Présentation et installation de l’AD: Présentation de l ... · Server+, Linux+, LPIC-1, CCENT/CCNA,

Active Directory 2008 R2 (70-640) alphorm.com™©

Présentation et installation de l’AD: Présentation de

l'Active Directory

Active Directory 2008 R2 (70-640)

Site : http://alphorm.comBlog : http://alphorm.com/blogForum : http://alphorm.com/forum

Hamid HARABAZAN Fondateur d’alphorm.comCertifications : MCT, MCITP, VCP, A+, Server+, Linux+, LPIC-1, CCENT/CCNA,…Contact : [email protected]


Plan

• Authentification autonome

• Introduction de l’authentification avec l’Active Directory

• Active Directory comme base de données

• Unités d'organisation

• Gestion à base de stratégies

• Banque de données Active Directory

• Contrôleurs de domaine

• Domaine

• Réplication

• Sites

• Arborescence

• Forêt

• Catalogue global

• Niveau fonctionnel

• Partitions d'applications et DNS

• Relations d'approbation


• Ressource

• Utilisateur (compte utilisateur, compte ordinateur, compte service)

• Le besoin de protéger des informations


Authentification autonome (groupe de travail)

• Le magasin d'identités est la base de données du Gestionnaire des comptes de sécurité (SAM) dans le système Windows.

• Pas de magasin d'identités approuvées

• Plusieurs comptes d'utilisateur

• Gestion difficile des mots de passe


Introduction de l’authentification avec l’Active Directory


Active Directory• Magasin d'identités centralisé et approuvé par tous les membres du

domaine. Il stocke des informations sur les utilisateurs, les groupes, les ordinateurs et les autres identités

• Service d'authentification centralisé. L'authentification Kerberos utiliséedans Active Directory fournit l'authentification unique. Les utilisateurs ne sont authentifiés qu'une fois.

• Hébergé par un serveur jouant le rôle d'un contrôleur de domaine des Services de domaine Active Directory (AD DS)

• Services Active Directory

� Services de domaine Active Directory (AD DS)

� Services AD LDS (Active Directory Lightweight Directory Services)

� Services de certificats Active Directory (AD CS)

� Services AD RMS (Active Directory Rights Management Services)

� Services ADFS (Active Directory Federation Services)


Composants et concepts d'Active Directory


• Démonstration : schéma Active Directory





• Domaine

• Réplication

• Sites

• Arborescence

• Forêt






Active Directory comme base de données

• Active Directory est une base de données

� Chaque « enregistrement » est un objet

• Utilisateurs, groupes, ordinateurs...

� Chaque « champ » est un attribut

• Nom de connexion, SID, mot de passe, description, appartenance...

• Services : Kerberos, DNS, réplication, etc.

• Accès à la base de données

� Outils Windows, interfaces utilisateur et composants

� API (.NET, VBScript, Windows PowerShell)

� Lightweight Directory Access Protocol (LDAP)

En fin de compte, AD DS est à la fois une base de données et les services qui prennent en charge ou utilisent cette base de données.En fin de compte, AD DS est à la fois une base de données et les

services qui prennent en charge ou utilisent cette base de données.


Banque de données Active Directory

• %%%%racinesystèmeracinesystèmeracinesystèmeracinesystème%%%%\\\\NTDSNTDSNTDSNTDS\\\\ntds.ditntds.ditntds.ditntds.dit

• Partitions logiques

� Schéma

� Contexte d'appellation de domaine

� Configuration

� Catalogue global (aussi appelé Jeu d'attributspartiel [PAS, Partial Attribute Set])

� DNS (partitions d'applications)

• SYSVOL

� %racinesystème%\SYSVOL

� Scripts d'ouverturede session

� Stratégies

PASPAS

DNSDNS

*Domaine**Domaine*

ConfigurationConfiguration

Maître d'opérations du schéma


NTDS.DIT


Gestion à base de stratégies

• Active Directory propose un point unique de gestion pour la sécurité et la configuration par des stratégies

� Stratégie de groupe

• Stratégie de mot de passe et de verrouillage du domaine

• Stratégie d'audit

• Configuration

• Appliquée aux utilisateurs ou aux ordinateurs par une étendue d'objet de stratégie de groupe contenant des paramètres de configuration

� Stratégies affinées pour les mots de passe et le verrouillage


Contrôleurs de domaine

• Les serveurs jouant le rôle AD DS :

� hébergent la base de données Active Directory (NTDS.DIT) et SYSVOL ;

• sont répliqués entre les contrôleurs de domaine.

� Service Centre de distribution de clés Kerberos (KDC) : authentification

� Autres services Active Directory

• Pratiques recommandées

� Disponibilité : au moins deux par domaine

� Sécurité : installation minimale, contrôleurs de domaine en lecture seule


Domaine

• Composé d'un ou plusieurs contrôleurs de domaine

• Tous les contrôleurs de domaine répliquent le contexte d'appellation de domaine

� Le domaine est le contexte dans lequel sont créés les utilisateurs, les groupes, les ordinateurs, etc.

� Les « limites de réplication »

• Source d'identité approuvée : tout contrôleur de domaine peut authentifier toute ouverture de session dans le domaine

• Le domaine est l'étendue (limite) maximale pour certaines stratégies d'administration

� Mot de passe

� Verrouillage


Réplication

• Réplication multimaître

� Objets et attributs dans la base de données

� Le contenu de SYSVOL est répliqué.

• Plusieurs composants travaillent pour créer une topologie de réplication robuste et efficace, et pour répliquer les modifications granulaires dans Active Directory.

• La partition de configuration de la base de données stocke des informations sur les sites, la topologie du réseau et la réplication.

CD2

CD1 CD3


Sites

• Objet Active Directory qui représente une partie bien connectée de votreréseau

� Associé à des objets de sous-réseau représentant des sous-réseaux IP

• Réplication intrasite/intersites

� La réplication au sein d'un site se produit très rapidement (15 à 45 secondes).

� La réplication entre sites peut être gérée.

• Localisation des services

� Ouverture de session sur un contrôleur de domaine de votre site

Site A

Site B


Arborescence

• Un ou plusieurs domaines dans une même instance d'AD DS qui partagent un espace de noms DNS contigu

alphardtech.local

alphorm.local

maghreb.alphorm.local


Forêt

• Un ensemble d'une ou plusieurs arborescences de domaines Active Directory

• Le premier domaine est le domainedomainedomainedomaine racineracineracineracine de la de la de la de la forêtforêtforêtforêt.

• Une seule configuration et un seul schéma répliqués dans tous les contrôleurs de domaine de la forêt

• Une limite de sécurité et de réplication


Catalogue global

• Jeu d'attributs partiel (PAS) ou catalogue global

• Contient tous les objets dans chaque domaine de la forêt

• Contient uniquement les attributs sélectionnés

• Un type d'index

• Peut être consulté depuis tout domaine

• Très important pour de nombreuses applications

PASPAS

Domaine ADomaine A

PASPAS

Domaine BDomaine B


Niveau fonctionnel

• Niveaux fonctionnels de domaine

• Niveaux fonctionnels de forêt

• Contrôle :

� Les fonctionncalités fournies par le domaine

� Le OS des contrôleurs de domaines


Partitions d'applications et DNS

• Active Directory et DNS sont étroitementintégrés.

• Relation un à un entre le nom de domaine DNS et l'unité de domaine logique d'Active Directory

• Dépendance totale vis-à-vis du DNS pour localiser les ordinateurs et les services dans le domaine

• Un contrôleur de domaine agissant commeserveur DNS peut stocker les données de la zone dans Active Directory même, dans unepartition partition partition partition d'applicationsd'applicationsd'applicationsd'applications.

PASPAS

DNSDNS

DomaineDomaine

ConfigurationConfiguration




Relations d'approbation

• Étend le concept de magasin d'identités approuvées à un autre domaine

• Le domaine d'approbation (avec les ressources) approuve les services de magasin d'identités et d'authentification du domaine approuvé.

• Un utilisateur approuvé peut s'authentifier auprès du domaine autorisé à approuver et accéder à ses ressources.

• Dans une forêt, chaque domaine approuve tous les autres domaines.

Domaine approuvé

Domaine autorisé à approuver


Unités d'organisation

• Conteneurs

� Users

� Computers


� Des conteneurs qui prennent également en charge la gestion et la configuration des objets à l'aide d'une stratégie de groupe

� Elles créent des unités d'organisation pour :

• déléguer les autorisations administratives ;

• appliquer la stratégie de groupe.


Ce qu’on a couvert :

• Authentification autonome

• Introduction de l’authentification avec l’Active Directory






• Domaine

• Réplication

• Sites

• Arborescence

• Forêt





FIN


Présentation et installation de l’AD: Installation de l'AD sur un

Windows Complet





Plan

•Installation de l’OS

•Taches initiales

•Rôle vs Fonctionnalité

•Ajout AD DS




•Taches initiales

•Rôle vs Fonctionnalité

•Ajout AD DS

FIN


Présentation et installation de l’AD: Installation de l'AD sur un

Windows Core





Plan

•Fonctionnement de l'installation minimale


•Taches initiales (sconfig)

•Installation de l'AD en CLI


Fonctionnement de l'installation minimale

• Rôles

� Services de domaine Active Directory

� Active Directory AD LDS

� Serveur DHCP

� Serveur DNS

� Services de fichiers

� Serveur d'impression

� Services de diffusion multimédia en continu

� Serveur Web : HTML. La version R2 ajoute .NET.

� Hyper-V

• Fonctionnalités

� Cluster de basculement Microsoft

� Équilibrage de la charge réseau

� Sous-système pour applications UNIX

� Sauvegarde Windows

� MPIO (Multipath I/O)

� Gestion du stockage amovible

� Chiffrement de lecteur BitLocker Windows

� SNMP

� WINS

� Client Telnet

� Qualité de service (QoS)

Installation minimale : 3 Go d'espace disque, 256 Mo de RAM

Pas d'interface utilisateur graphique : Interface utilisateur locale de ligne de commande. Utilisation possible des outils d'interface utilisateurgraphique à distance



•Fonctionnement de l'installation minimale


•Taches initiales (sconfig)

•Installation de l'AD en CLI

FIN


Administration sécurisée et efficace de l'AD : Les consoles de gestion

de l'AD





Plan

•Les 5 consoles de gestion d’Active Directory

•Powershell pour Active Directory

•Création d’une structure avec les Unitésd'organisation

•La console des GPOs


Les 5 consoles de gestion d’Active Directory• Utilisateurs et ordinateurs Active Directory

� Gérer au quotidien les objets les plus courants, dont les utilisateurs, les groupes, les ordinateurs, les imprimantes et les dossiers partagés

• Sites et services Active Directory

� Gérer la réplication, la topologie du réseau et les services associés

• Domaines et approbations Active Directory

� Configurer et gérer les relations d'approbation et le niveau fonctionnel du domaineet de la forêt

• Schéma Active Directory

� Administrer le schéma

� À enregistrer avec la commande : regsvr32regsvr32regsvr32regsvr32 schmmgmtschmmgmtschmmgmtschmmgmt.dll dll dll dll

• Centre d’administration d’Active Directory

� Un peu de tous ☺

• Powershell pour Active Directory :

� Get-ADUser –Filter * -SearchBase ‘’dc=alphorm,dc=local’’



•Les 5 consoles de gestion d’Active Directory

•Powershell pour Active Directory

•Création d’une structure avec les Unitésd'organisation

•La console des GPOs

FIN





Administration sécurisée et efficace de l'AD : Consoles personnalisées et privilèges minimum


Plan

• Préparer le lab de cette vidéo :

� Créer un compte utilisateur

� Attacher CL01 au domaine

• Bonne pratique : avoir deux comptes (normal et administrateur)

• Création d'une console MMC personnalisée pour administrer Active Directory

• Administration sécurisée avec des privilèges minimum, Exécuter en tant qu'administrateur et Contrôle de compted'utilisateur



• Préparer le lab de cette vidéo :

� Créer un compte utilisateur

� Attacher CL01 au domaine

• Bonne pratique : avoir deux comptes (normal et administrateur)

• Création d'une console MMC personnalisée pour administrer Active Directory

• Administration sécurisée avec des privilèges minimum, Exécuter en tant qu'administrateur et Contrôle de compted'utilisateur

FIN





Administration sécurisée et efficace de l'AD : Rechercher des objets dans Active Directory


Plan

•Le besoin de rechercher des objets dans Active Directory

•La boîte de dialogue de recherche

•Tri et colonnes

•La commande Rechercher

•Déterminer l'emplacement d'un objet

•Les requêtes enregistrées


Recherche d'objets dans Active Directory

• Lorsque vous affectez des autorisations à un dossier ou un fichier

� Sélectionnez le groupe ou l'utilisateur auquel les autorisations sont affectées.

