Administration Active Directory

Administration Active Directory

Présentation Active Directory

Qu’est ce qu’un service d’annuaire ?

Un service d’annuaire permet :
D’identifier des ressources.
Offre une méthode cohérente pour nommer, décrire, rechercher, accéder, gérer et sécuriser
l’accès aux ressources de l’entreprise.

Les limites Active Directory (taille, nombre d’objets…) : http://technet2.microsoft.com/windowsserver/en/library/d2fc40d8-50ba-450c-959b-28fd7e31b9961033.mspx?mfr=true

Fonctionnement avancé :

http://technet.microsoft.com/en-us/library/cc772829(WS.10).aspx
Différence base SAM avec AD : AD est annuaire centralisé (accessible depuis plusieurs machines). Une base SAM est un annuaire local.

Les consoles d’administration 1/2

Utilisateurs et Ordinateurs Active Directory : permet de créer les comptes utilisateurs, groupe, compte ordinateur, OU.
Active Directory Centre d’administration : permet de créer les comptes utilisateurs /
ordinateurs, groupes, unités d’organisation (OU). Console très orientée tâches d’administration quotidiennes (créations de comptes…).
Sites et Services Active Directory : permet de forcer la réplication Active Directory et de gérer les services qui se basent sur Active Directory.
Domaine et Approbation Active Directory : permet de gérer les suffixes UPN et les relations
d’approbation.
Active Directory Module for Windows PowerShell : permet de créer les comptes utilisateurs / ordinateurs, groupes, unités d’organisation (OU) en ligne de commande ou à l’aide de script.

TP : Zoom sur ADUC 1/2

Si l’on active le mode d’affichage « Fonctionnalités avancées », les conteneurs suivants apparaissent :
➢ Lost and Found : contient tous les objets en conflits.
➢ Program Data : conteneur vide, permet à des applications de stocker des données spécifiques à une application.
➢ NTDS Quota : contient les objets quotas qui permettent de limiter le nombre d’objets que peut créer un compte utilisateur. Le but est de se protéger des attaques par déni de service.
➢ System : contient tous les dossiers systèmes nécessaires aux bons fonctionnement d’Active
Directory (les objets pour les stratégies de groupe…).
MSA / gMSA : comptes de services gérés (nouveautés 2008 R2 / 2012). Cela permet de changer le mot de passe d’un compte de service sans avoir à changer le mot de passe dans la configuration du service.
Passer en mode « Fonctionnalités avancées » permet d’afficher des onglets supplémentaires au niveau des propriétés des objets :
➢ Editeur d’attributs: sorte d’ADSIEDIT intégré au niveau des propriétés d’un compte utilisateur.
➢ Objet : permet de déterminer où se trouve l’objet (pratique pour les recherches) et de désactiver la protection contre la suppression accidentelle.
➢ Réplication des mots de passe : permet de déterminer si l’on peut mettre en cache le mot de passe sur les RODC.

TP : Zoom sur la console Sites et Services

La console Sites et Services n’affichent pas par défaut le nœud « services » :
Ce nœud permet d’avoir une vue simplifiée du conteneur « Services » dans la partition de configuration de l’annuaire Active Directory.
Pour afficher le nœud services :
Ouvrir la console Sites et Services Active Directory. Sélectionner la racine de la console et cliquer sur Affichage | Afficher le nœud des services.

Le service DNS 1/3

Protocole permettant de résoudre un nom DNS (www.google.fr) en une adresse IP et inversement.
Deux systèmes de résolution de noms :
➢ Zone de recherche directe : résout un nom en IP.
➢ Zone de recherche inversée : résout une IP en nom.
L’espace de noms DNS est découpé en zones DNS. Ces zones sont répartis sur des milliers de serveurs DNS.
L’interconnexion entre serveurs DNS se fait via le mécanisme de délégation et de redirection.
Afin de fournir une tolérance de panne et de répartir la charge, un serveur DNS peut disposer d’une copie en lecture seule (zone secondaire) de la zone d’un autre serveur en lecteur / écriture (zone principale).
La redirection : un serveur DNS peut rediriger les requêtes non résolues vers un autre serveur DNS.
La délégation : un serveur DNS peut déléguer une partie de l’espace de noms qu’il gère à un autre serveur (payant).
Interface : serveur DNS ne répond aux requêtes que sur certaines interfaces / IP. Un serveur DNS génère toujours une entrée de type A (Nom -> IP) pour ses interfaces en écoute même si on désactive la mise à jour dynamique DNS au niveau de la carte réseau. Problématique si des stations de travail ne peuvent pas accéder aux serveurs via certaines IP / cartes.
Le round Robin : quand on dispose de plusieurs entrées A, le serveur répond aléatoirement sur les différentes entrées.
Le TRI DNS : si plusieurs réponses possibles, le serveur DNS répond toujours avec une IP qui est dans le même réseau IP que la machine qui a fait la requête (prioritaire sur le Round Robin).
Mise à jour dynamique DNS : activable au niveau des zones DNS. Commande
ipconfig /registerdns permet de forcer création enregistrement A et PTR d’une
machine Windows (mise à jour dynamique DNS).
Transfert de zones : permet à un serveur hébergeant une zone secondaire (en lecture seule) de télécharger la zone depuis un autre serveur.
Wins-R : le serveur DNS s’appuie les enregistrements d’un serveur WINS.
Phénomène d’Ilot DNS : http://support.microsoft.com/kb/291382/fr
Cache Wins sur le serveur DNS :
http://technet2.microsoft.com/windowsserver/en/library/92654b58-b10f-4c35-ab22-389b70d94a521033.mspx?mfr=true
Zones DNS en double : http://support.microsoft.com/kb/867464
Bug au niveau des zones secondaires sous Windows 2008 :
http://msreport.free.fr/?p=145

