6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

798
PRODUIT OFFICIEL DE MICROSOFT LEARNING 6238A: Configuration et résolution des problèmes des services de domaine Active Directory ® Windows Server ® 2008 N’oubliez pas d’accéder au contenu de formation étendue du CD-ROM d’accompagnement du cours qui se trouve au dos de votre livre.

Transcript of 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Page 1: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

P R O D U I T O F F I C I E L D E M I C R O S O F T L E A R N I N G

6238A: Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

N’oubliez pas d’accéder au contenu de formation étendue du CD-ROM d’accompagnement du cours qui se trouve au dos de votre livre.

Page 2: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

ii Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Les informations contenues dans ce document, y compris les URL et autres références à des sites Web Internet, pourront faire l’objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L’utilisateur est tenu d’observer la réglementation relative aux droits d’auteur applicable dans son pays. Aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de restitution, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de Microsoft Corporation.

Microsoft peut détenir des brevets, avoir déposé des demandes d’enregistrement de brevets ou être titulaire de marques, droits d’auteur ou autres droits de propriété intellectuelle portant sur tout ou partie des éléments qui font l’objet du présent document. Sauf stipulation expresse contraire d’un contrat de licence écrit de Microsoft, la fourniture de ce document n’a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d’auteur ou autres droits de propriété intellectuelle.

Les noms de fabricants, de produits ou les URL sont fournis uniquement à titre indicatif et Microsoft ne fait aucune déclaration et exclut toute garantie légale, expresse ou implicite, concernant ces fabricants ou l’utilisation des produits avec toutes les technologies Microsoft. L’inclusion d’un fabricant ou produit n’implique pas l’approbation par Microsoft du fabricant ou du produit. Des liens vers des sites Web tiers peuvent être fournis. Ces sites ne sont pas sous le contrôle de Microsoft et Microsoft n’est pas responsable de leur contenu ni des liens qu’ils sont susceptibles de contenir, ni des modifications ou mises à jour de ces sites. Microsoft n’est pas responsable du Webcasting ou de toute autre forme de transmission reçue d’un site auquel ces liens renvoient. Microsoft fournit ces liens pour votre commodité, et l’insertion de tout lien n’implique pas l’approbation du site en question ou des produits qu’il contient par Microsoft.

© 2008 Microsoft Corporation. Tous droits réservés.

Microsoft, Access, Active Directory, ActiveX, BitLocker, Convergence, Internet Explorer, Jscript, MSDN, NetMeeting, PowerPoint, SharePoint, SQL Server, Verdana, Visual Basic, Visual Studio, Win32, Windows et Windows Vista sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d’Amérique et/ou dans d’autres pays.

Toutes les autres marques sont la propriété de leurs propriétaires respectifs.

Relecteur technique : John Policelli

Numéro de produit : 6238A

Réf. n° : X14-94124

Publié le : 06/2008

Page 3: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

TERMES DU CONTRAT DE LICENCE MICROSOFT PRODUITS OFFICIELS DE FORMATION MICROSOFT – ÉDITION INSTRUCTEUR – Versions précommerciales et finales Les présents termes ont valeur de contrat entre Microsoft Corporation et vous. Lisez-les attentivement. Ils portent sur le Contenu sous licence visé ci-dessus, y compris le support sur lequel vous l’avez reçu, le cas échéant. Ce contrat porte également sur les produits Microsoft suivants :

• les mises à jour,

• les suppléments,

• les services Internet et

• les services d’assistance

de ce Contenu sous licence à moins que d’autres termes n’accompagnent ces produits, auquel cas ces derniers prévalent.

En utilisant le Contenu sous licence, vous acceptez ces termes. Si vous êtes en désaccord avec ces termes, n’utilisez pas le Contenu sous licence.

Si vous vous conformez aux présents termes du contrat de licence, vous disposez des droits stipulés ci-dessous.

1. DÉFINITIONS.

a. La « Documentation de formation » signifie la documentation imprimée ou sous forme électronique, comme les manuels, cahiers d’exercice, livres blancs, communiqués de presse, feuilles de données et forums aux questions, qui peut être incluse dans le Contenu sous licence.

b. Un « Centre de formation agréé » signifie un centre partenaire Microsoft Certified Partner approuvé MLSC (Microsoft Learning Solutions Competency), un centre IT Academy, ou toute autre entité désignée occasionnellement par Microsoft.

c. Une « Session de formation agréée » signifie une session de formation agréée par Microsoft et organisée dans ou par un Centre d’apprentissage agréé, dirigée par un formateur qui dispense une formation à des Stagiaires exclusivement sur les Produits officiels de formation Microsoft (« Official Microsoft Learning Products », anciennement appelés cours officiels Microsoft ou MOC, « Microsoft Official Curriculum ») et les produits Microsoft Dynamics (anciennement appelés cours Microsoft Business Solutions). Chaque Session de formation agréée dispensera une formation sur l’objet d’un (1) Cours.

d. Un « Cours » signifie l’un des cours utilisant un Contenu sous licence proposés par un Centre de formation agréé dans le cadre d’une Session de formation agréée, chacune dispensant une formation sur un domaine particulier lié à une technologie Microsoft.

Page 4: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

e. Un « Dispositif » signifie un ordinateur, un périphérique, une station de travail, un terminal ou tout autre dispositif électronique numérique ou analogique.

f. Le « Contenu sous licence » signifie les supports qui accompagnent les présents termes du contrat de licence. Le Contenu sous licence peut inclure, notamment, les éléments suivants : (i) Le Contenu du formateur, (ii) le Contenu du stagiaire, (iii) le guide d’installation de la classe et (iv) le Logiciel. Les composants du Contenu sous licence sont différents et distincts pour chaque Cours.

g. Le « Logiciel » signifie les Machines virtuelles et les Disques durs virtuels ou toute autre application logicielle pouvant être incluse dans le Contenu sous licence.

h. Un « Stagiaire » signifie un stagiaire dûment inscrit à une Session de formation agréée dans votre centre.

i. Le « Contenu du stagiaire » signifie les supports de formation accompagnant les présents termes du contrat de licence qui sont utilisés par les Stagiaires et les Formateurs durant une Session de formation agréée. Le Contenu du stagiaire peut inclure des ateliers, des simulations et des fichiers spécifiques à chaque Cours.

j. Un « Formateur » signifie a) une personne dûment certifiée par Microsoft en tant que formateur MCT (Microsoft Certified Trainer) et b) toute autre personne autorisée officiellement par Microsoft et qui a été chargée par un Centre d’apprentissage agréé de dispenser une Session de formation agréée à des Stagiaires pour son compte.

k. Le « Contenu du formateur » signifie les supports de formation accompagnant les présents termes du contrat de licence qui sont utilisés par les Formateurs et les Stagiaires, selon le cas, uniquement durant une Session de formation agréée. Le Contenu du formateur peut inclure les Machines virtuelles, les Disques durs virtuels, les fichiers Microsoft PowerPoint, les notes de l’instructeur ainsi que les guides de démonstration et les fichiers script requis pour chaque Cours.

l. Les « Disques durs virtuels » signifient le Logiciel Microsoft constitué des disques durs virtuels (comme un disque dur virtuel de base ou des disques différents) pour une Machine virtuelle qui peut être chargé sur un seul ordinateur ou tout autre dispositif afin de permettre aux utilisateurs finals d’exécuter plusieurs systèmes d’exploitation simultanément. Dans le cadre du présent contrat de licence, les disques durs virtuels devront être traités en tant que « Contenu du formateur ».

m. La « Machine virtuelle » signifie une expérience informatique virtuelle, obtenue à l’aide du logiciel Microsoft® Virtual PC ou Microsoft® Virtual Server qui se compose d’un environnement matériel virtuel, d’un ou de plusieurs disques durs virtuels ainsi que d’un fichier de configuration définissant les paramètres de l’environnement matériel virtuel (par exemple, la RAM). Dans le cadre du présent contrat de licence, les disques durs virtuels devront être traités en tant que « Contenu du formateur ».

n. Le terme « vous » signifie le Centre de formation agréé ou le Formateur, selon le cas, qui a accepté les présents termes du contrat de licence.

Page 5: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2. PRÉSENTATION.

Contenu sous licence. Le Contenu sous licence inclut le Logiciel, la Documentation de formation (en ligne et sous forme électronique), le Contenu du formateur, le Contenu du stagiaire, le guide d’installation de la classe et les supports associés.

Modèle de licence. Le Contenu sous licence est concédé sous licence en vertu d’une licence par Centre de formation agréé ou par Formateur.

3. INSTALLATION ET DROITS D’UTILISATION.

a. Centres de formation agréés et Formateurs : Pour chaque Session de formation agréée, vous êtes autorisé à :

i. soit installer, sur les Dispositifs de la classe, des copies individuelles du Contenu sous licence correspondant qui seront utilisées uniquement par les Stagiaires dûment inscrits à la Session de formation agréée et par le Formateur dispensant cette formation, sous réserve que le nombre de copies utilisées ne dépasse pas le nombre de Stagiaires inscrits à la Session de formation agréée et le Formateur dispensant cette formation ; SOIT

ii. installer une copie du Contenu sous licence correspondant sur un serveur réseau qui sera accessible uniquement par les Dispositifs de la classe et qui sera utilisée uniquement par les Stagiaires dûment inscrits à la Session de formation agréée et par le Formateur dispensant cette formation, sous réserve que le nombre de Dispositifs qui accèdent au Contenu sous licence sur le serveur ne dépasse pas le nombre de Stagiaires inscrits à la Session de formation agréée et le Formateur dispensant cette formation.

iii. autoriser les Stagiaires dûment inscrits à la Session de formation agréée et le Formateur dispensant cette formation à utiliser le Contenu sous licence que vous installez selon (i) ou (ii) ci-dessus durant une Session de formation agréée, conformément aux présents termes du contrat de licence.

iv. Dissociation de composants. Les composants du Contenu sous licence sont concédés sous licence en tant qu’unité unique. Vous n’êtes pas autorisé à dissocier les composants et à les installer sur différents Dispositifs.

v. Programmes de tiers. Le Contenu sous licence peut également contenir des programmes tiers. L’utilisation de ces programmes tiers sera régie par les présents termes du contrat de licence, à moins que d’autres termes n’accompagnent ces programmes.

b. Formateurs :

i. Les Formateurs sont autorisés à utiliser le Contenu sous licence que vous installez ou qui est installé par un Centre de formation agréé sur un Dispositif de la classe dans le cadre d’une Session de formation agréée.

ii. Les Formateurs sont également autorisés à utiliser une copie du Contenu sous licence, comme indiqué ci-après :

Page 6: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

A. Dispositif concédé sous licence. Le Dispositif concédé sous licence est celui sur lequel vous utilisez le Contenu sous licence. Vous êtes autorisé à installer et à utiliser une copie du Contenu sous licence sur le Dispositif sous licence uniquement pour les besoins de votre formation personnelle et pour préparer une Session de formation agréée.

B. Dispositif portable. Vous êtes autorisé à installer une autre copie du Contenu sous licence sur un dispositif portable uniquement pour les besoins de votre formation personnelle et pour préparer une Session de formation agréée.

4. VERSIONS PRÉCOMMERCIALES. Si le Contenu sous licence est une version précommerciale (« version bêta »), les présents termes s’appliquent en plus des termes de ce contrat :

a. Contenu sous licence en version précommerciale. Ce Contenu sous licence est une version précommerciale. Il peut ne pas contenir les mêmes informations et/ou ne pas fonctionner comme une version finale du Contenu sous licence. Nous sommes autorisés à le changer pour la version commerciale finale. Nous sommes également autorisés à ne pas éditer de version commerciale. Vous devez informer clairement et de façon visible les Stagiaires qui participent à chaque Session de formation agréée de ce qui précède ; et vous ou Microsoft n’avez aucune obligation de leur fournir un contenu supplémentaire, notamment, de manière non limitative, la version finale du Contenu sous licence du Cours.

b. Commentaires. Si vous acceptez de faire part à Microsoft de vos commentaires concernant le Contenu sous licence, vous concédez à Microsoft, gratuitement, le droit d’utiliser, de partager et de commercialiser vos commentaires de quelque manière et à quelque fin que ce soit. Vous concédez également à des tiers, gratuitement, les droits de brevet nécessaires pour que leurs produits, technologies et services puissent être utilisés ou servir d’interface avec toute partie spécifique d’un logiciel, Contenu sous licence ou service Microsoft qui inclut ces commentaires. Vous ne fournirez pas de commentaires faisant l’objet d’une licence qui impose à Microsoft de concéder sous licence son logiciel ou sa documentation à des tiers parce que nous y incluons vos commentaires. Ces droits survivent au présent contrat.

c. Informations confidentielles. Le Contenu sous licence, y compris la visionneuse, l’interface utilisateur, les fonctionnalités et la documentation pouvant être incluses dans le Contenu sous licence, est confidentiel et la propriété de Microsoft et de ses fournisseurs.

i. Utilisation. Pendant cinq ans après l’installation du Contenu sous licence ou de sa commercialisation, selon la date la plus proche, vous n’êtes pas autorisé à divulguer des informations confidentielles à des tiers. Vous êtes autorisé à divulguer des informations confidentielles uniquement à vos employés et consultants qui en ont besoin. Vous devez avoir conclu avec eux des accords écrits qui protègent les informations confidentielles au moins autant que le présent contrat.

ii. Maintien en vigueur de certaines clauses. Votre obligation de protection des informations confidentielles survit au présent contrat.

Page 7: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

iii. Exclusions. Vous êtes autorisé à divulguer des informations confidentielles conformément à une ordonnance judiciaire ou gouvernementale. Vous devez en informer par avance Microsoft afin de lui permettre de demander une ordonnance protectrice ou de trouver un autre moyen de protéger ces informations. Les informations confidentielles n’incluent pas les informations

• qui ont été portées à la connaissance du public sans qu’il y ait eu violation de l’obligation de confidentialité ;

• que vous avez reçues d’un tiers qui n’a pas violé ses obligations de confidentialité à l’égard de Microsoft ou de ses fournisseurs ; ou

• que vous avez développées en toute indépendance.

d. Durée. Le présent contrat pour les versions précommerciales est applicable jusqu’à (i) la date d’expiration qui vous est communiquée par Microsoft pour l’utilisation de la version bêta, ou (ii) la commercialisation du Contenu sous licence, selon la date la plus proche (la « durée de la bêta »).

e. Utilisation. Dès l’expiration ou la résiliation de la durée de la bêta, vous devrez cesser d’utiliser les copies de la version bêta et détruire toutes les copies en votre possession ou sous votre contrôle et/ou en possession ou sous le contrôle d’un Instructeur qui a reçu des copies de la version précommerciale.

f. Copies. Microsoft informera les Centres de formation agréés s’ils sont autorisés à effectuer des copies de la version bêta (version imprimée et/ou sur CD) et à les distribuer aux Stagiaires et/ou Instructeurs. Si Microsoft autorise cette distribution, vous devrez vous conformer aux termes supplémentaires fournis par Microsoft concernant lesdites copies et distribution.

5. CONDITIONS DE LICENCE ET/OU DROITS D’UTILISATION SUPPLÉMENTAIRES.

a. Centres de formation agréés et Formateurs :

i. Logiciel.

ii. Disques durs virtuels. Le Contenu sous licence peut inclure des versions de Microsoft XP, Microsoft Windows Vista, Windows Server 2003, Windows Server 2008 et Windows 2000 Advanced Server et/ou d’autres produits Microsoft qui sont fournis dans les Disques durs virtuels.

A. Si les Disques durs virtuels et les ateliers sont lancés avec le lanceur d’ateliers Microsoft Learning Lab Launcher, ces termes s’appliquent :

Logiciel temporaire. Si le Logiciel n’est pas réinitialisé, il cessera de fonctionner à l’issue de la durée indiquée lors de l’installation de Machines virtuelles (entre trente et cinq cents jours après son installation). Vous ne recevrez pas de notification avant l’arrêt du logiciel. Une fois que le logiciel ne fonctionnera plus, vous risquez de ne plus pouvoir accéder aux données utilisées ou aux informations enregistrées avec les Machines virtuelles et de devoir rétablir l’état d’origine de ces Machines virtuelles. Vous devez supprimer le Logiciel des Dispositifs à la fin de chaque Session de formation agréée, et le réinstaller et le lancer avant le début de chaque nouvelle Session de formation agréée.

Page 8: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

B. Si les Disques durs virtuels nécessitent une clé de produit pour être lancés, ces termes s’appliquent :

Microsoft désactivera le système d’exploitation associé à chaque Disque dur virtuel. Pour installer un Disque dur virtuel sur des Dispositifs de la classe dans le cadre d’une Session de formation agréée, vous devrez au préalable activer le système d’exploitation du Disque dur virtuel en utilisant la clé de produit correspondante fournie par Microsoft.

C. Ces termes s’appliquent à l’ensemble des Machines virtuelles et des Disques durs virtuels :

Vous êtes autorisé à utiliser les Machines virtuelles et les Disques durs virtuels uniquement si vous vous conformez aux termes et conditions du présent contrat de licence ainsi qu’aux conditions de sécurité suivantes :

o Vous ne pouvez pas installer des Machines virtuelles et des Disques durs virtuels sur des Dispositifs portables ou des Dispositifs qui sont accessibles via d’autres réseaux.

o Vous devez supprimer les Machines virtuelles et les Disques durs virtuels des Dispositifs de la classe à la fin de chacune des Sessions de formation agréées, à l’exception de celles dispensées dans les centres Microsoft Certified Partner approuvés MLSC.

o Vous devez supprimer les différentes portions de disque des Disques durs virtuels de tous les Dispositifs de la classe à la fin de chaque Session de formation agréée dispensée dans les centres Microsoft Certified Partner approuvés MLSC.

o Vous devez vous assurer que les Machines virtuelles et les Disques durs virtuels ne sont pas copiés ou téléchargés à partir de Dispositifs sur lesquels ils ont été installés.

o Vous devez respecter strictement toutes les instructions Microsoft relatives à l’installation, à l’utilisation, à l’activation et la désactivation, et à la sécurité des Machines virtuelles et des Disques durs virtuels.

o Vous n’êtes pas autorisé à modifier les Machines virtuelles et les Disques durs virtuels ou le contenu y figurant.

o Vous n’êtes pas autorisé à reproduire ou à redistribuer les Machines virtuelles ou les Disques durs virtuels.

ii. Guide d’installation de la classe. Vous devez vous assurer que le Contenu sous licence qui sera utilisé durant une Session de formation agréée est installé conformément au guide d’installation de la classe associé au Cours.

iii. Éléments multimédias et modèles. Vous pouvez autoriser les Formateurs et les Stagiaires à utiliser des photographies, images clip art, animations, sons, musiques, formes, clips vidéo et modèles inclus avec le Contenu sous licence uniquement dans le cadre d’une Session de formation agréée. Les Formateurs qui possèdent leur propre copie du Contenu sous licence sont autorisés à se servir des éléments multimédias aux seules fins de leur formation personnelle.

Page 9: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

iv. Logiciel d’évaluation. Tout Logiciel inclus dans le Contenu du stagiaire et désigné comme « Logiciel d’évaluation » peut être utilisé par les Stagiaires uniquement pour les besoins de leur formation personnelle en dehors de la Session de formation agréée.

b. Formateurs uniquement :

i. Utilisation des modèles de diapositives PowerPoint. Le Contenu du formateur peut comprendre des diapositives Microsoft PowerPoint. Le Formateur est autorisé à utiliser, copier et modifier les diapositives PowerPoint dans le seul but de dispenser une Session de formation agréée. Si vous choisissez d’exercer les droits précités, vous vous engagez ou vous garantissez que le Formateur s’engage : (a) à ce que la modification des diapositives ne constitue pas la création d’œuvres obscènes ou diffamatoires, telles qu’elles sont définies par la législation fédérale au moment de leur création ; et (b) à respecter l’ensemble des termes et conditions du présent contrat de licence.

ii. Utilisation des Composants de formation inclus dans le Contenu du formateur. Pour chaque Session de formation agréée, les Formateurs sont autorisés à personnaliser et à reproduire, conformément aux termes du contrat MCT, les composants du Contenu sous licence qui sont associés logiquement à la Session de formation agréée. Si vous choisissez d’exercer les droits précités, vous vous engagez ou vous garantissez que le Formateur s’engage : (a) à ce que les personnalisations ou les reproductions ne soient utilisées qu’aux seules fins de dispenser une Session de formation agréée et (b) à respecter l’ensemble des termes et conditions du présent contrat de licence.

iii. Documentation de formation. Si le Contenu sous licence inclut une Documentation de formation, vous êtes autorisé à copier et à utiliser cette Documentation. Vous n’êtes pas autorisé à modifier la Documentation de formation ni à imprimer un ouvrage (version électronique ou imprimée) dans son intégralité. Si vous reproduisez une Documentation de formation, vous acceptez ces termes :

• Vous pouvez utiliser la Documentation de formation aux seules fins de votre utilisation ou formation personnelle.

• Vous ne pouvez pas rééditer ni publier la Documentation de formation sur un ordinateur du réseau, ni la diffuser sur un support.

• Vous devez ajouter la mention de droits d’auteur d’origine de la Documentation de formation ou celle de Microsoft sous la forme ci-dessous :

Forme de mention :

© 200X [Note to MS Learning: Insert correct date] Réimprimé avec l’autorisation de Microsoft Corporation pour usage personnel uniquement. Tous droits réservés.

Page 10: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Microsoft, Windows et Windows Server sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation aux États-Unis d’Amérique et/ou dans d’autres pays. Les autres noms de produits et de sociétés mentionnés dans les présentes sont des marques de leurs propriétaires respectifs.

6. SERVICES INTERNET. Microsoft peut fournir des services Internet avec le Contenu sous licence. Ils peuvent être modifiés ou interrompus à tout moment. Vous n’êtes pas autorisé à utiliser ces services de quelque manière que ce soit qui pourrait leur porter atteinte ou perturber leur utilisation par un autre utilisateur. Vous n’êtes pas autorisé à tenter d’accéder de façon non autorisée aux services, données, comptes ou réseaux de toute autre manière.

7. PORTEE DE LA LICENCE. Le Contenu sous licence n’est pas vendu, mais concédé sous licence. Le présent contrat vous confère certains droits d’utilisation du Contenu sous licence. Microsoft se réserve tous les autres droits. Sauf si la loi en vigueur vous confère d’autres droits, nonobstant la présente limitation, vous n’êtes autorisé à utiliser le Contenu sous licence qu’en conformité avec les termes du présent contrat. À cette fin, vous devez vous conformer aux restrictions techniques contenues dans le Contenu sous licence qui vous permettent de l’utiliser d’une certaine façon. Vous n’êtes pas autorisé à :

• installer, sur des Dispositifs de la classe, plus de copies du Contenu sous licence que le nombre de Stagiaires plus le Formateur présents dans la Session de formation agréée ;

• permettre l’accès au Contenu sous licence sur le serveur réseau, le cas échéant, par davantage de Dispositifs de la classe que le nombre de Stagiaires dûment inscrits à la Session de formation agréée plus le Formateur dispensant cette formation.

• copier ou reproduire le Contenu sous licence sur un autre serveur ou site en vue d’une nouvelle reproduction ou redistribution ;

• révéler à des tiers les résultats des tests d’évaluation du Contenu sous licence sans l’accord écrit préalable de Microsoft ;

• contourner les restrictions techniques figurant dans le Contenu sous licence ;

• reconstituer la logique du Contenu sous licence, le décompiler ou le désassembler, sauf dans la mesure où ces opérations seraient expressément permises par la réglementation applicable nonobstant la présente limitation ;

• effectuer plus de copies du Contenu sous licence que ce qui n’est autorisé dans le présent contrat ou par la réglementation applicable, nonobstant la présente limitation ;

• publier le Contenu sous licence en vue d’une reproduction par autrui ;

• transférer le Contenu sous licence, en totalité ou en partie, à un tiers ;

• accéder ou utiliser un Contenu sous licence pour lequel vous (i) ne dispensez pas de Cours et/ou (ii) n’avez pas obtenu l’autorisation de Microsoft ;

• louer ou prêter le Contenu sous licence ; ou

Page 11: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

• utiliser le Contenu sous licence pour des services d’hébergement commercial ou pour des besoins d’ordre général.

• Les droits d’accès au logiciel serveur pouvant être inclus avec le Contenu sous licence, y compris les Disques durs virtuels, ne vous autorisent pas à exploiter des brevets appartenant à Microsoft ou tous autres droits de propriété intellectuelle de Microsoft sur le logiciel ou tous dispositifs qui peuvent accéder au serveur.

8. RESTRICTIONS À L’EXPORTATION. Le Contenu sous licence est soumis à la réglementation américaine en matière d’exportation. Vous devez vous conformer à toutes les réglementations nationales et internationales en matière d’exportation concernant le logiciel. Ces réglementations comprennent des restrictions sur les pays destinataires, les utilisateurs finaux et les utilisations finales. Des informations supplémentaires sont disponibles sur le site Internet www.microsoft.com/exporting.

9. LOGICIEL/CONTENU SOUS LICENCE EN REVENTE INTERDITE (« NOT FOR RESALE » OU « NFR »). Vous n’êtes pas autorisé à vendre un logiciel ou un Contenu sous licence portant la mention de revente interdite (« Not for Resale » ou « NFR »).

10. VERSION ÉDUCATION. Pour utiliser un Contenu sous licence portant la mention de Version Éducation (« Academic Edition » ou « AE »), vous devez avoir la qualité d’« Utilisateur Éducation Autorisé » (Qualified Educational User). Pour savoir si vous avez cette qualité, rendez-vous sur le site http://www.microsoft.com/france/licences/education ou contactez l’affilié Microsoft qui dessert votre pays.

11. RÉSILIATION. Sans préjudice de tous autres droits, Microsoft pourra résilier le présent contrat de licence si vous n’en respectez pas les termes et conditions. Si votre statut de Centre de formation agréé ou de Formateur a) expire, b) est volontairement résilié par vous-même et/ou c) est résilié par Microsoft, ce contrat expirera automatiquement. Après résiliation du présent contrat, vous devrez détruire tous les exemplaires du Contenu sous licence et tous ses composants.

12. INTÉGRALITÉ DES ACCORDS. Le présent contrat ainsi que les termes concernant les suppléments, les mises à jour, les services Internet et d’assistance technique que vous utilisez constituent l’intégralité des accords en ce qui concerne le Contenu sous licence et les services d’assistance technique.

13. DROIT APPLICABLE.

a. États-Unis. Si vous avez acquis le Contenu sous licence aux États-Unis, les lois de l’État de Washington, États-Unis d’Amérique, régissent l’interprétation de ce contrat et s’appliquent en cas de réclamation pour rupture dudit contrat, sans donner d’effet aux dispositions régissant les conflits de lois. Les lois du pays dans lequel vous vivez régissent toutes les autres réclamations, notamment les réclamations fondées sur les lois fédérales en matière de protection des consommateurs, de concurrence déloyale et de délits.

b. En dehors des États-Unis. Si vous avez acquis le Contenu sous licence dans un autre pays, les lois de ce pays s’appliquent.

Page 12: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

14. EFFET JURIDIQUE. Le présent contrat décrit certains droits légaux. Vous pouvez bénéficier d’autres droits prévus par les lois de votre État ou pays. Vous pouvez également bénéficier de certains droits à l’égard de la partie auprès de laquelle vous avez acquis le Contrat sous licence. Le présent contrat ne modifie pas les droits que vous confèrent les lois de votre État ou pays si celles-ci ne le permettent pas.

15. EXCLUSIONS DE GARANTIE. Le Contenu sous licence est concédé sous licence « en l’état ». Vous assumez tous les risques liés à son utilisation. Microsoft n’accorde aucune garantie ou condition expresse. Vous pouvez bénéficier de droits des consommateurs supplémentaires dans le cadre du droit local, que ce contrat ne peut modifier. Lorsque cela est autorisé par le droit local, Microsoft exclut les garanties implicites de qualité, d’adéquation à un usage particulier et d’absence de contrefaçon.

16. LIMITATION ET EXCLUSION DE RECOURS ET DE DOMMAGES. VOUS POUVEZ OBTENIR DE MICROSOFT ET DE SES FOURNISSEURS UNE INDEMNISATION EN CAS DE DOMMAGES DIRECTS LIMITÉE À 5,00 $ U.S. VOUS NE POUVEZ PRÉTENDRE À AUCUNE INDEMNISATION POUR LES AUTRES DOMMAGES, Y COMPRIS LES DOMMAGES INDIRECTS, DE PERTES DE BÉNÉFICES, SPÉCIAUX OU ACCESSOIRES.

Cette limitation concerne :

• toute affaire liée au Contenu sous licence, au logiciel, aux services ou au contenu (y compris le code) figurant sur des sites Internet tiers ou dans des programmes tiers ; et

• les réclamations pour rupture de contrat ou violation de garantie, les réclamations en cas de responsabilité sans faute, de négligence ou autre délit dans la limite autorisée par la loi en vigueur.

Elle s’applique également même si Microsoft connaissait l'éventualité d'un tel dommage. La limitation ou exclusion ci-dessus peut également ne pas vous être applicable, car votre pays n’autorise pas l’exclusion ou la limitation de responsabilité pour les dommages indirects, accessoires ou de quelque nature que ce soit.

Page 13: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 xiii

Table des matières Module 1 : Implémentation des services de domaine Active Directory

Leçon 1 : Installation des services de domaine Active Directory 1-3

Leçon 2 : Déploiement de contrôleurs de domaine en lecture seule 1-18

Leçon 3 : Configuration des rôles de contrôleur de domaine des services de domaine Active Directory 1-28

Atelier pratique : Implémentation de contrôleurs de domaine en lecture seule et gestion des rôles de contrôleur de domaine 1-35

Module 2 : Configuration du service de noms de domaine pour les services de domaine Active Directory

Leçon 1 : Présentation de l’intégration des services de domaine Active Directory et de DNS 2-3

Leçon 2 : Configuration des zones intégrées des services de domaine Active Directory 2-12

Leçon 3 : Configuration des zones DNS en lecture seule 2-21

Atelier pratique : Configuration de l’intégration des services

de domaine Active Directory et du système DNS 2-21

Module 3 : Configuration des objets et approbations Active Directory Leçon 1 : Configuration des objets Active Directory 3-3

Leçon 2 : Stratégies d’utilisation des groupes 3-14

Leçon 3 : Automatisation de la gestion des objets des services de domaine Active Directory 3-20

Atelier pratique A : Configuration des objets Active Directory 3-28

Leçon 4 : Délégation de l’accès administratif aux objets AD DS 3-42

Leçon 5 : Configuration des approbations des services de domaine Active Directory 3-50

Atelier pratique B : Configuration des délégations et approbations

Active Directory 3-62

Page 14: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

xiv Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Module 4 : Configuration des sites des services de domaine Active Directory et de la réplication

Leçon 1 : Présentation de la réplication des services de domaine Active Directory 4-3

Leçon 2 : Présentation des sites des services de domaine Active Directory et de la réplication 4-14

Leçon 3 : Configuration et surveillance de la réplication des services de domaine Active Directory 4-23

Atelier pratique : Configuration des sites Active Directory et

de la réplication 4-34

Module 5 : Création et configuration d’une stratégie de groupe Leçon 1 : Vue d’ensemble de la stratégie de groupe 5-3

Leçon 2 : Configuration de l’étendue des objets de stratégie de groupe 5-17

Leçon 3 : Évaluation de l’application des objets de stratégie de groupe 5-31

Leçon 4 : Gestion des objets de stratégie de groupe 5-37

Leçon 5 : Délégation du contrôle administratif de la stratégie de groupe 5-46

Atelier pratique : Création et configuration d’objets Stratégie de groupe 5-50

Module 6 : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe

Leçon 1 : Configuration de paramètres de stratégie de groupe 6-3

Leçon 2 : Configuration de scripts et redirection de dossiers à l’aide d’une stratégie de groupe 6-7

Leçon 3 : Configuration des modèles d’administration 6-16

Leçon 4 : Configuration des préférences de stratégie de groupe 6-23

Leçon 5 : Déploiement de logiciels à l’aide d’une stratégie de groupe 6-29

Atelier pratique : Configuration des environnements utilisateur

à l’aide d’une stratégie de groupe 6-39

Page 15: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 xv

Module 7 : Implémentation de la sécurité à l’aide d’une stratégie de groupe Leçon 1 : Configuration des stratégies de sécurité 7-3

Leçon 2 : Implémentation de stratégies de mots de passe affinés 7-13

Leçon 3 : Restriction de l’appartenance à des groupes et de l’accès aux logiciels 7-21

Leçon 4 : Gestion de la sécurité à l’aide de modèles de sécurité 7-28

Atelier pratique : Implémentation de la sécurité à l’aide d’une

stratégie de groupe 7-37

Module 8. Mise en œuvre d’un plan de contrôle de services de domaine Active Directory

Leçon 1 : Analyse des services de domaine Active Directory à l’aide de l’Observateur d’événements 8-3

Leçon 2 : Contrôle des serveurs de domaine Active Directory à l’aide de l’analyseur de fiabilité et de performances 8-11

Leçon 3 : Configuration de l’audit des services de domaine Active Directory 8-20

Atelier pratique : Analyse des services de domaine Active Directory 8-26

Module 9 : Implémentation d’un plan de maintenance des services de domaine Active Directory

Leçon 1 : Gestion des contrôleurs de domaine de services de domaine Active Directory 9-3

Leçon 2 : Sauvegarde des services de domaine Active Directory 9-16

Leçon 3 : Restauration des services de domaine Active Directory 9-20

Atelier pratique : Implémentation d’un plan de maintenance des

services de domaine Active Directory 9-32

Page 16: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

xvi Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Module 10 : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

Leçon 1 : Résolution des problèmes liés aux services de domaine Active Directory 10-3

Leçon 2 : Résolution des problèmes liés à l’intégration du système DNS et des services de domaine Active Directory 10-9

Leçon 3 : Résolution des problèmes liés à la réplication des services de domaine Active Directory 10-16

Atelier pratique : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-24

Module 11 : Résolution des problèmes de stratégie de groupe Leçon 1 : Introduction à la résolution des problèmes de stratégie de groupe 11-3

Leçon 2 : Résolution des problèmes d’application de stratégie de groupe 11-10

Leçon 3 : Résolution des problèmes de paramètres de stratégie de groupe 11-18

Atelier pratique : Résolution des problèmes de stratégie de groupe 11-26

Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory®

Leçon 1 : Présentation du domaine des services de domaine Active Directory 12-3

Leçon 2 : Planification d’une stratégie de groupe 12-7

Atelier pratique A : Déploiement des services de domaine Active Directory 12-9

Atelier pratique B : Configuration de la relation d’approbation de forêt 12-25

Atelier pratique C : Conception d’une stratégie de groupe 12-33

Corrigés de l'atelier pratique

Page 17: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

À propos de ce cours xvii

À propos de ce cours Cette section décrit brièvement le cours, le profil des stagiaires, les connaissances préalables requises et les objectifs du cours.

Description du cours L’objectif de ce cours de 5 jours est d’apprendre à des spécialistes de la technologie Active Directory® comment configurer les services de domaine Active Directory® dans un environnement distribué, mettre en œuvre une stratégie de groupe, effectuer des sauvegardes et des restaurations et assurer le contrôle et la résolution des problèmes en cas de problème liés à Active Directory. Au terme de ce cours, les stagiaires seront à même d’implémenter et de configurer les services de domaine Active Directory dans leur environnement d’entreprise.

Public concerné Ce cours s’adresse principalement à des spécialistes de la technologie Active Directory, des administrateurs de serveurs et des administrateurs d’entreprise qui souhaitent apprendre à implémenter Active Directory dans un environnement distribué, à sécuriser des domaines à l’aide d’une stratégie de groupe, à effectuer des sauvegardes et des récupérations ainsi qu’à contrôler et résoudre les problèmes de configuration Active Directory afin d’assurer un fonctionnement sans problème.

Connaissances préalables Pour suivre ce cours, vous devez remplir les conditions préalables suivantes :

• compréhension élémentaire de la mise en réseau ; par exemple, le fonctionnement du protocole TCP/IP, l’adressage, la résolution de noms (Domain Name System [DNS] / Windows Internet Name Service [WINS]) et les méthodes de connexion (câblé, sans fil, réseau privé virtuel [VPN]), NET+ ou connaissances équivalentes ;

• compréhension intermédiaire des systèmes d’exploitation réseau ; par exemple, Windows® 2000, Windows® XP, Windows® server 2003, etc. et le système d’exploitation client Windows Vista® (utile d’avoir) ;

• sensibilisation aux meilleures pratiques ; par exemple, autorisations de système de fichiers, méthodes d’authentification, méthodes de renforcement des stations de travail et du serveur, etc. ;

• connaissance élémentaire du matériel serveur ; connaissance de A+ ou équivalent ;

Page 18: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

xviii À propos de ce cours

• une expérience dans la création d’objets dans Active Directory ;

• Cours de base (6424A: Fundamentals of Windows Server® 2008 Active Directory®) ou connaissances équivalentes.

• concepts de base des processus de sauvegarde et récupération dans un environnement Windows Server ; par exemple, types et méthodes de sauvegarde, topologies de sauvegarde, etc. (sujets traités dans 6420A: Fundamentals of Windows Server® 2008 Network Infrastructure and Application Platform).

Objectifs du cours À la fin de ce cours, les stagiaires seront à même d’effectuer les tâches suivantes :

• mettre en œuvre les services de domaine Active Directory ;

• configurer DNS pour les services de domaine Active Directory ;

• configurer des objets et des approbations Active Directory ;

• configurer des sites et la réplication Active Directory ;

• créer et configurer une stratégie de groupe ;

• configurer les environnements utilisateur à l’aide d’une stratégie de groupe ;

• mettre en œuvre la sécurité à l’aide d’une stratégie de groupe ;

• mettre en œuvre un plan de contrôle de services de domaine Active Directory ;

• mette en œuvre un plan de maintenance de services de domaine Active Directory ;

• résoudre les problèmes d’Active Directory, du système DNS et de réplication ;

• résoudre les problèmes de stratégie de groupe ;

• mettre en œuvre une infrastructure de services de domaine Active Directory.

Page 19: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

À propos de ce cours xix

Plan du cours Cette section fournit un plan du cours :

Module 1. Ce module traite du matériel et des logiciels requis pour la mise en œuvre des services de domaine Active Directory, ainsi que la procédure d’installation de ce dernier. Il explique également ce qu’est un contrôleur de domaine en lecture seule (RODC) et la façon de l’installer.

Module 2. Ce module présente la configuration DNS spécifique aux services de domaine Active Directory.

Module 3. Ce module explique comment mettre en œuvre et configurer les objets et les approbations des services de domaine Active Directory.

Module 4. Ce module explique comment créer et configurer des sites pour gérer la réplication.

Module 5. Ce module décrit le fonctionnement des objets Stratégie de groupe (GPO), ainsi que leur mode de création et d'application.

Module 6. Ce module explique comment configurer les paramètres du bureau d’utilisateur à l’aide d’une stratégie de groupe.

Module 7. Ce module explique comment configurer les paramètres de sécurité et les appliquer à l’aide d’objets de stratégie de groupe.

Module 8. Ce module décrit comment contrôler une infrastructure et les services de domaine Active Directory.

Module 9. Ce module explique comment effectuer la maintenance, la sauvegarde et la récupération de serveurs et d’objets Active Directory.

Module 10. Ce module explique comment dépanner et résoudre les problèmes liés aux services de domaine Active Directory, DNS et à la réplication.

Module 11. Ce module explique comment dépanner et résoudre des problèmes liés à la stratégie de groupe.

Module 12. Ce module est un atelier pratique d’une journée. Vous disposez de scénarios avec lesquels vous allez apprendre à créer une solution de bout en bout.

Page 20: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

xx À propos de ce cours

Documents de cours Votre kit de cours contient les documents suivants :

• Guide du cours. Le guide du cours contient les sujets traités en classe. Il est destiné à être utilisé conjointement au CD-Rom d’accompagnement du cours.

• CD-Rom d’accompagnement du cours. Le CD-Rom d’accompagnement du cours contient la totalité du cours, notamment le contenu développé des pages de rubrique, l’ensemble des exercices de cet atelier et leurs corrigés, les ressources classées par rubriques et par catégories et des liens Internet. Il est destiné à être utilisé à la fois en classe et en dehors.

Remarque : pour accéder au contenu du cours, insérez le CD-ROM d’accompagnement du cours dans le lecteur de CD-ROM, puis double-cliquez à la racine sur StartCD.exe.

• Évaluation du cours. À la fin du cours, vous pourrez remplir une fiche d’évaluation en ligne pour émettre vos commentaires sur le cours, le centre de formation et l’instructeur.

Pour formuler des commentaires et impressions complémentaires sur le cours, vous pouvez envoyer un courrier électronique à l’adresse [email protected]. Pour obtenir des renseignements sur le programme MCP (Microsoft Certified Professional), envoyez un courrier électronique à l’adresse [email protected].

Page 21: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

À propos de ce cours xxi

Environnement de l’ordinateur virtuel Cette section fournit des informations pour configurer l’environnement de la classe afin de prendre en charge le scénario d’entreprise du cours.

Configuration de l’ordinateur virtuel Dans ce cours, vous utiliserez Microsoft Virtual Server 2005 et l’utilitaire de lancement des ateliers pratiques MSL pour effectuer les ateliers pratiques.

Important : à la fin de chaque atelier pratique, vous devez arrêter l’ordinateur virtuel sans enregistrer les modifications. Pour arrêter un ordinateur virtuel sans enregistrer les modifications, procédez comme suit : 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC. 2. Dans la zone Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorez les modifications. Cliquez sur OK.

Page 22: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

xxii À propos de ce cours

Le tableau suivant illustre le rôle de chaque ordinateur virtuel utilisé dans ce cours :

Ordinateur virtuel Rôle

6238A-NYC-DC1 Contrôleur de domaine dans le domaine WoodgroveBank.com

6238A-NYC-DC2 Contrôleur de domaine dans le domaine WoodgroveBank.com

6238A-MIA-RODC Contrôleur de domaine en lecture seule exécutant Windows Server 2008 Server Core

6238A-NYC-SVR1 Serveur autonome

6238A-NYC-SVR2 Ordinateur principal Windows Server 2008

6238A-NYC-CL1 Ordinateur Windows Vista dans le domaine WoodgroveBank.com

6238A-NYC-RAS Serveur membre du domaine WoodgroveBank.com

6238A-LON-DC1 Contrôleur de domaine dans le domaine EMEA.WoodgroveBank.com

6238A-VAN-DC1 Contrôleur de domaine Windows Server 2003 dans le domaine Fabrikam.com

Configuration logicielle Les logiciels suivants sont installés sur chaque ordinateur virtuel :

• Windows Server® 2008 Entreprise ; Windows Server® 2003 Enterprise ; Windows® Vista SP1

Page 23: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

À propos de ce cours xxiii

Installation de la salle de classe L’ordinateur virtuel sera configuré de la même façon sur tous les ordinateurs de la classe.

Niveau des éléments matériels du cours Pour garantir une utilisation satisfaisante, les formations Microsoft requièrent une configuration matérielle minimale pour les ordinateurs de l’instructeur et des stagiaires dans toutes les classes Microsoft CPLS (Certified Partner for Learning Solutions) dans lesquelles les produits officiels de formation Microsoft sont enseignés. Pour suivre ce cours, votre ordinateur doit au minimum disposer des éléments matériels de niveau 5,5, à savoir un Pentium 4 d’au moins 2,4 gigahertz ou UC équivalente, au moins 2 gigaoctets de RAM, 16 mégaoctets de RAM vidéo et deux disques durs de 40 gigaoctets à 7 200 tours/minute.

Page 24: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 25: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-1

Module 1. Implémentation des services de domaine Active Directory

Table des matières : Leçon 1 : Installation des services de domaine Active Directory 1-3

Leçon 2 : Déploiement de contrôleurs de domaine en lecture seule 1-18

Leçon 3 : Configuration des rôles de contrôleur de domaine des services de domaine Active Directory 1-28

Atelier pratique : Implémentation de contrôleurs de domaine en lecture seule et gestion des rôles de contrôleur de domaine 1-35

Page 26: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

Les services de domaine Active Directory sont installés en tant que rôle de serveur dans le système d’exploitation Windows Server® 2008. Vous avez plusieurs options lorsque vous installez les services de domaine Active Directory et exécutez l’Assistant Installation des services de domaine Active Directory. Vous devez choisir entre créer un nouveau domaine ou ajouter un contrôleur de domaine à un domaine existant. Vous avez également la possibilité d’installer les services de domaine Active Directory sur un serveur exécutant Windows Server 2008 Server Core ou d’installer des contrôleurs de domaine en lecture seule. Après le déploiement des contrôleurs de domaine, vous devez aussi gérer des rôles spéciaux de contrôleur de domaine, par exemple les maîtres de catalogue global et d’opérations.

Page 27: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-3

Leçon 1 : installation des services de domaine Active Directory

Windows Server 2008 offre plusieurs façons d’installer et de configurer les services de domaine Active Directory. Cette leçon décrit l’installation standard des services de domaine Active Directory, ainsi que quelques-unes des autres options disponibles durant l’installation.

Page 28: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Configuration requise pour l’installation des services de domaine Active Directory

Points clés Pour l’installation des services de domaine Active Directory, le serveur doit satisfaire les conditions suivantes :

• Le système d’exploitation Windows Server 2008 doit être installé. Il n’est possible d’installer les services de domaine Active Directory que sur les éditions suivantes :

• Le système d’exploitation Windows Server® 2008 Standard

• Le système d’exploitation Windows Server® 2008 Entreprise

• Le système d’exploitation Windows Server® 2008 Datacenter

Page 29: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-5

Lectures complémentaires • Aide des services de domaine Active Directory : installation des services de

domaine Active Directory

• Article Microsoft Technet : Configuration requise pour l’installation des services de domaine Active Directory

Page 30: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des niveaux fonctionnels d’un domaine et d’une forêt

Points clés Dans Windows Server 2008, les fonctionnalités des forêts et des domaines offrent un moyen d’activer les fonctionnalités Active Directory étendues à l’échelle de la forêt ou du domaine dans votre environnement réseau. Il existe différents niveaux de fonctionnalité de forêt et de domaine, selon le niveau fonctionnel du domaine et de la forêt.

Lectures complémentaires • Aide des services de domaine Active Directory : définition du niveau

fonctionnel du domaine ou de la forêt (éventuellement en anglais)

• Article Microsoft Technet : Annexe des fonctionnalités de niveau fonctionnel (éventuellement en anglais)

Page 31: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-7

Procédure d’installation des services de domaine Active Directory

Points clés Pour configurer un contrôleur de domaine Windows Server 2008, vous devez installer un rôle de serveur Services de domaine Active Directory et exécuter l’Assistant Installation des services de domaine Active Directory. Pour ce faire, suivez l’une des procédures ci-après :

• Installez le rôle de serveur au moyen du Gestionnaire de serveur et lancez l’Assistant d’installation en exécutant DCPromo ou l’Assistant d’installation depuis le Gestionnaire de serveur.

• Exécutez DCPromo à l’aide de la commande Exécuter ou d’une invite de commandes. Cela permet d’installer le rôle de serveur Services de domaine Active Directory et de lancer l’Assistant d’installation.

Page 32: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Aide des services de domaine Active Directory : installation des services de

domaine Active Directory

• Article Microsoft Technet : Installation d’une nouvelle forêt Windows Server 2008 et scénarios d’installation des services de domaine Active Directory (éventuellement en anglais)

Page 33: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-9

Options avancées pour l’installation des services de domaine Active Directory

Points clés Certaines des pages de l’Assistant Installation des services de domaine Active Directory ne s’affichent que si vous activez la case à cocher Utilisez l’installation en mode avancé sur la page Bienvenue de cet Assistant ou que vous exécutez DCPromo avec le commutateur /adv. Si vous n’exécutez pas l’Assistant d’installation en mode avancé, les options par défaut applicables à la plupart des configurations sont utilisées.

Question : Quand devez-vous utiliser le mode des options avancées dans votre organisation ?

Page 34: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Aide des services de domaine Active Directory : utilisation du mode

d’installation avancé (éventuellement en anglais)

• Article Microsoft Technet : Nouveautés de l’installation et de la suppression des services de domaine Active Directory (éventuellement en anglais)

Page 35: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-11

Installation des services de domaine Active Directory à partir du support (éventuellement en anglais)

Points clés Pour pouvoir utiliser le support de sauvegarde comme source d’installation d’un contrôleur de domaine, créez le support d’installation à l’aide de Ntdsutil.exe.

Ntdsutil.exe peut créer quatre types de support d’installation.

Question : Quels types de support d’installation allez-vous utiliser dans votre organisation ?

Lectures complémentaires • Article Microsoft Technet : Installation des services de domaine Active

Directory à partir du support (éventuellement en anglais)

Page 36: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Vérification de l’installation des services de domaine Active Directory

Question : Quelle procédure devez-vous suivre si vous remarquez que l’installation du contrôleur de domaine a échoué ?

Lectures complémentaires • Article Microsoft Technet : Vérification d’une installation des services de

domaine Active Directory (éventuellement en anglais)

Page 37: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-13

Mise à niveau vers les services de domaine Active Directory de Windows Server 2008

Points clés Pour installer un nouveau contrôleur de domaine Windows Server 2008 dans un domaine Windows 2000 Server ou Windows Server 2003 existant, suivez cette procédure :

• Si le contrôleur de domaine est le premier contrôleur de domaine Windows Server 2008 de la forêt, vous devez préparer celle-ci pour Windows Server 2008 en étendant le schéma sur le maître d’opérations de schéma. Pour étendre le schéma, exécutez adprep /forestprep. L’outil adprep se trouve sur le support d’installation de Windows Server 2008.

• Si le contrôleur de domaine est premier contrôleur de domaine Windows Server 2008 d’un domaine Windows 2000 Server, vous devez d’abord préparer celui-ci en exécutant adprep /domainprep /gpprep sur le maître d’infrastructure. Le commutateur gpprep ajoute des entrées de contrôle d’accès (ACE) héritables aux objets de stratégie de groupe situés dans le dossier partagé SYSVOL et synchronise celui-ci entre les contrôleurs du domaine.

Page 38: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

• Si le contrôleur de domaine est premier contrôleur de domaine Windows Server 2008 d’un domaine Windows Server 2003, vous devez d’abord préparer celui-ci en exécutant adprep /domainprep sur le maître d’infrastructure.

• Après l’installation d’un contrôleur de domaine inscriptible, vous pouvez installer un contrôleur de domaine en lecture seule dans la forêt Windows Server 2003. Au préalable, vous devez préparer la forêt en exécutant adprep /rodcprep. Vous pouvez exécuter adprep /rodcprep sur un ordinateur quelconque de la forêt. Si le contrôleur de domaine en lecture seule doit être un serveur de catalogue global, vous devez exécuter adprep /domainprep sur tous les domaines de la forêt, que ceux-ci utilisent ou non un contrôleur de domaine Windows Server 2008. L’exécution de adprep /domainprep dans tous les domaines permet au contrôleur de domaine en lecture seule de répliquer les données de catalogue global de tous les domaines de la forêt et d’effectuer une annonce en tant que serveur de catalogue global.

Lectures complémentaires • Aide des services de domaine Active Directory : installation des services de

domaine Active Directory

• Article Microsoft Technet : Installation d’une nouvelle forêt Windows Server 2008 (éventuellement en anglais)

• Article Microsoft Technet : Scénarios d’installation des services de domaine Active Directory (éventuellement en anglais)

Page 39: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-15

Installation des services de domaine Active Directory sur un ordinateur Server Core

Points clés Pour installer les services de domaine Active Directory sur un ordinateur Windows Server 2008 exécutant Server Core, vous devez utiliser l’installation sans surveillance. Windows Server 2008 Server Core ne fournissant pas d’interface utilisateur, vous ne pouvez pas exécuter l’Assistant Installation des services de domaine Active Directory.

