michel notredame informatique-architecture-réseaux [email protected] tel...

Michel Notredame Informatique-Architecture-Réseaux [email protected] Tel 06-83-31-84-41

M2144A Administration Windows Server 2003 Rv01-2006



Cursus de Certifications Informatiques Microsoft Serveur 2003

MCP

MCSA MCSE

8 Modules

5 Examens

Durée Options

M2144 5 J MCSA/CP

M2149 70-290 3 J MCSA/CP

M2177 2 J MCSA

M2182 70291 5 J MCSA

M2223 2 J MCSA/CP

M2615 70-270 4 J MCSA/CP

SECURITE

M2160 70-227 3 J MCSA

M2304 70299 5 J MCSA

8 Modules

5 Examens

Durée Options

M2144 5 J MCSA/SE

M2149 70-290 3 J MCSA/SE

M2177 2 J MCSA/SE

M2182 70291 5 J MCSA/SE

M2189 70-293 5 J MCSE

M2194 70-294 5 J MCSE

M2223 2 J MCSA/SE

M2615 70-270 4 J MCSA/SE

SECURITE

M2160 70-227 3 J MCSA/SE

M2113 70-298 3 J MCSE

M2304 70299 5 J MCSA/SE

29 J

42 J

15 J



PLAN DU COURS

Module 1 : Présentation de l’administration des comptes et des ressources

Module 2 : Administration des comptes Utilisateurs et ordinateurs

Module 3 : Administration des groupes

Module 4 : Administration des accès aux ressources

Module 5 : Implémentation de l’impression

Module 6 : Administration de l’impression

Module 7 : Administration des accès aux objets dans les unités d’organisation

Module 8 : Implémentation d’une stratégie de groupe

Module 9 : Administration de l’environnement en stratégies de groupes

Module 10 : Implémentation de modèle d’administration et de stratégie d’audit




Famille Windows Server 2003 :

- Les tâches

-Les outils nécessaires à l’administration des comptes

et des ressources sur des ordinateurs exécutant

Windows Serveur 2003 en réseau




Objectifs du Module 1:

Etre en mesure de déplacer des objets dans un domaine

Savoir créer une Unité d’Organisation (OU)

Etre capable d’installer et configurer les outils d’administration

Savoir Ouvrir une session Windows Server 2003

Etre capable de décrire l’environnement Server 2003

51 2 3 4




ROLE DES SERVEURSROLE DES SERVEURSContrôleur de domaine

Serveur de Fichiers

Serveur d’impression

Serveur DNS

Serveur d’applica

tions

Serveur Terminal Server




ROLE DES SERVEURSROLE DES SERVEURS

Contrôleur de domaine

Ils stockent les données d’annuaire et gèrent :

-Les communications entre les utilisateurs et les domaines

-Les processus d’ouverture de session utilisateur

-Les processus d’authentification des utilisateurs

-Les recherches dans l’annuaire

Un serveur devient Contrôleur de domaine quand on installe Active Directory




ROLE DES SERVEURSROLE DES SERVEURSServeur de Fichiers

Un serveur de fichier fournit sur le réseau :

-Un emplacement pour stocker les fichiers et les partager entre les autres utilisateurs du réseau

-Lorsqu’un utilisateur a besoin d’un fichier important, il peut l’obtenir par le réseau par le serveur de fichier au lieu de le transférer sur son ordinateur




ROLE DES SERVEURSROLE DES SERVEURSServeur d’impression

Un serveur d’impression fournit sur le réseau :

- Un emplacement centralisé dans lequel les utilisateurs peuvent imprimer

- Des Mises à jour de Pilotes d’imprimantes

- La gestion de l’ensemble de la mise en file d’attente d’impression ainsi que la sécurité




ROLE DES SERVEURSROLE DES SERVEURS Serveur DNS

Service DNS (Domain Name Service)

● Fournit des services de Noms Internet sur le réseau et TCP/IP standard

● Permet aux ordinateurs clients du réseau d’enregistrer et résoudre des Noms de Domaine DNS

● Il est IMPERATIF pour implémenter Active Directory




ROLE DES SERVEURSROLE DES SERVEURS Serveur d’applica

tionsIl fournit une infrastructure et des services essentiels

aux applications hébergées dans un système.

Un Serveur d’Applications types incluse les services :

● Pool de ressources (ex SGBD, Pool d’objet

● Administration des transations distribuées,

● Communication Asynchrone de programmes via Messsage Queuing,

● Interfaces Automatiques de Services Web XML

● Détection intégrité des applications et sécurité intégrée

● Services IIs hébergement Serveurs Web-FTP




ROLE DES SERVEURSROLE DES SERVEURSServeur

Terminal Server

Un Terminal Serveur fournit aux ordinateurs distants un accès aux programmes Windows exécutés sous Windows Serveur 2000/2003.

Les applications peuvent être installées sur un seul point afin que les utilisateurs puissent y accéder, sans devoir installer sur leurs PC l’application.

Les utilisateurs peuvent enregistrer les fichiers et utiliser les ressources du réseau à partir d’un emplacement distant.




La Famille Windows 2003La Famille Windows 2003

Web Edition

Standard Edition

Enterprise Edition

DataCenter Edition

Utilisation spécifique Serveur WEB.Pas d’Active Directory implémentable

2 Go Ram- 2 µProcesseurs

PME/PMI. Controleur de Domaine. Serveurs Membres - Pas de Clusterring possible.

4 Go Ram - 4µProcesseurs

PME/PMI. Controleur de Domaine.-Serveur Membre-Web- SGBD-Messagerie-Serveurs Hautes performances

32 Go Ram - 8µProcesseurs.

Idem Enterprise Edition mais Multiclustering

64 Go Ram - 32µProcesseurs. 32 bits

512 Go Ram – 64 µProcesseurs 64 bits




L’Annuaire Active Directory

@ Identifie les ressources

@ Fournit un cadre cohérent pour :

-l’attribution de noms

- la description

-La localisation

-Les accès

-L’administration

-La sécurité

Avantages d’Active Directory

● Intégration DNS

● Evolutivité

● Administration

centralisée

● Administration

déléguée








- la description

-La localisation

-Les accès

-L’administration

-La sécurité



AD utilise les conventions d’attribution de noms DNS pour créer une vue hiérarchique ordonnée et évolutive des connexions réseau.

DNS sert aussi à faire correspondre les noms d’hôtes, tels que Google.com, à des adresse numériques TCP/IP, telles que 192.168.2.100








- la description

-La localisation

-Les accès

-L’administration

-La sécurité



● Evolutivité

● Administration

centralisée

● Administration

déléguée








- la description

-La localisation

-Les accès

-L’administration

-La sécurité


● Evolutivité

AD est organisé en sections qui permettent de stocker un très grand nombre d’objets.

AD peu évoluer en fonction des besoins de l’entreprise.

Une organisation disposant d’un seul serveur avec quelques centaines d’objets, peut évoluer vers des milliers de serveurs et des millions d’objets.








