10 Ad

ACTIVE DIRECTORY
Active Directory
Qu'est-ce qu'un service d'annuaire?
Un annuaire est une base de donnes hirarchique, optimise pour la
lecture, et consultable travers un rseau.
Les donnes d'un annuaire sont de nature diverses. L'objectif de l'annuaire
est de centralise les donnes d'une organisation, vitant ainsi la
redondance, garantissant la mise jour des donnes, et rduisant les cots
d'administration.
Le service d'annuaire devient ds lors la tour de contrle du systme
d'exploitation distribu.
2
AD : Qu'est-ce qu'un service

d'annuaire?
Le service d'annuaire va donc constituer un moyen d'organiser et de
simplifier l'accs aux ressources.
En effet, l'interrogation de l'annuaire pour connatre la localisation d'un
objet ne ncessite pas de connatre son chemin exact, on peut effectuer
une requte sur une partie des attributs de l'objet pour le retrouver.
l'annuaire est donc la fois destin aux administrateurs et aux utilisateurs.
AD : Caractristiques
Caractristiques
Centralisation des donnes : les donnes rsident dans une base de
donnes distribue, accessible aux utilisateurs travers le rseau.
La centralisation des donnes rduit les cots d'administration, vite la
redondance des donnes, diminue les cots de rplication. Amliore
l'organisation des donnes.
Simplicit administrative : par opposition au modle de domaine

Windows NT4, les domaines Active Directory reposent sur des structures
organisationnelles hirarchiques. Cela facilite la localisation de
ressources ainsi que le contrle des privilges administratifs.
Intgration du DNS : Active Directory et DNS utilisent la mme
structure hirarchique. Les clients Active Directory utilisent DNS pour
localiser les ressources, les contrleurs de domaine.
Le service DNS peut utiliser AD pour stocker ses zones.
Gestion centralise des clients : Afin de diminuer les cots
d'administration des clients, AD offre des technologies pour la
configuration des clients ou la mobilit des utilisateurs.
Administration base sur des stratgies : Les stratgies dans AD
dfinissent les actions ralisables par les utilisateurs (notamment la
dlgation), facilitent le dploiement d'applications, les mises jour...
Rplication des informations : Active Directory utilise la rplication
multimaitre pour rpliquer les donnes qu'il stocke. Tolrance de panne,
disponibilit
Scurit intgre : base sur les ACL, permet le contrle d'accs aux
objets, offre des mcanismes d'authentification comme kerberos, ssl/tls
Interoprabilit avec d'autres systmes d'annuaire, AD repose sur le
standard LDAP V3.
Structure Logique
Structure logique
L'organisation des ressources dans AD, se fait travers une structure
logique, reflet du modle organisationnel de votre environnement. Cette
structure logique rend transparent pour les utilisateurs, la structure
physique du rseau.
Structure Logique
Fort
Domaine
Domaine
Domaine
Domaine
Domaine
OU
OU
OU
OU
OU
OU
9
Structure Logique
Domaine :
Unit fondamentale de la structure logique, un domaine peut contenir
plusieurs millions d'objets. Les objets sont les ressources du rseau.
Chaque domaine stocke uniquement les informations sur les objets qu'il
contient.
Tous les objets du rseau existent dans un domaine
10
Structure Logique
Un domaine reprsente une limite administrative de scurit. Les ACL,

