AD DS Book

[AD DS] GPO : utiliser des variables

Si vous utilisez les préférences dans les stratégies de groupe, il est possible d'utiliser des variables pour cibler certains éléments. Pour accéder aux variables, il suffit d'appuyer sur la touche « F3 » lorsque vous êtes dans le champ du paramètre pour ouvrir la liste des paramètres disponibles.

 

[AD DS] GPO : verrouillage automatique des comptes

La stratégie de verrouillage des comptes permet de se protéger contre des tentatives de connexion abusives. La stratégie définit le nombre d'erreurs dans un intervalle de temps précis. Par exemple, 3 erreurs de mot de passe en 10 minutes provoquent le verrouillage du compte pendant 30 minutes.

[AD DS] GPO : gérer les imprimantes

Comme pour la connexion à des partages, il est possible de déployer des imprimantes via les stratégies de groupe. Si vous souhaitez déployer des imprimantes, il est nécessaire de gérer la partie installation du pilote. En effet une imprimante partagée peut être vue en 2 parties. La première est la file d'attente d'impression gérée par le serveur. La 2ème partie est le pilote d'impression qui devra s'installer sur le poste cible. Par défaut, les comptes utilisateurs du domaine ne peuvent pas installer de pilote.

[AD DS] GPO : Gérer les lecteurs locaux

Nous avons vu dans le chapitre précédent qu'il est possible d'utiliser les scripts d'ouverture de session pour connecter des lecteurs réseaux spécifiques à chaque utilisateur. Depuis Windows 2008, il existe une autre méthode permettant de gérer ce type de paramètre à l'aide des préférences dans les stratégies de groupe. Les préférences ne sont applicables en natif que sur les postes client en Windows Vista ou supérieurs.

[AD DS] Définir la stratégie de mot de passe

Définir la stratégie de mot de passe

Nous allons dans ce premier exemple modifier la stratégie de mot de passe définit par défaut dans un domaine. L'option la plus souvent utilisée est de modifier les paramètres de la stratégie de groupe « Default Domain Policy ». Si vous définissez une stratégie de mot de passe sur une unité d'organisation contenant des objets ordinateurs, la stratégie que vous avez définie remplacera la stratégie pour les comptes créés localement sur la machine (voir SAM local), mais les comptes du domaine ne sont pas impactés.

[AD DS] Exemples courants de stratégie de groupe

Quelques exemples de l'utilisation des stratégies de groupe :

- Gérer la stratégie de mot de passe dans un domaine

- Gérer le montage des lecteurs réseaux

- Installer des imprimantes

- Verrouillage automatique des sessions

- Utiliser des variables dans les stratégies de groupe

- Stratégie par boucle de rappel

- Déployer des applications avec les stratégies de groupe

 

[AD DS] GPO et filtre

Filtrer une stratégie sur un groupe

Il est possible de restreindre l'application d'une stratégie de groupe à l'aide de filtres. Dans la partie « étendue » de la stratégie de groupe, en dessous des liaisons, vous retrouvez « filtrage de sécurité ». Par défaut il est défini sur « utilisateurs authentifiés » qui est un groupe dynamique contenant tous les utilisateurs et ordinateurs authentifiés. Il est possible de supprimer ce filtrage pour le remplacer par un groupe Active Directory, dans ce cas seul les membres des groupes seront concernés :

[AD DS] GPO : La console GPMC

La console de gestion des stratégies de groupes est installée par défaut avec les services Active Directory Domain Services depuis Windows 2008.

Vous pouvez y accéder par le gestionnaire de serveur dans le menu déroulant « outils » ou dans les outils d'administrations du panneau de configuration ou en saisissant la commande « gpmc.msc ».

 

 

[AD DS] Gestion des utilisateurs

Création d'un utilisateur

Pour créer un nouvel utilisateur faites un clic droit sur l'unité d'organisation choisi puis « nouveau » et « utilisateur ». Lors de la création d'un utilisateur un nombre minimal d'informations sont demandée par rapport à l'ensemble des attributs dont dispose un utilisateur.

 

[AD DS] Les unités d’organisations

Une unité d'organisation est un conteneur permettant de classer les objets pour simplifier l'administration du domaine. Afin d'organiser au mieux vos unités d'organisation, il est vivement conseillé de tenir compte des contraintes de délégations de certaines opérations d'administration. Par exemple, il est possible de définir un groupe de personnes qui dispose du droit d'ajouter des ordinateurs dans le domaine sans que ces personnes ne fassent partie de l'équipe qui administre l'annuaire Active Directory.

[AD DS] La console Utilisateur et Ordinateur Active Directory

La console « utilisateurs et Ordinateurs Active Directory est une des consoles les plus utilisées. Elle permet comme son nom l'indique de gérer les utilisateurs, les ordinateurs mais aussi les groupes, les unités d'organisation et quelques autres éléments. Il est possible d'accéder à la console soit par les outils d'administration dans le gestionnaire de serveur soit directement en exécutant « DSA.msc ».

