michel notredame informatique-architecture-réseaux [email protected] tel...
TRANSCRIPT
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Cursus de Certifications Informatiques Microsoft Serveur 2003
MCP
MCSA MCSE
8 Modules
5 Examens
Durée Options
M2144 5 J MCSA/CP
M2149 70-290 3 J MCSA/CP
M2177 2 J MCSA
M2182 70291 5 J MCSA
M2223 2 J MCSA/CP
M2615 70-270 4 J MCSA/CP
SECURITE
M2160 70-227 3 J MCSA
M2304 70299 5 J MCSA
8 Modules
5 Examens
Durée Options
M2144 5 J MCSA/SE
M2149 70-290 3 J MCSA/SE
M2177 2 J MCSA/SE
M2182 70291 5 J MCSA/SE
M2189 70-293 5 J MCSE
M2194 70-294 5 J MCSE
M2223 2 J MCSA/SE
M2615 70-270 4 J MCSA/SE
SECURITE
M2160 70-227 3 J MCSA/SE
M2113 70-298 3 J MCSE
M2304 70299 5 J MCSA/SE
29 J
42 J
15 J
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
PLAN DU COURS
Module 1 : Présentation de l’administration des comptes et des ressources
Module 2 : Administration des comptes Utilisateurs et ordinateurs
Module 3 : Administration des groupes
Module 4 : Administration des accès aux ressources
Module 5 : Implémentation de l’impression
Module 6 : Administration de l’impression
Module 7 : Administration des accès aux objets dans les unités d’organisation
Module 8 : Implémentation d’une stratégie de groupe
Module 9 : Administration de l’environnement en stratégies de groupes
Module 10 : Implémentation de modèle d’administration et de stratégie d’audit
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Famille Windows Server 2003 :
- Les tâches
-Les outils nécessaires à l’administration des comptes
et des ressources sur des ordinateurs exécutant
Windows Serveur 2003 en réseau
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Objectifs du Module 1:
Etre en mesure de déplacer des objets dans un domaine
Savoir créer une Unité d’Organisation (OU)
Etre capable d’installer et configurer les outils d’administration
Savoir Ouvrir une session Windows Server 2003
Etre capable de décrire l’environnement Server 2003
51 2 3 4
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
ROLE DES SERVEURSROLE DES SERVEURSContrôleur de domaine
Serveur de Fichiers
Serveur d’impression
Serveur DNS
Serveur d’applica
tions
Serveur Terminal Server
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
ROLE DES SERVEURSROLE DES SERVEURS
Contrôleur de domaine
Ils stockent les données d’annuaire et gèrent :
-Les communications entre les utilisateurs et les domaines
-Les processus d’ouverture de session utilisateur
-Les processus d’authentification des utilisateurs
-Les recherches dans l’annuaire
Un serveur devient Contrôleur de domaine quand on installe Active Directory
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
ROLE DES SERVEURSROLE DES SERVEURSServeur de Fichiers
Un serveur de fichier fournit sur le réseau :
-Un emplacement pour stocker les fichiers et les partager entre les autres utilisateurs du réseau
-Lorsqu’un utilisateur a besoin d’un fichier important, il peut l’obtenir par le réseau par le serveur de fichier au lieu de le transférer sur son ordinateur
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
ROLE DES SERVEURSROLE DES SERVEURSServeur d’impression
Un serveur d’impression fournit sur le réseau :
- Un emplacement centralisé dans lequel les utilisateurs peuvent imprimer
- Des Mises à jour de Pilotes d’imprimantes
- La gestion de l’ensemble de la mise en file d’attente d’impression ainsi que la sécurité
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
ROLE DES SERVEURSROLE DES SERVEURS Serveur DNS
Service DNS (Domain Name Service)
● Fournit des services de Noms Internet sur le réseau et TCP/IP standard
● Permet aux ordinateurs clients du réseau d’enregistrer et résoudre des Noms de Domaine DNS
● Il est IMPERATIF pour implémenter Active Directory
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
ROLE DES SERVEURSROLE DES SERVEURS Serveur d’applica
tionsIl fournit une infrastructure et des services essentiels
aux applications hébergées dans un système.
Un Serveur d’Applications types incluse les services :
● Pool de ressources (ex SGBD, Pool d’objet
● Administration des transations distribuées,
● Communication Asynchrone de programmes via Messsage Queuing,
● Interfaces Automatiques de Services Web XML
● Détection intégrité des applications et sécurité intégrée
● Services IIs hébergement Serveurs Web-FTP
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
ROLE DES SERVEURSROLE DES SERVEURSServeur
Terminal Server
Un Terminal Serveur fournit aux ordinateurs distants un accès aux programmes Windows exécutés sous Windows Serveur 2000/2003.
Les applications peuvent être installées sur un seul point afin que les utilisateurs puissent y accéder, sans devoir installer sur leurs PC l’application.
Les utilisateurs peuvent enregistrer les fichiers et utiliser les ressources du réseau à partir d’un emplacement distant.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
La Famille Windows 2003La Famille Windows 2003
Web Edition
Standard Edition
Enterprise Edition
DataCenter Edition
Utilisation spécifique Serveur WEB.Pas d’Active Directory implémentable
2 Go Ram- 2 µProcesseurs
PME/PMI. Controleur de Domaine. Serveurs Membres - Pas de Clusterring possible.
4 Go Ram - 4µProcesseurs
PME/PMI. Controleur de Domaine.-Serveur Membre-Web- SGBD-Messagerie-Serveurs Hautes performances
32 Go Ram - 8µProcesseurs.
Idem Enterprise Edition mais Multiclustering
64 Go Ram - 32µProcesseurs. 32 bits
512 Go Ram – 64 µProcesseurs 64 bits
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
L’Annuaire Active Directory
@ Identifie les ressources
@ Fournit un cadre cohérent pour :
-l’attribution de noms
- la description
-La localisation
-Les accès
-L’administration
-La sécurité
Avantages d’Active Directory
● Intégration DNS
● Evolutivité
● Administration
centralisée
● Administration
déléguée
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
L’Annuaire Active Directory
@ Identifie les ressources
@ Fournit un cadre cohérent pour :
-l’attribution de noms
- la description
-La localisation
-Les accès
-L’administration
-La sécurité
Avantages d’Active Directory
● Intégration DNS
AD utilise les conventions d’attribution de noms DNS pour créer une vue hiérarchique ordonnée et évolutive des connexions réseau.
DNS sert aussi à faire correspondre les noms d’hôtes, tels que Google.com, à des adresse numériques TCP/IP, telles que 192.168.2.100
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
L’Annuaire Active Directory
@ Identifie les ressources
@ Fournit un cadre cohérent pour :
-l’attribution de noms
- la description
-La localisation
-Les accès
-L’administration
-La sécurité
Avantages d’Active Directory
● Intégration DNS
● Evolutivité
● Administration
centralisée
● Administration
déléguée
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
L’Annuaire Active Directory
@ Identifie les ressources
@ Fournit un cadre cohérent pour :
-l’attribution de noms
- la description
-La localisation
-Les accès
-L’administration
-La sécurité
Avantages d’Active Directory
● Evolutivité
AD est organisé en sections qui permettent de stocker un très grand nombre d’objets.
AD peu évoluer en fonction des besoins de l’entreprise.
Une organisation disposant d’un seul serveur avec quelques centaines d’objets, peut évoluer vers des milliers de serveurs et des millions d’objets.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
L’Annuaire Active Directory
@ Identifie les ressources
@ Fournit un cadre cohérent pour :
-l’attribution de noms
- la description
-La localisation
-Les accès
-L’administration
-La sécurité
Avantages d’Active Directory
● Intégration DNS
● Evolutivité
● Administration
centralisée
● Administration
déléguée
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
L’Annuaire Active Directory
@ Identifie les ressources
@ Fournit un cadre cohérent pour :
-l’attribution de noms
- la description
-La localisation
-Les accès
-L’administration
-La sécurité
Avantages d’Active Directory
● Administration
centralisée
AD permet aux administrateurs d’administrer :
- les ordinateurs distribués
-Les services réseau
-Les applications à partir d’un emplacement central dans un environnement cohérent.