• Lorsque vous ajoutez des membres à un groupe

� Sélectionnez l'utilisateur ou le groupe qui sera ajouté en tant que membre.

• Lorsque vous configurez un attribut lié tel que Géré par

� Sélectionnez l'utilisateur ou le groupe qui sera affiché dans l'onglet Géré par.

• Lorsque vous devez administrer un utilisateur, un groupe ou un ordinateur

� Effectuez une recherche pour trouver l'objet dans Active Directory, au lieu de le rechercher manuellement.


Détermination de l'emplacement d'un objet

1. Vérifiez que l'option FonctionnalitésFonctionnalitésFonctionnalitésFonctionnalités avancéesavancéesavancéesavancées est sélectionnéedans le menu AffichageAffichageAffichageAffichage de la console MMC.

2. Recherchez l'objet.

3. Ouvrez sa boîte de dialogue PropriétésPropriétésPropriétésPropriétés.

4. Ouvrez l'onglet ObjetObjetObjetObjet.

5. Affichez le Nom Nom Nom Nom canoniquecanoniquecanoniquecanonique de de de de l'objetl'objetl'objetl'objet

ou

• Dans la boîte de dialogue Rechercher, AffichageAffichageAffichageAffichage �� ChoisirChoisirChoisirChoisir les les les les colonnescolonnescolonnescolonnes et ajoutez la colonne PubliéPubliéPubliéPublié àààà.


Les requêtes enregistrées• Utilisateurs

� Désactivés

� Dans date d'expiration

� Non loggués depuis 30j

� Paris

� Finance

� Tous : (objectClass=user)

� Jamais loggués : (&((&((&((&(objectCategoryobjectCategoryobjectCategoryobjectCategory=person)(=person)(=person)(=person)(objectClassobjectClassobjectClassobjectClass=user))(|(=user))(|(=user))(|(=user))(|(lastLogonlastLogonlastLogonlastLogon=0)(!(=0)(!(=0)(!(=0)(!(lastLogonlastLogonlastLogonlastLogon=*)))=*)))=*)))=*)))

� Créés après 20/01/2010 : ((((objectCategoryobjectCategoryobjectCategoryobjectCategory=user)(=user)(=user)(=user)(whenCreatedwhenCreatedwhenCreatedwhenCreated>=20100120000000.0Z)>=20100120000000.0Z)>=20100120000000.0Z)>=20100120000000.0Z)

• Ordinateurs

� Désactivés

� Tous : ((((objectCategoryobjectCategoryobjectCategoryobjectCategory=group)=group)=group)=group)

• Groupes

� Tous : ((((objectCategoryobjectCategoryobjectCategoryobjectCategory=computer)=computer)=computer)=computer)



•Le besoin de rechercher des objets dans Active Directory

•La boîte de dialogue de recherche

•Tri et colonnes

•La commande Rechercher

•Déterminer l'emplacement d'un objet

•Les requêtes enregistrées

FIN





Administration sécurisée et efficace de l'AD :

Utiliser les commandes DS


Plan

• Créer les objets

• Noms uniques (DN) et Noms communs (CN)

• Les commandes DS

• Recherche d'objets avec DSQuery

• Extraction des attributs des objets avec DSGet

• Envoi de noms uniques à d'autres commandes DS

• Modification des attributs des objets avec DSMod

• Suppression d'un objet avec DSRm

• Transfert d'un objet avec DSMove

• Ajout d'un objet avec DSAdd

• Administration sans l'interface utilisateur graphique


Noms uniques (DN) et Noms communs (CN)

cn=Hamid HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local

ou=Vente,ou=Utilisateurs,dc=alphorm,dc=local

Nom unique

Nom unique

CN (nom commun)


Commandes DS

• DSQueryDSQueryDSQueryDSQuery.... Exécute une requête en fonction des paramètres définissur la ligne de commande et renvoie la liste des objetscorrespondants.

• DSGetDSGetDSGetDSGet.... Renvoie les attributs définis d'un objet.

• DSModDSModDSModDSMod.... Modifie les attributs définis d'un objet.

• DSMoveDSMoveDSMoveDSMove. . . . Transfère un objet vers un nouveau conteneur ou unenouvelle UO.

• DSAddDSAddDSAddDSAdd. . . . Crée un objet dans l'annuaire.

• DSRmDSRmDSRmDSRm.... Supprime un objet ou tous les objets dans l'arborescencesous un objet conteneur ou les deux.

• DSDSDSDScommandcommandcommandcommand /?/?/?/?Exemple : dsquery /?


Recherche d'objets avec DSQuery

• dsquerydsquerydsquerydsquery objectTypeobjectTypeobjectTypeobjectType ––––attributattributattributattribut ““““critèrescritèrescritèrescritères”””” BaseDNBaseDNBaseDNBaseDN ––––scope scope scope scope {{{{subtree|onelevel|basesubtree|onelevel|basesubtree|onelevel|basesubtree|onelevel|base}}}}

� objectTypeobjectTypeobjectTypeobjectType : utilisateur, ordinateur, groupe, unité d'organisation

� ----limit limit limit limit commutateur pour spécifier le nombre de résultats

• 100 est la valeur par défaut

• 0 signifie « renvoyer tous les résultats »

� attributattributattributattribut est spécifique à objectType : dsquerydsquerydsquerydsquery objectTypeobjectTypeobjectTypeobjectType /?/?/?/?

• Exemples pour utilisateur : -name, -samid, -office, -desc

� critèrescritèrescritèrescritères entre guillemets s'il y a un espace. Les caractères génériques (*) sontautorisés.

� BaseDNBaseDNBaseDNBaseDN Spécifier le début et l'étendue de la recherche, Par défaut, l'étendue de la recherche est l'ensemble du domaine.


Recherche d'objets avec DSQuery

Exemples :Exemples :Exemples :Exemples :• dsquery user -name "Jam*"

• dsquery user "ou=Admins,dc=alphorm,dc=com" -name "Dan*"

• dsquery group DC=alphorm,DC=Com

• dsquery site -o rdn

• dsquery user domainroot -name *smith -inactive 3


Extraction des attributs des objets avec DSGet

• dsgetdsgetdsgetdsget objectTypeobjectTypeobjectTypeobjectType objectDNobjectDNobjectDNobjectDN ----attributattributattributattribut

� Syntaxe courante pour de nombreuses commandes DS

• ExempleExempleExempleExemple ::::

� dsget user “cn=Hamid HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local" -email

• Quelle différence existe-t-il entre DSGet et DSQuery ?


Modification des attributs des objets avec DSMod

• dsmoddsmoddsmoddsmod objectTypeobjectTypeobjectTypeobjectType """"objectDNobjectDNobjectDNobjectDN" " " " ----attributattributattributattribut """"nouvelle nouvelle nouvelle nouvelle valeurvaleurvaleurvaleur" " " "


• dsmod user "cn=Hamid HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local" -dept “IT"

• dsquery user "ou=Utilisateurs,dc=alphorm,dc=local " | dsmod user -department “IT"


Suppression d'un objet avec DSRm

• dsrmdsrmdsrmdsrm objectDNobjectDNobjectDNobjectDN

� Notez que DSRm n'a pas besoin de objectType


� dsrm "cn=CL123,ou=Postes,dc=alphorm,dc=local"

� dsquery computer -stalepwd 90 | dsrm


Transfert d'un objet ave DSMove

• dsmovedsmovedsmovedsmove objectDNobjectDNobjectDNobjectDN ––––newparentnewparentnewparentnewparent targetOUDNtargetOUDNtargetOUDNtargetOUDN

� objectDN : objet à déplacer

� targetOUDN : unité d'organisation cible (destination)

• dsmovedsmovedsmovedsmove objectDNobjectDNobjectDNobjectDN ––––newnamenewnamenewnamenewname nouveauNomnouveauNomnouveauNomnouveauNom

� objectDN : objet à déplacer

� nouveauNom : nouveau nom de l'objet (utilisé dans le RDN)


Ajout d'un objet avec DSAdd

• dsadddsadddsadddsadd objectTypeobjectTypeobjectTypeobjectType objectDNobjectDNobjectDNobjectDN ----attributattributattributattribut """"valeurvaleurvaleurvaleur""""

� objectTypeobjectTypeobjectTypeobjectType : classe d'objet à ajouter

� objectDNobjectDNobjectDNobjectDN : unité d'organisation dans laquelle créer l'objet

� ----attributattributattributattribut """"valeurvaleurvaleurvaleur" " " " : attributs à renseigner

• Chaque classe d'objet requiert des attributs.


� dsadd ou "ou=Lab,dc=alphorm,dc=local"


Administration sans l'interface graphique utilisateur

• Invite de commandes

� Commandes DS

� csvde.exe et ldifde.exe

• LDAP

� ldp.exe

• Windows PowerShell

• Scripts

� Scripts Windows PowerShell

� VBScript



• Créer les objets

• Noms uniques (DN) et Noms communs (CN)

• Les commandes DS

• Recherche d'objets avec DSQuery

• Extraction des attributs des objets avec DSGet

• Envoi de noms uniques à d'autres commandes DS

• Modification des attributs des objets avec DSMod

• Suppression d'un objet avec DSRm

• Transfert d'un objet avec DSMove

• Ajout d'un objet avec DSAdd

• Administration sans l'interface utilisateur graphique FIN





Administration sécurisée et efficace de l'AD :

Gestion à distance de l’AD


Plan

•Depuis un autre serveur Windows 2008 R2

•Depuis Windows Seven

•RDP

•Commandes ds à distance


RDP

• RDP depuis un serveur

• RDP depuis un client Seven

• Bureaux à distance depuis un serveur

• Bureaux à distance depuis un client Seven : http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=21101


Depuis un client Seven

• Installer les RSAT

� http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=7887

• Lancer les consoles AD DS depuis un client Seven

• Lancer le Gestionnaire du serveur à distance depuis un client Seven

• Lancer la Gestion d'ordinateur à distance depuis un client Seven



•Depuis un autre serveur Windows 2008 R2

•Depuis Windows Seven

•RDP

•Commandes ds à distance

FIN





Gestion des utilisateurs : Création et administration des comptes d'utilisateur


Plan

• Qu’est ce que c’est un Compte d'utilisateur?

• Création d'un objet utilisateur

• Les propriétés d’un compte utilisateur

• Opération sur un compte utilisateur

� Renommer un compte d'utilisateur

� Réinitialisation du mot de passe d'un utilisateur

� Déverrouillage d'un compte d'utilisateur

� Désactivation et activation d'un compte d'utilisateur

� Suppression d'un compte d'utilisateur

� Déplacement d'un compte d'utilisateur

• Modification des attributs de plusieurs utilisateurs

• Création des utilisateurs avec des modèles


Compte d'utilisateur

• Un compte d'utilisateur est un objet qui

� permet l'authentification d'un utilisateur avec des attributs, notamment le nom d'ouverture de session et le mot de passe

� est une entité de sécurité associée à un identificateur de sécurité (SID) qui peut avoir des droits d'accès aux ressources

• Un compte d'utilisateur peut être stocké

� dans Active Directory®, où il permet la connexion au domaine et peut avoir des droits d'accès aux ressources en tout point du domaine.

• La gestion des comptes d'utilisateur du domaine est effectuée à l'aide des composants logiciels enfichables et les commandes Active Directory.

� dans la base de données locale du Gestionnaire de comptes de sécurité d'un ordinateur membre, où il permet la connexion à l'ordinateur local et peut avoir des droits d'accès aux ressources locales.

• La gestion des comptes d'utilisateur locaux est effectuée à l'aide du logiciel enfichable Utilisateurs et Groupes et la commande net local user

Le jeton %username% peut représenter la valeur de –samid, par exemple-profile \\server01\users\%username%\profile



• Qu’est ce que c’est un Compte d'utilisateur?