permettent de limit l'accs aux objets du domaines aux seuls utilisateurs
autoriss.
Exemples d'objets : fichiers, dossiers partags, imprimantes....
On parle de limite administrative, car en aucune manire, les stratgies et
les paramtres de scurit, ne peuvent s'tendre au del du domaine.
Un utilisateur d'un domaine A, n'aura pas de droits d'administration dans
un domaine B.
11
Structure Logique
Niveau fonctionnel :
Windows 2000 mixte
Permet la compatibilit entre des contrleurs de domaine Windows NT4
et windows 2000 2003
Windows 2000 natif
Permet d'entrer en interaction avec des contrleurs de domaine Windows
2000 ou Windows 2003
Windows server 2003
permet uniquement l'interaction entre des contrleurs de domaine
windows 2003.
12
Structure Logique
Arborescences :
On parle d'arborescence quand on a une organisation hirarchique de
domaines.
La structure hirarchique est base sur des relations parent/enfant entre
les domaines. Les domaines d'une arborescence, partagent un espace de
nom contigu. Cet espace de nom est bas sur la norme DNS.
L'arborescence que vous voulez crer doit reflter l'organisation de votre
entreprise.
13
Structure Logique
Forts :
Une fort est un regroupement d'une ou plusieurs arborescences de
domaines, totalement indpendantes.
Tous les domaines d'une fort partagent le mme schma
Tous les domaines d'une fort partagent un catalogue global commun.
14
Structure Logique
Tous les domaines d'une fort sont lis par des relations d'approbation
transitives et bidirectionnelles.
Les arborescences d'une fort possdent des structures de nommage
diffrentes en fonction de leur domaine d'appartenance.
Les domaines d'une fort fonctionnent indpendamment les uns des
autres, mais la fort autorise la communication sur l'ensemble de
l'organisation.
15
Structure Logique
Organizational unit / Unit d'organisation :

Il s'agit d'un objet conteneur qui permet d'organiser les objets de
l'annuaire. Les OU permettent de raliser des tches administratives
comme la gestions des utilisateurs, la dlgation...
16
Structure Logique
France
Paris
Nice
USA
N-York
Boston
Structure OU base sur la localisation

gographique
17
Structure Logique
Direction
RH
Finance
Dvel
System
Appli
Structure OU base sur l'organisation

fonctionnelle de l'entreprise
18
Structure Logique
Users
Users
Computers
Groupes
Stations
Serveurs
Ressources
Printers
Appli
Structure OU base sur les types d'objet
19
Structure Logique
France
Admin
Devel
USA
Admin
Devel
Structure OU mixte
20
Structure physique
Structure physique
Sites et contrleurs de domaine constituent les lments physiques
d'Active Directory.
21
Structure physique
Sites
Un site est une combinaison de sous-rseaux IP relis par une liaison
fiable et rapide. En gnral, un site les mmes limites qu'un rseau
local.
Les sites ne font pas partie de l'espace de nom d'Active Directory. Un site
ne contient que des objets ordinateurs et des connexions.
Un domaine peut s'tendre sur plusieurs sites.
Un site peut contenir plusieurs domaines.
22
Structure physique
Contrleurs de domaine
Un DC est un ordinateur qui excute Windows 2003 server et AD
Un service KDC (authentification KERBEROS)
le stockage des partitions de l'annuaire
les partitions de l'annuaire sont les segments logiquement distribus
d'AD et rpliqus.
une partition pour le domaine (plusieurs domaines par fort)
une partition pour le schma (un schema par fort)
une partition pour le conteneur de configuration :(1 par fort)
23
Structure physique
Un contrleur de domaine stocke une rplique de l'annuaire du domaine.

Un contrleur de domaine ne peut servir qu'un seul domaine.
Fonctions d'un contrleur de domaine:
Un contrleur de domaine stocke une rplique des informations d'Active
Directory et rplique ses modifications sur les autres contrleurs de
domaine du domaine.
24
Structure physique
Les rplications entre contrleurs du domaine sont automatiques et
s'effectuent intervalles rguliers, paramtrables et dfinis par
l'administrateur.
Certaines mises jour sont immdiates comme la dsactivation d'un
compte.
Active Directory utilise la rplication dite multimatre. Aucun contrleur
de domaine n'est matre. Les contrleurs de domaine peuvent contenir des
informations diffrentes pendant un temps trs court jusqu'au moment de
la synchronisation.
La mise en place de plusieurs contrleurs de domaines sur le rseau
permet de faire la tolrance aux pannes.
25
Structure physique
Informations rpliques :
Les informations stockes dans l'annuaire (ntds.dit) sont logiquement
partitionnes en 4 catgories. Une partition d'annuaire est considre
comme un contexte de nommage.
Partition de schma : Cette partition dfinit les objets qui peuvent tre
crs dans l'annuaire et les attributs dont ils peuvent tre dots. Ce sont
des donnes communes tous les domaines d'une fort.
26
Structure physique
La partition de configuration : dcrit la structure logique du
dploiement, y compris les donnes telles que la structure du domaine ou
la topologie de rplication.
La partition de domaine : dcrit tous les objets du domaine.
La partition d'application : stocke les donnes spcifiques aux
applications. Cette partition peut contenir tout type d'objets l'exception
des entits de scurit (utilisateurs, groupes et ordinateurs).
27
Structure physique
Un contrleur de domaine stocke et rplique :