Pour réaliser une installation automatisée des services de domaine Active Directory, utilisez un fichier de réponse et la syntaxe suivante avec la commande Dcpromo :

Dcpromo /answer[:nomfichier], where nomfichier est le nom de votre fichier de réponse.

Page 40: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Article Microsoft Technet : Installation d’une forêt Windows Server 2008,

Annexe des paramètres d’installation sans assistance (éventuellement en anglais)

Page 41: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-17

Discussion : Configuration commune pour les services de domaine Active Directory

Points clés Après avoir installé un contrôleur de domaine, vous devrez peut-être effectuer des tâches supplémentaires dans votre environnement. Dans le Gestionnaire de serveur, sous Ressources et support, vous pouvez accéder aux listes de contrôle des configurations communes suivantes pour les services de domaine Active Directory :

Lectures complémentaires • Aide des services de domaine Active Directory : configurations communes

pour les services de domaine Active Directory (éventuellement en anglais)

Page 42: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 2 : Déploiement de contrôleurs de domaine en lecture seule

La possibilité d’utiliser des contrôleurs de domaine en lecture seule constitue l’une des nouvelles fonctionnalités importantes de Windows Server 2008. Les contrôleurs de domaine en lecture seule fournissent toutes les fonctionnalités dont les clients ont besoin, tout en offrant une sécurité renforcée pour les contrôleurs de domaine déployés dans les succursales. Lors de la configuration des contrôleurs de domaine en lecture seule, vous pouvez préciser quels mots de passe de compte d’utilisateur seront mis en cache sur le serveur et configurer les autorisations administratives déléguées pour le contrôleur de domaine. Cette leçon explique comment installer et configurer des contrôleurs de domaine en lecture seule.

Page 43: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-19

Description du contrôleur de domaine en lecture seule

Points clés Un contrôleur de domaine en lecture seule est un nouveau type de contrôleur de domaine pris en charge par Windows Server 2008. Il héberge les partitions en lecture seule de la base de données des services de domaine Active Directory. Cela signifie qu’il est impossible de modifier la copie de la base de données que stocke le contrôleur de domaine en lecture seule. De plus, la réplication des services de domaine Active Directory dans son ensemble utilise une connexion unidirectionnelle entre un contrôleur de domaine disposant d’une copie inscriptible de la base de données et le contrôleur de domaine en lecture seule.

Lectures complémentaires • Article Microsoft Technet : Services de domaine Active Directory : contrôleurs

de domaine en lecture seule (éventuellement en anglais)

Page 44: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctionnalités des contrôleurs de domaine en lecture seule

Points clés Voir la liste sur la diapositive.

Lectures complémentaires • Article Microsoft Technet : Services de domaine Active Directory : contrôleurs

de domaine en lecture seule (éventuellement en anglais)

• Article Microsoft Technet : Guide pas à pas pour les contrôleurs de domaine en lecture seule dans Windows Server 2008 Beta 3 (éventuellement en anglais)

Page 45: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-21

Préparation de l’installation du contrôleur de domaine en lecture seule

Points clés Avant d’installer un contrôleur de domaine en lecture seule, vous devez préparer l’environnement des services de domaine Active Directory en suivant cette procédure :

• définir le niveau fonctionnel du domaine et de la forêt ;

• planifier la disponibilité du contrôleur de domaine Windows Server 2008 ;

• préparer la forêt et le domaine.

Page 46: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Aide des services de domaine Active Directory : délégation de l’installation et

de l’administration des contrôleurs de domaine en lecture seule (éventuellement en anglais)

• Article Microsoft Technet : Services de domaine Active Directory : contrôleurs de domaine en lecture seule (éventuellement en anglais)

• Article Microsoft Technet : Guide pas à pas pour les contrôleurs de domaine en lecture seule dans Windows Server 2008 Beta 3 (éventuellement en anglais)

Page 47: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-23

Installation du contrôleur de domaine en lecture seule

Points clés L’installation du contrôleur de domaine en lecture seule est quasiment identique à celle des services de domaine Active Directory sur un contrôleur de domaine comportant une copie inscriptible de la base de données. Il faut toutefois prévoir quelques étapes supplémentaires.

Lectures complémentaires • Aide des services de domaine Active Directory : délégation de l’installation et

de l’administration des contrôleurs de domaine en lecture seule (éventuellement en anglais)

• Article Microsoft Technet : Guide pas à pas pour les contrôleurs de domaine en lecture seule dans Windows Server 2008 Beta 3 (éventuellement en anglais)

Page 48: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Délégation de l’installation d’un contrôleur de domaine en lecture seule

Points clés Vous pouvez déléguer l’installation d’un contrôleur de domaine en lecture seule en effectuant une installation en deux étapes :

Question : quels sont les avantages de la délégation de l’installation d’un contrôleur de domaine en lecture seule ?

Page 49: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-25

Lectures complémentaires • Aide des services de domaine Active Directory : délégation de l’installation et

de l’administration des contrôleurs de domaine en lecture seule (éventuellement en anglais)

• Article Microsoft Technet : Services de domaine Active Directory : contrôleurs de domaine en lecture seule (éventuellement en anglais)

• Article Microsoft Technet : Guide pas à pas pour les contrôleurs de domaine en lecture seule (éventuellement en anglais)

Page 50: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des stratégies de réplication des mots de passe

Points clés Lorsque vous déployez un contrôleur de domaine en lecture seule, vous pouvez configurer une stratégie de réplication des mots de passe à lui appliquer. Cette stratégie fait office de liste de contrôle d’accès qui détermine si un contrôleur est autorisé à mettre un mot de passe en cache.

La stratégie de réplication des mots de passe répertorie les comptes dont vous autorisez explicitement la mise en cache et ceux pour lesquels vous ne la permettez pas. Les mots de passe des comptes ne sont réellement mis en cache sur le contrôleur de domaine en lecture seule qu’après la première authentification du compte d’utilisateur ou d’ordinateur via ce contrôleur.

Lectures complémentaires • Aide en ligne des services de domaine Active Directory : définition d’une

stratégie de réplication des mots de passe (éventuellement en anglais)

Page 51: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-27

Démonstration : Configuration de la séparation du rôle d’administrateur et des stratégies de réplication des mots de passe

Questions :

Quelle autre méthode vous permet de configurer la séparation des rôles d’administrateur et les stratégies de réplication des mots de passe ?

Votre organisation a déployé deux contrôleurs de domaine en lecture seule. Comment devez-vous configurer la stratégie de réplication des mots de passe si vous souhaitez que les informations d’identification de tous les comptes d’utilisateurs et comptes d’ordinateurs à l’exception de ceux pour administrateurs et cadres soient mis en cache sur les deux contrôleurs de domaine en lecture seule ?

Lectures complémentaires • Aide des services de domaine Active Directory : définition d’une stratégie de

réplication des mots de passe (éventuellement en anglais)

Page 52: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 3 : Configuration des rôles de contrôleur de domaine des services de domaine Active Directory

Tous les contrôleurs de domaine d’un domaine sont globalement égaux : ils contiennent tous les mêmes données et fournissent les mêmes services. Vous pouvez toutefois leur affecter des rôles spéciaux afin de fournir des services supplémentaires ou concevoir des scénarios dans lesquels un seul contrôleur de domaine doit fournir des services à tout moment. Cette leçon explique comment configurer et gérer des serveurs de catalogue global et des maîtres d’opérations.

Page 53: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-29

Description des serveurs de catalogue global

Points clés Le catalogue global est une réplique partielle en lecture seule de toutes les partitions d’annuaire de domaine d’une forêt. Il s’agit d’une réplique partielle car elle inclut uniquement un jeu limité d’attributs pour chacun des objets de la forêt. En incluant uniquement les attributs faisant le plus souvent l’objet d’une recherche, la base de données d’un seul serveur de catalogue global peut représenter chaque objet de chaque domaine de la forêt.

Le serveur de catalogue global est un contrôleur de domaine qui héberge également le catalogue global. Les services de domaine Active Directory configurent automatiquement le premier contrôleur de domaine de la forêt en tant que serveur de catalogue global. Vous pouvez ajouter des fonctionnalités de catalogue global à d’autres contrôleurs de domaine ou transférer l’emplacement par défaut du catalogue global vers un autre contrôleur de domaine.

Lectures complémentaires • Article Microsoft Technet : Rôles de contrôleur de domaine (éventuellement en

anglais)

Page 54: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Modification du catalogue global

Points clés Vous souhaiterez parfois personnaliser le serveur de catalogue global pour inclure des attributs supplémentaires. Par défaut, le serveur de catalogue global contient les attributs les plus courants de chaque objet de la forêt. Les applications et les utilisateurs peuvent interroger ces attributs. Vous pouvez, par exemple, trouver un utilisateur par son prénom, son nom, son adresse de messagerie ou toute autre propriété courante.

Lectures complémentaires • Article Microsoft Technet : Rôles de contrôleur de domaine (éventuellement en

anglais)

Page 55: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-31

Démonstration : Configuration des serveurs de catalogue global

Questions :

Quels types d’erreurs ou d’expériences utilisateur pourraient vous conduire à envisager la nécessité de configurer un autre serveur en tant que serveur de catalogue global ?

Quelles motifs pourraient justifier la réplication d’un attribut dans le catalogue global ?

Lectures complémentaires • Article Microsoft Technet : Ajout d’un attribut au catalogue global

(éventuellement en anglais)

Page 56: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des rôles de maître d’opérations

Points clés Active Directory est conçu comme un système de réplication multimaître. Toutefois, pour certaines opérations d’annuaire, un seul serveur faisant autorité est requis. Les contrôleurs de domaine ayant des rôles spécifiques sont appelés maîtres d’opérations. Les contrôleurs de domaine ayant des rôles de maître d’opérations sont conçus pour exécuter des tâches spécifiques afin d’assurer la cohérence et d’éliminer les risques d’entrées conflictuelles dans la base de données Active Directory.

Lectures complémentaires • Article Microsoft Technet : Ajout d’un attribut au catalogue global

(éventuellement en anglais)

• Article Microsoft Technet : Gestion des rôles de maître d’opérations (éventuellement en anglais)

Page 57: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-33

Démonstration : Gestion des rôles de maître d’opérations

Questions :

Dans quels cas devez-vous prendre immédiatement un rôle de maître d’opérations plutôt que d’attendre la réparation d’un contrôleur de domaine gérant actuellement ce rôle ?

Vous déployez le premier contrôleur domaine dans un nouveau domaine qui sera une nouvelle arborescence de domaine dans la forêt WoodgroveBank.com. Quels rôles de maître d’opérations ce serveur tiendra-t-il par défaut ?

Lectures complémentaires • Article Microsoft Technet : Gestion des rôles de maître d’opérations

(éventuellement en anglais)

Page 58: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-34 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctionnement du service de temps Windows

Points clés Le service de temps Windows, appelé aussi W32Time, synchronise la date et l’heure pour tous les ordinateurs d’un réseau Windows Server 2008. Ce service utilise le protocole NTP (Network Time Protocol) pour garantir des paramètres de date et d’heure exacts sur l’ensemble du réseau. Vous pouvez également intégrer le service de temps Windows à des sources de date et d’heure externes.

Lectures complémentaires • Article Microsoft Technet : Référence technique du service de temps Windows

(éventuellement en anglais)

• Article Microsoft Technet : configuration d’une source de temps pour la forêt (éventuellement en anglais)

Page 59: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-35

Atelier pratique : Implémentation de contrôleurs de domaine en lecture seule et gestion des rôles de contrôleur de domaine

Scénario

La Woodgrove Bank a commencé le déploiement de Windows Server 2008. L’organisation a déployé plusieurs contrôleurs de domaine au siège de l’entreprise et se prépare à en faire autant dans des succursales. L’administrateur d’entreprise a créé une conception qui requiert le déploiement de contrôleurs de domaine en lecture seule sur des serveurs exécutant Windows Server 2008 dans toutes les succursales. Votre tâche consiste à déployer un contrôleur de domaine répondant à ces exigences dans une succursale.

Page 60: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-36 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Évaluation de l’état de préparation de la forêt et du serveur pour l’installation d’un contrôleur de domaine en lecture seule Dans cet exercice, vous allez évaluer l’état de préparation de la forêt et du serveur pour l’installation d’un contrôleur de domaine en lecture seule. Vous allez aussi préparer la forêt en vue de l’installation. En outre, vous examinerez la configuration d’un serveur exécutant Server Core afin de vérifier qu’il remplit les conditions requises pour l’installation d’un contrôleur de domaine en lecture seule.

Remarque : en raison des limites de l’environnement d’atelier virtuel, vous allez installer le contrôleur de domaine en lecture seule sur le même site que les contrôleurs de domaine existants. Dans un environnement de production, vous devez suivre la même procédure, même si le contrôleur de domaine en lecture seule se trouve sur un autre site.

Les principales tâches sont les suivantes :

1. Démarrer les ordinateurs virtuels et ouvrir une session.

2. Vérifier que le niveau fonctionnel de la forêt et du domaine est compatible avec le déploiement d’un contrôleur de domaine en lecture seule.

3. Vérifier qu’un contrôleur de domaine inscriptible exécutant Windows Server 2008 est disponible.

4. Configurer les paramètres de compte d’ordinateur pour le contrôleur de domaine en lecture seule.

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Lancer.

3. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC2, cliquez sur Lancer.

4. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-SVR1, cliquez sur Lancer.

Page 61: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-37

5. Ouvrez une session sur NYC-DC1 et NYC-DC2 en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

6. Ouvrez une session sur NYC-SVR1 en tant que LocalAdmin avec le mot de passe Pa$$w0rd.

7. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Vérifier que le niveau fonctionnel de la forêt et du domaine est compatible avec le déploiement d’un contrôleur de domaine en lecture seule. 1. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory.

2. Affichez les propriétés de WoodgroveBank.com, puis vérifiez que le niveau fonctionnel du domaine et celui de la forêt sont definis sur ceux de Windows Server 2003.

Tâche 3 : Vérifier la disponibilité d’un contrôleur de domaine inscriptible exécutant Windows Server 2008. 1. Dans Utilisateurs et ordinateurs Active Directory, vérifiez les propriétés de

NYC-DC1.

2. Vérifiez que le nom du système d’exploitation est Windows Server 2008 Enterprise.

Tâche 4 : Configurer les paramètres de compte d’ordinateur pour le contrôleur de domaine en lecture seule. 1. Sur NYC-SVR1, ouvrez le Gestionnaire de serveur.

2. Cliquez sur Modifier les propriétés système, et dans l’onglet Nom de l’ordinateur, changez le nom de l’ordinateur en TOR-DC1.

3. Redémarrez l’ordinateur.

Résultat : au terme de cet exercice, vous aurez vérifié que le domaine et l’ordinateur sont prêts pour l’installation d’un contrôleur de domaine en lecture seule.

Page 62: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-38 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Installation et configuration d’un contrôleur de domaine en lecture seule Dans cet exercice, vous allez installer le rôle de serveur Contrôleur de domaine en lecture seule sur l’ordinateur Windows Server 2008. Pour ce faire, vous aller préconfigurer le compte d’ordinateur que le contrôleur de domaine en lecture seule utilisera. Dans le cadre de cette procédure, vous allez configurer un groupe d’administration disposant d’autorisations pour installer le contrôleur de domaine. Une fois l’installation terminée, vous allez vérifier qu’elle s’est correctement déroulée. Vous allez également configurer des stratégies de réplication des mots de passe pour les utilisateurs qui ouvrent une session sur le contrôleur de domaine.

Les principales tâches sont les suivantes :

1. Prédéfinir le compte d’ordinateur pour le contrôleur de domaine en lecture seule.

2. Ouvrir une session sur TOR-DC1 en tant qu’Administrateur.

3. Installer le contrôleur de domaine en lecture seule au moyen du compte existant. Utiliser WoodgroveBank\Fabrice comme compte avec des informations d’identification pour effectuer l’installation.

4. Vérifier l’installation du contrôleur de domaine.

5. Configurer une stratégie de réplication de mot de passe permettant la mise en cache des informations d’identification pour tous les comptes d’utilisateur à Toronto.

Tâche 1 : Prédéfinir le compte d’ordinateur pour le contrôleur de domaine en lecture seule. 1. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory.

2. Cliquez avec le bouton droit sur l’unité d’organisation Contrôleurs de domaine et cliquez sur Créer au préalable un compte de contrôleur de domaine en lecture seule.

3. Exécutez l’Assistant Installation des services de domaine Active Directory en utilisant les sélections suivantes :

a. Utiliser l’installation en mode avancé.

b. Utiliser les informations d’identification actuelles.

c. Nom de l’ordinateur : TOR-DC1

Page 63: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-39

d. Site par défaut

e. Installez uniquement les options DNS et de contrôleur de domaine en lecture seule.

f. Déléguez à Fabrice Canel l’autorisation d’installer le contrôleur de domaine en lecture seule.

Tâche 2 : Ouvrir une session sur TOR-DC1 en tant que LocalAdmin. • Ouvrez une session en tant que LocalAdmin avec le mot de passe Pa$$w0rd.

Tâche 3 : Installer le contrôleur de domaine en lecture seule au moyen du compte existant. Utilisez WoodgroveBank\Fabrice comme compte avec des informations d’identification pour effectuer l’installation. 1. Sur TOR-DC1, ouvrez une invite de commandes et tapez dcpromo

/UseExistingAccount:Attach, et appuyez sur Entrée :

2. Exécutez l’Assistant Installation des services de domaine Active Directory en utilisant les sélections suivantes :

a. Utiliser l’installation en mode avancé.

b. Indiquez Fabrice comme informations d’identification de remplacement.

c. Utilisez TOR-DC1 comme nom de l’ordinateur.

d. Utilisez NYC-DC1.WoodgroveBank.com comme contrôleur de domaine source.

e. Acceptez l’emplacement par défaut pour les fichiers de base de données, les fichiers journaux et les fichiers SYSVOL.

f. Utilisez Pa$$w0rd comme mot de passe d’administrateur de restauration des services d’annuaire.

3. Redémarrez l’ordinateur une fois l’installation terminée.

Page 64: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-40 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 4 : Vérifier le bon déroulement de l’installation du contrôleur de domaine. 1. Après le redémarrage de NYC-SRV1, ouvrez une session en tant que Fabrice

avec le mot de passe Pa$$w0rd.

2. Dans le Gestionnaire de serveur, vérifiez que le rôle de serveur Services de domaine Active Directory est installé.

3. Vérifiez que tous les services requis sont en fonctionnement.

4. Dans Utilisateurs et ordinateurs Active Directory, vérifiez que TOR-DC1 est répertorié dans l’unité d’organisation Contrôleurs de domaine.

5. Vérifiez que vous ne disposez pas d’autorisations pour ajouter ou supprimer des objets de domaine.

6. Dans Sites et services Active Directory, vérifiez que TOR-DC1 figure dans la liste Serveurs pour Default-First-Site-Name.

7. Vérifiez les Paramètres NTDS pour TOR-DC1. Confirmez que les objets de connexion ont été créés.

8. Vérifiez les Paramètres NTDS pour NYC-DC1. Confirmez qu’aucun objet de connexion n’a été créé pour la réplication avec TOR-DC1.

9. Ouvrez l’Observateur d’événements. Dans le journal du service d’annuaire, localisez et affichez un message avec l’ID d’événement 1128. Cet ID d’événement vérifie qu’un objet de connexion de réplication a été créé entre NYC-DC1 et TOR-DC1.

Tâche 5 : Configurer une stratégie de réplication de mots de passe permettant la mise en cache des informations d’identification pour tous les comptes d’utilisateur à Toronto. 1. Sur NYC-DV1, dans Utilisateurs et ordinateurs Active Directory, accédez à la

boîte de dialogue Propriétés de TOR-DC1.

2. Ajoutez tous les groupes de Toronto à la stratégie de réplication des mots de passe.

Résultat : au terme de cet exercice, vous aurez installé un contrôleur de domaine en lecture seule et configuré sa stratégie de réplication des mots de passe.

Page 65: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-41

Exercice 3 : Configuration des rôles de contrôleur de domaine des services de domaine Active Directory Dans cet exercice, vous allez configurer le contrôleur de domaine en lecture seule, installé dans l’exercice précédent, en tant que serveur de catalogue global. Vous allez également affecter des rôles de maître d’opérations à un contrôleur de domaine supplémentaire dans le domaine.

Les principales tâches sont les suivantes :

1. Utiliser Sites et services Active Directory pour configurer TOR-DC1 en tant que serveur de catalogue global.

2. Configurer NYC-DC2 en tant que maître d’infrastructure et maître d’opérations des noms de domaine pour le domaine WoodgroveBank.com.

3. Ajouter l’attribut Service au catalogue global.

4. Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation.

Tâche 1 : Utiliser Sites et services Active Directory pour configurer TOR-DC1 en tant que serveur de catalogue global. 1. Sur NYC-DC1, dans Sites et services Active Directory, localisez le compte

d’ordinateur TOR-DC1.

2. Accédez au Paramètres NTDS, et activez la case à cocher Catalogue global.

Tâche 2 : Configurer NYC-DC2 en tant que maître d’infrastructure et maître d’opérations des noms de domaine pour le domaine WoodgroveBank.com. 1. Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, changez le

focus de la console en NYC-DC1.WoodgroveBank.com, puis cliquez sur OK.

2. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Maîtres d’opérations. Transférez le rôle de maître d’infrastructure vers NYC-DC2.WoodgroveBank.com.

3. Sur NYC-DC2, ouvrez Domaines et approbations Active Directory. Accédez aux paramètres du Maître d’opérations et transférez le rôle de maître d’opérations des noms de domaine vers NYC-DC2.

Page 66: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-42 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 3 : Ajouter l’attribut Service au catalogue global. 1. Sur NYC-DC1, utilisez regsvr32 schmmgmt.dll pour enregistrer le composant

logiciel enfichable Schéma Active Directory.

2. Créez une nouvelle console MMC et ajoutez le composant logiciel enfichable Schéma Active Directory.

3. Dans le Schéma Active Directory, accédez à l’attribut Service et configurez l’attribut pour une réplication dans le Catalogue global.

Tâche 4 : Arrêter tous les ordinateurs virtuels et ignorer les modifications. 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations. Cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez configuré un serveur de catalogue global et les rôles de contrôleur de domaine des services de domaine Active Directory.

Page 67: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-43

Récapitulatif du module et objectifs

Questions du contrôle des acquis 1. Vous déployez un contrôleur de domaine dans une succursale. Comme la

succursale ne dispose pas d’une salle de serveur hautement sécurisée, la sécurité du serveur vous préoccupe. Quelles sont les deux fonctionnalités de Windows Server 2008 dont vous pouvez tirer parti pour mieux sécuriser le déploiement du contrôleur de domaine ?

2. Vous devez créer un nouveau domaine en installant un contrôleur de domaine dans votre infrastructure Active Directory. Vous analysez à cette fin l’inventaire des serveurs disponibles. Quels ordinateurs pourraient servir de contrôleurs de domaine ?

a. Windows Server 2008 Web Edition, système de fichiers NTFS, 1 Go d’espace disque disponible, TCP/IP.

b. Windows Server 2008 Enterprise Edition, système de fichiers NTFS, 500 Mo d’espace disque disponible, TCP/IP.

Page 68: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

1-44 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

c. Windows Server 2008 Server Core Enterprise Edition, système de fichiers NTFS, 1 Go d’espace disque disponible, TCP/IP.

d. Windows Server 2008 Standard Edition, système de fichiers NTFS, 500 Mo d’espace disque disponible, TCP/IP.

3. Vous déployez un contrôleur de domaine en lecture seule dans une succursale. Vous devez vérifier que tous les utilisateurs de la succursale peuvent s’authentifier même si la connexion de réseau étendu depuis cette succursale n’est pas disponible. Seuls les utilisateurs qui ouvrent une session dans la succursale devraient-ils pouvoir le faire ? Comment configureriez-vous la stratégie de réplication des mots de passe ?

4. Vous devez installer un contrôleur de domaine en utilisant l’option d’installation à partir du support. Quelle est la procédure requise ?

5. Allez-vous déployer des contrôleurs de domaine en lecture seule dans votre environnement de services de domaine Active Directory ? Décrivez le scénario de déploiement.

6. Vous déployez un contrôleur de domaine dans une succursale. La succursale possède une connexion de réseau étendu au siège qui dispose de très peu de bande passante et qui n’est pas très fiable. Devez-vous configurer le contrôleur de domaine de la succursale en tant que serveur de catalogue global ?

Éléments à prendre en considération Gardez à l’esprit les aspects suivants lorsque vous implémentez des contrôleurs de domaine à lecture seule et gérer des rôles de contrôleurs de domaine :

• Vous pouvez installer le rôle de serveur des services de domaine Active Directory sur toutes les éditions de Windows Server 2008, à l’exception de Windows Server 2008 Web Server Edition.

• Envisagez l’installation d’un contrôleur de domaine en lecture seule sur un ordinateur Windows Server 2008 Server Core pour renforcer la sécurité de votre environnement de domaine.

• Pour installer les services de domaine Active Directory sur un ordinateur Server Core, vous devez utiliser l’installation sans assistance.

Page 69: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation des services de domaine Active Directory 1-45

• Planifiez soigneusement les stratégies de réplication des mots de passe dans votre organisation. Si vous activez la mise en cache des informations d’identification pour la plupart des comptes de votre domaine, l’impact sur votre organisation est accru si le contrôleur de domaine est compromis. Si vous n’activez pas la mise en cache des informations d’identification, vous augmentez l’impact sur la succursale au cas où la liaison de réseau étendu au siège serait indisponible.

• Dans la plupart des cas, le déploiement d’un serveur de catalogue global sur un site améliore l’ouverture de session pour les utilisateurs. Toutefois, ce même déploiement dans une succursale augmente l’utilisation du réseau pour la réplication.

• Les rôles de maître d’opérations fournissent des services importants sur un réseau, mais pour lesquels le temps ne joue pas un rôle crucial. La plupart du temps, si un contrôleur de domaine ayant un rôle de maître d’opérations connaît une défaillance, vous n’avez pas à transférer ce rôle vers un autre contrôleur s’il est possible de réparer le serveur concerné en quelques heures.

Page 70: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 71: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-1

Module 2. Configuration du service de noms de domaine des services de domaine Active Directory

Table des matières : Leçon 1 : Présentation de l’intégration des services de domaine Active Directory et de DNS 2-3

Leçon 2 : Configuration des zones intégrées des services de domaine Active Directory 2-12

Leçon 3 : Configuration des zones DNS en lecture seule 2-21

Atelier pratique : Configuration de l’intégration des services de domaine Active Directory et du système DNS 2-25

Page 72: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

Le système DNS (Domain Name System) fait partie intégrante des services de domaine Active Directory® (AD DS) pour Windows Server® 2008. En comprenant la relation entre ces applications, vous pouvez résoudre les problèmes liés à Active Directory et améliorer la sécurité, tout en fournissant aux clients les fonctionnalités complètes du système DNS.

Page 73: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-3

Leçon 1 : Présentation de l’intégration des services de domaine Active Directory et de DNS

Windows Server 2008 exige qu’une infrastructure DNS soit en place avant d’installer les services de domaine Active Directory. Pour résoudre les problèmes liés au système DNS (problèmes d’ouverture de session client, par exemple), il est important de comprendre comment DNS et les services de domaine Active Directory sont intégrés et comment les ordinateurs clients utilisent le système DNS lors de l’ouverture de session.

Page 74: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Intégration des services de domaine Active Directory et de l’espace de noms DNS

Points clés Les domaines et les ordinateurs sont représentés par des enregistrements de ressources dans l’espace de noms DNS et par des objets Active Directory dans l’espace de noms Active Directory. Tous les domaines Active Directory doivent avoir des domaines DNS correspondants avec des noms de domaine identiques. Les clients s’appuient sur le système DNS pour résoudre les noms d’hôtes d’ordinateurs en adresses IP afin de pouvoir localiser des contrôleurs de domaine et d’autres ordinateurs qui fournissent les services de domaine Active Directory et d’autres services réseau.

Active Directory requiert le système DNS, mais pas un type particulier de serveur DNS. Par conséquent, il peut y avoir plusieurs types de serveurs DNS.

Question : Quelle est la relation entre les noms de domaine Active Directory et les noms de zone DNS ?

Page 75: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-5

Lectures complémentaires : • Intégration d’Active Directory (éventuellement en anglais)

• Intégration de DNS (éventuellement en anglais)

Page 76: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Enregistrements du localisateur de service

Points clés Pour que les services de domaine Active Directory fonctionnent correctement, les ordinateurs clients doivent être en mesure de localiser les serveurs qui fournissent des services spécifiques tels que l’authentification des demandes d’ouverture de session et des services Telnet ou SIP (Session Initiated Protocol). Les clients et les contrôleurs de domaine des services de domaine Active Directory utilisent des enregistrements de ressources de service (SRV) pour déterminer les adresses IP des ordinateurs qui fournissent ces services. Les applications des services de domaine Active Directory orientées site, telles que Microsoft® Exchange, utilisent aussi des enregistrements de ressources SRV.

Question : Dans l’exemple ci-dessous qui présente deux enregistrements de ressource SRV, quel enregistrement est utilisé par un client pour rechercher un service SIP ?

Page 77: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-7

• _sip._tcp.exemple.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com.

• _sip._tcp.exemple.com. 86400 IN SRV 50 20 5060 Lcs2.contoso.com.

Lectures complémentaires • Gestion des enregistrements de ressources (éventuellement en anglais)

• RFC 2782 - Un enregistrement de ressource DNS permettant de spécifier l’emplacement des services (SRV DNS) (éventuellement en anglais)

Page 78: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Enregistrements de ressources SRV inscrits par des contrôleurs de domaine AD DS

Questions :

Quel est l’avantage de répliquer la zone mscdcs sur la forêt entière ?

Comment privilégier un enregistrement de ressource SRV plutôt qu’un autre ?

Page 79: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-9

Utilisation des enregistrements du localisateur de ressource de service

Points clés Les ordinateurs clients du domaine utilisent l’interface de programmation d’application (API) du localisateur pour localiser un contrôleur de domaine en lançant une requête DNS. Si les enregistrements de ressources SRV ne sont pas disponibles pour identifier les contrôleurs de domaine, les ouvertures de session peuvent échouer. Tous les ordinateurs, y compris les stations de travail exécutant le système d’exploitation Windows® XP Professionnel ou Windows Vista® et les serveurs exécutant le système d’exploitation Windows Server® 2003 ou Windows Server 2008, utilisent le même processus pour localiser les contrôleurs de domaine.

Lectures complémentaires • Comment les contrôleurs de domaine sont-il localisés dans Windows XP ?

• Processus de localisation des contrôleurs de domaine

Page 80: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Intégration des enregistrements du localisateur de service et des sites Active Directory

Points clés Lorsqu’il recherche un contrôleur de domaine, le localisateur essaie de le trouver dans le site le plus proche du client. Le contrôleur de domaine utilise les informations stockées dans Active Directory afin de déterminer le site le plus proche. Dans la plupart des cas, le contrôleur de domaine qui répond en premier au client se trouve dans le même site que le client. Mais dans les cas où un ordinateur a été physiquement déplacé vers un autre site, ou si le contrôleur de domaine du site local n’est pas disponible, un processus recherche un autre contrôleur de domaine.

Lors du démarrage du service Ouverture de session réseau, le service correspondant de chaque contrôleur de domaine énumère les objets du site dans le conteneur Configuration. Le service Ouverture de session réseau utilise les informations sur les sites pour créer une structure en mémoire qui permet de mapper les adresses IP vers les noms de site.

Page 81: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-11

Lectures complémentaires • Recherche d’un contrôleur de domaine sur le site le plus proche

(éventuellement en anglais)

Page 82: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 2 : Configuration des zones intégrées des services de domaine Active Directory

L’intégration des zones DNS et Active Directory peut simplifier l’administration DNS en répliquant les informations de zone DNS dans le cadre de la réplication Active Directory. Elle fournit également des avantages tels que les mises à jour dynamiques sécurisées ainsi que le vieillissement et le nettoyage des enregistrements de ressources obsolètes.

Page 83: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-13

Les zones intégrées des services de domaine Active Directory

Points clés L’intégration DNS et Active Directory offre la possibilité d’intégrer des zones DNS dans une base de données Active Directory. Une zone est une partie de l’espace de noms du domaine possédant un groupement logique d’enregistrements de ressources, qui permet des transferts de zones pour ces enregistrements afin de fonctionner en tant qu’unité unique.

Lectures complémentaires • Intégration d’Active Directory (éventuellement en anglais)

Page 84: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Partitions d’applications dans les services de domaine Active Directory

Points clés Trois partitions principales contiennent des informations Active Directory :

• La partition de schéma, qui réplique les informations de schéma sur la forêt entière.

• La partition de configuration, qui réplique les informations de structure physique sur la forêt entière.

• La partition de domaine, qui réplique les informations de domaine sur tous les contrôleurs de domaine dans un domaine donné.

Lectures complémentaires • Réplication de zones DNS dans Active Directory (éventuellement en anglais)

Page 85: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-15

Options de configuration des partitions d’applications pour DNS

Points clés Vous pouvez modifier la portée de la réplication DNS à tout moment à l’aide de la Console de gestion Microsoft (MMC) DNS ou de l’outil de ligne de commande DNSCMD. Lorsque vous utilisez la Console MMC DNS, vous pouvez répliquer vers les destinations suivantes :

• Vers tous les serveurs DNS dans cette forêt.

• Vers tous les serveurs DNS dans ce domaine (il s’agit de l’emplacement de stockage par défaut).

Page 86: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

• Vers tous les contrôleurs de domaine de ce domaine (il s’agit de la partition d’informations de domaine).

• Vers tous les contrôleurs de domaine qui hébergent une partition d’application particulière.

Lectures complémentaires • Réplication de zones DNS dans Active Directory (éventuellement en anglais)

Page 87: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-17

Fonctionnement des mises à jour dynamiques

Points clés Les mises à jour dynamiques permettent aux ordinateurs clients DNS d’enregistrer et de mettre à jour dynamiquement leurs enregistrements de ressources sur un serveur DNS chaque fois que des changements se produisent. Cela réduit le besoin d’administrer les enregistrements de zone manuellement, en particulier pour les clients qui déplacent ou changent fréquemment des emplacements et qui utilisent DHCP (Dynamic Host Configuration Protocol) pour obtenir une adresse IP.

Lectures complémentaires • Mise à jour dynamique (éventuellement en anglais)

Page 88: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctionnement des mises à jour DNS dynamiques sécurisées

Points clés Les mises à jour dynamiques sécurisées fonctionnent comme les mises à jour dynamiques, avec l’exception suivante : le serveur de noms faisant autorité accepte uniquement les mises à jour provenant de clients et de serveurs qui sont authentifiés et joints au domaine Active Directory dans lequel le serveur DNS se trouve.

Comme le montre la diapositive, le client essaie d’abord une mise à jour non sécurisée. Si cette tentative échoue, le client tente alors de négocier une mise à jour sécurisée. Si le client a été authentifié par les services de domaine Active Directory, la mise à jour réussit.

Question : Quels sont les avantages à utiliser des zones DNS intégrées Active Directory ?

Page 89: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-19

Démonstration : Configuration des zones intégrées des services de domaine Active Directory

Questions :

Comment empêcher un ordinateur de s’inscrire dans la base de données DNS ?

Quelles conséquences y aurait-il à ne pas autoriser les mises à jour dynamiques ?

Lorsque vous utilisez les mises à jour dynamiques sécurisées, comment pouvez-vous contrôler quels clients sont autorisés à mettre à jour des enregistrements DNS ?

Page 90: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctionnement du chargement de zone à l’arrière-plan

Points clés Les très grandes organisations possédant des zones extrêmement volumineuses qui stockent leurs données DNS dans les services de domaine Active Directory se rendent compte parfois que le redémarrage d’un serveur DNS peut prendre une heure ou plus lorsque les données DNS sont récupérées depuis le service d’annuaire. Il en résulte que le serveur DNS est de fait non disponible pour traiter les requêtes des clients pendant toute la durée du chargement des zones intégrées à Active Directory.

Lectures complémentaires • Rôle du serveur DNS (éventuellement en anglais)

Page 91: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-21

Leçon 3 : Configuration des zones DNS en lecture seule

Vous pouvez renforcer la sécurité en configurant les zones DNS en lecture seule, puisque seul un administrateur a la possibilité de modifier ces zones. Tandis que le personnel non autorisé ne peut pas modifier des enregistrements sur le contrôleur de domaine en lecture seule (RODC), les clients ont toujours la pleine fonctionnalité de résolution de noms Active Directory.

Page 92: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Zones DNS en lecture seule

Points clés Lorsque vous installez un contrôleur de domaine en lecture seule Windows Server 2008, les options d’installation de serveur DNS vous sont proposées. L’option par défaut consiste à installer un serveur DNS principal en lecture seule localement sur le contrôleur de domaine en lecture seule, qui réplique la zone intégrée à Active Directory existante pour le domaine spécifié et ajoute l’adresse IP locale en tant que serveur DNS préféré dans les paramètres TCP/IP locaux. Cela garantit que le serveur DNS en cours d’exécution sur le RODC possède une copie intégrale en lecture seule de toutes les zones DNS.

Lectures complémentaires • Rôle du serveur DNS (éventuellement en anglais)

Page 93: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-23

Fonctionnement du DNS en lecture seule

Points clés Lorsqu’un ordinateur devient un RODC, il réplique une copie intégrale en lecture seule de toutes les partitions annuaire d’applications utilisées par DNS, y compris la partition de domaine, ForestDnsZones et DomainDnsZones. Cela garantit que le serveur DNS exécuté sur le RODC possède une copie intégrale en lecture seule de toutes les zones DNS stockées sur un contrôleur de domaine centralisé dans ces partitions annuaire. L’administrateur d’un RODC peut afficher le contenu d’une zone principale en lecture seule. Toutefois, l’administrateur peut modifier le contenu uniquement en remplaçant la zone sur un serveur DNS par une copie accessible en écriture de la base de données DNS.

Question : Comment RODC augmente-t-il la sécurité ?

Lectures complémentaires • Rôle du serveur DNS (éventuellement en anglais)

Page 94: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Discussion : Comparaison des options DNS pour les succursales

Points clés Répondez aux questions dans une discussion en classe.

Lectures complémentaires • Fonctionnement du DNS (éventuellement en anglais)

Page 95: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-25

Atelier pratique : Configuration de l’intégration d’AD DS et de DNS

Scénario

La Woodgrove Bank est une entreprise disposant de bureaux dans plusieurs villes à travers le monde. La Woodgrove Bank a des relations commerciales avec deux autres entités, Fabrikam Inc. et Contoso Inc. La Woodgrove Bank a fait l’acquisition des copies des fichiers de zone DNS pour ces entités. Tous les employés de la forêt de la Woodgrove Bank ont besoin d’un accès aux enregistrements DNS de Contoso Inc. Seuls les employés du domaine de la Woodgrove Bank doivent accéder aux fichiers DNS de Fabrikam Inc. La succursale de Woodgrove Bank possède un contrôleur de domaine en lecture seule. Ce contrôleur de domaine sera configuré pour prendre en charge le service Serveur DNS et toutes les zones DNS à l’échelle de la forêt et du domaine. L’administrateur de l’entreprise a créé un document de conception pour la configuration DNS. La conception inclut la configuration de zones intégrées Active Directory, la configuration des mises à jour dynamiques DNS et la configuration des zones DNS en lecture seule.

Page 96: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Configuration des zones intégrées Active Directory Dans cet exercice, vous allez configurer les zones DNS pour l’environnement de la Woodgrove Bank afin de répondre aux exigences de conception. Vous allez vérifier les enregistrements de ressources SRV que chaque contrôleur de domaine a inscrits et créer un nouvel enregistrement de ressource SRV pour prendre en charge le protocole Telnet. Vous allez également modifier des zones DNS pour examiner la différence entre les zones intégrées Active Directory et les zones standard, et configurer les mises à jour dynamiques et l’étendue de réplication. Vous utiliserez ensuite l’Éditeur ADSI pour afficher les enregistrements DNS stockés dans la partition du domaine.

Les principales tâches sont les suivantes :

1. Démarrer le contrôleur de domaine et ouvrir une session en tant qu’administrateur.

2. Examiner les enregistrements de ressources SRV.

3. Créer un enregistrement de ressource SRV pour prendre en charge le protocole Telnet sur l’ordinateur NYC-SRV2.

4. Créer deux zones à partir des fichiers de zones pour Fabrikam et Contoso.

5. Configurer les deux nouvelles zones pour les intégrer à Active Directory et s’assurer que les mises à jour dynamiques ne sont pas autorisées.

6. Configurer l’étendue de réplication de la zone Contoso à échelle de la forêt et celle de la zone Fabrikam à échelle du domaine.

7. Utiliser ADSI Edit.exe pour afficher les zones DNS intégrées Active Directory.

Tâche 1 : Démarrer l’ordinateur NYC-DC1 et ouvrir une session en tant qu’Administrateur. • Démarrez l’ordinateur NYC-DC1 et ouvrez une session en tant

qu’Administrateur avec le mot de passe Pa$$w0rd.

Page 97: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-27

Tâche 2 : Examiner les enregistrements de ressources SRV. 1. Ouvrez la console de gestion DNS, développez les Zones de recherche

directes, puis cliquez sur _msdsc.woodgrovebank.com.

2. Développez le dossier GC>_TCP.

3. Développez le dossier DC>_TCP.

4. Ouvrez les propriétés de _msdsc.woodgrovebank.com.

5. Fermez la page des propriétés.

Tâche 3 : Créer un enregistrement de ressource SRV pour prendre en charge le protocole Telnet sur l’ordinateur NYC-SRV2. 1. Cliquez avec le bouton droit sur _msdsc.woodgrovebank.com, puis cliquez

sur Nouveaux enregistrements.

2. Sélectionnez le type d’enregistrement Emplacement du service (SRV), puis cliquez sur Créer un enregistrement.

3. Dans le champ Service, sélectionnez _telnet dans la liste déroulante.

4. Dans le champ Hôte offrant ce service, tapez NYC-SRV2.woodgrovebank.com, cliquez sur OK, puis sur Terminé.

Tâche 4 : Créer deux zones à partir des fichiers de zones pour Fabrikam et Contoso. 1. Utilisez l’Explorateur Windows pour copier les fichiers Contoso.com.dns et

Fabrikam.com.dns du dossier D:\6238\Mod02\Labfiles vers C:\Windows\System32\DNS. Laissez la fenêtre de l’Explorateur Windows ouverte.

2. Utilisez la console de gestion DNS pour créer une zone principale standard nommée Contoso.com en utilisant le fichier Contoso.com.dns.

3. Créez une zone standard principale nommée Fabrikam.com en utilisant le fichier Fabrikam.com.dns.

Page 98: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 5 : Configurer les zones Contoso et Fabrikam pour les intégrer à Active Directory et s’assurer que les mises à jour dynamiques ne sont pas autorisées. 1. Ouvrez la page des propriétés de Contoso.com.

2. Modifiez le type de zone à stocker dans les services de domaine Active Directory.

3. Retournez dans la fenêtre de l’Explorateur Windows. Notez que le fichier de zone Contoso.com.dns n’est plus dans le dossier DNS. Il est maintenant stocké dans les services de domaine Active Directory.

4. Revenez à la page des propriétés de la zone Woodgrovebank.com et définissez Mises à jour dynamiques sur Aucune.

5. Répétez les étapes 1 à 4 pour la zone Fabrikam.com.

Tâche 6 : Configurer l’étendue de réplication de la zone Contoso à échelle de la forêt et celle de la zone Fabrikam à échelle du domaine. 1. Ouvrez la page des propriétés de Contoso.com.

2. Définissez l’étendue de réplication sur Vers tous les serveurs DNS de cette forêt.

3. Ouvrez la page des propriétés de Fabrikam.com.

4. Vérifiez que l’étendue de réplication pour la zone Fabrikam est Vers tous les serveurs DNS de ce domaine.

Tâche 7 : Utiliser ADSI Edit.exe pour afficher les zones DNS intégrées à Active Directory. 1. À partir de la commande Exécuter, lancez adsiedit.msc.

2. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion….

3. Dans la section Point de connexion, cliquez sur Sélectionnez ou entrez un nom unique ou un contexte d’attribution de noms.

4. Tapez DC=DomainDNSZones,DC=WoodgroveBank,DC=Com, puis cliquez sur OK.

Page 99: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-29

5. Développez le contexte d’attribution de noms, développez CN=MicrosoftDNS, puis cliquez sur DC=Woodgrovebank.com et examinez les enregistrements.

6. Double-cliquez sur l’enregistrement pour l’ordinateur NYC-DC1.

7. Fermez toutes les pages des propriétés et la console de gestion ADSI.

Résultat : au terme de cet exercice, vous aurez créé des zones DNS intégrées à Active Directory.

Page 100: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Configuration des zones DNS en lecture seule Au cours de cet atelier pratique, vous allez configurer une zone DNS en lecture seule sur un RODC et tester les mises à jour dynamiques et mises à jour administratives.

Les tâches principales consistent à configurer une zone DNS en lecture seule sur le RODC pour prendre en charge Fabrikam.

Les principales tâches sont les suivantes :

1. Démarrer et ouvrir une session sur le contrôleur de domaine en lecture seule en tant qu’Administrateur.

2. Installer le service Serveur DNS.

3. Configurer le serveur DNS pour prendre en charge toutes les zones à l’échelle du domaine et de la forêt.

4. Arrêter tous les ordinateurs virtuels et ignorer les changements.

Tâche 1 : Démarrer et ouvrir une session sur le contrôleur de domaine en lecture seule en tant qu’Administrateur. • Démarrez et ouvrez une session sur le contrôleur de domaine en lecture seule

en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

Tâche 2 : Installer le service Serveur DNS. • Utilisez Start /w Ocsetup DNS-Server-Core-Role pour installer le rôle de

serveur DNS.

Remarque : le nom du rôle de serveur est sensible à la casse.

Page 101: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-31

Tâche 3 : Configurer le serveur DNS pour prendre en charge toutes les zones à l’échelle du domaine et de la forêt. 1. À l'invite de commandes, entrez la commande suivante :

Dnscmd /enlistdirectorypartition DomainDnsZones.woodgrovebank.com

2. Puis tapez la commande suivante : Dnscmd /enlistdirectorypartition ForestDnsZones.woodgrovebank.com

3. Basculez vers l’ordinateur NYC-DC1 et ouvrez la console de gestion DNS.

4. Ajoutez l’ordinateur MIA-RODC à la console DNS et veillez à ce que toutes les zones DNS apparaissent.

Remarque : le nom du rôle de serveur est sensible à la casse.

Tâche 4 : Arrêter tous les ordinateurs virtuels et ignorer les changements.

Résultat : au terme de cet exercice, vous aurez configuré le serveur DNS pour prendre en charge toutes les zones à l’échelle du domaine et de la forêt.

Page 102: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

2-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Récapitulatif du module et objectifs

Questions du contrôle des acquis 1. Comment un ordinateur client détermine le site dans lequel il se trouve ?

2. Citez au moins trois avantages des zones intégrées Active Directory.

3. Dans l’exemple ci-dessous qui présente deux enregistrements de ressource SRV, quel enregistrement est utilisé par un client pour rechercher un service SIP ?

• _sip._tcp.exemple.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com.

• _sip._tcp.exemple.com. 86400 IN SRV 50 20 5060 Lcs2.contoso.com.

4. Quelles autorisations sont nécessaires pour créer des partitions d’annuaire d’applications DNS ?

5. Quels utilitaires sont disponibles pour créer des partitions d’applications ?

6. Quel est l’état par défaut des mises à jour dynamiques pour une zone intégrée Active Directory ?

Page 103: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration du service de noms de domaine des services de domaine Active Directory 2-33

7. Quel est l’état par défaut des mises à jour dynamiques pour une zone principale standard ?

8. Quels groupes disposent des autorisations pour effectuer des mises à jour dynamiques sécurisées ?

Éléments à prendre en considération Lorsque vous configurez l’intégration des services de domaine Active Directory et du système DNS, prenez en compte les éléments suivants :

• En raison de la dépendance à DNS de Windows Server 2008 et des clients Active Directory, la première étape de la résolution des problèmes liés à Active Directory consiste souvent à dépanner le système DNS.

• Les enregistrements du localisateur de service sont essentiels pour un fonctionnement correct d’Active Directory.

• Les enregistrements du localisateur de service doivent être extrêmement disponibles.

• Windows Server 2008 peut fonctionner avec n’importe quel serveur compatible avec DNS, mais les zones intégrées Active Directory fournissent des fonctionnalités et une sécurité supplémentaires.

• Les zones intégrées Active Directory peuvent être répliquées sur l’ensemble du domaine ou de la forêt, ou sur des contrôleurs de domaine spécifiques via les partitions d’applications personnalisées.

• Les enregistrements DNS internes doivent être conservés séparément des enregistrements DNS publics.

• Les mises à jour dynamiques allègent la charge administrative que représente la maintenance de la base de données de zone DNS.

• Les mises à jour dynamiques peuvent être limitées aux utilisateurs authentifiés.

• Le chargement des zones à l’arrière-plan réduit le temps d’indisponibilité des serveurs DNS après un redémarrage.

• Vous pouvez utiliser DNS en lecture seule avec des contrôleurs de domaine en lecture seule pour plus de sécurité tout en assurant la fonctionnalité de client requise.

Page 104: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 105: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-1

Module 3. Configuration des objets et approbations Active Directory

Table des matières : Leçon 1 : Configuration des objets Active Directory 3-3

Leçon 2 : Stratégies d’utilisation des groupes 3-14

Leçon 3 : Automatisation de la gestion des objets des services de domaine Active Directory 3-20

Atelier pratique A : Configuration des objets Active Directory 3-28

Leçon 4 : Délégation de l’accès administratif aux objets des services de domaine Active Directory 3-42

Leçon 5 : Configuration des approbations des services de domaine Active Directory 3-50

Atelier pratique B : Configuration des délégations et approbations Active Directory 3-62

Page 106: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

Après le déploiement initial des services de domaine Active Directory® (AD DS), les tâches les plus communes de l’administrateur de ces services consistent à gérer les objets AD DS. Dans la plupart des organisations, chaque employé reçoit un compte d’utilisateur, qui est ajouté à un ou plusieurs groupes dans les services de domaine Active Directory. Les comptes d’utilisateurs et de groupes permettent d’accéder aux ressources réseau Windows Server, telles que des sites Web, des boîtes aux lettres et des dossiers partagés.

Ce module explique comment effectuer un grand nombre de ces tâches administratives, et décrit les options permettant de les déléguer ou de les automatiser. Il explique également comment configurer et gérer les approbations Active Directory.

Page 107: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-3

Leçon 1 : Configuration des objets Active Directory

Après le déploiement initial des services de domaine Active Directory® (AD DS), les tâches les plus communes de l’administrateur de ces services consistent à gérer les objets AD DS. Dans la plupart des organisations, chaque employé reçoit un compte d’utilisateur, qui est ajouté à un ou plusieurs groupes dans les services de domaine Active Directory. Les comptes d’utilisateurs et de groupes permettent d’accéder aux ressources réseau Windows Server, telles que des sites Web, des boîtes aux lettres et des dossiers partagés.

Ce module explique comment effectuer un grand nombre de ces tâches administratives, et décrit les options permettant de les déléguer ou de les automatiser. Il explique également comment configurer et gérer les approbations Active Directory.

Page 108: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Types d’objets des services de domaine Active Directory

Points clés Vous pouvez créer différents objets dans Active Directory :

Lectures complémentaires • Aide de la console Utilisateurs et ordinateurs Active Directory

Page 109: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-5

Démonstration : Configuration des comptes d’utilisateurs AD DS

Questions :

Comment allez-vous créer plusieurs objets d’utilisateur avec les mêmes paramètres pour des attributs tels que le service et l’emplacement du bureau ?

