets GPO et de nœuds de GPO
• Onglet Détails du GPO

Liste déroulante État GPO

• Activé : les extensions CSE appliquent les paramètres Configuration

ordinateur et Configuration utilisateur.
• Tous les paramètres désactivés : les extensions CSE ne traitent pas le

GPO.
• Paramètres de Configuration ordinateur désactivés : les extensions CSE

ne traitent pas les paramètres de Configuration ordinateur.
• Paramètres de Configuration utilisateur désactivés : les extensions CSE

ne traitent pas les paramètres de Configuration utilisateur.


alphorm.com™©

Ciblage des préférences
• Ciblage au sein d'un GPO
Étendue =
étendue du GPO
x
étendue du ciblage
Possible uniquement
avec les préférences
• De très nombreuses

options


alphorm.com™©

Traitement des stratégies en boucle
• À l'ouverture de session d'un utilisateur, les paramètres utilisateur issus des GPO dont l'étendue

comprend un objet ordinateur sont appliqués.
Expérience utilisateur cohérente sur un ordinateur
Salles de conférence, kiosques, ateliers informatiques, Infrastructure de bureau virtuel (VDI), RDS/TS, etc.

• Configuration ordinateurStratégiesModèles d'administrationSystèmeStratégie de groupe
ordinateurStratégies
d'administrationSystème
Mode de traitement en boucle de la stratégie de groupe utilisateur

• Mode de remplacement
L'utilisateur n'obtient aucun des paramètres utilisateur dont l'étendue comprend l'utilisateur… uniquement
les paramètres utilisateur dont l'étendue comprend l'ordinateur.

• Mode de fusion
L'utilisateur obtient les paramètres utilisateur dont l'étendue comprend cet utilisateur, mais les paramètres
utilisateur dont l'étendue comprend l'ordinateur se superposent à ces paramètres. L'ordinateur gagne.


alphorm.com™©

Traitement des stratégies en boucle
Entreprise

Clients

Ordinateur C
Utilisateur

Ordinateur B+C
Utilisateur B+E


Employés

Ordinateur B
Utilisateur B

Kiosques

Fusion
Ordinateur B+K
Utilisateur E+B+K

Ordinateur
Utilisateur E

Bouclage
Ordinateur K
Utilisateur K

Remplacement
Ordinateur B+K
Utilisateur B+K

alphorm.com™©

Examen approfondi du traitement de la stratégie de groupe
• L'ordinateur démarre. Les services RPCSS (Remote Procedure Call System Service) et MUP (Multiple

Universal Naming Convention Provider) démarrent.
• Le Client de stratégie de groupe démarre et obtient la liste ordonnée des GPO dont l'étendue comprend

l'ordinateur.
Local

Site

Domaine

UO

GPO imposés

• Le conteneur de stratégie de groupe (GPC) traite chaque GPO dans l'ordre.
Doit-il être appliqué ? (activé/désactivé/autorisation/filtre WMI)
Les extension CSE sont déclenchées pour traiter les paramètres du GPO.
•

Les paramètres définis sur Activé ou Désactivé sont traités.

• Ouverture de session par l'utilisateur
• Le processus se répète pour les paramètres utilisateur.
• L'actualisation de l'ordinateur survient au démarrage, puis toutes les 90 à 120 minutes.
• L'actualisation de l'utilisateur survient à l'ouverture de session, puis toutes les 90 à 120 minutes.


alphorm.com™©

Liaisons lentes et systèmes déconnectés
• Le client de stratégie de groupe détermine si la liaison au domaine doit être considérée

comme lente.
Par défaut, inférieure à 500 Kbits/s
Chaque CSE peut utiliser cette détermination de liaison lente pour choisir ou non d'effectuer le
traitement.
•

L'extension CSE Logiciel, par exemple, n'effectue pas le traitement.

• Environnement déconnecté
Les paramètres appliqués précédemment restent en vigueur.
Les exceptions comprennent les scripts de démarrage, d'ouverture de session, de fermeture de
session et d'arrêt.

• Environnement connecté
Windows Vista et les versions ultérieures détectent les nouvelles connexions et actualisent la
stratégie de groupe lorsqu'une fenêtre d'actualisation a été manquée pendant la déconnexion.


alphorm.com™©

Entrée en vigueur des paramètres
• La réplication des GPO doit survenir.
Le GPC et le GPT doivent être répliqués.