• Création d'un objet utilisateur

• Les propriétés d’un compte utilisateur

• Opération sur un compte utilisateur

� Renommer un compte d'utilisateur

� Réinitialisation du mot de passe d'un utilisateur

� Déverrouillage d'un compte d'utilisateur

� Désactivation et activation d'un compte d'utilisateur

� Suppression d'un compte d'utilisateur

� Déplacement d'un compte d'utilisateur

• Modification des attributs de plusieurs utilisateurs

• Création des utilisateurs avec des modèles FIN





Gestion des utilisateurs : Automatisation

des comptes d'utilisateur


Plan

•Création et manipulation avec les commandes DS

•Création et manipulation avec Powershell

•Import/export avec CSVDE

•Import/export avec LDIFDE


Création et manipulation avec les commandes DS

• dsadddsadddsadddsadd user "user "user "user "DNUtilisateurDNUtilisateurDNUtilisateurDNUtilisateur" " " " ––––samidsamidsamidsamid nom nom nom nom d'ouvertured'ouvertured'ouvertured'ouverture de session de session de session de session antérieurantérieurantérieurantérieur à à à à Windows 2000 Windows 2000 Windows 2000 Windows 2000 ––––pwdpwdpwdpwd { mot de { mot de { mot de { mot de passepassepassepasse | * } | * } | * } | * } ––––mustchpwdmustchpwdmustchpwdmustchpwd yesyesyesyes

� dsadd user "cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local" dsadd user "cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local" dsadd user "cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local" dsadd user "cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local" ----samid samid samid samid AStrande AStrande AStrande AStrande ----fn Amy fn Amy fn Amy fn Amy ----ln Strande ln Strande ln Strande ln Strande ----display "Strande, Amy" display "Strande, Amy" display "Strande, Amy" display "Strande, Amy" ----pwd Pa$$w0rd pwd Pa$$w0rd pwd Pa$$w0rd pwd Pa$$w0rd ----desc desc desc desc "Vice President, IT""Vice President, IT""Vice President, IT""Vice President, IT"

• Changer le mot de passe et obliger l’utilisateur à le modifier : : : :

� dsmoddsmoddsmoddsmod user user user user """"cncncncn=Amy =Amy =Amy =Amy Strande,OUStrande,OUStrande,OUStrande,OU====Utilisateurs,DCUtilisateurs,DCUtilisateurs,DCUtilisateurs,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" ––––pwdpwdpwdpwdPa$$w0rd! Pa$$w0rd! Pa$$w0rd! Pa$$w0rd! ----mustchpwdmustchpwdmustchpwdmustchpwd yes yes yes yes

• Activer/désactiver un compte :

� dsmoddsmoddsmoddsmod user user user user """"cncncncn=Amy =Amy =Amy =Amy Strande,OUStrande,OUStrande,OUStrande,OU====Utilisateurs,DCUtilisateurs,DCUtilisateurs,DCUtilisateurs,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local"=local"=local"=local"––––disabled {disabled {disabled {disabled {yes|noyes|noyes|noyes|no}}}}


Création de comptes utilisateur avec Powershell

• Le fournisseur « AD »

• New-ADUser -Name "Mary North"

• New-ADUser -Path "OU=Comptabilité,DC=alphorm,DC=local" -Name "Mary North“ -SAMAccountName "mnorth"

• New-ADUser -Path "ou=User Accounts,dc=contoso,dc=com" -Name "Mary North" -SAMAccountName "mary.north" -AccountPassword(ConvertTo-SecureString -AsPlainText "Pa$$w0rd" -Force) -ChangePasswordAtLogon $true -Enabled $true

• Création à partir d’un modèle :

� $user = Get-ADUser "CN=etudiant 2ème année,OU=Utilisateurs,DC=alphorm,DC=local" -PropertiesMemberOf,Title,Department,Company,PhysicalDeliveryOfficeName

� New-ADUser -path "OU=Utilisateurs,DC=alphorm,DC=local" -Instance $user -Name "Mary North" -SAMAccountName "mary.north"


Acccéder aux attributs des comptes utilisateurs avec Powershell

• Set-ADUser -Identity mary.north -EmailAddress"[email protected]"

• Get-ADUser -Identity mary.north | Set-ADUser -EmailAddress"[email protected]"

• $user = Get-ADUser -Identity mary.north

• $user.mail = "[email protected]"

• Set-ADUser -Instance $user

• Set-ADAccountPassword -Identity "mary.north" –Reset

• Set-ADAccountPassword -Identity "mary.north" -Reset -NewPassword(ConvertTo-SecureString -AsPlainText "Pa$$w0rd" -Force)


Importer un CSV sous Powershell

• import-csv "C:\importps.csv" | New-ADUser

• import-csv "C:\importps.csv" | New-ADUser -organization alphorm.com


Exporter des utilisateurs avec CSVDE

• CSV (fichier de valeurs séparées par une virgule ou de texte délimité par des virgules)

� Peut être modifié avec un simple éditeur de texte (Notepad) ou Microsoft Office Excel®

• CSVDE.exe

� csvde -f nomfichier -d DNracine - p ÉtendueRecherche -r Filtre-l ListeAttributs

� DNracineDNracineDNracineDNracine :::: Début de l'exportation (par défaut = domaine)

� ÉtendueRechercheÉtendueRechercheÉtendueRechercheÉtendueRecherche :::: Étendue de l'exportation (Base,OneLevel,Subtree)

� FiltreFiltreFiltreFiltre :::: Filtre dans l'étendue (langage de requêtes LDAP)

� ListeAttributsListeAttributsListeAttributsListeAttributs :::: Utilisation du nom LDAP

nom_fichier.csv Active Directory

Importation

Exportation

• CSVDE.exe


Importer des utilisateurs avec CSVDE

• CSVDE.exe

� csvde –i -f NomFichier [-k]

� iiii. Importation (le mode par défaut est l'exportation)

� kkkk. Poursuivre en cas d'erreur (par exemple lorsque l'objet existe déjà)

• Les mots de passe ne sont pas importés. Les utilisateurs créés sont donc désactivés.

• Les utilisateurs existants ne peuvent pas être modifiés.

nom_fichier.ldf Active Directory

Importation

Exportation

• CSVDE.exe


Importation des utilisateurs avec LDIFDE

• LDIF (LDAP Data Interchange Format)

• LDIFDE.exe

� ldifde [-i] [-f NomFichier ] [-k]

� iiii. Importation (le mode par défaut est l'exportation)

� kkkk. Poursuivre en cas d'erreur (par exemple lorsque l'objet existe déjà)

• Les mots de passe ne sont pas importés. Les utilisateurs créés sont donc désactivés.

• Possibilité de modification ou de suppression des utilisateurs existants

nom_fichier.ldf Active Directory

Importation

Exportation

• LDIFDE.exe



•Création et manipulation avec les commandes DS

•Création et manipulation avec Powershell

•Import/export avec CSVDE

•Import/export avec LDIFDE

FIN





Gestion des groupes : Gestion d'une entreprise

avec des groupes


Plan

• Qu’est ce que c’est un groupe?

• Gestion des accès sans utiliser des groupes

• Simplification de la gestion par l'utilisation de groupes

• Évolutivité de l'utilisation des groupes

• Un seul type de groupe ne suffit pas

• Gestion à base de rôles : Groupes de rôles et groupes de règles

• Type de groupe

� Groupe de sécurité

� Groupe de distribution

• Étendue d'un groupe

� Groupes locaux

� Groupes globaux

� Groupes universels

• Développement d'une stratégie de gestion des groupes (IGDLA)

• Définition des conventions d'appellation pour les groupes


Identité Gestion des accès

Gestion des accès sans utiliser des groupes

Ressource


Gestion des ajouts aux groupes

Identité GroupeGestion des accès

Ressource


Évolutivité des ajouts au groupes

Identité GroupeGestion des accès

Ressource


Un seul type de groupe ne suffit pas

Identité Groupe Gestion des accès Ressource


Gestion à base de rôles : Groupes de rôles et groupes de règles

Identité Groupe de rôles Groupe de règlesGestion des accès

Ressource


Type de groupe

• Groupes de distribution

� Utilisés uniquement avec les applications de messagerie

� impossible d'accorder des autorisations

• Groupes de sécurité

� Entité de sécurité avec un SID ; des autorisations peuvent êtreaccordées

� Peuvent prendre en charge la messagerie


Étendue du groupe

• Un groupe peut avoir 4 étendues

� Locale

� Globale

� Locale de domaine

� Universelle

• Caractéristiques de chaque étendue

� RéplicationRéplicationRéplicationRéplication. Où sont stockés le groupe et sa liste de membres ?

� MembresMembresMembresMembres. Quels types d'objets, provenant de quels domaines, peuventêtre membres d'un groupe ?

� DisponibilitéDisponibilitéDisponibilitéDisponibilité ((((étendueétendueétendueétendue)))). Où le groupe peut-il être utilisé ? Dans quellesétendues le groupe peut-il se trouver ? Le groupe peut-il être ajouté à uneliste ACL ?


Groupes locaux

• RéplicationRéplicationRéplicationRéplication

� Définition dans le Gestionnaire de comptes de sécurité (SAM) d'un membre de domaine ou d'un ordinateur de groupe de travail

� Aucune réplication en dehors de l’ordinateur local

• MembresMembresMembresMembres : Un groupe local peut inclure :

� tout type d'entité de sécurité du domaine : utilisateurs (U), ordinateurs (O), groupes globaux (GG) ou groupes locaux de domaine (GLD)

� U, O, GG de tout domaine de la forêt

� U, O, GG de tout domaine approuvé

� groupes universels (GU) définis dans un domaine de la forêt

• DisponibilitéDisponibilitéDisponibilitéDisponibilité / / / / étendueétendueétendueétendue

� Limitée à l'ordinateur dans lequel le groupe est défini. Peut-être utilisé pour les listes ACL sur l'ordinateur local uniquement

� Ne peut pas appartenir à un autre groupe


Groupes globaux


� Définition dans le contexte d'appellation du domaine

� Groupe et membres répliqués sur chaque CD du domaine

• MembresMembresMembresMembres : Un groupe global peut inclure :

� Uniquement les entités de sécurité du même domaine : U, O, GG, GLD


� Peut être utilisé par tous les membres d'un domaine, tous les autresdomaines de la forêt et tous les domaines externes autorisés à approuver.

� Peut être sur les listes ACL de toute ressource ou tout ordinateur de cesdomaines

� Peut être membre de tout GLD ou GU de la forêt, et de tout GLD d'un domaine externe autorisé à approuver

• Bien adapté à la définition de rôles


Groupes universels


� Définis dans un seul domaine de la forêt

� Répliqué sur le catalogue global (à l'échelle de la forêt)

• MembresMembresMembresMembres : Un groupe universel peut inclure :

� U, O, GG et GU de tout domaine de la forêt


� Disponible pour chaque domaine et membre de domaine de la forêt

� Peut être sur les listes ACL de toute ressource sur tout système de la forêt

� Peut être membre des autres GU ou GLD n'importe où dans la forêt

• Utile dans les forêts multi-domaines

� Définition de rôles incluant des membres de plusieurs domaines

� Définition de règles de gestion d'entreprise pour gérer les ressources de plusieurs domaines de la forêt


Groupes locaux de domaine


� Définition dans le contexte d'appellation du domaine

� Groupe et membres répliqués sur chaque CD du domaine

• MembresMembresMembresMembres : un groupe local de domaine peut inclure :

� tout type d'entité de sécurité du domaine : U, O, GG, GLD

� U, O, GG de tout domaine de la forêt

� U, O, GG de tout domaine approuvé

� GU définis dans un domaine de la forêt


� Peut être sur les listes ACL de toute ressource ou membre du domaine

� Peut être membre des autres groupes locaux du domaine ou des groupeslocaux de l'ordinateur

• Bien adapté à la définition de règles de gestion d'entreprise


Récapitulatif des possibilités de l'étendue des groupes

U UtilisateurO OrdinateurGG Groupe globalGLD Groupe local de domaineGU Groupe universel

Étendue du groupe

Membres d'un même domaine

Membres d'un domaine de la

même forêt

Membres d'un domaine externe

approuvé

Attribution d'autorisations

sur les ressources

Locale U, O,GG, GLD, GUet utilisateurs locaux

U, O,GG, GU

U, O,GG

Dans l'ordinateur local uniquement

Locale de domaine

U, O,GG, GLD, GU

U, O,GG, GU

U, O,GG

N'importe où dans le domaine

Universelle U, O,GG, GU

U, O,GG, GU

S/O N'importe où dans la forêt

Globale U, O,GG

S/O S/O N'importe où dans le domaine ou un domaine approuvé


Développer une stratégie de gestion de groupes (IGDLA)

• IIIIdentités (utilisateurs ou ordinateurs)membres de

• Groupes GGGGlobaux qui collectent des membres en fonction de leurs rôles

qui sont membres de

• Groupes de DDDDomaine LLLLocaux qui assurent des fonctions degestion, telles que la gestion de l'accès aux ressources

qui

• ont AAAAccès à une ressource (par exemple, sur une liste AAAACL)

• constituent une forêt multi-domaines : IGUUUUDLA


Gestion à base de rôles et stratégie de gestion de groupes Windows

Identité AccèsGlobale Locale de domaine

Identité Groupe de rôles Groupe de règlesGestion des accès

Ressource


Définition des conventions d'appellation pour les groupes

• Propriétés liées au nom

� Nom de Nom de Nom de Nom de groupegroupegroupegroupe.... cn et nom de groupe -- unique dans l'UO

� Nom de Nom de Nom de Nom de groupegroupegroupegroupe ((((avantavantavantavant Windows 2000). Windows 2000). Windows 2000). Windows 2000). sAMAccountName du groupe - unique dansle domaine

� Utiliser le même nom (unique dans le domaine) pour les deux propriétés

• Conventions d'appellation

� GroupesGroupesGroupesGroupes de de de de rôlesrôlesrôlesrôles.... Nom simple unique, tel que GG_VenteGG_VenteGG_VenteGG_Vente ou GU_VenteGU_VenteGU_VenteGU_Vente

� GroupesGroupesGroupesGroupes de de de de gestiongestiongestiongestion. . . . Par exemple, ACL_SalesACL_SalesACL_SalesACL_Sales Folders_LFolders_LFolders_LFolders_L, ACL_Docs_Finance_EACL_Docs_Finance_EACL_Docs_Finance_EACL_Docs_Finance_E

� PréfixePréfixePréfixePréfixe.... Fonction de gestion du groupe, par exemple liste ACL



• Qu’est ce que c’est un groupe?