les donnes et partitions de schma de la fort
les donnes de la partition de domaine pour le domaine concern.
28
Structure physique
Un catalogue global stocke et rplique :

Les donnes et partitions de schma de la fort
Les donnes de la partition de configuration de tous les domaines
d'une fort
29
Structure physique
Le catalogue global:
C'est le dpt central des informations relatives aux objets d'une
arborescence ou d'une fort. Par dfaut un catalogue global est cr sur le
premier contrleur de domaine d'une fort. Ce contrleur de domaine est
serveur de catalogue global.
Il permet un utilisateur d'ouvrir une session sur le rseau en fournissant
au contrleur de domaine concern des informations d'appartenance des
groupes universels lors du processus d'ouverture de session.
Il permet de retrouver des informations d'annuaire quelque soit le
domaine de la fort contenant les vritablement les donnes.
30
Rles de Matre d'oprations

Il s'agit de rles spciaux attribus un ou plusieurs contrleurs de
domaine. Ces rles sont connus sous la dnomination FSMO pour
Flexible Single Master Operations .
Les contrleurs de domaine qui dtiennent ces rles effectuent une
rplication matre unique.
31
Cette opration de rplication s'oppose la rplication de la base Active

Directory qui s'effectue en mode multimatre.
Dans le mode rplication matre unique, des oprations dfinies ne
peuvent pas se produire en mme temps plusieurs endroits du rseau.
Au sein d'une fort on peut distinguer cinq rles, attribus au moins un
contrleur de domaine.
32
Rles uniques au sein d'une fort :

Contrleur de schma : Le contrleur de domaine qui dtient ce rle
contrle toutes les mises jour du schma.
Matre d'attribution des noms de domaine :
le contrleur de domaine qui dtient ce rle contrle l'ajout ou la
suppression des domaines dans la fort.
33
Rles uniques dans un domaine :

Matre RID :
le matre RID alloue des ID relatifs chacun des contrleurs de domaine
du domaine.
Quand un utilisateur est cr par un contrleur de domaine, il utilise le
SID du domaine auquel il ajoute un ID relatif qui est donc distribu par le
Matre RID.
34
mulateur PDC:
Si le domaine contient des contrleurs de domaine secondaire Windows
NT4, l'mulateur PDC joue le rle de contrleur de domaine Principal.
Matre d'infrastructure :
Le matre d'infrastructure est responsable de la mise jour des rfrences
groupe-utilisateur, aprs un renommage ou un dplacement par exemple
d'un membre d'un groupe.
35

Attribuez les rles chaque
contrleur de domaine de la
fort.
F
36
Relations d'approbation
Ce mcanisme de relation d'approbation permet aux processus
d'authentification de chaque domaine d'assurer aussi l'authentification
pour tous les autres domaines.
ATTENTION: l'authentification est diffrent du contrle d'accs.
37
Relation d'approbation Transitives et non transitives

Dans windows NT les relations d'approbation sont explicites sens
unique ou bidirectionnelles et non transitives.
partir de windows 2000 les relations deviennent bidirectionnelles,
transitives et automatiques entre domaines de la mme fort.
38
utilisateur authentifi de A
accde aux ressources de C
utilisateur authentifi de C
accde aux ressources de B
B
39
Il y a approbation complte entre tous les domaines. Des Relations
d'approbation non transitives peuvent tre cres entre Domaines mais de
faon explicite.
Les Relations d'approbation sous W2K rduisent le temps de gestion en
diminuant leur nombre et du fait qu'elles sont automatiques.
voici un schma quivalent, de relations d'approbation dans un modle
NT
40
A
41
Types de Relations d'approbation.