Interaction DNS / Active Directory

Les stations de travail localisent les contrôleurs de domaine en effectuant des requêtes sur les enregistrements DNS suivants :
➢ _ldap._tcp.orga2.lan
➢ _ldap._tcp.le_nom_du_site_de_rattachement.Lan
Les contrôleurs de domaine se servent du DNS comme d’un fichier de configuration en mettant à jour leurs enregistrements. C’est le service « CLIENT DHCP » qui gère cela (ne jamais désactiver ce service).
Pour localiser qui est Emulateur
PDC (lors changement mot de
passe…) :
_ldap._tcp.pdc._msdcs.orga2.lan
Pour forcer l’actualisation des enregistrements de services des contrôleurs de domaine (par défaut toutes les 5 minutes), taper les commandes suivantes :
Net stop netlogon & net start netlogon

Le fichier Netlogon.dns

Les entrées du fichier C:\Windows\System32\Config\Netlogon.dns sont chargées au démarrage du service NETLOGON (lsass.exe) du contrôleur de domaine.

TP : le service DNS

Avec le bloc Note, ouvrir le fichier C:\WINDOWS\system32\drivers\etc\hosts. A quoi sert ce fichier ?
Installer le service DNS (Gestionnaire de Server | Ajout de rôles).
Créer la zone formationXX.fr où XX est correspond à vos initiales. Autoriser les mises à jour dynamiques non sécurisées et sécurisées.
Créer un enregistrement www avec comme IP 192.168.140.2. Faire un ping de www.formationXX.fr puis un ipconfig /displaydns puis ipconfig /flushdns puis de nouveau ipconfig /displaydns. A quoi sert le cache DNS ?
Au niveau du serveur DNS, purger le cache DNS. Expliquer la différence avec la commande ipconfig /flushdns.
Définir un suffixe DNS sur une machine en groupe de travail (Panneau de configuration | Propriétés Systèmes | Nom de l’ordinateur | Avancé).
Faire un ipconfig /registerdns. Que fait cette commande ?
Aller dans les paramètres avancés TCP/IP, onglet DNS et désactiver la case « Enregistrer les adresses de cette connexion dans le système DNS ».
Créer une entrée dans le fichier HOST et faire un ipconfig /displaydns.
Se mettre par deux. Créer la zone « . » sur le serveur 1. Créer une nouvelle délégation pour la zone « fr » en indiquant l’IP du serveur 2.
Sur le serveur 2, créer la zone « fr » et le sous domaine google. Créer un entrée www dans « google.fr ». Faire un ping www.google.fr depuis le serveur 1 et 2.