• Gestion des accès sans utiliser des groupes

• Simplification de la gestion par l'utilisation de groupes

• Évolutivité de l'utilisation des groupes

• Un seul type de groupe ne suffit pas

• Gestion à base de rôles : Groupes de rôles et groupes de règles

• Type de groupe

� Groupe de sécurité

� Groupe de distribution

• Étendue d'un groupe

� Groupes locaux

� Groupes globaux

� Groupes universels

• Développement d'une stratégie de gestion des groupes (IGDLA)

• Définition des conventions d'appellation pour les groupesFIN





Gestion des groupes : Propriétés et opérations

des groupes


Plan

• Documenter les groupes

• Protéger les groupes contre la suppression accidentelle

• Déléguer la gestion des membres

• Changer le type de groupe

• Opérations : Déplacer, Supprimer, Renommer

• Groupes par défaut

• Identités spéciales


Documenter les groupes

• Pourquoi décrire les groupes ?

� Faciliter leur identification lors des recherches

� Mieux comprendre comment et quand utiliser un groupe

• Établir et respecter une convention d'appellation stricte

� Un préfixe, par exemple, permet de différencierAPP_Budget et ACL_Budget_Edit

� Un préfixe facilite la recherche d'un groupe dans la boîte de dialogue de sélection

• Indiquer la fonction d'un groupe avec son attribut de description

� Apparaît dans le volet d'informations du composant Utilisateurs et ordinateurs Active Directory

• Détailler la fonction d'un groupe dans la zone des commentaires


Application des appartenances

• Les modifications de la liste des membres ne sont pas appliquéesimmédiatement


Délégation de la gestion des membres

• L'onglet Géré par a deux fonctions :

� Fournir des informations de contact indiquant qui gère le groupe

� L'utilisateur (ou le groupe) indiqué peut modifier les membres des groupes si l'option "Le gestionnaire peut mettre à jour la liste des membres" est sélectionnée

• Conseil

� Il faut cliquer sur OK (et pas uniquement sur Appliquer) pour changer l'ACL du groupe

� Pour définir un groupe dans la zone Nom, cliquez sur Modifier, puis sur Types d'objet, puis sur Groupes


Groupes par défaut

• Groupes locaux par défaut dans les conteneurs BUILTIN et Utilisateurs

� Administrateurs de l'entreprise, Administrateurs du schéma, Administrateurs, Admins du domaine, Opérateurs de serveur, Opérateurs de compte, Opérateurs de sauvegarde, Opérateurs d'impression

• Problèmes liés à ces groupes

� Excès de délégation

• Les opérateurs de compte, par exemple, peuvent ouvrir des sessions sur un contrôleur du domaine (CD).

• Recommandation : Laisser ces groupes vides et créer des groupes personnalisésavec les droits et privilèges nécessaires


Identités spéciales

• L'appartenance aux groupes est gérée par Windows :

� Impossible de les afficher, les modifier ni les ajouter à d'autres groupes

� Peuvent être utilisées sur les listes ACL

• Exemples

� Ouverture de session anonyme.Ouverture de session anonyme.Ouverture de session anonyme.Ouverture de session anonyme. Représente les connexions à un ordinateur sans nom d'utilisateur ni mot de passe

� Utilisateurs authentifiés.Utilisateurs authentifiés.Utilisateurs authentifiés.Utilisateurs authentifiés. Représente les identités authentifiées, mais n'inclut pas l'identité Invité

� Tout le monde.Tout le monde.Tout le monde.Tout le monde. Inclut Utilisateurs authentifiés et Invité (mais pas Ouverture de session anonyme par défaut dans Windows Server 2003/2008)

� Interactif.Interactif.Interactif.Interactif. Utilisateurs connectés en session locale ou Bureau à distance

� Réseau.Réseau.Réseau.Réseau. Utilisateurs accédant à une ressource par le réseau



• Documenter les groupes

• Protéger les groupes contre la suppression accidentelle

• Déléguer la gestion des membres

• Changer le type de groupe

• Opérations : Déplacer, Supprimer, Renommer

• Groupes par défaut

• Identités spéciales

FIN





Gestion des groupes : Automatisation des groupes


Plan

• Création de groupes avec DSAdd

• Modification des membres des groupes avec DSMod

• Extraction des membres des groupes avec DSGet

• Copie des membres des groupes

• Déplacement des groupes et changement de leurs noms

• Suppression de groupes

• Importation de groupes avec CSVDE

• Importation de groupes avec LDIFDE

• Modification des membres des groupes avec LDIFDE

• Conversion de l'étendue et du type de groupe

• Gestion des groupes avec Powershell


Création de groupes avec DSAdd

• dsadd group DNGroupe –secgrp {yes|no} –scope {g | l | u}

� DNGroupeDNGroupeDNGroupeDNGroupe.... Nom unique du groupe à créer

� ----secgrpsecgrpsecgrpsecgrp. Security-enabled (yes=sécurité ; no=distribution)

� ----scopescopescopescope. étendue (gggglobale, llllocale du domaine, uuuuniverselle)

� ----samidsamidsamidsamid. sAMAccountName (non nécessaire, par défaut cn)

� ----descdescdescdesc DescriptionDescriptionDescriptionDescription. attribut description

� ----membermembermembermember MemberDNMemberDNMemberDNMemberDN …. Liste des membres (séparés par un espaceespaceespaceespace) à ajouterlors de la création du groupe

� ----memberofmemberofmemberofmemberof DNGroupeDNGroupeDNGroupeDNGroupe …………. Liste des groupes (séparés par un espaceespaceespaceespace) auxquelsajouter ce groupe

• Exemples :

� dsadddsadddsadddsadd group "CN=group "CN=group "CN=group "CN=GG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OU====Groupes,DCGroupes,DCGroupes,DCGroupes,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" ––––samidsamidsamidsamid GG_HelpDeskGG_HelpDeskGG_HelpDeskGG_HelpDesk, , , , ––––secgrpsecgrpsecgrpsecgrp yes yes yes yes ––––scope gscope gscope gscope g


Modification des membres des groupes avec DSMod

• dsmod group " DNGroupe" [ options ]

� -addmbraddmbraddmbraddmbr "Member DN"

� -rmmbrrmmbrrmmbrrmmbr "Member DN“

• Exemples :

� dsmoddsmoddsmoddsmod group "CN=group "CN=group "CN=group "CN=GG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OU====Groupes,DCGroupes,DCGroupes,DCGroupes,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" ----addmbraddmbraddmbraddmbr "CN="CN="CN="CN=hamidhamidhamidhamid harabazan,OUharabazan,OUharabazan,OUharabazan,OU====Utilisateurs,DCUtilisateurs,DCUtilisateurs,DCUtilisateurs,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" "CN="CN="CN="CN=jamesjamesjamesjames bond,OUbond,OUbond,OUbond,OU====Utilisateurs,DCUtilisateurs,DCUtilisateurs,DCUtilisateurs,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local"

� dsmoddsmoddsmoddsmod group "CN=group "CN=group "CN=group "CN=GG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OU====Groupes,DCGroupes,DCGroupes,DCGroupes,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" ----rmmbrrmmbrrmmbrrmmbr "CN="CN="CN="CN=hamidhamidhamidhamid harabazan,OUharabazan,OUharabazan,OUharabazan,OU====Utilisateurs,DCUtilisateurs,DCUtilisateurs,DCUtilisateurs,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local"=local"=local"=local"


Extraction des membres des groupes avec DSGetDSGetDSGetDSGet

• Aucune option pour obtenir la listelistelisteliste complètecomplètecomplètecomplète des membres d'un groupedans Utilisateurs et ordinateurs Active Directory

• DSGet permet d'obtenir la liste complète (y compris des membresmembresmembresmembresimbriquésimbriquésimbriquésimbriqués)

• dsget group " DNGroupe" –members [-expand]

� Liste des membres d'un groupe (DNGroupe), pouvant inclureles membres imbriqués (-expand)

� Exemple : dsgetdsgetdsgetdsget group group group group "CN="CN="CN="CN=GG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OU====Groupes,DCGroupes,DCGroupes,DCGroupes,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" ––––members members members members ----expandexpandexpandexpand

• dsget {user|computer} " DNObjet " –memberof [-expand]

• Liste des appartenances d'un utilisateur ou un ordinateur (DNObjet),pouvant inclure les appartenances à des groupes imbriqués (-expand)

• Exemple : dsgetdsgetdsgetdsget user "CN=user "CN=user "CN=user "CN=hamidhamidhamidhamidharabazan,OUharabazan,OUharabazan,OUharabazan,OU====Utilisateurs,DCUtilisateurs,DCUtilisateurs,DCUtilisateurs,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" ––––memberofmemberofmemberofmemberof ----expandexpandexpandexpand


Copie des membres de groupes

• Copie des membres d'un groupe dans un autre

� dsgetdsgetdsgetdsget group "CN=group "CN=group "CN=group "CN=GG_Marketing,OUGG_Marketing,OUGG_Marketing,OUGG_Marketing,OU====Groupes,DCGroupes,DCGroupes,DCGroupes,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" ––––members | members | members | members | dsmoddsmoddsmoddsmod group group group group "CN="CN="CN="CN=GG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OU====Groupes,DCGroupes,DCGroupes,DCGroupes,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local=local=local=local" " " " ––––addmbraddmbraddmbraddmbr

• Copie des appartenances d'un utilisateur sur un autre

� dsgetdsgetdsgetdsget user "CN=user "CN=user "CN=user "CN=hamidhamidhamidhamid harabazan,OUharabazan,OUharabazan,OUharabazan,OU====Utilisateurs,DCUtilisateurs,DCUtilisateurs,DCUtilisateurs,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" ––––memberofmemberofmemberofmemberof | | | | dsmoddsmoddsmoddsmod group group group group ––––addmbraddmbraddmbraddmbr "CN="CN="CN="CN=jamesjamesjamesjamesbond,OUbond,OUbond,OUbond,OU====Utilisateurs,DCUtilisateurs,DCUtilisateurs,DCUtilisateurs,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local"


Déplacer et renommer des groupes

• Utilisateurs et ordinateurs Active Directory

� Cliquez avec le bouton droit sur le groupe, puis cliquez sur Déplacer ouRenommer

• Commande DSMove

� dsmove DNObjet [-newname NouveauNom] [-newparent DNUOcible ]

• DNObjet est le DN du groupe

• ----newparentnewparentnewparentnewparent DNUOcible déplace le groupe dans une nouvelle UO