Dans quels cas devez vous désactiver un compte d’utilisateur plutôt que de le supprimer ?

Page 110: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Types de groupes des services de domaine Active Directory

Points clés Les services de domaine Active Directory (AD DS) prennent en charge deux types de groupes.

Lectures complémentaires • Aide de la console Utilisateurs et ordinateurs Active Directory

Page 111: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-7

Étendues de groupes des services de domaine Active Directory

Points clés Windows Server 2008 prend en charge les étendues de groupe indiquées sur la diapositive.

Lectures complémentaires • Aide de la console Utilisateurs et ordinateurs Active Directory : Administration

des groupes

Page 112: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Groupes par défaut des services de domaine Active Directory

Points clés Windows Server 2008 fournit de nombreux groupes prédéfinis, créés automatiquement lorsque vous installez un domaine Active Directory. Vous pouvez utiliser ces groupes prédéfinis pour gérer l’accès aux ressources partagées et déléguer des rôles administratifs Active Directory spécifiques. Par exemple, vous pouvez placer le compte d’utilisateur d’un administrateur des services de domaine Active Directory dans le groupe Opérateurs de compte pour permettre à cet administrateur de créer des comptes d’utilisateurs et des groupes.

Lectures complémentaires • Groupes par défaut de Microsoft TechNet (éventuellement en anglais)

Page 113: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-9

Identités spéciales des services de domaine Active Directory

Points clés Les serveurs qui exécutent Windows Server 2008 incluent plusieurs identités spéciales, généralement appelées groupes spéciaux ou identités spéciales. Ces identités complètent les groupes des conteneurs Utilisateurs et Intégrés.

Lectures complémentaires • Article Microsoft Technet : Identités spéciales des fichiers ADM (Modèle

administratif) dans Windows (éventuellement en anglais)

Page 114: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Discussion : Utilisation des groupes par défaut et des identités spéciales

Scénario La Woodgrove Bank possède plus de 100 serveurs dans le monde. Vous devez déterminer si vous pouvez utiliser les groupes par défaut ou si vous devez créer des groupes et affecter des droits d’utilisateurs ou des autorisations spécifiques aux groupes pour accomplir les tâches administratives suivantes.

Vous devez affecter des groupes par défaut, des identités spéciales ou créer des groupes pour les tâches suivantes. Nommez le groupe par défaut qui aura les droits utilisateur les plus restrictifs pour accomplir les actions suivantes ou déterminez si vous devez créer un groupe :

1. Sauvegarde et restauration des contrôleurs de domaine

2. Sauvegarde, mais non restauration, des fichiers sur les serveurs membres

3. Création de groupes dans l’unité d’organisation Sales

Page 115: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-11

4. Octroi des droits d’accès à un dossier partagé auquel tous les employés de la Woodgrove Bank ont besoin d’accéder. Les employés sont situés dans deux domaines différents de la même forêt.

5. Octroi des autorisations d’administration à l’utilisateur actuellement connecté à un ordinateur client sans accorder l’accès à aucun autre ordinateur. Les autorisations doivent s’appliquer à tous les utilisateurs qui ouvrent une session sur un ordinateur client de l’organisation.

6. Octroi aux employés du support technique de l’accès permettant de contrôler à distance le Bureau

7. Fourniture d’un accès d’administrateur à tous les ordinateurs de l’ensemble du domaine

8. Fourniture de l’accès à un dossier partagé nommé Data sur un serveur nommé DEN-SRV1

9. Gestion de la file d’attente d’impression de l’imprimante d’un serveur d’impression spécifique

10. Configuration des paramètres réseau sur un serveur membre

Page 116: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration des comptes de groupes AD DS

Questions :

Quelles sont les options disponibles pour modifier l’étendue et le type d’un groupe des services de domaine Active Directory ?

Quels sont les avantages de l’affectation de responsables de groupes ? S’agit-il d’un paramètre que vous devez configurer dans votre organisation ?

Lectures complémentaires • Aide de la console Utilisateurs et ordinateurs Active Directory : Administration

des groupes

Page 117: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-13

Démonstration : Configuration des objets AD DS complémentaires

Questions :

Pour quelles raisons devez-vous créer des unités d’organisation ?

Quels sont les avantages et inconvénients de l’utilisation des objets imprimante et des objets dossier partagé dans les services de domaine Active Directory ?

Lectures complémentaires • Aide de la console Utilisateurs et ordinateurs Active Directory

Page 118: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 2 : Stratégies d’utilisation des groupes

Les groupes des services de domaines Active Directory simplifient la gestion des services de domaine Active Directory lors de l’affectation de l’accès aux ressources. Plutôt que d’accorder l’accès aux ressources à l’aide de comptes d’utilisateurs, il est beaucoup plus efficace d’ajouter les utilisateurs aux groupes, puis d’affecter l’accès aux groupes. Toutefois, en raison de la diversité des options de groupes et des options de déploiement des services de domaine Active Directory, vous pouvez utiliser plusieurs stratégies différentes lors de la configuration des groupes.

Page 119: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-15

Options d’affectation d’accès aux ressources

Points clés L’un des principaux objectifs de la création des utilisateurs et des groupes dans les services de domaine Active Directory consiste à faire en sorte que les utilisateurs puissent accéder aux ressources partagées, telles que dossiers partagés, imprimantes, sites Windows SharePoint® Services ou applications.

Lectures complémentaires • Article Microsoft Technet : Sélection d’une méthode d’autorisation des

ressources (éventuellement en anglais)

Page 120: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Utilisation des groupes de comptes pour affecter l’accès aux ressources

Points clés Lorsque vous utilisez uniquement des groupes de comptes pour affecter l’accès aux ressources, vous ajoutez d’abord tous les comptes d’utilisateurs aux groupes, puis affectez au groupe un ensemble d’autorisations d’accès. Par exemple, un administrateur peut placer tous les comptes d’utilisateurs de gestion dans un groupe global appelé GG-Tous les comptables et affecter au groupe des autorisations à une ressource partagée. Dans un environnement à domaine unique, vous pouvez utiliser des groupes locaux de domaine, des groupes globaux ou des groupes universels pour affecter l’accès aux ressources.

Lectures complémentaires • Article Microsoft Technet : Méthode Groupe de comptes/Liste de contrôle

d’accès (éventuellement en anglais)

Page 121: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-17

Utilisation des groupes de comptes et des groupes de ressources

Points clés Lorsque vous utilisez des groupes de comptes et des groupes de ressources, vous ajoutez d’abord des utilisateurs ayant les mêmes critères d’accès dans des groupes de comptes, puis ajoutez les groupes de comptes en tant que membres à un groupe de ressources auquel vous accordez des autorisations d’accès spécifiques aux ressources.

Cette stratégie procure une souplesse maximale tout en réduisant la complexité de l’affectation des autorisations d’accès au réseau. L’utilisation de cette méthode est très répandue dans les grandes organisations pour contrôler l’accès aux ressources.

Lectures complémentaires • Article Microsoft Technet : Méthode Groupe de comptes/groupe de ressources

(éventuellement en anglais)

Page 122: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Discussion : Utilisation des groupes dans un environnement à domaine unique ou à plusieurs domaines

Lisez les scénarios et créez un plan pour configurer des groupes et accorder l’accès aux ressources dans chaque scénario.

Exemple 1

Contoso, Ltd. possède un seul domaine situé à Paris en France. Les directeurs de Contoso, Ltd. ont besoin d’accéder à la base de données Inventaire pour effectuer leur travail.

Question : que faites-vous pour permettre aux directeurs d’accéder à la base de données ?

Page 123: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-19

Exemple 2

Contoso, Ltd. a déterminé que tout le personnel de la division Comptabilité doit avoir un accès complet aux données de gestion. En outre, les cadres de Contoso, Ltd. doivent pouvoir afficher les données. Contoso, Ltd. souhaite créer la structure de groupes pour toute la division Comptabilité qui comprend les services Dettes et Créances.

Question : que faites-vous pour que les directeurs disposent des accès nécessaires et pour réduire au minimum les tâches d’administration ?

Exemple 3

Contoso, Ltd. s’est développé en Amérique du Sud et en Asie, et comporte désormais trois domaines : le domaine Contoso.com, le domaine Asie.contoso.com et le domaine AS.contoso.com. Vous devez accorder à tous les responsables informatiques, dans tous les domaines, l’accès au dossier partagé Admin_tools dans le domaine Contoso. Vous devez également leur accorder un accès aux autres ressources à l’avenir.

Question : comment pouvez-vous obtenir le résultat souhaité avec le minimum de tâches d’administration ?

Page 124: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 3 : Automatisation de la gestion des objets des services de domaine Active Directory

Dans la plupart des cas, vous créez et configurez généralement des objets des services de domaine Active Directory sur une base individuelle. Toutefois, il peut arriver que vous ayez besoin de créer ou de modifier la configuration d’un grand nombre d’objets simultanément. Par exemple, si votre organisation emploie un vaste groupe de nouveaux employés, vous pouvez automatiser le processus de configuration des nouveaux comptes. Si votre organisation déménage sur un nouveau site, vous pouvez automatiser la tâche d ’attribution des nouvelles adresses et nouveaux numéros de téléphone à tous les utilisateurs. Cette leçon explique comment gérer plusieurs objets des services de domaine Active Directory.

Page 125: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-21

Outils d’automatisation de la gestion des objets des services de domaine Active Directory

Points clés Windows Server 2008 propose plusieurs outils permettant de créer ou de modifier automatiquement plusieurs comptes d’utilisateurs dans les services de domaine Active Directory. Certains de ces outils nécessitent l’utilisation d’un fichier texte qui contient des informations sur les comptes d’utilisateurs que vous souhaitez créer. Vous pouvez également créer des scripts Windows® PowerShell pour ajouter ou modifier des objets dans Active Directory.

Page 126: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Configuration des objets des services de domaine Active Directory à l’aide des outils de ligne de commande

Points clés Utilisez les outils de ligne de commande suivants pour configurer les objets des services de domaine Active Directory.

Page 127: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-23

Gestion des objets utilisateurs avec LDIFDE

Points clés Vous pouvez utiliser l’outil de ligne de commande Ldifde pour créer et modifier plusieurs comptes. Lors de l’utilisation de l’outil Ldifde, vous devez utiliser un fichier texte séparé par des lignes pour fournir les informations d’entrées de la commande.

Lectures complémentaires • Article Microsoft Technet : LDIFDE

Page 128: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Gestion des objets utilisateur avec CSVDE

Points clés Vous pouvez utiliser l’outil de ligne de commande Csvde pour créer plusieurs comptes dans AD DS, mais en aucun cas pour les modifier.

Lectures complémentaires • Article Microsoft Technet : CSVDE

Page 129: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-25

Qu'est-ce que Windows PowerShell ?

Points clés Windows PowerShell est une technologie de ligne de commande et de script extensible qui permet aux développeurs et aux administrateurs d’automatiser les tâches dans un environnement Windows. Windows PowerShell utilise un jeu de petites cmdlets qui effectuent chacune une tâche spécifique, mais que vous pouvez également combiner pour exécuter des tâches administratives complexes.

Lectures complémentaires • Support technique Microsoft : Pack de documentation Windows

PowerShell 1.0 (éventuellement en anglais)

Page 130: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Applets de commande Windows PowerShell :

Points clés Windows PowerShell est facile à apprendre grâce à l’utilisation des applets de commande. Le traitement en pipeline est cohérent sur tous les applets de commande.

Lectures complémentaires • Pack de documentation Windows PowerShell 1.0 (éventuellement en anglais)

Page 131: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-27

Démonstration : Configuration d’objets Active Directory à l’aide de Windows PowerShell

Questions :

Quels sont les avantages et inconvénients de la modification des objets Active Directory à l’aide de scripts Windows PowerShell ?

Comment vous pouvez palier les inconvénients ?

Lectures complémentaires • Blog Windows PowerShell (éventuellement en anglais)

• Article Microsoft Technet : Les scripts avec Windows PowerShell (éventuellement en anglais)

Page 132: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Atelier pratique A : Configuration des objets Active Directory

Scénario

La Woodgrove Bank a plusieurs exigences en matière de gestion des objets Active Directory. L’organisation embauche fréquemment des stagiaires qui doivent disposer d’autorisations limitées et dont les comptes doivent être définis de sorte à expirer automatiquement à la fin de la période de stage. Les comptes d’utilisateurs doivent également être configurés avec une configuration standard qui comporte des paramètres tels que les paramètres de profil d’utilisateur et les lecteurs mappés pour les dossiers de base. L’organisation requiert également des groupes des services de domaine Active Directory qui serviront à attribuer des autorisations à diverses ressources réseau. L’organisation souhaite automatiser, dans la mesure du possible, les tâches de gestion des utilisateurs et des groupes.

Page 133: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-29

Exercice 1 : Configuration des objets des services de domaine Active Directory Dans cet exercice, vous allez installer les outils de gestion Active Directory sur un ordinateur Windows Vista®. Vous utiliserez ensuite ces outils pour configurer plusieurs objets AD DS en fonction des informations fournies par le service des ressources humaines. Ces tâches comprennent la création de comptes d’utilisateurs et la modification de comptes d’utilisateurs existants.

Le service des ressources humaines a demandé les modifications suivantes dans les services de domaine Active Directory :

• La création de comptes d’utilisateurs pour Karl Fonteneau et Delphine Ribaute. Les deux comptes d’utilisateurs doivent être créés dans l’unité d’organisation ITAdmins.

• La modification du compte d’utilisateur de Michel Cordani.

Les principales tâches sont les suivantes :

1. Démarrer les ordinateurs virtuels et ouvrir une session.

2. Créer les comptes d’utilisateurs.

3. Modifier les comptes d’utilisateurs existants.

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

Programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Lancer.

3. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238-NYC-CL1, cliquez sur Lancer.

4. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

Page 134: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

5. Ouvrez une session sur NYC-CL1 en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

6. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique. Démarrez 6238A-NYC-DC1 et ouvrez une session en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

Tâche 2 : Créer les comptes d’utilisateurs. 1. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory.

2. Dans l’unité d’organisation ITAdmins , créez un utilisateur avec les paramètres suivants :

• Prénom : Karl

• Nom : Fonteneau

• Nom complet : Karl Fonteneau

• Nom d’ouverture de session de l’utilisateur : Karl

• Mot de passe : Pa$$w0rd

• Désactivez la case à cocher L’utilisateur doit changer le mot de passe à la prochaine ouverture de session.

3. Sur NYC-DC1, utilisez l’outil de ligne de commande Dsadd pour créer un compte d’utilisateur pour Delphine Ribaute. La syntaxe de la commande Dsadd est la suivante :

dsadd user "cn=nom_utilisateur,ou=nom_unité_organisation,dc=nom_domaine,dc=com" -samid nom_ouverture_de_session -pwd mot_de_passe –desc description

Tâche 3 : Modifier les comptes d’utilisateurs existants. 1. Sur NYC-DC1, créez un dossier sur le lecteur D nommé HomeDirs. Partagez le

dossier, puis configurez les Utilisateurs du domaine avec des autorisations Collaborateur.

2. Dans le dossier HomeDirs, créez un dossier nommé Marketing.

Page 135: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-31

3. Dans Utilisateurs et ordinateurs Active Directory, recherchez le compte de Michel Cordani et modifiez les propriétés utilisateur comme suit :

a. Sous l’onglet Général, définissez les champs suivants :

• Numéro de téléphone : 555-555-0100

• Bureau : siège social

• Courrier électronique : [email protected]

b. Sous l’onglet Appel entrant, définissez les champs suivants :

• Autorisation d’accès réseau : Permettre l’accès

c. Sous l’onglet Compte, définissez les champs suivants :

• Horaires d’accès : Configurez les horaires d’accès à autoriser entre 8h00 et 17h00, puis cliquez sur OK.

d. Sous l’onglet Profil, définissez les champs suivants :

• Dossier de base : Mappez le lecteur H à :

\\NYC-DC1\HomeDirs\Marketing\%UserName%

4. Dans l’Explorateur Windows, accédez à D:\HomeDirs\Marketing. Vérifiez qu’un dossier nommé Michel a été créé dans le dossier.

5. Sur NYC-CL1, fermez la session, puis ouvrez une session en tant que Michel avec le mot de passe Pa$$w0rd. Vérifiez que le lecteur H: a été correctement mappé et que Michel dispose de l’autorisation appropriée pour créer des fichiers dans son dossier de base.

Résultat : au terme de cet exercice, vous aurez configuré des objets Active Directory.

Page 136: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Mise en œuvre d’une stratégie de groupe des services de domaine Active Directory Dans cet exercice, vous allez passer en revue les exigences liées à la création de groupes de la Woodgrove Bank. Vous allez ensuite créer les groupes requis et configurer l’imbrication des groupes.

Les principales tâches sont les suivantes :

1. Démarrer 6238A-LON-DC1 et ouvrir une session en tant qu’Administrateur.

2. Consulter la documentation concernant les exigences liées aux groupes et créer une stratégie de mise en œuvre de groupes.

3. Analyser la stratégie de mise en œuvre des groupes.

4. Créer les groupes requis par la stratégie de mise en œuvre des groupes.

5. Imbriquer les groupes requis par la stratégie de mise en œuvre des groupes.

6. Arrêter 6238A-LON-DC2 et supprimer toutes les modifications.

Tâche 1 : Démarrer l’ordinateur virtuel 6238A-LON-DC1 et ouvrir une session en tant qu’Administrateur. 1. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-LON-

DC1, cliquez sur Lancer.

2. Sur LON-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

3. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Page 137: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-33

Tâche 2 : Consulter la documentation concernant les exigences liées aux groupes et créer une stratégie de mise en œuvre de groupes. La Woodgrove Bank doit configurer l’accès aux dossiers partagés pour les cadres de l’organisation. L’organisation a implémenté un dossier partagé sur NYC-DC1 nommé ExecData. Le tableau suivant répertorie les dossiers figurant dans le dossier ExecData et leurs objectifs :

Dossier Contenu

ExecData \HeadOffice

\Branch

\Corp

ExecData\HeadOfficeReports Contient des informations confidentielles relatives aux opérations du siège social et au personnel. Les cadres du siège social et des succursales de New York doivent pouvoir lire et écrire des informations à partir de ce dossier.

ExecData\BranchReports Contient des informations confidentielles relatives aux opérations des succursales et au personnel. Un dossier séparé a été créé pour chaque succursale. Les cadres du siège social doivent avoir un accès en lecture à tous les dossiers des succursales. Les responsables des succursales doivent disposer d’un accès total uniquement aux dossiers de leur succursale.

ExecData\Corp Contient des informations relatives aux opérations de la Woodgrove Bank. Tous les cadres et responsables de succursale doivent disposer d’un contrôle total sur les fichiers de ce dossier.

L’équipe dirigeante de la Woodgrove Bank est répartie comme suit :

• Les cadres peuvent être basés dans n’importe quel site. Les cadres sont basés en Amérique du Nord, Europe et Asie.

• Chaque succursale possède un ou plusieurs gestionnaires de succursale. Les succursales sont situées à Miami, New York, Toronto, Londres et Tokyo.

Page 138: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-34 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Le groupe de planification des services de domaine Active Directory a établi le schéma d’affectation de noms suivants pour les groupes AD DS :

• Code d’emplacement à trois caractères : NYC, TOR, MIA, LON et TOK

• Pour les groupes qui contiennent des comptes provenant de plusieurs domaines, utilisez le code d’emplacement WGB.

• Pour les groupes qui n’ont pas d’emplacement spécifique, incluez le nom de domaine dans le nom du groupe.

• Pour les groupes de comptes, utilisez le nom du service : BranchManagers, Executives. Celui-ci est suivi du type de groupe : GG, UG.

• Pour les groupes de ressources, utilisez le nom de ressource : EX_HOReports, EX_LON_BranchReports, EX_Corp., suivi du niveau d’accès (FC, RO).

1. Déterminez les groupes globaux à créer :

• Déterminez les groupes logiques d’utilisateurs de l’organisation. Occupez-vous seulement des autorisations requises par les groupes d’utilisateurs, et non de celles requises par les utilisateurs individuels.

• Donnez un nom de groupe à chaque groupe d’utilisateurs. Notez vos décisions dans le tableau Planification des groupes globaux ci-dessous.

2. Déterminez les groupes locaux à créer :

• Déterminez quelles autorisations sont requises sur chaque ressource. Occupez-vous seulement de l’autorisation, et non de la personne qui en a besoin.

• Donnez un nom de groupe à chaque type d’autorisation. Notez vos décisions dans le tableau Planification des groupes locaux ci-dessous.

3. Déterminez les groupes à imbriquer. Reportez la configuration d’imbrication de groupe dans le tableau Planification de l’imbrication des groupes ci-dessous.

4. Déterminez comment configurer les autorisations au niveau du partage pour le dossier ExecData.

Page 139: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-35

Tableau Planification des groupes globaux

Groupe d’organisation Nom du groupe

Tableau Planification des groupes locaux

Ressource Conditions d’accès Noms des groupes

ExecData\HeadOfficeReports

ExecData\BranchReports\NYC

ExecData\BranchReports\Toronto

ExecData\BranchReports\Miami

ExecData\BranchReports\London

ExecData\BranchReports\Tokyo

ExecData\Corp

Page 140: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-36 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tableau Planification d’imbrication des groupes

Nom du groupe local de domaine Groupes imbriqués

Tâche 3 : Analyser la stratégie de mise en œuvre des groupes.

Tâche 4 : Créer les groupes requis par la stratégie de mise en œuvre des groupes.

Remarque : pour simplifier le processus d’implémentation, il est possible que certains des groupes requis aient déjà été créés. En outre, vous configurez les groupes requis uniquement pour les domaines WoodgroveBank.com et EMEA.WoodgroveBank.com.

1. Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, vérifiez que tous les groupes globaux requis pour affecter une autorisation ont été créés.

2. Sur LON-DC1, dans Utilisateurs et ordinateurs Active Directory, vérifiez que tous les groupes globaux requis pour affecter une autorisation ont été créés.

3. Sur NYC-DC1, créez les groupes universels requis en fonction de la stratégie de mise en œuvre des groupes. Créez les groupes universels dans l’unité d’organisation Executives.

4. Créez les groupes locaux de domaine requis en fonction de la stratégie de mise en œuvre des groupes.

Page 141: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-37

Tâche 5 : Imbriquer les groupes requis par la stratégie de mise en œuvre des groupes. • Sur NYC-DC1, imbriquez les groupes requis pour répondre à la stratégie de

mise en œuvre des groupes.

Tâche 6 : Arrêter 6238A-LON-DC2 et supprimer toutes les modifications. 1. Fermez la fenêtre de contrôle de l’ordinateur virtuel 6238A-LON-DC1.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations. Cliquez sur OK.

Résultat : au terme de cet exercice, vous aurez implémenté une stratégie de mise en œuvre de groupes.

Page 142: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-38 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Automatisation de la gestion des objets des services de domaine Active Directory La Woodgrove Bank ouvre une nouvelle succursale à Houston. Le service des ressources humaines vous a fourni un fichier qui comprend tous les nouveaux utilisateurs qui ont été engagés sur le site de Houston. Vous devez importer les comptes d’utilisateurs dans AD DS, puis activer et affecter des mots de passe à l’ensemble des comptes.

Vous devez également modifier les propriétés d’utilisateur pour les utilisateurs de Houston en mettant à jour les informations de ville.

La Woodgrove Bank prévoit également de démarrer un service de Recherche et développement sur son site de New York (NYC). Vous devez créer une unité d’organisation pour le service de Recherche et développement (R&D) dans le domaine de la Woodgrove Bank, et importer et configurer les nouveaux comptes d’utilisateurs dans les services de domaine Active Directory.

Les principales tâches sont les suivantes :

1. Modifier et utiliser le fichier Importusers.csv pour importer un groupe d’utilisateurs dans les services de domaine Active Directory.

2. Modifier et exécuter le script ActivateUser.vbs pour activer les comptes d’utilisateurs importés et attribuer un mot de passe à chaque compte.

3. Modifier et utiliser le fichier Modifyusers.ldf pour préparer la modification des propriétés d’un groupe d’utilisateurs dans les services de domaine Active Directory.

4. Modifier et exécuter le script CreateUsers.ps1 pour ajouter de nouveaux utilisateurs aux services de domaine Active Directory.

Tâche 1 : Modifier et utiliser le fichier Importusers.csv pour importer un groupe d’utilisateurs dans les services de domaine Active Directory. 1. Sur NYC-DC1, accédez à D:\6238\Mod03\Labfiles et ouvrez

ImportUsers.csv dans le Bloc-notes. Examinez les informations d’en-tête requises pour créer des unités d’organisation et des comptes d’utilisateurs.

2. Copiez et collez le contenu du fichier Users.txt dans le fichier ImportUsers.csv, en commençant par la deuxième ligne. Enregistrez le fichier sous C:\import.csv.

Page 143: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-39

3. À l’invite de commandes, tapez CSVDE –I –F C:\import.csv, puis appuyez sur Entrée.

4. Dans Utilisateurs et ordinateurs Active Directory, vérifiez que l’unité d’organisation Houston et ses cinq unités d’organisation enfants ont été créées, et que plusieurs comptes d’utilisateurs ont été créés dans chaque unité d’organisation.

Tâche 2 : Modifier et exécuter le script ActivateUser.vbs pour activer les comptes d’utilisateurs importés et attribuer un mot de passe à chaque compte. 1. Sur NYC-DC1, dans D:\Mod03\6238\Labfiles, modifiez Activateusers.vbs.

2. Remplacez la valeur de conteneur dans la deuxième ligne par : OU=BranchManagers,OU=Houston DC=WoodgroveBank,DC=com.

3. Modifiez les valeurs de conteneur dans les lignes supplémentaires à la fin du script pour inclure les unités d’organisation suivantes, puis enregistrez le fichier :

• OU=CustomerService,OU=Houston,DC=WoodgroveBank,DC=com

• OU=Executives,OU=Houston,DC=WoodgroveBank,DC=com

• OU=Investments,OU=Houston,DC=WoodgroveBank,DC=com

• OU=ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com

4. Enregistrez le fichier sous c:\Activateusers.vbs, puis double-cliquez sur c:\Activateusers.vbs.

5. Dans Utilisateurs et ordinateurs Active Directory, accédez à l’unité d’organisation Houston et vérifiez que les comptes d’utilisateurs de toutes les unités d’organisation enfants sont activés.

Page 144: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-40 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 3 : Modifier et utiliser le fichier Modifyusers.ldf pour préparer la modification des propriétés d’un groupe d’utilisateurs dans les services de domaine Active Directory. 1. Sur NYC-DC1, exportez tous les comptes d’utilisateurs dans les unités

d’organisation enfants Houston à l’aide de la commande LDIFDE –f c:\ Modifyusers.ldf –d "OU=Houston,DC=WoodgroveBank,DC=com" –r "objectClass=user" –l physicalDeliveryOfficeName.

2. Modifiez le fichier C:\Modifyusers.ldf.

3. Dans le menu Edition, utilisez l’option Remplacer pour remplacer toutes les instances de changetype: add, par changetype: modify.

4. Après chaque ligne changetype, ajoutez les lignes suivantes :

replace: physicalDeliveryOfficeName physicalDeliveryOfficeName: Houston

5. À la fin de l’entrée de chaque utilisateur, ajoutez un tiret (-) suivi d’une ligne vide.

6. Enregistrez le fichier sous C:\ Modifyusers.

7. À l’invite de commandes, tapez ldifde –I –f c:\ldifimport.ldf, puis appuyez sur Entrée.

8. Dans Utilisateurs et ordinateurs Active Directory, vérifiez que l’attribut Bureau pour les comptes d’utilisateurs de Houston a été mis à jour avec l’emplacement de Houston.

Tâche 4 : Modifier et exécuter le script CreateMultipleUsers.ps1 pour ajouter de nouveaux utilisateurs aux services de domaine Active Directory. 1. Sur NYC-DC1, dans D:\6238\Labfiles\Mod03, modifiez

CreateMultipleUsers.ps1.

2. Dans deux emplacements, modifiez ADOUName par R&D.

3. Remplacez le Chemin d’accès au fichier CSV par C:\6238\Mod03\Labfiles\Createusers.csv, puis enregistrez les modifications effectuées dans le fichier.

Page 145: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-41

4. Démarrez Windows PowerShell, et à l’invite de commandes PS, tapez C:\6238\Labfiles\Mod03\Createusers.ps1 et appuyez sur Entrée.

5. Dans Utilisateurs et ordinateurs Active Directory, vérifiez que l’unité d’organisation R&D a été créée et qu’elle a été remplie avec les comptes d’utilisateurs disposant des attributs corrects.

Résultat : au terme de cet exercice, vous aurez étudié plusieurs options permettant d’automatiser la gestion des objets utilisateur.

Page 146: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-42 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 4 : Délégation de l’accès administratif aux objets des services de domaine Active Directory

Un grand nombre de tâches d’administration des services de domaine Active Directory sont très simples à effectuer, mais peuvent être très répétitives. L’une des options disponibles dans Windows Server Active Directory 2008 DS est la délégation de certaines de ces tâches administratives à d’autres administrateurs ou utilisateurs. En déléguant le contrôle, vous pouvez permettre à ces utilisateurs d’effectuer des tâches de gestion Active Directory spécifiques sans leur accorder plus d’autorisations que nécessaire.

Page 147: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-43

Autorisations sur les objets Active Directory

Points clés Les autorisations sur les objets Active Directory sécurisent les ressources en permettant de définir les administrateurs ou les utilisateurs qui peuvent accéder à des objets ou des attributs d’objet particuliers, et de contrôler le type d’accès dont ils disposent. Vous utilisez des autorisations pour affecter des privilèges administratifs à une unité d’organisation ou une hiérarchie d’unités d’organisation, pour gérer des objets Active Directory.

Questions :

Quels sont les risques de l’utilisation des autorisations spéciales pour attribuer des autorisations AD DS ?

De quelles autorisations disposera un utilisateur sur un objet si vous lui accordez l’autorisation Contrôle total et lui refusez l’accès en écriture ?

Page 148: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-44 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Article Microsoft Technet : Contrôle d’accès dans Active Directory

(éventuellement en anglais)

• Article Microsoft Technet : Affecter, modifier ou supprimer des autorisations sur des objets ou des attributs Active Directory (éventuellement en anglais)

Page 149: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-45

Démonstration : Héritage des autorisations sur les objets des services de domaine Active Directory

Questions :

Que se passe-t-il sur les autorisations d’un objet lorsque vous déplacez l’objet d’une unité d’organisation vers une autre et que ces unités d’organisation appliquent différentes autorisations ?

Que se passe-t-il si vous supprimez toutes les autorisations d’une unité d’organisation alors que vous avez bloqué l’héritage et n’avez pas affecté de nouvelles autorisations ?

Lectures complémentaires • Article Microsoft Technet : Affecter, modifier ou supprimer des autorisations

sur des objets ou des attributs Active Directory (éventuellement en anglais)

Page 150: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-46 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des autorisations effectives

Points clés L’outil Autorisations effectives vous permet de déterminer les autorisations sur un objet Active Directory. Cet outil détermine les autorisations accordées à un utilisateur ou un groupe et tient compte des autorisations en vigueur par rapport à l’appartenance à un groupe et des autorisations héritées de l’objet parent.

Lectures complémentaires • Article Microsoft Technet : Outil Autorisations effectives (éventuellement en

anglais)

Page 151: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-47

Description de la délégation du contrôle

Points clés La délégation du contrôle est la possibilité de confier à un autre utilisateur ou groupe la responsabilité de la gestion des objets Active Directory.

La délégation de l’administration dans Active Directory permet d’alléger la lourdeur de la gestion du réseau en répartissant les tâches d’administration courantes entre plusieurs utilisateurs. La délégation de l’administration permet d’affecter des tâches administratives de base à des utilisateurs ou groupes normaux. Vous pouvez, par exemple, accorder aux superviseurs le droit de modifier l’appartenance aux groupes dans leur service.

Vous permettez ainsi aux groupes appartenant à votre organisation de mieux contrôler leurs ressources réseau locales. Vous contribuez également à protéger le réseau contre les dysfonctionnements accidentels ou provoqués intentionnellement en restreignant l’appartenance aux groupes Administrateur.

Page 152: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-48 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Discussion : Scénarios de délégation du contrôle

Répondez aux questions de la diapositive avec la classe.

Page 153: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-49

Démonstration : Configuration de la délégation du contrôle

Page 154: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-50 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 5 : Configuration des approbations des services de domaine Active Directory

Un grand nombre d’organisations qui déploient les services de domaine Active Directory ne déploient généralement qu’un seul domaine. Toutefois, les grandes entreprises ou les organisations qui doivent autoriser l’accès aux ressources d’autres organisations ou divisions, peuvent déployer plusieurs domaines, dans la même forêt Active Directory ou dans une forêt distincte. Pour permettre aux utilisateurs d’accéder aux ressources entre les domaines, vous devez configurer les domaines ou les forêts avec des approbations. Cette leçon explique comment configurer et gérer des approbations dans un environnement Active Directory.

Page 155: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-51

Description des approbations des services de domaine Active Directory

Points clés Les approbations autorisent les entités de sécurité à transmettre leurs informations d’identification d’un domaine à un autre, et sont nécessaires pour autoriser l’accès aux ressources entre les domaines. Lorsque vous configurez une approbation entre domaines, un utilisateur peut être authentifié dans son domaine et ses informations d’identification de sécurité peuvent ensuite être utilisées pour accéder aux ressources d’un autre domaine.

Page 156: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-52 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Options des approbations AD DS

Points clés Le graphique figurant sur la diapositive décrit les options d’approbation prises en charge par Windows Server 2008.

Questions :

Si vous envisagez de configurer une approbation entre un domaine Windows Server 2008 et un domaine Windows NT 4.0, quel type d’approbation devez-vous configurer ?

Si vous devez partager des ressources entre des domaines, mais ne souhaitez pas configurer d’approbation, comment pouvez-vous fournir l’accès aux ressources partagées ? Un utilisateur situé dans un autre domaine de votre forêt a besoin d’une autorisation pour créer des objets de stratégie de groupe dans votre domaine. Quelle est la meilleure méthode pour y parvenir ?

Page 157: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-53

Lectures complémentaires • Aide du composant Domaines et approbations Active Directory : Gestion des

approbations

Page 158: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-54 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctionnement des approbations dans une forêt

Points clés Lorsque vous configurez des approbations entre domaines d’une même forêt, entre des forêts ou avec un domaine externe, les informations relatives à ces approbations sont stockées dans AD DS de sorte que vous pouvez les extraire en cas de besoin. Un objet de domaine approuvé (TDO) stocke ces informations.

Le TDO stocke des informations relatives à l’approbation, comme sa transitivité et son type. À chaque création d’une approbation, un TDO est créé et stocké dans le conteneur Système du domaine de l’approbation.

Lectures complémentaires • Aide du composant Domaines et approbations Active Directory : Gestion des

approbations

Page 159: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-55

Fonctionnement des approbations entre forêts

Points clés Windows Server 2008 prend en charge les approbations entre forêts, qui permettent aux utilisateurs d’accéder aux ressources d’une autre forêt. Lorsqu’un utilisateur tente d’accéder aux ressources d’une forêt approuvée, les services de domaine Active Directory doivent préalablement rechercher les ressources. Une fois les ressources localisées, l’utilisateur peut être authentifié et autorisé à accéder aux ressources.

Lectures complémentaires • Article Microsoft Technet : Fonctionnement des domaines et des forêts

(éventuellement en anglais)

Page 160: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-56 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration d’approbations

Questions :

Quelle est la différence entre une approbation raccourcie et une approbation externe ?

Lorsque vous configurez une approbation de forêt, quelles informations doivent être disponibles dans DNS pour que l’approbation de forêt fonctionne ?

Lectures complémentaires • Aide du composant Domaines et approbations Active Directory : Créer une

approbation raccourcie, Créer une approbation externe, Créer une approbation de forêt

Page 161: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-57

Description des noms d’utilisateurs principaux (UPN)

Points clés Un nom d’utilisateur principal (UPN) est un nom d’ouverture de session qui est utilisé uniquement pour se connecter à un réseau Windows Server 2008. Le nom d’utilisateur principal est composé de deux parties séparées par le signe @, par exemple, [email protected] :

• le préfixe du nom d’utilisateur principal qui, dans cet exemple, est laurab ;

• le suffixe du nom d’utilisateur principal qui, dans cet exemple, est WoodgroveBank.com.

Page 162: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-58 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Par défaut, le suffixe est le nom du domaine dans lequel le compte d’utilisateur a été créé. Vous pouvez utiliser les autres domaines du réseau ou des suffixes supplémentaires que vous avez créés pour configurer d’autres suffixes pour les utilisateurs. Par exemple, vous pouvez configurer un suffixe pour créer des noms d’ouverture de session utilisateur qui correspondent à l’adresse électronique de l’utilisateur.

Lectures complémentaires • Article Microsoft Technet : Dénomination Active Directory (éventuellement en

anglais)

Page 163: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-59

Description des paramètres d’authentification sélective

Points clés Une autre option pour limiter l’authentification sur des approbations dans une forêt Windows Server 2008 consiste à utiliser l’authentification sélective. Avec ce mode d’authentification, vous pouvez restreindre l’accès des utilisateurs d’une autre forêt à certains ordinateurs de votre forêt.

Lectures complémentaires • Article Microsoft Technet : Activer l’authentification sélective sur une

approbation de forêt (éventuellement en anglais)

• Article Microsoft Technet : Accorder l’autorisation Autorisation d’authentifier sur les ordinateurs du domaine ou de la forêt autorisé à approuver (éventuellement en anglais)

Page 164: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-60 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration des paramètres d’approbation avancés

Points clés Une autre option pour limiter l’authentification sur des approbations dans une forêt Windows Server 2008 consiste à utiliser l’authentification sélective. Avec ce mode d’authentification, vous pouvez restreindre l’accès de certains ordinateurs de votre forêt aux utilisateurs d’une autre forêt.

Questions :

Que se passerait-il si vous configuriez un nouveau suffixe UPN dans une forêt après qu’une approbation ait été configurée avec une autre forêt portant le même suffixe UPN ?

Dans quelles situations devez-vous implémenter l’authentification sélective ?

Page 165: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-61

Lectures complémentaires • Article Microsoft Technet : Activer l’authentification sélective sur une

approbation de forêt (éventuellement en anglais)

• Article Microsoft Technet : Accorder l’autorisation Autorisation d’authentifier sur les ordinateurs du domaine ou de la forêt autorisé à approuver (éventuellement en anglais)

Page 166: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-62 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Atelier pratique B : Configuration des délégations et approbations Active Directory

Scénario

Pour optimiser l’emploi du temps des administrateurs des services de domaine Active Directory, la Woodgrove Bank souhaite déléguer certaines tâches administratives à des administrateurs adjoints. Ces administrateurs recevront un accès pour gérer les comptes d’utilisateurs et de groupes dans différentes unités d’organisation.

La Woodgrove Bank a également établi un partenariat avec Fabrikam Ltd. Certains utilisateurs de chaque organisation doivent pouvoir accéder aux ressources de l’autre organisation. Toutefois, l’accès entre les organisations doit être limité à un nombre minimal d’utilisateurs et de serveurs.

Page 167: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-63

Exercice 1 : Délégation du contrôle des objets AD DS Dans cet exercice, vous allez déléguer le contrôle des objets AD DS à d’autres administrateurs. Vous allez également tester les autorisations déléguées pour vous assurer que les administrateurs ne peuvent exécuter que les actions requises.

La Woodgrove Bank a décidé de déléguer des tâches administratives pour son bureau de Toronto. Dans ce bureau, les responsables de succursale doivent pouvoir créer et gérer des comptes d’utilisateurs et de groupes. Le personnel du service client doit pouvoir réinitialiser les mots de passe des utilisateurs et configurer certaines informations concernant les utilisateurs, telles que numéros de téléphone ou adresses.

Les principales tâches sont les suivantes :

1. Attribuer le contrôle total aux utilisateurs et groupes de l’unité d’organisation Toronto.

2. Attribuer les droits pour réinitialiser les mots de passe et configurer les informations utilisateur privées dans l’unité d’organisation Toronto.

3. Vérifier les autorisations effectives attribuées à l’unité d’organisation Toronto.

4. Tester les autorisations déléguées pour l’unité d’organisation Toronto.

Tâche 1 : Attribuer le contrôle total aux utilisateurs et groupes de l’unité d’organisation Toronto. 1. Sur NYC-DC1, exécutez l’Assistant Délégation de contrôle sur l’unité

d’organisation Toronto.

2. Attribuez les droits Créer, supprimer et gérer les comptes d’utilisateurs et Créer, supprimer et gérer les groupes au responsable de succursale Tor_BranchManagersGG.

Page 168: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-64 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Attribuer les droits pour réinitialiser les mots de passe et configurer les informations utilisateur privées dans l’unité d’organisation Toronto. 1. Sur NYC-DC1, exécutez l’Assistant Délégation de contrôle sur l’unité

d’organisation Toronto.

2. Attribuez le droit Réinitialiser les mots de passe et forcer le changement de mot de passe à la prochaine ouverture de session au groupe Tor_CustomerServiceGG.

3. Exécutez de nouveau Assistant Délégation de contrôle. Choisissez l’option permettant de créer une tâche personnalisée.

4. Attribuez au groupe Tor_CustomerServiceGG l’autorisation de modifier les informations personnelles uniquement pour les comptes d’utilisateurs.

Tâche 3 : Vérifier les autorisations effectives attribuées à l’unité d’organisation Toronto. 1. Dans Utilisateurs et ordinateurs Active Directory, activez l’affichage des

Fonctionnalités avancées.

2. Accédez aux Paramètres de sécurité avancés pour l’unité d’organisation Toronto.

3. Vérifiez les autorisations effectives de Roland Winkler. Roland est membre du groupe Tor_BranchManagersGG. Vérifiez qu’il dispose des autorisations permettant de créer et supprimer des comptes d’utilisateurs et de groupes.

4. Accédez aux paramètres de sécurité avancés de Daniel Durrer, qui se trouve dans l’unité d’organisation CustomerService de l’unité d’organisation Toronto. Vérifiez qu’il dispose des autorisations permettant de créer et supprimer des comptes d’utilisateurs et de groupes.

5. Vérifiez les autorisations effectives de Richard Tupy. Richard est membre du groupe TOR_CustomerServiceGG. Vérifiez qu’il dispose des autorisations permettant de réinitialiser les mots de passe et d’écrire des attributs personnels.

Page 169: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-65

Tâche 4 : Activer le groupe Utilisateurs du domaine pour ouvrir une session sur les contrôleurs de domaine.

Remarque : cette étape a été intégrée à l’atelier pour vous aider à tester les autorisations déléguées. En règle générale, il est préférable d’installer les outils d’administration sur une station de travail Windows plutôt que de permettre aux utilisateurs du domaine de se connecter aux contrôleurs du domaine.

1. Sur NYC-DC1, démarrez Gestion des stratégies de groupe, puis modifiez la Stratégie Contrôleurs de domaine par défaut.

2. Dans la fenêtre Éditeur de la Gestion des stratégies de groupe, accédez au dossier Attribution des droits utilisateurs.

3. Double-cliquez sur Autoriser l’ouverture d’une session locale. Dans la boîte de dialogue Propriétés de Autoriser l’ouverture d’une session locale, cliquez sur Ajouter un utilisateur ou un groupe.

4. Accordez au groupe Utilisateurs du domaine le droit d’ouvrir une session locale.

5. Ouvrez une invite de commandes, tapez GPUpdate /force, puis appuyez sur Entrée.

Tâche 5 : Tester les autorisations déléguées pour l’unité d’organisation Toronto. 1. Sur NYC-DC1 , ouvrez une session en tant que Roland avec le mot de passe

Pa$$w0rd.

2. Démarrez Utilisateurs et ordinateurs Active Directory et vérifiez que Roland peut créer un utilisateur dans l’unité d’organisation Toronto.

3. Vérifiez que Roland peut créer un groupe dans l’unité d’organisation Toronto.

4. Vérifiez que Roland ne peut pas créer d’utilisateur dans l’unité d’organisation ITAdmins.

5. Sur NYC-DC1, fermez la session, puis ouvrez une session en tant que Richard avec le mot de passe Pa$$w0rd.

Page 170: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-66 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

6. Dans Active Directory Utilisateurs et ordinateurs, vérifiez que Richard ne dispose pas d’autorisations pour créer de nouveaux objets dans l’unité d’organisation Toronto.

7. Vérifiez que Richard peut réinitialiser les mots de passe des utilisateurs et configurer les propriétés utilisateurs, telles que le bureau et le numéro de téléphone.

Résultat : au terme de de cet exercice, vous aurez délégué les tâches administratives du bureau de Toronto.

Page 171: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-67

Exercice 2 : Configuration des approbations des services de domaine Active Directory Dans cet exercice, vous allez configurer des approbations en fonction d’un modèle de configuration d’approbation fourni par l’administrateur de l’entreprise. Vous allez également tester la configuration d’approbation pour vous assurer que les approbations sont correctement configurées.

La Woodgrove Bank a lancé un partenariat stratégique avec Fabrikam. Les utilisateurs de la Woodgrove Bank devront avoir accès à plusieurs partages de fichiers et applications fonctionnant sur plusieurs serveurs à Fabrikam. Seuls les utilisateurs de Fabrikam devront pouvoir accéder aux partages sur NYC-SVR1.

Les principales tâches sont les suivantes :

1. Démarrer VAN-DC1, puis ouvrir une session.

2. Configurer les paramètres réseau et DNS pour activer l’approbation de forêt.

3. Configurer une approbation de forêt entre WoodgroveBank.com et NorthwindTraders.com.

4. Configurer l’authentification sélective pour l’approbation de forêt afin d’activer l’accès à NYC-DC2 uniquement.

5. Tester l’authentification sélective.

6. Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation.

Tâche 1 : Démarrer l’ordinateur virtuel VAN-DC1, puis ouvrir une session. 1. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-VAN-

DC1, cliquez sur Lancer.

2. Sur VAN-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

3. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Page 172: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-68 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Configurer les paramètres réseau et DNS pour activer l’approbation de forêt. 1. Sur VAN-DC1, modifiez les propriétés de Réseau local pour remplacer

l’Adresse IP par 10.10.0.110, la Passerelle par défaut par 10.10.0.1 et le Serveur DNS préféré par 10.10.0.110, puis cliquez sur OK.

2. Synchronisez l’heure de VAN-DC1 avec NYC-DC1.

3. Dans le Gestionnaire DNS, ajoutez un redirecteur conditionnel pour transférer toutes les requêtes de Woodgrovebank.com vers 10.10.0.10.

4. Dans Domaines et approbations Active Directory, élevez le domaine et la forêt au niveau fonctionnel de Windows Server 2003.

5. Sur NYC-DC1, dans la console Gestionnaire DNS, ajoutez un redirecteur conditionnel pour transférer toutes les requêtes de Fabrikam.com vers 10.10.0.110.

6. Fermez la console Gestionnaire DNS.

Tâche 3 : Configurer une approbation de forêt entre WoodgroveBank.com et Fabrikam.com. 1. Sur NYC-DC1, démarrez Domaines et approbations Active Directory dans le

dossier Outils d’administration.

2. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Propriétés.

3. Démarrez l’Assistant Nouvelle approbation et configurez une approbation de forêt avec Fabrikam.com.

4. Configurez les deux extrémités de l’approbation. Utilisez [email protected] pour vérifier l’approbation.

5. Acceptez le paramètre par défaut de l’authentification à l’échelle du domaine pour les deux domaines.

6. Confirmez les deux approbations.

Page 173: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-69

Tâche 4 : Configurer l’authentification sélective pour l’approbation de forêt afin d’activer l’accès à NYC-DC2 et NYC-CL1 uniquement. 1. Dans Domaines et approbations Active Directory, modifiez l’approbation

entrante provenant de NorthwindTraders.com pour utiliser l’authentification sélective.

2. Dans Utilisateurs et ordinateurs Active Directory, accédez aux propriétés de NYC-DC2. Sous l’onglet Sécurité, accordez au groupe MarketingGG de Fabrikam.com l’autorisation de s’authentifier auprès de ce serveur.

3. Accédez aux propriétés de NYC-CL1. Sous l’onglet Sécurité, accordez au groupe MarketingGG de Fabrikam.com l’autorisation de s’authentifier auprès de ce serveur.

Tâche 5 : Tester l’authentification sélective. 1. Sur l’ordinateur virtuel NYC-CL1, ouvrez une session en tant que

[email protected] avec le mot de passe Pa$$w0rd.

Remarque : Adam est membre du groupe MarketingGG à Fabrikam. Il est en mesure de se connecter à un ordinateur du domaine WoodgroveBank.com grâce à l’approbation entre les deux forêts et parce qu’il a été autorisé à s’authentifier auprès de NYC-CL1.

2. Essayez d’accéder au dossier \\NYC-DC2\Netlogon. David devrait pouvoir accéder au dossier.

3. Essayez d’accéder au dossier \\NYC-DC1\Netlogon. David ne devrait pas pouvoir accéder au dossier car le serveur n’est pas configuré pour l’authentification sélective.

Page 174: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-70 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulations. 1. Fermez la fenêtre de contrôle à distance de chaque ordinateur virtuel en cours

d’exécution.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez configuré des approbations en fonction d’un modèle de configuration d’approbation.

Page 175: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-71

Récapitulatif du module et objectifs

Questions du contrôle des acquis 1. Vous êtes responsable de l’administration des comptes et de l’accès aux

ressources des membres de votre groupe. Un utilisateur appartenant à votre groupe quitte l’entreprise et vous attendez son remplaçant dans quelques jours. Que devez-vous faire du compte de l’utilisateur précédent ?

2. Vous devez créer plusieurs centaines de comptes d’ordinateurs dans les services de domaine Active Directory afin que les comptes soient préconfigurés pour une installation automatisée. Quelle est la meilleure façon de procéder ?

3. Un utilisateur signale qu’il ne peut pas se connecter à son ordinateur. Le message d’erreur indique que l’approbation entre l’ordinateur et le domaine est rompue. Comment allez-vous résoudre le problème ?

4. Vous avez créé un groupe global, appelé Support technique, contenant tous les comptes du support technique. Vous souhaitez que le personnel du support technique puisse effectuer n’importe quelle opération sur les ordinateurs de bureau locaux, y compris s’approprier des fichiers. Quel est le meilleur groupe intégré à utiliser ?

Page 176: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-72 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

5. Le groupe BranchOffice_Admins a obtenu l’autorisation Contrôle total sur tous les comptes d’utilisateurs de l’unité d’organisation BranchOffice_OU. Quelles autorisations le groupe BranchOffice_Admins devrait-il avoir sur un compte d’utilisateur qui a été transféré de l’unité d’organisation BranchOffice_OU vers HeadOffice_OU ?

6. Votre organisation dispose d’un environnement Windows Server 2008, mais elle vient juste de racheter une organisation dotée d’un environnement de forêt Windows 2000 qui ne contient qu’un seul domaine. Les utilisateurs des deux organisations doivent pouvoir accéder aux ressources de l’autre forêt. Quel type d’approbation devez-vous créer entre les domaines racines de forêt de chaque forêt ?

Éléments à prendre en compte pour la configuration des objets Active Directory Complétez ou modifiez les meilleures pratiques pour vos propres situations de travail :

• Créez un schéma d’affectation de noms pour les objets AD DS avant de démarrer le déploiement des services de domaine Active Directory. Par exemple, vous devez prévoir la façon dont vous allez créer les noms d’ouverture de session utilisateur et concevoir votre stratégie d’attribution des noms de groupes. Il est beaucoup plus facile de planifier les stratégies de dénomination tôt dans le déploiement des services de domaine Active Directory plutôt que de modifier les noms après le déploiement.