AD fournit un contrôle centralisé de l’accès aux ressources réseau
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
L’Annuaire Active Directory
@ Identifie les ressources
@ Fournit un cadre cohérent pour :
-l’attribution de noms
- la description
-La localisation
-Les accès
-L’administration
-La sécurité
Avantages d’Active Directory
● Intégration DNS
● Evolutivité
● Administration
centralisée
● Administration
déléguée
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
L’Annuaire Active Directory
@ Identifie les ressources
@ Fournit un cadre cohérent pour :
-l’attribution de noms
- la description
-La localisation
-Les accès
-L’administration
-La sécurité
Avantages d’Active Directory
AD par sa structure hiérarchique permet de :
-Déléguer le contrôle d’administration que des parties spécifiques de la hiérarchie,
-Un utilisateur autorisé par un administrateur du domaine peut effectuer des tâches d’administration dans la partie affectée.
● Administration
déléguée
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
L’Annuaire Active Directory
@ Identifie les ressources
@ Fournit un cadre cohérent pour :
-l’attribution de noms
- la description
-La localisation
-Les accès
-L’administration
-La sécurité
Avantages d’Active Directory
● Intégration DNS
● Evolutivité
● Administration
centralisée
● Administration
déléguée
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Terminologie de Active Directory
Forêt
Paris.
servia.fr
Lille.
servia.fr
Rouen.
servia.fr
servia.fr Arborescence
Domaine
OU dans un domaine DC DC
DC
DC
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Terminologie de Active Directory
servia.fr
Domaine DC
UN DOMAINE est l’unité centrale de la structure logique d’Active Directory
C’est un ensemble d’ordinateurs, définis par un administrateur, qui partagent une base de données commune d’annuaires.
Un domaine possède un NOM UNIQUE et fournit un accès aux comptes utilisateurs centralisés, ainsi qu’aux comptes de groups administrés par l’administrateur du domaine.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Terminologie de Active Directory
servia.fr
Domaine
OU dans un domaine (Organisation Unit)
DC
Unité d’Organisation est un type d’objet conteneur qui permet d’organiser les objets dans un domaine.
Elle peut contenir des objets tels que des comptes d’utilisateurs,des groupes,des ordinateurs,des imprimantes ou d’autres Unités d’Organisation.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Terminologie de Active Directory
Forêt
Paris.
servia.fr
Lille.
servia.fr
Rouen.
servia.fr
servia.fr Arborescence
Domaine
OU dans un domaine
DC DC
DC
DC
Contient 1 ou plusieurs Domaines qui partagent une configuration, un schéma,et un catalogue commun.
Racine
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Paris.
servia.fr
servia.fr
Domaine
OU dans un domaine
DC
DC
Racine
Module 1 : Présentation de l’administration des comptes et des ressources
Terminologie de Active Directory
Forêt
Lille.
servia.fr
Rouen.
servia.fr
Arborescence
DC
DC
Contient 1 ou plusieurs Domaines qui partagent une configuration, un schéma,et un catalogue commun.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Terminologie de Active DirectoryRacine
Servia.fr
Relations
Achat.servia.com
Ventes.servia.fr
Infos.servia.fr
d’approbationsUne Forêt est un ensemble de domaines liés entre eux par des relations d’approbations bidirectionnelles et transitives.
Elle est caractérisée par la présence d’un Domaine dit Racine équivalent au premier domaine installé dans la Forêt.
Le Domaine Racine est le point de référence pour tous les autres Domaines de la Forêt.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Terminologie de Active Directory
Arborescence
Les arborescences de domaines dépendent de leur nom.
Lorsqu’un Domaine ne partage pas le même espace de nom qu’un domaine parent, il est considéré comme une nouvelle arborescense, donc, un autre Domaine.
Sinon, il s’agit d’un Domaine enfant.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Terminologie de Active Directory
Forêt
Paris.
servia.fr
Lille.
servia.fr
Rouen.
servia.fr
servia.fr
Domaine
DC DC
DC
DC
Racine
DC
ssii.servia.com
Servia.fr est le Domaine Racine
Paris.servia.fr
Lille.servia.fr
Rouen.servia.fr
sont des Domaines Domaines enfantsenfants
du Domaine Parent Racine servia.fr ssii.servia.com ne partage
pas le même espace nom sur servia.fr
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Terminologie de Active DirectoryLes Noms de Domaines utilisés dans Active Directory s’appuient sur une Architecture DNS (Domain Name Service).
Les Unités Organisationnelles permettent de structurer hiérarchiquement un Les Unités Organisationnelles permettent de structurer hiérarchiquement un Domaine dans le but de l’organiser pour :Domaine dans le but de l’organiser pour :
● ● Organiser des différents objets de la Base de données Organiser des différents objets de la Base de données (Users,Groupes,Imprimantes….. (Users,Groupes,Imprimantes…..
● ● Déléguer le contrôle d’administrationDéléguer le contrôle d’administration
● ● Simplifier les ressources d’administration.Simplifier les ressources d’administration.
Les Unités Organisationnelles permettent de structurer hiérarchiquement un Les Unités Organisationnelles permettent de structurer hiérarchiquement un Domaine dans le but de l’organiser pour :Domaine dans le but de l’organiser pour :
● ● Organiser des différents objets de la Base de données Organiser des différents objets de la Base de données (Users,Groupes,Imprimantes….. (Users,Groupes,Imprimantes…..
● ● Déléguer le contrôle d’administrationDéléguer le contrôle d’administration
● ● Simplifier les ressources d’administration.Simplifier les ressources d’administration.
OU dans un domaine
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Configuration de classe
Configuration de classe par groupes. Cf document joint
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Configuration de classe1 Contrôleur de Domaine par Groupe 0 vaut le chiffre zéro
5 Groupes de 2 ou 3 Ordinateurs et le serveur de domaine:
1 DCx Contrôleur de domaine
2 SMx Serveurs Membres du Domaine
Compte Administrateur Domaine : admin<Nom Ctrl Domaine> ex adminDC3
Mot de Passe Administrateur : 123Abcd Mot de passe complexe
Compte Admin Srv Membre : admin<Nom serveur Membre> ex admindublin
Mot de passe Srv Membre : 123Abcd Mot de passe complexe
Compte utilisateur Srv Membre : User<Nomserveur> ex : Userdublin
Mot de passe utilisateur : 123Abcd Mot de passe complexe
Module 1 : Présentation de l’administration des comptes et des ressources
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
INSTALLATION DE SERVEUR 2003
SOMMAIRE
A- Configuration Minimum machine
B- Installation Manuelle du Serveur 2003 à partir d’un CdRom
1b – Partitionnement des disques
2b – Choix du système de fichiers
3b – Mode de Licence
C- Stratégies d’organisations d’entreprise avec Windows Server 2000-2003
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
INSTALLATION DE SERVEUR 2003
A- Configuration Minimum machine Mini Conseillé Mini Conseillé
RAM : 512 Mo µP P4 2 Ghz
1b – Partitionnement des disquesNTLDR
NTDETCT.COM
BOOT.INI
Partition Principale Partition étendue
ACTIVE Lecteur Logique
La partition principale est la partition système. Elle doit être activée.
C’est la partition système qui contient le préchargeur (secteur de démarrage de NT) et le chargeur (NTLDR).(Mini 10 Mo nécessaire).
Le Noyau Windows 2003 (NTOSKERNEL.EXE) peut se trouver sur cette partition ou une partition étendue éventuellement.