• ----newnamenewnamenewnamenewname NouveauNom modifie le cn du groupe

- Il faut utiliser DSMod Group pour modifier sAMAccountName

• dsmovedsmovedsmovedsmove "CN="CN="CN="CN=GG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OU====Groupes,DCGroupes,DCGroupes,DCGroupes,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" ––––newparentnewparentnewparentnewparent"OU="OU="OU="OU=Utilisateurs,DCUtilisateurs,DCUtilisateurs,DCUtilisateurs,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local"=local"=local"=local"

• dsmovedsmovedsmovedsmove "CN="CN="CN="CN=GG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OU====Groupes,DCGroupes,DCGroupes,DCGroupes,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" ––––newnamenewnamenewnamenewname""""GG_SupportGG_SupportGG_SupportGG_Support""""

• dsmoddsmoddsmoddsmod group "CN=group "CN=group "CN=group "CN=GG_Support,OUGG_Support,OUGG_Support,OUGG_Support,OU====Groupes,DCGroupes,DCGroupes,DCGroupes,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" ----samidsamidsamidsamid""""GG_SupportGG_SupportGG_SupportGG_Support""""


Suppression de groupes• Utilisateurs et ordinateurs Active Directory : Clic droit, Supprimer

• Commande DSRm

� dsrm DNObjet ... [-subtree [-exclude]] [-noprompt] [-c]

• ----noprompt évite les demandes de confirmation de chaque suppression

• ----c permet de continuer en cas d'erreur (refus d'accès par exemple)

• ----subtree supprime l'objet et tous les objets enfants

• ----subtree -exclude supprime tous les objets enfants mais pas l'objet lui-même

• Exemples :

• dsrm dsrm dsrm dsrm """"CN=GG_Support,OU=Groupes,DC=alphorm,DC=local"CN=GG_Support,OU=Groupes,DC=alphorm,DC=local"CN=GG_Support,OU=Groupes,DC=alphorm,DC=local"CN=GG_Support,OU=Groupes,DC=alphorm,DC=local"

• La suppression d'un groupe de sécurité entraîne des conséquencesimportantes

� Le SID est perdu et ne peut plus être rétabli même si le groupe est à nouveau créé

� Conseil : D'abord, enregistrez puis supprimez tous les membres durant unepériode de test, pour évaluer tous les effets indésirables possibles


Importation de groupes avec CSVDE

• csvde -i -f " nomfichier " [-k]

� ----iiii. Importation (mode par défaut : exportation)� ----ffff. Nom du fichier� ----kkkk. Poursuivre en cas d'erreur (par exemple si un objet existe déjà)

• CSVDE permet de créer des groupes, pas de modifier les groupesexistants


Importation de groupes avec LDIFDE

• Ldifde -i -f " nomfichier " [-k]

� ----iiii. Importation (mode par défaut : exportation)

� ----ffff. Nom du fichier

� ----kkkk. Poursuivre en cas d'erreur (par exemple si un objet existe déjà)


Modification des membres des groupes avec LDIFDE

• Fichier LDIF

• Changetype: modify

• 3e ligne : Quel type de modification ? Ajouter une valeur à un membre

� Supprimer un membre, modifier pour supprimer : member

• L'opération de modification se termine par une ligne contenantuniquement –


Conversion d'étendue et de type de groupe• dsmoddsmoddsmoddsmod group group group group DNGroupeDNGroupeDNGroupeDNGroupe ––––secgrpsecgrpsecgrpsecgrp {{{{yes|noyes|noyes|noyes|no } } } } ––––scope {scope {scope {scope {l|g|ul|g|ul|g|ul|g|u}}}}

• Exemples :

� dsmoddsmoddsmoddsmod group CN=group CN=group CN=group CN=GG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OU====Groupes,DCGroupes,DCGroupes,DCGroupes,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" GG_MarketingGG_MarketingGG_MarketingGG_Marketing ––––secgrpsecgrpsecgrpsecgrp nononono

� dsmoddsmoddsmoddsmod group CN=group CN=group CN=group CN=GG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OUGG_HelpDesk,OU====Groupes,DCGroupes,DCGroupes,DCGroupes,DC====alphorm,DCalphorm,DCalphorm,DCalphorm,DC=local" =local" =local" =local" GG_MarketingGG_MarketingGG_MarketingGG_Marketing ––––secgrpsecgrpsecgrpsecgrp yes yes yes yes ––––scope uscope uscope uscope u


Gestion des groupes avec Powershell

• Help *adgroup* ou Get-Command *ADGroup*

• Get-ADGroup

• New-ADGroup

• Remove-ADGroup

• Set-ADGroup

• Get-ADGroup GG_marketing -Properties members

• Get-ADGroupMember -Identity "GG_HelpDesk"

• New-ADGroup -Path"CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" -Name "GG_HelpDesk -sAMAccountName "GG_HelpDesk" -GroupCategorySecurity -GroupScope Global

• Add-ADGroupMember -Identity "GG_HelpDesk" -Members "CN=hamidharabazan,OU=Utilisateurs,DC=alphorm,DC=local"



• Création de groupes avec DSAdd

• Modification des membres des groupes avec DSMod

• Extraction des membres des groupes avec DSGet

• Copie des membres des groupes

• Déplacement des groupes et changement de leurs noms

• Suppression de groupes

• Importation de groupes avec CSVDE

• Importation de groupes avec LDIFDE

• Modification des membres des groupes avec LDIFDE

• Conversion de l'étendue et du type de groupe

• Gestion des groupes avec Powershell FIN





Support des comptes d'ordinateur: Création d'ordinateurs et jonction au domaine


Plan

•Groupes de travail, domaines et approbations

•Création et jonction au domaine

•Sécurisation de la création d'ordinateurs et des jonctions


Groupes de travail, domaines et approbations


Création et jonction au domaine

• Méthode 1 :Méthode 1 :Méthode 1 :Méthode 1 :

� Jonction directe au domaine

� Redémarrage

� Le compte ordinateur et créé dans le conteneur « Computers »

� Déplacer dans la OU appropriée

• Méthode Méthode Méthode Méthode 2 :2 :2 :2 :

� Définissez au préalable (pré-création) un ordinateur dans l'UO appropriée(possibilité de délégation)

� Jonction

� Redémarrage


Sécuriser la création d'ordinateurs et les jonctions

• Limitation de la capacité des utilisateurs à créer des ordinateurs

� Par défaut, touttouttouttout utilisateur peut joindre 10101010 ordinateurs au domaine.

• La prédéfinition n'est pas nécessaire.

� Définissez la valeur msmsmsms----DSDSDSDS----MachineAccountQuotaMachineAccountQuotaMachineAccountQuotaMachineAccountQuota sur 0000.

• Délégation, aux groupes appropriés, de l'autorisation de créer des objetsordinateur dans les UO appropriées

• Prédéfinition des objets ordinateur dans les UO appropriées

� L'ordinateur est dans l'UO appropriée et n'a pas besoin d'être déplacé.

� La Stratégie de groupe s'applique à l'ordinateur dès sa jonction au domaine.

• Configuration du conteneur Ordinateurs par défaut

� redircmp " DN de l'UO pour les nouveaux objets ordinateur "



•Groupes de travail, domaines et approbations

•Création et jonction au domaine

•Sécurisation de la création d'ordinateurs et des jonctions

FIN





Support des comptes d'ordinateur: Propriétés et opérations

des comptes d'ordinateur


Plan

• Configuration des attributs d'ordinateur

• Comptes d'ordinateur et canal sécurisé

• Identification des problèmes de comptes d'ordinateur

• Réinitialisation d'un compte d'ordinateur

• Modification du nom d'un ordinateur

• Désactivation et activation d'un ordinateur

• Suppression et recyclage des comptes d'ordinateur


Configurer des attributs d'ordinateur

• Attributs utiles

� Description

� Emplacement

• France\Paris\Siege\Bat3\Etage22\Coul3

• Utilisé par les applications détectant l'emplacementtelles que la recherche d'imprimantes

� Géré par

• Lié à l'utilisateur correspondant à l'utilisateur principal de l'ordinateur

• Lié au groupe responsable de l'ordinateur (serveurs)

� Membre de

• Groupes : Filtrage de stratégie de groupe, déploiement de logiciels


Compte d'ordinateur et canal sécurisé

• Les ordinateurs ont des comptes.

� un nom sAMAccountNamesAMAccountNamesAMAccountNamesAMAccountName et un mot de un mot de un mot de un mot de passepassepassepasse

� Utilisé pour créer un canal sécurisé entre l'ordinateur et un contrôleur de domaine

• Le canal sécurisé peut être rompu.

� Lors de la réinstallation d'un ordinateur, même avec le même nom, qui génère un nouveau SID et mot de passe.

� Lors de la restauration d'un ordinateur à partir d'une ancienne sauvegarde oude la réapplication d'un ancien instantané

� Lorsque l'ordinateur et le domaine ne sont pas d'accord sur le mot de passe


Reconnaître les problèmes de compte d'ordinateur

• Messages d'ouverture de session

• Erreurs du journal d'événements, comprenant des mots clés tels que

� Mot de passe

� Approbation

� Canal sécurisé

� Relations avec le domaine ou les contrôleurs de domaine

• Absence d'un compte d'ordinateur dans Active Directory


Réinitialiser un compte d'ordinateur

• Évitez de supprimer un ordinateur du domaine et de l'y joindre à nouveau.

� Création d'un nouveau compte : nouveau SID, perte des appartenances aux groupes

• Réinitialiser le canal sécurisé

� Utilisateurs et ordinateurs Active Directory*

• Cliquez du bouton droit sur l'ordinateur et choisissez Réinitialiser le compte.

� DSMod*• dsmod computer "NomUniqueOrdinateur" –reset

� NetDom• netdom reset NomOrdinateur /domain NomDomaine /UserO

NomUtilisateur /PasswordO { Mot de passe | *}

� NLTest• nltest /server: NomServeur /sc_reset:DOMAIN\ DC

� * = * = * = * = exigeexigeexigeexige uneuneuneune nouvelle nouvelle nouvelle nouvelle jonctionjonctionjonctionjonction au au au au domainedomainedomainedomaine et un et un et un et un redémarrageredémarrageredémarrageredémarrage


Renommer un ordinateur

• Servez-vous des propriétés système de l'ordinateur pour renommercorrectement ce dernier et son compte.

• NetDom

� netdom renamecomputer NomOrdinateur /NewName: NouveauNom[/UserO: NomUtilisateurLocal ] [/PasswordO:{ MotDePasseLocal |*} ][/UserD: NomUtilisateurDomaine ] [/PasswordD:{ MotDePasseDomaine |*} ][/SecurePasswordPrompt] [/REBoot[: TempsEnSecondes ] ]

• Soyez conscient des conséquences du changement de nom sur les services et les certificatscertificatscertificatscertificats associés au nom de l'ordinateur.


Désactiver et activer un ordinateur

• Désactivez un ordinateur lorsqu'il doit rester hors connexion pendant une longue période.

� L'opération correspond à la désactivation d'un utilisateur qui part en congé.

� L'opération empêchant l'établissement du canal sécurisé, les utilisateurs dont les informationsd'identification n'ont pas été mises en cache dansl'ordinateur ne peuvent pas ouvrir de session.

• Utilisateurs et ordinateurs Active Directory

� Cliquez du bouton droit sur l'ordinateur et choisissez Activer le compte ouDésactiver le compte.


Supprimer et recycler des comptes d'ordinateur

• Suppression d'un ordinateur avec Utilisateurs et comptes Active Directory

� Cliquez du bouton droit sur l'ordinateur et choisissez Supprimer.

• La suppression détruit le SID et les appartenances aux groupes.

� Lors du remplacement ou de la réinstallation d'un ordinateur, s'il doit jouerle même rôle, réinitialisezréinitialisezréinitialisezréinitialisez son son son son comptecomptecomptecompte au lieu de le supprimer.

� Préserve tous les attributs de l'ordinateur, y compris le SID et les appartenances aux groupes

� Vous pouvez renommer l'objet si l'ordinateur est renommé pendant la réinstallation/mise à niveau.

� Cette opération « recycle » le compte d'ordinateur.



• Configuration des attributs d'ordinateur

• Comptes d'ordinateur et canal sécurisé

• Identification des problèmes de comptes d'ordinateur

• Réinitialisation d'un compte d'ordinateur

• Modification du nom d'un ordinateur

• Désactivation et activation d'un ordinateur

• Suppression et recyclage des comptes d'ordinateur

FIN




Fonctionnement de la Stratégie de groupe

Implémentation d'une infrastructure de stratégie de groupe


Plan

• Qu'est-ce que la gestion des configurations ?