• Les modifications de groupe doivent être intégrées.
Fermeture/ouverture de session pour l'utilisateur ; redémarrage pour l'ordinateur

• L'actualisation de la stratégie de groupe doit survenir.
Clients Windows XP, Windows Vista et Windows 7
Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session

• Les paramètres nécessitent parfois une fermeture/ouverture de session (utilisateur) ou un redémarrage

(ordinateur) pour prendre effet.
• Actualisation manuelle : GPUpdate [/force] [/logoff] [/boot]
• La plupart des extensions CSE ne réappliquent pas les paramètres si le GPO n'a pas changé.
Ordinateur
d'administrationSystème
Configuration dans OrdinateurModèles d'administrationSystèmeStratégie de groupe


alphorm.com™©

• Ordre de traitement de la stratégie de groupe
• Liens de GPO
• Héritage et priorité des objets GPO
• Filtrage de sécurité pour modifier l'étendue d'un objet GPO
• Filtres WMI
• Activation ou désactivation d'objets GPO et de nœuds de GPO
• Traitement en boucle des strategies
• Examen approfondi du traitement de la stratégie de groupe

FIN


alphorm.com™©

Plan
• Génération des rapports RSoP
• Assistant Modélisation de stratégie de groupe
• Examen des journaux d'événements de stratégie


alphorm.com™©

Jeu de stratégies résultant
• Effet cumulatif d'une stratégie de groupe
Un utilisateur ou un ordinateur appartient généralement à l'étendue de
plusieurs GPO.
Paramètres potentiellement en conflit : priorité
• Outils indiquant dans un rapport les paramètres appliqués et le GPO

« vainqueur » en cas de paramètres conflictuels
• Outils permettant de modéliser les effets des modifications apportées à

l'infrastructure de stratégie de groupe ou à l'emplacement des objets
dans Active Directory


alphorm.com™©

Jeu de stratégies résultant
• L'héritage, les filtres, les boucles et les autres facteurs d'étendue et de

priorité sont complexes.
• RSoP
« Résultat final » de l'application d'une stratégie
Outils simplifiant l'évaluation, la modélisation et la résolution des problèmes
d'application des paramètres de stratégie de groupe
• Trois outils RSoP
Assistant Résultats de stratégie de groupe
Assistant Modélisation de stratégie de groupe
GPResult.exe


alphorm.com™©

Génération des rapports RSoP
• Assistant Résultats de stratégie de groupe
Interroge l'infrastructure WMI pour générer des rapports sur l'application réelle d'une stratégie de
groupe

• Spécifications
Identifiants d'administrateur sur l'ordinateur cible
Accès à l'infrastructure WMI (pare-feu)
L'utilisateur doit avoir ouvert au moins une session.

• Le rapport RSoP
Peut être enregistré
S'affiche en mode Avancé
•

Expose des paramètres qui n'apparaissent pas dans le rapport HTML

•

Présente les événements du traitement de la stratégie de groupe


alphorm.com™©

Assistant Modélisation de stratégie de
groupe
• Analyses basées sur des hypothèses par l'Assistant Modélisation de
stratégie de groupe
Émule l'application d'une stratégie de groupe pour générer un rapport RSoP

anticipé


alphorm.com™©

Examen des journaux d'événements de stratégie
• Journal système
Informations générales sur la stratégie de groupe
Erreurs en un endroit quelconque du système, susceptibles d'affecter la
stratégie de groupe
• Journal des applications
Événements enregistrés par les extensions CSE
• Journal opérationnel de la stratégie de groupe
Suivi détaillé de l'application d'une stratégie de groupe


alphorm.com™©

Gestion de la configuration et de la
sécurité avec des GPOs

Délégation du support
technique des ordinateurs
Hamid HARABAZAN




alphorm.com™©

Plan
• Fonctionnement du support technique des ordinateurs
• Définition de l'appartenance aux groupes à l'aide des

préférences de la stratégie de groupe


alphorm.com™©

Fonctionnement des stratégies de groupes restreints
• Les stratégies de Groupes restreints permettent de gérer l'appartenance

aux groupes.

Membre de
• Stratégie pour un groupe de domaine
• Désignation de son appartenance à un groupe local
• Cumulative


Membres
• Stratégie pour un groupe local
• Désignation de ses membres (groupes et
utilisateurs)
• Faisant autorité

alphorm.com™©

Définition des membres un groupes à
• Créer, supprimer ou remplacerde groupe local

l'aide des préférences

• Renommer un groupe local
• Changer la Description
• Modifier l'appartenance à un

groupe

• Les préférences Groupe local

sont accessibles dans
Configuration ordinateur et
Configuration utilisateur.


alphorm.com™©

• Fonctionnement du support technique des ordinateurs
• Définition de l'appartenance aux groupes à l'aide des

préférences de la stratégie de groupe

FIN

alphorm.com™©

Plan
• Qu'est-ce que la gestion des stratégies de sécurité ?
• Configurer la stratégie de sécurité locale
• Gérer la configuration de la sécurité à l'aide des modèles de sécurité
• Utilisation de Configuration et analyse de la sécurité
• Assistant Configuration de la sécurité


alphorm.com™©

Qu'est-ce que la gestion des stratégies de sécurité ?