Disque 0NTOSKERNEL.EXE
WINDOWS\*
Espace disque mini conseillé 2 Go
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
INSTALLATION DE SERVEUR 2003
WINDOWS 2003 Supporte les systèmes de fichiers FAT,FAT32,NTFS
FAT & FAT 32 sont des formats de disques non sécurisés trouvés sur les systèmes d’exploitation MSDOS,Windows 95,Windows 98/SE,Millenium…..
Il ne permettent pas d’obtenir un niveau de sécurité sur les fichiers et les répertoires, ainsi que sur les objets d’un serveur Windows NT,2000,2003.
Le système de fichiers FAT ne supporte pas les partitions supérieures à 2 Go.
FAT 32 permet de dépasser cette limite, sans toutefois avoir les capacités d’OS tels que NT4,2000,2003 en NTFS ( plusieurs Exa octets).
Une partition FAT,FAT32 peut être convertie dans le format NTFS, mais ce processus est irréversible. Ex : Mode commande :CONVERT C: /FS:NTFS
2b – Choix du système de fichiers
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
INSTALLATION DE SERVEUR 2003
Format NTFS 5.1/ 5.2 est recommandé sous Serveur NT,2000 et 2003.
Il accroît la sécurité en permettant:
& Le contrôle des accès au niveau des fichiers et des répertoires,
& des disques et des ressources du serveur,
& le contrôle des utilisateurs et des groupes d’utilisateurs,
& le contrôle de l’emploi des disques par le quota utilisateurs,
& le cryptage des données,
& la compression des disques ou des fichiers…………
Si la machine est Contrôleur de DomaineSi la machine est Contrôleur de Domaine, de nombreux autres services de sécurité et de gestion du Domaines sont disponibles (Audit-permissions-gestion des ressources et impressions-sécurité locale etc……
2b – Choix du système de fichiers
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
INSTALLATION DE SERVEUR 2003
2 Choix de modes de licence sont proposés à l’installation :
3b – Mode de Licence
1- Licences par Serveur
2 - Licences par poste ou utilisateur (siège)
Licences par Serveur, correspond pour un serveur particulier au nombre maximal de clients différents qui pourront se connecter simultanément sur ce serveur.
Lorsque la limite est atteinte, un message d’erreur s’affiche et la nouvelle connextion est refusée. Les messages sont consignés dans l’observateur d’évènement du serveur.
Il est possible de faire évoluer le nombre de licences par serveur à partir du panneau de configuration - Licences. Cette action est irréversible !!
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
INSTALLATION DE SERVEUR 2003
2 Choix de modes de licence sont proposés à l’installation :
3b – Mode de Licence
1- Licences par Serveur
2 -Licences par poste ou utilisateur (siège)
Mode de licence ou le Siège de l’entreprise ou un client spécifique est sujet au paiement d’une licence.
Les serveurs ne disposent d’aucune restriction particulière en termes de connexions maximales concomittantes, mais chaque client doit être connu du siège.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
INSTALLATION DE SERVEUR 2003
Notions de Sites.
C- Stratégies d’organisations d’entreprise avec Windows Server 2000-2003
Le choix de l’organisation hiérarchique du système d’informations que vous allez mettre en place dans une entreprise nécessite de bien réfléchir à l’organisation fonctionnelle et géographique de celle-ci, au moment de l’implantation du S.I :
- Situation géographique de la maison mère, et ses filiales éventuelles et de définir déjà pour celle-ci les hiérarchies organisationnelles existantes et futures en termes de technologies de liaisons mais aussi :
Les services, (utilisateurs,groupes,permissions,rôles,Unités organisationnelles),
Les utilisateurs, (par services, en groupes,autorisations,sécurité,délégations),
Les ordinateurs, (Stratégies d’identification sur le réseau),
Les périphériques,(par services,disponibilités réseau,identification..)
Les Serveurs, (sur chaque sites, les licences, les logiciels,sécurité des données….)
Les applications, (SGBD,Internet,Intranet…………..)
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
INSTALLATION DE SERVEUR 2003
Notions de Sites.
C- Stratégies d’organisations d’entreprise avec Windows Server 2000-2003
Le choix d’implantation d’un serveur au sein d’une entreprise comme Contrôleur de Domaine, implique l’installation d’une structure logique nommée :
Active DirectoryActive Directory.
Dans un environnement de plusieurs Contrôleurs de Domaines, chacun d’eux échange et réplique les modifications dans leur base de données respectives
(AD se trouve dans %WinDir%\NTDS\NTDS.DIT)
Dans le cas d’une structure ayant des filiales plus ou moins éloignées, le choix des liaisons physiques, fonctions de leurs situations géographiques est important
Active Directory utilise une structure physique qui permet de maîtriser les échanges entre les Contrôleurs de Domaines. C’est la notion de Sites.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
INSTALLATION DE SERVEUR 2003
Notions de Sites.
C- Stratégies d’organisations d’entreprise avec Windows Server 2000-2003
Réplication de AD
Site=Sous-reseau1 +
Sous-réseau2 +
Sous-réseau 3 +++
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
INSTALLATION DE SERVEUR 2003
Comportement selon le type de domaine
1) Un Serveur Windows 2000/2003 peut être membre d’un Domaine NT4 (Type Netbios). Il utilisera le mécanisme de la résolution des Noms Netbios pour trouver les contrôleurs de domaines
2) Il peut être membre d’un Domaine Active Directory et utilisera les mécanismes de résolution de Noms DNS srv, pour trouver les Contrôleurs de Domaine
3) Il peut être aussi Contrôleur de Domaine lui-même. Il supporte alors les clients NetBios et les clients DNS.
Les postes clients antérieurs à Windows 2000 (NT4,Win 98se), joignent le Domaine au nom NetBios(nom court).
Les clients depuis Windows 2000 doivent utiliser le nom DNS du domaine.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Choix d’Installation du Serveur Windows 2003
L’installation d’Active Directory sur un Serveur Windows 2003 propose l’organigramme suivant :
Contrôleur de domaine pour un
Nouveau Domaine n
Contrôleur de domaine
supplémentaire Domaine existant
Créer une nouvelle arborescence de
domaine
Créer un nouveau domaine enfant
dans un arborescence de
domaine existante
Créer une nouvelle forêt
d’arborescence de domaine
Créer une nouvelle arborescence de
domaine dans une forêt existante
1
23
1 23
FORETFORET
a.fr
b.a.fr A.com
1
1
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Travaux Pratiques. Installation du Contrôleur de Domaine par groupe.
Création d’un Nouveau Domaine ou Domaine Racine
FSQ10-M2144-TP01 : Suivre la procédure fournie pour installer Serveur 2003
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Le jeton d'accès contient :
- Les identificateurs de sécurité (ou SID, Security Identifier) qui définissent les droits et les privilèges des utilisateurs.
- Un SID est une valeur qui identifie un compte d'utilisateur, de groupe oud'ordinateur dans une entreprise.
- Chaque compte créé est affecté d'un SID.
Les droits et les autorisations d'un utilisateur, d'un groupe ou d'un ordinateur sont définis dans des listes de contrôle d'accès (Access Control List, ACL) qui contiennent les SID autorisés.
Outre votre SID unique, les SID des groupes dont vous êtes membre vousidentifient.
OUVERTURE DE SESSION ET D’AUTHENTIFICATION
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Ces informations sont stockées dans un jeton d'accès qui contient toutes les informations associées à votre identité et au contexte de sécurité au cours d'une session.
Des jetons d'accès sont recréés chaque fois qu'une entité de sécurité ouvre une session.
