Professional Documents
Culture Documents
ECOLE SUPERIEURE
ET D’APPLICATION
DES TRANSMISSIONS
division management
et systèmes d’information
WINDOWS 2000
COURS SYSTEME
ADMINISTRATION AVANCEE
Un groupe est en général un ensemble de comptes d’utilisateur; on utilise des groupes pour
gérer l’accès aux ressources du domaine. On peut utiliser les groupes séparément ou
imbriquer des groupes.
Préfixe @ Suffixe
Un utilisateur peut ouvrir une session avec un nom principal d’utilisateur ou un nom
d’ouverture de session d’utilisateur (pré-Windows 2000).
- Dans les zones Mot de passe et Confirmer le mot de passe, tapez le mot de passe
de l'utilisateur.
- Sélectionnez les options de mot de passe appropriées.
Vous pouvez utiliser les autres options pour configurer des informations spécifiques à la
sécurité pour les comptes d'utilisateurs Active Directory:
Carte à puce requise pour l'ouverture de session interactive
Le compte est approuvé pour la délégation
Le compte est sensible et ne peut pas être délégué
Utiliser les types de cryptages DES pour ce compte
Ne nécessite pas la pré-authentification Kerberos
Sélectionnez l'option Carte à puce requise pour l'ouverture de session interactive pour
enregistrer en toute sécurité des clés publiques et privées, des mots de passe et autres
types d'informations personnelles pour ce compte d'utilisateur. Un lecteur de cartes à puce
doit être attaché à l'ordinateur de l'utilisateur et celui-ci doit avoir un code PIN (personal
identification number) pour pouvoir se connecter au réseau.
Sélectionnez l'option Le compte est sensible et ne peut pas être délégué si ce compte ne
peut pas être affecté à la délégation par un autre compte.
Sélectionnez l'option Utilisez les types de cryptages DES pour ce compte si vous avez
besoin du cryptage DES (Data Encryption Standard). DES prend en charge plusieurs
niveaux de cryptage, notamment le cryptage MPPE standard (40 bits), MPPE standard
On peut en effet créer des comptes, des groupes etc. dans les unités d’organisation; cette
méthode permet d’améliorer la vision du domaine et son administration.
La console permet de plus le déplacement des comptes d’une unité d’organisation à une
autre, d’un groupe à un autre.
Remarques: Utilisateurs et ordinateurs Active Directory ne peut pas déplacer les comptes
d'utilisateurs d'un domaine à l'autre. Pour déplacer un compte d'utilisateur d'un domaine à
l'autre, utilisez Movetree, un des outils d'assistance de Active Directory.
La commande LDIFDE permet d'exporter et importer des fichiers qui utilisent le format LDIF,
c’est-à-dire délimité par des sauts de ligne.
Le format CSV est constitué d'une ou plusieurs lignes de données, chaque valeur étant
séparée par une virgule. La première ligne (parfois appelée en-tête) du fichier CSV doit
contenir les noms de chaque attribut dans le même ordre que les données de n'importe
quelle ligne qui suit la première ligne.
DN = nom complet
+ chemin
displayname
User PrincipalName
SAMAccountName
Exemple:
DN,SAMAccountName,userPrincipalName,telephoneNumber,userAccountControl,objectClass
"CN=felix toto,OU=windows,OU=systeme,DC=dmsi, DC=esat, DC=terre
DC=def",toto,toto@dmsi.esat.terre.def,821-354-007,512,user
Attribut Valeur
DN (nom unique) CN = felix toto,OU=windows,OU=systeme,DC=dmsi, DC=esat, DC=terre
DC=def
SAMAccountName Toto
userPrincipalName toto@dmsi.esat.terre.def
telephoneNumber 821-354-007
userAccountControl 512: cette valeur active le compte; la valeur 514 le désactive
objectClass user
Exemple:
DN: CN=felix toto,OU=windows,OU=systeme,DC=dmsi, DC=esat, DC=terre DC=def
objectClass: -user
SAMAccountName: toto
userPrincipalName toto@dmsi.esat.terre.def
userAccountControl 512
Ces options sont accessibles dans la console Utilisateurs et ordinateurs Active Directory
Groupes de sécurité
Permettent d'accorder ou de
refuser des droits
et des autorisations
Groupes de distribution
Permettent d'envoyer du courrier
électronique
Les groupes de sécurité sont répertoriés dans des DACL (discretionary access control lists)
utilisées pour définir les autorisations sur les ressources et les objets. Les groupes de
sécurité peuvent également être utilisés comme une entité de courrier électronique. Lorsque
vous envoyez un message de courrier électronique à un groupe, ce message est envoyé à
tous les membres du groupe.