• Planifiez votre stratégie de groupe des services de domaine Active Directory avant leur déploiement. Lors de la planification de la stratégie de groupe, tenez compte des plans de croissance future de l’organisation. Même si l’organisation ne comporte qu’un petit nombre d’utilisateurs dans un seul domaine, vous pouvez implémenter une stratégie de groupe de comptes/groupe de ressources si l’organisation a une forte stratégie de croissance ou si elle est susceptible d’établir des partenariats clés pouvant nécessiter des approbations de forêt.

Page 177: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des objets et approbations Active Directory 3-73

• Recherchez de opportunités d’automatisation des tâches de gestion des services de domaine Active Directory. La création de fichiers csvde et ldifde, ou l’écriture de scripts VBScript ou Windows PowerShell peuvent prendre un temps considérable. Mais, une fois ces outils mis en place, ils représentent un immense gain de temps.

• Une autre option pour réduire la charge de travail pour les administrateurs des services de domaine Active Directory consiste à déléguer des tâches. Pour déterminer les tâches à déléguer, analysez les tâches qui prennent le plus de temps pour les administrateurs des services de domaine Active Directory. Si les tâches classiques, telles que la création des comptes utilisateurs, la réinitialisation des mots de passe ou la mise à jours des informations utilisateurs, prennent un temps considérable, vous pouvez déléguer ces tâches spécifiques à d’autres utilisateurs.

Page 178: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

3-74 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Outils Utilisez les outils suivants lors de la configuration des objets et approbations Active Directory :

Outil Utilisation Emplacement

Gestionnaire de serveur

• Accéder aux outils de gestion des services de domaine Active Directory dans une console unique.

Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.

Utilisateurs et ordinateurs Active Directory

• Créer et configurer tous les objets des services de domaine Active Directory

Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

Domaines et approbations Active Directory

• Créer et configurer des approbations

Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Domaines et approbations Active Directory.

Outils de ligne de commande (notamment Csvde et Ldifde)

• Créer et configurer des objets des services de domaine Active Directory

Ceux-ci sont installés par défaut et sont accessibles via une invite de commandes.

Windows PowerShell

• Écrire des scripts permettant d’automatiser la gestion des objets des services de domaine Active Directory

Windows PowerShell est disponible sous forme de téléchargement Microsoft et peut être installé en tant que fonctionnalité dans Windows Server 2008. Une fois Windows PowerShell installé, toutes les cmdlets sont accessibles via son interface de commandes.

Page 179: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-1

Module 4. Configuration des sites des services de domaine Active Directory et de la réplication

Table des matières : Leçon 1 : Présentation de la réplication des services de domaine Active Directory 4-3

Leçon 2 : Présentation des sites des services de domaine Active Directory et de la réplication 4-14

Leçon 3 : Configuration et surveillance de la réplication des services de domaine Active Directory 4-23

Atelier pratique : Configuration des sites Active Directory et de la réplication 4-34

Page 180: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

Dans un environnement de services de domaine Active Directory® Windows Server® 2008, vous pouvez déployer plusieurs contrôleurs de domaine dans le même domaine ou dans d’autres domaines de la même forêt. Les informations des services de domaine Active Directory sont automatiquement répliquées entre tous les contrôleurs de domaine.

Ce module vous aide à comprendre le fonctionnement de la réplication des services de domaine Active Directory, à gérer le trafic réseau lié à la réplication et à garantir la cohérence des données de ces services sur votre réseau.

Page 181: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-3

Leçon 1 : Présentation de la réplication des services de domaine Active Directory

Lorsqu’un utilisateur ou un administrateur effectue une mise à jour des services de domaine Active Directory, la base de données des services de domaine Active Directory d’un contrôleur de domaine est mise à jour. Cette mise à jour est alors répliquée sur tous les autres contrôleurs de domaine du domaine et, dans certains cas, sur tous les autres contrôleurs de domaine de la forêt. Les services de domaine Active Directory utilisent un modèle de réplication multimaître, ce qui signifie que vous pouvez apporter la plupart des modifications sur n’importe quel contrôleur de domaine, celles-ci étant alors répliquées sur tous les autres contrôleurs de domaine.

Cette leçon décrit le fonctionnement de la réplication des services de domaine Active Directory dans Windows Server 2008.

Page 182: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctionnement de la réplication des services de domaine Active Directory

Points clés La diapositive décrit comment les différents composants fonctionnent dans la réplication des services de domaine Active Directory.

Lectures complémentaires • Aide sur les sites et services Active Directory : Présentation des sites, sous-

réseaux et liens de sites (éventuellement en anglais)

• Article Microsoft Technet : Composants d’un modèle de réplication (éventuellement en anglais)

• Article Microsoft Technet : Fonctionnement du modèle de réplication Active Directory (éventuellement en anglais)

Page 183: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-5

Fonctionnement de la réplication des services de domaine Active Directory au sein d’un site

Points clés Au sein d’un même site, le processus de réplication est lancé par une notification du contrôleur de domaine émetteur. En cas de modification de la base de données, l’ordinateur émetteur avertit un partenaire de réplication que les modifications sont disponibles. Le partenaire de réplication extrait les modifications à partir du contrôleur de domaine émetteur en utilisant une connexion d’appel de procédure distante (RPC). Une fois que la réplication est terminée, le contrôleur de domaine émetteur attend trois secondes puis avertit un autre partenaire de réplication, qui collecte également les modifications. Par défaut, un contrôleur de domaine attend 15 secondes après une modification avant de commencer à répliquer les modifications sur les autres contrôleurs de domaine du même site.

Page 184: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Aide sur les sites et services Active Directory : présentation des sites, sous-

réseaux et liens de sites (éventuellement en anglais)

• Article Microsoft Technet : Fonctionnement du modèle de réplication Active Directory (éventuellement en anglais)

Page 185: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-7

Résolution des conflits de réplication

Points clés Il existe trois types de conflits :

• la modification simultanée de la même valeur d’attribut d’un objet sur deux contrôleurs de domaine ;

• l’ajout ou la modification d’un objet sur un contrôleur de domaine simultanément à la suppression de l’objet conteneur de cet objet sur un autre contrôleur de domaine ;

• l’ajout d’objets ayant le même nom unique relatif dans le même conteneur.

Lectures complémentaires • Article Microsoft Technet : Fonctionnement du modèle de réplication Active

Directory (éventuellement en anglais)

Page 186: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Optimisation de la réplication

Points clés Au cours de la réplication, les contrôleurs de domaine peuvent utiliser plusieurs chemins afin d’envoyer et de recevoir les mises à jour. Si l’utilisation de chemins multiples favorise la tolérance de pannes et les performances améliorées, il peut en résulter des mises à jour qui sont répliquées plusieurs fois vers le même contrôleur de domaine sur des chemins de réplication différents. Pour éviter ces réplications répétées, la réplication des services de domaine Active Directory utilise le blocage de propagation. Il s’agit d’un processus consistant à réduire la quantité de données inutiles qui transitent entre deux contrôleurs de domaine.

Lectures complémentaires • Article Microsoft Technet : Fonctionnement du modèle de réplication Active

Directory (éventuellement en anglais)

Page 187: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-9

Description des partitions d’annuaire

Points clés La base de données des services de domaine Active Directory est répartie logiquement en partitions d’annuaire : une partition de schéma, une partition de configuration, des partitions de domaine et des partitions d’application. Chaque partition est une unité de réplication et possède sa propre topologie de réplication.

Lectures complémentaires • Article Microsoft Technet : Fonctionnement du magasin de données (section

Partition de l’annuaire) (éventuellement en anglais)

• Fonctionnement du modèle de réplication Active Directory (éventuellement en anglais)

Page 188: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description de la topologie de réplication

Points clés La topologie de réplication est l’itinéraire suivi par les données de la réplication à travers un réseau. Pour créer une topologie de réplication, les services de domaine Active Directory doivent déterminer quels contrôleurs de domaine répliquent les données avec les autres contrôleurs de domaine.

Question : Quelles partitions d’application sont créées par défaut dans les services de domaine Active Directory ?

Lectures complémentaires • Article Microsoft Technet : Qu’est-ce que la topologie de réplication Active

Directory ? (éventuellement en anglais)

Page 189: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-11

Réplication des partitions de l’annuaire et du catalogue global

Points clés La réplication des partitions de schéma et de configuration suit le même processus que toutes les autres partitions d’annuaire. Toutefois, étant donné que ces partitions sont à l’échelle de la forêt plutôt qu’à l’échelle du domaine, vous pouvez créer les objets de connexion pour ces partitions entre deux contrôleurs de domaine quelconques, quel que soit le domaine auxquels ils appartiennent. Tous les contrôleurs de domaine de la forêt sont inclus dans la topologie de réplication pour ces partitions.

Lectures complémentaires • Article Microsoft Technet : Qu’est-ce que la topologie de réplication Active

Directory ? (éventuellement en anglais)

Page 190: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Génération de la topologie de réplication

Points clés Lorsque vous ajoutez des contrôleurs de domaine à un site, les services de domaine Active Directory utilisent le Vérificateur de cohérence de connaissances (KCC, Knowledge Consistency Checker) pour établir un chemin de réplication entre les contrôleurs de domaine.

Lectures complémentaires • Article Microsoft Technet : Fonctionnement du modèle de réplication Active

Directory (éventuellement en anglais)

Page 191: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-13

Démonstration : Création et configuration d’objets de connexion

Question : Quand configureriez-vous des objets de connexion manuellement ?

Page 192: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 2 : Présentation des sites des services de domaine Active Directory et de la réplication

Au sein d’un même site, la réplication des services de domaine Active Directory se produit rapidement et automatiquement, sans tenir compte de l’utilisation du réseau. Toutefois, certaines organisations ont plusieurs sites reliés par des connexions réseau lentes. Vous pouvez utiliser les sites des services de domaine Active Directory pour contrôler la réplication et le trafic des services de domaine Active Directory de toute nature sur ces liaisons réseau.

Page 193: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-15

Description des sites des services de domaine Active Directory et liens de sites

Points clés Vous utilisez des sites pour contrôler le trafic de réplications, le trafic lié aux connexions et les requêtes des clients sur le serveur de catalogue global.

Lectures complémentaires • Aide sur les sites et services Active Directory : présentation des sites, sous-

réseaux et liens de sites (éventuellement en anglais)

Page 194: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Discussion : Pourquoi implémenter des sites supplémentaires ?

Lectures complémentaires • Aide sur les sites et services Active Directory : présentation des sites, sous-

réseaux et liens de sites (éventuellement en anglais)

Page 195: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-17

Démonstration : Configuration des services de domaine Active Directory

Questions :

Que devient la topologie de réplication si vous déplacez un contrôleur de domaine d’un site vers un autre site ?

Vous déplacez un contrôleur de domaine vers un nouveau site à l’aide de Sites et services Active Directory. Six heures plus tard vous déterminez que le contrôleur de domaine ne réplique avec aucun autre contrôleur de domaine. Que devez-vous vérifier ?

Lectures complémentaires • Aide sur les sites et services Active Directory : Créer un site, créer un sous-

réseau

Page 196: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctionnement de la réplication entre sites

Points clés Au sein d’un site, le contrôle du processus de réplication des services de domaine Active Directory est très limité. Lorsque vous implémentez plusieurs sites dans une forêt des services de domaine Active Directory, vous pouvez également configurer la réplication des services de domaine Active Directory pour garantir une utilisation optimale du réseau.

Page 197: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-19

Comparaison de la réplication intrasite et intersite

Points clés Voir la diapositive pour les comparaisons.

Lectures complémentaires • Aide sur les sites et services Active Directory : réplication intersite

(éventuellement en anglais)

• Article Microsoft Technet : Qu’est-ce que la topologie de réplication Active Directory ? (éventuellement en anglais)

Page 198: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration des liens de sites des services de domaine Active Directory

Questions :

Si tous les emplacements dans votre organisation sont connectés par un réseau étendu ayant la même bande passante disponible, avez-vous besoin de créer des liens de sites supplémentaires ?

Votre organisation possède deux sites et un seul domaine. Pouvez-vous utiliser SMTP comme protocole de réplication entre les deux sites ?

Lectures complémentaires • Aide sur les sites et services Active Directory : Créer un lien de sites

Page 199: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-21

Qu’est-ce que le générateur de topologie intersite ?

Points clés Le KCC d’un contrôleur de domaine du site est désigné comme générateur de topologie intersite (ISTG, InterSite Topology Generator) du site. Il existe un seul générateur de topologie intersite par site, quel que soit le nombre de domaines ou autres partitions d’annuaire que comporte le site. L’ISTG est chargé de calculer la topologie idéale de réplication du site.

Lectures complémentaires • Article Microsoft Technet : Fonctionnement du modèle de réplication Active

Directory (éventuellement en anglais)

Page 200: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctionnement de la réplication unidirectionnelle

Points clés Aucune modification ne provient du contrôleur de domaine en lecture seule (RODC), du fait qu’aucune modification n’est écrite directement sur ce dernier. En conséquence, les contrôleurs de domaine accessibles en écriture qui sont des partenaires de réplication n’ont pas à extraire les modifications du contrôleur de domaine en lecture seule. Autrement dit, aucune modification ou altération effectuée par un utilisateur malveillant dans une succursale n’est répliquée depuis le contrôleur de domaine en lecture seule vers la forêt. Cela réduit également la charge de travail des serveurs tête de pont dans le concentrateur et simplifie la surveillance de la réplication.

Lectures complémentaires • Article Microsoft Technet : Services de domaine Active Directory : contrôleurs

de domaine en lecture seule (éventuellement en anglais)

Page 201: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-23

Leçon 3 : Configuration et surveillance de la réplication des services de domaine Active Directory

Une fois que vous avez configuré les sites et liens de sites pour l’environnement des services de domaine Active Directory, vous pouvez configurer la réplication des services de domaine Active Directory. Dans Windows Server 2008, les services de domaine Active Directory fournissent plusieurs options que vous pouvez utiliser pour gérer le flux de réplication entre les sites. Étant donné que la réplication des services de domaine Active Directory est essentielle pour votre environnement, vous devez également savoir comment la surveiller.

Page 202: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description du serveur de tête de pont

Points clés Le serveur tête de pont dans une topologie de réplication AD DS est le contrôleur de domaine unique dans chaque site qui est responsable de l’échange des données répliquées avec d’autres sites. Le serveur tête de pont du site d’origine collecte toutes les modifications de réplication de son site et les envoie au serveur tête de pont du site destinataire, qui réplique les modifications sur tous ses contrôleurs de domaine.

Par défaut, le générateur de topologie intersite identifie un contrôleur de domaine dans chaque site en tant que serveur tête de pont pour chaque lien de sites. Si ce serveur tête de pont devient indisponible, le générateur de topologie intersite identifie un autre contrôleur de domaine en tant que serveur tête de pont.

Lectures complémentaires • Article Microsoft Technet : Fonctionnement du modèle de réplication Active

Directory (éventuellement en anglais)

Page 203: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-25

Démonstration : Configuration de serveurs tête de pont

Question :

Votre organisation possède deux sites et deux domaines dans la même forêt avec des contrôleurs pour les deux domaines dans les deux sites. Vous configurez un contrôleur de domaine sur chaque site en tant que serveur tête de pont préféré. Quelque temps plus tard vous remarquez que les contrôleurs de l’un des domaines ne répliquent pas via le lien de sites. Que faire pour résoudre ce problème ?

Lectures complémentaires • Article Microsoft Technet : Gestion de la réplication intersite

Page 204: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration de la disponibilité et de la fréquence de réplication

Questions :

Vous configurez des liens de sites entre le site de New York et celui de Toronto, et entre le site de New York et celui de Londres. Le lien de sites New York-Toronto est disponible de 2h à 5h. Le lien de sites New York-London est disponible de 20h à 23h. Vous créez un nouvel utilisateur à Toronto. Quand le nouvel utilisateur apparaît-il dans les services de domaine Active Directory sur un contrôleur de domaine de Londres ?

Votre organisation compte 4 sites. Tous vos sites sont inclus dans le DefaultIPSiteLink. Vous souhaitez modifier la planification de la réplication pour tous les sites afin que la réplication entre sites se produise toutes les 15 minutes. Comment devez-vous procéder ?

Page 205: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-27

Lectures complémentaires • Aide sur les sites et services Active Directory : Configurer la réplication intersite

Page 206: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description du pontage de liens de sites

Points clés Par défaut, tous les liens de sites des services de domaine Active Directory sont transitifs, ou de type pont. Cela signifie que si le site A possède un lien de sites commun avec le site B, le site B possède également un lien de sites commun avec le site C et les deux liens de sites sont reliés par un pont. Les contrôleurs de domaine du site A peuvent répliquer directement avec les contrôleurs de domaine du site C, même s’il n’existe aucun lien de sites entre les sites A et C.

Vous pouvez modifier la configuration de pontage des liens de site par défaut en désactivant le pontage de liens de sites, puis en le configurant uniquement pour les liens qui doivent être transitifs.

Lectures complémentaires • Article Microsoft Technet : Fonctionnement du modèle de réplication Active

Directory (éventuellement en anglais)

Page 207: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-29

Démonstration : Modification des ponts entre des liens de site

Question :

Votre organisation possède cinq sites. Quatre des sites sont connectés par des liaisons réseau étendu (WAN) avec de la bande passante réseau en surplus tandis que le dernier est relié aux autres par une liaison réseau étendu avec très peu de bande passante disponible. Vous désactivez le pontage de lien de sites dans votre organisation et constatez alors que la réplication des changements des services de domaine Active Directory intersite est beaucoup plus longue que d’habitude. Que devez-vous faire pour optimiser la réplication entre les quatre sites ayant de la bande passante disponible tout en réduisant l’utilisation réseau sur le site ayant moins de bande passante disponible ?

Lectures complémentaires • Article Microsoft Technet : Gestion de la réplication intersite

Page 208: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description de la mise en cache de l’appartenance à un groupe universel

Points clés L’un des problèmes que vous devrez peut-être traiter lors de la configuration de la réplication des services de domaine Active Directory est celui de l’éventuel déploiement de serveurs de catalogue global dans chaque site. Étant donné que des serveurs de catalogue global sont requis lorsque les utilisateurs ouvrent une session sur le domaine, le déploiement d’un serveur de catalogue global dans chaque site optimise l’expérience de l’utilisateur. Toutefois, le déploiement d’un serveur de catalogue global dans un site entraîne une augmentation du trafic de réplication, qui peut poser problème si la bande passante de la connexion réseau entre les sites des services de domaine Active Directory est limitée. Pour ces scénarios, vous pouvez déployer des contrôleurs de domaine exécutant Windows Server 2008, puis activer la mise en cache de l’appartenance au groupe universel pour le site.

Page 209: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-31

Lectures complémentaires • Article Microsoft Technet : Planification du positionnement du serveur de

catalogue global (éventuellement en anglais)

Page 210: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration de la mise en cache des appartenances à un groupe universel

Lectures complémentaires • Article Microsoft Technet : Mise en cache des appartenances à un groupe

universel

Page 211: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-33

Démonstration : Outils de surveillance et de gestion de la réplication

Questions :

Dans quelles circonstances aimeriez-vous savoir quel contrôleur de domaine est le générateur ISTG d’un site ?

Quelles informations disponibles dans les outils de ligne de commande ne le sont pas via les outils de l’interface utilisateur graphique ?

Page 212: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-34 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Configuration des sites Active Directory et de la réplication

Scénario

La Woodgrove Bank dispose de nombreuses filiales dans le monde. Pour optimiser le trafic d’ouverture de session client et gérer la réplication des services de domaine Active Directory, l’administrateur de l’entreprise a créé une nouvelle conception pour configurer les sites AD DS et la réplication entre sites. Vous devez créer des sites AD DS et configurer la réplication à partir de la conception de l’administrateur, puis surveiller la réplication des sites et vous assurer que tous les composants nécessaires sont opérationnels.

La conception de site en cours à la Woodgrove Bank n’a pas été modifiée par rapport à sa valeur par défaut. Mis à part le site par défaut, aucun site des services de domaine Active Directory ou lien de sites n’est configuré.

Page 213: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-35

L’administrateur de l’entreprise a créé la conception de site suivante :

• New York dispose d’une connexion de réseau étendu (WAN) à 1,544 Mbits/s avec Londres, sur laquelle 50 % de la bande passante sont disponibles. New York et Tokyo sont également connectés par une connexion WAN à 1,544 Mbits/s, sur laquelle 50 % de la bande passante sont disponibles. Toutes les modifications apportées aux services de domaine Active Directory dans l’un de ces trois sites doivent être répliquées sur les autres sites en une heure.

• Miami est connecté à New York via une connexion WAN 256 Kbits/s qui a moins 20 % de bande passante disponible pendant les horaires de bureau. Les modifications apportées aux services de domaine Active Directory sur n’importe quel site de l’organisation ne doivent pas être répliquées avec Miami pendant les horaires de bureau.

• Le contrôleur de domaine de Miami doit uniquement recevoir les mises à jour d’un contrôleur de domaine de New York. Les contrôleurs de domaine de New York, Tokyo et Londres peuvent recevoir des mises à jour de n’importe quel contrôleur de domaine de l’un de ces trois sites.

• Le contrôleur de domaine de Miami n’est pas configuré en tant que serveur de catalogue global en raison de problèmes concernant la réplication de catalogue global. Pour réduire le trafic réseau requis pour l’authentification, vous devez activer la mise en cache des appartenances à un groupe universel pour le site de Miami.

• Vous devez configurer chaque agence de la société en tant que site distinct, avec le nom de site Ville-Site.

• Vous devez nommer les liens de sites selon le format suivant : Ville-Ville-Site-Link.

• Les configurations d’adresse réseau pour chaque agence de la société sont les suivantes :

• New York – 10.10.0.0/16

• London – 10.20.0.0/16

• Miami – 10.30.0.0/16

• Tokyo – 10.40.0.0/16

Page 214: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-36 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Remarque : en raison des limitations de l’atelier pratique virtuel, vous ne devez configurer que les sites des agences de New York, Londres et Miami.

Remarque : l’atelier pratique suivant nécessite l’exécution simultanée de quatre ordinateurs virtuels. Les ordinateurs des stagiaires doivent être configurés avec 1 Go de RAM supplémentaire (soit un total de 3 Go) pour améliorer les performances des ordinateurs virtuels dans cet atelier pratique.

Page 215: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-37

Exercice 1 : Configuration des sites et des sous-réseaux des services de domaine Active Directory Dans cet exercice, vous allez modifier la configuration actuelle du site en fonction de la conception de l’administrateur de l’entreprise. Les tâches incluent la création de nouveaux sous-réseaux et sites, la création de liens de sites et le déplacement de serveurs vers les sites appropriés.

Les principales tâches sont les suivantes :

1. Démarrer les ordinateurs virtuels et ouvrir une session.

2. Vérifier la configuration et la topologie de réplication actuelle du site.

3. Créer les sites des services de domaine Active Directory.

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes et sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Lancer.

3. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-LON-DC1, cliquez sur Lancer.

4. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-MIA-RODC, cliquez sur Lancer.

5. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-RAS, cliquez sur Lancer.

6. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

7. Sur LON-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

8. Ouvrez une session sur MIA-RODC en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

9. Ouvrez une session sur NYC-RAS en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

10. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Page 216: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-38 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Démarrer l’ordinateur virtuel 6238A-LON-DC1 et ouvrir une session en tant qu’Administrateur. • Démarrez 6238A-LON-DC1 et ouvrez une session en tant qu’Administrateur

avec le mot de passe Pa$$w0rd.

Tâche 3 : Vérifier la configuration et la topologie de réplication actuelle du site. 1. Sur NYC-DC1, ouvrez Sites et services Active Directory et accédez aux

propriétés des Paramètres NTDS pour NYC-DC1.

2. Vérifiez les objets de connexion configurés sur NYC-DC1. Vérifiez que les objets de connexion sont utilisés pour répliquer toutes les partitions appropriées de l’annuaire.

3. Vérifiez que les connexions sont configurées pour toujours répliquer, et rechercher les mises à jour toutes les heures.

4. Examinez les objets de connexion configurés sur MIA-RODC. Vérifiez que le contrôleur de domaine en lecture seule a uniquement des partenaires de réplication entrants et aucun partenaire de réplication sortant.

Tâche 4 : Créer les sites des services de domaine Active Directory. 1. Dans Sites et services Active Directory, renommez Nom-Premier-Site-Par défaut

en NewYork-Site.

2. Créez de nouveaux sites nommés Miami-Site, London-Site et Tokyo-site.

3. Créez de nouveaux objets sous-réseau avec les propriétés suivantes :

• Préfixe : 10.10.0.0/16, Site : NewYork-Site

• Préfixe : 10.20.0.0/16, Site : London-Site

• Préfixe : 10.30.0.0/16, Site : Miami-Site

• Préfixe : 10.40.0.0/16, Site : Tokyo-Site

4. Vérifiez que les sous-réseaux corrects sont associés à chaque site.

Résultat : au terme de cet exercice, vous aurez configuré des sites et des sous-réseaux de services de domaine Active Directory et lié les sous-réseaux aux sites appropriés.

Page 217: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-39

Exercice 2 : Configuration de la réplication des services de domaine Active Directory Dans cet exercice, vous allez configurer la réplication des services de domaine Active Directory entre les sites. Il s’agira notamment de créer de nouveaux liens de site, de configurer le pontage de liens de sites et de déplacer les contrôleurs de domaine vers les sites appropriés.

Les principales tâches sont les suivantes :

1. Créer des objets lien de site.

2. Configurer le pontage de liens de site.

3. Modifier la configuration d’adresse IP du contrôleur de domaine.

4. Déplacez les contrôleurs de domaine vers les sites appropriés.

5. Configurer la mise en cache du catalogue global pour le site de Miami.

Tâche 1 : Créer des objets lien de site. 1. Dans Sites et services Active Directory, renommez DEFAULTIPSITELINK en

NewYork-London-Site-Link. Configurez le lien de sites de telle sorte qu’il contienne uniquement New York-Site et London-Site et que la réplication s’effectue toutes les 30 minutes.

2. Cliquez avec le bouton droit sur NewYork-London-Site-Link et cliquez sur Propriétés.

3. Créez un nouveau lien de sites nommé New York-Tokyo-Site-Link, incluant New York-Site et Tokyo-Site avec une réplication toute les 30 minutes.

4. Créez un autre lien de sites nommé New York-Miami-Site-Link, incluant New York-Site et Miami-Site. Modifiez la planification pour le lien de sites de telle sorte que la réplication soit interdite entre 7:00 et 19:00, du lundi au vendredi.

Tâche 2 : Configurer le pontage de liens de site. 1. Dans Sites et services Active Directory, désactivez le pontage des liens de

sites IP.

2. Créez un nouveau pont de liens de sites nommé NewYork-London-Tokyo-Site-Link-Bridge comprenant tous les sites à l’exception de Miami-Site.

Page 218: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-40 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 3 : Modifier la configuration d’adresse IP du contrôleur de domaine. 1. Sur LON-DC1, accédez aux propriétés de Connexion au réseau local.

Modifiez la configuration de l’adresse IP pour utiliser 10.20.0.110 comme adresse et 10.11.0.1 comme passerelle par défaut.

2. Assurez-vous que vous pouvez exécuter la commande ping sur 10.10.0.10 à partir de LON-CD1 et forcez le serveur à enregistrer son adresse IP auprès du DNS.

3. Sur MIA-RODC, dans la fenêtre d’invite de commandes, utilisez Netsh interface ipv4 show interfaces pour identifier la valeur Idx affectée à la connexion au réseau local.

4. Utilisez la commande netsh interface ipv4 set address name="ID" source=static address=10.30.0.15 mask=255.255.0.0 gateway=10.30.0.1 pour modifier l’adresse IP de MIA-RODC.

5. Assurez-vous que vous pouvez exécuter la commande ping sur 10.10.0.10 à partir de MIA-RODC et forcez le serveur à enregistrer son adresse IP dans DNS.

6. Sur NYC-DC1, vérifiez que les adresses IP de LON-DC1 et MIA-RODC ont été mises à jour dans le système DNS.

7. Modifiez l’enregistrement de délégation pour qu’EMEA utilise 10.20.0.110 comme adresse de serveur DNS EMEA.

Tâche 4 : Déplacer les contrôleurs de domaine vers les sites appropriés. 1. Sur NYC-DC1, dans Sites et services Active Directory, déplacez LON-DC1 de

NewYork-Site vers London-Site.

2. Déplacez MIA-RODC de NewYork-Site vers Miami-Site.

Page 219: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-41

Tâche 5 : Configurer la mise en cache du catalogue global pour le site de Miami. 1. Sur NYC-DC1, dans Sites et services Active Directory, accédez aux propriétés

de Paramètres de site NTDS pour Miami-Site.

2. Activez la Mise en cache de l’appartenance au groupe universel et configurez le cache pour qu’il soit actualisé à partir de NewYork-Site.

Résultat : au terme de cet exercice, vous aurez configuré la réplication des services de domaine Active Directory.

Page 220: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-42 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Surveillance de la réplication des services de domaine Active Directory Dans cet exercice, vous allez configurer la réplication des services de domaine Active Directory entre les sites. Vous allez utiliser DCDiag et NLTest pour vérifier la disponibilité du serveur, puis Repadmin pour configurer les objets des services de domaine Active Directory et enfin ReplMon pour surveiller la réplication entre sites.

Les principales tâches sont les suivantes :

1. Vérifier que la topologie de réplication a été mise à jour.

2. Vérifier que la réplication fonctionne entre les sites.

3. Utiliser DCDiag pour vérifier la topologie de réplication.

4. Utiliser Repadmin pour vérifier que la réplication a réussi.

5. Arrêter tous les ordinateurs virtuels et supprimez toutes les modifications.

Tâche 1 : Vérifier que la topologie de réplication a été mise à jour. 1. Sur NYC-DC1, dans Sites et services Active Directory, accédez aux Paramètres

NTDS pour NYC-DC1 et forcez le serveur à vérifier la topologie de réplication.

2. Accédez aux Paramètres NTDS pour MIA-RODC sur Miami-Site et forcez-le à vérifier la topologie de réplication. L’exécution de cette opération prend quelques minutes.

3. Accédez aux propriétés de Paramètres de site NTDS pour NewYork-Site et vérifiez que NYC-DC1 est configuré comme Générateur de topologie inter-sites.

4. Accédez aux Paramètres de site NTDS pour Miami-Site et vérifiez que MIA-RODC n’est pas répertorié comme ISTG. Dans la mesure où MIA-RODC est un contrôleur de domaine en lecture seule, il ne peut pas fonctionner comme serveur tête de pont ou ISTG.

Page 221: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-43

Tâche 2 : Vérifier que la réplication fonctionne entre les sites. 1. Sur NYC-DC1, dans Sites et services Active Directory, accédez aux Paramètres

NDTS pour NYC-DC1.

2. Dans le volet Détails, vérifiez qu’un objet de connexion a été créé entre NYC-DC1 et LON-DC1, et forcez la réplication sur cet objet.

3. Sur LON-DC1, ouvrez Sites et services Active Directory, accédez à l’objet de connexion configuré sur LON-DC1 entre LON-DC1 et NYC-DC1, et forcez la réplication sur cet objet.

4. Sur NYC-DC1, dans le conteneur Utilisateurs de Utilisateurs et ordinateurs Active Directory, créez un nouvel utilisateur avec le prénom et le nom d’ouverture de session UtilisateurTest, ainsi que le mot de passe Pa$$w0rd.

5. Dans Sites et services Active Directory, accédez à l’objet de connexion configuré sur MIA-RODC entre NYC-DC1 et MIA-RODC, et forcez la réplication sur cet objet.

6. Dans Utilisateurs et ordinateurs Active Directory, activez MIA-RODC.WoodgroveBank.com.

7. Dans la boîte de dialogue Modifier le contrôleur de domaine, cliquez sur MIA-RODC.WoodgroveBank.com, cliquez sur OK, puis vérifiez que le compte UtilisateurTest a bien été répliqué sur MIA-RODC.

Tâche 3 : Utiliser DCDiag pour vérifier la topologie de réplication. • Sur NYC-DC1, à l’invite de commandes, tapez DCDiag /test:replications pour

vérifier que NYC-DC1 satisfait tous les tests de connectivité.

Remarque : des erreurs de réplication seront répertoriées car la réplication a été tentée alors que NYC-DC2 et TOK-DC1 n’étaient pas en cours d’exécution.

Page 222: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-44 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 4 : Utiliser Repadmin pour vérifier que la réplication a réussi. 1. Sur NYC-DC1, à l’invite de commandes, tapez repadmin /showrepl et vérifiez

que la réplication a bien été effectuée avec LON-DC1 lors de la dernière mise à jour de réplication.

2. À l’invite de commandes, tapez repadmin /showrepl MIA-RODC.WoodgroveBank.com et vérifiez que toutes les partitions d’annuaire ont bien été répliquées lors de la dernière mise à jour de réplication.

3. À l’invite de commandes, tapez repadmin /bridgeheads et vérifiez que NYC-DC1 et LON-DC1 sont répertoriés comme serveurs tête de pont pour leur site.

4. À l’invite de commandes, tapez repadmin /replsummary et examinez le résumé de la réplication, puis fermez l’invite de commandes.

Tâche 5 : Arrêter tous les ordinateurs virtuels et supprimez toutes les modifications. 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez vérifié le bon fonctionnement de la réplication des services de domaine Active Directory.

Page 223: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-45

Récapitulatif du module et objectifs

Questions du contrôle des acquis 1. Comment pouvez-vous réduire les risques de créer un conflit de réplication

dans votre organisation ?

2. Vous avez déployé neuf contrôleurs de domaine dans le même domaine. Cinq de ces contrôleurs de domaine sont dans un site, tandis que les quatre autres sont dans un autre site. Vous n’avez pas modifié la fréquence de réplication par défaut de la réplication intersite et intrasite. Vous créez un compte d’utilisateur sur un contrôleur de domaine. Combien de temps faudra-t-il au maximum pour que ce compte d’utilisateur soit répliqué sur tous les contrôleurs du domaine ?

3. Vous ajoutez un nouveau contrôleur de domaine à un domaine existant dans votre forêt. Quelles partitions des services de domaine Active Directory sont modifiées à la suite de cette opération ?

Page 224: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

4-46 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

4. Votre organisation dispose d’un domaine avec trois sites : le site du siège et deux sites de succursales. Les contrôleurs de domaine du site d’une succursale peuvent communiquer avec les contrôleurs de domaine du siège social, mais ils ne peuvent pas communiquer directement avec ceux de l’autre succursale en raison de restrictions de pare-feu. Comment configurer l’architecture de liens de sites dans les services de domaine Active Directory pour intégrer le pare-feu et assurer que le KCC ne créera pas automatiquement une connexion entre les sites des succursales ?

5. Votre organisation possède un siège social et 20 succursales. Chaque succursale est configurée comme un site distinct. Vous disposez de trois contrôleurs de domaine déployés au siège social. Un des contrôleurs de domaine du siège social a un processeur plus rapide et plus de mémoire que les deux autres. Vous voulez vous assurer que la charge de réplication des services de domaine Active Directory est attribuée à l’ordinateur le plus puissant. Comment devez-vous procéder ?

Éléments à prendre en considération pour configurer des sites et la réplication des services de domaine Active Directory Complétez ou modifiez les meilleures pratiques pour vos propres situations de travail :

• Dans une organisation avec un site unique, vous pouvez presque toujours accepter la configuration de la réplication par défaut. Bien que vous puissiez modifier les heures de notification par défaut pour la réplication des services de domaine Active Directory, il n’y a généralement aucune raison de le faire.

• Dans une organisation ayant plusieurs sites, vous devez planifier la conception des sites pour optimiser l’utilisation du réseau étendu en réduisant la réplication Active Directory et le trafic d’ouverture des sessions client.

• Pour éviter que certains contrôleurs de domaine du site soient serveurs tête de pont, utilisez les serveurs tête de pont préférés. Certains contrôleurs risquent de ne pas être assez puissants pour répliquer de manière fiable entre les sites. Dans le cas contraire, autorisez le générateur de topologie intersite à sélectionner automatiquement les serveurs tête de pont.

Page 225: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des sites des services de domaine Active Directory et de la réplication 4-47

• La configuration des sites et les emplacements des contrôleurs de domaine dans les sites peuvent être modifiés après le déploiement. Si vous découvrez que la réplication des services de domaine Active Directory est inefficace, ou si votre organisation se développe, il est facile de modifier le processus de réplication en ajoutant ou supprimant des sites ou en modifiant la configuration des liens de sites.

• Le trafic de réplication des services de domaine Active Directory entre les sites est compressé. Cela signifie que dans presque toutes les plus grandes organisations, le trafic de réplication ne consommera pas une quantité importante de bande passante réseau entre les sites.

Outils Utilisez les outils ci-dessous lors de la configuration des sites et de la réplication des services de domaine Active Directory :

Outil Utilisation Emplacement

Gestionnaire de serveur

Accéder aux outils de gestion des services de domaine Active Directory dans une console unique.

Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.

Sites et services Active Directory

Création et configuration des sites et des sous-réseaux, déplacement des contrôleurs de domaine entre les sites et forçage de la réplication.

Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

Repadmin Collection des données sur la topologie et l’état de réplication actuels, et création des objets de réplication.

Installé par défaut et accessible dans une invite de commandes.

DCDiag Collection des données sur les contrôleurs de domaine y compris les partenaires et l’état de réplication.

Installé par défaut et accessible dans une invite de commandes.

Page 226: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 227: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-1

Module 5. Création et configuration d’une stratégie de groupe

Table des matières : Leçon 1 : Vue d’ensemble de la stratégie de groupe 5-3

Leçon 2 : Configuration de l’étendue des objets de stratégie de groupe 5-17

Leçon 3 : Évaluation de l’application des objets de stratégie de groupe 5-31

Leçon 4 : Gestion des objets de stratégie de groupe 5-37

Leçon 5 : Délégation du contrôle administratif de la stratégie de groupe 5-46

Atelier pratique : Création et configuration d’objets Stratégie de groupe 5-50

Page 228: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

Les administrateurs sont confrontés à des défis de plus en plus complexes en ce qui concerne la gestion de l’infrastructure informatique. Ils doivent fournir et gérer des configurations de bureau personnalisées pour des employés très divers tels que des utilisateurs nomades, des professionnels de l’information, ou encore des personnes affectées à des tâches spécialisées telles que la saisie de données.

Grâce à la stratégie de groupe et l’infrastructure des services de domaine Active Directory® (AD DS) dans Windows Server® 2008, les administrateurs informatiques automatisent la gestion des utilisateurs et des ordinateurs, ce qui simplifie les tâches d’administration et réduit les coûts informatiques. Ainsi, les administrateurs peuvent implémenter des paramètres de sécurité, appliquer efficacement des stratégies informatiques et distribuer des logiciels de manière cohérente sur un site, un domaine ou un éventail d’unités d’organisation spécifique.

Page 229: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-3

Leçon 1 : Vue d’ensemble de la stratégie de groupe

Cette leçon présente comment utiliser la stratégie de groupe pour simplifier la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Vous allez apprendre la structure des objets de stratégie de groupe et leurs modalités d’application, ainsi que certaines des exceptions relatives au traitement de leur application.

Cette leçon présente également les fonctionnalités de stratégie de groupe, fournies dans Windows Server 2008, qui elles aussi permettent de simplifier la gestion des ordinateurs et des utilisateurs.

Page 230: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Qu’est-ce que la stratégie de groupe ?

Points clés La stratégie de groupe est une technologie Microsoft® qui prend en charge la gestion des ordinateurs et des utilisateurs de type un-à-plusieurs dans un environnement Active Directory. En modifiant les paramètres de stratégie de groupe et en ciblant l’objet de stratégie de groupe pour des ordinateurs ou des utilisateurs sélectionnés, vous pouvez centraliser la gestion des paramètres de configuration spécifiques. Vous avez ainsi la possibilité de gérer des milliers d’ordinateurs ou d’utilisateurs potentiels en modifiant un seul objet de stratégie de groupe.

Un objet stratégie de groupe désigne la collection des paramètres qui sont appliqués à des utilisateurs et des ordinateurs sélectionnés.

La stratégie de groupe peut contrôler de nombreux aspects de l’environnement d’un objet cible, notamment le Registre, la sécurité du système de fichiers NTFS, la stratégie d’audit et de sécurité, l’installation et la restriction de logiciels, l’environnement du bureau et les scripts d’ouverture/de fermeture de session.

Page 231: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-5

Un seul objet stratégie de groupe peut être associé à plusieurs conteneurs dans AD DS par le biais de la liaison. À l’inverse, plusieurs objets de stratégie de groupe peuvent être liés à un seul conteneur.

Question : dans quel cas une stratégie de groupe locale peut s’avérer utile dans un environnement de domaines ?

Lectures complémentaires • Article Microsoft Technet : Stratégie de groupe Windows Server

(éventuellement en anglais)

Page 232: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Paramètres de stratégie de groupe

Points clés La stratégie de groupe contient environ 2 400 paramètres configurables. Ces paramètres peuvent affecter presque toutes les zones de l’environnement informatique. Vous ne pouvez pas appliquer tous les paramètres à toutes les versions des systèmes d’exploitation Windows. Par exemple, bon nombre des nouveaux paramètres fournis avec Windows® XP Professionnel Service Pack (SP) 2, comme les stratégies de restriction logicielle, s’appliquent uniquement à ce système d’exploitation. De même, des centaines de nouveaux paramètres s’appliquent uniquement au système d’exploitation Windows Vista® et à Windows Server 2008. Si un ordinateur ne peut pas traiter un paramètre appliqué, il l’ignore tout simplement.

Question : parmi les nouvelles fonctionnalités, lesquelles peuvent s’avérer les plus utiles dans votre environnement ?

Page 233: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-7

Lectures complémentaires • Article Microsoft Technet : Récapitulatif des paramètres de stratégie de groupe

nouveaux ou développés (éventuellement en anglais)

• Article Microsoft Technet : Nouveautés de la stratégie de groupe dans Windows Vista et Windows Server 2008 (éventuellement en anglais)

Page 234: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Application de la stratégie de groupe

Points clés Les clients démarrent l’application de la stratégie de groupe en interrogeant les objets stratégie de groupe dans les services de domaine Active Directory. Lorsque la stratégie de groupe est appliquée à un utilisateur ou à un ordinateur, le composant client l’interprète et effectue les modifications appropriées dans l’environnement. Ces composants sont appelés extensions côté client de la stratégie de groupe. Au fur et à mesure que les objets de stratégie de groupe sont traités, le processus Winlogon en transmet la liste à chaque extension côté client de la stratégie de groupe. L’extension utilise ensuite la liste pour traiter la stratégie appropriée, le cas échéant.

Question : quels avantages et inconvénients présenteraient la réduction de l’intervalle d’actualisation ?

Page 235: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-9

Lectures complémentaires • Article Microsoft Technet : Stratégie de groupe Windows Server

(éventuellement en anglais)

Page 236: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exceptions au traitement de la stratégie de groupe

Points clés Différents facteurs peuvent modifier le comportement standard du traitement de la stratégie de groupe, tels que l’ouverture de session avec une connexion lente, ou bien certains types de connexions ou de systèmes d’exploitation qui traitent la stratégie de groupe à leur manière.

Question : pourquoi le service Connaissance des emplacements réseau constitue-t-il une meilleure solution que le protocole ICMP (Internet Control Message Protocol) pour l’application de la stratégie de groupe ?

Lectures complémentaires • Contrôle des extensions côté client à l’aide de la stratégie de groupe

(éventuellement en anglais)

Page 237: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-11

Composants de la stratégie de groupe

Points clés Vous pouvez utiliser les modèles de stratégie de groupe pour créer et configurer des paramètres de stratégie de groupe qui sont stockés dans des objets stratégie de groupe. Les objets de stratégie de groupe, à leur tour, sont stockés dans le conteneur SYSVOL des services de domaine Active Directory. Ce conteneur fonctionne comme un référentiel central pour les objets de stratégie de groupe. De cette façon, une seule stratégie peut être associée à plusieurs conteneurs Active Directory via la liaison. À l’inverse, plusieurs stratégies peuvent être liées à un seul conteneur.

La stratégie de groupe comporte trois principaux composants :

• Modèles de stratégie de groupe

• Conteneur de stratégie de groupe

• Objets de stratégie de groupe

Page 238: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des fichiers ADM et ADMX

Points clés

Fichiers ADM Le plus souvent, les fichiers ADM servaient à définir les paramètres que l’administrateur configurait par le biais de la stratégie de groupe. Les systèmes d’exploitation Windows et les Service Packs successifs ont toujours inclus une version plus récente de ces fichiers. Les fichiers ADM utilisent leur propre langage de balisage. De ce fait, il est difficile de les personnaliser. Les modèles ADM sont situés dans le dossier %SystemRoot%\Inf.

Fichiers ADMX Windows Vista et Windows Server 2008 introduisent un nouveau format d’affichage des paramètres de stratégie basés sur le Registre. Ces paramètres sont définis à l’aide d’un format de fichier XML normalisé, appelé fichiers ADMX. Ces nouveaux fichiers remplacent les fichiers ADM. Les outils de stratégie de groupe dans Windows Vista et Windows Server 2008 continueront à reconnaître les fichiers ADM personnalisés de votre environnement existant, mais ignoreront tous les fichiers ADM que les fichiers ADMX ont remplacés.

Page 239: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-13

Question : comment pouvez-vous déterminer si un objet de stratégie de groupe a été créé ou modifié à l’aide de fichiers ADM ou ADMX ?

Lectures complémentaires • Article Microsoft Technet : Guide pas à pas de la gestion des fichiers ADMX de

stratégie de groupe (éventuellement en anglais)

• Support technique Microsoft : Emplacement des fichiers ADM (Modèle administratif) dans Windows (éventuellement en anglais)

Page 240: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description du magasin central

Points clés Dans les entreprises basées sur le domaine, les administrateurs peuvent créer un magasin central des fichiers ADMX, accessible par toute personne autorisée à créer ou à modifier des objets de stratégie de groupe. Dans Windows Vista et Windows Server 2008, l’Éditeur d’objets stratégie de groupe lit et affiche automatiquement les paramètres de la stratégie de modèles d’administration à partir des fichiers ADMX mis en cache dans le magasin central et ignore ceux qui sont stockés localement. Si le contrôleur de domaine n’est pas disponible, le magasin local est utilisé.

Vous devez créer le magasin central et le mettre à jour manuellement sur un contrôleur de domaine. L’utilisation des fichiers ADMX est liée au système d’exploitation de l’ordinateur sur lequel vous créez ou modifiez l’objet stratégie de groupe. Par conséquent, le contrôleur de domaine peut être un serveur doté de Windows 2000, Windows Server® 2003 ou Windows Server 2008. Le service de réplication de fichiers (FRS) réplique le contrôleur de domaine sur les autres contrôleurs de ce domaine.

Page 241: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-15

Question : quel avantage présenterait la création du magasin central sur l’émulateur de contrôleur de domaine principal ?

Lectures complémentaires • Support technique Microsoft : Comment créer un magasin central pour les

modèles d’administration de stratégie de groupe dans Windows Vista

Page 242: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration d’objets de stratégie de groupe

Question : lorsque vous ouvrez la Console de gestion des stratégies de groupe sur l’ordinateur Windows XP, les nouveaux paramètres de Windows Vista ne s’affichent pas dans l’Éditeur d’objets de stratégie de groupe. Pourquoi ?

Page 243: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-17

Leçon 2 : Configuration de l’étendue des objets de stratégie de groupe

Il existe plusieurs techniques qui permettent aux administrateurs de manipuler la manière dont la stratégie de groupe est appliquée. Vous pouvez déterminer l’ordre de traitement par défaut des stratégies via l’application, le blocage de l’héritage, le filtrage de sécurité et les filtres WMI (Windows Management Instrumentation), ou l’utilisation de la boucle de rappel. Dans cette leçon, vous allez apprendre ces techniques.

Page 244: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Ordre de traitement de la stratégie de groupe

Points clés Les objets de stratégie de groupe qui s’appliquent à un utilisateur ou à un ordinateur n’ont pas tous la même priorité. Ils sont implémentés dans un ordre précis. Cet ordre signifie que les paramètres traités en premier peuvent être écrasés par les paramètres traités ensuite. Par exemple, une stratégie qui restreint l’accès au Panneau de configuration appliquée au niveau du domaine peut être inversée par une stratégie appliquée au niveau de l’unité d’organisation pour cette unité d’organisation spécifique.

Question : votre organisation possède plusieurs domaines répartis dans plusieurs sites. Vous souhaitez appliquer une stratégie de groupe à tous les utilisateurs de deux domaines distincts. Quelle est la meilleure méthode pour y parvenir ?

Lectures complémentaires • Article Microsoft Technet : Traitement et priorité de la stratégie de

groupe(éventuellement en anglais)

Page 245: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-19

Description des objets de stratégie de groupe locale multiples

Points clés Dans les systèmes d’exploitation Microsoft antérieurs à Windows Vista, il n’existait qu’une seule configuration utilisateur disponible dans la stratégie de groupe locale. Cette configuration était appliquée à tous les utilisateurs ayant ouvert une session à partir de l’ordinateur local. C’est toujours vrai à ceci près que Windows Vista et Windows Server 2008 offrent une fonctionnalité supplémentaire. Dans Windows Vista et Windows Server 2008, il est maintenant possible d’avoir des paramètres utilisateur différents pour des utilisateurs locaux différents, même s’il subsiste une configuration ordinateur unique qui affecte tous les utilisateurs.

Question : dans quel cas des objets de stratégie de groupe locale multiples peuvent s’avérer utiles dans un environnement de domaines ?

Page 246: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Article Microsoft Technet : Guide pas à pas de la gestion des objets de stratégie

de groupe locale multiples (éventuellement en anglais)

Page 247: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-21

Options de modification du traitement de la stratégie de groupe

Points clés Il peut y avoir des situations où le comportement standard de la stratégie de groupe n’est pas souhaitable. Par exemple, des paramètres de stratégie de groupe restrictifs peuvent ne pas s’appliquer à certains utilisateurs ou certains groupes, ou bien un objet stratégie de groupe doit s’appliquer uniquement à des ordinateurs possédant certaines caractéristiques matérielles ou logicielles. Par défaut, tous les paramètres de stratégie de groupe s’appliquent au groupe Utilisateurs authentifiés d’un conteneur donné. Cependant, vous pouvez modifier ce comportement en utilisant différentes méthodes.

Page 248: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Question :

Vous avez créé une stratégie de Bureau restrictive et l’avez liée à l’unité d’organisation Finances. L’unité d’organisation Finances possède plusieurs unités d’organisation enfants avec des objets de stratégie de groupe distincts qui vont à l’encontre de vos restrictions. Comment pouvez-vous vous assurer que tous les utilisateurs du service Finances reçoivent votre stratégie de Bureau ?

Lectures complémentaires • Article Microsoft Technet : Contrôle de la portée des objets stratégie de groupe

l’aide de la console GPMC (éventuellement en anglais)

Page 249: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-23

Démonstration : Configuration des liens de l’objet de stratégie de groupe

Question : vrai ou faux : si un objet de stratégie de groupe est lié à plusieurs conteneurs, la modification des paramètres d’un des liens affecte uniquement le conteneur correspondant.

Page 250: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration de l’héritage de la stratégie de groupe

Question : votre domaine possède deux stratégies de niveau domaine, GPO1 et GPO2. Vous devez vous assurer que toutes les unités d’organisation reçoivent la stratégie GPO1 et veiller à ce que la stratégie GPO2 n’affecte pas deux des unités d’organisation. Quelle méthode utilisez-vous pour y parvenir ?

Page 251: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-25

Démonstration : Filtrage des objets de stratégie de groupe à l’aide des groupes de sécurité

Question : vous souhaitez vous assurer qu’une stratégie spécifique liée à une unité d’organisation n’a une incidence que sur les membres du groupe local Directeurs. Comment pouvez-vous atteindre cet objectif ?

Page 252: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Filtrage des objets de stratégie de groupe à l’aide des filtres WMI

Question : vous devez déployer une application qui requiert 1 Go de mémoire vive (RAM). Quelle est la meilleure méthode pour y parvenir ?