Arbre-Racine:
tablie lors de l'ajout d'un nouvel arbre une fort.

cre automatiquement
entre les racines de deux arbres d'une mme fort
elle est transitive et bidirectionnelle.
42
A
Relation d'approbation de raccourci

B
Ra
cc
ou
r
ci
entre deux domaines quelconques de la mme fort.

manuellement dans chaque direction
Doit tre transitive.
E
43
Parent-enfant: tablie pour un nouveau domaine dans un arbre
cre automatiquement
entre deux domaines dans le mme arbre et dans le
mme espace de noms.
le domaine parent est toujours approuv par le domaine
enfant
elle est transitive et bidirectionnelle.
La nature transitive et bidirectionnelle des RA permet la rplication
de l'information de l'annuaire global dans toute la hirarchie.
44
Relation d'approbation externe

cre entre deux domaines de forts diffrentes.
Sens unique.
installe dans chaque direction
non transitive.
45
Relation d'approbation de royaume kerberos non windows

Interoprabilit
employe par KRB v5
Sens unique par dfaut
non transitive par dfaut
KRB unix vers KRB windows : KRB unix fait confiance aux
principaux de scurit du domaine W2K
46
KRB win vers KRB unix

mise en correspondance de comptes dans AD employe pour
mettre en correspondance une identit trangre de KRB dans un
royaume d'aprobation non windows avec une identit locale de
compte dans un domaine W2K
cette identit est exige parce que les tickets KRB unix ne
contiennent pas toutes les donnes d'autorisation ncessaires
pour windows.
47
Nommage des objets
Nommage des objets

AD est un annuaire compatible avec la norme LDAP X500. Depuis la
version windows 2003 la classe inetorgperson a t incluse.
Les noms des objets respectent le standard des noms LDAP RFC 1779 et
2247
48
Nommage des objets

Le nom unique (Distiguished Name)
Le chemin d'accs complet un objet est appel DN
Le nom de l'objet sans son chemin d'accs est le Relative Distiguished
Name.
Le DN est non ambigu et unique.
ex : cn= bob dylan, ou= user, dc= domain, dc=com
49
Nommage des objets
deux objets peuvent avoir le mme RDN mais pas le mme DN

cn = common name = de la classe user
ou = nom d'OU= de la classe organizationalUnit
dc = composant de domaine = de la classe domain.
50
Nommage des objets

Identit de classe
un objet est connu dans et par AD par son identit.
un objet peut tre dplac ou renomm, son DN changera mais pas son
identifiant.
Chaque objet possde donc un identifiant unique global: GUID
le GUID est un nombre de 128 bits assign par le DSA (directory service
agent) lors de la cration de l'objet.
Le GUID ne change jamais. Il est utilis en interne pour identifier l'objet.
51
Nommage des objets

Nom de connexion
un nom unique de connexion est exig pour accder un domaine.
un utilisateur a deux types de noms de connexion
un nom de compte SAM pour la compatibilit avce NT
Un nom principal d'utilisateur (UPN) = nom_abrg @ nom_dns
52
Nommage des objets
exemple:
DN: cn=bob dylan, ou=users, dc=domain,dc=com
UPN = bdylan@domain.com
53
Les objets Active Directory

Un objet peut tre vu comme un jeu d'attributs, dot d'un nom
unique, et qui reprsente une ressource du rseau.
Certains objets conteneurs, peuvent contenir d'autres objets.
54
Schma Active Directory :