OUVERTURE DE SESSION ET D’AUTHENTIFICATIONLe jeton d'accès contient :
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
OUVERTURE DE SESSION ET D’AUTHENTIFICATION
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
OUVERTURE DE SESSION ET D’AUTHENTIFICATION
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
OUVERTURE DE SESSION ET D’AUTHENTIFICATION
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
OUVERTURE DE SESSION ET D’AUTHENTIFICATION
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
OUVERTURE DE SESSION ET D’AUTHENTIFICATION
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
OUVERTURE DE SESSION ET D’AUTHENTIFICATION
Ouverture de Session en réseau en tant qu’Administrateur du domaine ( à partir de votre serveur membre).
Suivez la fiche Procédure M2 – FSQ 10 – M 2144 – TP 04 que vous avez reçue.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
INSTALLATION et CONFIGURATION des OUTILS d’ADMINISTRATION
- Outils d’Administration couramment utilisés :
• Utilisateurs et Ordinateurs Active Directory
• Sites et Services Active Directory
• Domaines et Approbations Active Directory
• Gestion de l’ordinateur
• DNS
• Bureau à distance
- Installation pour l’administration distante
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Les Outils d’administration permettent aux Administrateurs réseau :
- d’Ajouter
- Rechercher
- Modifier
- Les paramètres des ordinateurs et du réseau et d’effectuer ces opérations sur les objets Active Directory.
- Les outils d’administration peuvent également être installés sur des ordinateurs exécutant Windows XP Pro et Windows 2000, au même titre que Serveur 2003.
- Les outils d’administration nécessaires peuvent être préparé en console personnalisée grâce à MMC.EXE.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Les Outils d’administration
Ils peuvent servir à :
- Administrer à distance des ressources réseau AD
- Des services réseau tel que WINS (Windows Name Service)
- Les protocoles DHCP (Dynamic Host Configuration Protocol) à partir d’un poste client
- Sous XP Pro les outils d’administration ne peuvent s’installer que sous SP1.
- Windows Serveur 2003 inclut les outils d’administration sous forme de composants logiciels enfichables ajoutés à MMC.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Installation des outils d’administrations Windows Serveur 2003
Suivez la Procédure d’installation fournie avec la Fiche Procédure M2 – FSQ 10 – M 2144 – TP 05
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Description de MMC (Microsoft Management Console)
C’est un utilitaire fournit par Microsoft qui permet :
- de créer, enregistrer et ouvrir les outils d’administration appelés Consoles
Les consoles personnalisées gèrent les composants matériels, logiciels et réseau de votre système d’exploitation.
Les composants enfichables installés dans une Console personnalisée, autorisent l’administration de plusieurs services depuis une seule interface.
Une console peut être personnalisée et conçue avec des droits et restrictions et être proposée à une personne déléguée par l’administrateur du réseau.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Procédure de création d’une console MMC personnalisée
Suivre la Fiche Procédure M2 – FSQ 10 – M 2144 – TP 05bis fournie à cet effet.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Les Unités d’organisation UO/ou (Organisation Unit)
- Organise les objets d’un domaine
- Permet de déléguer le contrôle de l’administration
- Simplifie l’administration des ressources qui appartiennent communément à des groupes.
Une UO est un objet de Active Directory.
L’organisation hiérarchique des Unités d’Organisation est élaborée généralement par l’Ingénieur Système.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
LES MODÈLES HIÉRARCHIQUES DES UNITÉS D’ORGANISATION
- 4 types de modèles sont exploités généralement :
Fondé sur la fonction
V
N
F I
RI
F
MC
Fondé sur l’emplacement
Fondé sur l’organisation
Modèles Hybrides
V = Ventes
C = Consultants
M = Marketing
N = Norvège
F = France
I = Indonésie
F = Fabrication
I = Ingénierie
R = Recherche
- Fonction - Organisation
- Emplacement - Fonction
- Organisation - Emplacement
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Modèles hiérarchiques fondés sur la fonction
V
MC
V = Ventes
C = Consultants
M = Marketing
- Les modèles reposent uniquement sur les métiers de l’entreprise
- Ils ne tiennent pas compte de l’emplacement géographique, ni des services et des divisions de l’entreprise.
C’est une hiérarchie utilisable uniquement si la fonction informatique ne repose pas sur l’emplacement ou l’entreprise.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Caractéristiques de la hiérarchies fondée par la fonction
Tenir compte des caractéristiques suivantes :
Non affectée par les réorganisations
Nécessité éventuelle d’autre couches pour permettre l’administration des
utilisateurs, des imprimantes, des serveurs et des partages réseau
Peut avoir un impact sur la réplication ; dans le cas de l’utilisation de domaines complémentaires (Réplication entre serveurs de domaines gourmand en bande passante)
Cette structure ne s’applique qu’aux petites entreprises, généralement
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Hiérarchie fondée sur la Organisation
F
RI
F = Fabrication
I = Ingénierie
R = Recherche
- C’est une stratégie qui repose sur les Services et les Divisions de l’entreprise.
- Active Directory doit être adapté à l’administrateur et non à l’utilisateur.
- AD reflète uniquement la structure de l’entreprise, les problèmes suivants risquent d’apparaître dans ce mode hiérarchique :
- Difficultés pour la délégation de l’autorité d’administration (imprimantes, partage de fichiers...)
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Hiérarchie fondée sur l’emplacement :
F
N
I
N = Norvège
F = France
I = Indonésie
Efficace si :
- L’Organisation est centralisée
- La gestion du réseau est distribuée géographiquement
Dans ce cas on crée des U O selon l’emplacement dans le même domaine.
Caractéristiques :
- Non affectée par les réorganisations. L’emplacement change rarement dans la plupart des entreprises (les divisions et session peuvent changer + fréquemment).
- Tient compte des fusions et de la croissance de l’entreprise : Créations d’ UO nouvelles aisées.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Hiérarchie fondée sur l’emplacement :
F
N
I
N = Norvège
F = France
I = Indonésie
Caractéristiques (suite) :
- Tire partie des points forts du réseau. Permet de tirer partie des bandes passantes larges liées aux découpages du
réseau de l’entreprise.
Faiblesses :
- Peut mettre en péril la sécurité du réseau si un emplacement comporte plusieurs Divisions ou Services, si une personne ou un groupe dispose d’une autorité d’administration sur le domaine des UO.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Exemples Hybrides
- Fonction - Organisation
- Emplacement - Fonction
- Organisation - Emplacement
Hiérarchie hybride Direction des études
- Achats
- Qualité
- Contrôle
- Fabrication
- B E
- Une combinaison hiérarchique sur plusieurs modèles est appelée hybride.
Caractéristiques :
- Intègre la croissance des secteurs géographiques, des services ou des divisions.
- Crée des limites d’administration distincte en fonction du service ou de la division.
- Nécessite que les Administrateur coopèrent afin d’assurer la réalisation des tâches d’Administration.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Création des Unités d’Organisation
Noms des Unités d’Organisation
- Active Directory référence chaque objet par plusieurs types de noms qui décrivent l’emplacement de l’objet.
- Le nom de chaque objet est unique et complet lors de sa création.
Les syntaxes des noms UO différent selon la manière de créer les UO (en mode graphique sous Windows ou en mode commande)
-Nom relatif LDAP (Lightweight Directory Access Protocol)
Le nom identifie de façon unique l’objet dans son conteneur parent
Exemple : OU = mon unité d’organisation
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Création des Unités d’Organisation
Noms des Unités d’Organisation
Nom unique LDAP c’est l’écriture du nom unique GLOBAL utilisé par les administrateurs en mode commande.
OU = mon unité organisation, DC = servia, DC = FR
Ligne de commande de création d’une UO
Exemple :
dsadd ou Nom unique UO – desc Description – s Serveur – d Domaine –
U Utilisateur – p Mot de passe Taper : dsadd/? et ’’entrée’’
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Création d’une Unité d’Organisation dans Active Directory
Procédure de création d’Unité d’Organisation (voir Procédure jointe FSQ 10 – M 2144 – TP 06.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Les Unités d’Organisation
Différences entre la notion de Groupes et les Unités d’Organisation (UO)
♦ Les groupes vont contenir des ressources telles que des utilisateurs pour distinguer un regroupement de personnes dans une localisation ou une fonction donnée ou encore un service.