Page 253: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-27

Fonctionnement du traitement en boucle

Points clés En règle générale, les paramètres de stratégie utilisateur découlent entièrement des objets stratégie de groupe associés au compte d’utilisateur d’après son emplacement dans les services de domaine Active Directory. Cependant, le traitement en boucle indique au système d’appliquer un ensemble de paramètres utilisateur de substitution pour l’ordinateur à tout utilisateur ouvrant une session sur un ordinateur affecté par cette stratégie. Le traitement en boucle est conçu pour des ordinateurs dédiés qui imposent la modification de la stratégie utilisateur en fonction de l’ordinateur utilisé, par exemple les ordinateurs dans les zones ouvertes au public ou les classes. Lorsque vous appliquez la boucle, celle-ci affecte tous les utilisateurs à l’exception des utilisateurs locaux.

Le bouclage fonctionne à l’aide des deux modes suivants :

• Mode de fusion

• Mode de remplacement

Page 254: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Article Microsoft Technet : Traitement en boucle de la stratégie de groupe

• Article Microsoft Technet : Traitement en boucle de la stratégie de groupe

Page 255: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-29

Discussion : Configuration de l’étendue du traitement de la stratégie de groupe

Scénario Utilisez les informations de scénario ci-après pour votre discussion.

Structure physique Woodgrove bank possède un seul domaine qui comprend deux sites : le siège et Toronto. Le site de Toronto est relié au site du siège via une liaison haut débit. Au sein du site du siège, il y a une succursale, située à Winnipeg. Cette succursale est reliée au siège via une liaison lente. Elle compte cinq utilisateurs. Il n’y a pas de contrôleur de domaine à Winnipeg, mais il y a un serveur SQL.

L’organisation a déployé Windows XP Professionnel et Windows Vista sur ses ordinateurs.

Page 256: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Éléments requis Tous les ordinateurs du domaine sur lesquels Windows XP Professionnel est installé disposent d’une petite application logicielle distribuée via la stratégie de groupe.

Les utilisateurs du domaine ne doivent pas pouvoir accéder aux propriétés d’affichage du bureau. Cette restriction ne s’applique pas au groupe Administrateurs.

D’autres restrictions du bureau s’appliqueront aux utilisateurs des succursales de Winnipeg et de Toronto.

Les deux succursales disposent d’un ordinateur de type borne dans le hall pour l’accès public à Internet. Cet ordinateur doit être verrouillé pour que l’utilisateur ne puisse modifier aucun paramètre. Les comptes d’ordinateur des succursales sont situés dans leurs unités d’organisation respectives.

Les comptes d’ordinateur des serveurs qui ne sont pas contrôleurs du domaine seront situés dans l’unité d’organisation du serveur ou dans une unité d’organisation imbriquée. Les paramètres de sécurité de base doivent être appliqués à tous les serveurs.

Des paramètres de sécurité supplémentaires doivent être appliqués aux serveurs SQL.

Question : comment bâtir un schéma de stratégie de groupe qui remplisse ces conditions ?

Page 257: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-31

Leçon 3 : Évaluation de l’application des objets de stratégie de groupe

Les administrateurs système doivent connaître l’incidence des paramètres de stratégie de groupe sur les ordinateurs et les utilisateurs dans un environnement géré. Ces informations sont essentielles lors de la planification d’une stratégie de groupe pour un réseau et du débogage des objets stratégie de groupe existants. L’obtention des informations peut être une tâche complexe si vous envisagez les nombreuses combinaisons de sites, de domaines et d’unités d’organisation possibles ainsi que la foule de types de paramètres de stratégie de groupe disponibles. La tâche se corse si vous envisagez le filtrage à l’aide des groupes de sécurité, ou l’héritage, le blocage et l’application des objets stratégie de groupe. L’outil de ligne de commande Résultats de stratégie de groupe (GPResult.exe) et la Console de gestion des stratégies de groupe (GPMC) fournissent des fonctionnalités de création de rapports qui simplifient ces tâches.

Page 258: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des rapports de stratégie de groupe

Points clés Rapports de stratégie de groupe est une fonctionnalité de stratégie de groupe qui facilite l’implémentation et la résolution des problèmes. Les deux principaux outils de résolution des problèmes sont l’outil de ligne de commande GPResult.exe et l’Assistant Résultats de stratégie de groupe dans la Console de gestion des stratégies de groupe. La fonctionnalité Résultats de stratégie de groupe permet aux administrateurs de déterminer le jeu de stratégie résultant qui a été appliqué à un ordinateur et/ou à un utilisateur ayant ouvert une session sur cet ordinateur. Bien que ces outils soient similaires, ils fournissent chacun des informations différentes.

Question : vous souhaitez déterminer quel contrôleur de domaine a fourni la stratégie de groupe à un client. Quel utilitaire devez-vous utiliser ?

Page 259: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-33

Lectures complémentaires • Ressources Microsoft : Gpresult

• Article Microsoft Technet : Résultats de la stratégie de groupe (Administration de la stratégie de groupe à l’aide de la Console de gestion des stratégies de groupe) (éventuellement en anglais)

Page 260: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-34 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description de la modélisation de stratégie de groupe

Points clés Une autre méthode permettant de tester la stratégie de groupe consiste à utiliser l’Assistant Modélisation de stratégie de groupe dans la Console de gestion des stratégies de groupe. Cette méthode a pour but de modéliser les modifications de l’environnement avant qu’elles ne soient réellement effectuées. L’Assistant Modélisation de stratégie de groupe calcule l’effet net simulé des objets de stratégie de groupe. L’outil Modélisation de stratégie de groupe simule également des aspects tels que l’appartenance au groupe de sécurité ou l’évaluation des filtres WMI, ainsi que les effets du déplacement des objets utilisateur ou ordinateur vers une autre unité d’organisation ou un autre site. Lorsque vous utilisez l’Assistant Modélisation de stratégie de groupe, vous pouvez également spécifier la détection de liaison lente, le traitement en boucle ou les deux.

Le processus de modélisation de stratégie de groupe s’exécute sur un contrôleur de domaine dans votre domaine Active Directory. Comme l’Assistant n’interroge jamais l’ordinateur client, il ne prend pas en compte les stratégies locales.

Page 261: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-35

Question : quelles simulations pouvez-vous effectuer à l’aide de l’Assistant Modélisation de stratégie de groupe ? Sélectionnez toutes les réponses possibles.

a. Traitement en boucle

b. Déplacement d’un utilisateur vers un autre domaine de la même forêt

c. Filtrage par groupe de sécurité

d. Détection des liaisons lentes

e. Filtres WMI

f. Toutes les propositions

Lectures complémentaires • Article Microsoft Technet : Utilisation de la modélisation de stratégie de

groupe et des Résultats de stratégie de groupe pour évaluer les paramètres de stratégie de groupe (éventuellement en anglais)

Page 262: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-36 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Comment évaluer l’application des objets de stratégie de groupe

Question : un utilisateur signale qu’il ne parvient pas à accéder au Panneau de configuration, alors que d’autres utilisateurs du même service y parviennent. Quels outils pouvez-vous utiliser pour résoudre ce problème ?

Page 263: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-37

Leçon 4 : Gestion des objets de stratégie de groupe

La Console de gestion des stratégies de groupe fournit des mécanismes pour la sauvegarde, la restauration, la migration et la copie des objets de stratégie de groupe existants. Ces mécanismes sont très importants pour la préservation de vos déploiements de stratégie de groupe en cas d’erreur ou d’incident. Ils vous permettent d’éviter la recréation manuelle des objets stratégie de groupe perdus ou endommagés et une nouvelle mise en œuvre des phases de planification, de test et de déploiement. Une partie de votre plan d’opérations de stratégie de groupe en cours doit inclure des sauvegardes régulières de tous les objets de stratégie de groupe.

La Console de gestion des stratégies de groupe fournit également des mécanismes de copie et d’importation des objets de stratégie de groupe à partir du même domaine et de domaines différents.

Page 264: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-38 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâches de gestion des objets de stratégie de groupe

Points clés Tout comme les données critiques et les ressources liées à Active Directory, vous devez sauvegarder les objets de stratégie de groupe pour protéger leur intégrité et celle des services de domaine Active Directory. La Console de gestion des stratégies de groupe fournit les options de sauvegarde et de restauration de base, mais également un contrôle supplémentaire sur les objets de stratégie de groupe à des fins d’administration.

Question : vous effectuez des sauvegardes régulières des objets de stratégie de groupe. Un administrateur modifie par inadvertance plusieurs paramètres d’un objet de stratégie de groupe. Quelle est la méthode la plus rapide pour résoudre ce problème ?

Page 265: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-39

Lectures complémentaires • Bibliothèque technique Windows Server : Sauvegarde, restauration, migration

et copie d’objets de stratégie de groupe (éventuellement en anglais)

• Article Microsoft Technet : Importation à l’aide de la Console de gestion des stratégies de groupe (éventuellement en anglais)

Page 266: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-40 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description de l’objet de stratégie de groupe Starter

Points clés Les objets de stratégie de groupe Starter stockent une collection de paramètres de la stratégie de modèles d’administration dans un seul objet. Ils contiennent uniquement des modèles d’administration. Vous pouvez les importer et les exporter pour les distribuer dans d’autres zones de votre entreprise.

Lorsque vous créez un nouvel objet de stratégie de groupe à partir d’un objet de stratégie de groupe Starter, le nouvel objet récupère tous les paramètres du modèle d’administration que l’objet de stratégie de groupe Starter avait défini. On peut dire que les objets de stratégie de groupe Starter fonctionnent comme des modèles pour la création d’objets de stratégie de groupe, contribuant ainsi à maintenir la cohérence dans des environnements distribués.

Page 267: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-41

Les objets de stratégie de groupe Starter peuvent être exportés dans des fichiers .cab à des fins de simplification de la distribution. Vous pouvez ensuite réimporter ces fichiers .cab dans la Console de gestion des stratégies de groupe. Cette dernière stocke les objets stratégie de groupe Starter dans un dossier nommé StarterGPOs, situé dans SYSVOL.

Lectures complémentaires • Rubriques d’aide : Utilisation des objets de stratégie de groupe Starter

Page 268: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-42 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Comment copier un objet de stratégie de groupe

Question : pourquoi est-il conseillé de copier un objet de stratégie de groupe et de le lier à une unité d’organisation plutôt que de lier l’objet de stratégie de groupe d’origine à plusieurs unités d’organisation?

Page 269: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-43

Démonstration : Sauvegarde et restauration des objets de stratégie de groupe

Question : quelles autorisations sont nécessaires pour pouvoir sauvegarder un objet de stratégie de groupe ?

Page 270: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-44 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Importation d’un objet de stratégie de groupe

Question : à quoi sert une table de migration ?

Page 271: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-45

Migration des objets de stratégie de groupe

Points clés L’outil Migrateur ADMX vous permet de convertir des modèles ADM personnalisés en modèles ADMX. Le fichier ADML associé est également créé. Les fichiers convertis sont enregistrés dans le dossier des documents de l’utilisateur par défaut. Lorsque vous avez créé les nouveaux fichiers, copiez le fichier ADMX dans le dossier PolicyDefinitions ou dans le magasin central, puis copiez le fichier ADML dans le sous-dossier approprié. Les nouveaux modèles d’administration deviennent alors disponibles dans la Console de gestion des stratégies de groupe.

Lectures complémentaires • Site Web Microsoft : Outil de migration ADMX (éventuellement en anglais)

Page 272: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-46 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 5 : Délégation du contrôle d’administration des objets Stratégie de groupe

Dans un environnement distribué, il est courant d’avoir des groupes délégués qui effectuent des tâches d’administration diverses. La gestion de la stratégie de groupe est l’une des tâches d’administration que vous pouvez déléguer.

Page 273: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-47

Options de délégation du contrôle des objets de stratégie de groupe

Points clés La délégation permet de répartir la charge de travail d’administration au sein de l’entreprise. Un groupe peut être chargé de la création et de la modification des objets de stratégie de groupe pendant qu’un autre effectue des tâches de création de rapports et d’analyse. Enfin, un autre groupe peut être chargé des filtres WMI.

Les tâches de stratégie de groupe suivantes peuvent être déléguées de manière indépendante :

• Création d’objets de stratégie de groupe

• Modification d’objets de stratégie de groupe

• Gestion des liens d’objets de stratégie de groupe pour un site, un domaine ou une unité d’organisation

• Analyses de modélisation des stratégies de groupe sur un domaine ou une unité d’organisation spécifique

Page 274: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-48 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

• Lecture des données des Résultats de stratégie de groupe pour des objets d’un domaine ou d’une unité d’organisation spécifique

• Création des filtres WMI dans un domaine

Question : vous effectuez des sauvegardes régulières des objets de stratégie de groupe. Un administrateur modifie par inadvertance plusieurs paramètres d’un objet de stratégie de groupe. Quelle est la méthode la plus rapide pour résoudre ce problème ?

Lectures complémentaires • Article Microsoft Technet : Délégation de stratégie de groupe (éventuellement

en anglais)

Page 275: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-49

Démonstration : Comment déléguer le contrôle administratif des objets de stratégie de groupe

Question : un utilisateur situé dans un autre domaine de la forêt doit se voir accorder l’autorisation de créer des objets de stratégie de groupe dans votre domaine. Quelle est la meilleure méthode pour y parvenir ?

Page 276: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-50 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Création et configuration d’objets Stratégie de groupe

Scénario La Woodgrove Bank a décidé d’implémenter une stratégie de groupe pour gérer les bureaux des utilisateurs et configurer la sécurité des ordinateurs. La banque a déjà mis en place une configuration d’unités d’organisation qui intègre des unités d’organisation de niveau supérieur par emplacement, auxquelles s’ajoutent des d’unités d’organisation supplémentaires dans chaque unité d’organisation pour des services distincts. Les comptes d’utilisateur se trouvent dans le même conteneur que leurs comptes d’ordinateur station de travail. Les comptes d’ordinateurs serveur sont répartis dans différentes unités d’organisation.

Page 277: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-51

L’administrateur de l’entreprise a créé un plan de déploiement des objets de stratégie de groupe. Vous avez été chargé de créer des objets de stratégie de groupe de façon à ce que certaines stratégies puissent être appliquées à tous les objets du domaine. Certaines stratégies sont obligatoires. Vous voulez également créer des paramètres de stratégie qui s’appliquent uniquement à des sous-ensembles des objets du domaine, et vous voulez avoir des stratégies séparées pour les paramètres ordinateur et les paramètres utilisateur. Vous devez déléguer l’administration des objets de stratégie de groupe aux administrateurs dans chaque site de la banque.

Remarque : certaines des tâches de cet atelier pratique sont conçues pour illustrer les techniques et les paramètres de gestion des objets de stratégie de groupe, et elles ne suivent pas toujours les meilleures pratiques.

Stratégie de groupe • Les utilisateurs du domaine ne peuvent pas accéder au menu Exécuter. La

stratégie s’applique à tous les utilisateurs à l’exception de ceux de l’unité d’organisation IT Admin.

• Les cadres ne peuvent pas accéder aux paramètres d’affichage du bureau.

• Les utilisateurs des succursales de New York, Miami et Toronto ne peuvent pas accéder au Panneau de configuration. Cette restriction ne s’applique pas à l’ensemble des directeurs de succursale.

• Tous les ordinateurs du domaine ont une stratégie de sécurité de base obligatoire appliquée qui n’affiche pas le nom du dernier utilisateur ayant ouvert une session.

• Les ordinateurs exécutant Windows Vista ou Windows XP ont des paramètres supplémentaires appliqués pour attendre le réseau au démarrage.

• Les utilisateurs du groupe Administrateurs ont dans leurs Favoris l’URL du support technique de Microsoft.

• Les ordinateurs faisant office de bornes dans les succursales ont le traitement en boucle activé.

Page 278: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-52 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Création et configuration des objets de stratégie de groupe Vous allez créer et lier les objets de stratégie de groupe spécifiés dans le plan de l’administrateur de l’entreprise. Les tâches comprennent la modification de la stratégie de domaine par défaut et la création de stratégies liées à des unités d’organisation et des sites spécifiques.

Les principales tâches sont les suivantes :

1. Démarrer et ouvrir une session sur l’ordinateur NYC-DC1.

2. Créer les objets de stratégie de groupe.

3. Configurer les objets de stratégie de groupe.

4. Lier les objets de stratégie de groupe.

• Tâche 1 : Démarrer et ouvrir une session sur l’ordinateur NYC-DC1. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Lancer.

3. Ouvrez une session sur l’ordinateur NYC-DC1 en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

4. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

• Tâche 2 : Créer les objets de stratégie de groupe. • Utilisez la Console de gestion des stratégies de groupe pour effectuer les

opérations suivantes :

• créer un objet de stratégie de groupe appelé Restreindre le Panneau de configuration ;

• créer un objet de stratégie de groupe appelé Restreindre l’affichage du Bureau ;

• créer un objet de stratégie de groupe appelé Restreindre la commande Exécuter ;

Page 279: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-53

• créer un objet de stratégie de groupe appelé Sécurité de base ;

• créer un objet de stratégie de groupe appelé Sécurité Vista et XP ;

• créer un objet de stratégie de groupe appelé Favoris Admin ;

• créer un objet de stratégie de groupe appelé Sécurité des bornes informatiques.

• Tâche 3 : Configurer les objets de stratégie de groupe. 1. Modifiez l’objet de stratégie de groupe Restreindre la commande Exécuter

pour empêcher l’accès au menu Exécuter.

2. Modifiez l’objet de stratégie de groupe Sécurité de base de sorte que le nom du dernier utilisateur ayant ouvert une session ne soit pas affiché.

3. Modifiez l’objet de stratégie de groupe Sécurité du serveur pour que les administrateurs n’aient pas d’invite de contrôle de compte d’utilisateur sur les ordinateurs exécutant Windows Server 2008.

4. Modifiez l’objet de stratégie de groupe Favoris Admin pour inclure l’URL du support technique de Microsoft (http://support.microsoft.com) dans les Favoris Internet.

5. Modifiez l’objet de stratégie de groupe Restreindre le Panneau de configuration pour empêcher les utilisateurs d’accéder au Panneau de configuration.

6. Modifiez l’objet de stratégie de groupe Restreindre l’affichage du Bureau pour interdire l’accès aux paramètres d’affichage du Bureau.

7. Modifiez l’objet de stratégie de groupe Sécurité des bornes informatiques pour utiliser le traitement en boucle et pour masquer et désactiver tous les éléments du Bureau pour l’utilisateur ayant ouvert une session.

Page 280: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-54 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

• Tâche 4 : Lier les objets de stratégie de groupe. • Utilisez la Console de gestion des stratégies de groupe pour effectuer les

opérations suivantes :

• lier l’objet de stratégie de groupe Restreindre la commande Exécuter au conteneur de domaine ;

• lier l’objet de stratégie de groupe Sécurité de base au conteneur de domaine ;

• lier l’objet de stratégie de groupe Sécurité Vista et XP au conteneur de domaine ;

• lier l’objet de stratégie de groupe Sécurité ordinateur borne au conteneur de domaine ;

• lier l’objet de stratégie de groupe Favoris Admin à l’unité d’organisation Admin ;

• lier l’objet de stratégie de groupe Restreindre le Panneau de configuration aux unités d’organisation NYC, Miami et Toronto ;

• lier l’objet de stratégie de groupe Restreindre l’affichage du Bureau à l’unité d’organisation Executives.

Résultat : au terme de cet exercice, vous serez en mesure de créer et de configurer des objets de stratégie de groupe.

Page 281: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-55

Exercice 2 : Gestion de l’étendue de l’application d’un objet de stratégie de groupe Dans cet exercice, vous allez configurer l’étendue des paramètres de l’objet de stratégie de groupe en fonction du plan de l’administrateur d’entreprise. Les tâches comprennent la désactivation de parties des objets de stratégie de groupe, le blocage et l’application de l’héritage ainsi que l’application du filtrage basé sur les groupes de sécurité et les filtres WMI.

Les principales tâches sont les suivantes :

1. Configurer la gestion de la stratégie de groupe pour le conteneur de domaine.

2. Configurer la gestion de la stratégie de groupe pour l’unité d’organisation IT Admin.

3. Configurer la gestion de la stratégie de groupe pour les unités d’organisation de succursale.

4. Créer et appliquer un filtre WMI pour l’objet de stratégie de groupe Sécurité du serveur.

5. Vérifier l’installation du contrôleur de domaine.

6. Configurer une stratégie de réplication de mots de passe permettant la mise en cache des informations d’identification pour tous les comptes d’utilisateur à Toronto.

7. Vérifier que la stratégie de réplication de mot de passe a activé la mise en cache des informations d’identification.

• Tâche 1 : Configurer la gestion de la stratégie de groupe pour le conteneur de domaine. 1. Affectez au lien de Sécurité de base la valeur Appliqué, puis désactivez la partie

Utilisateur de la stratégie.

2. Affectez au lien de Sécurité Vista et XP la valeur Appliqué.

3. Utilisez le filtrage par appartenance au groupe de sécurité pour que l’objet de stratégie de groupe Sécurité des bornes informatiques s’applique uniquement au groupe global Bornes informatiques.

Page 282: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-56 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

• Tâche 2 : Configurer la gestion de la stratégie de groupe pour l’unité d’organisation IT Admin. • Bloquez l’héritage dans l’unité d’organisation IT Admin pour que l’objet de

stratégie de groupe Restreindre la commande Exécuter ne soit pas appliqué aux administrateurs informatiques.

• Tâche 3 : Configurer la gestion de la stratégie de groupe pour les unités d’organisation de succursale. • Utilisez le filtrage par appartenance au groupe de sécurité pour que l’objet de

stratégie de groupe Restreindre le Panneau de configuration refuse l’autorisation Appliquer la stratégie de groupe aux groupes suivants :

• Mia_BranchManagersGG

• NYC_BranchManagersGG

• Tor_BranchManagersGG

Résultat : au terme de cet exercice, vous serez en mesure de configurer l’étendue des paramètres de l’objet de stratégie de groupe.

Page 283: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-57

Exercice 3 : Vérification de l’application des objets de stratégie de groupe Dans cet exercice, vous allez tester l’application des objets de stratégie de groupe pour vérifier qu’ils sont appliqués conformément au plan de conception. Les stagiaires ouvriront une session en tant qu’utilisateurs spécifiques, puis utiliseront les outils Modélisation de stratégie de groupe et RSoP pour vérifier que les objets stratégie de groupe sont appliqués correctement.

Les principales tâches sont les suivantes :

1. Démarrer l’ordinateur NYC-CL1.

2. Vérifier qu’un utilisateur de la succursale de Miami reçoit la stratégie correcte.

3. Vérifier qu’un directeur de la succursale de Miami reçoit la stratégie correcte.

4. Vérifier qu’un utilisateur de l’unité d’organisation IT Admin reçoit la stratégie correcte.

5. Vérifier qu’un utilisateur de l’unité d’organisation Executive reçoit la stratégie correcte.

6. Vérifier que le nom d’utilisateur n’apparaît pas.

7. Utiliser l’outil Modélisation de stratégie de groupe pour tester les paramètres de l’ordinateur borne.

• Tâche 1 : Démarrer l’ordinateur NYC-CL1.

• Tâche 2 : Vérifier qu’un utilisateur de la succursale de Miami reçoit la stratégie correcte. 1. Ouvrez une session sur l’ordinateur NYC-CL1 en tant qu’Antoine avec le mot

de passe Pa$$w0rd.

2. Vérifiez qu’il n’existe aucun lien vers le menu Exécuter dans le dossier Accessoires du menu Démarrer.

3. Vérifiez qu’il n’existe aucun lien vers le Panneau de configuration du menu Démarrer.

4. Fermez la session.

Page 284: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-58 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

• Tâche 3 : Vérifier qu’un directeur de la succursale de Miami reçoit la stratégie correcte. 1. Ouvrez une session sur l’ordinateur NYC-CL1 en tant que Raoul avec le mot

de passe Pa$$w0rd.

2. Vérifiez qu’il n’existe aucun lien vers le menu Exécuter dans le dossier Accessoires du menu Démarrer.

3. Vérifiez qu’un lien vers le Panneau de configuration apparaît dans le menu Démarrer.

4. Fermez la session.

• Tâche 4 : Vérifier qu’un utilisateur de l’unité d’organisation IT Admin reçoit la stratégie correcte. 1. Ouvrez une session sur l’ordinateur NYC-CL1 en tant que Florence avec le

mot de passe Pa$$w0rd.

2. Vérifiez qu’un lien vers le menu Exécuter apparaît dans le dossier Accessoires du menu Démarrer.

3. Vérifiez qu’un lien vers le Panneau de configuration apparaît dans le menu Démarrer.

4. Lancez Internet Explorer, ouvrez les Favoris, puis vérifiez que le lien vers le Support technique apparaît.

5. Fermez la session.

• Tâche 5 : Vérifier qu’un utilisateur de l’unité d’organisation Executive reçoit la stratégie correcte. 1. Ouvrez une session sur l’ordinateur NYC-CL1 en tant que Laurent avec le mot

de passe Pa$$w0rd.

2. Vérifiez qu’il n’existe aucun lien vers le menu Exécuter dans le dossier Accessoires du menu Démarrer.

3. Vérifiez qu’un lien vers le Panneau de configuration s’affiche dans le menu Démarrer.

Page 285: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-59

4. Vérifiez qu’il n’y a aucun accès vers les paramètres d’affichage du bureau.

Conseil : lorsque vous tentez d’accéder aux paramètres d’affichage, vous recevez un message vous informant que cette fonction a été désactivée.

5. Fermez la session.

• Tâche 6 : Vérifier que le nom d’utilisateur n’apparaît pas. • Vérifiez que le nom du dernier utilisateur qui a ouvert une session

n’apparaît pas.

• Tâche 7 : Utiliser l’outil Modélisation de stratégie de groupe pour tester les paramètres de l’ordinateur borne. 1. Ouvrez une session sur l’ordinateur NYC-DC1 en tant qu’Administrateur avec

le mot de passe Pa$$w0rd.

2. Lancez la Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur le dossier Modélisation de stratégie de groupe, cliquez sur Assistant Modélisation de stratégie de groupe, puis sur Suivant à deux reprises.

3. Dans l’écran Sélection d’ordinateurs et d’utilisateurs, cliquez sur Ordinateur, tapez Woodgrovebank\NYC-CL1, puis cliquez sur Suivant à trois reprises.

4. Dans l’écran Groupe de sécurité ordinateur, cliquez sur Ajouter.

5. Dans la boîte de dialogue Sélectionner des groupes, tapez Bornes informatiques, puis cliquez sur Suivant.

6. Dans l’écran Filtres WMI pour Ordinateurs, cliquez sur Suivant à deux reprises, puis sur Terminer pour afficher le rapport.

Résultat : au terme de cet exercice, vous serez en mesure de tester et de vérifier une application des objets de stratégie de groupe.

Page 286: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-60 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 4 : Gestion des objets de stratégie de groupe Dans cet exercice, vous allez utiliser la Console de gestion des stratégies de groupe pour sauvegarder, restaurer et importer des objets de stratégie de groupe.

Les principales tâches sont les suivantes :

1. Sauvegarder une stratégie individuelle.

2. Sauvegarder tous les objets de stratégie de groupe.

3. Supprimer et restaurer un objet de stratégie de groupe individuel.

4. Importer un objet de stratégie de groupe.

• Tâche 1 : Sauvegarder une stratégie individuelle. 1. Dans la Console de gestion des stratégies de groupe, ouvrez le dossier Objets

de stratégie de groupe.

2. Cliquez avec le bouton droit sur la stratégie Restreindre le Panneau de configuration, puis cliquez sur Sauvegarder.

3. Accédez au dossier D:\6238\GPObackup.

4. Cliquez sur Sauvegarder, puis sur OK une fois la sauvegarde terminée.

• Tâche 2 : Sauvegarder tous les objets de stratégie de groupe. 1. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis

cliquez sur Sauvegarder tout.

2. Vérifiez que l’emplacement D:\6238\GPObackup correspond à l’emplacement de sauvegarde. Confirmez la suppression.

• Tâche 3 : Supprimer et restaurer un objet de stratégie de groupe individuel. 1. Cliquez avec le bouton droit sur la stratégie Favoris Admin, puis cliquez sur

Supprimer. Cliquez sur Oui, puis sur OK lorsque la suppression a été effectuée.

2. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis cliquez sur Gérer les sauvegardes.

Page 287: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-61

3. Restaurez l’objet de stratégie de groupe Favoris Admin.

4. Vérifiez que la stratégie Favoris Admin s’affiche dans le dossier Objets de stratégie de groupe.

• Tâche 4 : Importer un objet de stratégie de groupe. 1. Créez un nouvel objet de stratégie de groupe appelé Importer dans le dossier

Objets de stratégie de groupe.

2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Importer, puis cliquez sur Importer des paramètres.

3. Dans l’Assistant Importation des paramètres, cliquez sur Suivant.

4. Dans la fenêtre Objet de stratégie de groupe de sauvegarde, cliquez sur Suivant.

5. Vérifiez que l’emplacement du dossier de sauvegarde est D:\6238\GPObackup.

6. Dans l’écran Objet de stratégie de groupe source, cliquez sur Restreindre le Panneau de configuration, puis sur Suivant.

7. Terminez l’exécution de l’Assistant Importation des paramètres.

8. Cliquez sur l’objet de stratégie de groupe Importer, sélectionnez l’onglet Paramètres, puis vérifiez que le paramètre de restriction d’accès au Panneau de configuration est Activé.

Résultat : au terme de cet exercice, vous serez en mesure de sauvegarder, de restaurer et d’importer des objets de stratégie de groupe.

Page 288: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-62 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 5 : Délégation du contrôle administratif des objets de stratégie de groupe Dans cet exercice, vous allez déléguer le contrôle administratif des objets de stratégie de groupe conformément au plan de conception de l’administrateur d’entreprise. Les tâches comprennent la configuration des autorisations pour créer, modifier et lier des objets de stratégie de groupe. Vous testerez ensuite la configuration des autorisations.

Les principales tâches sont les suivantes :

1. Octroyer à Florence l’autorisation de créer des objets de stratégie de groupe dans le domaine.

2. Déléguer l’autorisation de modifier l’objet de stratégie de groupe Importer à Florence.

3. Déléguer l’autorisation de lier les objets de stratégie de groupe de l’unité d’organisation Cadre à Florence.

4. Activer le groupe Utilisateurs du domaine pour ouvrir une session sur les contrôleurs de domaine.

5. Tester la délégation.

6. Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation.

• Tâche 1 : Octroyer à Florence l’autorisation de créer des objets de stratégie de groupe dans le domaine. 1. Sélectionnez le dossier Objets de stratégie de groupe, cliquez sur l’onglet

Délégation, puis sur Ajouter.

2. Dans la boîte de dialogue Sélectionnez des utilisateurs, tapez Florence dans le champ de nom Objet, puis cliquez sur OK.

Page 289: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-63

• Tâche 2 : Déléguer l’autorisation de modifier l’objet de stratégie de groupe Importer à Florence. 1. Dans le dossier Objets de stratégie de groupe, sélectionnez l’objet de stratégie

de groupe Importer, cliquez sur l’onglet Délégation, puis sur Ajouter.

2. Dans la boîte de dialogue Sélectionnez des utilisateurs, tapez Florence dans le champ de nom Objet, puis cliquez sur OK.

3. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, sélectionnez Modifier les paramètres dans la liste déroulante, puis cliquez sur OK.

• Tâche 3 : Déléguer l’autorisation de lier les objets de stratégie de groupe de l’unité d’organisation Executives à Florence. 1. Sélectionnez l’unité d’organisation Executives, cliquez sur l’onglet Délégation,

puis sur Ajouter.

2. Dans la boîte de dialogue Sélectionnez des utilisateurs, tapez Florence dans le champ de nom Objet, puis cliquez sur OK.

3. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, sélectionnez Ce conteneur seulement, puis cliquez sur OK.

• Tâche 4 : Activer le groupe Utilisateurs du domaine pour ouvrir une session sur les contrôleurs de domaine.

Remarque : cette étape a été intégrée à l’atelier pour vous aider à tester les autorisations déléguées. En règle générale, il est préférable d’installer les outils d’administration sur une station de travail Windows plutôt que de permettre aux utilisateurs du domaine de se connecter aux contrôleurs du domaine.

1. Sur NYC-DC1, démarrez Gestion des stratégies de groupe, puis modifiez la Stratégie Contrôleurs de domaine par défaut.

2. Dans la fenêtre Éditeur de gestion des stratégies de groupe, accédez au dossier Attribution des droits utilisateur.

3. Double-cliquez sur Autoriser l’ouverture d’une session locale. Dans la boîte de dialogue Propriétés de Autoriser l’ouverture d’une session locale, cliquez sur Ajouter un utilisateur ou un groupe.

Page 290: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-64 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

4. Accordez au groupe Utilisateurs du domaine le droit d’ouvrir une session locale.

5. Ouvrez une invite de commandes, tapez GPUpdate /force, puis appuyez sur Entrée.

• Tâche 5 : Tester la délégation. 1. Ouvrez une session sur NYC-CL1 en tant que Florence

2. Créez une Console de gestion des stratégies de groupe.

3. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis cliquez sur Nouveau.

4. Créez une nouvelle stratégie appelée Test. Cette opération doit réussir.

5. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Importer, puis cliquez sur Modifier. Cette opération doit réussir.

6. Cliquez avec le bouton droit sur l’unité d’organisation Executives, puis liez l’objet de stratégie de groupe Test à celle-ci. Cette opération doit réussir.

7. Cliquez avec le bouton droit sur la stratégie Favoris Admin et essayez de la modifier. Cette opération est impossible.

8. Fermez la console GPMC.

• Tâche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation. 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la zone Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous serez en mesure de sauvegarder, de restaurer et d’importer des objets de stratégie de groupe.

Page 291: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Création et configuration d’une stratégie de groupe 5-65

Récapitulatif du module et objectifs

Éléments à prendre en considération Gardez les remarques suivantes à l’esprit lors de la création et de la configuration d’une stratégie de groupe :

• Objets de stratégie de groupe locale multiples

• Remplacement des fichiers ADMX et ADML par les fichiers ADM

• Méthodes de contrôle de la stratégie de groupe : héritage, filtrage et application

• Outils de stratégie de groupe et rapports

Page 292: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

5-66 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Questions du contrôle des acquis 1. Vous voulez forcer l’application de certains paramètres de stratégie de groupe

sur une liaison lente. Que pouvez-vous faire ?

2. Vous devez vous assurer qu’une stratégie de niveau domaine est appliquée à tous les groupes, à l’exception du groupe global Directeurs. Comment pouvez-vous atteindre cet objectif ?

3. Vous souhaitez que certains modèles d’administration soient activés dans tous les objets de stratégie de groupe contenant des paramètres utilisateur. Vous devez être en mesure d’envoyer ces stratégies à d’autres administrateurs de l’entreprise. Quelle est la meilleure approche ?

4. Vous souhaitez contrôler l’accès aux périphériques de stockage amovibles sur toutes les stations de travail clientes via la stratégie de groupe. Pouvez-vous utiliser la stratégie de groupe pour y parvenir ?

Page 293: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-1

Module 6. Configuration des environnements utilisateur à l’aide d’une stratégie de groupe

Table des matières : Leçon 1 : Configuration de paramètres de stratégie de groupe 6-3

Leçon 2 : Configuration de scripts et redirection de dossiers à l’aide d’une stratégie de groupe 6-7

Leçon 3 : Configuration des modèles d’administration 6-16

Leçon 4 : Configuration des préférences de stratégie de groupe 6-23

Leçon 5 : Déploiement de logiciels à l’aide d’une stratégie de groupe 6-29

Atelier pratique : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-39

Page 294: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

Ce module présente le travail de configuration de l’environnement utilisateur à l’aide d’une stratégie de groupe. Plus précisément, ce module permet d’acquérir les compétences et connaissances nécessaires pour utiliser une stratégie de groupe afin de configurer la redirection de dossiers et explique comment utiliser les scripts. Vous allez aussi apprendre comment les modèles d’administration affectent Windows Vista® et Windows Server® 2008, et à déployer des logiciels à l’aide d’une stratégie de groupe.

Page 295: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-3

Leçon 1 : Configuration de paramètres de stratégie de groupe

La fonction Stratégie de groupe peut fournir de nombreux types de paramètres. Si certains d’entre eux ne requièrent qu’une simple activation, d’autres sont plus complexes à configurer. Cette leçon décrit comment configurer les divers paramètres de stratégie de groupe.

Page 296: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Options de configuration des paramètres de stratégie de groupe

Points clés Pour qu’un paramètre de stratégie de groupe ait un effet, vous devez le configurer. La plupart des paramètres de stratégie de groupe ont trois états, à savoir :

• Activé

• Désactivé

• Non configuré

Vous devez également configurer les valeurs de certains paramètres de stratégie de groupe. Par exemple, vous devez configurer les valeurs d’appartenance à un groupe restreint pour les groupes et les utilisateurs.

Page 297: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-5

Question : Une stratégie au niveau du domaine restreint l’accès au Panneau de configuration. Vous souhaitez que les utilisateurs de l’unité d’organisation (UO) Admin puissent avoir accès au Panneau de configuration, mais vous ne souhaitez pas bloquer l’héritage. Comment allez-vous vous y prendre ?

Lectures complémentaires • Article Microsoft Technet : Comment fonctionne la stratégie de groupe de

base ?

Page 298: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration des paramètres de stratégie de groupe à l’aide de l’Éditeur de stratégie de groupe

Question : Comment pouvez vous empêcher une stratégie de niveau inférieur d’inverser le paramétrage d’une stratégie de niveau supérieur ?

Page 299: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-7

Leçon 2 : Configuration de scripts et redirection de dossiers à l’aide d’une stratégie de groupe

Windows Server 2008 vous permet d’utiliser une stratégie de groupe afin de déployer des scripts pour des utilisateurs et des ordinateurs. Vous pouvez également rediriger vers un serveur central des dossiers des disques durs locaux de l’utilisateur que son profil utilisateur inclut.

Page 300: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des scripts de stratégie de groupe

Points clés Vous pouvez utiliser des scripts de stratégie de groupe pour effectuer un certain nombre de tâches. Par exemple, des actions qui doivent être effectuées chaque fois qu’un ordinateur démarre ou s’arrête, ou que des utilisateurs se connectent ou se déconnectent. Par exemple, vous pouvez utiliser des scripts pour nettoyer les bureaux lorsque les utilisateurs se déconnectent et arrêtent leur ordinateur, ou pour supprimer le contenu des répertoires temporaires, ou encore pour effacer le fichier d’échange afin de sécuriser l’environnement.

Question : Vous conservez des scripts d’ouverture de session dans un dossier partagé sur le réseau. Comment vous assurer que les scripts seront toujours disponibles pour les utilisateurs, depuis n’importe quel emplacement ?

Page 301: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-9

Lectures complémentaires • Article Microsoft Technet : Les deux aspects du traitement de l’extension des

scripts de stratégie de groupe (éventuellement en anglais)

• Article Microsoft Technet : Les deux aspects du traitement de l’extension des scripts de stratégie de groupe (deuxième partie) (éventuellement en anglais)

• Support technique Microsoft : Présentation des scripts d’ouverture de session, de fermeture de session, de démarrage et d’arrêt dans Windows 2000 (éventuellement en anglais)

Page 302: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration de scripts avec la stratégie de groupe

Question : Quelle autre méthode pouvez-vous utiliser pour attribuer des scripts d’ouverture de session aux utilisateurs ?

Page 303: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-11

Description de la redirection de dossiers

Points clés Lorsque vous redirigez des dossiers, vous changez leur emplacement sur le disque dur local de l’ordinateur de l’utilisateur par un dossier partagé sur un serveur de fichiers du réseau. Après avoir redirigé un dossier vers un serveur de fichiers, celui-ci reste visible à l’utilisateur comme s’il résidait encore sur son disque dur local.

La fonction Redirection de dossiers facilite l’administration et la sauvegarde des données. En redirigeant les dossiers, vous garantissez l’accès de l’utilisateur aux données indépendamment de l’ordinateur sur lequel il ouvre une session.

Question : Répertoriez quelques inconvénients liés à la redirection de dossiers.

Page 304: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Article Microsoft Technet : Fonction de redirection de dossiers dans Windows

• MSDN : IE7 dans Vista : Redirection de dossiers avec Favoris sur le même ordinateur (éventuellement en anglais)

• Téléchargement Microsoft : Guide de déploiement - Gestion des données d’utilisateurs itinérants

Page 305: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-13

Options de configuration de la redirection de dossiers

Points clés Trois paramètres s’appliquent à la redirection de dossiers : Non configuré, De base et Avancé. La redirection de base est destinée aux utilisateurs qui doivent rediriger leurs dossiers vers une zone commune ou qui souhaitent garantir la confidentialité de leurs données. La redirection avancée vous permet de spécifier des emplacements réseau différents pour différents groupes de sécurité Active Directory.

Question : Les utilisateurs du même service se connectent souvent à des ordinateurs différents. Ils doivent accéder à leur dossier Mes documents. La confidentialité des données doit également être respectée. Quel paramètre de redirection de dossiers choisiriez-vous ?

Lectures complémentaires • Article Microsoft Technet : Recommandations pour la redirection de dossiers

(éventuellement en anglais)

Page 306: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Options de sécurisation des dossiers redirigés

Points clés Si vous devez créer manuellement un dossier réseau partagé pour y stocker les dossiers redirigés, la fonction de redirection des dossiers peut créer pour vous les dossiers redirigés par les utilisateurs. Dans ce cas, les autorisations appropriées sont automatiquement configurées. Si vous créez manuellement les dossiers, vous devez connaître les autorisations appropriées.

Question : Quelles étapes pouvez-vous suivre pour protéger les données pendant leur transfert entre le client et le serveur ?

Lectures complémentaires • Support technique Microsoft : Fonction de redirection de dossiers dans

Windows

• Bibliothèque Windows Server : Considérations en matière de sécurité pour la configuration de la redirection des dossiers

Page 307: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-15

Démonstration : Configuration de la redirection de dossiers

Question : Les utilisateurs du même service souhaitent que les favoris Internet de chacun soient accessibles à tous au sein du service. Quelles options de redirection de dossiers choisiriez-vous ?

Page 308: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 3 : Configuration des modèles d’administration

Les fichiers des modèles d’administration fournissent la majorité des paramètres de stratégie disponibles, conçus pour modifier des clés de Registre spécifiques. Cette fonctionnalité est appelée stratégie basée sur le Registre. Pour de nombreuses applications, l’utilisation de la stratégie basée sur le Registre offerte par les modèles d’administration est le moyen le plus simple de prendre en charge la gestion centralisée des paramètres de stratégie. Dans cette leçon, vous allez apprendre à configurer des modèles d’administration.

Page 309: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-17

Description des modèles d’administration

Points clés Les modèles d’administration vous permettent de contrôler l’environnement du système d’exploitation et l’expérience de l’utilisateur. Il existe deux ensembles de modèles d’administration : l’un destiné aux utilisateurs et l’autre aux ordinateurs.

Les modèles d’administration sont le principal moyen de configurer les paramètres de Registre de l’ordinateur client via la stratégie de groupe. Les modèles d’administration sont un référentiel de modifications liées au Registre. En utilisant les sections des modèles d’administration de l’objet de stratégie de groupe, vous pouvez déployer des centaines de modifications sur les portions ordinateur (la ruche HKEY_LOCAL_MACHINE dans le Registre) et utilisateur (la ruche HKEY_CURRENT_USER dans le Registre) du Registre.

Question : Quelles sections des modèles d’administration trouverez-vous les plus utiles dans votre environnement ?

Page 310: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Article Microsoft Technet : Utilisation des modèles d’administration avec une

stratégie de groupe basée sur le Registre (éventuellement en anglais)

• Article Microsoft Technet : Référence technique de l’extension des modèles d’administration (éventuellement en anglais)

Page 311: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-19

Démonstration : Configuration des modèles d’administration

Question : Vous devez veiller à ce que Windows Messenger n’est jamais autorisé à s’exécuter sur un ordinateur particulier. Comment utiliseriez-vous les modèles d’administration pour ce faire ?

Page 312: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Modification des modèles d’administration

Points clés Dans la mesure où les fichiers ADMX sont basés sur XML, vous pouvez les modifier ou en créer de nouveaux à l’aide de n’importe quel éditeur de texte. Toutefois, il existe également des programmes compatibles avec XML (tels que Microsoft Visual Studio) que les administrateurs ou les développeurs peuvent utiliser pour créer ou modifier des fichiers ADMX.

Une fois le fichier ADMX au point, il suffit de le placer dans le dossier Définitions de stratégies ou le magasin central, le cas échéant.

Lectures complémentaires • Article Microsoft Technet : Création d’un fichier ADMX de base personnalisé

(éventuellement en anglais)

• Téléchargements Microsoft : Fichiers ADMX d’exemple de stratégie de groupe (éventuellement en anglais)

Page 313: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-21

Démonstration : Ajout de modèles d’administration pour les applications Office

Question : Pouvez-vous encore utiliser des fichiers ADM personnalisés pour produire des paramètres de stratégie de groupe dans Windows Server 2008 ?

Page 314: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Discussion : Options d’utilisation des modèles d’administration

Page 315: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-23

Leçon 4 : Configuration des préférences de stratégie de groupe

De nombreux paramètres communs, qui affectent l’utilisateur et l’environnement informatique, n’ont pas pu être fournis par le biais de la stratégie de groupe (par exemple, des lecteurs mappés). Ces paramètres sont généralement fournis par le biais de scripts d’ouverture de session ou de solutions d’imagerie. Windows Server 2008 inclut les nouvelles préférences de stratégie de groupe intégrées à la Console de gestion des stratégies de groupe (GPMC). De plus, les administrateurs peuvent configurer des préférences en installant les Outils d’administration de serveur distant (RSAT) sur un ordinateur qui exécute Windows Vista Service Pack 1 (SP1). Cela permet de fournir de nombreux paramètres communs par le biais de la stratégie de groupe.

Page 316: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des préférences de stratégie de groupe

Points clés Les extensions des préférences de stratégie de groupe comptent plus de vingt extensions, qui étendent la gamme des paramètres configurables dans un objet de stratégie de groupe. La principale différence entre les paramètres de stratégie et les paramètres de préférence est que les paramètres de préférence ne sont pas mis en œuvre. Cela signifie que l’utilisateur final peut modifier le paramètre de préférence qui est appliqué par le biais de la stratégie de groupe, mais les paramètres de stratégie empêchent les utilisateurs de les modifier.

Page 317: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-25

Différence entre les paramètres de stratégie de groupe et les préférences

Points clés

La mise en œuvre est la différence essentielle entre les préférences et les paramètres de stratégie de groupe.

Page 318: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctionnalités des préférences de stratégie de groupe

Points clés La plupart des extensions des préférences de stratégie de groupe prennent en charge les actions ci-dessous pour chaque élément de préférence :

• Créer. Créez un élément sur l’ordinateur cible.

• Supprimer. Supprimez un élément existant sur l’ordinateur cible.

• Remplacer. Supprimez et recréez un élément sur l’ordinateur cible. Le résultat est que les préférences de stratégie de groupe remplacent tous les paramètres existants et les fichiers associés à l’élément de préférence.

• Mettre à jour Modifiez un élément existant sur l’ordinateur cible.

Page 319: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-27

Déploiement des préférences de stratégie de groupe

Points clés Les préférences de stratégie de groupe ne requièrent pas que vous installiez des services sur les serveurs. Windows Server 2008 inclut les préférences de stratégie de groupe par défaut dans le cadre de la Console de gestion des stratégies de groupe. Les administrateurs peuvent configurer et déployer des préférences de stratégie de groupe dans un environnement Windows Server 2003 en installant les

Outils d’administration de serveur distant sur un ordinateur qui exécute Windows Vista avec SP1.

Page 320: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Déploiement des préférences de stratégie de groupe

Question : Vous avez déployé des préférences de stratégie de groupe. Les utilisateurs signalent qu’ils ne parviennent pas à modifier certains de ces paramètres. D’après vous, quelle est la cause du problème ?

Page 321: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-29

Leçon 5 : Déploiement de logiciels à l’aide d’une stratégie de groupe

Windows Server 2008 comprend une fonctionnalité appelée Installation et maintenance du logiciel qui utilise les services de domaines Active Directory, la stratégie de groupe et le service Windows® Installer pour installer, maintenir et supprimer des logiciels sur les ordinateurs de votre organisation.

Page 322: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Options de déploiement et de gestion des logiciels à l’aide d’une stratégie de groupe

Points clés Le cycle de vie des logiciels est composé de quatre phases : préparation, déploiement, maintenance et suppression. Vous pouvez appliquer des paramètres de stratégie de groupe à des utilisateurs ou des ordinateurs dans un site, un domaine ou une unité d’organisation pour automatiser les tâches suivantes : installation, mise à niveau ou suppression de logiciels. L’application de paramètres de stratégie de groupe à des logiciels vous permet de gérer les diverses phases du déploiement de logiciels sans déployer ceux-ci individuellement sur chaque ordinateur.

Question : Quels types d’applications déploieriez-vous par le biais de la stratégie de groupe dans votre environnement ?

Page 323: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-31

Lectures complémentaires • Support technique Microsoft : Comment utiliser une stratégie de groupe pour

installer un logiciel à distance dans Windows 2000

• Article Microsoft Technet : Recours à l’installation logicielle de la stratégie de groupe pour déployer le système Office 2007 (éventuellement en anglais)

Page 324: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Comment fonctionne la distribution logicielle ?

Points clés Windows Server 2008 utilise le service Windows Installer pour permettre à la stratégie de groupe de déployer et gérer les logiciels. Ce composant automatise l’installation et la suppression d’applications en appliquant durant le processus d’installation un jeu de règles de configuration définies de façon centralisée.

Question : Quels sont certains des inconvénients liés au déploiement de logiciels à l’aide de la stratégie de groupe ?

Lectures complémentaires • Support technique Microsoft : Comment utiliser une stratégie de groupe pour

installer un logiciel à distance dans Windows 2000

Page 325: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-33

Options d’installation de logiciels

Points clés Il existe deux types de déploiement pour fournir des logiciels aux clients. Les administrateurs peuvent installer à l’avance les logiciels pour les utilisateurs ou permettre à ceux-ci d’installer au coup par coup les logiciels dont ils ont besoin. Les utilisateurs ne partagent pas les applications déployées, ce qui signifie qu’une application que vous installez pour un utilisateur via la stratégie de groupe ne sera pas disponible aux autres utilisateurs de cet ordinateur. Chaque utilisateur a besoin de sa propre instance de l’application.

Question : Quel est l’un des avantages de la publication plutôt que de l’assignation d’une application ?

Lectures complémentaires • Article Microsoft Technet : Présentation de l’installation logicielle d’une

stratégie de groupe (éventuellement en anglais)

Page 326: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-34 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration de la distribution de logiciels

Question : Quels types d’applications serait-il utile d’assigner à l’ordinateur plutôt qu’à l’utilisateur?

Page 327: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-35

Options pour modifier la distribution de logiciels

Points clés L’installation logicielle dans la stratégie de groupe inclut des options de configuration de logiciels déployés. Vous pouvez classer par catégorie les programmes qui sont publiés dans le Panneau de configuration et associer des extensions de nom de fichier à des applications. Vous pouvez également ajouter des modifications à des logiciels déployés.

Lectures complémentaires • Article Microsoft Technet : Spécifier les catégories des applications à gérer

(éventuellement en anglais)

• Article Microsoft Technet : Meilleures pratiques pour l’installation logicielle d’une stratégie de groupe - Spécifier des options d’installation automatique basées sur l’extension de nom de fichier (éventuellement en anglais)

• Article Microsoft Technet : Ajouter ou supprimer des modifications pour un package d’application (éventuellement en anglais)

Page 328: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-36 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Modification de la distribution de logiciels

Question : Vous souhaitez déployer un utilitaire d’administration à destination des membres du groupe de sécurité Admins du domaine. Ces utilitaires doivent être disponibles à partir de n’importe quel ordinateur auquel un administrateur se connecte, mais ne doivent être installés que lorsque cela est nécessaire. Quelle est la meilleure méthode pour y parvenir ?