• Aperçu et examen de la stratégie de groupe

• Création d’une stratégie de test

• Actualisation de la stratégie de groupe

• Stockage des objets GPO

• Objets GPO locaux


Qu'est-ce que la gestion des configurations ?


Aperçu et examen de la stratégie de groupe

• Stratégies ordinateur/utilisateur

• Stratégs vs Préférences

• Étendue

• Lien de GPO Le filtrage par groupe de sécurité

• Le filtrage WMI

• Ciblage des préférences

• Paramètres

• Étendue

• Application

• Jeu de stratégies résultant

• Client de stratégie de groupe et extensions côté client



Démonstration : Création, liaison et modification d'objets GPO

Dans cette démonstration, nous allons :

• Créer un objet GPO

• Lier un objet GPO

• Ouvrir un objet GPO pour modification

• GPO ordinateur :

� Configurer Windows Update

• GPO utilisateur :

� Masquer le paneau de configuration


Actualisation de la stratégie de groupe

• À quel moment les GPO et leurs paramètres sont-ils appliqués ?

• Configuration ordinateur

� Démarrage

� Toutes les 90 à 120 minutes

� Déclenchement : commande GPUpdateGPUpdateGPUpdateGPUpdate

• Configuration utilisateur

� Ouverture de session

� Toutes les 90 à 120 minutes

� Déclenchement : commande GPUpdateGPUpdateGPUpdateGPUpdate


Stockage des objets GPO

• Objet de stratégie de groupe (GPO)

� Conteneur de stratégie de groupe (GPC)• Éditeur ADSI

• Est stocké dans les services de domaine Active Directory.

• Nom convivial, identificateur unique global (GUID)

• Version

� Modèle de stratégie de groupe (GPT)• Stocké dans le dossier SYSVOL des contrôleurs de domaine

• Contient tous les fichiers requis pour définir et appliquer des paramètres

• Le fichier .ini contient la Version.

• Mécanismes de réplication distincts

• GPOTool


Objets GPO locaux

• Les GPO locaux s'appliquent avant les GPO de domaine.

� Tout paramètre spécifié par un GPO de domaine remplacera celui des GPO locaux.

• gpedit.msc

� Serveur

� Client


Ce qu’on a couvert

• Qu'est-ce que la gestion des configurations ?

• Aperçu et examen de la stratégie de groupe

• Création d’une stratégie de test


• Stockage des objets GPO

• Objets GPO locaux

FIN




Examen approfondi des paramètres et des objets GPO



Plan

• Modèles d'administration

• Import des GPOs

• Paramètres gérés et non gérés, et préférences

• Magasin central

• Démonstration : Utilisation des paramètres et des objets GPO

� Commentaer/Copier/Sauvegarder/Importer/Supprimer/Restaurer…

• Les objets GPO gérés et leurs paramètres


Modèles d'administration

• .ADMX • .ADML


Import des GPOs

• ADM

� Avant Windows Vista et Windows 2008

• ADMX/ADML

� A partir de Windows Vista et Windows 2008


Paramètres gérés et non gérés, et préférences


� Paramètre de stratégie géré

• L'interface utilisateur est verrouillée. L'utilisateur ne peut pas modifier le paramètre.

• Les modifications concernent l'une des quatre clés de Registre réservées.

• La modification et le verrouillage de l'interface utilisateur sont « libérés » lorsque l'utilisateur oul'ordinateur n'entre plus dans l'étendue.

� Paramètre de stratégie non géré

• L'interface utilisateur n'est pas verrouillée.

• Les modifications apportées sont permanentes ; elles « tatouent » le Registre.

� Par défaut, seuls les paramètres gérés s'affichent.

� Pour afficher les paramètres non gérés, définissez les Options de filtre.

• Préférences

� L'effet des préférences varie.


Magasin central

• Fichiers .ADM

� Stockés dans le Modèle de stratégie de groupe (GPT)

� Entraînent des problèmes de contrôle des versions et d'encombrement des GPO

• Fichiers .ADMX/.ADML

� Récupérés depuis le client

� Problématiques si le client ne dispose pas des fichiers appropriés

• Magasin central

� Créez un dossier nommé PolicyDefinitionsPolicyDefinitionsPolicyDefinitionsPolicyDefinitions dans un contrôleur de domaine.

• À distance : \\par-dc01\SYSVOL\alphorm.local\Policies\PolicyDefinitions

• Localement : %SystemRoot%\Windows\PolicyDefinitions

� Copiez les fichiers .ADMX de votre dossier %SystemRoot%\PolicyDefinitions.

� Copiez le fichier .ADML stocké dans les sous-dossiers propres à la langue (par exemple en-us).


Démonstration :

Utilisation des paramètres et des objets GPO.Dans cette démonstration, nous allons :

• Utiliser des Options de filtre pour localiser des stratégies dans les modèles d'administration

• Ajouter des commentaires à un objet GPO

• Créer un nouvel objet GPO à partir d'un GPO Starter

• Créer un nouveau GPO par copie d'un GPO existant

• Sauvegader les GPOs

• Créer un nouveau GPO par importation des paramètres exportés à partir d'un autre GPO


Gestion des objets GPO et de leurs paramètres

• Copier (et Coller dans un conteneur Objets GPO)

� Créer une nouvelle « copie » d'un GPO et modifiez-la.

� Transférer un GPO dans un domaine approuvé, par exemple test-to-production.

• Sauvegarder tous les paramètres, objets, liens, autorisations (listes ACL).

• Restaurer dans le même domaine que la sauvegarde.

• Importer les paramètres dans un nouveau GPO du même domaine ou d'un autre domaine.

� Table de migration pour le mappage source/cible des chemins UNC et des noms de groupe de sécurité

� Remplace tous les paramètres du GPO (pas de « fusion »)

• Enregistrer le rapport.

• Supprimer

• Renommer




• Import des GPOs

• Paramètres gérés et non gérés, et préférences

• Magasin central

• Démonstration : Utilisation des paramètres et des objets GPO

� Commentaer/Copier/Sauvegarder/Importer/Supprimer/Restaurer…

• Les objets GPO gérés et leurs paramètres

FIN




Gestion de l'étendue de la stratégie de groupe



Plan

• Ordre de traitement de la stratégie de groupe

• Liens de GPO

• Héritage et priorité des objets GPO

• Filtrage de sécurité pour modifier l'étendue d'un objet GPO

• Filtres WMI

• Activation ou désactivation d'objets GPO et de nœuds de GPO


• Traitement en boucle des strategies

• Examen approfondi du traitement de la stratégie de groupe


Ordre de traitement de la stratégie de groupe

GPO de domaine

GPO de sites

GPO OU

GPO local

Ord

re d

e pr

iorit

é

Ord

re d

’app

licat

ion


Liens de GPO

• Un lien de GPO

� Entraîne l'application des paramètres de stratégie de ce GPO aux utilisateursou aux ordinateurs de ce conteneur

� Relie le GPO à un site, à un domaine ou à une UO

• Les sites doivent être activés dans la console GPM.

� Un GPO peut être relié à plusieurs sites ou UO.

� Un lien peut exister mais être désactivé.

� Un lien peut être supprimé, mais le GPO existe toujours.


Héritage et priorité des objets GPO

• L'application des GPO liés à chaque conteneur entraîne un effet cumulé appelé héritage.

� Priorité par défaut : Local � Site � Domaine � UO � UO… (LSDUO)

� Visible dans l'onglet Héritage de Stratégie de groupe

• Ordre des liens (attribut du lien de GPO)

� Numéro inférieur � Plus haut dans la liste � Prioritaire

• Blocage de l'héritage (attribut de l'UO)

� Bloque le traitement des GPO à partir du dessus

• Imposé (attribut du lien de GPO)

� Les GPO imposés « ignorent » le blocage de l'héritage.

� Les paramètres de GPO imposés l'emportent sur les paramètres conflictuels des GPO inférieurs.


Filtrage de sécurité pour modifier l'étendue d'un objet GPO

• Application d'une autorisation de stratégie de groupe

� Le GPO possède une liste ACL (onglet Délégation � Avancé).

� Par défaut : les utilisateurs authentifiés disposent de l'autorisation Appliquer la stratégie de groupe.

• L'étendue comprend uniquement les utilisateurs du ou des groupes globaux sélectionnés.

� Supprimez des utilisateurs authentifiés.

� Ajoutez les groupes globaux appropriés.

• Il doit s'agir de groupes globaux (l'étendue des GPO ne comprend pas le domainedomainedomainedomaine locallocallocallocal).

• L'étendue comprend les utilisateurs sauf ceux du ou des groupes sélectionnés.

� Dans l'onglet Délégation, cliquez sur Avancé.

� Ajoutez les groupes globaux appropriés.

� Refusez l'autorisation Appliquer la stratégie de groupe.

� N'apparaît pas dans l'onglet Délégation ni dans la section du filtrage �


Filtres WMI

• Windows Management Instrumentation (WMI)

• Langage de requêtes WMI (WQL)

� Similaire à T-SQL� Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft Windows XP

Professional" AND CSDVersion="Service Pack 3"

• Création d'un filtre WMI

• Utilisation du filtre pour un ou plusieurs GPO


Activation ou désactivation d'objets GPO et de nœuds de GPO

• Onglet Détails du GPO � Liste déroulante État GPO

• Activé : les extensions CSE appliquent les paramètres Configuration ordinateur et Configuration utilisateur.

• Tous les paramètres désactivés : les extensions CSE ne traitent pas le GPO.

• Paramètres de Configuration ordinateur désactivés : les extensions CSE ne traitent pas les paramètres de Configuration ordinateur.

• Paramètres de Configuration utilisateur désactivés : les extensions CSE ne traitent pas les paramètres de Configuration utilisateur.


Ciblage des préférences

• Ciblage au sein d'un GPO

� Étendue = étendue du GPO

xétendue du ciblage

� Possible uniquementavec les préférences

• De très nombreusesoptions


Traitement des stratégies en boucle

• À l'ouverture de session d'un utilisateur, les paramètres utilisateur issus des GPO dont l'étenduecomprend un objet ordinateur sont appliqués.

� Expérience utilisateur cohérente sur un ordinateur

� Salles de conférence, kiosques, ateliers informatiques, Infrastructure de bureau virtuel (VDI), RDS/TS, etc.

• Configuration Configuration Configuration Configuration ordinateurordinateurordinateurordinateur\\\\StratégiesStratégiesStratégiesStratégies\\\\ModèlesModèlesModèlesModèles d'administrationd'administrationd'administrationd'administration\\\\SystèmeSystèmeSystèmeSystème\\\\StratégieStratégieStratégieStratégie de de de de groupegroupegroupegroupe

� Mode de traitement en boucle de la stratégie de groupe utilisateur

• Mode de Mode de Mode de Mode de remplacementremplacementremplacementremplacement

� L'utilisateur n'obtient aucun des paramètres utilisateur dont l'étendue comprend l'utilisateur… uniquementles paramètres utilisateur dont l'étendue comprend l'ordinateur.

• Mode de fusionMode de fusionMode de fusionMode de fusion

� L'utilisateur obtient les paramètres utilisateur dont l'étendue comprend cet utilisateur, mais les paramètresutilisateur dont l'étendue comprend l'ordinateur se superposent à ces paramètres. L'ordinateur gagne.


Ordinateur B+CUtilisateur B+E

RemplacementOrdinateur B+KUtilisateur B+K

FusionOrdinateur B+KUtilisateur E+B+K

Employés

Clients Ordinateur CUtilisateur

OrdinateurUtilisateur E

Entreprise

Kiosques

Ordinateur BUtilisateur B

BouclageOrdinateur KUtilisateur K

Traitement des stratégies en boucle


Examen approfondi du traitement de la stratégie de groupe

• L'ordinateur démarre. Les services RPCSS (Remote Procedure Call System Service) et MUP (Multiple Universal Naming Convention Provider) démarrent.

• Le Client de stratégie de groupe démarre et obtient la liste ordonnée des GPO dont l'étendue comprendl'ordinateur.

� Local � Site � Domaine � UO � GPO imposés

• Le conteneur de stratégie de groupe (GPC) traite chaque GPO dans l'ordre.

� Doit-il être appliqué ? (activé/désactivé/autorisation/filtre WMI)

� Les extension CSE sont déclenchées pour traiter les paramètres du GPO.

• Les paramètres définis sur Activé ou Désactivé sont traités.

• Ouverture de session par l'utilisateur

• Le processus se répète pour les paramètres utilisateur.