Le schma d'un annuaire, contient la dfinition des objets de l'annuaire.
Par exemple un objet Utilisateur, doit contenir un nom qui a pour
caractristique d'tre une chane de caractres, il peut avoir un numro de
tlphone qui sera un attribut numrique...
Ces ensembles du schma qui dcrivent les objets sont les classes. Un
objet n'est rien d'autres qu'une instance d'une classe du schma.
55
Les comptes utilisateurs :

Un compte utilisateur est un enregistrement qui runi les
informations dfinissant un utilisateur, comme son nom et son mot
de passe.
L'authentification d'un domaine Windows 2003 se base sur les
comptes utilisateurs centraliss dans Active Directory
56
travers un processus d'ouverture de session unique un utilisateur

du domaine accde aux ressources du domaine sans avoir se
r-authentifier.
Sous windows 2003 server trois types de comptes utilisateurs sont
disponibles : Locaux, de domaine et prdfinis.
57

Comptes utilisateurs locaux :
Ce type de compte permet un utilisateur d'ouvrir une session sur
un ordinateur o le compte est dfini et d'accder aux ressources
de cette machine.
Ces comptes sont stocks dans la base SAM de l'ordinateur.
Ces comptes ne sont pas rpliqus vers les contrleurs de
domaine.
Ces comptes n'auront pas d'accs aux ressources du domaine.
58
Comptes utilisateurs du domaine :

Ce type de compte permet un utilisateur d'ouvrir une session sur
un domaine et d'accder aux ressources de ce domaine.
l'ouverture de session, un jeton d'accs est gnr permettant
d'identifier l'utilisateur et les groupes auquel il appartient avec les
SID.
59
Ces comptes sont stocks dans Active Directory et sont rpliqus

sur tous les contrleurs de domaine.
Un compte utilisateur du domaine peut donc tre authentifi depuis
n'importe quel contrleur du domaine.
60
Les comptes utilisateurs prdfinis :

Les comptes prdfinis sont des comptes crs automatiquement,
comme les comptes administrateur et invit.
Ils ont gnrs lors de l'installation du systme, la cration d'un
domaine, ou encore, lors de l'installation d'un service.
61
Les profils utilisateur :

Un profil utilisateur est une arborescence de rpertoires et un
ensemble de donnes stockant l'environnement de travail d'un
utilisateur.
Un profil va contenir les prfrences et les options de configuration
d'un utilisateur.
62

Voici une liste non exhaustive de rpertoires et de paramtres
stocks par le profil :
- Mes documents : documents de l'utilisateur
- Paramtres de l'explorateur windows
- Mes images et Ma musique
- Les favoris Internet explorers
63
- Les lecteurs rseau

- Le contenu du bureau
- Paramtres des applications.
64
Le profil est stock traditionnellement dans c:\Documents and

settings\Nom_Utilisateur
Ce dossier contient un fichier nomm ntuser.dat qui est une ruche
du registre, charg dans en tant que cl sous HKU.
Lors de la connexion de l'utilisateur cette cl est active dans
HKCU.
65

Les types de profils utilisateur :
On distingue quatre types de profils utilisateur :
- local
- Itinrant
- obligatoire
- temporaire
66

Profils utilisateur locaux :
Ce type de profil est stock sur un ordinateur local, et n'est
disponible que sur cet ordinateur.
Il est stock dans le rpertoire c:\ Documents and
Settings\Nom_utilisateur
L'utilisateur peut modifier son profil. Par exemple en modifiant ses
paramtres du bureau, ajouter un fichier son rpertoire Mes
Documents.
67
Les profils itinrants :

Un profil itinrant, la diffrence d'un profil local, est stock sur un
serveur et tlcharg par le client lors de l'ouverture de session.
L'avantage de ce type de profil provient du fait, qu'il est disponible
depuis n'importe quel ordinateur du domaine.
68
Les changements apports un profil itinrant lors d'une session,

seront sauvegards lors de la fermeture de session de l'utilisateur,
et disponibles lors de la prochaine session quelque soit la station
de travail.
Seules les modifications sont synchronises et tlcharges.
69

Les profils utilisateur obligatoires :
Un profil obligatoire est un profil itinrant en lecture seule.
Toute modification apporte au profil durant une session n'est pas
conserve.
C'est le paramtrage qui est en lecture seule, pas l'criture dans
les dossiers ou les fichiers.
Pour rendre un profil itinrant obligatoire il faut renommer la ruche
ntuser.dat en ntuser.man
70
Profils utilisateur temporaires :

Un profil temporaire est cr chaque fois que le chargement du
profil utilisateur est impossible.
Il est supprim la fin de la session.
Les changements apports aux paramtres du bureau ainsi que
les fichiers et rpertoires crs sont perdus.
71
Les groupes
Un groupe est un ensemble de comptes utilisateurs auxquels sont
assigns droits et permissions.
Un utilisateur peut faire partie de plusieurs de plusieurs groupes.
Un groupe peut hberger d'autres groupes.
72

Types de groupes :
Il existe deux types de groupes
Les groupes de scurit, qui permettent d'assigner des
autorisations d'accs aux ressources.
Les groupes de distribution, qui n'ont aucune fonction de scurit,
mais sont utiliser par des applications comme exchange pour
grer des listes de diffusion.
73

tendues des groupes :
- Groupes Globaux : servent organiser les utilisateurs.
- les membres de ce groupe proviennent du domaine.
- un groupe global permet d'accder des ressources de
la fort.
- Groupe de domaine local : servent assigner des
permissions
- Les membres de ce groupe peuvent provenir de
n'importe quel domaine de la fort.
- ce type de groupe est utilis pour assigner des
permissions uniquement sur les ressources du domaine
74
- Les groupes universels :

- permet d'assigner des autorisations d'accs des
ressources rparties dans plusieurs domaines de la fort.
- les membres de ce groupe proviennent de la fort.
- Uniquement disponible en mode natif.
75

- Les groupes locaux : un groupe local est dfini sur un
ordinateur.
- Il faut bien distinguer la notion de groupe local avec
celle de groupe de domaine local.
- l'utilisation de ces groupes doit tre rserve des
ordinateurs isols.
- dans un contexte de domaine, ces groupes empchent
la centralisation de l'administration des groupes et de
l'accs aux ressources.
76

Les groupes par dfaut :
Les quatre catgories de groupe par dfaut :
- Les groupes du dossier Builtin
- Les groupes du dossier Users
- Les groupes d'identits spciales
- Les groupes locaux par dfaut
77
Groupes du dossier Builtin :

Ces groupes ont une tendue de domaine local.
Ils servent assigner des responsabilits des utilisateurs du
domaine.
Exemples : Administrateurs, Users, Oprateurs de serveur,
Oprateurs de sauvegarde....
78

Groupes du dossier Users :
Ces groupes permettent de dfinir un jeu de paramtres par dfaut
pour des utilisateurs qui possdent des responsabilits
administratives.
Groupes d'tendue de domaine local : diteurs de certificats,
DnsAdmin...
Groupes d'tendue global : Admins du domaine, Invits du
domaine, Ordinateurs du domaine.
79
Groupes d'identits spciales :

Vous ne pouvez pas modifier les appartenances ces groupes.
L'tendue de groupe ne s'applique pas au groupe d'identits
spciales.
Le systme base l'appartenance ces groupes non pas sur des
utilisateurs, mais sur la manire d'accder l'ordinateur.
80

Par exemple :
Ouverture de session anonyme : tout utilisateur ouvrant une
session anonyme
Tout le monde : Les membres sont les utilisateurs authentifis et
les invits du domaine.
Utilisateurs authentifis : Tout utilisateur dont l'identit a t
authentifie lors de l'ouverture de session.
81