Page 329: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-37

Maintenance de logiciels à l’aide d’une stratégie de groupe

Points clés De temps à autre, un package doit être mis à niveau vers une version plus récente. L’onglet Mises à niveau vous permet de mettre à niveau un package en utilisant l’objet de stratégie de groupe. Vous pouvez également redéployer un package si le fichier Windows Installer d’origine a été modifié. Vous pouvez supprimer des packages logiciels s’ils ont été fournis à l’origine à l’aide de la stratégie de groupe. La suppression peut être obligatoire ou facultative.

Question : Votre organisation procède à une mise à niveau vers une version plus récente d’un package logiciel. Certains utilisateurs de l’organisation nécessitent l’ancienne version. Comment allez-vous déployer la mise à niveau ?

Lectures complémentaires • Article Microsoft Technet : Définir les options par défaut de l’installation

logicielle de stratégie de groupe (éventuellement en anglais)

Page 330: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-38 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Discussion : Évaluation de l’utilisation de la stratégie de groupe pour déployer des logiciels

Question : Vous souhaitez déployer un utilitaire d’administration à destination des membres du groupe de sécurité Admins du domaine. Ces utilitaires doivent être disponibles à partir de n’importe quel ordinateur auquel un administrateur se connecte, mais ne doivent être installés que lorsque cela est nécessaire. Quelle est la meilleure méthode pour y parvenir ?

Page 331: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-39

Atelier pratique : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe

Scénario La Woodgrove Bank a décidé d’implémenter une stratégie de groupe pour gérer les bureaux des utilisateurs. L’organisation a déjà implémenté une configuration d’unité d’organisation (UO) qui inclut des unités d’organisation de niveau supérieur regroupées par lieu, avec des unités d’organisation supplémentaires dans chaque lieu pour les différents services. Les comptes d’utilisateur et les comptes d’ordinateur de leurs stations de travail se trouvent dans le même conteneur. Les comptes d’ordinateur des serveurs sont répartis dans les différentes unités d’organisation.

Page 332: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-40 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

L’administrateur de l’entreprise a conçu un objet de stratégie de groupe qui servira à gérer l’environnement de bureau de l’utilisateur. Vous êtes chargé de configurer des objets de stratégie de groupe de sorte que des paramètres spécifiques soient appliqués aux ordinateurs et aux bureaux des utilisateurs.

Remarque : certaines des tâches de cet atelier pratique sont conçues pour illustrer les techniques et les paramètres de gestion des objets de stratégie de groupe, et elles ne suivent pas toujours les meilleures pratiques.

Page 333: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-41

Exercice 1 : Configuration de scripts et redirection de dossiers

Scénario Vous avez été chargé de créer un script qui mappe un lecteur réseau au dossier partagé nommé Données (Data) sur NYC-DC1. Puis vous allez utiliser la stratégie de groupe pour attribuer le script à tous les utilisateurs des unités d’organisation de Toronto, Miami et New York. Le script doit être stocké dans un emplacement hautement disponible. Vous allez également définir des autorisations pour partager et sécuriser un dossier sur NYC-DC1. Le dossier Documents de tous les membres de l’unité d’organisation Executives y sera redirigé.

Dans cet exercice, les tâches principales sont les suivantes :

1. Démarrer les ordinateurs virtuels et ouvrir une session.

2. Créer un script d’ouverture de session pour mapper vers le dossier partagé de données (Data).

3. Utiliser la stratégie de groupe pour copier le script dans le partage NetLogon, puis attribuer le script aux unités d’organisation appropriées.

4. Partager et sécuriser un dossier pour le groupe Executives.

5. Rediriger le dossier Documents pour le groupe Executives.

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, puis sur Microsoft Learning et cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Lancer.

3. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

4. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Page 334: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-42 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Créer un script d’ouverture de session pour mapper vers le dossier partagé de données (Data). 1. Démarrez le Bloc-notes.

2. Dans le Bloc-notes, tapez Net Use J: \\NYC-DC1\Data.

3. Fermez et enregistrez le fichier en tant que C:\Map.bat.

4. Vérifiez que le champ de type fichier Enregistrer sous est Tous les fichiers.

Tâche 3 : Utiliser la stratégie de groupe pour copier le script dans le partage NetLogon, puis attribuer le script aux unités d’organisation appropriées. 1. Ouvrez une fenêtre Explorateur Windows, copiez C:\map.bat dans le Presse-

papiers, puis fermez l’Explorateur Windows.

2. Lancez le GPMC, puis créez une nouvelle stratégie de groupe nommée Script d’ouverture de session.

3. Pour modifier la stratégie, développez Configuration utilisateur, Paramètres Windows, puis cliquez sur Scripts (ouverture de session/fermeture de session).

4. Ouvrez les propriétés de l’objet de stratégie de groupe du Script d’ouverture de session, cliquez sur Afficher les fichiers, cliquez avec le bouton droit et sélectionnez Coller, pour copier le script à partir du Presse-papiers dans le dossier Scripts, puis fermez l’Explorateur.

5. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur Ajouter.

6. Dans la boîte de dialogue Ajout d’un Script, cliquez sur Parcourir.

7. Dans la boîte de dialogue Parcourir, sélectionnez le fichier Map.bat.

8. Fermez l’Éditeur de gestion des stratégies de groupe.

9. Liez la stratégie Script d’ouverture de session aux unités d’organisation Miami, New York et Toronto.

Page 335: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-43

Tâche 4 : Partager et sécuriser un dossier pour le groupe Executives. 1. Dans l’Explorateur Windows, ouvrez les Propriétés du dossier Executives.

2. Cliquez sur l’onglet Partage, puis sur Partage avancé.

3. Activez la case à cocher Partager ce dossier, puis cliquez sur Autorisations.

4. Supprimez le groupe Tout le monde.

5. Ajoutez les groupes Executives Woodgrove GG, Rediriger le dossier Documents pour le groupe Executives et accordez-leur le Contrôle total.

6. Cliquez sur l’onglet Sécurité, puis sur Avancé.

7. Sous l’onglet Autorisations, cliquez sur Modifier, désactivez la case à cocher en regard de Inclure les autorisations héritables à partir du parent de cet objet, puis copiez les autorisations.

8. Supprimez tous les utilisateurs et groupes à l’exception de Créateur Propriétaire et Système.

9. Ajoutez le groupe Executives_WoodgroveGG, puis attribuez les autorisations Liste du dossier/lecture de données et Création de dossiers/ajout de données à Ce dossier seulement.

10. Fermez les propriétés, puis fermez l’Explorateur Windows.

Tâche 5 : Rediriger le dossier Documents pour le groupe Executives. 1. Créez un objet de stratégie de groupe nommé Redirection des cadres.

2. Modifiez la stratégie : développez Configuration utilisateur, Stratégies, Paramètres Windows, Redirection de dossiers, cliquez avec le bouton droit sur Documents puis cliquez sur Propriétés.

3. Sous l’onglet Cible, réglez le paramètre de base sur de base (rediriger les dossiers de tous les utilisateurs vers le même emplacement).

4. Laissez le paramétrage par défaut pour l’emplacement du dossier cible, puis tapez \\NYC-DC1\Executives dans le champ Chemin d’accès.

5. Associez la stratégie à l’unité d’organisation Executives.

Résultat : au terme de cet exercice, vous aurez configuré des scripts et la redirection de dossiers.

Page 336: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-44 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Configuration des modèles d’administration

Scénario Vous avez été chargé de créer et d’attribuer des modèles d’administration de stratégie de groupe pour contrôler l’environnement d’ordinateur et d’utilisateur. Les paramètres suivants s’appliqueront à tous les ordinateurs :

• Autoriser l’administration à distance entrante.

• Détection de liaison lente définie sur 800 kbits/s.

Les ordinateurs des unités d’organisation de Miami, Toronto et New York empêcheront l’installation de périphériques amovibles.

Les ordinateurs de l’unité d’organisation Executives auront des fichiers hors connexion chiffrés.

Les paramètres suivants s’appliqueront à tous les utilisateurs du domaine :

• Les outils de modification du Registre seront interdits.

• L’horloge sera supprimée de la barre des tâches.

En outre, les paramètres suivants s’appliqueront aux utilisateurs des unités d’organisation de Miami, Toronto et New York :

• Les profils seront limités à 1 Gigaoctet (Go).

• Volet Windows désactivé.

Dans cet exercice, les tâches principales sont les suivantes :

1. Modifier la stratégie de domaine par défaut pour contenir les paramètres de tous les ordinateurs.

2. Créer et attribuer un objet de stratégie de groupe pour empêcher l’installation de périphériques amovibles sur les ordinateurs de la succursale.

3. Créer et attribuer un objet de stratégie de groupe pour chiffrer les fichiers hors connexion sur les ordinateurs des cadres.

4. Créer et attribuer un objet de stratégie de groupe au niveau du domaine pour tous les utilisateurs du domaine.

5. Créer et attribuer un objet de stratégie de groupe pour limiter la taille de profil et désactiver le Volet Windows pour les utilisateurs de la succursale.

Page 337: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-45

Tâche 1 : Modifier la stratégie de domaine par défaut pour contenir les paramètres de tous les ordinateurs. 1. Dans la console GPMC, modifiez la stratégie de domaine par défaut.

développez Configuration ordinateur, Stratégies, Modèles d’administration, Réseau, Connexions réseau, Pare-feu Windows, puis Profil du domaine. Dans le volet d’informations, double-cliquez sur Pare-feu Windows : autoriser l’exception d’administration à distance entrante.

2. Activez la stratégie pour le Sous-réseau local dans Autoriser les messages entrants non sollicités provenant des adresses IP suivantes :.

3. Développez Configuration ordinateur, Modèles d’administration, Système, puis Stratégie de groupe.

4. Activez la Détection d’une liaison lente de stratégie de groupe sur 800 kbits/s.

Tâche 2 : Créer et attribuer un objet de stratégie de groupe pour empêcher l’installation de périphériques amovibles sur les ordinateurs de la succursale. 1. Créez un objet de stratégie de groupe nommé Empêcher les périphériques

amovibles.

2. Pour modifier l’objet de stratégie de groupe, développez Configuration ordinateur, Modèles d’administration, Système, Installation de périphériques, puis Restrictions d’installation de périphériques.

3. Activez le paramètre Empêcher l’installation de périphériques amovibles.

4. Associez la stratégie Empêcher les périphériques amovibles aux unités d’organisation Miami, New York et Toronto.

Page 338: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-46 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 3 : Créer et attribuer un objet de stratégie de groupe pour chiffrer les fichiers hors connexion sur les ordinateurs des cadres. 1. Créez un objet de stratégie de groupe nommé Chiffrer les fichiers hors

connexion.

2. Pour modifier la stratégie, développez Configuration ordinateur, Modèles d’administration, Réseau, puis Fichiers hors connexion.

3. Activez le paramètre Chiffrer le cache des fichiers hors connexion.

4. Associez l’objet de stratégie de groupe à l’unité d’organisation Executives.

Tâche 4 : Créer et attribuer un objet de stratégie de groupe au niveau du domaine pour tous les utilisateurs du domaine. 1. Créez un objet de stratégie de groupe nommé Stratégie de tous les

utilisateurs.

2. Développez Configuration utilisateur, Stratégies, Modèles d’administration, puis Système.

3. Activez le paramètre Empêcher l’accès aux outils de modification du Registre.

4. Cliquez sur Menu Démarrer et Barre des tâches.

5. Activez le paramètre Supprimer l’horloge de la zone de notification système.

6. Liez l’objet de stratégie de groupe au domaine Woodgrovebank.com.

Tâche 5 : Créer et attribuer une stratégie pour limiter la taille de profil et désactiver le Volet Windows pour les utilisateurs de la succursale. 1. Créez un objet de stratégie de groupe nommé Stratégie utilisateurs

succursale.

2. Pour modifier l’objet de stratégie de groupe, développez Configuration utilisateur, Stratégies, Modèles d’administration, Systèmes, puis Profils utilisateur.

3. Activez le paramètre Limiter la taille du profil avec la valeur 1000000.

4. Développez Configuration utilisateur, Modèles d’administration, Composants Windows et Volet Windows.

Page 339: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-47

5. Activez le paramètre Désactiver le Volet Windows.

6. Associez l’objet de stratégie de groupe Stratégie utilisateurs succursale aux unités d’organisation Miami, New York et Toronto.

Résultat : au terme de cet exercice, vous aurez configuré des modèles d’administration.

Page 340: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-48 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Configuration des préférences

Scénario Vous avez été chargé de créer et d’attribuer des préférences de stratégie de groupe pour contrôler l’environnement d’ordinateur et d’utilisateur.

Vous allez ajouter un raccourci à Notepad.exe sur le Bureau de NYC-DC1.

Vous allez créer un nouveau dossier appelé Rapports sur le lecteur C: de tous les ordinateurs en cours d’exécution

Vous allez configurer le menu Démarrer des ordinateurs Windows Vista.

Dans cet exercice, les tâches principales sont les suivantes :

1. Ajouter un raccourci vers Notepad.exe sur le Bureau de NYC-DC1.

2. Créer un nouveau dossier appelé Reports sur le lecteur C: de tous les ordinateurs exécutant Windows Server 2008.

3. Configurer le menu Démarrer des ordinateurs Windows Vista.

Tâche 1 : Ajouter un raccourci vers Notepad.exe sur le Bureau de NYC-DC1. 1. Dans la console GPMC, modifiez les préférences de la stratégie de domaine

par défaut.

2. Modifiez les préférences des Paramètres Windows pour créer un raccourci appelé Bloc-notes avec les paramètres suivants :

Emplacement = Bureau du profil Tous les utilisateurs

Chemin d’accès cible = C:\Windows\System32\Notepad.exe

3. Dans l’onglet Commun, configurez le ciblage au niveau de l’élément pour le nom d’ordinateur NYC-DC1.

Page 341: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-49

Tâche 2 : Créer un nouveau dossier appelé Reports sur le lecteur C: de tous les ordinateurs exécutant Windows Server 2008. 1. Dans Configuration Ordinateur, Préférences des paramètres Windows, créez

un nouveau dossier.

2. Configurez le chemin d’accès de la façon suivante : C:\Reports.

3. Dans l’onglet Commun, configurez le ciblage au niveau de l’élément de sorte à cibler le système d’exploitation Windows Server 2008.

Tâche 3 : Configurer le menu Démarrer des ordinateurs Windows Vista. 1. Développez Configuration utilisateur, Préférences, Installation de Windows,

Paramètres du Panneau de configuration, puis créez un nouvel objet du menu Démarrer pour Windows Vista.

2. Configurez le menu Démarrer pour supprimer le dossier Jeux et pour ajouter les outils d’administration système au menu Tous les programmes.

Résultat : au terme de cet exercice, vous aurez configuré les préférences.

Page 342: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-50 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 4 : Vérification de l’application des objets de stratégie de groupe

Scénario Vous allez ouvrir une session en tant que différents utilisateurs du domaine pour tester l’application de la stratégie de groupe. Vous allez également utiliser le jeu de stratégie résultant (RSoP) de la stratégie de groupe pour vérifier que les objets de stratégie de groupe s’appliquent correctement.

Dans cet exercice, les tâches principales sont les suivantes :

1. Vérifier que les préférences ont été appliquées.

2. Démarrer 6238A-NYC-CL1, ouvrez une session en tant que Woodgrovebank\Administrateur, puis observez les paramètres appliqués.

3. Ouvrir une session en tant qu’utilisateur de l’unité d’organisation Executives et observer les paramètres appliqués.

4. Ouvrir une session en tant qu’utilisateur d’une succursale et observer les paramètres appliqués.

5. Utiliser la console GPMC sur NYC-DC1 pour consulter les résultats de la stratégie de groupe.

6. Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation.

Tâche 1 : Vérifier que les préférences ont été appliquées. 1. Sur NYC-DC1, fermez la session, puis ouvrez une session en tant

qu’Administrateur avec le mot de passe Pa$$w0rd.

2. Sur le Bureau, vérifiez qu’un raccourci a bien été créé pour le Bloc-notes.

3. Vérifiez qu’un dossier nommé Rapports a été créé sur le lecteur C: D:.

4. Vérifiez que les Outils d’administration figurent dans le menu Démarrer et que le dossier Jeux n’est pas affiché.

Page 343: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-51

Tâche 2 : Démarrer 6238A-NYC-CL1, ouvrez une session en tant que Woodgrovebank\Administrateur, puis observez les paramètres appliqués. 1. Ouvrez Virtual Server Remote Control Client et double-cliquez sur 6238A-

NYC-CL1.

2. Ouvrez une session sur NYC-CL1 en tant qu’Administrateur avec le mot de passe Pa$$w0rd. Fermez la session, puis ouvrez une nouvelle session en tant qu’Administrateur.

Remarque : deux ouvertures de session sont nécessaires en raison des informations d’identification mises en cache.

3. Vérifiez que l’horloge n’est pas affichée dans la zone de notification.

4. Cliquez avec le bouton droit sur la Barre des tâches, cliquez sur Propriétés, puis sur l’onglet Zone de notification. Vérifiez que vous n’avez pas la possibilité d’afficher l’horloge, puis cliquez sur OK.

5. Déconnectez-vous de NYC-CL1.

Tâche 3 : Ouvrir une session en tant qu’utilisateur de l’unité d’organisation Executives et observer les paramètres appliqués. 1. Ouvrez une session sur NYC-CL1 en tant que Ariane en utilisant le mot de

passe Pa$$w0rd. Vérifiez que l’horloge n’est pas affichée dans la zone de notification.

2. Cliquez sur Démarrer, cliquez avec le bouton droit sur le dossier Documents, puis cliquez sur Propriétés. Vérifiez que l’emplacement est \\nan-cd1\execdata\ariane.

3. Cliquez sur Démarrer, tapez Regedt32 dans la zone de recherche, puis appuyez sur ENTRÉE. Assurez-vous que la modification du Registre a été désactivée.

4. Vérifiez que le Volet Windows n’est pas affiché.

5. Fermez la session sur NYC-CL1.

Page 344: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-52 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 4 : Ouvrir une session en tant qu’utilisateur d’une succursale et observer les paramètres appliqués. 1. Ouvrez une session sur NYC-CL1 en tant que Loig, avec le mot de passe

Pa$$w0rd. Vérifiez que l’horloge n’est pas affichée dans la zone de notification.

2. Cliquez sur Démarrer, cliquez avec le bouton droit sur le dossier Documents, puis cliquez sur Propriétés. Vérifiez que l’emplacement est C:\Users\Loig.

3. Cliquez sur Démarrer, tapez Regedt32 dans la zone de recherche, puis appuyez sur ENTRÉE. Assurez-vous que la modification du Registre a été désactivée.

4. Vérifiez que le Volet Windows n’est pas affiché.

5. Cliquez sur Démarrer, puis ouvrez Ordinateur. Vérifiez que le lecteur J: est mappé au partage Data.

6. Fermez la session sur NYC-CL1.

Tâche 5 : Utiliser la console GPMC sur NYC-DC1 pour consulter les résultats de la stratégie de groupe. 1. Sur NYC-DC1, restaurez la console GPMC.

2. Cliquez avec le bouton droit sur Résultats de stratégie de groupe, puis cliquez sur Assistant Résultats de stratégie de groupe.

3. Sélectionnez l’ordinateur Woodgrovebank\NYC-CL1.

4. Sélectionnez Woodgrovebank\Ariane comme utilisateur.

5. Dans l’écran Résumé, cliquez sur Suivant, puis sur Terminer.

6. Dans le rapport Résultats de stratégie de groupe, développez la section Objets de stratégie de groupe.

7. Cliquez sur l’onglet Paramètres, puis développez Modèles d’administration.

8. Fermez la console GPMC.

9. Supprimez les modifications sur tous les ordinateurs virtuels, puis arrêtez l’ordinateur.

Page 345: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-53

Tâche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulations. 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez vérifié l’application d’un objet de stratégie de groupe.

Page 346: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

6-54 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Récapitulatif du module et objectifs

Éléments à prendre en considération Lors de la configuration d’environnements utilisateur à l’aide d’une stratégie de groupe, prenez en compte les éléments suivants :

• Les paramètres de stratégie qui sont activés appliquent un paramètre.

• Les paramètres de stratégie qui sont désactivés inversent un paramètre.

• Les paramètres de stratégie qui ne sont pas configurés ne sont pas affectés par la stratégie de groupe.

• Des scripts peuvent être appliqués à l’utilisateur ou à l’ordinateur par le biais de la stratégie de groupe.

• Les scripts peuvent être écrits dans plusieurs langues.

• Le stockage des scripts dans le partage NetLogon les rend extrêmement disponible.

• Certains dossiers peuvent être redirigés à partir du profil des utilisateurs vers un dossier partagé sur le réseau.

Page 347: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Configuration des environnements utilisateur à l’aide d’une stratégie de groupe 6-55

• Différents groupes de sécurité peuvent être redirigés vers différents emplacements réseau.

• Les modèles d’administration appliquent des paramètres en modifiant le Registre pour l’utilisateur et l’ordinateur.

• Les fichiers ADMX peuvent être personnalisés.

• Les logiciels peuvent être distribués par stratégie de groupe via fichiers .msi.

• Les logiciels peuvent être publiés à destination des utilisateurs ou affectés à des utilisateurs ou à des ordinateurs.

• Les logiciels affectés aux utilisateurs sont spécifiques à ces utilisateurs.

• Les logiciels affectés à des ordinateurs sont disponibles à tous les utilisateurs de cet ordinateur.

• Les logiciels peuvent être modifiés et gérés par le biais d’une stratégie de groupe.

• Les logiciels peuvent être supprimés par le biais d’une stratégie de groupe.

Questions du contrôle des acquis 1. Vous avez attribué un script d’ouverture de session à une unité d’organisation

par le biais de la stratégie de groupe. Le script se trouve dans un dossier réseau partagé nommé Scripts. Certains utilisateurs d’unités d’organisation reçoivent le script tandis que d’autres non. Quelle peut en être la cause ?

2. Quelle procédure pourrait empêcher que ces problèmes se reproduisent ?

3. Vous avez deux scripts d’ouverture de session attribués aux utilisateurs : script1 et script2. L’exécution de script2 dépend de l’exécution réussie de script1. Vos utilisateurs signalent que script2 ne s’exécute jamais. Quel est le problème et comment le résoudre ?

Page 348: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 349: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-1

Module 7. Implémentation de la sécurité à l’aide d’une stratégie de groupe

Table des matières : Leçon 1 : Configuration des stratégies de sécurité 7-3

Leçon 2 : Implémentation de stratégies de mots de passe affinés 7-13

Leçon 3 : Restriction de l’appartenance à des groupes et de l’accès aux logiciels 7-21

Leçon 4 : Gestion de la sécurité à l’aide de modèles de sécurité 7-28

Atelier pratique : Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-37

Page 350: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

L’absence de stratégies de sécurité adéquates peut entraîner de nombreux risques pour une organisation. Une stratégie de sécurité bien conçue vous aide à protéger les investissements de l’organisation en matière d’informations commerciales et de ressources internes, comme le matériel et les logiciels. Cependant, l’existence d’une stratégie de sécurité ne suffit pas. Vous devez appliquer cette stratégie pour qu’elle soit efficace. Vous pouvez réutiliser la stratégie de groupe de manière à standardiser la sécurité pour contrôler l’environnement.

Page 351: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-3

Leçon 1 : Configuration des stratégies de sécurité

La stratégie de groupe fournit des paramètres que vous pouvez utiliser pour appliquer la sécurité dans votre organisation. Par exemple, vous pouvez utiliser les paramètres de la stratégie de groupe pour sécuriser les mots de passe, le démarrage et les autorisations des services système.

Dans cette leçon, vous allez prendre connaissance des éléments et des compétences nécessaires à la configuration des stratégies de sécurité.

Page 352: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des stratégies de sécurité

Points clés Les stratégies de sécurité sont des règles qui servent à protéger des ressources sur les ordinateurs et les réseaux. La stratégie de groupe permet de configurer un grand nombre de ces règles comme paramètres de stratégie de groupe. Par exemple, vous pouvez configurer les stratégies de mot de passe dans le cadre d’une stratégie de groupe.

La stratégie de groupe comprend une grande section de sécurité pour configurer la sécurité des utilisateurs et des ordinateurs. Ainsi, vous pouvez appliquer la sécurité de manière cohérente entre les unités d’organisation (UO) dans les services de domaine Active Directory® (AD DS) en définissant les paramètres de sécurité dans un objet de stratégie de groupe associé à un site, un domaine ou une unité d’organisation.

Lectures complémentaires • Article Microsoft Technet : Paramètres de sécurité (éventuellement en anglais)

• Article Microsoft Technet : Paramètres de stratégie de sécurité de groupe (éventuellement en anglais)

Page 353: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-5

Description de la stratégie de sécurité de domaine par défaut

Points clés La stratégie de domaine par défaut est liée au domaine et elle affecte, par conséquent, tous les objets dans le domaine, sauf si un objet de stratégie de groupe appliqué à un niveau inférieur bloque ou remplace ces paramètres. Dans cette stratégie, très peu de paramètres sont configurés par défaut.

Même si la stratégie de domaine par défaut possède tous les paramètres et toutes les fonctions d’un objet de stratégie de groupe, il est recommandé de n’utiliser cette stratégie que pour fournir des stratégies de compte. Vous devez créer d’autres objets de stratégie de groupe pour fournir d’autres paramètres.

Lectures complémentaires • Article Microsoft Technet : Chapitre 3 relatif à la stratégie de domaine, dans le

guide de sécurité de Windows Server® 2003 (éventuellement en anglais)

Page 354: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des stratégies de compte

Points clés Les stratégies de compte protègent les comptes et les données de l’organisation en réduisant la menace des attaques en force consistant à deviner le mot de passe des comptes. Sur les systèmes d’exploitation Windows et de nombreux autres systèmes d’exploitation, la méthode la plus courante pour authentifier l’identité d’un utilisateur consiste à utiliser un mot de passe secret. La sécurisation de votre environnement réseau implique que tous les utilisateurs utilisent des mots de passe forts. Les paramètres de stratégie de mot de passe contrôlent la complexité et la durée de vie des mots de passe. Vous pouvez configurer les paramètres de stratégie de mot de passe par le biais d’une stratégie de groupe.

Lectures complémentaires • Article Microsoft Technet : Mots de passe et stratégies de compte

Page 355: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-7

Description des stratégies locales

Points clés Tous les ordinateurs équipés de Windows 2000 Server ou une version ultérieure possèdent exactement un seul objet de stratégie de groupe local (LGPO). Dans cet objet, les paramètres de stratégie de groupe sont stockés sur les ordinateurs, qu’ils fassent partie d’un environnement Active Directory ou non. L’objet de stratégie de groupe local est stocké dans un dossier caché appelé %windir%\system32\Group Policy. Ce dossier n’existera pas tant que vous n’aurez pas configuré d’objet de stratégie de groupe local.

Page 356: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des stratégies de sécurité réseau

Points clés L’automatisation des paramètres de configuration des ordinateurs clients est une étape essentielle pour réduire le coût du déploiement de la sécurité réseau et les problèmes de prise en charge résultant de paramètres configurés incorrectement.

Depuis Windows Server 2003, il est possible d’automatiser la configuration sans fil des clients à l’aide des paramètres de stratégie réseau sans fil de la stratégie de groupe. Windows Server 2008 et Windows Vista incluent de nouvelles fonctionnalités pour les stratégies réseau et la stratégie de groupe prend en charge les paramètres d’authentification 802.1X pour les connexions câblées et sans fil.

Page 357: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-9

Lectures complémentaires : • Article Microsoft Technet : Intégration d’un client câblé Windows Vista à un

domaine (éventuellement en anglais)

• Article Microsoft Technet : Chapitre 6 relatif à la sécurité de réseau local sans fil avec 802.1X (éventuellement en anglais)

• Article Microsoft Technet : Paramètres de stratégie de groupe sans fil pour Windows Vista (éventuellement en anglais)

• Article Microsoft Technet : Définition des stratégies de réseau sans fil basées sur Active Directory (éventuellement en anglais)

Page 358: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Pare-feu Windows avec fonctions avancées de sécurité

Points clés Windows Vista et Windows Server 2008 incluent une nouvelle version améliorée du Pare-feu Windows. La nouvelle version du Pare-feu Windows est un pare-feu basé sur un hôte avec état, qui permet le trafic réseau ou le bloque en fonction de sa configuration.

Lectures complémentaires • Article Microsoft Technet : Nouveau Pare-feu Windows dans Windows Vista et

Windows Longhorn (éventuellement en anglais)

Page 359: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-11

Démonstration : Présentation des paramètres de sécurité supplémentaires

Question : Vous devez garantir qu’un service particulier n’est pas autorisé à s’exécuter sur l’un de vos serveurs réseau. Quelle méthode utilisez-vous pour y parvenir ?

Page 360: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Description de la stratégie de sécurité de domaine par défaut

Question : Quel est l’intervalle d’actualisation par défaut de la stratégie de groupe pour les contrôleurs de domaine ?

Page 361: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-13

Leçon 2 : Implémentation de stratégies de mot de passe affinées

Dans Windows Server 2008, des stratégies de mot de passe affinées vous permettent de définir différents critères de mots de passe et différentes stratégies de verrouillage de compte pour différents utilisateurs ou groupes Active Directory.

Dans cette leçon, vous allez découvrir les connaissances et les compétences nécessaires à l’implémentation de stratégies de mot de passe affinées.

Page 362: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des stratégies de mot de passe affinées

Points clés Dans les versions précédentes des services de domaine Active Directory, vous ne pouvez appliquer qu’une seule stratégie de mot de passe et de verrouillage de compte à tous les utilisateurs du domaine. Les stratégies de mot de passe affinées permettent de disposer de différentes exigences de mot de passe et de stratégies de verrouillage de compte pour les différents utilisateurs ou groupes Active Directory. Cela est souhaitable lorsque vous souhaitez que différents groupes d’utilisateurs soient associés à différentes exigences de mot de passe, mais que vous ne souhaitez pas des domaines distincts. Par exemple, le groupe Administrateurs de domaine peut nécessiter des exigences strictes en matière de mot de passe auxquelles vous ne souhaitez pas soumettre les utilisateurs ordinaires. Si vous n’implémentez pas de mots de passe affinés, les stratégies de compte de domaine par défaut s’appliquent à tous les utilisateurs.

Page 363: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-15

Question : Comment devez-vous utiliser des mots de passe affinés dans votre environnement ?

Lectures complémentaires • Article Microsoft Technet : Services de domaine Active Directory : stratégies de

mots de passe affinés (éventuellement en anglais)

Page 364: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Implémentation des stratégies de mots de passe affinés

Points clés Pour stocker les stratégies de mots de passe affinés, Windows Server 2008 inclut deux nouvelles classes d’objets dans le schéma Active Directory. Ces classes sont les suivantes :

• Conteneur de paramètres de mot de passe (PSC)

• Objet paramètres de mot de passe (PSO)

La classe de l’objet paramètres de mot de passe est créée par défaut dans le conteneur système du domaine qui stocke les objets paramètres de mot de passe de ce domaine. Vous ne pouvez pas renommer ce conteneur, ni le déplacer ou le supprimer.

Page 365: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-17

Question : Comment pouvez-vous afficher le conteneur des paramètres de mot de passe dans Utilisateurs et ordinateurs Active Directory ?

Lectures complémentaires • Article Microsoft Technet : Services de domaine Active Directory : stratégies de

mots de passe affinés (éventuellement en anglais)

Page 366: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Implémentation de stratégies de mot de passe affinées

Points clés Il y a trois étapes principales impliquées dans l’implémentation des mots de passe à granularité fine :

• Création des groupes nécessaires et ajout des utilisateurs appropriés

• Création des objets paramètres de mot de passe pour toutes les stratégies de mot de passe définies

• Application des objets paramètres de mot de passe aux utilisateurs ou aux groupes de sécurité globale appropriés

Question : Dans votre organisation, un certain nombre d’utilisateurs traitent régulièrement des fichiers confidentiels. Vous devez vous assurer que des stratégies de comptes strictes sont appliquées pour tous ces utilisateurs. Les comptes d’utilisateurs sont répartis sur plusieurs unités d’organisation. Comment obtenir ce résultat avec un minimum d’effort administratifs ?

Page 367: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-19

Lectures complémentaires • Article Microsoft Technet : Guide pas à pas pour la configuration de la stratégie

de mots de passe affinés et de verrouillage de compte (éventuellement en anglais)

Page 368: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Implémentation de stratégies de mot de passe affinées

Question : Quels utilitaires peuvent être utilisés pour gérer des objets paramètres de mot de passe ? Sélectionnez toutes les réponses possibles.

a. Éditeur ADSI

b. GPMC

c. CSVDE

d. LDIFDE

e. NTDSUtil

f. Utilisateurs et ordinateurs Active Directory

Page 369: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-21

Leçon 3 : Restriction de l’appartenance à des groupes et de l’accès aux logiciels

Dans un environnement réseau de grande taille, l’un des défis de la sécurité réseau est de contrôler l’appartenance de groupes intégrés à l’annuaire et aux stations de travail. Il est important également d’empêcher l’accès à des logiciels non autorisés sur les stations de travail.

Page 370: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description de l’appartenance à des groupes restreints

Points clés Dans certains cas, vous souhaitez peut-être contrôler l’appartenance de certains groupes dans un domaine pour empêcher l’ajout d’autres comptes d’utilisateur à ces groupes comme le groupe Administrateurs locaux.

Vous pouvez utiliser la stratégie Groupes restreints pour contrôler l’appartenance à des groupes. Utilisez la stratégie pour spécifier les membres qui figurent dans un groupe. Si vous définissez une stratégie Groupes restreints et que vous actualisez la stratégie de groupe, les membres actuels d’un groupe qui ne figurent pas sur la liste des membres de la stratégie Groupes restreints sont supprimés. Cela peut inclure les membres par défaut comme les administrateurs de domaine.

Page 371: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-23

Même si vous pouvez contrôler les groupes de domaine en attribuant des stratégies Groupes restreints à des contrôleurs de domaine, vous devez utiliser ce paramètre principalement pour configurer l’appartenance des groupes critiques comme Administrateurs de l’entreprise et Administrateurs du schéma. Vous pouvez également utiliser ce paramètre pour contrôler l’appartenance des groupes locaux intégrés sur les stations de travail et les serveurs membres. Par exemple, vous pouvez placer le groupe Support technique dans le groupe Administrateurs locaux sur toutes les stations de travail.

Vous ne pouvez pas spécifier d’utilisateurs locaux dans un objet de stratégie de groupe du domaine. Les utilisateurs locaux qui figurent actuellement dans le groupe local contrôlé par la stratégie vont être supprimés. La seule exception est que le compte Administrateurs locaux se trouve toujours dans le groupe Administrateurs locaux.

Question : Votre société a cinq serveurs Web répartis physiquement en Amérique du Nord. Les comptes d’ordinateurs de ce serveur Web se trouvent dans une seule unité d’organisation. Vous souhaitez accorder à tous les utilisateurs du groupe global nommé Web_Backup le droit de sauvegarder et de restaurer les serveurs Web. Comment pourriez-vous utiliser la stratégie de groupe pour y parvenir ?

Lectures complémentaires • Article Microsoft Technet : Groupes restreints (éventuellement en anglais)

• Article Microsoft Technet : Paramètres de sécurité de stratégie de groupe (éventuellement en anglais)

Page 372: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration de l’appartenance à des groupes restreints

Question : Vous avez créé une stratégie de groupe qui ajoute le groupe support technique au groupe Administrateurs local et vous avez lié la stratégie à une unité d’organisation. À présent les administrateurs de domaine n’ont plus d’autorité administrative sur les ordinateurs de cette unité d’organisation. Quel problème est le plus susceptible de se produire et comment le résoudre ?

Page 373: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-25

Description de la stratégie de restriction logicielle

Points clés Vous pourriez souhaiter restreindre l’accès aux logiciels pour empêcher les utilisateurs d’exécuter des applications en particulier ou des types d’application comme des scripts VBScript. Une stratégie de restriction logicielle fournit aux administrateurs un mécanisme fondé sur une stratégie pour identifier un logiciel et contrôler sa capacité à s’exécuter sur un ordinateur client.

Question : Vous avez un certain nombre d’ordinateurs dans un groupe de travail. Vous devez restreindre l’accès à une application afin que seuls les membres du groupe Administrateurs soient autorisés à lancer l’application. Quelle méthode utilisez-vous pour y parvenir ?

Lectures complémentaires • Article Microsoft Technet : Utilisation des stratégies de restriction logicielle

pour se protéger contre les logiciels non autorisés (éventuellement en anglais)

Page 374: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Options de configuration des stratégies de restriction logicielle

Points clés Les stratégies de restriction logicielle utilisent des règles pour déterminer si une application est autorisée à être exécutée. Lorsque vous créez une règle, vous commencez par identifier l’application. Ensuite, vous l’identifiez comme exception au paramètre de stratégie par défaut Non restreint ou Non autorisé. Le moteur de mise en œuvre interroge les règles de la stratégie de restriction logicielle avant de permettre d’exécuter un programme.

Question : Vous devez restreindre l’accès à une application quel que soit l’emplacement du répertoire où l’application est installée. Quel type de règle devez-vous utiliser ?

Lectures complémentaires • Article Microsoft Technet : Utilisation des stratégies de restriction logicielle

pour se protéger contre les logiciels non autorisés (éventuellement en anglais)

Page 375: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-27

Démonstration : Configuration des stratégies de restriction logicielle

Question : Vous souhaitez vous assurer que seuls les scripts Visual Basic signés numériquement soient autorisés à s’exécuter. Quel type de règle devez-vous utiliser ?

Page 376: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 4 : Gestion de la sécurité à l’aide de modèles de sécurité

La stratégie de sécurité est un groupe de paramètres de sécurité qui affecte la sécurité d’un ordinateur. Vous pouvez utiliser une stratégie de sécurité pour définir des stratégies de comptes et des stratégies locales sur votre ordinateur local et dans Active Directory. Vous pouvez créer des modèles de sécurité pour aider à la création de stratégies de sécurité pour répondre aux besoins de la société en termes de sécurité. Vous pouvez alors utiliser ces modèles pour configurer les paramètres de sécurité affectés à des ordinateurs manuellement ou par le biais d’une stratégie de groupe.

Page 377: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-29

Description des modèles de sécurité

Points clés Un modèle de sécurité est un ensemble de paramètres de sécurité configurés. Vous pouvez utiliser des modèles de sécurité prédéfinis comme base pour créer des stratégies de sécurité que vous personnalisez pour répondre à vos besoins ou vous pouvez créer d’autres modèles. Vous utilisez le composant logiciel enfichable Modèles de sécurité pour créer ou personnaliser des modèles. Une fois que vous avez créé un modèle ou personnalisé un modèle de sécurité prédéfini, vous pouvez l’utiliser pour configurer la sécurité sur un ordinateur individuel ou sur des milliers d’ordinateurs. Les modèles de sécurité contiennent des paramètres pour tous les domaines de sécurité.

Lectures complémentaires • Article Microsoft Technet : Modèles de sécurité

Page 378: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Application des modèles de sécurité

Question : Vous disposez de plusieurs serveurs de base de données situés dans des unités d’organisation distinctes. Quel est le moyen le plus simple d’appliquer des paramètres de sécurité cohérents à tous les serveurs de base de données ?

Page 379: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-31

Description de l’Assistant Configuration de la sécurité

Points clés L’Assistant Configuration de la sécurité est un outil de réduction de la surface d’attaque qui est apparu pour la première fois dans Windows Server 2003 avec Service Pack 1 (SP1). L’Assistant Configuration de la sécurité permet aux administrateurs de créer des stratégies de sécurité. Il détermine les fonctionnalités minimales requises pour les rôles d’un serveur, puis désactive les fonctionnalités qui ne sont pas nécessaires.

L’Assistant Configuration de la sécurité vous guide tout au long du processus de création, de modification, d’application ou d’annulation d’une stratégie de sécurité à partir des rôles sélectionnés du serveur. Les stratégies de sécurité que vous créez avec l’Assistant Configuration de la sécurité sont des fichiers XML qui, lorsqu’ils sont appliqués, configurent les services, la sécurité du réseau, les valeurs spécifiques du Registre, la stratégie d’audit et, le cas échéant, les services Internet (IIS).

Question : Quels types de rôles de serveur existent dans votre organisation ?

Page 380: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Article Microsoft Technet : Modèles de sécurité

• Article Microsoft Technet : Assistant Configuration de la sécurité pour Windows Server 2003 (éventuellement en anglais)

Page 381: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-33

Démonstration : Configuration de la sécurité du serveur à l’aide de l’Assistant Configuration de la sécurité

Question : Quel est le principal avantage de l’Assistant Configuration de la sécurité ?

Page 382: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-34 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Options d’intégration de l’Assistant Configuration de la sécurité et des modèles de sécurité

Points clés Les stratégies de sécurité que vous créez avec l’Assistant Configuration de la sécurité peuvent également inclure des modèles de sécurité personnalisés. Certains des paramètres que vous pouvez configurer à l’aide de l’Assistant Configuration de la sécurité chevauchent partiellement les paramètres que vous configurez à l’aide des modèles de sécurité uniquement. Aucun des ensembles de modifications apportées à la configuration n’inclut totalement l’autre. Par exemple, l’Assistant Configuration de la sécurité inclut les paramètres de services Internet (IIS) qui ne sont pas inclus dans un modèle de sécurité. À l’inverse, les modèles de sécurité peuvent inclure des éléments comme des stratégies de restriction logicielle, que vous ne pouvez pas configurer avec l’Assistant Configuration de la sécurité.

Page 383: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-35

Lectures complémentaires • Article Microsoft Technet : Présentation de l’Assistant Configuration de la

sécurité (éventuellement en anglais)

• Article Microsoft Technet : Veille de sécurité : Assistant Configuration de la sécurité (éventuellement en anglais)

Page 384: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-36 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Importation des stratégies de configuration de la sécurité dans des modèles de sécurité

Question : Vous devez ouvrir un port sur vos ordinateurs clients Windows Vista pour une application personnalisée. Devez-vous utiliser l’Assistant Configuration de la sécurité ou créer un modèle de sécurité et utiliser un objet de stratégie de groupe ?

Page 385: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-37

Atelier pratique : Implémentation de la sécurité à l’aide d’une stratégie de groupe

Scénario Woodgrove Bank a décidé d’implémenter une stratégie de groupe pour configurer la sécurité pour les utilisateurs et les ordinateurs au sein de l’organisation. La société a récemment procédé à la mise à niveau de toutes ses stations de travail vers Windows Vista et de tous ses serveurs vers Windows Server 2008. L’organisation souhaite utiliser la stratégie de groupe pour implémenter les paramètres de sécurité pour les stations de travail, les serveurs et les utilisateurs. L’administrateur de l’entreprise a créé une conception qui inclut des modifications de la stratégie de sécurité du domaine par défaut, ainsi que des objets de stratégie de groupe supplémentaires pour configurer la sécurité. La société souhaite disposer d’une certaine flexibilité pour affecter différentes stratégies de mot de passe pour des utilisateurs spécifiques. La société souhaite également automatiser autant que possible la configuration des paramètres de sécurité.

Page 386: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-38 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Remarque : certaines des tâches de cet atelier pratique sont conçues pour illustrer les techniques et les paramètres de gestion des objets de stratégie de groupe, et elles ne suivent pas toujours les meilleures pratiques.

Page 387: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-39

Exercice 1 : Configuration des paramètres de stratégie de compte et de sécurité Il vous a été demandé d’implémenter une stratégie de compte du domaine avec les critères suivants :

• les mots de passe de domaine doivent comporter huit caractères ;

• des mots de passe forts doivent être appliqués ;

• les mots de passe doivent être modifiés exactement tous les 20 jours ;

• les comptes doivent être verrouillés pendant 30 minutes après cinq tentatives d’ouverture de session non valides.

Vous configurez également une stratégie locale sur le client Windows Vista qui active le compte Administrateur local et empêche l’accès à la commande Exécuter pour les utilisateurs qui ne sont pas administrateurs.

Ensuite, vous créez une stratégie de réseau sans fil pour Windows Vista, qui crée un profil pour le réseau sans fil de l’entreprise. Ce profil définit 802.1x comme méthode d’authentification. Cette stratégie refuse également l’accès au réseau sans fil appelé Recherche.

Enfin, vous allez configurer une stratégie pour empêcher l’exécution du service Registre distant sur un contrôleur de domaine.

Dans cet exercice, les tâches principales sont les suivantes :

1. Démarrer l’ordinateur virtuel et ouvrir une session en tant qu’Administrateur.

2. Créer une stratégie de compte pour le domaine.

3. Configurer les paramètres de stratégie locale pour un client Windows Vista.

4. Créer un objet de stratégie de groupe de réseau sans fil pour les clients Windows Vista.

5. Configurer un objet de stratégie de groupe qui empêche un service sur tous les contrôleurs de domaine.

Page 388: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-40 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 1 : Démarrer l’ordinateur virtuel et ouvrir une session en tant qu’Administrateur. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Lancer.

3. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

4. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Créer une stratégie de compte pour le domaine. 1. Lancez la Console de gestion des stratégies de groupe.

2. Modifiez la stratégie de compte dans la stratégie de domaine par défaut avec les valeurs suivantes :

• Stratégie de mot de passe :

• Mots de passe de domaine : longueur de 8 caractères

• Mots de passe fort : appliqués

• Durée de vie minimale du mot de passe : 19 jours

• Durée de vie maximale du mot de passe : 20 jours

• Stratégie de verrouillage de compte :

• Seuil de verrouillage de compte : 5 tentatives d’ouverture de session non valides

• Durée de verrouillage de compte : 30 minutes

• Compteur de verrouillages : réinitialiser après 30 minutes

Page 389: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-41

Tâche 3 : Configurer les paramètres de stratégie locale pour un client Windows Vista. 1. Démarrez NYC-CL1 et ouvrez une session en tant que

WoodgroveBank\Administrateuravec le mot de passe Pa$$w0rd.

2. Créez une console MMC et ajoutez le composant logiciel enfichable correspondant à l’Éditeur d’objets de stratégie de groupe de l’ordinateur local.

3. Ouvrez Paramètres Windows de la configuration de l’ordinateur, Paramètres de sécurité, Stratégies locales, Options de sécurité, puis activez le paramètre Comptes : état de compte d’administrateur.

4. Ajoutez de nouveau le composant logiciel enfichable Éditeur d’objets de stratégie de groupe dans la console MMC, puis cliquez sur Parcourir.

5. Cliquez sur l’onglet Utilisateurs, sélectionnez le groupe Non-Administrateurs, cliquez sur OK, puis sur Terminer.

6. Ouvrez Configuration utilisateur, Modèles d’administration, cliquez sur le menu Démarrer et sur le dossier Barre des tâches, puis activez la case à cocher Supprimer Exécuter du menu Démarrer setting.

7. Fermez la console MMC sans enregistrer les modifications.

Tâche 4 : Créer un objet de stratégie de groupe de réseau sans fil pour les clients Windows Vista. 1. Dans la Console de gestion des stratégies de groupe, créez un objet stratégie

de groupe appelé Stratégie sans fil Vista.

2. Modifiez l’objet de stratégie de groupe en cliquant avec le bouton droit sur Stratégies de réseau sans fil (IEEE 802.11), puis en cliquant sur Créer une stratégie de réseau sans fil Vista.

3. Dans la boîte de dialogue Nouvelle stratégie de réseau sans fil Vista, cliquez sur Ajouter, puis cliquez sur Infrastructure.

4. Créez un profil appelé Entreprise, puis dans le champ Nom réseau (SSID), tapez Corp.

5. Cliquez sur l’onglet Sécurité, modifiez la méthode d’authentification sur Ouvrir avec 802.1X, puis cliquez sur OK.

Page 390: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-42 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

6. Cliquez sur l’onglet Autorisations réseau, puis sur Ajouter.

7. Tapez Recherche dans le champ Nom réseau (SSID) :, définissez l’autorisation sur Refuser, puis cliquez deux fois sur OK.

8. Fermez l’Éditeur de gestion des stratégies de groupe, puis laissez la Console de gestion des stratégies de groupe ouverte.

Tâche 5 : Configurer une stratégie qui empêche un service sur tous les contrôleurs de domaine. 1. Modifiez les éléments suivants pour désactiver le service d’accès à distance au

Registre : Stratégie par défaut des contrôleurs de domaine, Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité et Services système.

2. Fermez l’Éditeur de gestion des stratégies de groupe et laissez la Console de gestion des stratégies de groupe ouverte.

Résultat : au terme de cet exercice, vous aurez configuré les paramètres de stratégie de compte et de sécurité.

Page 391: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-43

Exercice 2 : Implémentation de stratégies de mot de passe affinées La stratégie de sécurité de votre entreprise détermine que les membres du groupe Administrateurs informatiques disposent de stratégies de mot de passe strictes. Les mots de passe doivent correspondre aux critères suivants :

• 30 mots de passe doivent être mémorisés dans l’historique des mots de passe ;

• les mots de passe de domaine doivent comporter 10 caractères ;

• des mots de passe forts doivent être appliqués ;

• les mots de passe ne doivent pas être stockés avec le chiffrement réversible ;

• les mots de passe doivent être modifiés exactement tous les 7 jours ;

• les comptes doivent être verrouillés pendant 30 minutes après trois tentatives d’ouverture de session non valides.

Vous créez une stratégie de mots de passe affinés pour mettre en œuvre ces stratégies pour le groupe global Administrateurs informatiques.

Les principales tâches sont les suivantes :

1. Créer un objet de stratégie de groupe à l’aide d’ADSI Edit.

2. Attribuer un objet de stratégie de groupe ITAdmin au groupe global Administrateurs informatiques.

Tâche 1 : Créer un objet de stratégie de groupe à l’aide d’ADSI Edit. 1. Dans la fenêtre de la commande Exécuter, tapez adsiedit.msc, puis appuyez

sur Entrée.

2. Cliquez avec le bouton droit sur ADSI Edit, cliquez sur Connexion à, puis cliquez sur OK pour accepter les valeurs par défaut.

3. Accédez à DC=woodgrovebank, DC=com, CN=Système, CN=Conteneur de paramètres de mot de passe, cliquez avec le bouton droit sur CN=Conteneur de paramètres de mot de passe, puis créez un nouvel objet.

4. Dans la boîte de dialogue Créer un objet, cliquez sur msDS-PasswordSettings, puis sur Suivant.

5. Dans la zone Valeur, tapez ITAdmin.

Page 392: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-44 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

6. Dans la valeur msDS-PasswordSettingsPrecedence, tapez 10.

7. Dans la valeur msDS-PasswordReversibleEncryptionEnabled, tapez FALSE.

8. Dans la valeur msDS-PasswordHistoryLength, tapez 30.

9. Dans la valeur msDS-PasswordComplexityEnabled, tapez TRUE.

10. Dans la valeur msDS-MinimumPasswordLength, tapez 10.

11. Dans la valeur msDS-MinimumPasswordAge, tapez -5184000000000.

12. Dans la valeur msDS-MaximumPasswordAge, tapez -6040000000000.

13. Dans la valeur msDS-LockoutThreshold, tapez 3.

14. Dans la valeur msDS-LockoutObservationWindow, tapez -18000000000.

15. Dans la valeur msDS-LockoutDuration, tapez -18000000000, puis cliquez sur Terminer.

16. Fermez la console MMC ADSI Edit sans enregistrer les modifications.

Tâche 2 : Attribuer un objet de stratégie de groupe ITAdmin au groupe global Administrateurs informatiques. 1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Cliquez sur Affichage, puis sur Fonctionnalités avancées.