♦ Les Unités d’Organisation vont permettre de découper, clarifier les groupes, d’autoriser des accès aux ressources, de permettre une délégation de stratégie pour le groupe, à certaines personnes.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Les Unités d’OrganisationExemple de stratégie d’organisation
DC SERVIA.DOM
AMIENS
OU
OU
OU
OU
LILLE
OU
OU
VENTES
S A V
FORMATION
COMPTA-FINANCES
OU
OU
VENTES
COMPTABILITE
Cette arborescence facilite l’administration.
Les regroupements en OU peuvent reprendre les mê-mes stratégies, générale-ment :
- Qui peut accéder à l’Internet ?
- Dans quelle plage horaire ?
- Qui peut accéder aux dossiers VENTES, SAV etc...
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
Déplacement des Unités d’Organisation dans l’arborescence
- Pour déplacer une U O la technique habituelle du DRAG and DROP avec la souris permet de le faire...
Démonstration
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 1 : Présentation de l’administration des comptes et des ressources
EXERCICE :
Selon le scénario décrit dans la Fiche Séquence complémentaire créez les Unités d’Organisation demandées.
Création d’une hiérarchie d’Unités d’Organisation
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Table des matières
- création de comptes d’utilisateurs
- création de comptes d’ordinateurs
- modification des propriétés des comptes d’utilisateurs et d’ordinateurs
- création d’un modèle de compte utilisateur
- activation et déverrouillage des comptes utilisateurs et ordinateurs
- réinitialisation des comptes utilisateurs et ordinateurs
- recherche de compte utilisateurs et ordinateurs dans Active Directory
- enregistrement des requêtes
- Atelier A : Administration des comptes utilisateurs et des comptes d’ordinateurs
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
-Pour accéder aux ressources d’un domaine l’administrateur doit autoriser les utilisateurs à y accéder, ainsi que les ordinateurs.
- Il faut créer des comptes utilisateurs pour les identifier et les authentifier sur le domaine et le réseau.
- Un compte utilisateur est un objet qui regroupe les informations définissant un utilisateur sous Windows Serveur 2000 et 2003.
- Un compte utilisateur peut avoir 2 modèles :
- Local
- Domaine
- Un compte utilisateur contient le nom de l’utilisateur (unique) et un mot de passe unique pour ouvrir une Session locale ou sur le domaine.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Les comptes Utilisateurs
Un compte Utilisateur est obligatoire pour :
Permettre à un utilisateur d’ouvrir une session sur un ordinateur en fonction de l’identité du compte d’utilisateur,
Permettre aux processus et aux sessions de s’exécuter sous un contexte de sécurité absolue,
Administrer les accès d’un utilisateur à des ressources et leurs propriétés (objets Active Directory) :
des dossiers partagés,
des fichiers,
des répertoires et des files d’attentes d’impression.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Types de comptes utilisateurs
(média\ 2144_2274_1_accts.swf)
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Noms associés aux comptes d’utilisateurs des domaine : 4 Types de Noms
N O M E x e m p l e
Nom d’ouverture de session utilisateur JAYET PAT
Nom d’ouverture de session Pré Windows 2000
DCSERVIA\JAYETPAT
Nom Principal d’ouverture de session d’utilisateur, c’est le nom UPN (User Principal Name)
Nom unique relatif LDAP (Lightweight Directory Access Protocol) ► les administrateurs utilisent cette syntaxe en ligne de commande pour ajouter des utilisateurs à partir d’un script ou d’une ligne de commande
CN=JAYETPAT, CN=USERS,
DC= DCSERVIA.DOM
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Noms associés aux comptes utilisateurs du domaine
Lors de la création d’un compte utilisateur, l’administrateur tape un nom d’ouverture de session utilisateur.
Le nom d’ouverture de session doit être unique dans la forêt dans laquelle le compte utilisateur est créé.
Le compte créé est utilisé comme nom unique relatif. L’utilisateur tape :
1- le nom utilisateur d’ouverture de session
2- un mot de passe
3- le nom du domaine
Les noms d’ouverture de Session peuvent comporter jusqu’à 20 caractères (reconnus) majuscules et minuscules.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Noms associés aux comptes utilisateurs du domaine
Un nom de compte utilisateur peut inclure une combinaison de caractères spéciaux et alphanumériques,
Exceptions : “ \ / [ ] : ; Ι + * ? < > . “Bon exemple :
JAYETPAT………est un nom d’ouverture correct
JAYETPAT12695……est correct
JayeTp1At2695……. est correct
J@YETP@t.............. est correct
Incorrect :
J-AYET/PAT.\\12:695
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Création d’une Convention d’Attribution de noms pour les comptes utilisateurs
Une Convention d’attribution de nom pour les compte utilisateur doit tenir compte :
● des différents types d’employés, comme les intérimaires ou les titulaires
● des employés homonymes
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Création d’une Convention d’Attribution de noms pour les comptes utilisateurs
Une convention d’attribution des noms de comptes doit être adaptée en fonction des noms homonymes dans l’entreprise.
Une méthode adaptée consiste à utiliser :
1) Prénom + initiale du nom
2) Ajouter des lettres du nom pour les noms identiques
Exemple : JAYETPAT → JAYET PATRICK
JAYETLYD → JAYET LYDIE
Dans certains cas, il n’est pas inintéressant d’identifier les employés par un préfixe ajouté au nom d’ouverture de Session, en fonction du Service qui l’emploie :
Exemple : V-JAYETPAT → V= VENTES
C-JAYETLYD → C= COMPTABILITE
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Positionnement des comptes utilisateurs dans une hiérarchie
Conception Géopolitique Conception d’Entreprise
Amérique du Nord
Amérique du Sud
Comptabilité
Ventes
Utilisateurs
Utilisateurs
Utilisateurs
Image Dossier
Image liste utilisateurs
Utilisateurs
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Options de compte Descriptions
L’utilisateur doit changer le mot de passe à la prochaine ouverture de session
Les utilisateurs doivent modifier leur mot de passe la prochaine fois, lorsqu’ils ouvriront une nouvelle session sur le réseau :
Suite à la création d’un nouveau compte ou à la réinitialisation du compte par l’Administrateur.
L’utilisateur ne peut pas changer son mot de passe
Un utilisateur ne possède pas les autorisations pour changer son mot de passe.
Permet à l’Administrateur de contrôler le moment où celui-ci peut-être modifié.
Le mot de passe n’expire jamais
Le mot de passe d’un utilisateur ne peut pas expirer. Préférable de ne pas l’utiliser pour des raisons de sécurité d’accès au domaine.
Le compte est désactivé
Un utilisateur ne peut plus ouvrir de session avec le compte de session.
Suite à des erreurs de saisie consécutives d’un utilisateur ou de la décision de l’Administrateur du réseau.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Procédure de création de comptes utilisateurs
Atelier Voir Fiche Séquence FSQ 10-M2144 – TP 08
-Créer des comptes d’utilisateur de domaine
-Créer des comptes d’utilisateur local
Note : Vous en pouvez pas créer de comptes d’utilisateurs locaux sur un contrôleur de domaine.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Description et fonction des comptes d’ordinateurs
♦ Un compte utilisateur fournit un moyen d’authentifier et d’auditer l’accès aux
ordinateurs du réseau, ainsi qu’aux ressources du domaine.
♦ Dans Active Directory, les ordinateurs sont des unités de sécurité, au même
titre que les utilisateurs.