Les groupes de distribution peuvent être utilisés uniquement avec des applications de
courrier électronique (par exemple Microsoft Exchange) pour envoyer du courrier à un
ensemble d'utilisateurs. La sécurité n'est pas activée sur les groupes de distribution. Ils ne
peuvent pas être répertoriés dans des DACL (discretionary access control lists).
Groupes
Groupesde
dedom
domaine
ainelocal
local
MMem
embres
bres d'un
d'un dom
domaine
ainequelconque
quelconque de
dela
la
forêt
forêt
Perm
Permettent
ettent d'accéder
d'accéder aux
aux ressources
ressources d'un
d'un
dom
domaine
aine
Groupes
Groupes globaux
globaux
M
Mem
embres
bres de de leur
leur propre
propredom
domaine
aine
uniquem
uniquement
ent
Perm ettent d'accéder aux ressources
Permettent d'accéder aux ressources d'un
d'un
dom
domaine
ainequelconque
quelconque
Groupes
Groupesuniversels
universels
MMem
embres
bres d'un
d'un dom
domaine
aine quelconque
quelconque dedela
la
forêt
forêt
Perm ettent d'accéder aux ressources
Permettent d'accéder aux ressources d'un d'un
dom
domaine
ainequelconque
quelconque
Ces groupes sont utilisés dans les grandes entreprises. Chaque fois que l’on modifie un
groupe universel, il faut répliquer ces modifications sur tous les catalogues globaux de la
forêt.
Un domaine Windows 2000 doit être en mode natif pour utiliser les groupes universels.
Les conversions suivantes sont autorisées dans les domaines en mode natif:
• Global vers universel. Cette conversion n'est toutefois autorisée que si le groupe
n'est pas membre d'un autre groupe ayant une étendue globale.
• Domaine local vers universel. Cependant, le groupe qui va être converti ne peut
pas avoir comme membre un autre groupe ayant une étendue de domaine local.
DLG
1
1 Ajouter les comptes d ’utilisateurs de domaine à des groupes globaux
2
2 (Facultatif) Ajouter les groupes globaux à un autre groupe global
3
3 (Facultatif) Ajouter les groupes globaux à un groupe universel
4
4 Ajouter les groupes globaux ou le groupe universel à un groupe local
5
5 Affectez les autorisations sur les ressources au groupe local de domaine
1.10. Conseils
Demandez aux utilisateurs de se servir de leur nom principal (toto@dmsi.esat.terre.def)
dans ce cas leur compte peut être déplacé d’un domaine à un autre sans difficulté.
Désactiver les comptes d’utilisateurs importés en bloc tant qu’ils ne sont pas
nécessaires.
Active Directory peut stocker toutes les informations propres aux objets du réseau et les
mettre à disposition, les publier, pour les rendre accessibles à tous les utilisateurs. Les
ressources pouvant être publiées dans l'annuaire comprennent des objets tels que des
utilisateurs, des ordinateurs, des imprimantes, des fichiers et des services réseau.
La procédure diffère un peu selon que l’on est sur un contrôleur de domaine ou une station.
Sur un contrôleur du domaine, il faut utiliser la stratégie de groupe:
- lancer la console Utilisateurs et Ordinateurs Active Directory
- sélectionner l’item « Domain Controllers » et l’option Propriétés
Dans cet exemple, on publie l’imprimante partagée sous le nom nt_agfa sur le
serveur NT4.0 nommé pdc_nt1; il s’agit ici d’un contrôleur principal de domaine, du
domaine NT DOM_NT1. Ce domaine est approuvé et approuve le domaine Windows
2000 nommé DMSI.esat.terre.
L’imprimante apparaît dans la console; dans cet exemple, elle est publiée pour l’UO
Système.
Remarque: attention aux options d’affichage de la console; en tant
qu’administrateur, sélectionner les options d’affichage des objets en tant que
conteneurs et l’option d’affichage des informations détaillées.
Pour publier une imprimante partagée IMP du serveur d’impression NT4 SVR_NT, dans
l’unité d’organisation SECRETARIAT du domaine esat.terre.def, tapez l’invite:
On pourra aussi déplacer les imprimantes dans une UO dédiée à la gestion des ces
imprimantes; l'administration des ces imprimantes sera alors déléguée, avec les permissions
requises, à un utilisateur désigné du domaine.
Après avoir choisi l’option Déplacer puis l’UO cible Programmation, l’imprimante est
déplacée.
Toutes les actions possibles sur les UO seront ainsi appliquées également à cette
imprimante.
Pour implémenter les emplacements d'imprimante, le réseau Windows 2000 doit satisfaire
aux conditions suivantes:
- un réseau Active Directory avec au moins un site et 2 sous-réseaux IP; ces sous-
réseaux sont utilisés pour identifier l'emplacement physique d'une imprimante.
- Un modèle d'adressage correspondant à la disposition géographique et physique du
réseau.