[ AD DS] Désinstaller un contrôleur de domaine

Sur les versions avant Windows 2012 pour rétrograder un contrôleur de domaine il fallait exécuter la commande « dcpromo ». A partir de Windows 2012, vous pouvez le rétrograder en supprimant le rôle « service de domaine » depuis le gestionnaire de serveur. Vous devez utiliser un compte avec les droits d'administrations sur le domaine.

[AD DS] Installation d’un contrôleur de domaine supplémentaire

Comme pour l'installation du premier contrôleur de domaine nous commençons par la configuration des paramètres réseaux. Il faudra en plus de l'adresse IP fixe, mettre comme DNS primaire un serveur qui dispose de la zone du domaine et de la forêt, comme par exemple le premier contrôleur de domaine que nous venons d'installer. En général il s'agit d'un contrôleur de domaine qui dispose des services DNS et qui est déjà opérationnel.

[AD DS] Que faire après l’installation du premier DC ?

 

Configuration DNS pour la résolution de nom

Afin de garantir la résolution de nom sur Internet il est nécessaire d'autoriser sur votre routeur le trafic DNS (UDP et TCP sur le port 53). Par défaut les services DNS de notre contrôleur de domaine sont en mesure de résoudre des noms DNS par l'intermédiaire des serveurs DNS racines.

[AD DS] Interconnexion avec d’autres domaines

Il est possible qu'à un moment ou un autre, vous vous retrouviez dans l'obligation de partager des ressources avec d'autres entreprises. C'est le cas par exemple lors du rachat d'une entreprise ou d'une fusion. Si dans une forêt Active Directory l'ensemble des domaines s'approuvent automatiquement, il est possible de mettre en place des relations d'approbations avec des environnements extérieurs à la forêt.

[ AD DS] Un Catalogue global, qu’est-ce que c’est ?

Dans une forêt multi domaine chaque contrôleur de domaine ne gère que les utilisateurs de son domaine. Or il est possible à un utilisateur d'un domaine d'utiliser une ressource d'un autre domaine (si l'administrateur de ce domaine l'autorise). Les contrôleurs de domaine doivent être en mesure de localiser les objets des autres domaines de la forêt. Ce service est rendu par le catalogue global. Il contient également des éléments spécifiques, les groupes universels indispensables au moment de l'ouverture d'une session.

[AD DS] Conception de la structure physique

Si la structure logique d'Active Directory permet de s'adapter aux besoins liés à l'administration du domaine, la structure physique va permettre de s'adapter à la répartition géographique de l'entreprise. Elle permettra d'optimiser les flux réseaux entre les sites situés dans différents lieux géographiques.

[AD DS] Choisir un nom DNS

Un des éléments importants à définir avant le déploiement d'un domaine Active Directory est le nom DNS de votre domaine. Même s'il existe des solutions pour modifier un nom de domaine après sa création, l'opération reste généralement délicate car d'autres services ou applications peuvent en être dépendant (Exchange, SharePoint, …). Je vous conseille de ne pas renommer un domaine existant si vous ne maitrisez pas l'opération et l'ensemble des éléments qui s'appuie sur Active Directory et DNS.

[AD DS] Introduction aux Services de Domaine

Comment définir les services de Domaine AD ?

Dans ce chapitre, nous commencerons par définir la notion d'annuaire et ses avantages. Il est vrai que ce paragraphe s'adresse avant tout à un public débutant et même si cela peut paraître superflue je vais prendre quelques lignes pour définir les notions de base.

[ AD DS] Rôle FSMO, qu’est-ce que c’est ?

Dans une forêt Active Directory il existe 5 rôles particuliers qui ne sont pas partagés par l'ensemble des contrôleurs de domaine. Ces rôles sont les rôles de maitre d'opération (Flexible Single Master Operations). Il existe 2 rôles présents sur un seul contrôleur de domaine de la forêt et 3 rôles présents sur un seul contrôleur de domaine de chaque domaine de la forêt. Les différents rôles FSMO ne se trouvent pas forcément sur le même contrôleur de domaine.

[AD DS] Conception de la structure logique : notion de domaine et de forêt

Avant la création d'Active Directory, la gestion des utilisateurs et des ressources se faisait à l'aide d'un ou plusieurs domaines « NT » (New Technology). Une entreprise présente sur plusieurs sites disposait souvent d'un domaine pour chacun de ses sites. Dans un domaine NT, il y avait un serveur qui était accessible en écriture, le « Primary Domain Controller », les autres « Backup Domain Controller » ne sont que des copies en lecture de l'annuaire et pouvait assurer le rôle d'authentification de l'utilisateur.

S'abonner à RSS - AD DS Book