♦ Pour être authentifier, un utilisateur doit disposer d’un compte valide sur le
domaine et ouvrir une session sur le domaine à partir d’un ordinateur lui-
même validé et identifié dans Active Directory.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Intérêt de la création d’un compte d’ordinateur
● SECURITE
● ADMINISTRATION
- Authentification
- IPSec
- Audit
- Fonctions de Active Directory
Déploiement de logiciels
Gestion des bureaux
- Inventaire matériel et logiciel par SMS
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Intérêt de la création d’un compte d’ordinateur
● Les ordinateurs sont chargés d’effectuer des tâches clés :
▪ Authentification des ouvertures de session utilisateurs
▪ Distribution des adresses IP (Internet Protocol)
▪ Gestion de l’intégralité de Active Directory
▪ Application des stratégies de sécurité
▪ Activités de sécurité et de gestion des ressources
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Intérêt de la création d’un compte d’ordinateur
► SECURITE
● Un compte d’ordinateur doit-être créé dans Active Directory
● L’ordinateur peut utiliser des processus d’authentification avancés tel que l’authentification Kerberos et la Sécurité IPSec (Internet Protocol Sécurity)
● IPSec permet de crypter le trafic
► ADMINISTRATION
Les comptes d’ordinateur aident l’administrateur système à gérer la structure du réseau :
● Gestion des fonctions graphiques de l’environnement utilisateur
● Automatisation du déploiement des logiciels
● Administration de l’inventaire du parc matériel et logiciel par SMS (Systems Management Server)
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Emplacement de création des comptes d’ordinateurs dans un domaine
♦ Les administrateurs disposent dans Active Directory d’un conteneur ( U O) nommé Computer par défaut
♦ Au même titre que les comptes utilisateurs, les comptes d’ordinateur se composent :
▪ d’un nom
▪ d’un mot de passe
▪ d’un I D de sécurité (SID, Security Indentification)
Ces propriétés sont incorporées à la classe objet de l’ordinateur dans Active Directory (Base de Registre)
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Emplacement de création des comptes d’ordinateurs dans un domaine
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Emplacement de création des comptes d’ordinateurs dans un domaine
Lorsqu’un ordinateur non déclaré dans le domaine au préalable, est joint à un domaine, le compte ordinateur est créé par défaut dans le conteneur Computers
Par défaut les utilisateurs authentifiés d’Active Directory peuvent ajouter jusqu’à 10 ordinateurs, chacun, au domaine avec les identifications de leur compte d’utilisateurs, dans le conteneur par défaut.
Pour éviter ces ajouts par défaut, il est nécessaire que l’administrateur créé un compte d’ordinateur au préalable.
L’ajout d’un compte d’ordinateur au domaine avec un compte précédemment créé s’appelle la pré-génération.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Options des Comptes d’Ordinateur
Il existe 2 fonctions facultatives que l’on peut activer lors de la création d’un compte d’ordinateur :
1- Ordinateur pré-Windows 2000 choix
Coché permet d’attribuer un mot de passe basé sur le nom de l’ordinateur
Non coché, le mot de passe sera aléatoire à la 1ère ouverture de Session
Le mot de passe change tous les 5 jours entre l’ordinateur et le domaine dans lequel est situé le compte d’ordinateur.
Cette option permet de garantir qu’un ordinateur antérieur à Windows 2000 pourra déterminer si le mot de passe respecte les exigences de
mots de passe.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
2- Contrôleur de Domaine Secondaire
Activez cette case si vous comptez utiliser l’ordinateur comme contrôleur
de domaine secondaire :
Fonction à utiliser si vous vous trouvez dans un environnement Windows 2003 et un Contrôleur Secondaire NT4.
Options des Comptes d’Ordinateur
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Procédure de création d’un compte d’ordinateur TP09
● Créer des comptes ordinateurs dans Active Directory en suivant la
fiche Procédure FSQ10-m2144-TP09-Création Comptes Ordinateurs
▪ Fiche séquence : Description objectifs
▪ Fiche Procédure : Démarche détaillée
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Création de Modèles de comptes utilisateurs
Créez une classification distincte pour chaque département
Créez un groupe distinct pour les employés à court terme et temporaires
Définissez les dates d’expiration des comptes d’utilisateurs pour les employés à court termes et temporaires
Désactivez le modèle de compte
Identifiez le modèle de compte
Exemple : Mettez un M- devant le compte modèle pour le distinguer
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Procédure de création d’un compte modèle d’utilisateur
Cf Fiche séquence FSQ 10 - m2144 - TP 11
Cf Fiche Procédure FSQ 10 – m2144 – TP 11
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Modifications des propriétés des comptes d’utilisateurs et d’ordinateurs
Quand modifier ?
Modifiez les propriétés des Comptes d’utilisateur pour :
▪ Faciliter l’utilisation des fonctionnalités de recherche pour trouver des utilisateurs▪ Reproduire la hiérarchie organisationnelle de la Société
▪ Déterminer l’appartenance à un groupe d’un compte d’utilisateur
Modifier les propriétés des comptes d’ordinateur pour :
▪ Faciliter le suivi des ressources (propriété emplacement) ▪ Renseigner qui assure l’administration d’un ordinateur (propriété géré par)
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Propriétés des Comptes Utilisateurs
- Découverte des onglets Propriétés
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Propriétés des Comptes Utilisateurs
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Création d’un modèle de Compte Utilisateur
♦ Le modèle de compte utilisateur est un compte utilisateur contenant les propriétés qui s’appliquent aux utilisateurs courants.
♦ Les modèles de comptes utilisateurs rationnalisent le création de compte utilisateur avec des configurations standard.
Modèle de compte Utilisateur Standard
Réplication du Modèle Standard
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Création d’un modèle de Compte Utilisateur
Utilité Pour chaque nouveau compte utilisateur, vous ne devrez ajouter que les informations qui lui sont uniques.
Exemple d’application
♦ une entreprise dispose de 15 commerciaux par lieux géographiques en Europe et dans le Monde (15 filiales)
♦ chaque filiale a déterminé que ses 15 commerciaux forment 1 groupe Vente
♦ 1 seul Responsable Vente est connu pour tous les commerciaux, pour toutes les filiales
Demande ♦ Tous les employés commerciaux doivent faire partie des 15 groupes de Vente avec le même responsable.
Solution a) vous créez un modèle qui inclut l’appartenance à tous les groupes et le responsable.
b) vous recopiez X fois le modèle pour les commerciaux. Les appartenances aux groupes sont répercutées.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 2 : Administration des comptes utilisateurs et ordinateurs
Propriétés d’un modèle de compte copié
ONGLET PROPRIETES COPIEES
Adresse Toutes les propriétés à l’exception de « Adresse » sont copiées. Elle sera à compléter le cas échéant, cas par cas.
Compte Toutes les propriétés, à l’exception du Nom d’ouverture de Session de l’Utilisateur, sont copiées.
Profil Toutes les propriétés à l’exception des entrées Chemin du profil et Dossier de base, reflètent le nom d’ouverture de Session du nouvel utilisateur
Organisation Toutes les propriétés à l’exception de « Titre ».
Membre de Toutes les propriétés.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
PLAN DU COURS
Module 1 : Présentation de l’administration des comptes et des ressources
Module 2 : Administration des comptes Utilisateurs et ordinateurs
Module 3 : Administration des groupes
Module 4 : Administration des accès aux ressources
Module 5 : Implémentation de l’impression
Module 6 : Administration de l’impression
Module 7 : Administration des accès aux objets dans les unités d’organisation
Module 8 : Implémentation d’une stratégie de groupe
Module 9 : Administration de l’environnement en stratégies de groupes
Module 10 : Implémentation de modèle d’administration et de stratégie d’audit
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Vue d’ensemble
Création de Groupes
Administration de l’appartenance à un groupe
Stratégies d’utilisation des groupes
Utilisation des groupes par défaut
Recommandations relatives à l’administration des groupes
ATELIER : Création et administration des groupes
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Vue d’ensemble
Un Groupe est un ensemble de comptes d’utilisateurs et de comptes d’ordinateurs administrables sous la forme d’une entité.
