les réseaux microsoft windows 2000/2003 active directory iut1 grenoble département r&t
TRANSCRIPT
Les réseaux MicrosoftWindows 2000/2003 Active Directory
IUT1 GRENOBLEDépartement R&T
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
Domaine NT et groupe de travail
L ’appartenance à un Domaine NT nécessite :Un nom de domaine NT Un contrôleur de domaine PDCUn compte ordinateur sur le domaine
L’appartenance à WorkgroupUn nom de groupe de travail
gtr.com
mygroup
Domaine NT et groupe de travail
Insertion dans un domaine
Déclaration d’appartenance à un workgroup
groupes Locaux et Globaux (NT)
Groupe localutilisable sur une station du domainecompte ne pouvant sortir d’un domaineun groupe local peut contenir un ou des groupes globaux
Groupe globalgroupe défini sur le PDC compte utilisable sur tout le domainePour être opérationnel, le groupe global doit être inclus dans des groupes locaux sur chaque machine.
Ex :AdminX inclus dans le groupe global «Administrateurs du domaine»«Administrateurs du domaine» inclus, sur chaque poste, dans le groupe local «Administrateurs»
Le Registre Windows
Le Registre Windows est une base de données
RoleConfiguration de la machine (matériel, système)Configuration globale de chaque logicielConfiguration des logiciels par chaque utilisateurConfiguration des droits
StructureHiérarchiqueContient des clés, sous-clés, rubriques valuéesRuche : branche du Registre stockée dans un fichier
Structure du Registre
Clés racine
Ruche NTuser.dat
Modification du Registre
Quand le Registre est-il modifié ?
Modification de façon transparenteEn utilisant les logiciels
• Installation, …• Mémorise la position de la fenêtre, le dernier fichier ouvert, …
Par les boites de dialogue « Options… »
Modification avec des outils spécifiquesregedit.exe: accès au registre « brut »gpedit.msc: stratégie de groupe local
• Stratégie Ordinateur / Stratégie Utilisateur
Par application de stratégiesDomaine NT: stratégies définies par PoleditDomaine Active Directory: stratégies de groupe
RappelsSystèmes 200xActive DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
Microsoft Windows Servers 2003
Feature Standard Edition
Enterprise Edition
Datacenter Edition
Web Edition
RAM Maximum 32 64 2
SMP 4 8 64 2Internet Connection Firewall8
Terminal Server
Services for UNIX Network Load Balancing
Cluster Service
Virtual Private Network (VPN)
Distributed File System (DFS)
Encrypting File System (EFS)
Group Policy Results
Remote OS Installation Remote Installation Services (RIS)
.NET Framework9 Internet Information Services (IIS) 6.0
ASP.NET10
Windows 2000/XP Pro n’est pas :Contrôleur de domaine
Serveur DNS
Serveur DHCP
Windows 2000/XP Pro peut être :Serveur de fichiers (10 connexions)
Serveur Ftp
Serveur Web (connectivité limitée)
Windows 2000 PRO /XP Pro
Choix d’un mode de licence
Licence par siège1 licence par client
Licence par serveur1 licence par connexion
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
Active Directory
Service d’Annuaire
HiérarchiqueGestion centralisée
Conformité aux standards
Annuaire LDAPAuthentification KerberosService de nom DNS (pour la recherche des serveurs)
Conventions de nommage
Nom complet ou DN (Distinguish Name):cn=Albert Dupont,ou=users,dc=gtr,dc=com
Nom relatifAlbert Dupond
Mapping possible vers adresse mail :[email protected]
Un nom complet =1 identifiant unique sur AD
Convention de nommage LDAPCN: Common NameOU: Organizational Unit DC: Directory Content
Structure logique d’Active Directory
domaine
domaine domaine
domaine
domaine
UO
UO UOArborescence
FORET
gtr.com
france.gtr.comquebec.gtr.com
domainemaboite.fr
ventes.maboite.fr
prod.maboite.fr
Approbations bidirectionnelles transitives
Domaine NT
Approbations UNIdirectionnelle non transitive
Glossaire
Objet : représente une ressource du réseau (ex: ordinateur, compte utilisateur, groupe de sécurité)
Unité organisationnelle (OU) : conteneur regroupant des objets
Domaine : ensemble de poste présentant une unité dans la gestion de la sécurité
Arbre : groupement de domaines AD qui partagent des espaces de noms contigus (par exemple : iut.com, gtr.iut.com, geii.iut.com)
Forêt : groupement d’arbres AD qui ont des noms disjoints (par exemple : labo.com, microsoft.com)
Création d’un utilisateur
Création d’un compte d’ordinateur
Choix de l’arborescence
Arbre par services ou par localisation
dc=fr
dc=entreprise
ou=ventes
cn=dupont
cn=durand
ou=R&D ou=gestion
dc=fr
dc=entreprise
ou=Nantes
cn=dupont
cn=durand
ou=Paris
ou=Lyon
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
Différents groupes
Groupe de sécurité : permettent de gérer les autorisations d'accès à une ressource Ils permettent aussi de gérer des listes de distributions de messagerie.