• L'actualisation de l'ordinateur survient au démarrage, puis toutes les 90 à 120 minutes.

• L'actualisation de l'utilisateur survient à l'ouverture de session, puis toutes les 90 à 120 minutes.


Liaisons lentes et systèmes déconnectés

• Le client de stratégie de groupe détermine si la liaison au domaine doit être considéréecomme lente.

� Par défaut, inférieure à 500 Kbits/s

� Chaque CSE peut utiliser cette détermination de liaison lente pour choisir ou non d'effectuer le traitement.

• L'extension CSE Logiciel, par exemple, n'effectue pas le traitement.

• Environnement déconnecté

� Les paramètres appliqués précédemment restent en vigueur.

� Les exceptions comprennent les scripts de démarrage, d'ouverture de session, de fermeture de session et d'arrêt.

• Environnement connecté

� Windows Vista et les versions ultérieures détectent les nouvelles connexions et actualisent la stratégie de groupe lorsqu'une fenêtre d'actualisation a été manquée pendant la déconnexion.


Entrée en vigueur des paramètres

• La réplication des GPO doit survenir.

� Le GPC et le GPT doivent être répliqués.

• Les modifications de groupe doivent être intégrées.

� Fermeture/ouverture de session pour l'utilisateur ; redémarrage pour l'ordinateur

• L'actualisation de la stratégie de groupe doit survenir.

� Clients Windows XP, Windows Vista et Windows 7

� Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session

• Les paramètres nécessitent parfois une fermeture/ouverture de session (utilisateur) ou un redémarrage(ordinateur) pour prendre effet.

• Actualisation manuelle : GPUpdateGPUpdateGPUpdateGPUpdate [/force] [/logoff] [/boot][/force] [/logoff] [/boot][/force] [/logoff] [/boot][/force] [/logoff] [/boot]

• La plupart des extensions CSE ne réappliquent pas les paramètres si le GPO n'a pas changé.

� Configuration Configuration Configuration Configuration dansdansdansdans OrdinateurOrdinateurOrdinateurOrdinateur\\\\ModèlesModèlesModèlesModèles d'administrationd'administrationd'administrationd'administration\\\\SystèmeSystèmeSystèmeSystème\\\\StratégieStratégieStratégieStratégie de de de de groupegroupegroupegroupe



• Ordre de traitement de la stratégie de groupe

• Liens de GPO

• Héritage et priorité des objets GPO

• Filtrage de sécurité pour modifier l'étendue d'un objet GPO

• Filtres WMI

• Activation ou désactivation d'objets GPO et de nœuds de GPO


• Traitement en boucle des strategies

• Examen approfondi du traitement de la stratégie de groupe

FIN




Résolution des problèmes liés à l'application des stratégies



Plan


• Génération des rapports RSoP

• Assistant Modélisation de stratégie de groupe

• Examen des journaux d'événements de stratégie


Jeu de stratégies résultant

• Effet cumulatif d'une stratégie de groupe

� Un utilisateur ou un ordinateur appartient généralement à l'étendue de plusieurs GPO.

� Paramètres potentiellement en conflit : priorité

• Outils indiquant dans un rapport les paramètres appliqués et le GPO « vainqueur » en cas de paramètres conflictuels

• Outils permettant de modéliser les effets des modifications apportées à l'infrastructure de stratégie de groupe ou à l'emplacement des objets dans Active Directory


Jeu de stratégies résultant

• L'héritage, les filtres, les boucles et les autres facteurs d'étendue et de priorité sont complexes.

• RSoP

� « Résultat final » de l'application d'une stratégie

� Outils simplifiant l'évaluation, la modélisation et la résolution des problèmesd'application des paramètres de stratégie de groupe

• Trois outils RSoP

� Assistant Résultats de stratégie de groupe

� Assistant Modélisation de stratégie de groupe

� GPResult.exe


Génération des rapports RSoP

• Assistant Résultats de stratégie de groupe

� Interroge l'infrastructure WMI pour générer des rapports sur l'application réelleréelleréelleréelle d'une stratégie de groupe

• Spécifications

� Identifiants d'administrateur sur l'ordinateur cible

� Accès à l'infrastructure WMI (pare-feu)

� L'utilisateur doit avoir ouvert au moins une session.

• Le rapport RSoP

� Peut être enregistré

� S'affiche en mode Avancé

• Expose des paramètres qui n'apparaissent pas dans le rapport HTML

• Présente les événements du traitement de la stratégie de groupe


Assistant Modélisation de stratégie de groupe• Analyses basées sur des hypothèses par l'Assistant Modélisation de stratégie de groupe


� ÉmuleÉmuleÉmuleÉmule l'application d'une stratégie de groupe pour générer un rapport RSoPanticipé


Examen des journaux d'événements de stratégie

• Journal système

� Informations générales sur la stratégie de groupe

� Erreurs en un endroit quelconque du système, susceptibles d'affecter la stratégie de groupe

• Journal des applications

� Événements enregistrés par les extensions CSE

• Journal opérationnel de la stratégie de groupe

� Suivi détaillé de l'application d'une stratégie de groupe




• Génération des rapports RSoP


• Examen des journaux d'événements de stratégie

FIN




Délégation du support technique des ordinateurs

Gestion de la configuration et de la sécurité avec des GPOs


Plan

• Fonctionnement du support technique des ordinateurs

• Définition de l'appartenance aux groupes à l'aide des préférences de la stratégie de groupe


Fonctionnement des stratégies de groupes restreints

• Les stratégies de Groupes restreints permettent de gérer l'appartenance aux groupes.

Membres• Stratégie pour un groupe local• Désignation de ses membres (groupes et

utilisateurs)• Faisant autorité

Membre de• Stratégie pour un groupe de domaine• Désignation de son appartenance à un groupe local• Cumulative


Définition des membres de groupes à l'aide des préférences• Créer, supprimer ou remplacer un groupe local

• Renommer un groupe local

• Changer la Description

• Modifier l'appartenance à un groupe

• Les préférences Groupe localsont accessibles dansConfiguration ordinateur etConfiguration utilisateur.



• Fonctionnement du support technique des ordinateurs

• Définition de l'appartenance aux groupes à l'aide des préférences de la stratégie de groupe

FIN




Gestion des paramètres de sécurité



Plan

• Qu'est-ce que la gestion des stratégies de sécurité ?

• Configurer la stratégie de sécurité locale

• Gérer la configuration de la sécurité à l'aide des modèles de sécurité

• Utilisation de Configuration et analyse de la sécurité

• Assistant Configuration de la sécurité


Qu'est-ce que la gestion des stratégies de sécurité ?• Gérer la configuration de la sécurité

� Créez la stratégie de sécurité.

� Appliquez-la à un ou plusieurs systèmes.

� Analysez les paramètres de sécurité par rapport à la stratégie.

� Mettez la stratégie à jour ou corrigez les incohérences du système.

• Outils

� Stratégie de groupe local et Stratégie de groupe de domaine

� Modèles de sécurité (composant logiciel enfichable)

� Configuration et analyse de la sécurité (composant logiciel enfichable)

� Assistant Configuration de la sécurité


La stratégie de sécurité locale et de domaine• Stratégie de sécurité locale

• Stratégie de groupe de domaine


Les modèles de sécurité

• Les paramètres sont un sous-ensemble desparamètres du GPO domaine, maisdiffèrent du GPO local.

• Modèles de sécurité

� Fichiers au format texte

� Applicables directement à un ordinateur

• Configuration et Configuration et Configuration et Configuration et analyseanalyseanalyseanalyse de la de la de la de la sécuritésécuritésécuritésécurité

• Secedit.exeSecedit.exeSecedit.exeSecedit.exe

� Déployables avec la Stratégie de groupe

� Permet de comparer les paramètresde sécurité actuels d'un ordinateurpar rapport à ceux du modèle de sécurité


L'outil de Configuration et analyse de la sécurité• Construire votre propre console MMC

• Créer une base de données

� Importer un ou des modèles

• Utiliser la base de données

� Analyser un ordinateur

� Corriger les incohérences

� Configurer l'ordinateur

� Exporter sous forme de modèle

• Secedit.exeSecedit.exeSecedit.exeSecedit.exe

secedit /configure /db BaselineSecurity.sdb /cfgBaselineSecurity.inf /log BaselineSecurity.log

secedit /generaterollback /cfgBaselineSecurity.inf /rbkBaselineSecurityRollback.inf/log BaselineSecurityRollback.log


Assistant Configuration de la sécurité

• Stratégie de sécurité : fichier .xml qui configure :

� Configuration de services à base de rôles

� La sécurité du réseau, notamment les règles du pare-feu

� Les valeurs du registre

� La stratégie d'audit

� Peut comprendre un modèle de sécurité (.inf)

• Créer la stratégie

• Modifier la stratégie

• Appliquer la stratégie

• Annuler la stratégie

• Transformer la stratégie en objet GPO

� scwcmdscwcmdscwcmdscwcmd transform /transform /transform /transform /p:"MySecurity.xmlp:"MySecurity.xmlp:"MySecurity.xmlp:"MySecurity.xml" /" /" /" /g:"Mong:"Mong:"Mong:"Mon nouveau GPO"nouveau GPO"nouveau GPO"nouveau GPO"



• Qu'est-ce que la gestion des stratégies de sécurité ?

• Configurer la stratégie de sécurité locale

• Gérer la configuration de la sécurité à l'aide des modèles de sécurité

• Utilisation de Configuration et analyse de la sécurité

• Assistant Configuration de la sécurité

FIN




Gestion des logiciels avec GPSI



Plan

• Fonctionnement de l'installation de logiciels de la stratégiede groupe (GPSI)

• Création d'un point de distribution de logiciels

• Maintenance des logiciels déployés avec un objet GPO

• GPSI et liaisons lentes


Fonctionnement de GPSI

• Extension côté client (CSE)

• Installe les packages pris en charge

� Packages Windows Installer (fichiers ....msimsimsimsi)

• Éventuellement modifiés par Transform (....mstmstmstmst) ou des correctifs (....mspmspmspmsp)

• GPSI installe automatiquement avec des privilègesprivilègesprivilègesprivilèges élevésélevésélevésélevés.

� Package d'applications de bas niveau (.zapzapzapzap)

• Pris en charge uniquement par l'option PublierPublierPublierPublier

• Exige un utilisateur avec privilèges AdminAdminAdminAdmin

� SCCM (System Center Configuration Manager) et d'autres outils de déploiement peuvent prendre en charge un grand nombre de packages d'installation et de configuration.

• Aucun « retour »

� Pas d'indication centralisée sur la réussite ou l'échec

� Aucune gestion intégrée des mesures, de l'audit et des licences


Fonctionnement de GPSI (suite)

• Options de déploiement de logiciels

� AffectationAffectationAffectationAffectation de l'application aux utilisateursutilisateursutilisateursutilisateurs

• Les raccourcis du menu Démarrer apparaissent.

- Installation à la demande

• Associations de fichiers effectives (Installation automatique en option)

- Installation à l'invocation de document

• En option, configurer pour l'installation à la connexion

� PublierPublierPublierPublier l'application pour les utilisateursutilisateursutilisateursutilisateurs

• Publié dans Programmes et fonctionnalités (Panneau de configuration)

- Installation sur requête

� AffectationAffectationAffectationAffectation aux ordinateursordinateursordinateursordinateurs

• Installation au démarrage


Démonstration :

Création d'un point de distribution de logiciels

• CréerCréerCréerCréer un dossier un dossier un dossier un dossier partagépartagépartagépartagé

• Y Y Y Y mettremettremettremettre les les les les logicielslogicielslogicielslogiciels ::::

� XML Notepad : XML Notepad : XML Notepad : XML Notepad : http://www.microsoft.com/en-us/download/details.aspx?id=7973


Maintenance de logiciels déployés avec GPSI

• Redéploiement d'application

� Après une installation réussie, le client ne tentera pas de réinstaller l'application.

� Vous devrez modifier le package.

� Package � Toutes les tâches � Redéployer l'application

• Mise à niveau d'une application

� Créez un nouveau package dans le même GPO ou dans un autre.

� Avancé � Mises à niveau � Sélectionner le package à mettre à niveau

� Commencez par désinstaller l'ancienne version ou remplacez-la par la nouvelle.

• Suppression d'une application

� Package � Toutes les tâches � Supprimer

� Désinstallez immédiatement (retrait forcé) ouempêchez les nouvelles installations (retrait optionnel).

� Ne supprimez pas le GPO et n'annulez pas son lien avant que tous les clients n'aient appliqué le paramètre.