- la description

-La localisation

-Les accès

-L’administration

-La sécurité



● Evolutivité

● Administration

centralisée

● Administration

déléguée








- la description

-La localisation

-Les accès

-L’administration

-La sécurité


● Administration

centralisée

AD permet aux administrateurs d’administrer :

- les ordinateurs distribués

-Les services réseau

-Les applications à partir d’un emplacement central dans un environnement cohérent.

AD fournit un contrôle centralisé de l’accès aux ressources réseau








- la description

-La localisation

-Les accès

-L’administration

-La sécurité



● Evolutivité

● Administration

centralisée

● Administration

déléguée








- la description

-La localisation

-Les accès

-L’administration

-La sécurité


AD par sa structure hiérarchique permet de :

-Déléguer le contrôle d’administration que des parties spécifiques de la hiérarchie,

-Un utilisateur autorisé par un administrateur du domaine peut effectuer des tâches d’administration dans la partie affectée.

● Administration

déléguée








- la description

-La localisation

-Les accès

-L’administration

-La sécurité



● Evolutivité

● Administration

centralisée

● Administration

déléguée




Terminologie de Active Directory

Forêt

Paris.

servia.fr

Lille.

servia.fr

Rouen.

servia.fr

servia.fr Arborescence

Domaine

OU dans un domaine DC DC

DC

DC





servia.fr

Domaine DC

UN DOMAINE est l’unité centrale de la structure logique d’Active Directory

C’est un ensemble d’ordinateurs, définis par un administrateur, qui partagent une base de données commune d’annuaires.

Un domaine possède un NOM UNIQUE et fournit un accès aux comptes utilisateurs centralisés, ainsi qu’aux comptes de groups administrés par l’administrateur du domaine.





servia.fr

Domaine

OU dans un domaine (Organisation Unit)

DC

Unité d’Organisation est un type d’objet conteneur qui permet d’organiser les objets dans un domaine.

Elle peut contenir des objets tels que des comptes d’utilisateurs,des groupes,des ordinateurs,des imprimantes ou d’autres Unités d’Organisation.





Forêt

Paris.

servia.fr

Lille.

servia.fr

Rouen.

servia.fr

servia.fr Arborescence

Domaine

OU dans un domaine

DC DC

DC

DC

Contient 1 ou plusieurs Domaines qui partagent une configuration, un schéma,et un catalogue commun.

Racine



Paris.

servia.fr

servia.fr

Domaine

OU dans un domaine

DC

DC

Racine



Forêt

Lille.

servia.fr

Rouen.

servia.fr

Arborescence

DC

DC

Contient 1 ou plusieurs Domaines qui partagent une configuration, un schéma,et un catalogue commun.




Terminologie de Active DirectoryRacine

Servia.fr

Relations

Achat.servia.com

Ventes.servia.fr

Infos.servia.fr

d’approbationsUne Forêt est un ensemble de domaines liés entre eux par des relations d’approbations bidirectionnelles et transitives.

Elle est caractérisée par la présence d’un Domaine dit Racine équivalent au premier domaine installé dans la Forêt.

Le Domaine Racine est le point de référence pour tous les autres Domaines de la Forêt.





Arborescence

Les arborescences de domaines dépendent de leur nom.

Lorsqu’un Domaine ne partage pas le même espace de nom qu’un domaine parent, il est considéré comme une nouvelle arborescense, donc, un autre Domaine.

Sinon, il s’agit d’un Domaine enfant.





Forêt

Paris.

servia.fr

Lille.

servia.fr

Rouen.

servia.fr

servia.fr

Domaine

DC DC

DC

DC

Racine

DC

ssii.servia.com

Servia.fr est le Domaine Racine

Paris.servia.fr

Lille.servia.fr

Rouen.servia.fr

sont des Domaines Domaines enfantsenfants

du Domaine Parent Racine servia.fr ssii.servia.com ne partage

pas le même espace nom sur servia.fr




Terminologie de Active DirectoryLes Noms de Domaines utilisés dans Active Directory s’appuient sur une Architecture DNS (Domain Name Service).

Les Unités Organisationnelles permettent de structurer hiérarchiquement un Les Unités Organisationnelles permettent de structurer hiérarchiquement un Domaine dans le but de l’organiser pour :Domaine dans le but de l’organiser pour :

● ● Organiser des différents objets de la Base de données Organiser des différents objets de la Base de données (Users,Groupes,Imprimantes….. (Users,Groupes,Imprimantes…..

● ● Déléguer le contrôle d’administrationDéléguer le contrôle d’administration

● ● Simplifier les ressources d’administration.Simplifier les ressources d’administration.

Les Unités Organisationnelles permettent de structurer hiérarchiquement un Les Unités Organisationnelles permettent de structurer hiérarchiquement un Domaine dans le but de l’organiser pour :Domaine dans le but de l’organiser pour :

● ● Organiser des différents objets de la Base de données Organiser des différents objets de la Base de données (Users,Groupes,Imprimantes….. (Users,Groupes,Imprimantes…..

● ● Déléguer le contrôle d’administrationDéléguer le contrôle d’administration

● ● Simplifier les ressources d’administration.Simplifier les ressources d’administration.

OU dans un domaine



Configuration de classe

Configuration de classe par groupes. Cf document joint



Configuration de classe1 Contrôleur de Domaine par Groupe 0 vaut le chiffre zéro

5 Groupes de 2 ou 3 Ordinateurs et le serveur de domaine:

1 DCx Contrôleur de domaine

2 SMx Serveurs Membres du Domaine

Compte Administrateur Domaine : admin<Nom Ctrl Domaine> ex adminDC3

Mot de Passe Administrateur : 123Abcd Mot de passe complexe

Compte Admin Srv Membre : admin<Nom serveur Membre> ex admindublin

Mot de passe Srv Membre : 123Abcd Mot de passe complexe

Compte utilisateur Srv Membre : User<Nomserveur> ex : Userdublin

Mot de passe utilisateur : 123Abcd Mot de passe complexe





INSTALLATION DE SERVEUR 2003

SOMMAIRE

A- Configuration Minimum machine

B- Installation Manuelle du Serveur 2003 à partir d’un CdRom

1b – Partitionnement des disques

2b – Choix du système de fichiers

3b – Mode de Licence

C- Stratégies d’organisations d’entreprise avec Windows Server 2000-2003





A- Configuration Minimum machine Mini Conseillé Mini Conseillé

RAM : 512 Mo µP P4 2 Ghz

1b – Partitionnement des disquesNTLDR

NTDETCT.COM

BOOT.INI

Partition Principale Partition étendue

ACTIVE Lecteur Logique

La partition principale est la partition système. Elle doit être activée.

C’est la partition système qui contient le préchargeur (secteur de démarrage de NT) et le chargeur (NTLDR).(Mini 10 Mo nécessaire).

Le Noyau Windows 2003 (NTOSKERNEL.EXE) peut se trouver sur cette partition ou une partition étendue éventuellement.

Disque 0NTOSKERNEL.EXE

WINDOWS\*

Espace disque mini conseillé 2 Go





WINDOWS 2003 Supporte les systèmes de fichiers FAT,FAT32,NTFS

FAT & FAT 32 sont des formats de disques non sécurisés trouvés sur les systèmes d’exploitation MSDOS,Windows 95,Windows 98/SE,Millenium…..