• Gérer la configuration de la sécurité
Créez la stratégie de sécurité.

Appliquez-la à un ou plusieurs systèmes.
Analysez les paramètres de sécurité par rapport à la stratégie.
Mettez la stratégie à jour ou corrigez les incohérences du système.

• Outils
Stratégie de groupe local et Stratégie de groupe de domaine
Modèles de sécurité (composant logiciel enfichable)
Configuration et analyse de la sécurité (composant logiciel enfichable)
Assistant Configuration de la sécurité


alphorm.com™©

La stratégie de sécurité locale et de domaine

• Stratégie de sécurité locale

• Stratégie de groupe de domaine


alphorm.com™©

Les modèles de sécurité
• Les paramètres sont un sous-ensemble des

paramètres du GPO domaine, mais
diffèrent du GPO local.
• Modèles de sécurité
Fichiers au format texte
Applicables directement à un ordinateur
•

Configuration et analyse de la sécurité

•

Secedit.exe

Déployables avec la Stratégie de groupe
Permet de comparer les paramètres
de sécurité actuels d'un ordinateur
par rapport à ceux du modèle de sécurité


alphorm.com™©

L'outil de ConfigurationSecedit.exe de la sécurité
• et analyse

• Construire votre propre console

MMC

• Créer une base de données
Importer un ou des modèles
• Utiliser la base de données
Analyser un ordinateur
Corriger les incohérences

secedit /configure /db BaselineSecurity.sdb /cfg
BaselineSecurity.inf /log BaselineSecurity.log
secedit /generaterollback /cfg
BaselineSecurity.inf /rbk
BaselineSecurityRollback.inf
/log BaselineSecurityRollback.log

Configurer l'ordinateur
Exporter sous forme de modèle


alphorm.com™©

Assistant Configuration de la sécurité
• Stratégie de sécurité : fichier .xml qui configure :
Configuration de services à base de rôles
La sécurité du réseau, notamment les règles du pare-feu
Les valeurs du registre
La stratégie d'audit
Peut comprendre un modèle de sécurité (.inf)

• Créer la stratégie
• Modifier la stratégie
• Appliquer la stratégie
• Annuler la stratégie
• Transformer la stratégie en objet GPO
/p:"MySecurity.xml /g:"Mon
p:"MySecurity.xml"
scwcmd transform /p:"MySecurity.xml" /g:"Mon nouveau GPO"


alphorm.com™©

• Qu'est-ce que la gestion des stratégies de sécurité ?
• Configurer la stratégie de sécurité locale
• Gérer la configuration de la sécurité à l'aide des modèles de sécurité
• Utilisation de Configuration et analyse de la sécurité
• Assistant Configuration de la sécurité

FIN

alphorm.com™©

Plan
• Fonctionnement de l'installation de logiciels de la stratégie

de groupe (GPSI)
• Création d'un point de distribution de logiciels
• Maintenance des logiciels déployés avec un objet GPO
• GPSI et liaisons lentes


alphorm.com™©

Fonctionnement de GPSI
• Extension côté client (CSE)
• Installe les packages pris en charge
Packages Windows Installer (fichiers .msi
msi)
•

Éventuellement modifiés par Transform (.mst ou des correctifs (.msp
.mst)
.msp)

•

GPSI installe automatiquement avec des privilèges élevés
élevés.

Package d'applications de bas niveau (.zap
zap)
zap
•

Pris en charge uniquement par l'option Publier

•

Exige un utilisateur avec privilèges Admin

SCCM (System Center Configuration Manager) et d'autres outils de déploiement peuvent prendre en charge
un grand nombre de packages d'installation et de configuration.

• Aucun « retour »
Pas d'indication centralisée sur la réussite ou l'échec
Aucune gestion intégrée des mesures, de l'audit et des licences


alphorm.com™©

Fonctionnement de GPSI (suite)
• Options de déploiement de logiciels
Affectation de l'application aux utilisateurs
•

Les raccourcis du menu Démarrer apparaissent.
- Installation à la demande

•

Associations de fichiers effectives (Installation automatique en option)
- Installation à l'invocation de document

•

En option, configurer pour l'installation à la connexion

Publier l'application pour les utilisateurs
•

Publié dans Programmes et fonctionnalités (Panneau de configuration)
- Installation sur requête

Affectation aux ordinateurs
•

Installation au démarrage


alphorm.com™©

Démonstration :
Création d'un point de distribution de logiciels
• Créer un dossier partagé
• Y mettre les logiciels :
XML Notepad : http://www.microsoft.com/enus/download/details.aspx?id=7973


alphorm.com™©

GPSI
• Redéploiement d'application
Après une installation réussie, le client ne tentera pas de réinstaller l'application.
Vous devrez modifier le package.
Package

Toutes les tâches

Redéployer l'application

• Mise à niveau d'une application
Créez un nouveau package dans le même GPO ou dans un autre.
Avancé

Mises à niveau

Sélectionner le package à mettre à niveau

Commencez par désinstaller l'ancienne version ou remplacez-la par la nouvelle.