- Un objet sous-réseau pour chaque site dans Active Directory.
- Des ordinateurs clients capables d'effectuer des recherches dans Active Directory.
La configuration du suivi des emplacements est accessible par les Stratégies de groupe.
2.4.1. Publication
La publication de dossiers partagés est assurée par la console Utilisateurs et Ordinateurs
Active Directory.
Dès que le dossier est publié, il apparaît dans la console; on voit dans l’exemple le dossier
Films KSO:
On peut le voir dans l'exemple ci-dessous. Le dossier Drivers est partagé avec des
permissions NTFS particulières. L'objet Drivers publié possède une ACL différente!
Après avoir modifié les options d'affichage de la console (dans le menu Affichage,
Sélectionner l'option Utilisateurs, groupes et ordinateurs en tant que conteneurs), on
visualise les onglets Objet et Sécurité d'un clic droit sur le dossier publié:
Les ACL Active Directory permettent de contrôler les informations de l'objet; description,
mots clefs etc.
Rappel:
- une autorisation est une règle associée à un objet en vue de déterminer les
utilisateurs qui peuvent accéder à l'objet et son utilisation.
- Les droits sont des tâches qui peuvent être exécutées par un utilisateur sur un
ordinateur ou dans un domaine, notamment la sauvegarde de fichiers et de dossiers,
l'ajout ou la suppression d'utilisateur sur une station de travail dans un domaine, ainsi
que l'arrêt d'un ordinateur. Les droits peuvent être accordés à des groupes ou à des
comptes d'utilisateurs, mais il est préférable de les réserver aux groupes.
Liste
ListeDACL
DACL Descripteurdesécurité
En-tête
Identifie
Identifie les
les entités
entités de
de sécurité
sécurité
autorisées
autoriséesouou nonnonàà accéder
accéder ,,etetle
le SIDdupropriétaire
niveau
niveaud’accès
d’accèsautorisé
autoriséou
ourefusé
refusé
SIDdegroupe(pour
MAC etPOSIX)
ListeDACL
Entrées ACE
Liste
Liste SACL
SACL
Contrôle ListeSACL
Contrôle lala façon
façondont
dontl’accès
l’accès àà
l’objet
l’objet sera
sera audité
audité Entrées ACE
3.1.4. Héritage
Dans Windows 2000, les entrées de contrôle d'accès qui peuvent être héritées (pas de
blocage de l'héritage) passent d'un objet parent à un objet enfant lorsque l'un des ces trois
événements se produit:
- un objet enfant est créé
- la DACL de l'objet parent est modifiée
- la SACL de l'objet parent est modifiée
Dans l'exemple suivant, on visualise les autorisations pour l'UO Programmation que l'on a
créée. On distingue les autorisations standard:
Les autorisations refusées sont prioritaires sur toutes les autres autorisations. Refuser une
autorisation à un utilisateur permet d'exclure un utilisateur d'un groupe auquel on aurait
accordé des autorisations particulières.
Remarque: on peut utiliser l'outil showaccs pour contrôler ou réinitialiser les autorisations.
(Voir également sidwalker).
L'héritage des autorisations peut être bloqué; on empêche l'héritage lorsque l'on souhaite
définir des autorisations sur des objets enfants plus restrictives.
Pour changer la possession d'un objet, il suffit de cliquer sur un des comptes utilisateurs
afficher dans la fenêtre Propriétaire (voir plus-haut).
Pour attribuer les autorisations au niveau de l'unité d'organisation, il faut utiliser l'assistant
Délégation de contrôle. Dans cet exemple, on veut déléguer le contrôle de l'administration de
l'unité d'organisation Programmation.
Il faut ensuite sélectionner les tâches à déléguer; on peut se limiter aux tâches courantes ou
à des tâches personnalisées en sélectionnant l'option adéquate.
Sélectionner ensuite l'utilisateur auquel on a délégué des tâches, puis cliquez sur le bouton
Avancé:
4. Conseils
- Utilisez les autorisations Refuser le moins possible: si vous utilisez ce
type d'autorisation, c'est que les autorisations en amont sont incorrectes.
- Assurez-vous que les utilisateurs délégués assument leurs responsabilités: en tant
qu'administrateur, vous êtes seul responsable.
- Formez les utilisateurs délégués.
- Ajoutez les MMC personnalisées sur votre bureau.
- Si vous administrez à partir de plusieurs ordinateurs, enregistrez une copie des
fichiers des consoles personnalisées sur un répertoire partagé. Vous pourrez les
utiliser sur tout ordinateur qui dispose des composants logiciels enfichables
nécessaires (adminpack.msi)
- Il est conseillé de déléguer aux groupes plutôt qu'aux utilisateurs: on peut ensuite
ajouter des utilisateurs dans les groupes.