Il ne permettent pas d’obtenir un niveau de sécurité sur les fichiers et les répertoires, ainsi que sur les objets d’un serveur Windows NT,2000,2003.

Le système de fichiers FAT ne supporte pas les partitions supérieures à 2 Go.

FAT 32 permet de dépasser cette limite, sans toutefois avoir les capacités d’OS tels que NT4,2000,2003 en NTFS ( plusieurs Exa octets).

Une partition FAT,FAT32 peut être convertie dans le format NTFS, mais ce processus est irréversible. Ex : Mode commande :CONVERT C: /FS:NTFS






Format NTFS 5.1/ 5.2 est recommandé sous Serveur NT,2000 et 2003.

Il accroît la sécurité en permettant:

& Le contrôle des accès au niveau des fichiers et des répertoires,

& des disques et des ressources du serveur,

& le contrôle des utilisateurs et des groupes d’utilisateurs,

& le contrôle de l’emploi des disques par le quota utilisateurs,

& le cryptage des données,

& la compression des disques ou des fichiers…………

Si la machine est Contrôleur de DomaineSi la machine est Contrôleur de Domaine, de nombreux autres services de sécurité et de gestion du Domaines sont disponibles (Audit-permissions-gestion des ressources et impressions-sécurité locale etc……






2 Choix de modes de licence sont proposés à l’installation :


1- Licences par Serveur

2 - Licences par poste ou utilisateur (siège)

Licences par Serveur, correspond pour un serveur particulier au nombre maximal de clients différents qui pourront se connecter simultanément sur ce serveur.

Lorsque la limite est atteinte, un message d’erreur s’affiche et la nouvelle connextion est refusée. Les messages sont consignés dans l’observateur d’évènement du serveur.

Il est possible de faire évoluer le nombre de licences par serveur à partir du panneau de configuration - Licences. Cette action est irréversible !!





2 Choix de modes de licence sont proposés à l’installation :


1- Licences par Serveur

2 -Licences par poste ou utilisateur (siège)

Mode de licence ou le Siège de l’entreprise ou un client spécifique est sujet au paiement d’une licence.

Les serveurs ne disposent d’aucune restriction particulière en termes de connexions maximales concomittantes, mais chaque client doit être connu du siège.





Notions de Sites.


Le choix de l’organisation hiérarchique du système d’informations que vous allez mettre en place dans une entreprise nécessite de bien réfléchir à l’organisation fonctionnelle et géographique de celle-ci, au moment de l’implantation du S.I :

- Situation géographique de la maison mère, et ses filiales éventuelles et de définir déjà pour celle-ci les hiérarchies organisationnelles existantes et futures en termes de technologies de liaisons mais aussi :

Les services, (utilisateurs,groupes,permissions,rôles,Unités organisationnelles),

Les utilisateurs, (par services, en groupes,autorisations,sécurité,délégations),

Les ordinateurs, (Stratégies d’identification sur le réseau),

Les périphériques,(par services,disponibilités réseau,identification..)

Les Serveurs, (sur chaque sites, les licences, les logiciels,sécurité des données….)

Les applications, (SGBD,Internet,Intranet…………..)





Notions de Sites.


Le choix d’implantation d’un serveur au sein d’une entreprise comme Contrôleur de Domaine, implique l’installation d’une structure logique nommée :

Active DirectoryActive Directory.

Dans un environnement de plusieurs Contrôleurs de Domaines, chacun d’eux échange et réplique les modifications dans leur base de données respectives

(AD se trouve dans %WinDir%\NTDS\NTDS.DIT)

Dans le cas d’une structure ayant des filiales plus ou moins éloignées, le choix des liaisons physiques, fonctions de leurs situations géographiques est important

Active Directory utilise une structure physique qui permet de maîtriser les échanges entre les Contrôleurs de Domaines. C’est la notion de Sites.





Notions de Sites.


Réplication de AD

Site=Sous-reseau1 +

Sous-réseau2 +

Sous-réseau 3 +++





Comportement selon le type de domaine

1) Un Serveur Windows 2000/2003 peut être membre d’un Domaine NT4 (Type Netbios). Il utilisera le mécanisme de la résolution des Noms Netbios pour trouver les contrôleurs de domaines

2) Il peut être membre d’un Domaine Active Directory et utilisera les mécanismes de résolution de Noms DNS srv, pour trouver les Contrôleurs de Domaine

3) Il peut être aussi Contrôleur de Domaine lui-même. Il supporte alors les clients NetBios et les clients DNS.

Les postes clients antérieurs à Windows 2000 (NT4,Win 98se), joignent le Domaine au nom NetBios(nom court).

Les clients depuis Windows 2000 doivent utiliser le nom DNS du domaine.




Choix d’Installation du Serveur Windows 2003

L’installation d’Active Directory sur un Serveur Windows 2003 propose l’organigramme suivant :

Contrôleur de domaine pour un

Nouveau Domaine n

Contrôleur de domaine

supplémentaire Domaine existant

Créer une nouvelle arborescence de

domaine

Créer un nouveau domaine enfant

dans un arborescence de

domaine existante

Créer une nouvelle forêt

d’arborescence de domaine

Créer une nouvelle arborescence de

domaine dans une forêt existante

1

23

1 23

FORETFORET

a.fr

b.a.fr A.com

1

1




Travaux Pratiques. Installation du Contrôleur de Domaine par groupe.

Création d’un Nouveau Domaine ou Domaine Racine

FSQ10-M2144-TP01 : Suivre la procédure fournie pour installer Serveur 2003




Le jeton d'accès contient :

- Les identificateurs de sécurité (ou SID, Security Identifier) qui définissent les droits et les privilèges des utilisateurs.

- Un SID est une valeur qui identifie un compte d'utilisateur, de groupe oud'ordinateur dans une entreprise.

- Chaque compte créé est affecté d'un SID.

Les droits et les autorisations d'un utilisateur, d'un groupe ou d'un ordinateur sont définis dans des listes de contrôle d'accès (Access Control List, ACL) qui contiennent les SID autorisés.

Outre votre SID unique, les SID des groupes dont vous êtes membre vousidentifient.

OUVERTURE DE SESSION ET D’AUTHENTIFICATION




Ces informations sont stockées dans un jeton d'accès qui contient toutes les informations associées à votre identité et au contexte de sécurité au cours d'une session.

Des jetons d'accès sont recréés chaque fois qu'une entité de sécurité ouvre une session.

OUVERTURE DE SESSION ET D’AUTHENTIFICATIONLe jeton d'accès contient :





Ouverture de Session en réseau en tant qu’Administrateur du domaine ( à partir de votre serveur membre).

Suivez la fiche Procédure M2 – FSQ 10 – M 2144 – TP 04 que vous avez reçue.




INSTALLATION et CONFIGURATION des OUTILS d’ADMINISTRATION

- Outils d’Administration couramment utilisés :

• Utilisateurs et Ordinateurs Active Directory

• Sites et Services Active Directory

• Domaines et Approbations Active Directory

• Gestion de l’ordinateur

• DNS

• Bureau à distance

- Installation pour l’administration distante




Les Outils d’administration permettent aux Administrateurs réseau :

- d’Ajouter

- Rechercher

- Modifier

- Les paramètres des ordinateurs et du réseau et d’effectuer ces opérations sur les objets Active Directory.

- Les outils d’administration peuvent également être installés sur des ordinateurs exécutant Windows XP Pro et Windows 2000, au même titre que Serveur 2003.

- Les outils d’administration nécessaires peuvent être préparé en console personnalisée grâce à MMC.EXE.




Les Outils d’administration

Ils peuvent servir à :

- Administrer à distance des ressources réseau AD

- Des services réseau tel que WINS (Windows Name Service)

- Les protocoles DHCP (Dynamic Host Configuration Protocol) à partir d’un poste client

- Sous XP Pro les outils d’administration ne peuvent s’installer que sous SP1.

- Windows Serveur 2003 inclut les outils d’administration sous forme de composants logiciels enfichables ajoutés à MMC.




Installation des outils d’administrations Windows Serveur 2003

Suivez la Procédure d’installation fournie avec la Fiche Procédure M2 – FSQ 10 – M 2144 – TP 05




Description de MMC (Microsoft Management Console)

C’est un utilitaire fournit par Microsoft qui permet :

- de créer, enregistrer et ouvrir les outils d’administration appelés Consoles

Les consoles personnalisées gèrent les composants matériels, logiciels et réseau de votre système d’exploitation.

Les composants enfichables installés dans une Console personnalisée, autorisent l’administration de plusieurs services depuis une seule interface.

Une console peut être personnalisée et conçue avec des droits et restrictions et être proposée à une personne déléguée par l’administrateur du réseau.




Procédure de création d’une console MMC personnalisée

Suivre la Fiche Procédure M2 – FSQ 10 – M 2144 – TP 05bis fournie à cet effet.




Les Unités d’organisation UO/ou (Organisation Unit)

- Organise les objets d’un domaine

- Permet de déléguer le contrôle de l’administration

- Simplifie l’administration des ressources qui appartiennent communément à des groupes.

Une UO est un objet de Active Directory.

L’organisation hiérarchique des Unités d’Organisation est élaborée généralement par l’Ingénieur Système.




LES MODÈLES HIÉRARCHIQUES DES UNITÉS D’ORGANISATION

- 4 types de modèles sont exploités généralement :

Fondé sur la fonction

V

N

F I

RI

F

MC

Fondé sur l’emplacement

Fondé sur l’organisation

Modèles Hybrides

V = Ventes

C = Consultants

M = Marketing

N = Norvège

F = France

I = Indonésie

F = Fabrication

I = Ingénierie

R = Recherche

- Fonction - Organisation

- Emplacement - Fonction

- Organisation - Emplacement




Modèles hiérarchiques fondés sur la fonction

V

MC

V = Ventes

C = Consultants

M = Marketing

- Les modèles reposent uniquement sur les métiers de l’entreprise

- Ils ne tiennent pas compte de l’emplacement géographique, ni des services et des divisions de l’entreprise.

C’est une hiérarchie utilisable uniquement si la fonction informatique ne repose pas sur l’emplacement ou l’entreprise.




Caractéristiques de la hiérarchies fondée par la fonction

Tenir compte des caractéristiques suivantes :

Non affectée par les réorganisations

Nécessité éventuelle d’autre couches pour permettre l’administration des

utilisateurs, des imprimantes, des serveurs et des partages réseau

Peut avoir un impact sur la réplication ; dans le cas de l’utilisation de domaines complémentaires (Réplication entre serveurs de domaines gourmand en bande passante)

Cette structure ne s’applique qu’aux petites entreprises, généralement




Hiérarchie fondée sur la Organisation

F

RI

F = Fabrication

I = Ingénierie

R = Recherche

- C’est une stratégie qui repose sur les Services et les Divisions de l’entreprise.

- Active Directory doit être adapté à l’administrateur et non à l’utilisateur.

- AD reflète uniquement la structure de l’entreprise, les problèmes suivants risquent d’apparaître dans ce mode hiérarchique :

- Difficultés pour la délégation de l’autorité d’administration (imprimantes, partage de fichiers...)




Hiérarchie fondée sur l’emplacement :

F

N

I

N = Norvège

F = France

I = Indonésie

Efficace si :

- L’Organisation est centralisée

- La gestion du réseau est distribuée géographiquement

Dans ce cas on crée des U O selon l’emplacement dans le même domaine.

Caractéristiques :

- Non affectée par les réorganisations. L’emplacement change rarement dans la plupart des entreprises (les divisions et session peuvent changer + fréquemment).

- Tient compte des fusions et de la croissance de l’entreprise : Créations d’ UO nouvelles aisées.




Hiérarchie fondée sur l’emplacement :

F

N

I

N = Norvège

F = France

I = Indonésie

Caractéristiques (suite) :

- Tire partie des points forts du réseau. Permet de tirer partie des bandes passantes larges liées aux découpages du

réseau de l’entreprise.

Faiblesses :

- Peut mettre en péril la sécurité du réseau si un emplacement comporte plusieurs Divisions ou Services, si une personne ou un groupe dispose d’une autorité d’administration sur le domaine des UO.




Exemples Hybrides

- Fonction - Organisation

- Emplacement - Fonction

- Organisation - Emplacement

Hiérarchie hybride Direction des études

- Achats

- Qualité

- Contrôle

- Fabrication

- B E

- Une combinaison hiérarchique sur plusieurs modèles est appelée hybride.

Caractéristiques :

- Intègre la croissance des secteurs géographiques, des services ou des divisions.

- Crée des limites d’administration distincte en fonction du service ou de la division.

- Nécessite que les Administrateur coopèrent afin d’assurer la réalisation des tâches d’Administration.




Création des Unités d’Organisation

Noms des Unités d’Organisation

- Active Directory référence chaque objet par plusieurs types de noms qui décrivent l’emplacement de l’objet.

- Le nom de chaque objet est unique et complet lors de sa création.

Les syntaxes des noms UO différent selon la manière de créer les UO (en mode graphique sous Windows ou en mode commande)

-Nom relatif LDAP (Lightweight Directory Access Protocol)

Le nom identifie de façon unique l’objet dans son conteneur parent

Exemple : OU = mon unité d’organisation




Création des Unités d’Organisation

Noms des Unités d’Organisation

Nom unique LDAP c’est l’écriture du nom unique GLOBAL utilisé par les administrateurs en mode commande.

OU = mon unité organisation, DC = servia, DC = FR

Ligne de commande de création d’une UO

Exemple :

dsadd ou Nom unique UO – desc Description – s Serveur – d Domaine –

U Utilisateur – p Mot de passe Taper : dsadd/? et ’’entrée’’




Création d’une Unité d’Organisation dans Active Directory

Procédure de création d’Unité d’Organisation (voir Procédure jointe FSQ 10 – M 2144 – TP 06.




Les Unités d’Organisation

Différences entre la notion de Groupes et les Unités d’Organisation (UO)

♦ Les groupes vont contenir des ressources telles que des utilisateurs pour distinguer un regroupement de personnes dans une localisation ou une fonction donnée ou encore un service.

♦ Les Unités d’Organisation vont permettre de découper, clarifier les groupes, d’autoriser des accès aux ressources, de permettre une délégation de stratégie pour le groupe, à certaines personnes.




Les Unités d’OrganisationExemple de stratégie d’organisation

DC SERVIA.DOM

AMIENS

OU

OU

OU

OU

LILLE

OU

OU

VENTES

S A V

FORMATION

COMPTA-FINANCES

OU

OU

VENTES

COMPTABILITE

Cette arborescence facilite l’administration.

Les regroupements en OU peuvent reprendre les mê-mes stratégies, générale-ment :

- Qui peut accéder à l’Internet ?

- Dans quelle plage horaire ?

- Qui peut accéder aux dossiers VENTES, SAV etc...




Déplacement des Unités d’Organisation dans l’arborescence

- Pour déplacer une U O la technique habituelle du DRAG and DROP avec la souris permet de le faire...

Démonstration




EXERCICE :

Selon le scénario décrit dans la Fiche Séquence complémentaire créez les Unités d’Organisation demandées.

Création d’une hiérarchie d’Unités d’Organisation



Module 2 : Administration des comptes utilisateurs et ordinateurs

Table des matières

- création de comptes d’utilisateurs

- création de comptes d’ordinateurs

- modification des propriétés des comptes d’utilisateurs et d’ordinateurs

- création d’un modèle de compte utilisateur

- activation et déverrouillage des comptes utilisateurs et ordinateurs

- réinitialisation des comptes utilisateurs et ordinateurs

- recherche de compte utilisateurs et ordinateurs dans Active Directory

- enregistrement des requêtes

- Atelier A : Administration des comptes utilisateurs et des comptes d’ordinateurs




-Pour accéder aux ressources d’un domaine l’administrateur doit autoriser les utilisateurs à y accéder, ainsi que les ordinateurs.

- Il faut créer des comptes utilisateurs pour les identifier et les authentifier sur le domaine et le réseau.

- Un compte utilisateur est un objet qui regroupe les informations définissant un utilisateur sous Windows Serveur 2000 et 2003.

- Un compte utilisateur peut avoir 2 modèles :

- Local

- Domaine

- Un compte utilisateur contient le nom de l’utilisateur (unique) et un mot de passe unique pour ouvrir une Session locale ou sur le domaine.




Les comptes Utilisateurs

Un compte Utilisateur est obligatoire pour :

Permettre à un utilisateur d’ouvrir une session sur un ordinateur en fonction de l’identité du compte d’utilisateur,

Permettre aux processus et aux sessions de s’exécuter sous un contexte de sécurité absolue,

Administrer les accès d’un utilisateur à des ressources et leurs propriétés (objets Active Directory) :

des dossiers partagés,

des fichiers,

des répertoires et des files d’attentes d’impression.




Types de comptes utilisateurs

(média\ 2144_2274_1_accts.swf)




Noms associés aux comptes d’utilisateurs des domaine : 4 Types de Noms

N O M E x e m p l e

Nom d’ouverture de session utilisateur JAYET PAT

Nom d’ouverture de session Pré Windows 2000

DCSERVIA\JAYETPAT

Nom Principal d’ouverture de session d’utilisateur, c’est le nom UPN (User Principal Name)

[email protected]

Nom unique relatif LDAP (Lightweight Directory Access Protocol) ► les administrateurs utilisent cette syntaxe en ligne de commande pour ajouter des utilisateurs à partir d’un script ou d’une ligne de commande

CN=JAYETPAT, CN=USERS,

DC= DCSERVIA.DOM




Noms associés aux comptes utilisateurs du domaine

Lors de la création d’un compte utilisateur, l’administrateur tape un nom d’ouverture de session utilisateur.

Le nom d’ouverture de session doit être unique dans la forêt dans laquelle le compte utilisateur est créé.

Le compte créé est utilisé comme nom unique relatif. L’utilisateur tape :

1- le nom utilisateur d’ouverture de session

2- un mot de passe

3- le nom du domaine

Les noms d’ouverture de Session peuvent comporter jusqu’à 20 caractères (reconnus) majuscules et minuscules.




Noms associés aux comptes utilisateurs du domaine

Un nom de compte utilisateur peut inclure une combinaison de caractères spéciaux et alphanumériques,

Exceptions : “ \ / [ ] : ; Ι + * ? < > . “Bon exemple :

JAYETPAT………est un nom d’ouverture correct

JAYETPAT12695……est correct

JayeTp1At2695……. est correct

J@YETP@t.............. est correct

Incorrect :

J-AYET/PAT.\\12:695




Création d’une Convention d’Attribution de noms pour les comptes utilisateurs

Une Convention d’attribution de nom pour les compte utilisateur doit tenir compte :

● des différents types d’employés, comme les intérimaires ou les titulaires

● des employés homonymes




Création d’une Convention d’Attribution de noms pour les comptes utilisateurs

Une convention d’attribution des noms de comptes doit être adaptée en fonction des noms homonymes dans l’entreprise.

Une méthode adaptée consiste à utiliser :

1) Prénom + initiale du nom

2) Ajouter des lettres du nom pour les noms identiques

Exemple : JAYETPAT → JAYET PATRICK

JAYETLYD → JAYET LYDIE

Dans certains cas, il n’est pas inintéressant d’identifier les employés par un préfixe ajouté au nom d’ouverture de Session, en fonction du Service qui l’emploie :

Exemple : V-JAYETPAT → V= VENTES

C-JAYETLYD → C= COMPTABILITE




Positionnement des comptes utilisateurs dans une hiérarchie

Conception Géopolitique Conception d’Entreprise

Amérique du Nord

Amérique du Sud

Comptabilité

Ventes

Utilisateurs

Utilisateurs

Utilisateurs

Image Dossier

Image liste utilisateurs

Utilisateurs




Options de compte Descriptions

L’utilisateur doit changer le mot de passe à la prochaine ouverture de session

Les utilisateurs doivent modifier leur mot de passe la prochaine fois, lorsqu’ils ouvriront une nouvelle session sur le réseau :

Suite à la création d’un nouveau compte ou à la réinitialisation du compte par l’Administrateur.

L’utilisateur ne peut pas changer son mot de passe

Un utilisateur ne possède pas les autorisations pour changer son mot de passe.

Permet à l’Administrateur de contrôler le moment où celui-ci peut-être modifié.

Le mot de passe n’expire jamais

Le mot de passe d’un utilisateur ne peut pas expirer. Préférable de ne pas l’utiliser pour des raisons de sécurité d’accès au domaine.

Le compte est désactivé

Un utilisateur ne peut plus ouvrir de session avec le compte de session.

Suite à des erreurs de saisie consécutives d’un utilisateur ou de la décision de l’Administrateur du réseau.




Procédure de création de comptes utilisateurs

Atelier Voir Fiche Séquence FSQ 10-M2144 – TP 08

-Créer des comptes d’utilisateur de domaine

-Créer des comptes d’utilisateur local

Note : Vous en pouvez pas créer de comptes d’utilisateurs locaux sur un contrôleur de domaine.




Description et fonction des comptes d’ordinateurs

♦ Un compte utilisateur fournit un moyen d’authentifier et d’auditer l’accès aux

ordinateurs du réseau, ainsi qu’aux ressources du domaine.

♦ Dans Active Directory, les ordinateurs sont des unités de sécurité, au même

titre que les utilisateurs.

♦ Pour être authentifier, un utilisateur doit disposer d’un compte valide sur le

domaine et ouvrir une session sur le domaine à partir d’un ordinateur lui-

même validé et identifié dans Active Directory.




Intérêt de la création d’un compte d’ordinateur

● SECURITE

● ADMINISTRATION

- Authentification

- IPSec

- Audit

- Fonctions de Active Directory

Déploiement de logiciels

Gestion des bureaux

- Inventaire matériel et logiciel par SMS





● Les ordinateurs sont chargés d’effectuer des tâches clés :

▪ Authentification des ouvertures de session utilisateurs

▪ Distribution des adresses IP (Internet Protocol)

▪ Gestion de l’intégralité de Active Directory

▪ Application des stratégies de sécurité

▪ Activités de sécurité et de gestion des ressources





► SECURITE

● Un compte d’ordinateur doit-être créé dans Active Directory

● L’ordinateur peut utiliser des processus d’authentification avancés tel que l’authentification Kerberos et la Sécurité IPSec (Internet Protocol Sécurity)

● IPSec permet de crypter le trafic

► ADMINISTRATION

Les comptes d’ordinateur aident l’administrateur système à gérer la structure du réseau :

● Gestion des fonctions graphiques de l’environnement utilisateur

● Automatisation du déploiement des logiciels

● Administration de l’inventaire du parc matériel et logiciel par SMS (Systems Management Server)




Emplacement de création des comptes d’ordinateurs dans un domaine

♦ Les administrateurs disposent dans Active Directory d’un conteneur ( U O) nommé Computer par défaut

♦ Au même titre que les comptes utilisateurs, les comptes d’ordinateur se composent :

▪ d’un nom

▪ d’un mot de passe

▪ d’un I D de sécurité (SID, Security Indentification)

Ces propriétés sont incorporées à la classe objet de l’ordinateur dans Active Directory (Base de Registre)





Lorsqu’un ordinateur non déclaré dans le domaine au préalable, est joint à un domaine, le compte ordinateur est créé par défaut dans le conteneur Computers

Par défaut les utilisateurs authentifiés d’Active Directory peuvent ajouter jusqu’à 10 ordinateurs, chacun, au domaine avec les identifications de leur compte d’utilisateurs, dans le conteneur par défaut.

Pour éviter ces ajouts par défaut, il est nécessaire que l’administrateur créé un compte d’ordinateur au préalable.

L’ajout d’un compte d’ordinateur au domaine avec un compte précédemment créé s’appelle la pré-génération.




Options des Comptes d’Ordinateur

Il existe 2 fonctions facultatives que l’on peut activer lors de la création d’un compte d’ordinateur :

1- Ordinateur pré-Windows 2000 choix

Coché permet d’attribuer un mot de passe basé sur le nom de l’ordinateur

Non coché, le mot de passe sera aléatoire à la 1ère ouverture de Session

Le mot de passe change tous les 5 jours entre l’ordinateur et le domaine dans lequel est situé le compte d’ordinateur.

Cette option permet de garantir qu’un ordinateur antérieur à Windows 2000 pourra déterminer si le mot de passe respecte les exigences de

mots de passe.




2- Contrôleur de Domaine Secondaire

Activez cette case si vous comptez utiliser l’ordinateur comme contrôleur

de domaine secondaire :

Fonction à utiliser si vous vous trouvez dans un environnement Windows 2003 et un Contrôleur Secondaire NT4.

Options des Comptes d’Ordinateur




Procédure de création d’un compte d’ordinateur TP09

● Créer des comptes ordinateurs dans Active Directory en suivant la

fiche Procédure FSQ10-m2144-TP09-Création Comptes Ordinateurs

▪ Fiche séquence : Description objectifs

▪ Fiche Procédure : Démarche détaillée




Création de Modèles de comptes utilisateurs

Créez une classification distincte pour chaque département

Créez un groupe distinct pour les employés à court terme et temporaires

Définissez les dates d’expiration des comptes d’utilisateurs pour les employés à court termes et temporaires

Désactivez le modèle de compte

Identifiez le modèle de compte

Exemple : Mettez un M- devant le compte modèle pour le distinguer




Procédure de création d’un compte modèle d’utilisateur

Cf Fiche séquence FSQ 10 - m2144 - TP 11

Cf Fiche Procédure FSQ 10 – m2144 – TP 11




Modifications des propriétés des comptes d’utilisateurs et d’ordinateurs

Quand modifier ?

Modifiez les propriétés des Comptes d’utilisateur pour :

▪ Faciliter l’utilisation des fonctionnalités de recherche pour trouver des utilisateurs▪ Reproduire la hiérarchie organisationnelle de la Société

▪ Déterminer l’appartenance à un groupe d’un compte d’utilisateur

Modifier les propriétés des comptes d’ordinateur pour :

▪ Faciliter le suivi des ressources (propriété emplacement) ▪ Renseigner qui assure l’administration d’un ordinateur (propriété géré par)




Propriétés des Comptes Utilisateurs

- Découverte des onglets Propriétés




Propriétés des Comptes Utilisateurs




Création d’un modèle de Compte Utilisateur

♦ Le modèle de compte utilisateur est un compte utilisateur contenant les propriétés qui s’appliquent aux utilisateurs courants.

♦ Les modèles de comptes utilisateurs rationnalisent le création de compte utilisateur avec des configurations standard.

Modèle de compte Utilisateur Standard

Réplication du Modèle Standard




Création d’un modèle de Compte Utilisateur

Utilité Pour chaque nouveau compte utilisateur, vous ne devrez ajouter que les informations qui lui sont uniques.

Exemple d’application

♦ une entreprise dispose de 15 commerciaux par lieux géographiques en Europe et dans le Monde (15 filiales)

♦ chaque filiale a déterminé que ses 15 commerciaux forment 1 groupe Vente

♦ 1 seul Responsable Vente est connu pour tous les commerciaux, pour toutes les filiales

Demande ♦ Tous les employés commerciaux doivent faire partie des 15 groupes de Vente avec le même responsable.

Solution a) vous créez un modèle qui inclut l’appartenance à tous les groupes et le responsable.

b) vous recopiez X fois le modèle pour les commerciaux. Les appartenances aux groupes sont répercutées.




Propriétés d’un modèle de compte copié

ONGLET PROPRIETES COPIEES

Adresse Toutes les propriétés à l’exception de « Adresse » sont copiées. Elle sera à compléter le cas échéant, cas par cas.

Compte Toutes les propriétés, à l’exception du Nom d’ouverture de Session de l’Utilisateur, sont copiées.

Profil Toutes les propriétés à l’exception des entrées Chemin du profil et Dossier de base, reflètent le nom d’ouverture de Session du nouvel utilisateur

Organisation Toutes les propriétés à l’exception de « Titre ».

Membre de Toutes les propriétés.