• Suppression d'une application
Package

Toutes les tâches

Supprimer

Désinstallez immédiatement (retrait forcé) ou
empêchez les nouvelles installations (retrait optionnel).
Ne supprimez pas le GPO et n'annulez pas son lien avant que tous les clients n'aient appliqué le paramètre.


alphorm.com™©

GPSI et liaisons lentes
• Le Client de stratégie de groupe détermine si le contrôleur de domaine qui fournit les

GPO est à l'autre extrémité d'une liaison lente.
< 500 Kbits/s par défaut

• Chaque extension CSE identifie les liaisons lentes pour décider si le traitement doit avoir

lieu.
Par défaut, GPSI ne traite pas en cas de liaison lente.

• Vous pouvez modifier le comportement de traitement en cas de liaison lente pour chaque

extension CSE.
ordinateurStratégies
d'administration Système
Configuration ordinateurStratégiesModèles d'administration SystèmeStratégie de groupe

• Vous pouvez modifier le seuil de liaison lente.
utilisateur] Stratégies
d'administration Système
Configuration ordinateur [ou utilisateur] StratégiesModèles d'administration SystèmeStratégie
de groupe


alphorm.com™©

• Fonctionnement de l'installation de logiciels de la stratégie

de groupe (GPSI)
• Création d'un point de distribution de logiciels
• Maintenance des logiciels déployés avec un objet GPO
• GPSI et liaisons lentes

FIN

alphorm.com™©

Plan
• Présentation des stratégies d'audit
• Définition des paramètres d'audit sur un fichier ou un dossier
• Activation d'une stratégie d'audit
• Évaluation des événements dans le journal de sécurité


alphorm.com™©

Présentation des stratégies d'audit
• Audit des événements d'une

catégorie d'activités
Accès aux fichiers/dossiers NTFS
Modifications des comptes ou
des objets dans Active Directory
Ouverture de session
Affectation ou utilisation de
droits d'utilisateur
• Par défaut, les contrôleurs de domaine auditent les événements de réussite de la plupart des catégories.
• Objectif : aligner les stratégies d'audit sur les stratégies de sécurité et les besoins concrets de l'entreprise

Excès d'audit : les journaux sont si volumineux qu'il est difficile d'y localiser les événements importants.
Audit insuffisant : les événements importants ne sont pas journalisés.
Des outils très utiles peuvent vous aider à regrouper les journaux.


alphorm.com™©

L'audit sur un fichier ou un dossier
• Modification de la liste de contrôle

d'accès système (SACL)
Propriétés
Avancé
Audit
Modification


alphorm.com™©

Activation de la stratégie d'audit
• Activation de l'audit de l'accès aux objets : Réussite et/ou Échec
• L'étendue de l'objet GPO doit être définie sur le serveur.
• Le paramètre de stratégie Réussite/Échec doit correspondre aux

paramètres d'audit (réussite/échec).


alphorm.com™©

Évaluation des événements dans le journal de sécurité
• Journal de sécurité
• Récapitulatif
La stratégie Auditer l'accès aux objets doit être
activée pour auditer la Réussite ou l'Échec.
•

L'étendue de l'objet GPO doit être définie sur
le serveur.

La liste de contrôle d'accès système (SACL) doit
être configurée pour auditer les accès ayant
réussi ou échoué.
L'examen du journal de sécurité est nécessaire.


alphorm.com™©

• Présentation des stratégies d'audit
• Définition des paramètres d'audit sur un fichier ou un dossier
• Activation d'une stratégie d'audit
• Évaluation des événements dans le journal de sécurité

FIN

alphorm.com™©

Alphorm.com : Formation Active directory 2008 R2 (70-640)

Alphorm.com : Formation Active directory 2008 R2 (70-640)

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (20)

Semelhante a Alphorm.com : Formation Active directory 2008 R2 (70-640)

Semelhante a Alphorm.com : Formation Active directory 2008 R2 (70-640) (20)

Mais de Alphorm

Mais de Alphorm (20)

Alphorm.com : Formation Active directory 2008 R2 (70-640)