GPSI et liaisons lentes

• Le Client de stratégie de groupe détermine si le contrôleur de domaine qui fournit les GPO est à l'autre extrémité d'une liaison lente.

� < 500 Kbits/s < 500 Kbits/s < 500 Kbits/s < 500 Kbits/s par défaut

• Chaque extension CSE identifie les liaisons lentes pour décider si le traitement doit avoirlieu.

� Par défaut, GPSI ne traite pas en cas de liaison lente.

• Vous pouvez modifier le comportement de traitement en cas de liaison lente pour chaqueextension CSE.

� Configuration Configuration Configuration Configuration ordinateurordinateurordinateurordinateur\\\\StratégiesStratégiesStratégiesStratégies\\\\ModèlesModèlesModèlesModèles d'administrationd'administrationd'administrationd'administration\\\\ SystèmeSystèmeSystèmeSystème\\\\StratégieStratégieStratégieStratégie de de de de groupegroupegroupegroupe

• Vous pouvez modifier le seuil de liaison lente.

� Configuration Configuration Configuration Configuration ordinateurordinateurordinateurordinateur [[[[ouououou utilisateurutilisateurutilisateurutilisateur] ] ] ] \\\\StratégiesStratégiesStratégiesStratégies\\\\ModèlesModèlesModèlesModèles d'administrationd'administrationd'administrationd'administration\\\\ SystèmeSystèmeSystèmeSystème\\\\StratégieStratégieStratégieStratégiede de de de groupegroupegroupegroupe



• Fonctionnement de l'installation de logiciels de la stratégiede groupe (GPSI)

• Création d'un point de distribution de logiciels

• Maintenance des logiciels déployés avec un objet GPO

• GPSI et liaisons lentes

FIN




Les stratégies d'audit



Plan

• Présentation des stratégies d'audit

• Définition des paramètres d'audit sur un fichier ou un dossier

• Activation d'une stratégie d'audit

• Évaluation des événements dans le journal de sécurité


Présentation des stratégies d'audit

• Audit des événements d'unecatégorie d'activités

� Accès aux fichiers/dossiers NTFS

� Modifications des comptes oudes objets dans Active Directory

� Ouverture de session

� Affectation ou utilisation de droits d'utilisateur

• Par défaut, les contrôleurs de domaine auditent les événements de réussite de la plupart des catégories.

• Objectif : aligner les stratégies d'audit sur les stratégies de sécurité et les besoins concrets de l'entreprise

� Excès d'audit : les journaux sont si volumineux qu'il est difficile d'y localiser les événements importants.

� Audit insuffisant : les événements importants ne sont pas journalisés.

� Des outils très utiles peuvent vous aider à regrouper les journaux.


L'audit sur un fichier ou un dossier

• Modification de la liste de contrôled'accès système (SACL)

� Propriétés

� Avancé

� Audit

� Modification


Activation de la stratégie d'audit

• Activation de l'audit de l'accès aux objets : Réussite et/ou Échec

• L'étendue de l'objet GPO doit être définie sur le serveur.

• Le paramètre de stratégie Réussite/Échec doit correspondre aux paramètres d'audit (réussite/échec).


Évaluation des événements dans le journal de sécurité

• Journal de sécurité

• Récapitulatif

� La stratégie Auditer l'accès aux objets doit êtreactivée pour auditer la Réussite ou l'Échec.

• L'étendue de l'objet GPO doit être définie surle serveur.

� La liste de contrôle d'accès système (SACL) doitêtre configurée pour auditer les accès ayantréussi ou échoué.

� L'examen du journal de sécurité est nécessaire.



• Présentation des stratégies d'audit

• Définition des paramètres d'audit sur un fichier ou un dossier

• Activation d'une stratégie d'audit

• Évaluation des événements dans le journal de sécurité

FIN




Audit de l'administration d'Active Directory



Plan

• Activation de la stratégie d'audit

• Amélioration de la stratégie d'audit

• Consultation des événements audités dans le journal de la sécurité


Amélioration de la stratégie d'audit

• Une entrée du journal des événements signale que « cet objet a été modifié ».

• Difficultés à identifier l'attribut qui a été modifié

• Impossible de connaître l'ancienne ou la nouvelle valeur de l'attribut

• Modification du service d'annuaire

� Identifie l'objet, l'attribut et les anciennes et nouvelles valeurs

� Non activé par défaut

� 4 sous categories :

• Directory Service Access

• Directory Service Changes

• Directory Service Replication

• Detailed Directory Service Replication

� À activer depuis l'invite de commande :auditpolauditpolauditpolauditpol /set //set //set //set /subcategorysubcategorysubcategorysubcategory:"modification du service d’annuaire" /:"modification du service d’annuaire" /:"modification du service d’annuaire" /:"modification du service d’annuaire" /success:enablesuccess:enablesuccess:enablesuccess:enable



• Activation de la stratégie d'audit

• Amélioration de la stratégie d'audit

• Consultation des événements audités dans le journal de la sécurité

FIN




Configuration des stratégies de mot de passe et de verrouillage

Amélioration de la sécurité de l'authentification


Plan

• Principes de la stratégie de mot de passe

• Fonctionnement des stratégies de verrouillage des comptes

• Configuration de la stratégie du domaine pour les mots de passe et le verrouillage

• Stratégie affinée pour les mots de passe et le verrouillage (PSO)

• Les étapes d’implementation des objets PSO (Password Settings Object)

• Priorité des objets PSO et objet PSO résultant


Principes de la stratégie de mot de passe

• Les stratégies de mot de passe se composent des éléments suivants :

� Conserver l'historique des mots de passe : 24 mots de passe

� Durée de vie maximale du mot de passe : 42 jours

� Durée de vie minimale du mot de passe : 1 jour

� Longueur minimale du mot de passe : 7 caractères

� Le mot de passe doit respecter des exigences de complexité : activé

� Enregistrer les mots de passe en utilisant un chiffrement réversible : désactivé


Principes de la stratégie de verrouillage de compte• Les stratégies de verrouillage des comptes se composent des élémentssuivants :

� Durée de verrouillage : non défini

� Seuil de verrouillage : 0 tentative d'ouverture de session non valide

� Réinitialiser le compteur de verrouillage du compte après : non défini

• Permettent d'atténuer la menace des attaques en force visant les comptesd'utilisateur

• Déverrouillage

� Tout utilisateur verrouillé peut être déverrouillé par un administrateur.

� La stratégie de réinitialisation du verrouillage de compte peut définir un délai après lequel un compte verrouillé est automatiquement déverrouillé.


La stratégie de mot de passe et de verrouillage• Les stratégies de mot de passe du domaine sont définies par l'objet GPO prioritaire dontl'étendue comprend les contrôleurs de domaine.

� Par défaut, il s'agit du GPO de la stratégie de domaine par défaut.

• Recommandations :

� Modifiez les paramètres des stratégies de mot de passe, de verrouillage et Kerberos dans le GPO par défaut du domaine.

� N'utilisez pas le GPO par défaut du domaine pour déployer d'autres paramètres de stratégie.

� Ne définissez pas les paramètres de mot de passe, de verrouillage ou Kerberos du domaine dansun autre objet GPO.

• Les Les Les Les paramètresparamètresparamètresparamètres de de de de stratégiestratégiestratégiestratégie sontsontsontsont remplacésremplacésremplacésremplacés par les options des par les options des par les options des par les options des comptescomptescomptescomptes utilisateurutilisateurutilisateurutilisateur....

� Le mot de Le mot de Le mot de Le mot de passepassepassepasse n'expiren'expiren'expiren'expire jamaisjamaisjamaisjamais....

� EnregistrezEnregistrezEnregistrezEnregistrez les mots de les mots de les mots de les mots de passepassepassepasse avec un avec un avec un avec un chiffrementchiffrementchiffrementchiffrement réversibleréversibleréversibleréversible....


Stratégie affinée pour les mots de passe et le verrouillage

Administrateurs

Comptes de service

UtilisateursFinances

Les stratégies affinées autorisent la cohabitation de plusieurs stratégies de mot de passe et de verrouillage dans le même domaine.

Stratégie du domaine :Longueur : 10Âge max. : 90Verrouillage : 5 en 30 minRéinitialisé : 30 min

Longueur : 15Âge max. : 45Verrouillage : 5 en 60 minRéinitialisé : 1 jour

Longueur : 15Âge max. : 60Verrouillage : 5 en 30 minRéinitialisé : 30 min

Le mot de passen'expire jamaisLongueur : 64Verrouillage : Aucune


Les étapes d’implementation des objets PSO• http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx

• Conditions :

� Le niveau fonctionnel de domaine Windows Server 2008 est obligatoire.

� Les objets PSO peuvent uniquement être appliqués à des utilisateurs ou à des groupes globaux.


Priorité des objets PSO et objets PSO résultants• Un même objet PSO peut être lié à plusieurs groupes ou utilisateurs.

• Un même groupe ou utilisateur peut être lié à plusieurs objets PSO.

• Un seul objet PSO « l'emporte » : l'objetl'objetl'objetl'objet PSO PSO PSO PSO résultantrésultantrésultantrésultant....� Priorité : plus le nombre est faible (proche de 1), plus la priorité est élevée.

� Le PSO de groupe global dont la priorité est la plus élevée (la plus proche de 1) l'emporte.

� Tout objet PSO lié à un utilisateur remplace tous les objets PSO des groupes globaux. L'objet PSO lié à un utilisateur dont la priorité est la plus élevée (la plus proche de 1) l'emporte.

• Attribut msDSmsDSmsDSmsDS----ResultantPSOResultantPSOResultantPSOResultantPSO d'un utilisateur dans l'Éditeur d'attributs� Cliquez sur le bouton Filtrer et vérifiez que Construit est sélectionné.

• En l'absence de PSO, les stratégies des comptes du domaine s'appliquent.

• Recommandations� Utilisez uniquement des objets PSO liés à des groupes. Ne les liez pas à des objets utilisateur.

� Évitez de donner la même valeur de priorité à deux objets PSO.

• Les objets PSO ne peuvent pas être « liés » à une UO.� Créez un groupe instantané contenant tous les utilisateurs de l'UO.



• Principes de la stratégie de mot de passe

• Fonctionnement des stratégies de verrouillage des comptes

• Configuration de la stratégie du domaine pour les mots de passe et le verrouillage

• Stratégie affinée pour les mots de passe et le verrouillage (PSO)

• Les étapes d’implementation des objets PSO (Password Settings Object)

• Priorité des objets PSO et objet PSO résultant

FIN




Audit de l'authentification

Amélioration de la sécurité de l'authentification


Plan

• Événements de connexion aux comptes et événements de connexion

• Configuration des stratégies d'audit liées à l'authentification

• Définition de l'étendue des stratégies d'audit

• Examen des événements de connexion


Événements de connexion aux comptes et événements de connexion

• Événements de connexionconnexionconnexionconnexion au au au au comptecomptecomptecompte

� Enregistrés par le systèmequi authentifie le compte

� Pour les comptes de domaine : contrôleurs de domaine

� Pour les comptes locaux : ordinateur local

• Événements de connexionconnexionconnexionconnexion

� Enregistrés par l'ordinateur sur lequell'utilisateur a ouvert une session ou auquel ils'est connecté

� Ouverture de session interactive : système de l'utilisateur

� Connexion réseau : serveur

Événement de connexion

Événement de connexion au compte

Événement de connexion


Configurer les stratégies d'audit liées à l'authentification• Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit

La configuration par défaut de Windows Server 2008 consiste à auditer les événementsOpération réussie pour les événements de connexion au compte et de connexion.


Définition de la portée des stratégies d'audit

Contrôleursde domaine

ServeursBureau

à distance

Clients Finance

GPO personnalisé

Événements de connexion

Stratégie Contrôleurs de domaine par défaut

Compte de connexion au compte


Examiner les événements de connexion

• Journal Sécurité du système qui a généré l'événement

� Contrôleur de domaine qui a authentifié l'utilisateur : connexion au compte

• Remarque : pas de réplication dans les autres contrôleurs de domaine

� Système sur lequel l'utilisateur a ouvert une session ou auquel il s'estconnecté : connexion



• Événements de connexion aux comptes et événements de connexion

• Configuration des stratégies d'audit liées à l'authentification

• Définition de l'étendue des stratégies d'audit

• Examen des événements de connexion

FIN

Documents

Présentation et installation de l’AD: Présentation de l ... · Server+, Linux+, LPIC-1, CCENT/CCNA,