Groupes locaux prdfinis :
Vous retrouvez ce type de comptes sur les serveurs autonomes,
les serveurs membres et les stations de travail.
Ces groupes donnent aux utilisateurs membres des droits pour
effectuer des tches systme sur une machine.
Exemples : Administrateurs, Oprateurs de sauvegarde, Invits,
Utilisateurs, Utilisateurs avec pouvoir...
82

Les stratgies de groupe :
On peut dfinir une stratgie de groupe, comme un ensemble de
paramtres de configuration applicables aux utilisateurs et aux
ordinateurs.
Il est possible d'tablir des stratgies de groupe pour les
ordinateurs, les sites, les domaines, et les units d'organisation.
L'expression stratgie de groupe peut vous faire penser qu'on
peut tablir des stratgies pour les groupes d'utilisateurs
prcdemment vus. CE N'EST PAS LE CAS !!!
83

Les types de stratgies de groupe (Group Policy Object GPO)
GPO local :
- Ce type de GPO est hberg par un ordinateur local, qu'il
appartiennent ou pas un domaine.
- Ce type de GPO n'affecte que l'ordinateur qui l'hberge.
- Les paramtres d'un GPO local peuvent tre outrepasss par
un GPO non local si l'ordinateur appartient un domaine.
- Le GPO local est stock dans
%systemroot%\system32\GroupPolicy
84

GPO non local
Ce type de GPO est cr dans Active Directory et associ un
Site, un domaine ou une unit d'organisation.
Applicable des utilisateurs ou ordinateurs.
Lors de l'installation d'un contrleur de domaine deux GPO non
locaux sont crs :
85
Default Domain Policy : Ce GPO est li au domaine, affecte tous

les utilisateurs et ordinateurs du domaine (contrleurs de domaine
inclus).
Default Domain Controllers Policy : Ce GPO est li l'OU
Domain Controllers, affectant uniquement les contrleurs de
domaine.
86
Les GPO non locaux sont stocks dans le dossier

%systemroot%\Domain\Policies\GUID GPO\Adm
Un GPO li un site, affecte tous les ordinateurs du site, et peut
donc s'appliquer sur plusieurs domaines d'une fort.
87
Paramtres des stratgies de groupe :

Les paramtres de stratgie de groupe se trouvent dans le GPO.
On les distingue en deux types :
- les paramtres de configuration Ordinateur
- les paramtres de Configuration Utilisateur
88
Paramtres du logiciel :
Ce noeud prsent dans la configuration utilisateur et ordinateur,
permet de spcifier la manire d'installer des applications.
Deux mthodes : Assignation et Publication
La publication n'est pas possible pour un ordinateur.
89
Paramtres Windows :
Ce noeud permet de spcifier des scripts de dmarrage ou de
fermeture/arrt.
Il offre aussi la possibilit grer la scurit.
Pour un utilisateur ce noeud permet de rediriger les dossiers.
90

Modles d'administration :
Ce noeud offre une multitude de paramtres, plus de 500, bass
sur le registre.
Un paramtre de ce noeud peut prendre diffrents tats :
Activ : le registre reflte l'activation du paramtre
Non configur : le registre n'est pas affect par ce paramtre du
GPO
Dsactiv : le registre montre que ce paramtre n'est pas
activ.
91

Stratgie de groupe, dmarrage et ouverture de session :
1 Le rseau dmarre
2 L'ordinateur obtient une liste ordonne de GPO, cette liste
dpend de l'appartenance ou non un domaine.
3 les paramtres de configuration de l'ordinateur sont traits dans
l'ordre suivant :
GPO local
GPO de site
GPO du Domaine
GPO d'OU
92
4 les scripts de dmarrage s'excutent.