Groupes de distribution : servent à des fonctions non liées à la sécurité comme l'envoi de messagesOn ne peut pas gérer d'autorisations avec ces groupes
Les groupes locaux
Groupes locaux prédéfinisAdministrateursOpérateurs de sauvegardeInvités : Accès limité au ressourcesUtilisateurs avec pouvoir : Peuvent créer et modifier des comptes locaux sur l'ordinateur, partager des ressources ou installer des pilotes de périphériques.DuplicateursUtilisateurs
Entités de sécurité intégréeTout le monde :tous les utilisateurs qui accèdent à l’ordinateur
Utilisateur authentifié :Inclut tous les utilisateurs avec un compte utilisateur sur l’ordinateur ou sur le domaine (utilisé pour éviter les accès anonymes à des ressources)
Créateur propriétaire :Inclut le compte utilisateur pour l’utilisateur qui a créé ou pris possession d’une ressource
Réseau :Inclut tout utilisateur avec une connexion courante depuis un autre ordinateur du réseau vers une ressource partagée de l’ordinateur
Utilisateur Anonyme : Tout utilisateur que Windows n’a pas authentifié
Accès Distant :Tout utilisateur employant une connexion d’accès réseau à distance.
Les groupes non locaux
Groupe de domaine local
Groupe global
Groupe universel
Groupe global : groupes globaux sous Windows NT4
U GG On insère un utilisateur dans un groupe global
GG GDL On peut ajouter un groupe global à un groupe de domaine local
GG GU On peut ajouter un groupe global à un groupe universel
Groupe de domaine local : ≃groupes locaux sous Windows NT4Permettent d'accorder des autorisations sur les ressources du domaine
U GDL
GG GDL GDL autre groupe
GU GDL
Groupe de domaine universellePermettent d'accorder des autorisations sur des domaines connexesMembres d’un domaine quelconque de la forêtPeuvent accéder au ressources d’un domaine quelconque
Étendue des groupes
Procédure de création des groupes
Création des utilisateursAffectation à un groupe globalInsertion d’un groupe global dans un groupe de domaine local.Affectation des permissions sur les ressources au groupe de domaine local
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
Le rôle des stratégies de groupe
Les stratégies de groupe permettent :De paramétrer le Registre en fonctionde la machine et de l’utilisateur
De personnaliser les niveaux de sécurités conformément au schéma organisationnel de l’entreprise et conformément à l’organisation technique du parc informatique
De gérer les paramètres utilisateurs :scripts de connexion, redirection des dossiers, profils, …
Ordre d’application des stratégies
Des stratégies peuvent être attachées à chaque niveaux de l’arborescence ADLes stratégies sont appliquées dans l’ordre descendant
Site
domaine
OU
OU
OU
1
2
3
4
a
b
c
d
Ordre d’application des stratégies
On distingue les stratégies de groupe locales les stratégies de groupe non locales
Ordre d’application1. Locale (propre à la machine)2. Site3. Domaine4. Unité(s) Organisationnelle(s)
Mécanisme d’héritage des stratégies
Une stratégie s’applique à tous les niveaux inférieurs
Résolution de conflitsEn cas de stratégies non compatibles entre niveau hiérarchiques :La stratégie enfant s’applique
Modification de l’héritageNe pas passer outreMode de rappel de boucle
Applications des règles de stratégie
Démarrage de l’ordinateurApplications des paramètres ordinateurScripts de démarrage
Connexion de l’utilisateurApplications des paramètres utilisateurScripts d’ouverture de session
Actualisation périodique des stratégies de groupe
Toutes les 5 mn sur les contrôleurs de domaineToutes les 90 minutes sur les stations
Création d’une stratégie
Modification du registre par les GPO
Stratégies de groupes
Règles
Non configuré= Ne rien faire
Activé ou Désactivé
= Ecrire dans la base de registre
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
PermissionsNTFS
Permissions et autorisations
Accès aux fichiers
par le réseauAccès aux fichiers sur le disque dur
L’accès à une ressource par le réseau dépend de ces deux barrières de sécurité
Autorisationssur les partages
Accès par le WEB(Si IIS est installé)
Accès au DISQUE(Permissions NTFS)
Accès par le réseau(Autorisations sur les
partages)
Attributs
Chiffrement et
compression
Propriétés d’un fichier ou d’un répertoire
La sécurité NTFS
Liste de contrôle d’accès
Autorisations associées
Gestion élaborées des ACLS
La sécurité NTFS
Utilisateur, groupe ouEntité de sécurité intégrée
Modification des autorisations
Portée
Mécanismes d’héritage et de mise à jour des enfants
Calculateur des autorisations effectives
Autorisation sur les partages
Nom de partage
Utilisateurs ou groupes
Autorisations
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
Gpedit.msc
Microsoft Management Console
Quelques commandes utiles
netstat ex : netstat –an –p TCP
nbtstat ex : nbtstat –n
ipconfigex :
• ipconfig /all• ipconfig /release *local*• ipconfig /renew *local*
Scripts netsh
Scripts à insérer dans un fichier .cmd
Exemple :Modifier l’adresse IP à l’aide d’un script sur un poste XP(On suppose que l’interface Ethernet du PC a été renommée « eth0 » au préalable )
netsh interface ip set address name="eth0" source=static addr=10.0.0.1 mask=255.0.0.0
netsh interface ip set address name="eth0" gateway=10.0.0.254 gwmetric=0
netsh interface ip set dns name="eth0" source=static addr=nonenetsh interface ip set wins name="eth0" source=static addr=none