PLAN DU COURS


Module 2 : Administration des comptes Utilisateurs et ordinateurs


Module 4 : Administration des accès aux ressources

Module 5 : Implémentation de l’impression

Module 6 : Administration de l’impression

Module 7 : Administration des accès aux objets dans les unités d’organisation

Module 8 : Implémentation d’une stratégie de groupe

Module 9 : Administration de l’environnement en stratégies de groupes

Module 10 : Implémentation de modèle d’administration et de stratégie d’audit




Vue d’ensemble

Création de Groupes

Administration de l’appartenance à un groupe

Stratégies d’utilisation des groupes

Utilisation des groupes par défaut

Recommandations relatives à l’administration des groupes

ATELIER : Création et administration des groupes




Vue d’ensemble

Un Groupe est un ensemble de comptes d’utilisateurs et de comptes d’ordinateurs administrables sous la forme d’une entité.

Les groupes :

a) Simplifient l’administration en permettant d’accorder des autorisations sur des ressources une seule fois à un groupe, plutôt qu’à chaque compte d’utilisateurs individuellement,

b) Peuvent être situés dans Active Directory ou localement sur un ordinateur personnel,

c) Se caractérisent par l’étendue et le type,

d) Peuvent être imbriqués, cad qu’il est possible d’insérer une groupe dans un autre groupe




Vue d’ensemble




Vue d’ensemble Exemple :VENTES

Comptabilité




Vue d’ensemble

L’étendue d’un groupe détermine si le groupe couvre plusieurs Domaines ou s’il est limité à un seul domaine.

L’étendue d’un Groupe permet d’octroyer des autorisations. Elle détermine :

- les domaines à partir desquels vous pouvez ajouter des membres au

Groupe

- Les domaines dans lesquels vous pouvez utiliser le groupe pour accorder des

autorisations

- Les domaines dans lesquels vous pouvez imbriquer le groupe dans d’autres

groupes




Vue d’ensemble

- L’étendue d’un Groupe détermine également les membres du Groupe.

Les règles d’appartenance gouvernent les membres qu’un groupe peut contenir et

les groupes dont peut faire partie un groupe

-Les membres d’un groupe sont :

- Des comptes d’utilisateurs,

- Des comptes d’ordinateurs,

- d’autres groupes contenant eux-mêmes des objets similaires




Bien comprendre les caractéristiques de l’étendue des groupes.

Vous disposez des 4 étendues de groupe suivants :

- GLOBALE

- Domaine Local

- Universelle

- Locale

Définition Groupe Global

Un Groupe global est un groupe de sécurité ou de distribution qui peut contenir des utilisateurs, des groupes et des ordinateurs qui :

appartiennent au même Domaine que le Groupe Global

- Vous pouvez utiliser des groupes de sécurité Globaux pour affecter des droits utilisateurs et des autorisations d’accès aux ressources de n’importe quel domaine de la forêt.




Contrôleur de domaine pris

en charge

Etendues de groupe prises

en charge

Windows 2000 mixte

( par défaut)

Windows 2000 natif

Windows Serveur 2003

Windows NT Server 4.0

Windows 2000 Server

Windows 2003 Server

Windows 2000 Advanced Server

Windows 2003 ServerWindows 2003 Server

Global,

domaine local,

Global,

Domaine local,

Universel

Global,

Domaine local,

Universel

Description des niveaux fonctionnels d’un domaine




Vue d’ensemble

TYPE DE GROUPE

SECURITE

Distribution

DESCRIPTION

Utilisée pour attribuer des droits et des autorisations d’utilisateurs Utilisable sous forme de liste de distribution de courrier électronique

Utilisable Uniquement avec les applications de messagerie électronique. Ne peut pas être utilisée pour attribuer des autorisations.




3- Description des Groupes Universels

2- Description des Groupes de Domaine local

4- Description des Groupes locaux

1- Description des Groupes Globaux





Définition.

Un groupe Global est un groupe de Sécurité ou de Distribution qui peut contenir :

- des Utilisateurs,

- des ordinateurs, qui appartiennent au même Domaine que le Groupe

Global

Vous pouvez utiliser ces Groupes pour :

- Affecter des droits Utilisateur,

- des Autorisations d’accès aux ressources,

de n’importe quel domaine de la forêt.




MEMBRES

APPARTENANCE

ETENDUE

AUTORISATIONS

Règles de groupes Globaux

►Mode Mixte : Compte d’utilisateurs et Comptes d’ordinateurs du même domaine

► Mode Natif : Comptes d’utilisateurs,Comptes d’ordinateurs et groupes globaux du même

domaine► Mode Mixte : Groupes du Domaine local

► Mode Natif : Groupes Universel et de Domaine local dans un domaine quelconque et Groupes Globaux

dans le même Domaine

Tous les Domaines de la forêt et tous les domaines qui approuvent

Tous les Domaines de la Forêt et tous les Domaines qui approuvent








Conditions d’utilisation :

Etant donné que les Groupes Globaux sont visibles dans toute la forêt, ne les utilisez pas pour accorder des accès aux ressources propres à un domaine.

Utilisez-les plutôt pour organiser les utilisateurs qui partagent des tâches professionnelles et qui ont des besoins similaires d’accès au réseau. Il existe un autre type de groupe plus approprié pour contrôler les accès aux ressources d’un domaine.





Définition.

Un groupe de Domaine Local est un groupe de Sécurité ou de Distribution qui peut contenir :

- Des Groupes Universels,

- Des Groupes Globaux;

- d’autres Groupes locaux de son propre Domaine,

- Des comptes de n’importe quel Domaine de la Forêt




UNIQUEMENT dans le domaine auquel appartient le groupe de Domaine Local.





Membres Mode Mixte : Comptes utilisateurs,ordinateurs,Groupes Globaux de n’importe quel Domaine,

Mode natif :Un Groupe Universel peut contenir des Comptes Utilisateurs, Ordinateurs, Groupes Globaux et Groupes Universels qui appartiennent à n’importe quel domaine de la forêt , ainsi que des Groupes de Domaine Local du Même Domaine,

Appartenance Mode Mixte : Aucun

@ En mode Natif, Groupe de Domaine local du même Domaine

Etendue Les Groupes de Domaine local ne sont visibles QUE dans son propre Domaine

Autorisations Domaine auquel appartient le Groupe de domaine local








Conditions d’utilisation :Utilisez un groupe de Domaine Local pour affecter des autorisations aux ressources qui se trouvent dans le MEME DOMAINE que le Groupe de Domaine local.

Vous pouvez placer tous les groupes globaux qui doivent partager les mêmes ressources dans le domaine local approprié.




MULTIMEDIA INFOS MICROSOFT

F:\Cours Réseaux MCSE 2003\Cours MCSE 2003_Tosh\Multimedia\Media\2144A_2270a_06_2_3_0_a.html





Définition.

Un groupe Universel est un groupe de Sécurité ou de Distribution qui peut contenir :

- des Utilisateurs,

- des ordinateurs, qui appartiennent à n’importe quel Domaine de la forêt








3- Description des Groupes Universels Définition.