Les groupes :
a) Simplifient l’administration en permettant d’accorder des autorisations sur des ressources une seule fois à un groupe, plutôt qu’à chaque compte d’utilisateurs individuellement,
b) Peuvent être situés dans Active Directory ou localement sur un ordinateur personnel,
c) Se caractérisent par l’étendue et le type,
d) Peuvent être imbriqués, cad qu’il est possible d’insérer une groupe dans un autre groupe
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Vue d’ensemble
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Vue d’ensemble Exemple :VENTES
Comptabilité
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Vue d’ensemble
L’étendue d’un groupe détermine si le groupe couvre plusieurs Domaines ou s’il est limité à un seul domaine.
L’étendue d’un Groupe permet d’octroyer des autorisations. Elle détermine :
- les domaines à partir desquels vous pouvez ajouter des membres au
Groupe
- Les domaines dans lesquels vous pouvez utiliser le groupe pour accorder des
autorisations
- Les domaines dans lesquels vous pouvez imbriquer le groupe dans d’autres
groupes
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Vue d’ensemble
- L’étendue d’un Groupe détermine également les membres du Groupe.
Les règles d’appartenance gouvernent les membres qu’un groupe peut contenir et
les groupes dont peut faire partie un groupe
-Les membres d’un groupe sont :
- Des comptes d’utilisateurs,
- Des comptes d’ordinateurs,
- d’autres groupes contenant eux-mêmes des objets similaires
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Bien comprendre les caractéristiques de l’étendue des groupes.
Vous disposez des 4 étendues de groupe suivants :
- GLOBALE
- Domaine Local
- Universelle
- Locale
Définition Groupe Global
Un Groupe global est un groupe de sécurité ou de distribution qui peut contenir des utilisateurs, des groupes et des ordinateurs qui :
appartiennent au même Domaine que le Groupe Global
- Vous pouvez utiliser des groupes de sécurité Globaux pour affecter des droits utilisateurs et des autorisations d’accès aux ressources de n’importe quel domaine de la forêt.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Contrôleur de domaine pris
en charge
Etendues de groupe prises
en charge
Windows 2000 mixte
( par défaut)
Windows 2000 natif
Windows Serveur 2003
Windows NT Server 4.0
Windows 2000 Server
Windows 2003 Server
Windows 2000 Advanced Server
Windows 2003 ServerWindows 2003 Server
Global,
domaine local,
Global,
Domaine local,
Universel
Global,
Domaine local,
Universel
Description des niveaux fonctionnels d’un domaine
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Vue d’ensemble
TYPE DE GROUPE
SECURITE
Distribution
DESCRIPTION
Utilisée pour attribuer des droits et des autorisations d’utilisateurs Utilisable sous forme de liste de distribution de courrier électronique
Utilisable Uniquement avec les applications de messagerie électronique. Ne peut pas être utilisée pour attribuer des autorisations.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
3- Description des Groupes Universels
2- Description des Groupes de Domaine local
4- Description des Groupes locaux
1- Description des Groupes Globaux
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
1- Description des Groupes Globaux
Définition.
Un groupe Global est un groupe de Sécurité ou de Distribution qui peut contenir :
- des Utilisateurs,
- des ordinateurs, qui appartiennent au même Domaine que le Groupe
Global
Vous pouvez utiliser ces Groupes pour :
- Affecter des droits Utilisateur,
- des Autorisations d’accès aux ressources,
de n’importe quel domaine de la forêt.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
MEMBRES
APPARTENANCE
ETENDUE
AUTORISATIONS
Règles de groupes Globaux
►Mode Mixte : Compte d’utilisateurs et Comptes d’ordinateurs du même domaine
► Mode Natif : Comptes d’utilisateurs,Comptes d’ordinateurs et groupes globaux du même
domaine► Mode Mixte : Groupes du Domaine local
► Mode Natif : Groupes Universel et de Domaine local dans un domaine quelconque et Groupes Globaux
dans le même Domaine
Tous les Domaines de la forêt et tous les domaines qui approuvent
Tous les Domaines de la Forêt et tous les Domaines qui approuvent
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
3- Description des Groupes Universels
2- Description des Groupes de Domaine local
4- Description des Groupes locaux
1- Description des Groupes Globaux
Conditions d’utilisation :
Etant donné que les Groupes Globaux sont visibles dans toute la forêt, ne les utilisez pas pour accorder des accès aux ressources propres à un domaine.
Utilisez-les plutôt pour organiser les utilisateurs qui partagent des tâches professionnelles et qui ont des besoins similaires d’accès au réseau. Il existe un autre type de groupe plus approprié pour contrôler les accès aux ressources d’un domaine.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
2- Description des Groupes de Domaine local
Définition.
Un groupe de Domaine Local est un groupe de Sécurité ou de Distribution qui peut contenir :
- Des Groupes Universels,
- Des Groupes Globaux;
- d’autres Groupes locaux de son propre Domaine,
- Des comptes de n’importe quel Domaine de la Forêt
Vous pouvez utiliser ces Groupes pour :
- Affecter des droits Utilisateur,
- des Autorisations d’accès aux ressources,
UNIQUEMENT dans le domaine auquel appartient le groupe de Domaine Local.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
2- Description des Groupes de Domaine local
Membres Mode Mixte : Comptes utilisateurs,ordinateurs,Groupes Globaux de n’importe quel Domaine,
Mode natif :Un Groupe Universel peut contenir des Comptes Utilisateurs, Ordinateurs, Groupes Globaux et Groupes Universels qui appartiennent à n’importe quel domaine de la forêt , ainsi que des Groupes de Domaine Local du Même Domaine,
Appartenance Mode Mixte : Aucun
@ En mode Natif, Groupe de Domaine local du même Domaine
Etendue Les Groupes de Domaine local ne sont visibles QUE dans son propre Domaine
Autorisations Domaine auquel appartient le Groupe de domaine local
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
3- Description des Groupes Universels
2- Description des Groupes de Domaine local
4- Description des Groupes locaux
1- Description des Groupes Globaux
Conditions d’utilisation :Utilisez un groupe de Domaine Local pour affecter des autorisations aux ressources qui se trouvent dans le MEME DOMAINE que le Groupe de Domaine local.
Vous pouvez placer tous les groupes globaux qui doivent partager les mêmes ressources dans le domaine local approprié.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
MULTIMEDIA INFOS MICROSOFT
F:\Cours Réseaux MCSE 2003\Cours MCSE 2003_Tosh\Multimedia\Media\2144A_2270a_06_2_3_0_a.html
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
3- Description des Groupes Universels
Définition.
Un groupe Universel est un groupe de Sécurité ou de Distribution qui peut contenir :
- des Utilisateurs,
- des ordinateurs, qui appartiennent à n’importe quel Domaine de la forêt
Vous pouvez utiliser ces Groupes pour :
- Affecter des droits Utilisateur,
- des Autorisations d’accès aux ressources,
de n’importe quel domaine de la forêt.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
3- Description des Groupes Universels Définition.