Les notions fondamentales 1/2

Forêt (symbole : rectangle) : limite de réplication et de sécurité. Ensemble d’arborescences de domaine. Créer deux forêts pour séparer deux entités pour des raisons de sécurités (créer ensuite une relation d’approbation avec authentification sélective).
Arborescence de domaine (symbole plusieurs triangles reliés ensemble) :
Ensemble de domaine avec une même racine de noms (noms contigus).
Domaine (symbole : triangle) : contient les objets (comptes utilisateur / ordinateur, groupes, unités d’organisation…).
Unité d’organisation (OU, symbole : le rond) : C’est un conteneur. Permet d’organiser l’annuaire, déléguer l’administration et créer des objets de stratégie de groupe.
DCPROMO : permet de convertir un serveur en groupe de travail / membre du domaine en un contrôleur de domaine et inversement (exécuter DCPROMO sur un contrôleur de domaine).
Serveur de Catalogue global : contient un réplique partielle de tous les objets de la forêt (que certains attributs). Permet de résoudre les membres des groupes universels et de faire de recherche dans l’annuaire.
SYSVOL : répertoire spécial contenant les scripts et les GPO qui répliquent sur tous les contrôleurs de domaine.
NTDS.DIT : il s’agit de la base de données Active Directory (NTDS : New Technology Directory Service). Cette base est un dérivé des bases JET (moyennement fiable mais très rapide en lecture).
Compte de restauration des services d’annuaires : un contrôleur de domaine n’a plus de base SAM locale. Le compte de restauration des services d’annuaire permet de démarrer en mode restauration des services d’annuaire sur un résidu de base SAM. Cela peut être utile pour effectuer certaines opérations de maintenance pour Active Directory (restauration…).
Exportation des paramètres : permet de créer un fichier de réponse au format TXT pour faire une installation en mode « Serveur CORE » (Windows 2008 R2 sans interface graphique).
Toujours faire un domaine dans une forêt sauf :
➢ Si les administrateurs ne doivent pas pouvoir gérer toutes les ressources.
➢ Si vous devez avoir un nom NETBIOS différent pour chaque entité. Il n’existe pas d’équivalent des suffixes UPN pour le nom NETBIOS. L’alternative est de faire en sorte que les utilisateurs ouvrent une session avec le nom DNS de domaine.
➢ En mode natif 2008, il est possible de créer plusieurs stratégies de mots de passe alors qu’en mode natif 2003 on ne peut créer qu’une stratégie de mot de passe par domaine.
Best Practice :
➢ Faire un domaine dans une forêt puis créer une OU par entités / services.
➢ Ne pas dépasser 4 à 5 niveaux d’imbrication pour les OU si possible.
➢ Déléguer l’administration au niveau des unités d’organisation.
➢ Faire une OU pour les comptes ordinateurs et une autre pour les comptes utilisateurs. Mapper les GPO sur ces OU.

Le choix des noms de domaine

Un domaine Active Directory dispose toujours de deux noms :
Le nom NETBIOS : permet aux stations antérieurs à Windows 2000 de se connecter au domaine.
Le nom DNS : peut être utilisés par les stations de travail ≥ Windows 2000.
Le nom NETBIOS et le nom DNS peuvent être complètement différents.
Le nom NETBIOS apparaît au niveau du champ « Se connecter à » sur les machines Windows NT4, 2000, XP et 2003.
En mode natif 2003, on peut renommer un domaine Active Directory (utilitaire RENDOM). Cela est très déconseillé, voir impossible (avec Exchange 2007).

Les Best Practice :

Définir un nom de domaine DNS générique qui ne reprend pas le nom de la société (sauf si la probabilité que le nom de domaine change est très faible).
Utiliser les suffixes UPN pour ajouter des noms de domaine DNS.
Choisir un nom NetBIOS qui définit l’activité de la société.
Attention, pas de nom de domaine DNS de type SINGLE LABEL DNS NAME.

Attention aux choix de votre nom de domaine Active Directory !


http://www.msexchange.org/tutorials/Domain-Rename.html
http://support.microsoft.com/kb/925822/en-us

Les modes de domaine

Définit qui peut être contrôleur au niveau d’un domaine. Débloque des fonctionnalités (groupes globaux membres d’autres groupes globaux…). Pas de retour arrière possible.

1. Présentation de Windows Server
 Les nouveautés
 Les Best Practice
2. Présentation Active Directory
 Qu’est ce qu’un annuaire
 Les notions de forêt / domaine / OU / schéma Active Directory
3. Les comptes utilisateurs
 Propriétés d’un compte utilisateur
 Les modèles de compte utilisateur
4. Les comptes ordinateurs
 Présentation compte ordinateur
 Joindre un domaine
5. Les groupes
 Les étendues et les types de groupe
 Les Best Practice
6. Les Unités d’organisation
 Présentation générale
 Délégation d’administration
7. Les stratégies de groupe
 Les grands principes
 Présentation de GPMC
 Les outils de diagnostics
8. Les mécanismes de réplication
 Présentation de la console Sites et Services Active Directory
 La topologie de réplication
9. Sauvegarde et restauration Active Directory
 Sauvegarde Active Directory
 Restauration autoritaire / la corbeille Active Directory
10. Notions avancées Active Directory
 Les outils de supervision / dépannage (DCDIAG, ASIEDIT, REPMON, REPADMIN)
11. Les services réseaux
 Le service DHCP
 Le service WINS
12. Sécuriser son annuaire Active Directory
 Les bonnes pratiques pour sécuriser un annuaire Active Directory

Administration Active DirectoryTélécharger le cours complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *