L’installation n’est pas compliqu\u00e9e en soit, il suffit souvent de cliquer sur suivant, mais il est pr\u00e9f\u00e9rable de comprendre comment ca marche, les protocoles li\u00e9s comme DNS et LDAP et les pr\u00e9cautions qu’il faut prendre.<\/p>\n
Suite \u00e0 l’installation d’un dns simple dns-simple<\/a>, un 1er TP pour la 1er-domaine<\/a><\/p>\n Une gestion des utilisateurs bas\u00e9e sur Active Directory n\u00e9cessite que les contr\u00f4leurs soient mis en redondance.\u00a0 Installation d’un controleur de domaine secondaire<\/a><\/p>\n La gestion elle m\u00eame repose sur outils compl\u00e9mentaires que sont les\u00a0 GPO et Gestion des utilisateurs<\/a>,\u00a0 et pour aller plus loin, il faut utiliser des\u00a0 Scripts Powershell<\/a>.<\/p>\n <\/p>\n Active Directory r\u00e9pertorie les \u00e9l\u00e9ments d’un r\u00e9seau administr\u00e9, il permet d\u2019organiser un r\u00e9seau de fa\u00e7on logique en 3 sortes d\u2019objets : les ressources (par exemple les imprimantes, les partages r\u00e9seaux), les services (par exemple le courrier \u00e9lectronique) et les utilisateurs (comptes utilisateurs et groupes). L’AD fournit des informations sur les objets, il les organise et contr\u00f4le les acc\u00e8s et la s\u00e9curit\u00e9.<\/p>\n L’AD s’appuie sur les protocoles\u00a0DNS\u00a0et LDAP (http:\/\/general.sio57.info\/wp\/?p=902)<\/span> qu’il est plus judicieux de connaitre avant de se lancer dans son utilisation.La bonne compr\u00e9hension de ces protocoles permet de s’adapter facilement aux diff\u00e9rentes \u00e9volutions apport\u00e9es au fil des versions de Windows serveur.<\/p>\n Un serveur h\u00e9bergeant un AD est appel\u00e9 \u00ab\u00a0contr\u00f4leur de domaine\u00a0\u00bb. Comme les environnements et acc\u00e8s des utilisateurs d\u00e9pendent de l\u2019AD, les serveurs doivent bien s\u00fbr \u00eatre redondants- r\u00e9partis sur diff\u00e9rents serveurs-hotes.<\/p>\n Les domaines d’entreprise sont souvent install\u00e9s depuis longtemps, aussi on intervient en entreprise sur des structures en place. Cependant avec la virtualisation chacun peut mettre en place une structure d’entrainement et comprendre les concepts de cet outil puissant.<\/p>\n L’installation d’un domaine de test est tr\u00e8s simple : il suffit d’installer le r\u00f4le AD-DS puis de faire suivant – en \u00e9tant vigilant sur les param\u00e8tres saisiqui doivent \u00eatre coh\u00e9rent et s’appuyer sur un serveur DNS.<\/p>\n Il faut bien comprendre les concepts de foret et de sous domaines et la fa\u00e7on dont ils r\u00e9pondent aux besoins de collaboration entre les sites.<\/p>\n L’AD offre une gestion de l’environnement des utilisateurs de fa\u00e7on extr\u00eamement pr\u00e9cise\u00a0gr\u00e2ce aux strat\u00e9gies de groupe qui sont probablement la raison du succ\u00e8s de l’AD. L’environnement des utilisateurs \u00e9tant majoritairement Windows, les strat\u00e9gies permettent de r\u00e9gler n’importe quel \u00e9l\u00e9ment du poste de travail et de la suite Office largement utilis\u00e9e aussi.<\/p>\n Active Directory est un service d\u2019annuaire cr\u00e9\u00e9 par Microsoft. Il permet de g\u00e9rer tous les \u00e9l\u00e9ments d\u2019un r\u00e9seau. Active Directory est sorti pour la premi\u00e8re fois en 1999 avec Windows 2000 server Edition. Depuis il a \u00e9t\u00e9 plusieurs fois mis \u00e0 jour dans les nouvelles versions de Windows. Les informations que contient Active Directory sont directement stock\u00e9es dans une base de donn\u00e9es centralis\u00e9e. Il est con\u00e7u pour fonctionner quelle que soit la taille du r\u00e9seau et ainsi faciliter grandement la tache des administrateurs ainsi que des utilisateurs finaux.<\/p>\n Services fournis :<\/p>\n Active Directory est structur\u00e9 en objets. Chaque objet repr\u00e9sente une entit\u00e9 du r\u00e9seau tel que les utilisateurs, les imprimantes, ou encore les services de messagerie. Les objets sont class\u00e9s en 3 groupes :<\/p>\n Les objets poss\u00e8dent chacun des attributs qui les caract\u00e9risent. Par exemple un utilisateur sera d\u00e9fini avec un nom, un pr\u00e9nom, une adresse\u2026 Certains objets sont des conteneurs. Ils ne repr\u00e9sentent pas une entit\u00e9 r\u00e9seau mais ne servent qu\u2019\u00e0 l\u2019organisation des objets. Un conteneur peut stocker ainsi des objets mais \u00e9galement d\u2019autres conteneurs. Celui-ci poss\u00e8de \u00e9galement ses propres attributs.<\/p>\n La for\u00eat repr\u00e9sente un ensemble de domaines li\u00e9s entre eux par des relations d\u2019approbation bidirectionnelles et transitives Kerberos. Elle est caract\u00e9ris\u00e9 par la pr\u00e9sence d\u2019un domaine dit racine \u00e9quivalent au premier domaine install\u00e9 dans la for\u00eat. Il s\u2019agit d\u2019un point de r\u00e9f\u00e9rence pour tous les autres domaines de la for\u00eat. Une for\u00eat contient des arbres qui partagent un m\u00eame sch\u00e9ma, une m\u00eame configuration et un m\u00eame catalogue global. Lorsqu\u2019un domaine ne partage pas le m\u00eame espace de nom qu\u2019un domaine parent, il est consid\u00e9r\u00e9 comme une nouvelle arborescence. Sinon il s\u2019agit d\u2019un domaine enfant.<\/p>\n Un domaine est d\u00e9fini par une limite de s\u00e9curit\u00e9. AD peut poss\u00e9der un ou plusieurs domaines. Un domaine peut rassembler des entit\u00e9s situ\u00e9es sur plusieurs sites physiques diff\u00e9rents. Chaque domaine a sa propre politique face aux autres domaines.<\/p>\n Les Unit\u00e9s Organisationnelles permettent de structurer hi\u00e9rarchiquement un domaine :<\/p>\n Les Unit\u00e9s Organisationnelles fournissent un moyen facile pour d\u00e9l\u00e9guer l\u2019administration. Des strat\u00e9gies de groupe peuvent \u00eatres appliqu\u00e9s pour l\u2019ensemble d\u2019une Unit\u00e9 Organisationnelle et les membres vont automatiquement les h\u00e9riter.<\/p>\n Les sites permettent de regrouper les utilisateurs par entit\u00e9 physique : ceci permet d’utiliser la bande passante et les sous r\u00e9seaux IP au mieux. Cette d\u00e9finition est bas\u00e9e sur l’id\u00e9e que des ordinateurs poss\u00e9dant la m\u00eame adresse de sous-r\u00e9seau sont connect\u00e9s au m\u00eame segment de r\u00e9seau, typiquement un LAN.<\/p>\n Le mod\u00e8le d\u2019Active Directory est d\u00e9riv\u00e9 du mod\u00e8le X.500. L\u2019annuaire contient des \u00e9l\u00e9ments d\u00e9crits par des attributs qui le caract\u00e9risent. Le sch\u00e9ma d\u00e9finit l\u2019ensemble des \u00e9l\u00e9ments pouvant \u00eatre stock\u00e9s dans l\u2019annuaire. A la diff\u00e9rence d\u2019autres annuaires, Active Directory ne stock pas ses donn\u00e9es dans un fichier mais directement dans l\u2019annuaire. Le sch\u00e9ma peut \u00eatre mis \u00e0 jour dynamiquement ce qui signifie que des modifications apport\u00e9e peuvent \u00eatre consultables imm\u00e9diatement. Les objets du sch\u00e9ma sont prot\u00e9g\u00e9s par des listes de contr\u00f4le d\u2019acc\u00e8s afin que seuls les utilisateurs autoris\u00e9s puissent les modifier. Ce la permet d\u2019avoir une administration d\u00e9l\u00e9gu\u00e9e o\u00f9 des utilisateurs seront responsable de l\u2019administration d\u2019un sous arbre pr\u00e9cis d\u2019Active Directory.