3. Développez Woodgrovebank.com, Système, puis cliquez sur Conteneur de paramètres de mot de passe.

4. Dans le volet d’informations, cliquez avec le bouton droit sur l’objet de stratégie de groupe ITAdmin et cliquez sur Propriétés.

5. Cliquez sur l’onglet Éditeur d’attributs, faites défiler jusqu’à l’attribut msDS-PSOAppliesTo et cliquez sur Modifier.

6. Ajoutez le groupe ITAdmins_WoodgroveGG.

7. Fermez Utilisateurs et ordinateurs Active Directory.

Résultat : au terme de cet exercice, vous aurez implémenté des stratégies de mots de passe affinés.

Page 393: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-45

Exercice 3 : Configuration des groupes restreints et des stratégies de restriction logicielle Vous devez vous assurer que le groupe ITAdmins global est inclus dans le groupe local Administrateurs pour tous les ordinateurs de l’organisation. Les contrôleurs de domaine sont considérés comme bénéficiant d’une haute sécurité et Internet Explorer n’est pas autorisé à s’exécuter sur les contrôleurs de domaine. Vous empêchez également l’exécution de scripts Visual Basic (VBS) sur le lecteur C: des contrôleurs de domaine.

Les principales tâches sont les suivantes :

1. Configurer des groupes restreints pour le groupe local Administrateurs.

2. Créer un objet de stratégie de groupe qui empêche l’exécution d’Internet Explorer et de scripts VBS sur les contrôleurs de domaine.

Tâche 1 : Configurer des groupes restreints pour le groupe local Administrateurs. 1. Si nécessaire, ouvrez la Console de gestion des stratégies de groupe, ouvrez

le dossier Objets stratégie de groupe, puis modifiez la stratégie de domaine par défaut.

2. Accédez à Configuration ordinateur, développez Stratégies, Paramètres Windows et Paramètres de sécurité, cliquez avec le bouton droit sur Groupes restreints, puis cliquez sur Ajouter un groupe.

3. Ajoutez le groupe Administrateurs, puis cliquez sur OK.

4. Dans la boîte de dialogue Propriétés de Administrateurs, ajoutez les groupes suivants :

• Woodgrovebank\ITAdmins_WoodgroveGG

• Woodgrovebank\Domain Admins

5. Fermez l’Éditeur de gestion des stratégies de groupe.

Page 394: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-46 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Empêcher l’exécution d’Internet Explorer et de scripts VBS sur les contrôleurs de domaine. 1. Modifiez la stratégie de contrôleurs de domaine par défaut.

2. Accédez à Paramètres Windows, développez Paramètres de sécurité, cliquez avec le bouton droit sur Stratégies de restriction logicielle, puis cliquez sur Nouvelle stratégie de restriction logicielle.

3. Cliquez avec le bouton droit sur Règles supplémentaires, puis cliquez sur Nouvelle règle de hachage.

4. Recherchez C:\Program Files\Internet Explorer\iexplore.exe, puis cliquez sur Ouvrir. Assurez-vous que le niveau de sécurité est Non autorisé.

5. Cliquez avec le bouton droit sur Règles supplémentaires, puis cliquez sur Nouvelle règle de hachage.

6. Dans le champ Chemin d’accès, tapez *.vbs, puis cliquez sur OK.

7. Fermez l’Éditeur de gestion des stratégies de groupe.

Résultat : au terme de cet exercice, vous aurez configuré des groupes restreints et des stratégies de restriction logicielle.

Page 395: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-47

Exercice 4 : Configuration des modèles de sécurité Vous allez créer un modèle de sécurité pour les serveurs de fichiers et d’impression, qui renomme le compte Administrateur, et n’affiche pas le nom du dernier utilisateur connecté. Vous utilisez alors l’Assistant Configuration de la sécurité pour créer une stratégie de sécurité qui renforce le serveur de fichiers et d’impression, et inclut le modèle de sécurité. Vous utilisez l’interface de l’Assistant Configuration de la sécurité pour appliquer la stratégie au serveur de fichiers et d’impression NYC-SVR1. Enfin, vous transformez la stratégie en objet de stratégie de groupe appelé FPSecurity.

Dans cet exercice, les tâches principales sont les suivantes :

1. Créer un modèle de sécurité pour les serveurs de fichiers et d’impression.

2. Démarrer NYC-SVR1, joindre le domaine et désactiver le Pare-feu Windows.

3. Exécuter l’Assistant Configuration de la sécurité et importer le modèle FPSecurity.

4. Transformer FPPolicy en objet de stratégie de groupe.

Tâche 1 : Créer un modèle de sécurité pour les serveurs de fichiers et d’impression. 1. Créez une console MMC et ajoutez le composant logiciel enfichable

correspondant aux Modèles de sécurité.

2. Développez Modèles de sécurité, cliquez avec le bouton droit sur C:\Users\Administrators\Documents\Security\Templates, puis cliquez sur Nouveau modèle.

3. Nommez le modèle FPSecurity.

4. Accédez à Stratégies locales, puis à Options de sécurité. Définissez le champ Comptes : renommer le compte Administrateur sur la valeur FPAdmin.

5. Définissez le champ Ouverture de session interactive : ne pas afficher le dernier nom d’utilisateur sur Activé.

6. Dans le volet Dossier, cliquez avec le bouton droit sur FPSecurity, puis cliquez sur Enregistrer.

7. Fermez la console MMC sans enregistrer les modifications.

Page 396: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-48 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Démarrer NYC-SVR1, joindre le domaine et désactiver le Pare-feu Windows. 1. Démarrez NYC-SVR1 et ouvrez une session en tant que LocalAdmin avec le

mot de passe Pa$$w0rd.

2. Joignez NYC-SVR1 au domaine WoodgoveBank.com.

3. Redémarrez l’ordinateur et ouvrez une session en tant qu’Administrateur.

4. Désactivez le Pare-feu Windows.

Remarque : cette étape a pour but de simplifier l’atelier pratique, mais ne constitue pas une méthode recommandée.

Tâche 3 : Exécuter l’Assistant Configuration de la sécurité et importer le modèle FPSecurity. 1. Sur NYC-DC1, lancez l’Assistant Configuration de la sécurité.

2. Dans la page de bienvenue, cliquez sur Suivant.

3. Dans l’écran Action de configuration, cliquez sur Suivant.

4. Dans l’écran Sélectionnez un serveur, tapez NYC-SVR1.woodgrovebank.com, puis cliquez sur Suivant.

5. Après les processus de base de données de configuration, cliquez sur Suivant.

6. Dans l’écran Configuration des services selon les rôles, cliquez sur Suivant.

7. Dans l’écran Sélectionnez des rôles de serveur, activez la case à cocher en regard de Serveur DNS.

8. Activez la case à cocher en regard de Serveur de fichiers.

9. Activez la case à cocher en regard de Serveur d’impression, puis cliquez sur Suivant.

10. Dans l’écran Sélectionnez des fonctionnalités client, cliquez sur Suivant.

11. Dans l’écran Sélectionnez des options d’administration et d’autres options, cliquez sur Suivant.

12. Dans l’écran Sélectionnez des services supplémentaires, cliquez sur Suivant.

Page 397: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-49

13. Dans l’écran Gestion des services non spécifiés, cliquez sur Suivant jusqu’à ce que vous atteigniez l’écran Nom du fichier de stratégie de sécurité.

14. Dans l’écran Nom du fichier de stratégie de sécurité, tapez FPPolicy à la fin du chemin d’accès C:\Windows\security\msscw\policies\.

15. Cliquez sur Inclure les modèles de sécurité, puis cliquez sur Ajouter.

16. Ajoutez la stratégie Documents\Security\Templates\FPSecurity.

17. Dans l’écran Appliquer la stratégie de sécurité, cliquez sur Appliquer maintenant, puis cliquez sur Suivant.

18. Dans l’écran Application de la stratégie de sécurité, cliquez sur Suivant, puis cliquez sur Terminer.

Tâche 4 : Transformer FPPolicy en objet de stratégie de groupe. 1. Sur NYC-DC1, lancez l’invite de commandes et tapez scwcmd transform

/p:”C:\Windows\security\msscw\Policies\FPpolicy.xml” /g:FileServerSecurity.

2. Ouvrez la Console de gestion des stratégies de groupes si nécessaire, puis ouvrez le dossier Objets Stratégie de groupe. Double-cliquez sur l’objet de stratégie de groupe FilesServerSecurity, puis examinez les paramètres.

3. Fermez la Console de gestion des stratégies de groupe et fermez la session NYC-DC1.

Résultat : au terme de cet exercice, vous aurez configuré des modèles de sécurité.

Page 398: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-50 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 5 : Vérification de la configuration de la sécurité Ouvrez une session sous différents noms d’utilisateur pour testez les résultats de la stratégie de groupe.

Dans cet exercice, les tâches principales sont les suivantes :

1. Ouvrir une session en tant qu’Administrateur local de l’ordinateur Windows Vista et vérifier l’appartenance du groupe Administrateurs local.

2. Ouvrir une session sur l’ordinateur Windows Vista comme utilisateur ordinaire et tester la stratégie de compte.

3. Ouvrir une session sur le contrôleur de domaine comme administrateur de domaine et tester les restrictions logicielles et les services.

4. Utiliser la modélisation des stratégies de groupe pour tester les paramètres sur le serveur de fichiers et d’impression.

5. Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation.

Tâche 1 : Ouvrir une session en tant qu’Administrateur local de l’ordinateur Windows Vista et vérifier l’appartenance du groupe Administrateurs local. 1. Sur NYC-CLI, ouvrez une session en tant que NYC-CL1\administrateur avec

le mot de passe Pa$$w0rd.

2. Lancez une invite de commandes, puis exécutez la commande GPupdate /force.

3. Assurez-vous que le menu Exécuter s’affiche dans le dossier Accessoires du menu Démarrer.

4. Ouvrez Panneau de configuration, cliquez sur Comptes d’utilisateurs, Gérer les comptes d’utilisateurs, cliquez sur l’onglet Paramètres avancés, cliquez sur Groupes, ouvrez le groupe Administrateurs, puis assurez-vous que les groupes globaux Administrateurs de domaine et Administrateurs informatiques existent.

5. Redémarrez NYC-CL1.

Page 399: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-51

Tâche 2 : Ouvrir une session sur l’ordinateur Windows Vista comme utilisateur ordinaire et tester la stratégie de compte. 1. Sur NYC-CL1, ouvrez une session en tant que

WoodgroveBank\Administrateur avec le mot de passe Pa$$w0rd.

2. Assurez-vous que le menu Exécuter ne s’affiche pas dans le dossier Accessoires du menu Démarrer.

3. Appuyez sur Droite-Alt + Suppr, puis cliquez sur Modifier un mot de passe.

4. Dans le champ Ancien mot de passe, tapez Pa$$w0rd.

5. Dans les champs Nouveau mot de passe et Confirmer le mot de passe, tapez w0rdPa$$. Vous ne pouvez pas mettre à jour le mot de passe car la durée minimale du mot de passe n’est pas arrivée à expiration.

6. Fermez la session sur NYC-CL1.

Tâche 3 : Ouvrir une session sur le contrôleur de domaine comme administrateur de domaine et tester les restrictions logicielles et les services. 1. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de

passe Pa$$w0rd.

2. Lancez une invite de commandes, puis exécutez la commande GPupdate /force.

3. Tentez de lancer Internet Explorer, lisez le message d’erreur, puis cliquez sur OK.

4. Accédez à D:\6238\mod07\labfiles, double-cliquez sur Hello.vbs, lisez le message d’erreur, puis cliquez sur OK.

5. Ouvrez la console MMC Services dans les Outils d’administration. Faites défiler la liste jusqu’au service d’accès à distance au Registre et assurez-vous qu’il est Désactivé.

Page 400: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-52 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 4 : Utiliser la modélisation des stratégies de groupe pour tester les paramètres sur le serveur de fichiers et d’impression. 1. Ouvrez la console de gestion des stratégies de groupe (GPMC), puis lancez

l’Assistant Modélisation de stratégie de groupe.

2. Acceptez toutes les valeurs par défaut, sauf dans la fenêtre Sélection d’ordinateurs et d’utilisateurs.

3. Cliquez sur Ordinateur, puis tapez Woodgrovebank\NYC-SVR1.

4. Dans l’écran de fin de l’Assistant, observez les paramètres de stratégie.

Tâche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulations. 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la zone Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez vérifié la configuration de la sécurité.

Page 401: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-53

Récapitulatif du module et objectifs

Considérations relatives à l’implémentation de la sécurité à l’aide de la stratégie de groupe Lorsque vous implémentez la sécurité par le biais d’une stratégie de groupe, prenez en compte les éléments suivants.

• Les stratégies de sécurité sont des règles qui protègent les ressources sur les ordinateurs et les réseaux, et qui peuvent être mis en œuvre à l’aide d’une stratégie de groupe.

• La stratégie de domaine par défaut et la stratégie de contrôleurs de domaine par défaut sont créées par défaut.

• Les stratégies de comptes doivent être implémentées au niveau du domaine.

• Toute stratégie de niveau domaine est capable de livrer des stratégies de compte.

• Les clients reçoivent les stratégies de compte à partir des contrôleurs de domaine.

Page 402: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

7-54 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

• Les stratégies locales affectent généralement tous les utilisateurs de l’ordinateur local, y compris les utilisateurs du domaine.

• Les stratégies de sécurité réseau peuvent contrôler la configuration sans fil pour Windows XP et version ultérieure.

• Les stratégies de sécurité réseau peuvent contrôler la configuration pour Windows Vista et version ultérieure.

• Le Pare-feu Windows prend en charge les règles du trafic sortant.

• La reconnaissance du réseau peut déterminer automatiquement votre profil de pare-feu.

• Les paramètres de pare-feu et les paramètres IPSec sont désormais intégrés.

• Les mots de passe affinés permettent à différents utilisateurs ou groupes globaux de disposer de différentes stratégies de compte.

• Les stratégies affinées ne sont pas fournies par le biais d’une stratégie de groupe.

• Les stratégies strictes doivent être créées à l’aide de ADSIedit ou LDIFDE.

• L’appartenance au domaine tout comme au groupe local peut être contrôlée par le biais de la stratégie de groupe.

• L’accès au logiciel peut être contrôlé par le biais de la stratégie de groupe.

• Les administrateurs locaux peuvent être exemptés des restrictions logicielles.

• Il existe quatre types de règles pour contrôler l’accès aux logiciels.

• Des modèles de sécurité peuvent être utilisés pour fournir un ensemble cohérent de paramètres de sécurité.

• L’Assistant Configuration de la sécurité simplifie la création des stratégies de sécurité.

• Les préférences peuvent remplacer un grand nombre des fonctions des scripts d’ouverture de session.

• Les préférences sont appliquées une fois, mais ne sont pas mises en œuvre et peuvent être modifiées par les utilisateurs.

• Les préférences peuvent être définies de manière à être actualisées selon le même programme qu’une stratégie de groupe.

• Les préférences peuvent cibler des objets.

Page 403: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation de la sécurité à l’aide d’une stratégie de groupe 7-55

Questions du contrôle des acquis 1. Vous souhaitez placer une stratégie de restriction logicielle dans un nouveau

type de fichier exécutable. Que devez-vous effectuer avant de pouvoir créer une règle pour ce code de fichier exécutable ?

2. Quel paramètre devez-vous configurer pour vous assurer que les utilisateurs n’ont droit qu’à trois tentatives d’ouverture de session non valides ?

3. Vous souhaitez fournir des paramètres de sécurité cohérents pour tous les ordinateurs clients au sein de l’organisation. Les comptes d’ordinateurs sont répartis sur plusieurs unités d’organisation. Quelle est la meilleure méthode pour y parvenir ?

4. Un administrateur de votre organisation a modifié par accident la stratégie de contrôleur de domaine par défaut. Vous devez restaurer les paramètres par défaut d’origine de la stratégie. Quelle méthode utilisez-vous pour y parvenir ?

Page 404: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 405: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-1

Module 8. Mise en œuvre d’un plan de contrôle de services de domaine Active Directory

Table des matières : Leçon 1 : Analyse des services de domaine Active Directory à l’aide de l’Observateur d’événements 8-3

Leçon 2 : Contrôle des serveurs de domaine Active Directory à l’aide de l’analyseur de fiabilité et de performances 8-11

Leçon 3 : Configuration de l’audit des services de domaine Active Directory 8-20

Atelier pratique : Analyse des services de domaine Active Directory 8-26

Page 406: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

Pour gérer et administrer le système d’exploitation d’une entreprise, il est important de connaître les outils que vous pouvez utiliser pour surveiller l’intégrité du système. Grâce à des outils tels que l’Observateur d’événements, l’analyseur de fiabilité et de performances et les stratégies d’audit, vous serez mieux à même d’anticiper les problèmes et de gérer les événements quotidiens.

Page 407: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-3

Leçon 1 : Analyse des services de domaine Active Directory à l’aide de l’Observateur d’événements

La surveillance des performances du serveur constitue un volet important du contrôle et de l’administration d’un système d’exploitation. L’Observateur d’événements est une application qui vous permet de parcourir, de gérer et de contrôler les événements enregistrés dans les journaux des événements.

Page 408: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctionnalités de l’Observateur d’événements

Points clés L’Observateur d’événements est un des premiers éléments vers lesquels vous devez vous tourner lors de la résolution de problèmes dans Microsoft Windows. Un certain nombre de nouvelles fonctionnalités sont intégrées à l’Observateur d’événements dans Windows Vista® et Windows Server® 2008.

L’Observateur d’événements a été complètement réécrit et doté d’une nouvelle interface utilisateur qui facilite le filtrage et le tri des événements et contrôle les événements enregistrés. En outre, vous pouvez exécuter certaines tâches de diagnostic de base à partir de l’Observateur d’événements. Il fournit également nombre de nouveaux fichiers journaux.

Lectures complémentaires • Article Microsoft Technet : Observateur d’événements

• Article Microsoft Technet : Informations sur les événements en ligne

Page 409: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-5

Démonstration : Présentation de l’Observateur d’événements

Question : Vous avez un problème au niveau de stratégie de groupe. Quel journal devez-vous afficher pour consulter les événements détaillés de stratégie de groupe ?

Page 410: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Journaux des services de domaine Active Directory

Points clés Les journaux Système et Application fournissent toujours des informations générales et des événements de journaux en provenance de nombreux domaines, mais l’Observateur d’événements offre maintenant une grande variété de journaux d’application et de service. Ces journaux peuvent fournir des informations précises sur les services de domaine Active Directory et d’autres services, notamment la stratégie de groupe, les fichiers hors connexion et le client Windows Update.

Page 411: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-7

Description de la vue personnalisée

Points clés Les vues personnalisées sont des filtres qui sont nommés et enregistrés. Une fois la vue personnalisée créée et enregistrée, vous êtes en mesure de la réutiliser sans avoir à recréer son filtre sous-jacent. Pour réutiliser une vue personnalisée, accédez à la catégorie Vues personnalisées dans l’arborescence de la console et sélectionnez le nom de la vue personnalisée. Ce faisant, vous appliquez le filtre qui lui est associé et les résultats sont affichés. Vous pouvez importer et exporter les vues personnalisées, ce qui vous permet de les partager entre des utilisateurs et des ordinateurs.

Lectures complémentaires • Article Microsoft Technet : Créer une vue personnalisée (éventuellement en

anglais)

Page 412: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description des abonnements

Points clés L’Observateur d’événements vous permet d’afficher les événements sur un ordinateur distant unique. Toutefois, la résolution des problèmes peut exiger que vous examiniez un ensemble d’événements stockés dans plusieurs journaux sur plusieurs ordinateurs. L’Observateur d’événements offre la possibilité de collecter des copies des événements depuis plusieurs ordinateurs distants et de les stocker localement. Pour spécifier les événements à recueillir, vous devez créer un abonnement à un événement. Une fois qu’un abonnement est activé, et que les événements sont recueillis, vous pouvez afficher et traiter les événements transmis comme s’il s’agissait de n’importe quel événement stocké en local.

Question : Où les abonnements seraient-ils le plus utile dans votre organisation ?

Page 413: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-9

Lectures complémentaires • Article Microsoft Technet : Abonnements aux événements (éventuellement en

anglais)

• Article Microsoft Technet : Configurer les ordinateurs pour transmettre et collecter les événements

Page 414: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Configuration des vues personnalisées et des abonnements

Question : Vous souhaitez surveiller un groupe d’événements particulier sur plusieurs serveurs Web. Quelle est la meilleure méthode pour y parvenir ?

Page 415: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-11

Leçon 2 : Contrôle des serveurs de domaine Active Directory à l’aide de l’analyseur de fiabilité et de performances

En général, les performances sont une indication de la rapidité à laquelle un ordinateur exécute des applications et des tâches système. Vous pouvez utiliser l’analyse de performances pour effectuer le suivi d’une plage de processus et afficher les résultats. Vous pouvez également utiliser l’analyse des performances pour vous aider à mettre à niveau la planification, à effectuer le suivi des processus à optimiser et à connaître une charge de travail et son impact sur l’utilisation des ressources pour identifier les goulets d’étranglement. Les performances du système globales peuvent être limitées par la vitesse d’accès des disques durs physiques, la quantité de mémoire disponible, la vitesse du processeur ou le débit des interfaces réseau.

Page 416: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctions de l’analyseur de fiabilité et de performances

Points clés L’analyseur de fiabilité et de performances Windows vous permet d’effectuer le suivi de l’impact des performances et des applications et de générer des alertes ou des actions lorsque des seuils de performances optimales définis par l’utilisateur sont dépassés. L’analyseur de fiabilité et de performances Windows fournit les fonctionnalités décrites ci-dessous.

• Vue des ressources

• Analyseur de fiabilité

• Ensembles de collecteurs de données

• Suivi des performances des applications et des services

• Assistants et modèles pour créer des journaux

• Générer des alertes et prendre les mesures lorsque les seuils sont atteints

Page 417: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-13

• Générer des rapports

• Accès à l’analyseur de fiabilité et de performances

Lectures complémentaires • Article Microsoft Technet : Analyseur de fiabilité et de performances Windows

Page 418: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Démonstration : Présentation de l’analyseur de fiabilité et de performances

Question : Où pouvez-vous trouver des informations en temps réel sur l’activité du réseau ?

Page 419: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-15

Analyse des services de domaine Active Directory à l’aide de l’analyseur de performances

Points clés L’analyse du service Active Directory® distribué et des services sur lesquels il repose permet de conserver la cohérence des données d’annuaire, ainsi que le niveau de service requis dans la forêt. Vous pouvez contrôler les principaux indicateurs pour identifier et résoudre des problèmes mineurs avant qu’ils n’entraînent des coupures de service plus ou moins longues.

Outre les compteurs de ligne de base que vous analysez pour tous les serveurs, il existe des objets et des douzaines de compteurs spécifiques aux services de domaine Active Directory.

Lectures complémentaires • Article Microsoft Technet : Analyse d’Active Directory

Page 420: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description de la ligne de base Active Directory

Points clés Une ligne de base informatique est une mesure du comportement d’une ressource donnée pendant une activité normale indiquant comment la ressource, ou l’ensemble de ressources système, fonctionne. Ces informations sont ensuite comparées à l’activité ultérieure afin d’analyser l’utilisation du système et les réponses de ce dernier en cas de modification des conditions.

Lectures complémentaires • Article Microsoft Technet : Déploiement d’Active Directory dans les

environnements de succursales, Chapitre 9 - Analyse après déploiement des contrôleurs de domaine (éventuellement en anglais)

Page 421: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-17

Contrôle de la disponibilité des services à l’aide de l’analyseur de fiabilité

Points clés La fiabilité d’un système permet de mesurer la fréquence à laquelle un système ne se comporte pas comme il le devrait. L’analyseur de fiabilité calcule un index de stabilité du système qui montre si des problèmes inattendus en ont affecté la fiabilité. Un graphique de l’index de stabilité dans le temps permet d’identifier rapidement les dates à partir desquelles les problèmes ont commencé à se produire.

Question : Vous souhaitez voir un enregistrement historique du logiciel qui a été ajouté à l’ordinateur ou supprimé de ce dernier. Où allez-vous trouver ces informations ?

Lectures complémentaires • Article Microsoft Technet : Guide pas à pas de l’analyse de la fiabilité et des

performances Windows Vista (éventuellement en anglais)

Page 422: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Analyse des services de domaine Active Directory à l’aide d’ensembles de collecteurs de données

Points clés L’analyseur de fiabilité et de performances de Windows est doté d’une nouvelle fonctionnalité, l’ensemble de collecteurs de données, qui regroupe des collecteurs de données sous forme d’éléments réutilisables avec différents scénarios d’analyse de performances.

Question : Vous souhaitez créer une alerte pour vous avertir lorsque l’espace disque disponible est insuffisant. Comment allez-vous procéder ?

Lectures complémentaires • Article Microsoft Technet : Création d’ensembles de collecteurs de données

Page 423: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-19

Démonstration : Analyse des services de domaine Active Directory

Question : Quel est le moyen le plus simple de consigner le même ensemble de données sur plusieurs ordinateurs ?

Page 424: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 3 : Configuration de l’audit de services de domaine Active Directory

Dans n’importe quel environnement sécurisé, vous devez analyser activement les services de domaine Active Directory. Dans le cadre de votre stratégie de sécurité globale, vous devez déterminer le niveau d’audit approprié pour votre environnement. L’audit doit identifier les actions, réussies ou non, ayant modifié ou tenté de modifier les objets Active Directory.

Page 425: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-21

Qu’est-ce que l’audit des services de domaine Active Directory ?

Points clés Un journal d’audit enregistre une entrée chaque fois que les utilisateurs effectuent certaines actions spécifiques. Par exemple, la modification d’un objet ou d’une stratégie peut déclencher une entrée d’audit montrant l’opération exécutée, le compte d’utilisateur associé et la date et heure de l’action. Vous pouvez auditer à la fois les tentatives d’opération ayant abouti et celles qui ont échoué.

Avant de mettre en œuvre une stratégie d’audit, vous devez définir les catégories d’événements que vous voulez auditer. Les paramètres d’audit que vous choisissez pour les catégories d’événements définissent votre stratégie d’audit. Sur les serveurs et les stations de travail membres liées à un domaine, les paramètres d’audit ne sont pas définis par défaut. Sur les contrôleurs de domaine, les audits sont activés par défaut.

Page 426: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Article Microsoft Technet : Guide pas à pas de l’audit des modifications AD DS

dans Windows Server « Longhorn » Bêta 3 (éventuellement en anglais)

• Support technique Microsoft : Comment utiliser la stratégie de groupe pour configurer des paramètres d’audit de sécurité détaillés pour des ordinateurs Windows Vista et Windows Server 2008 dans un domaine Windows Server 2008, Windows Server 2003 ou Windows 2000. (éventuellement en anglais)

• Article Microsoft Technet : Ensemble de commandes Auditpol (éventuellement en anglais)

Page 427: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-23

Démonstration : Configuration d’une stratégie d’audit

Question : Quel journal affiche les résultats d’audit ?

Page 428: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Types d’événements à auditer

Points clés La catégorie Accès au service d’annuaire fournit toujours des informations sur tous les événements qui se produisent dans l’annuaire, et elle est activée par défaut, mais vous pouvez obtenir des informations plus détaillées en provenance des sous-catégories.

Question : Vous souhaitez effectuer le suivi des détails de toutes les modifications apportées aux objets Active Directory d’une unité d’organisation particulière (UO) et des unités d’organisation enfants. Quelle entrée de contrôle d’accès (ACE) devez-vous paramétrer pour recueillir ces informations ?

Lectures complémentaires • Article Microsoft Technet : Guide pas à pas de l’audit des modifications des

services de domaine Active Directory dans Windows Server 2008 (éventuellement en anglais)

Page 429: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-25

Démonstration : Configuration de l’audit de services de domaine Active Directory

Question : Comment devez-vous activer le suivi des événements d’échec pour la sous-catégorie de modification des services d’annuaire ?

Page 430: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Analyse des services de domaine Active Directory

Scénario La Woodgrove Bank a terminé le déploiement de services de domaine Active Directory. En tant qu’administrateur des services de domaine Active Directory, vous devez contrôler la disponibilité et les performances des services de domaine. L’administrateur serveur a fourni un plan de contrôle incluant la disponibilité des services, les performances et les composants d’analyse du journal des événements. En utilisant le contrôle des performances et de la fiabilité, l’Observateur d’événements ainsi que d’autres outils, vous pouvez surveiller les contrôleurs de domaine des services de domaine Active Directory.

Page 431: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-27

Exercice 1 : Analyse des services de domaine Active Directory à l’aide de l’Observateur d’événements En tant qu’administrateur réseau, vous souhaitez collecter des informations de l’Observateur d’événements provenant des services d’annuaire de l’ensemble des contrôleurs de domaine. Vous allez créer une vue personnalisée pour recueillir les événements critiques, d’erreur et d’avertissement pour les services de domaine Active Directory et le serveur DNS. Ensuite, vous allez exporter la vue vers un dossier réseau partagé et importer la vue personnalisée dans NYC-DC2. Vous souhaitez également contrôler à quel moment les services s’arrêtent et démarrent sur NYC-DC2. Vous allez créer un abonnement afin de transmettre l’événement 7036 de NYC-DC2 vers NYC-DC1 et tester le résultat. Enfin, vous allez associer une tâche au journal d’installation de Windows pour être averti à chaque fois qu’un événement sera généré dans le journal d’installation sur NYC-DC1, de sorte à vous permettre de suivre l’installation des applications. Vous allez également associer une tâche à l’événement 7P036 afin d’être informé en cas de problème de services.

Dans cet exercice, les tâches principales sont les suivantes :

1. Démarrer les ordinateurs virtuels et ouvrir une session.

2. Créer une vue personnalisée pour capturer les événements appropriés.

3. Exporter une vue personnalisée.

4. Importer une vue personnalisée.

5. Configurer les ordinateurs pour transmettre et collecter les événements.

6. Créer un abonnement afin de transmettre les événements depuis NYC-DC2 vers NYC-DC1.

7. Joindre une tâche à un journal des événements et joindre une tâche à un événement.

Page 432: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes et sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Lancer.

3. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC2, cliquez sur Lancer.

4. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

5. Sur NYC-DC2, ouvrez une session en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

6. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Créer une vue personnalisée pour capturer les événements appropriés. 1. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur avec le mot de

passe Pa$$w0rd.

2. Lancez l’Observateur d’événements à partir du dossier Outils d’administration.

3. Cliquez avec le bouton droit sur Vues personnalisées, puis cliquez sur Créer une vue personnalisée.

4. Activez les cases à cocher en regard de Critique, Avertissement et Erreur.

5. Cliquez sur la flèche déroulante en regard de Journaux d’événements, développez Journaux des applications et des services, sélectionnez Service d’annuaire et Serveur DNS, puis cliquez sur OK.

6. Nommez la vue personnalisée Service d’annuaire.

Tâche 3 : Exporter une vue personnalisée. 1. Cliquez avec le bouton droit sur la vue personnalisée Service d’annuaire,

puis cliquez sur Exporter la vue personnalisée.

2. Enregistrez la vue exportée sous C:\Data Active Directory.

Page 433: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-29

Tâche 4 : Cliquer avec le bouton droit sur Vues personnalisées, puis cliquer sur Créer une vue personnalisée. 1. Sur NYC-DC2, ouvrez une session en tant qu’Administrateur, avec le mot de

passe Pa$$w0rd.

2. Lancez l’Observateur d’événements à partir du dossier Outils d’administration.

3. Cliquez avec le bouton droit sur Vues personnalisées, puis cliquez sur Importer une vue personnalisée.

4. Importez la vue personnalisée de \\NYC-DC1\Data\Active Directory.xml.

Tâche 5 : Configurer les ordinateurs pour transmettre et collecter les événements. 1. Sur NYC-DC1 (ordinateur collecteur), ouvrez une Invite de commandes,

tapez wecutil qc et Y, puis appuyez sur Entrée pour effectuer les modifications.

2. Fermez l’invite de commandes.

3. Basculez sur NYC-DC2 (ordinateur source).

4. Ouvrez l’Invite de commandes, tapez winrm quickconfig et Y, puis appuyez sur Entrée pour effectuer les modifications.

5. Fermez l’invite de commandes.

Tâche 6 : Créer un abonnement afin de transmettre les événements depuis NYC-DC2 vers NYC-DC1. 1. Sur NYC-DC1, dans l’Observateur d’événements, cliquez avec le bouton droit

sur Abonnements, puis cliquez sur Créer un abonnement.

2. Nommez l’abonnement Événements du Service, cliquez sur Initialisation par le collecteur, puis sur Sélectionner les ordinateurs.

3. Cliquez sur Ajouter des ordinateurs du domaine, puis sur NYC-DC2.

4. Cliquez sur Sélectionnez des événements, puis sélectionnez les événements d’informations.

5. Cliquez sur la flèche déroulante en regard de Journaux des événements, développez Journaux Windows, puis sélectionnez le journal Système.

Page 434: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

6. Dans le champ ID d’événement, tapez 7036, puis cliquez sur OK.

7. Cliquez sur Avancé, sur Utilisateur spécifique, puis sur Utilisateur et Mot de passe.

8. Assurez-vous que le nom d’utilisateur est bien Woodgrovebank\Administrateur, puis entrez le mot de passe Pa$$w0rd.

9. Cliquez sur Minimiser la latence, puis cliquez deux fois sur OK. Cliquez sur Oui pour répondre aux messages de l’Observateur d’événements s’ils apparaissent.

10. Dans le volet des dossiers, cliquez sur le dossier Abonnements et assurez-vous que l’état d’abonnement des événements du service est Actif.

11. Sur NYC-DC2, ouvrez l’Invite de commandes.

12. Dans l’invite de commandes, tapez Net Stop DNS, puis appuyez sur Entrée.

13. Tapez Net Start DNS, puis appuyez sur Entrée.

14. Sur NYC-DC1, cliquez sur le journal Événements transmis. Examinez les événements d’information.

Remarque : les événements réels peuvent prendre quelques minutes pour apparaître dans le journal des événements transmis. Démarrez et arrêtez le service DNS à nouveau si nécessaire.

Tâche 7 : Joindre une tâche à un journal des événements et à un événement. 1. Sur NYC-DC1, développez les journaux Windows, cliquez avec le bouton

droit sur le journal d’installation, puis cliquez sur Joindre une tâche à ce journal.

2. Dans l’Assistant Créer une tâche de base, cliquez sur Suivant.

3. Dans la fenêtre Lors de l’enregistrement d’un événement spécifique, cliquez sur Suivant.

4. Dans la fenêtre Action, cliquez sur Envoyer un courrier électronique, puis sur Suivant.

5. Dans la fenêtre Envoyer un courrier électronique, tapez Observateur d’événements dans le champ De.

Page 435: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-31

6. Tapez [email protected] dans le champ À.

7. Tapez Installation d’application dans le champ Objet.

8. Tapez Mail.Woodgrovebank.com dans le champ Serveur SMTP, cliquez sur Suivant, puis sur Terminer. Cliquez sur OK.

9. Cliquez sur le journal Événements transmis pour l’ouvrir.

10. Cliquez avec le bouton droit sur l’un des événements 7036, puis cliquez sur Joindre une tâche à cet événement.

11. Sur l’écran Créer une tâche de base, cliquez sur Suivant.

12. Sur l’écran Lors de l’enregistrement d’un événement spécifique, cliquez sur Suivant.

13. Sur l’écran Action, cliquez sur Afficher un message, puis cliquez sur Suivant.

14. Sur l’écran Afficher un message, tapez Événement de service dans le champ Titre, tapez Un service arrêté ou démarré dans le champ Message, cliquez sur Suivant, puis sur Terminer, puis cliquez sur OK pour accuser réception du message de l’Observateur d’événements.

15. Basculez sur NYC-DC2 et répétez les étapes pour arrêter et démarrer le service DNS.

16. Lorsque la boîte de message s’affiche avec votre message, cliquez sur OK pour accuser réception du message.

Remarque : la boîte de message peut être masquée par la fenêtre de l’Observateur d’événements. Cherchez-la dans la barre des tâches.

17. Fermez toutes les fenêtres.

Résultat : au terme de cet exercice, vous avez analysé les services de domaine Active Directory à l’aide de l’Observateur d’événements.

Page 436: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Analyse des services de domaine Active Directory à l’aide de l’analyseur de fiabilité et de performances En tant qu’administrateur réseau, vous allez configurer l’analyseur de fiabilité et de performances pour contrôler certains des compteurs du service d’annuaire. Vous allez également créer des ensembles de collecteurs de données à l’aide de l’analyseur de performances et configurer une alerte qui sera déclenchée lorsque l’espace disque disponible deviendra insuffisant.

Dans ces exercices, les tâches principales sont les suivantes :

1. Configurer l’analyseur de fiabilité et de performances afin de contrôler les services de domaine Active Directory.

2. Créer un ensemble de collecteurs de données.

Tâche 1 : Configurer l’analyseur de fiabilité et de performances afin de contrôler les services de domaine Active Directory. 1. Sur NYC-DC1, , ouvrez l’Analyseur de fiabilité et de performances, dans

Outils d’administration, puis cliquez sur Analyseur de performances.

2. Cliquez sur le signe Plus vert de la barre d’outils pour ajouter des objets et des compteurs.

3. Dans la boîte de dialogue Ajouter des compteurs, développez l’objet Services d’annuaire, puis ajoutez le compteur Nb total d’octets DRA entrants/s.

4. Répétez l’étape précédente pour ajouter les compteurs suivants :

• Nb total d’octets DRA sortants/s

• Nb de threads Active Directory utilisés

• Lectures Active Directory/s

• Écritures Active Directory/s

5. Développez Statistiques de sécurité au niveau du système, puis ajoutez le compteur Authentifications Kerberos.

6. Développez DNS, puis ajoutez le compteur Requêtes UDP reçues.

Page 437: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-33

Tâche 2 : Créer un ensemble de collecteurs de données. 1. Dans le volet Dossier, cliquez avec le bouton droit sur Analyseur de

performances, cliquez sur Nouveau, puis sur Ensemble de collecteurs de données.

2. Nommez l’ensemble de collecteurs de données Active Directory.

3. Laissez le répertoire racine comme chemin d’accès par défaut, puis cliquez sur Terminer.

4. Développez Ensembles de collecteurs de données, puis Défini par l’utilisateur, cliquez avec le bouton droit sur l’ensemble de collecteurs de données Active Directory, puis cliquez sur Démarrer.

5. Développez successivement Rapports, Défini par l’utilisateur, Active Directory, puis cliquez sur System Monitor Log.blg. Le statut du rapport montre que le journal est en train de collecter des données.

6. Cliquez sur l’ensemble de collecteurs de données Active Directory, puis sur Arrêter.

7. Cliquez sur System Monitor Log.blg. Le graphique correspondant au journal s’affiche dans le volet d’informations.

Résultat : au terme de cet exercice, vous aurez analysé les services de domaine Active Directory à l’aide de l’analyseur de fiabilité et de performances.

Page 438: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-34 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Configuration de l’audit de services de domaine Active Directory En tant qu’administrateur réseau, vous avez été chargé de la mise en œuvre d’une stratégie d’audit pour effectuer le suivi d’événements spécifiques se produisant dans les services de domaine Active Directory. Tout d’abord, vous allez examiner l’état actuel de la stratégie d’audit. Puis vous allez configurer l’audit comme indiqué pour effectuer le suivi des modifications (qu’elles aient ou non abouti) apportées aux objets Active Directory, notamment les valeurs anciennes et nouvelles des attributs. Pour terminer, vous testerez la stratégie.

Dans cet exercice, les tâches principales sont les suivantes :

1. Examiner l’état actuel de la stratégie d’audit.

2. Activer l’option Auditer l’accès au service d’annuaire sur les contrôleurs de domaine.

3. Définir la liste de contrôle d’accès système (SACL) pour le domaine.

4. Tester la stratégie.

5. Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation.

Tâche 1 : Examiner l’état actuel de la stratégie d’audit. 1. Sur NYC-DC1, ouvrez l’Invite de commandes.

2. Dans la fenêtre d’invite de commandes, tapez Auditpol.exe /get/Category: * puis appuyez sur Entrée. Examinez les paramètres de stratégie d’audit par défaut.

3. Réduisez la fenêtre d’invite en icône.

Page 439: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-35

Tâche 2 : Activer l’option Auditer l’accès au service d’annuaire sur les contrôleurs de domaine. 1. Sur NYC-DC1, ouvrez Gestion des stratégies de groupe.

2. Ouvrez le dossier Objets Stratégie de groupe et modifiez la stratégie par défaut Contrôleurs de domaine.

3. Développez successivement Configuration ordinateur, puis Paramètres Windows, Paramètres de sécurité et Stratégie locale, puis cliquez sur Stratégie d’audit. Notez que tous les paramètres de stratégie ont pour valeur Non défini.

4, Double-cliquez sur Auditer l’accès au service d’annuaire, définissez les paramètres de stratégie à la fois pour Succès et Échec, puis cliquez sur OK.

5. Fermez l’Éditeur de gestion des stratégies de groupe, puis la console de gestion des stratégies de groupe.

6. Restaurez l’invite de commandes, puis tapez Gpupdate.

7. Lorsque la mise à jour est terminée, exécutez de nouveau la commande Auditpol.exe /get /category:* et examinez les paramètres de stratégie d’audit par défaut.

8. Fermez l’invite de commandes.

Tâche 3 : Définir la liste de contrôle d’accès système (SACL) pour le domaine. 1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Cliquez sur le menu Afficher, puis sur Fonctionnalités avancées.

3. Cliquez avec le bouton droit sur l’objet domaine woodgrovebank.com, puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés, cliquez sur l’onglet Sécurité, sur Avancé, sur l’onglet Audit, puis cliquez sur Ajouter.

5. Dans la boîte de dialogue Sélectionner un utilisateur, tapez Tout le monde, puis cliquez sur OK.

6. Dans la boîte de dialogue Audit de l’entrée pour Woodgrovebank, activez la case à cocher pour auditer à la fois Succès et Échec pour Écrire toutes les propriétés, puis cliquez à deux reprises sur OK.

Page 440: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-36 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 4 : Tester la stratégie. 1. Renommez l’UO Toronto en GTA.

2. Ouvrez l’Observateur d’événements, développez Journaux Windows, puis cliquez sur Sécurité.

3. Ouvrez l’événement 4662 et examinez-le.

4. Retournez dans Utilisateurs et ordinateurs Active Directory et modifiez n’importe quel compte d’utilisateur pour changer le numéro de téléphone.

5. Revenez à l’Observateur d’événements et examinez les événements résultant des modifications du service d’annuaire.

6. Fermez toutes les fenêtres.

7. Arrêtez tous les ordinateurs virtuels sans enregistrer les modifications.

Tâche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation. 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : Au terme de cet exercice, vous avez configuré l’Audit de service d’annuaire Active Directory.

Page 441: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-37

Récapitulatif du module et objectifs

Questions du contrôle des acquis 1. Quels types d’événements sont enregistrés dans le journal du programme

d’installation ?

2. Sur quel ID d’événement devez-vous filtrer pour voir les comptes d’utilisateur supprimés ?

3. Quel service devez-vous activer sur les ordinateurs collectant des événements d’abonnement en provenance d’ordinateurs distants ?

4. Où pouvez-vous obtenir des informations à jour sur les ID d’événement ?

5. Où pouvez-vous obtenir l’historique des informations sur les échecs d’application ?

Page 442: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

8-38 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

6. Le compteur NTDS\Nb de synchronisations de réplication DRA en attente est bien au-dessus de la valeur de ligne de base définie pour lui. Qu’est-ce que cela peut signifier ?

7. Vous souhaitez afficher toutes les occurrences d’un ID d’événement particulier présent sur plusieurs journaux. Quelle est la meilleure méthode pour y parvenir ?

Remarques liées à la mise en œuvre d’un plan d’analyse des services de domaine Active Directory Prenez les points suivants en compte lorsque vous mettez en œuvre un plan de contrôle des services de domaine Active Directory :

• l’Observateur d’événements vous permet d’enregistrer les filtres en tant que vues personnalisées réutilisables ;

• les requêtes sur plusieurs journaux vous permettent d’afficher des données issues de plusieurs journaux dans une seule vue ;

• les abonnements vous permettent de recueillir des événements en provenance d’ordinateurs distants ;

• les journaux d’application et de services fournissent des journaux plus détaillés appartenant à des services Windows spécifiques ;

• les journaux des événements fournissent des informations à jour sur les événements ;

• les journaux d’application et de service comprennent les journaux administratifs, opérationnels, analytiques et de débogage ;

• un journal est créé pour chaque rôle de serveur que vous installez ;

• vous pouvez importer et exporter des vues personnalisées ;

• les abonnements nécessitent une configuration des ordinateurs de collecte et source ;

• l’analyseur de fiabilité et de performances fournit des informations en temps réel dans la vue des ressources ;

• l’analyseur de fiabilité fournit un affichage graphique de la stabilité du système au fil du temps ;

• vous pouvez générer des rapports conviviaux ;

Page 443: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Mise en œuvre d’un plan de contrôle de services de domaine Active Directory 8-39

• l’Analyseur de performances fournit une grande variété d’objets et de compteurs Active Directory ;

• vous devez établir des lignes de base pour déterminer les performances d’un ordinateur dans des conditions de charge de travail normales ;

• le rapport de stabilité du système effectue le suivi de plusieurs catégories d’événements et conserve un historique ;

• les ensembles de collecteurs de données vous permettent de regrouper des collecteurs de données sous forme d’éléments réutilisables ;

• il existe un certain nombre d’ensembles de collecteurs de données intégrés ou vous pouvez définir les vôtres ;

• l’audit des services de domaine Active Directory permet de suivre tous les événements qui se produisent dans les services de domaine Active Directory ;

• l’audit Accès au service d’annuaire se divise en quatre sous-catégories ;

• la sous-catégorie Modification du service d’annuaire fournit les valeurs anciennes et nouvelles lorsque vous modifiez les attributs ;

• vous devez utiliser Auditpol.exe pour configurer les sous-catégories ;

• avant de pouvoir recueillir un quelconque résultat, il convient de définir des listes de contrôles d’accès système sur les objets pour permettre l’audit ;

• la sous-catégorie Modification du service d’annuaire fournit les valeurs anciennes et nouvelles lorsque vous modifiez les attributs ;

• Auditpol.exe doit être utilisé pour configurer des sous-catégories ;

• avant de pouvoir recueillir un quelconque résultat, il convient de définir des listes de contrôles d’accès système sur les objets pour permettre l’audit.

Page 444: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 445: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-1

Module 9. Implémentation d’un plan de maintenance des services de domaine Active Directory

Table des matières : Leçon 1 : Gestion des contrôleurs de domaine de services de domaine Active Directory 9-3

Leçon 2 : Sauvegarde des services de domaine Active Directory 9-16

Leçon 3 : Restauration des services de domaine Active Directory 9-20

Atelier pratique : Implémentation d’un plan de maintenance des services de domaine Active Directory 9-32

Page 446: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

En tant qu’administrateur Windows Server® 2008, l’une de vos tâches consiste à gérer les contrôleurs de domaine des services de domaine Active Directory® (AD DS) de votre organisation. La gestion, la sauvegarde et la restauration du magasin de données des services de domaine Active Directory constituent une composante importante de la gestion des contrôleurs de domaine.

Page 447: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-3

Leçon 1 : Gestion des contrôleurs de domaine de services de domaine Active Directory

La gestion de la base de données de services de domaine Active Directory est une tâche d’administration importante que vous devez planifier régulièrement pour vous assurer, en cas de catastrophe, de pouvoir récupérer des données perdues ou altérées et réparer la base de données des services de domaine Active Directory.

Les services de domaine Active Directory possèdent leur propre moteur de base de données, le moteur ESE (Extensible Storage Engine), qui gère le stockage de tous les objets de services de domaine Active Directory dans une base de données de services de domaine Active Directory. En comprenant la manière dont les modifications apportées aux attributs dans les services de domaine Active Directory sont écrites dans la base de données, vous allez comprendre comment la modification des données affecte les performances et la fragmentation de la base de données, ainsi que l’intégrité des données.

Page 448: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Base de données des services de domaine Active Directory et fichiers journaux

Points clés Le moteur de base de données des services de domaine Active Directory, le moteur ESE, stocke tous les objets des services de domaine Active Directory. Le moteur ESE utilise des transactions et des fichiers journaux pour s’assurer de l’intégrité de la base de données des services de domaine Active Directory.

Lectures complémentaires • Article Microsoft Technet : Fonctionnement du stockage des données

(éventuellement en anglais)

Page 449: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-5

Modification de la base de données des services de domaine Active Directory

Points clés Les points clés du processus de modification des données des services de domaine Active Directory sont les suivants :

• Une transaction est un ensemble de modifications apportées à la base de données des services de domaine Active Directory et aux métadonnées associées.

• Le processus de base de modification des données comprend six étapes :

1. La demande d’écriture déclenche une transaction.

2. Les services de domaine Active Directory écrivent la transaction dans la mémoire tampon des transactions de la mémoire.

3. Les services de domaine Active Directory écrivent la transaction dans le journal des transactions.

4. Les services de domaine Active Directory écrivent la transaction dans la base de données à partir de la mémoire tampon.

Page 450: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

5. Les services de domaine Active Directory comparent la base de données et les fichiers journaux pour s’assurer que la transaction a été validée dans la base de données.

6. Les services de domaine Active Directory mettent à jour le fichier de point de vérification.

• La mise en cache et la journalisation améliorent les performances de la base de données en permettant aux services de domaine Active Directory de traiter plusieurs transactions supplémentaires avant de les écrire dans la base de données.

Questions :

Quels sont les autres services Microsoft qui utilisent un modèle transactionnel pour apporter des modifications à la base de données ?

En quoi le modèle des services de domaine Active Directory diffère-t-il de ces autres services ?

Lectures complémentaires • Article Microsoft Technet : Fonctionnement du stockage des données

(éventuellement en anglais)

Page 451: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-7

Gestion de la base de données Active Directory à l’aide de l’outil NTDSUtil

Points clés Ntdsutil.exe est un outil de ligne de commande que vous pouvez utiliser pour gérer les services de domaine Active Directory. Vous pouvez effectuer de nombreuses tâches de maintenance qui ne peuvent pas être effectuées dans l’interface graphique utilisateur (GUI), y compris la défragmentation en mode hors connexion de la base de données, le déplacement de la base de données et de son journal des transactions, la suppression et la restauration d’objets supprimés à partir des services de domaine Active Directory, la saisie des rôles maîtres d’opérations, également appelés FSMO (Flexible Single Master Operations), ainsi que la gestion d’instantanés de la base de données. Vous pouvez également inclure ces commandes dans un fichier de commandes.

Question : Vous avez oublié le mot de passe en mode Restauration des services d’annuaire pour votre contrôleur de domaine. Comment pouvez-vous récupérer le mot de passe ?

Page 452: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Aide de NTDSUtil (éventuellement en anglais)

• Outils et paramètres des magasins de données (éventuellement en anglais)

Page 453: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-9

Défragmentation de la base de données des services de domaine Active Directory

Points clés Au fil du temps, la fragmentation se produit lorsque des enregistrements de la base des services de domaine Active Directory sont supprimés et que de nouveaux enregistrements sont ajoutés ou développés. Lorsque les enregistrements sont fragmentés, l’ordinateur doit rechercher et rassembler les éléments sur le disque, chaque fois que la base de données est ouverte. Si de nombreuses modifications ont été apportées à la base de données des services de domaine Active Directory, la fragmentation peut ralentir les performances.

Question : À quelle fréquence devez-vous effectuer une défragmentation en mode hors connexion de votre base de données des services de domaine Active Directory dans votre environnement ?