5 l'utilisateur appuie sur Ctrl+alt+suppr pour ouvrir une session
6 Son profil est charg
7 Une liste ordonne de GPO est rcupre pour l'utilisateur, en
fonction de l'appartenance un domaine, l'emplacement de
l'utilisateur dans Active Directory.
93

8 Les paramtres de configuration de l'utilisateur sont traits dans
l'ordre suivant :
- GPO local
- GPO de site
- GPO du domaine
- GPO d'OU
9 les scripts de configuration utilisateurs s'excutent
10 l'interface utilisateur est oprationnelle et conforme au
paramtrage du GPO.
94

Hritage des stratgies de groupes :
Les stratgies de groupes sont transmises de conteneurs parents
aux conteneurs enfants.
Les stratgies de groupes ne s'hritent pas entre domaines.
Si un paramtre de GPO est configur pour une OU parent, et que
le mme paramtre est configur pour l'OU enfant, c'est se dernier
paramtre qui est appliqu
95
Les paramtres s'appliquent tant qu'ils sont compatibles.

En cas d'incompatibilit entre le paramtre de l'OU parent et
enfant, c'est le paramtre de l'OU enfant qui est activ.
96
Aucun remplacement :
Si un GPO est dfini avec l'option aucun remplacement, aucun de
ses paramtres ne sera cras par les paramtres des GPO
enfant.
Le paramtre le plus haut dans la hirarchie est donc prioritaire.
97
Bloquer l'hritage :
Le blocage de l'hritage est appliqu au site, au domaine, l'OU,
mais pas au GPO.
Le blocage de l'hritage, arrte tout paramtre provenant d'un
emplacement plus haut de la hirarchie.
98

1
2
Site
domaine.com
aucun remplacement
France
Admin
Devt
OU Devt 1,2,3,4,5
OU Devel 6,7
USA
Admin
4
5
6
bloquer l'hritage
Devel
99

10 Ad

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

10 Ad

Uploaded by

Copyright:

Available Formats

ACTIVE DIRECTORY

AD : Qu'est-ce qu'un service

Simplicit administrative : par opposition au modle de domaine

Un domaine reprsente une limite administrative de scurit. Les ACL,

Organizational unit / Unit d'organisation :

Structure OU base sur la localisation

Structure OU base sur l'organisation

Structure OU base sur les types d'objet

Un contrleur de domaine stocke une rplique de l'annuaire du domaine.

Un contrleur de domaine stocke et rplique :

Un catalogue global stocke et rplique :

Rles de Matre d'oprations

Rles de Matre d'oprations

Rles de Matre d'oprations

Cette opration de rplication s'oppose la rplication de la base Active

Rles de Matre d'oprations

Rles uniques au sein d'une fort :

Rles de Matre d'oprations

Rles uniques dans un domaine :

Rles de Matre d'oprations

Rles de Matre d'oprations

Relation d'approbation Transitives et non transitives

Types de Relations d'approbation.

tablie lors de l'ajout d'un nouvel arbre une fort.

Relation d'approbation de raccourci

entre deux domaines quelconques de la mme fort.

Relation d'approbation externe

Relation d'approbation de royaume kerberos non windows

KRB win vers KRB unix

Nommage des objets

Nommage des objets

Nommage des objets

Nommage des objets

deux objets peuvent avoir le mme RDN mais pas le mme DN

Nommage des objets

Nommage des objets

Nommage des objets

Les objets Active Directory

Les objets Active Directory

Les objets Active Directory

Schma Active Directory :

Les objets Active Directory

Les comptes utilisateurs :

Les objets Active Directory

travers un processus d'ouverture de session unique un utilisateur

Les objets Active Directory

Les objets Active Directory

Comptes utilisateurs du domaine :

Les objets Active Directory

Ces comptes sont stocks dans Active Directory et sont rpliqus

Les objets Active Directory

Les comptes utilisateurs prdfinis :

Les objets Active Directory

Les profils utilisateur :

Les objets Active Directory

Les objets Active Directory

- Les lecteurs rseau

Les objets Active Directory

Le profil est stock traditionnellement dans c:\Documents and

Les objets Active Directory

Les objets Active Directory

Les objets Active Directory

Les profils itinrants :