<\/p>\n Active Directory est \u00e9troitement int\u00e9gr\u00e9 au syst\u00e8me de nom de domaine (DNS\u00a0\u2013 Domain Name System). Le\u00a0DNS\u00a0est l’espace de noms distribu\u00e9 utilis\u00e9 sur Internet pour r\u00e9soudre les noms d’ordinateurs et de services en adresses TCP\/IP. La plupart des soci\u00e9t\u00e9s exploitant des intranets utilisent le\u00a0DNS\u00a0comme service de r\u00e9solution de noms. Active Directory utilise le\u00a0DNS\u00a0comme service de localisation Son int\u00e9gration \u00e9troite au\u00a0DNS\u00a0permet \u00e0 Active Directory d\u2019\u00eatre int\u00e9gr\u00e9 dans des environnements Internet et intranet. Les clients trouvent les serveurs d’annuaire rapidement et facilement. Les entreprises peuvent connecter des serveurs Active Directory directement \u00e0 Internet pour faciliter la mise en \u0153uvre de communications et d’applications de commerce \u00e9lectronique s\u00e9curis\u00e9es avec leurs clients et leurs partenaires.<\/p>\n Tous les objets dans Active Directory sont prot\u00e9g\u00e9s par des listes de contr\u00f4le d’acc\u00e8s (ACL). Les\u00a0ACL\u00a0d\u00e9terminent qui peut voir un objet et quelles actions chaque utilisateur a le droit d’effectuer sur l’objet. L’existence d’un objet n’est jamais r\u00e9v\u00e9l\u00e9e \u00e0 un utilisateur qui n’a pas le droit de le voir. Chaque\u00a0ACL\u00a0contient un identificateur de s\u00e9curit\u00e9 (SID), qui identifie le principe (utilisateur ou groupe) auquel\u00a0ACLs’applique et comporte des informations sur quel type d’acc\u00e8s l\u2019ACL autorise ou interdit.<\/p>\n La d\u00e9l\u00e9gation est l’une des fonctionnalit\u00e9s de s\u00e9curit\u00e9 les plus importantes de Active Directory. La d\u00e9l\u00e9gation permet \u00e0 une autorit\u00e9 administrative sup\u00e9rieure d’accorder des droits de gestion sp\u00e9cifiques sur des conteneurs et des sous-arbres \u00e0 des individus ou \u00e0 des groupes. Cela \u00e9vite le besoin d’avoir des \u201cadministrateurs de domaine\u201d disposant d’une autorit\u00e9 totale sur de larges portions de la population d’utilisateurs.<\/p>\n Les strat\u00e9gies de groupe sont des ensembles de param\u00e8tres applicables \u00e0 des utilisateurs et\/ou des ordinateurs. Contrairement \u00e0 ce que pourrait sous-entendre leur nom, elles ne s’appliquent pas au niveau des groupes, mais au niveau d’un objet conteneur qui contient un ensemble d’objets de type utilisateurs ou ordinateurs, sur lesquels s’appliquent des strat\u00e9gies communes. Elles se d\u00e9finissent donc au niveau d’un site, d’un domaine, des unit\u00e9s d’organisations, et sont applicables \u00e0 tous les objets utilisateurs et\/ou ordinateurs situ\u00e9s dans le conteneur sur lequel la strat\u00e9gie est li\u00e9e. Les strat\u00e9gies de groupe offrent des fonctionnalit\u00e9s essentielles :<\/p>\n Les strat\u00e9gies de groupe sont repr\u00e9sent\u00e9es comme des objets d’Active Directory. On les appelle plus commun\u00e9ment les GPO (Group Policy Object). Un GPO est constitu\u00e9 de deux parties stock\u00e9es dans des emplacements diff\u00e9rents :<\/p>\n Avoir une vue d\u2019ensemble de l\u2019Active Directory\u00a0: http:\/\/technet.microsoft.com\/fr-fr\/library\/hh831484.aspx<\/a><\/p>\n Unit\u00e9s d’organisation, cr\u00e9ation d’utilisateurs en masse, GPO, profils itin\u00e9rants et obligatoires.<\/p>\n Scripts et powershell<\/p>\nComprendre<\/h1>\n
Pr\u00e9sentation Active Directory<\/h1>\n
\n
Objets<\/h2>\n
\n
For\u00eats<\/h3>\n
Domaines<\/h3>\n
Unit\u00e9s organisationnelles<\/h3>\n
\n
Les sites<\/h3>\n
Architecture<\/h3>\n
Int\u00e9gration au DNS<\/h1>\n
S\u00e9curit\u00e9<\/h2>\n
Protection des objets<\/h3>\n
D\u00e9l\u00e9gation<\/h3>\n
Strat\u00e9gies de groupe<\/h3>\n
\n
\n
Comment :<\/h1>\n
AD -Gestion des utilisateurs<\/a><\/h1>\n
<\/h1>\n
<\/a>Approfondir<\/h1>\n