Un groupe Universel est un groupe de Sécurité ou de Distribution qui peut contenir :

- des Utilisateurs,

- des ordinateurs, qui appartiennent à n’importe quel Domaine de la forêt








3- Description des Groupes Universels Synthèse des caractéristiques

Membres Mode Mixte : Pas de création de groupes Universel autorisé

Mode natif :Un Groupe Universel peut contenir des Comptes Utilisateurs, Ordinateurs, Groupes Globaux et Groupes Universels qui appartiennent à n’importe quel domaine de la forêt

Appartenance @ le Groupe Universel n’est pas applicable en Mode Mixte

@ En mode Natif, un Groupe universel peut être membre de groupes locaux et de Groupes universels appartenant à n’importe quel domaine

Etendue Les Groupes Universels sont visibles dans tous les domaines de la forêt et dans les domaines qui approuvent

Autorisations Vous pouvez octroyer des autorisations à un Groupe Universel pour tous les Domaines de la Forêt




Contrôleur de domaine pris

en charge

Etendues de groupe prises

en charge

Windows 2000 mixte

( par défaut)

Windows 2000 natif

Windows Serveur 2003

Windows NT Server 4.0

Windows 2000 Server

Windows 2003 Server

Windows 2000 Advance Server

Windows 2003 ServerWindows 2003 Server

Global,

domaine local,

Global,

Domaine local,

Universel

Global,

Domaine local,

Universel

Description des niveaux fonctionnels d’un domaine : RAPPEL









Utilisez les groupes universels pour imbriquer des groupes Globaux afin d’affecter des autorisations à des ressources apparentées à plusieurs Domaines.

Une domaine Windows Server 2003 doit fonctionner en mode Windows 2000 natif ou supérieur pour pouvoir utiliser les groupes universels.




3- Description des Groupes Locaux

Définition.

Un groupe local est un ensemble de comptes utilisateurs, ou comptes de groupes de domaine créés sur :

- Un serveur membre,

- Un serveur autonome,

Vous pouvez créer des groupes locaux dans la base de données de sécurité locale (SAM).

Un groupe local peut contenir :

- des utilisateurs,

- des comptes d’ordinateurs,

- des groupes : globaux, Universels, et d’autres groupes de domaine local.




3- Description des Groupes Locaux

Définition.

Certains groupes ayant une étendue locale de domaine sont parfois appelé « Groupes locaux ».

Il est important de distinguer un groupe local d’un groupe ayant une étendue locale de domaine.

Les groupes locaux sont parfois appelés « Groupes locaux de machines » pour les distinguer des groupes de domaine local.

Un groupe local peut contenir des comptes d’utilisateurs locaux situés sur l’ordinateur à partir duquel vous avez créé le Groupe local.

Les groupes locaux ne peuvent être membres d’aucun autre Groupe.









Vous ne pouvez utiliser des groupes locaux que sur l’ordinateur à partir duquel vous les avez créés. Les autorisations liées à un groupe local donnent uniquement accès aux ressources de l’ordinateur sur lequel vous avez créé le groupe local

Vous pouvez utiliser les groupes locaux sur les ordinateurs dotés des systèmes d’exploitation clients Microsoft actuellement pris en charge et sur les serveurs membres de type Windows Server 2003.

Vous ne pouvez pas créer des groupes locaux sur le Contrôleur de Domaine, car ces derniers ne peuvent pas avoir une Base de Données de sécurité indépendante de la base de données Active Directory.

Créez des groupes locaux pour limiter l’accès des utilisateurs et des groupes locaux aux ressources du réseau si vous ne voulez pas créer de groupes de Domaine.




4- Règles des Groupes Locaux Synthèse des caractéristiques

Membres Comptes d’utilisateurs locaux provenant de l’ordinateur,

des Comptes de Domaines et des groupes de Domaines

Appartenance AUCUNE




1- Emplacement de création des groupes

2- Instructions d’attribution de Noms aux groupes

3- Procédure de création d’un Groupe

4- Atelier pratique : Création de Groupes Globaux et Locaux





Les groupes peuvent être créés :

a) Dans le Domaine Racine de la Forêt,

b) Dans un autre Domaine de la Forêt,

c) Dans une unité d’Organisation ( OU) (UO)

Choisissez le Domaine ou l’Unité d’organisation dans lequel vous voulez créer le groupe en fonction des conditions d’administration associées au groupe.

Exemple :

Si votre Annuaire possède plusieurs Unités d’organisation dont chacune possède une Administrateur différent, vous pouvez y créer des Groupes locaux.





Introduction.

Dans Active Directory, les groupes sont créés dans les Domaines.

Utilisez la Console Utilisateurs et Ordinateurs Active Directory pour créer des groupes.

Vous pouvez créer des groupes dans n’importe quel Domaine de la forêt ou dans une unité d’organisation, si vous disposez des autorisations nécessaires.

Outre le Domaine dans lequel il est créé, un Groupe se caractérise également par son étendue. L’étendue du Groupe détermine :

• Le Domaine à partir duquel vous pouvez ajouter des membres,

• Le Domaine dans lequel les droits utilisateur et les autorisations affectés au groupe sont

valides.





Choix d’un Domaine ou d’une Unité d’Organisation

Choisissez le Domaine ou l’Unité d’organisation dans lequel ou dans laquelle vous voulez créer le groupe en fonction des conditions d’administration associées au Groupe.

Exemple :

Votre Annuaire ( AD) possède plusieurs UO

Chaque UO est gérée par un administrateur différent.

Vous pouvez créer des Groupes Globaux dans les UO pour permettre aux administrateurs d’administrer l’appartenance des utilisateurs aux Groupes dans leurs UO respectives.

Si vous vous devez utiliser des Groupes pour contrôler les accès en dehors de l’UO, vous pouvez imbriquer les Groupes dans l’UO pour former des groupes Universels utilisés ailleurs dans la forêt.




2- Instructions d’attribution de Noms aux groupesIntroduction.

Dans Active Directory il existe de nombreux groupes de sécurité et de Distribution.

Les conventions d’attribution de Noms doivent refléter le schéma des entreprises autant que possible.

Tenez compte des éléments suivants lorsque vous définissez une convention d’attribution de Noms pour les Groupes de sécurité :

Exemples Etendue de Groupe de sécurité

GG IT Admins G pour Groupes Globaux

UN Tous les IT Admins U pour Groupes Universels

DL IT Admins Full Control DL pour Groupes de Domaine Local

Propriétaires du groupe de Sécurité :

G Marketing Managers Identifie clairement le propriétaire en incluant le Nom de la Division

DL IT Admins Full COntrol




2- Instructions d’attribution de Noms aux groupesIntroduction.

Exemples Nom de Domaine

G DCServia1 Marketing

DL DCServia2.Dom IT Admins Read

Etc…

Groupes locaux.

Le nom d’attribution d’un Groupe local ne peut pas être identique au nom d’un autre groupe ou d’un utilisateur sur l’ordinateur local Administré.

Un Nom de groupe local ne peut pas contenir des caractères interdits tels que :

. (Point) ou des Espaces.

Evitez les caractères : / \ [ ] : ; | , + * ? < >

michel notredame informatique-architecture-réseaux [email protected] tel...

Documents

comptes et

groupes module

limpression module

groupe module

cours module

domaine serveur

fichiers et

accs aux ressources