Un groupe Universel est un groupe de Sécurité ou de Distribution qui peut contenir :
- des Utilisateurs,
- des ordinateurs, qui appartiennent à n’importe quel Domaine de la forêt
Vous pouvez utiliser ces Groupes pour :
- Affecter des droits Utilisateur,
- des Autorisations d’accès aux ressources,
de n’importe quel domaine de la forêt.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
3- Description des Groupes Universels Synthèse des caractéristiques
Membres Mode Mixte : Pas de création de groupes Universel autorisé
Mode natif :Un Groupe Universel peut contenir des Comptes Utilisateurs, Ordinateurs, Groupes Globaux et Groupes Universels qui appartiennent à n’importe quel domaine de la forêt
Appartenance @ le Groupe Universel n’est pas applicable en Mode Mixte
@ En mode Natif, un Groupe universel peut être membre de groupes locaux et de Groupes universels appartenant à n’importe quel domaine
Etendue Les Groupes Universels sont visibles dans tous les domaines de la forêt et dans les domaines qui approuvent
Autorisations Vous pouvez octroyer des autorisations à un Groupe Universel pour tous les Domaines de la Forêt
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Contrôleur de domaine pris
en charge
Etendues de groupe prises
en charge
Windows 2000 mixte
( par défaut)
Windows 2000 natif
Windows Serveur 2003
Windows NT Server 4.0
Windows 2000 Server
Windows 2003 Server
Windows 2000 Advance Server
Windows 2003 ServerWindows 2003 Server
Global,
domaine local,
Global,
Domaine local,
Universel
Global,
Domaine local,
Universel
Description des niveaux fonctionnels d’un domaine : RAPPEL
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
3- Description des Groupes Universels
2- Description des Groupes de Domaine local
4- Description des Groupes locaux
1- Description des Groupes Globaux
Conditions d’utilisation :
Utilisez les groupes universels pour imbriquer des groupes Globaux afin d’affecter des autorisations à des ressources apparentées à plusieurs Domaines.
Une domaine Windows Server 2003 doit fonctionner en mode Windows 2000 natif ou supérieur pour pouvoir utiliser les groupes universels.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
3- Description des Groupes Locaux
Définition.
Un groupe local est un ensemble de comptes utilisateurs, ou comptes de groupes de domaine créés sur :
- Un serveur membre,
- Un serveur autonome,
Vous pouvez créer des groupes locaux dans la base de données de sécurité locale (SAM).
Un groupe local peut contenir :
- des utilisateurs,
- des comptes d’ordinateurs,
- des groupes : globaux, Universels, et d’autres groupes de domaine local.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
3- Description des Groupes Locaux
Définition.
Certains groupes ayant une étendue locale de domaine sont parfois appelé « Groupes locaux ».
Il est important de distinguer un groupe local d’un groupe ayant une étendue locale de domaine.
Les groupes locaux sont parfois appelés « Groupes locaux de machines » pour les distinguer des groupes de domaine local.
Un groupe local peut contenir des comptes d’utilisateurs locaux situés sur l’ordinateur à partir duquel vous avez créé le Groupe local.
Les groupes locaux ne peuvent être membres d’aucun autre Groupe.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
3- Description des Groupes Universels
2- Description des Groupes de Domaine local
4- Description des Groupes locaux
1- Description des Groupes Globaux
Conditions d’utilisation :
Vous ne pouvez utiliser des groupes locaux que sur l’ordinateur à partir duquel vous les avez créés. Les autorisations liées à un groupe local donnent uniquement accès aux ressources de l’ordinateur sur lequel vous avez créé le groupe local
Vous pouvez utiliser les groupes locaux sur les ordinateurs dotés des systèmes d’exploitation clients Microsoft actuellement pris en charge et sur les serveurs membres de type Windows Server 2003.
Vous ne pouvez pas créer des groupes locaux sur le Contrôleur de Domaine, car ces derniers ne peuvent pas avoir une Base de Données de sécurité indépendante de la base de données Active Directory.
Créez des groupes locaux pour limiter l’accès des utilisateurs et des groupes locaux aux ressources du réseau si vous ne voulez pas créer de groupes de Domaine.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
4- Règles des Groupes Locaux Synthèse des caractéristiques
Membres Comptes d’utilisateurs locaux provenant de l’ordinateur,
des Comptes de Domaines et des groupes de Domaines
Appartenance AUCUNE
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
1- Emplacement de création des groupes
2- Instructions d’attribution de Noms aux groupes
3- Procédure de création d’un Groupe
4- Atelier pratique : Création de Groupes Globaux et Locaux
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
1- Emplacement de création des groupes
Les groupes peuvent être créés :
a) Dans le Domaine Racine de la Forêt,
b) Dans un autre Domaine de la Forêt,
c) Dans une unité d’Organisation ( OU) (UO)
Choisissez le Domaine ou l’Unité d’organisation dans lequel vous voulez créer le groupe en fonction des conditions d’administration associées au groupe.
Exemple :
Si votre Annuaire possède plusieurs Unités d’organisation dont chacune possède une Administrateur différent, vous pouvez y créer des Groupes locaux.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
1- Emplacement de création des groupes
Introduction.
Dans Active Directory, les groupes sont créés dans les Domaines.
Utilisez la Console Utilisateurs et Ordinateurs Active Directory pour créer des groupes.
Vous pouvez créer des groupes dans n’importe quel Domaine de la forêt ou dans une unité d’organisation, si vous disposez des autorisations nécessaires.
Outre le Domaine dans lequel il est créé, un Groupe se caractérise également par son étendue. L’étendue du Groupe détermine :
• Le Domaine à partir duquel vous pouvez ajouter des membres,
• Le Domaine dans lequel les droits utilisateur et les autorisations affectés au groupe sont
valides.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
1- Emplacement de création des groupes
Choix d’un Domaine ou d’une Unité d’Organisation
Choisissez le Domaine ou l’Unité d’organisation dans lequel ou dans laquelle vous voulez créer le groupe en fonction des conditions d’administration associées au Groupe.
Exemple :
Votre Annuaire ( AD) possède plusieurs UO
Chaque UO est gérée par un administrateur différent.
Vous pouvez créer des Groupes Globaux dans les UO pour permettre aux administrateurs d’administrer l’appartenance des utilisateurs aux Groupes dans leurs UO respectives.
Si vous vous devez utiliser des Groupes pour contrôler les accès en dehors de l’UO, vous pouvez imbriquer les Groupes dans l’UO pour former des groupes Universels utilisés ailleurs dans la forêt.
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
1- Emplacement de création des groupes
2- Instructions d’attribution de Noms aux groupes
3- Procédure de création d’un Groupe
4- Atelier pratique : Création de Groupes Globaux et Locaux
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
2- Instructions d’attribution de Noms aux groupesIntroduction.
Dans Active Directory il existe de nombreux groupes de sécurité et de Distribution.
Les conventions d’attribution de Noms doivent refléter le schéma des entreprises autant que possible.
Tenez compte des éléments suivants lorsque vous définissez une convention d’attribution de Noms pour les Groupes de sécurité :
Exemples Etendue de Groupe de sécurité
GG IT Admins G pour Groupes Globaux
UN Tous les IT Admins U pour Groupes Universels
DL IT Admins Full Control DL pour Groupes de Domaine Local
Propriétaires du groupe de Sécurité :
G Marketing Managers Identifie clairement le propriétaire en incluant le Nom de la Division
DL IT Admins Full COntrol
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
2- Instructions d’attribution de Noms aux groupesIntroduction.
Exemples Nom de Domaine
G DCServia1 Marketing
DL DCServia2.Dom IT Admins Read
Etc…
Groupes locaux.
Le nom d’attribution d’un Groupe local ne peut pas être identique au nom d’un autre groupe ou d’un utilisateur sur l’ordinateur local Administré.
Un Nom de groupe local ne peut pas contenir des caractères interdits tels que :
. (Point) ou des Espaces.
Evitez les caractères : / \ [ ] : ; | , + * ? < >
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
1- Emplacement de création des groupes
2- Instructions d’attribution de Noms aux groupes
3- Procédure de création d’un Groupe
4- Atelier pratique : Création de Groupes Globaux et Locaux
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
3- Procédure de création d’un Groupe
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes
Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41
M2144A Administration Windows Server 2003 Rv01-2006
Module 3 : Administration des groupes