Page 454: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Défragmentation en mode hors connexion de la base de données des services

de domaine Active Directory (éventuellement en anglais)

• Outils et paramètres des magasins de données (éventuellement en anglais)

Page 455: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-11

Services de domaine Active Directory redémarrables

Points clés Les services de domaine Active Directory dans Windows Server 2008 peuvent être arrêtés et redémarrés lorsque l’ordinateur est démarré. Dans les versions précédentes, si un administrateur souhaite démarrer un contrôleur de domaine sans charger les services de domaine Active Directory, le serveur doit être redémarré en mode de restauration des services de domaine Active Directory. Cette opération démarre le serveur comme serveur autonome sans les services de domaine Active Directory. Vous pouvez alors effectuer des tâches de maintenance en mode hors connexion, comme une défragmentation en mode hors connexion ou le déplacement des fichiers de la base de données et des fichiers journaux. Avec Windows Server 2008, le service d’annuaire peut être utilisé en mode hors connexion alors que l’ordinateur est exécuté, avec une interruption minimale des autres services.

Page 456: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Services de domaine Active Directory : Services de domaine Active Directory

redémarrables (éventuellement en anglais)

• Bibliothèque technique Windows Server 2008 (éventuellement en anglais)

Page 457: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-13

Démonstration : Exécution de tâches de maintenance de la base de données des services de domaine Active Directory

Étapes de démonstration Pour effectuer ces procédures, vous devez être un membre du groupe Administrateurs intégré sur le contrôleur de domaine.

1. Arrêtez les services de domaine Active Directory.

2. Ouvrez une invite de commandes.

3. Démarrez ntdstuil.

4. Dans l’invite ntdsutil, tapez Activate Instance NTDS, puis appuyez sur Entrée.

5. Dans l’invite ntdsutil, tapez files, puis appuyez sur Entrée.

6. Compactez la base de données à l’aide d’un répertoire temporaire pour la nouvelle version de ntds.dit.

7. Remplacez l’ancienne version de ntds.dit par la nouvelle version compactée, puis supprimez les fichiers journaux (* .log) dans le dossier %systemroot%\NTDS\.

Page 458: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

8. Dans la fenêtre d’invite de commandes file maintenance de ntdsutil, tapez integrity pour vérifier l’intégrité de la nouvelle base de données compactée.

9. Dans la fenêtre de l’invite de commandes file maintenance, tapez move db to chemin d’accès, puis appuyez sur Entrée. Le fichier ntds.dit est déplacé vers le nouvel emplacement et les autorisations sont définies en conséquence.

10. Démarrez les services de domaine Active Directory.

Questions :

Pourquoi est-il nécessaire d’arrêter les services de domaine Active Directory avant la défragmentation ?

Pourquoi est-il nécessaire de compacter la base de données dans un répertoire temporaire d’abord ?

Lectures complémentaires • Compression du fichier de base de données d’annuaire (défragmentation en

ligne) (éventuellement en anglais)

Page 459: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-15

Verrouillage des services sur les contrôleurs de domaine des services de domaine Active Directory

Points clés Dans le cadre d’un plan de sécurité complet, vous pouvez augmenter la sécurité d’un contrôleur de domaine en supprimant l’ensemble des services et des fonctionnalités inutiles. Cela réduit la surface d’attaque et améliore les performances.

Lectures complémentaires • Présentation de l’Assistant Configuration de la sécurité (éventuellement en

anglais)

Page 460: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 2 : Sauvegarde des services de domaine Active Directory

En raison de l’importance des services de domaine Active Directory pour la plupart des organisations, il est essentiel de pouvoir restaurer les fonctionnalités des services de domaine Active Directory si la base de données est altérée, en cas de défaillance du serveur ou d’un incident plus grave comme la défaillance d’un centre de données qui contient plusieurs serveurs. Pour préparer la récupération d’urgence, vous devez implémenter une stratégie cohérente pour la sauvegarde des informations des services de domaine Active Directory sur les contrôleurs de domaine.

Page 461: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-17

Présentation de la sauvegarde des services de domaine Active Directory

Points clés Vous pouvez utiliser l’utilitaire de sauvegarde Windows Server pour sauvegarder les services de domaine Active Directory. L’utilitaire de sauvegarde Windows Server n’est pas installé par défaut. Vous devez l’installer à l’aide de l’option Ajouter des fonctionnalités de Server Manager avant de pouvoir utiliser l’outil de ligne de commande Wbadmin.exe ou l’utilitaire de sauvegarde des Outils d’administration.

Question : Quels sont les autres processus que vous pouvez utiliser pour sauvegarder les données sur l’état du système dans un contrôleur de domaine ?

Lectures complémentaires • Guide étape par étape pour la sauvegarde et la récupération des services de

domaine Active Directory de Windows Server 2008 version bêta 3 (éventuellement en anglais)

Page 462: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Fonctionnalités de sauvegarde de Windows Server

Points clés L’utilitaire de sauvegarde Windows Server est le nouvel utilitaire de sauvegarde mis à disposition par Windows Server 2008. Pour utiliser l’utilitaire de sauvegarde Windows Server, vous devez l’installer en tant que fonctionnalité. Si vous souhaitez utiliser les outils de ligne de commande de l’utilitaire de sauvegarde Windows Server, vous devez également installer la fonctionnalité Windows PowerShell.

Lectures complémentaires • Bibliothèque technique Windows Server 2008 (éventuellement en anglais)

Page 463: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-19

Démonstration : Sauvegarde des services de domaine Active Directory

Questions :

Pourquoi les sauvegardes doivent-elles être planifiées ?

À quelle fréquence une sauvegarde complète doit-elle être effectuée ? À quelle fréquence une sauvegarde incrémentielle ou différentielle doit-elle être effectuée ?

Lectures complémentaires • Guide étape par étape pour la sauvegarde et la récupération des services de

domaine Active Directory de Windows Server 2008 version bêta 3 (éventuellement en anglais)

Page 464: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 3 : Restauration des services de domaine Active Directory

Après avoir implémenté un système de sauvegarde des services de domaine Active Directory, vous pouvez passer à la planification et implémentation des restaurations des services de domaine Active Directory. Dans Windows Server 2008, vous disposez de plusieurs options pour restaurer les informations des services de domaine Active Directory. Cette leçon décrit les cas et la procédure d’utilisation de chaque option.

Page 465: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-21

Présentation de la restauration des services de domaine Active Directory

Points clés Dans Windows Server 2008, vous disposez de plusieurs options pour restaurer les services de domaine Active Directory. L’option sélectionnée dépend du scénario de récupération d’urgence à prendre en compte.

Lectures complémentaires • Guide étape par étape pour la sauvegarde et la récupération des services de

domaine Active Directory de Windows Server 2008 version bêta 3 (éventuellement en anglais)

Page 466: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Restauration ne faisant pas autorité des services de domaine Active Directory

Points clés Vous pouvez utiliser une sauvegarde pour effectuer une restauration ne faisant pas autorité d’un contrôleur de domaine. Une restauration qui ne fait pas autorité restaure l’état du service d’annuaire au moment où la sauvegarde a été créée. Une fois l’opération de restauration terminée, la réplication des services de domaine Active Directory met à jour le contrôleur de domaine avec les modifications qui ont eu lieu depuis la création de la sauvegarde. De cette manière, l’état actuel du contrôleur de domaine est récupéré.

Question : Que se passerait-il si vous n’aviez pas entré la deuxième commande bcdedit après la restauration de la base de données des services de domaine Active Directory ?

Page 467: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-23

Lectures complémentaires • Guide étape par étape pour la sauvegarde et la récupération des services de

domaine Active Directory de Windows Server 2008 version bêta 3 (éventuellement en anglais)

Page 468: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Restauration faisant autorité des services de domaine Active Directory

Points clés Une restauration faisant autorité permet de récupérer des objets et des conteneurs qui ont été supprimés dans les services de domaine Active Directory. Lorsqu’un objet est marqué pour une restauration faisant autorité, son numéro de version est modifié de sorte qu’il soit supérieur au numéro de version existant de l’objet (supprimé) dans le système de réplication des services Active Directory. Cette modification garantit que toutes les données que vous restaurez de manière faisant autorité sont répliquées à partir du contrôleur de domaine restauré sur les autres contrôleurs de domaine de la forêt.

Question : Que se passerait-il si vous n’aviez pas entré la deuxième commande bcdedit après la restauration de la base de données des services de domaine Active Directory ?

Page 469: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-25

Lectures complémentaires • Guide étape par étape pour la sauvegarde et la récupération des services de

domaine Active Directory de Windows Server 2008 version bêta 3 (éventuellement en anglais)

• Restauration faisant autorité d’objets Active Directory (éventuellement en anglais)

Page 470: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Outil de montage de base de données

Points clés L’outil de montage de base de données (Dsamain.exe) permet aux administrateurs d’afficher et de comparer des données dans des instantanés de base de données (sauvegardes) sans avoir à restaurer ces sauvegardes, ce qui permet de limiter le temps d’indisponibilité et d’accélérer le processus de récupération de domaine.

Lectures complémentaires • Services de domaine Active Directory : Outil de montage de base de données

(éventuellement en anglais)

• Guide étape par étape pour l’utilisation de l’outil de montage de base de données Active Directory dans Windows Server 2008 version bêta 3 (éventuellement en anglais)

Page 471: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-27

Démonstration : Utilisation de l’outil de montage de base de données

Procédure de démonstration Pour effectuer cette procédure, vous devez ouvrir une session sur un contrôleur de domaine en tant que membre du groupe Administrateurs de l’entreprise ou du groupe Admins du domaine.

1. Démarrez une invite de commandes avec les droits d’administrateur.

2. À l’invite de commandes, tapez ntdsutil, puis appuyez sur Entrée.

3. À l’invite de commandes, tapez snapshot, puis appuyez sur Entrée.

4. Dans l’invite de commandes snapshot, tapez activate instance ntds, puis appuyez sur Entrée.

5. Dans l’invite de commandes snapshot, tapez create, puis appuyez sur Entrée. La commande renvoie la sortie suivante : L’ensemble d’instantanés {GUID} a bien été généré.

Page 472: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

6. Dans l’invite de commandes, tapez mount {GUID}. L’instantané monté s’affiche dans le système de fichiers.

Remarque : veillez à inclure les accolades avant et après le numéro GUID.

7. Tapez deux fois quit pour revenir à l’invite de commandes.

8. Dans l’invite de commandes, tapez le code ci-dessous (sur une ligne) et appuyez sur Entrée :

Dsamain -dbpath:C:\$SNAP_200708311630_VOLUMEC$\WINDOWS\NTDS\ntds.dit -ldapport:51389 -sslport:51390 -gcport:51391 -gcsslport:51392

Remarque : le chemin de votre instantané sera probablement différent.

9. Un message indique que le démarrage des services de domaine Active Directory est terminé. Laissez Dsamain.exe en cours d’exécution. Ne fermez pas l’invite de commandes.

10. Dans l’invite de commandes, tapez LDP, puis cliquez sur OK.

11. Cliquez sur Connexion, puis sur Se connecter.

12. Dans Serveur, tapez localhost et dans Port, tapez 51389, puis cliquez sur OK.

13. Cliquez sur Connexion, puis sur Lier.

14. Dans Type de liaison, cliquez sur Liaison en tant qu’utilisateur actuellement connecté, puis sur OK.

15. Cliquez sur Afficher, puis sur Arborescence.

16. Dans Nom unique de base, tapez dc=woodgrovebank,dc=com.

17. Recherchez les conteneurs d’un objet utilisateur, puis double-cliquez sur l’utilisateur pour afficher ses propriétés.

18. Fermez LDP.exe.

19. Arrêtez Dsamain.exe en appuyant sur Ctrl+C.

Page 473: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-29

Questions :

Quand est-il utile de monter plusieurs instantanés en même temps ?

Pourquoi est-il nécessaire de spécifier différents ports LDAP, SSL et de catalogue global pour chaque instance de la base de données monté ?

Lectures complémentaires • Guide étape par étape pour l’utilisation de l’outil de montage de base de

données Active Directory dans Windows Server 2008 version bêta 3 (éventuellement en anglais)

Page 474: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Réactivation d’objets de services de domaine Active Directory désactivés

Points clés Un objet désactivé est marqué comme supprimé dans les services de domaine Active Directory. Lorsqu’un administrateur supprime un objet, il est converti en objet désactivé. L’objet désactivé reste dans la base de données des services de domaine Active Directory dans un état désactivé pendant 180 jours (durée de désactivation par défaut). L’objet désactivé est répliqué sur tous les autres contrôleurs de domaine, puis supprimé sur chaque contrôleur de domaine à la fin de la durée de vie de l’objet désactivé.

Lorsqu’un objet est marqué comme objet désactivé, l’attribut isDeleted de l’objet est défini sur True et la plupart des autres attributs sont supprimés. Seuls quelques attributs critiques (SID, ObjectGUID, LastKnownParent et SAMAccountName) sont conservés. Cela signifie que même si l’administrateur réactive l’objet, il ne possède plus toutes les informations qu’il possédait. Vous devez recréer manuellement les valeurs d’attribut manquantes.

Page 475: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-31

Remarque : L’outil de montage de la base de données peut être utilisé pour afficher les attributs de l’objet supprimé d’un instantané qui a été effectuée avant que l’objet soit supprimé. Cela facilite la récupération de l’élément supprimé.

Lectures complémentaires • Restauration de comptes d’utilisateurs supprimés et de leur appartenance dans

Active Directory (éventuellement en anglais)

Page 476: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Implémentation d’un plan de maintenance des services de domaine Active Directory

Scénario La Woodgrove Bank a terminé le déploiement des services de domaine Active Directory. Pour garantir une haute disponibilité et des performances pour les serveurs des services de domaine Active Directory, l’organisation implémente un plan de maintenance, qui inclut la maintenance de la base de données des services de domaine Active Directory en cours et l’implémentation d’un plan de récupération d’urgence. L’administrateur du serveur a préparé un plan de sauvegarde, qui inclut un volume système quotidien d’un contrôleur de domaine dans chaque domaine. L’administrateur du serveur a également préparé des plans de récupération des données des services de domaine Active Directory dans plusieurs scénarios. Vous devez implémenter ces plans.

Page 477: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-33

Exercice 1 : Gestion des contrôleurs de domaine des services de domaine Active Directory Dans cet exercice, vous allez implémenter un plan pour la gestion des contrôleurs de domaine des services de domaine Active Directory. Les tâches comprennent l’exécution de l’Assistant Configuration de la sécurité pour désactiver tous les services qui ne sont pas requis sur les contrôleurs de domaine, le déplacement des bases de données des services de domaine Active Directory vers un autre disque dur et la défragmentation en mode hors connexion de la base de données des services de domaine Active Directory.

Dans cet exercice, les tâches principales sont les suivantes :

1. Démarrer l’ordinateur virtuel et ouvrir une session.

2. Utiliser l’Assistant Configuration de la sécurité pour verrouiller les services et configurer le pare-feu sur NYC-DC1.

3. Effectuer une défragmentation en mode hors connexion de la base de données des services de domaine Active Directory.

4. Déplacer la base de données des services de domaine Active Directory.

Tâche 1 : Démarrer l’ordinateur virtuel et ouvrir une session. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes et sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Lancer.

3. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

4. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Page 478: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-34 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Utiliser l’Assistant Configuration de la sécurité pour verrouiller les services et configurer le pare-feu sur NYC-DC1. 1. Démarrez l’Assistant Configuration de la sécurité à partir du gestionnaire de

serveur.

2. Choisissez l’option pour créer une stratégie de sécurité pour NYC-DC1.

3. Exécutez l’Assistant Configuration de la sécurité avec les options suivantes :

• Assurez-vous que le rôle de serveur Contrôleur de domaine (Active Directory) est sélectionné.

• Activez le service Active Directory – Mode de planification RsoP.

4. Acceptez les valeurs par défaut pour la configuration du Pare-feu Windows.

5. Configurez les paramètres du Registre de la manière suivante :

• Sécurité requise : Nécessite des signatures de sécurité SMB.

• N’activez que les ordinateurs clients Windows 2000 Service Pack 3 ou version supérieure.

• N’autorisez que les systèmes d’exploitation Windows NT 4.0 Service Pack 6a ou version ultérieure et les horloges synchronisées avec l’horloge du serveur sélectionné.

• Ne pas autoriser les ordinateurs qui nécessitent une authentification LAN Manager et les ordinateurs qui n’ont pas été configurés pour utiliser l’authentification NTLMv2 à se connecter.

6. Configurez la stratégie d’audit de manière à contrôler les activités réussies ou non.

7. Enregistrez la stratégie de sécurité avec le nom de fichier c:\windows\security\msscw\policies\NYC-DC1.xml.

8. Choisissez l’option pour appliquer la stratégie ultérieurement.

Page 479: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-35

Tâche 3 : Effectuer une défragmentation en mode hors connexion de la base de données des services de domaine Active Directory. 1. Sur l’ordinateur NYC-DC1, arrêtez les services de domaine Active Directory.

2. Ouvrez une invite de commandes et démarrez l’outil ntdsutil.

3. Activez l’instance NTDS.

4. Utilisez la commande Files pour compacter la base de données des services de domaine Active Directory pour C:\temp.

5. Vérifiez l’intégrité de la base de données défragmentée.

6. Copiez le fichier c:\temp\ntds.dit sous c:\Windows\NTDS\ntds.dit.

7. Supprimez tous les fichiers journaux dans le dossier C:\Windows\NTDS.

8. Démarrez les services de domaine Active Directory.

Tâche 4 : Déplacer la base de données des services de domaine Active Directory. 1. Sur l’ordinateur NYC-DC1, arrêtez les services de domaine Active Directory.

2. Ouvrez une invite de commandes et démarrez l’outil ntdsutil.

3. Activez l’instance NTDS.

4. Utilisez la commande File Maintenance pour déplacer la base de données des services de domaine Active Directory vers C:\DSData.

5. Démarrez les services de domaine Active Directory.

Résultat : au terme de cet exercice, vous aurez installé l’Assistant Configuration de la sécurité pour verrouiller les services sur un contrôleur de domaine des services de domaine Active Directory et effectué des tâches de maintenance de base de données des services de domaine Active Directory.

Page 480: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-36 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Sauvegarde des services de domaine Active Directory Dans cet exercice, vous allez installer la fonctionnalité de sauvegarde Windows Server et l’utiliser pour planifier une sauvegarde des informations des services de domaine Active Directory. Vous allez également effectuer une sauvegarde à la demande du volume système.

Les tâches principales de cet exercice sont les suivantes :

1. Installer les fonctionnalités de sauvegarde de Windows Server.

2. Créer une sauvegarde planifiée.

3. Effectuer une sauvegarde à la demande.

Tâche 1 : Installer les fonctionnalités de sauvegarde de Windows Server. • Dans le Gestionnaire de serveur, installez toutes les fonctionnalités

de sauvegarde de Windows Server.

Tâche 2 : Créer une sauvegarde planifiée. 1. Démarrez l’outil de sauvegarde Windows Server et créez une sauvegarde

planifiée avec les paramètres suivants :

• Type de sauvegarde : personnalisée

• Éléments de sauvegarde : C: uniquement

• Heure de sauvegarde : 00h00 tous les jours

• Disque de destination : disque 1

2. Ouvrez le Planificateur de tâches et récapitulez la tâche de sauvegarde planifiée que vous venez de créer.

Page 481: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-37

Tâche 3 : Effectuer une sauvegarde à la demande. 1. Dans la fenêtre de l’outil de sauvegarde de Windows Server, dans le volet

Actions, cliquez sur Sauvegarde unique.

2. Configurez la sauvegarde pour utiliser les paramètres suivants :

• Type de sauvegarde : personnalisée

• Éléments de sauvegarde : C: uniquement

• Option avancée : Sauvegarde complète VSS

3. La sauvegarde prend approximativement 10 à 15 minutes. Quand la sauvegarde est terminée, fermez l’utilitaire de sauvegarde de Windows Server.

Résultat : au terme de cet exercice, vous aurez installé la fonctionnalité de sauvegarde Windows Server, vous l’aurez utilisé pour planifier une sauvegarde des informations des services de domaine Active Directory et pour effectuer une sauvegarde à la demande.

Page 482: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-38 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Réalisation d’une restauration faisant autorité dans la base de données des services de domaine Active Directory Dans cet exercice, vous allez effectuer une restauration faisant autorité de la base de données des services de domaine Active Directory. Vous vérifierez ensuite que la réplication ne remplace pas les données restaurées.

Les principales tâches sont les suivantes :

1. Supprimer l’unité d’organisation Toronto.

2. Redémarrer NYC-DC1 en mode de restauration des services d’annuaire.

3. Restaurer les données sur l’état du système.

4. Marquer les informations restaurées comme faisant autorité et redémarrer le serveur.

5. Vérifier que les données supprimées ont été restaurées.

6. Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation.

Tâche 1 : Supprimer l’unité d’organisation Toronto. 1. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory.

2. Supprimer l’unité d’organisation Toronto.

Tâche 2 : Redémarrer NYC-DC1 en mode de restauration des services d’annuaire. 1. Démarrez une invite avec des autorisations d’administrateur.

2. Utilisez bcdedit /set safeboot dsrepair pour configurer le serveur de sorte qu’il soit démarré en mode de restauration des services d’annuaire.

3. Redémarrez le serveur.

Page 483: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-39

Tâche 3 : Restaurer les données sur l’état du système. 1. Ouvrez une session en tant qu’Administrateur avec le mot de passe

Pa$$w0rd.

2. Démarrez une invite avec des autorisations d’administrateur.

3. Utilisez la commande wbadmin get versions -backuptarget:D: -machine:NYC-DC1 pour obtenir les informations de version pour la sauvegarde créée.

4. Restaurez les informations sur l’état du système en utilisant la commande wbadmin start systemstaterecovery -version:version -machine:NYC-DC1.

Tâche 4 : Marquer les informations restaurées comme faisant autorité et redémarrer le serveur. 1. Dans l’invite de commandes, utilisez NTDS pour effectuer une restauration

faisant autorité sur OU=Toronto,DC=Woodgrovebank,DC=com.

2. Pour redémarrer le serveur normalement après avoir effectué l’opération de restauration, tapez bcdedit /deletevalue safeboot, puis appuyez sur Entrée.

3. Redémarrez le serveur.

Tâche 5 : Vérifier que les données supprimées ont été restaurées. 1. Après le redémarrage du serveur, ouvrez une session en tant

qu’Administrateur.

2. Ouvrez Utilisateurs et ordinateurs Active Directory et vérifiez que l’UO Toronto a été restaurée.

3. Sur NYC-DC2, ouvrez Utilisateurs et ordinateurs Active Directory. Vérifiez que l’UO Toronto a également été restaurée sur ce serveur.

Page 484: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-40 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation. 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez effectué une restauration faisant autorité des informations des services de domaine Active Directory.

Page 485: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-41

Exercice 4 : Restauration des données à l’aide de l’outil de montage de base de données des services de domaine Active Directory (facultatif) Dans cet exercice, vous allez utiliser l’outil de montage de base de données des services de domaine Active Directory pour aider à restaurer des données à partir d’un objet supprimé des services de domaine Active Directory. Les tâches incluent l’utilisation de NTDSUtil pour créer un instantané du volume des services de domaine Active Directory, la suppression d’un compte d’utilisateur dans les services de domaine Active Directory et l’utilisation de NTDSUtil pour monter l’instantané. Ensuite, vous restaurez le compte à l’aide de LDP et vous affichez les détails du compte à partir de l’instantané.

Dans cet exercice, les tâches principales sont les suivantes :

1. Démarrer l’ordinateur virtuel et ouvrir une session.

2. Créer et monter un instantané des informations des services de domaine Active Directory.

3. Modifier, puis supprimer un compte d’utilisateur dans les services de domaine Active Directory.

4. Utiliser LDP pour restaurer le compte d’utilisateur supprimé.

5. Afficher les informations pour le compte d’utilisateur supprimé de l’instantané monté.

Tâche 1 : Démarrer l’ordinateur virtuel et ouvrir une session. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes et sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Lancer.

3. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

4. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Page 486: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-42 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Créer et monter un instantané des informations des services de domaine Active Directory. 1. Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, dans l’UO

ITAdmins, cliquez avec le bouton droit sur Fabrice Canel, puis cliquez sur Propriétés. Ajoutez les informations ci-dessous dans les propriétés du compte d’utilisateur, puis cliquez sur OK :

• Description : administrateur informatique

• Bureau : Siège social

• Numéro de téléphone : 555-5555

2. Démarrez une invite avec des autorisations d’administrateur.

3. Dans l’invite de commandes, tapez ntdsutil, puis appuyez sur Entrée.

4. Dans l’invite de commandes, tapez snapshot, puis appuyez sur Entrée.

5. Dans l’invite de commandes snapshot, tapez activate instance ntds, puis appuyez sur Entrée.

6. Dans l’invite de commandes snapshot, tapez create, puis appuyez sur Entrée. La commande renvoie la sortie suivante : L’ensemble d’instantanés {GUID} a bien été généré. Laissez cette fenêtre ouverte.

7. Dans l’invite de commandes snapshot, tapez mount {GUID}, puis appuyez sur Entrée. Le GUID est le GUID affiché dans la commande précédente. L’instantané monté s’affiche dans le système de fichiers.

8. Dans l’invite de commandes snapshot, tapez list all, puis appuyez sur Entrée. Identifiez le numéro affecté à l’instantané que vous venez de créer.

9. Dans l’invite de commandes snapshot, tapez mount numéro, puis appuyez sur Entrée. numéro est le numéro affiché dans la commande précédente. L’instantané monté s’affiche dans le système de fichiers.

10. Quittez NTDSUtil, mais laissez l’invite de commandes ouverte.

Page 487: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-43

Tâche 3 : Supprimer un compte d’utilisateur. • Supprimez le compte de Fabrice Canel.

Tâche 4 : Utiliser LDP pour restaurer le compte d’utilisateur supprimé. 1. À l’invite de commandes, tapez la commande suivante, puis appuyez sur

Entrée.

Dsamain -dbpath <chemin d’accès à l’instantané ntds.dit> -ldapport 51389

2. Ne fermez pas l’invite de commandes.

3. Démarrez LDP et connectez-vous au serveur local et créez une liaison.

4. Dans le menu Options, ajoutez la commande Return Deleted Objects.

5. Dans le menu Affichage, cliquez sur Arborescence, puis sur OK.

6. Développez DC=Woodgrove Bank,DC=com, puis cliquez sur CN=Deleted Items,DC=Woodgrove Bank,DC=com.

7. Cliquez avec le bouton droit sur CN=Fabrice Canel, puis cliquez sur Modifier.

8. Dans la zone Valeur d’attribut, tapez isDeleted, sous Opération, cliquez sur Supprimer, puis appuyez sur Entrée.

9. Dans la zone Attribut, tapez distinguishedName.

10. Dans la zone Valeurs, tapez CN=Fabrice Canel,uo=ITAdmins, dc=woodgrovebank,dc=com.

11. Sous Opération, cliquez sur Remplacer, puis appuyez sur Entrée.

12. Activez la case à cocher Étendue, puis cliquez sur Exécuter.

13. Ouvrez Utilisateurs et ordinateurs Active Directory et vérifiez que le compte de Fabrice Canel a été restauré dans l’UO ITAdmins et que le compte est désactivé.

Page 488: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-44 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 5 : Afficher les informations pour le compte d’utilisateur supprimé de l’instantané monté. 1. Cliquez sur Démarrer, Exécuter, tapez LDP, puis cliquez sur OK.

2. Connectez-vous à localhost avec le port 51389 et créez une liaison.

3. Dans Nom unique de base, tapez dc=woodgrovebank,dc=com.

4. Recherchez l’UO ITAdmins et double-cliquez sur CN=Fabrice Canel. Affichez les attributs Description, physicalDeliveryOfficeName et Numéro de téléphone. Vous pouvez maintenant ajouter les informations dans ces attributs dans l’objet utilisateur dans Utilisateurs et ordinateurs Active Directory. Fermez LDP.exe.

Tâche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulations. 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez restauré un compte d’utilisateur supprimé et affiché les propriétés de l’utilisateur restauré à l’aide de l’outil de montage de base de données des services de domaine.

Page 489: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-45

Récapitulatif du module et objectifs

Questions du contrôle des acquis 1. L’un de vos contrôleurs de domaine ne dispose pas d’assez d’espace disque.

Vous modifiez le contrôleur de domaine afin qu’il ne soit plus un serveur de catalogue global, mais notez que la taille de la base de données des services de domaine Active Directory ne diminue pas. Que devez-vous faire pour récupérer de l’espace sur le disque dur du serveur ?

2. Vous vous souciez de la quantité d’espace disque utilisé par la base de données des services de domaine Active Directory et les fichiers journaux. Comment déterminez-vous la taille des fichiers de la base de données et des fichiers journaux ?

3. Vous installez l’utilitaire de sauvegarde Windows Server sur votre contrôleur de domaine. Vous ne disposez que de deux lecteurs sur l’ordinateur et les deux sont utilisés pour les fichiers de données ou les fichiers système. Quels sont les types de sauvegarde à utiliser pour sauvegarder votre environnement de services de domaine Active Directory ?

Page 490: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

9-46 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

4. Tous les contrôleurs de domaine de votre domaine ont échoué. Vous tentez de recréer le domaine à partir de la sauvegarde des services de domaine Active Directory sur un contrôleur de domaine. Quel type de restauration devez-vous utiliser pour reconstruire le domaine ?

5. Vous avez supprimé par inadvertance un compte d’utilisateur dans les services de domaine Active Directory. Quelles sont les options dont vous disposez pour libérer le compte à nouveau ?

Éléments à prendre en considération pour la gestion des services de domaine Active Directory Complétez ou modifiez les meilleures pratiques pour vos propres situations de travail :

• La surveillance est une composante essentielle de la gestion d’un environnement de services de domaine Active Directory. Un programme de surveillance efficace peut vous alerter sur les situations dans lesquelles vous devez effectuer des tâches de maintenance avant que la situation devienne critique.

• Comparez les efforts engagés dans la restauration des objets de services de domaine Active Directory par rapport à ceux impliqués dans la restauration d’objets ou la réactivation d’objets supprimés. Si un seul compte d’utilisateur a été supprimé, il est souvent beaucoup plus facile de simplement recréer le compte au lieu de le restaurer. Si une UO entière a été supprimée, la réalisation d’une restauration faisant autorité est généralement beaucoup plus rapide que la recréation de l’ensemble des comptes de l’UO.

• L’étape la plus importante de la préparation à un échec d’un contrôleur de domaine consiste à déployer plusieurs contrôleurs de domaine dans un domaine. Si vous disposez d’un second contrôleur de domaine, les services de domaine Active Directory continuent à être disponibles et vous pouvez installer facilement un contrôleur de domaine supplémentaire pour remplacer le serveur qui a échoué. Si vous disposez d’un seul contrôleur de domaine dans le domaine et que ce contrôleur de domaine échoue, vous devez restaurer les services de domaine Active Directory à partir de la sauvegarde.

• Si vous estimez que vous aurez besoin d’utiliser l’outil de montage de base de données des captures instantanées de manière cohérente, envisagez de créer une tâche planifiée qui crée régulièrement un instantané.

Page 491: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’un plan de maintenance des services de domaine Active Directory 9-47

Outils Utilisez les outils ci-dessous lors de la configuration des sites et de la réplication des services de domaine Active Directory :

Outil Utilisation Emplacement

Utilitaire de sauvegarde Windows Server

• Sauvegarde et restauration des informations des services de domaine Active Directory ou des autres données sur un ordinateur Windows Server 2008

Doit être installé comme fonctionnalité Windows Server 2008.

Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Sauvegarde de Windows Server.

LDP.exe • Affichage et modification des informations sur les objets des services de domaine Active Directory et réactivation des objets supprimés

Installé par défaut et accessible dans une invite de commandes.

NTDSUtil • Gestion du magasin de données des services de domaine Active Directory et gestion des rôles de maîtres d’opérations des services de domaine Active Directory

Installé par défaut et accessible dans une invite de commandes.

Outil de montage de base de données

• Utilisé pour créer et monter des instantanés du magasin de données des services de domaine Active Directory

Accessible par le biais de NTDSUtil.

Page 492: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 493: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-1

Module 10. Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

Table des matières : Leçon 1 : Résolution des problèmes liés aux services de domaine Active Directory 10-3

Leçon 2 : Résolution des problèmes liés à l’intégration du système DNS avec les services de domaine Active Directory 10-9

Leçon 3 : Résolution des problèmes liés à la réplication des services de domaine Active Directory 10-16

Atelier pratique : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-24

Page 494: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

En tant qu’administrateur Windows Server® 2008, vous serez probablement amené à résoudre des problèmes liés aux services de domaine Active Directory® (AD DS). Lorsque les services de domaine Active Directory sont bien conçus et mis en œuvre, ils offrent une infrastructure de services d’annuaire très stable. Toutefois, même dans les environnements les plus stables, vous devrez parfois résoudre des problèmes liés à l’authentification, l’autorisation, la réplication ou la configuration du système DNS (Domain Name System) pour les services de domaine Active Directory.

Page 495: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-3

Leçon 1 : Résolution des problèmes liés aux services de domaine Active Directory

Chaque fois que les utilisateurs ne peuvent pas s’authentifier sur le réseau ou ne peuvent pas accéder aux ressources réseau, vous devez déterminer si la cause du problème est liée aux services de domaine Active Directory. Le problème peut être la connectivité réseau, une erreur de services réseau ou un problème des services de domaine Active Directory. Dans cette leçon, vous allez apprendre à identifier et à résoudre les problèmes liés aux services de domaine Active Directory.

Page 496: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Introduction à la résolution des problèmes liés aux services de domaine Active Directory

Points clés Les services de domaine Active Directory constituent un système distribué comportant de nombreux services dont ils dépendent pour fonctionner correctement. Lors de la résolution de problèmes liés aux services de domaine Active Directory, vous devez identifier la source du problème et résoudre le problème spécifique.

Lectures complémentaires • Présentation de la résolution des problèmes liés à Active Directory

(éventuellement en anglais)

• Guide des opérations des produits Active Directory (éventuellement en anglais)

Page 497: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-5

Discussion : Comment faire pour résoudre les problèmes liés aux services de domaine Active Directory

Questions :

Quels outils pouvez-vous utiliser ?

Comment allez-vous vérifier que votre solution a fonctionné ?

Page 498: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Résolution des problèmes liés aux erreurs d’accès utilisateur

Points clés Il existe plusieurs raisons possibles pour lesquelles un utilisateur ne peut pas accéder aux ressources réseau. Ces raisons peuvent être réparties en trois catégories de base.

Page 499: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-7

Démonstration : Outils pour la résolution des problèmes liés aux erreurs d’accès utilisateur

Questions :

À partir de votre expérience, quelle est la raison la plus courante à l’origine des erreurs liées à l’accès utilisateur au sein de votre organisation ?

Quelle procédure pouvez-vous suivre afin de réduire le nombre d’erreurs liées à l’accès utilisateur, tout en préservant la sécurité du réseau ?

Page 500: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Résolution des problèmes liés aux performances du contrôleur de domaine

Points clés En tant que service distribué, les services de domaine Active Directory dépendent d’un grand nombre de services interdépendants, qui sont distribués sur de nombreux périphériques, à de nombreux emplacements distants. Lorsque vous augmentez la taille de votre réseau pour tirer parti de l’évolutivité des services de domaine Active Directory, les performances des contrôleurs de domaine peuvent poser problème.

Lectures complémentaires • Guide de planification et de déploiement d’une agence Windows Server 2003

Active Directory (éventuellement en anglais)

• Analyse des données de performances (éventuellement en anglais)

Page 501: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-9

Leçon 2 : Résolution des problèmes liés à l’intégration du système DNS et des services de domaine Active Directory

Les services de domaine Active Directory ne peuvent pas fonctionner sans le système DNS. Les clients et les serveurs d’applications comme Microsoft Exchange Server utilisent le système DNS pour rechercher des contrôleurs et des services de domaine. Les contrôleurs de domaine et les serveurs de catalogue global utilisent le système DNS pour déterminer l’emplacement de chacun d’eux, puis répliquer les uns vers les autres. En raison de cette intégration étroite des services de domaine Active Directory et du système DNS, vous allez souvent commencer la résolution des problèmes liés aux services de domaine Active Directory par la résolution des problèmes liés au système DNS.

Page 502: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Présentation de la résolution des problèmes liés au système DNS et aux services de domaine Active Directory

Points clés L’une des raisons principales à l’origine des problèmes liés aux services de domaine Active Directory concerne un problème lié à l’infrastructure DNS. Vous devez notamment commencer la résolution des problèmes liés au système DNS lorsque vous voyez les problèmes répertoriés dans la diapositive.

Page 503: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-11

Résolution des problèmes liés à la résolution des noms DNS

Points clés Pour vérifier que les clients peuvent résoudre les noms et les enregistrements, procédez comme suit :

• Vérifiez la connectivité réseau sur tous les ordinateurs.

• Utilisez Ipconfig pour vous assurer que tous les ordinateurs, y compris les clients, les serveurs de membre, les contrôleurs de domaine et les serveurs DNS utilisent un serveur DNS qui fait autorité pour le domaine Active Directory. Parfois, les ordinateurs sont configurés manuellement pour utiliser un serveur DNS incorrect, par exemple un serveur de mise en cache Internet ou le serveur DNS d’un fournisseur de services Internet.

• Utilisez NetDiag pour tester la connectivité DNS.

• Assurez-vous que le serveur DNS fonctionne correctement. Vous pouvez effectuer l’auto-test simple sur les propriétés du serveur DNS pour vérifier que la base de données répond. Effacez également le cache du serveur DNS pour vous assurer que le cache n’est pas altéré et qu’il dispose des dernières informations de zone.

Page 504: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

• Utilisez ipconfig /flushdns pour effacer le cache de résolution DNS du client.

• Si la zone paraît être corrompue, effectuez une restauration à partir de la sauvegarde. Si nécessaire, effacez les enregistrements dynamiques de la zone DNS et recréez la base de données.

• Consultez les erreurs dans le journal du serveur DNS de l’Observateur d’événements.

• Utilisez DNSLint ou NSlookup pour connaître les résultats renvoyés par le serveur DNS. Les enregistrements DNS suivants sont nécessaires pour le fonctionnement correct d’Active Directory.

Question : Quels sont les problèmes les plus courants liés au système DNS dans votre organisation ?

Lectures complémentaires • Diagnostic des problèmes liés à la résolution des noms (éventuellement en

anglais)

Page 505: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-13

Résolution des problèmes liés à l’enregistrement des noms DNS

Points clés Tous les serveurs doivent disposer au moins des enregistrements A (hôte) et éventuellement PTR (recherche inversée) dans le système DNS. De plus, les enregistrements de ressources SRV de tous les contrôleurs de domaine doivent être mis à jour dans le système DNS. Les listes ci-dessous indiquent le service responsable de la mise à jour dynamique du système DNS :

• Les enregistrements A sont mis à jour par le service du client DNS de l’ordinateur.

• Les enregistrements PTR sont configurés manuellement.

• Les enregistrements SRV sont mis à jour par le service NetLogon du contrôleur de domaine.

Page 506: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Question : À quoi servent les enregistrements PTR ? Quelles erreurs allez-vous découvrir si les enregistrements PTR ne sont pas enregistrés pour les contrôleurs de domaine ?

Page 507: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-15

Résolution des problèmes liés à la réplication de zones DNS

Points clés Chaque fois qu’un enregistrement DNS est mis à jour, dans une zone principale classique ou dans une zone intégrée aux services de domaine Active Directory, cette mise à jour doit être répliquée dans un transfert de zone sur tous les serveurs DNS qui font autorité pour cette zone. Un administrateur peut choisir de préserver la bande passante pendant les heures d’utilisation intensive du réseau en retardant la réplication à des heures moins chargées. Même dans ce cas, l’enregistrement doit être répliqué à un certain niveau pour que la base de données DNS soit cohérente.

Lorsque les problèmes liés au système DNS ne sont pas cohérents pour tous les utilisateurs et que vous pouvez suivre le problème sur un serveur DNS spécifique, vous devez envisager la réplication de zones DNS comme cause possible du problème.

Lectures complémentaires • Résolution des problèmes liés aux zones (éventuellement en anglais)

Page 508: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 3 : Résolution des problèmes liés à la réplication des services de domaine Active Directory

Les services de domaine Active Directory utilisent une topologie de réplication maître, qui dépend de tous les contrôleurs de domaine disponibles sur le réseau. La réplication est importante pour s’assurer que tous les utilisateurs rencontrent une réponse cohérente de tous les contrôleurs de domaine, indépendamment du contrôleur de domaine auquel l’utilisateur se connecte.

Dans cette leçon, vous allez apprendre à résoudre les problèmes liés à la réplication des services de domaine Active Directory.

Page 509: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-17

Éléments requis pour la réplication des services de domaine Active Directory

Points clés Reportez-vous aux éléments requis indiqués sur la diapositive pour que la réplication des services de domaine Active Directory se déroule correctement.

Page 510: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Problèmes courants liés à la réplication

Points clés Lorsque vous rencontrez des problèmes de réplication dans les services de domaine Active Directory, commencez par identifier les symptômes et les causes possibles.

Question : Quelle est la raison la plus courante des erreurs de réplication dans votre organisation ?

Lectures complémentaires • Résolution des problèmes liés à la réplication Active Directory

Page 511: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-19

Description de l’outil Repadmin

Points clés L’outil de ligne de commande Repadmin.exe permet d’afficher la topologie de réplication du point de vue de chaque contrôleur de domaine. Vous pouvez également utiliser Repadmin.exe pour créer la topologie de réplication manuellement, pour forcer des événements de réplication entre des contrôleurs de domaine et pour afficher les métadonnées de la réplication (informations sur les données) et mettre à jour l’état des vecteurs.

Lectures complémentaires • Résolution des problèmes liés à la réplication Active Directory

Page 512: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Description de l’outil DCDiag

Points clés L’outil dcdiag.exe exécute une série de tests pour vérifier différents aspects du système. Ces tests vérifient le fonctionnement de la connectivité, de la réplication, de l’intégrité de la topologie et la santé intersite.

Page 513: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-21

Identification de la cause des erreurs de réplication

Points clés Les problèmes liés à la réplication des services de domaine Active Directory peuvent avoir différentes sources. Par exemple, les problèmes DNS, les problèmes de mise en réseau ou les problèmes de sécurité peuvent tous provoquer l’échec de la réplication des services de domaine Active Directory.

Vous pouvez effectuer les tests à l’aide des outils de ligne de commande Repadmin.exe et DCDiag.exe pour déterminer la cause principale du problème.

Page 514: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Discussion : Résolution des problèmes de réplication des services de domaine Active Directory intersite

En tant que classe, discutez des questions sur la diapositive.

Page 515: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-23

Résolution des problèmes liés à la réplication des fichiers distribués

Le contenu du dossier SYSVOL est répliqué sur tous les contrôleurs de domaine d’un domaine. Si le domaine se trouve sur Windows Server 2003 ou à un niveau fonctionnel inférieur, le service de réplication de fichiers (FRS) est responsable de la réplication du contenu du dossier SYSVOL entre les contrôleurs de domaine. Lorsque vous mettez à niveau le niveau fonctionnel vers Windows Server 2008, le service DFSR est utilisé pour répliquer le contenu du dossier SYSVOL. Dans les deux cas, la topologie d’objet de connexion et de planification que le vérificateur de cohérence des données (KCC) crée pour la réplication des services de domaine Active Directory est utilisée pour gérer la réplication entre les contrôleurs de domaine.

Les services FRS et DFRS nécessitent la connectivité LDAP et RPC entre les contrôleurs de domaine. Pour résoudre les problèmes liés à la réplication FRS, utilisez les commandes Ntfrsutl et FRSDiag. Pour résoudre les problèmes liés à la réplication DFSR, utilisez l’outil DFRSAdmin.

Page 516: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

Scénario La Woodgrove Bank a terminé son déploiement de Windows Server 2008. En tant qu’administrateur des services de domaine Active Directory, l’une de vos tâches principales consiste désormais à résoudre les problèmes liés aux services de domaine Active Directory qui vous ont été signalés par le personnel de support de la société. Vous êtes chargé de la résolution des problèmes liés à l’accès des utilisateurs aux ressources, à l’intégration du système DNS et des services de domaine Active Directory et à la réplication des services de domaine Active Directory.

Page 517: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-25

Exercice 1 : Résolution des erreurs liées à l’authentification et à l’autorisation

Scénario Dans cet exercice, vous allez résoudre des erreurs liées à l’authentification et à l’autorisation. Vous allez examiner des tickets d’incident et résoudre des problèmes liés aux tickets d’incident.

Préparation des ateliers pratiques : assurez-vous que NYC-DC1, NYC-DC2 et NYC-CL1 sont démarrés et en cours d’exécution. Arrêtez les autres ordinateurs virtuels.

Dans cet exercice, les tâches principales sont les suivantes :

1. Démarrer les serveurs virtuels.

2. Exécuter le fichier Lab10_Prep.bat.

3. Résoudre les tickets d’incident.

Tâche 1 : Démarrer les serveurs virtuels. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes et sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Lancer.

3. Ouvrez une session sur NYC-DC1 en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

4. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC2, cliquez sur Lancer.

5. Sur NYC-DC2, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

6. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-CL1, cliquez sur Lancer.

7. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Page 518: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Exécuter le fichier Lab10_Prep.bat. 1. Sur NYC-DC1, ouvrez l’Explorateur Windows et accédez à

d:\6238\Mod10\Labfiles.

2. Double-cliquez sur Lab10_Prep.bat.

Tâche 3 : Résoudre les tickets d’incident. Ticket d’incident n° 1 : une utilisatrice appelée Sabine Royant rencontre des difficultés à se connecter sur son ordinateur avec le système d’exploitation Windows Vista®. Elle était détachée pour une mission de recherche depuis plusieurs mois et maintenant elle doit accéder au réseau pour préparer son rapport pour la direction. Son ordinateur de bureau a été désactivé pendant son absence. Le problème vous a été signalé.

1. Tentez d’ouvrir une session sur NYC-CL1 avec le nom d’utilisateur Sabine et le mot de passe Pa$$w0rd.

2. L’ouverture de session a-t-elle abouti ? Notez le message d’erreur ci-dessous :

_________________________________________________________________

3. Vérifiez que le compte d’ordinateur NYC-CL1 existe toujours dans le domaine.

4. Selon vous, quel peut être le problème ? Comment allez-vous le résoudre ?

_________________________________________________________________

5. Ouvrez une session sur NYC-CL1 avec le nom d’utilisateur NYC-CL1\AdminLocal et le mot de passe Pa$$w0rd.

6. Effectuez vos étapes de résolution des problèmes.

7. Fermez la session sur NYC-CL1 avec le nom d’utilisateur AdminLocal et ouvrez une nouvelle session avec le nom d’utilisateur Sabine.

8. Avez-vous réussi ?

_________________________________________________________________

9. Fermez la session sur NYC-CL1.

Page 519: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-27

Ticket d’incident n° 2 : un membre du personnel de support appelé Karim Manar doit ajouter les nouveaux employés dans l’unité d’organisation NYC BranchManagers du domaine Woodgrovebank.com. Karim est membre du groupe global de support. Tous les membres du groupe de support doivent pouvoir gérer les comptes d’utilisateurs à partir des stations de travail clientes à l’aide du Bureau à distance. Lorsque Karim tente d’ajouter de nouveaux employés, il échoue. Le problème vous a été signalé.

1. Ouvrez une session sur NYC-CL1 avec le nom d’utilisateur Karim et le mot de passe Pa$$w0rd.

2. Tentez de vous connecter à NYC-DC1 à l’aide de la fonction Bureau à distance. Avez-vous réussi ? Quels sont les messages d’erreur, le cas échéant, que vous avez reçus ?

_________________________________________________________________

3. D’après vous, quelle est la cause du problème ?

_________________________________________________________________

4. Effectuez les étapes nécessaires à la résolution du message d’erreur.

5. Essayez de vous reconnecter au Bureau à distance. Avez-vous réussi cette fois-ci ? Dans le cas contraire, suivez les étapes nécessaires à la résolution des problèmes.

_________________________________________________________________

6. Après vous être correctement connecté au Bureau à distance, essayez d’ouvrir Utilisateurs et ordinateurs Active Directory. Si vous n’y êtes pas parvenu, effectuez les étapes permettant de résoudre le problème.

7. Dans Utilisateurs et ordinateurs Active Directory, réessayez de créer un compte d’utilisateur test dans l’UO Branch Managers. Avez-vous réussi ? Quels sont les messages d’erreur, le cas échéant, que vous avez reçus ?

_________________________________________________________________

8. Quelles étapes supplémentaires, le cas échéant, estimez-vous nécessaires ?

_________________________________________________________________

Page 520: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

9. Résolvez les problèmes restants.

10. Fermez la session sur NYC-CL1.

Résultat : au terme de cet exercice, vous aurez résolu deux tickets d’incident portant sur des problèmes liés à l’authentification et à l’autorisation.

Page 521: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-29

Exercice 2 : Résolution des problèmes liés à l’intégration du système DNS et des services de domaine Active Directory

Scénario Dans cet exercice, vous allez résoudre les problèmes identifiés dans les tickets d’incidents communiqués à l’équipe du serveur concernant l’intégration du système DNS et des services de domaine Active Directory. Vous allez identifier le problème dans chaque ticket, le résoudre et vérifier que la résolution a réussi.

Dans cet exercice, la tâche principale consiste à résoudre le ticket d’incident.

Tâche 1 : Résoudre le ticket d’incident. Ticket d’incident n° 3 : certains utilisateurs de WoodgroveBank.com se plaignent de ne pas parvenir à accéder aux ressources réseau. Le support a déjà établi que tous les ordinateurs clients qui présentent ce problème utilisent NYC-DC2 comme serveur DNS préféré. Vous allez utiliser NYC-CL1 pour tester toutes les solutions et vous assurer que les utilisateurs peuvent ouvrir une session sur le domaine à l’aide de NYC-DC1 et de NYC-DC2 comme serveurs DNS principaux.

1. Quel peut être le problème ?

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

2. Quelle procédure suivez-vous pour tester et résoudre les problèmes ?

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

3. Utilisez Nslookup pour vérifier les enregistrements DNS pour la zone WoodgroveBank.com sur NYC-DC1 et NYC-DC2.

4. Utilisez le Gestionnaire DNS pour examiner la configuration pour les zones WoodgroveBank.com et _msdcs.WoodgroveBank.com sur les deux serveurs DNS.

Page 522: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

5. Suivez la procédure nécessaire à la résolution du problème.

6. Quel était le problème et comment l’avez-vous résolu ?

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Résultat : au terme de cet exercice, vous aurez résolu un ticket d’incident portant sur des problèmes liés à l’intégration du système DNS et des services de domaine Active Directory.

Page 523: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-31

Exercice 3 : Résolution des problèmes liés à la réplication des services de domaine Active Directory

Scénario Dans cet exercice, vous allez résoudre les problèmes identifiés dans les tickets d’incidents communiqués à l’équipe du serveur. Les problèmes potentiels incluent, par exemple, les comptes d’utilisateurs qui ne sont pas répliqués vers d’autres contrôleurs de domaine, les échecs de réplication et les échecs de réplication de fichiers de services de domaine Active Directory. Vous allez identifier le problème dans chaque ticket, le résoudre et vérifier que la résolution a réussi.

Dans cet exercice, la tâche principale consiste à résoudre les tickets d’incident.

Tâche 1 : Résoudre les tickets d’incident. Ticket d’incident n° 4 : le support est chargé de créer des comptes d’utilisateurs pour les nouveaux employés. Comme les nouveaux employés vont se déplacer entre les agences, il est essentiel qu’ils puissent ouvrir une session à partir de n’importe quel emplacement. Le support a remarqué que la réplication entre NYC-DC1 et NYC-DC2 ne fonctionne pas. Lorsqu’un membre de l’équipe crée un compte d’utilisateur sur le contrôleur de domaine NYC-DC1, le compte d’utilisateur ne s’affiche pas sur le contrôleur de domaine NYC-DC2. Le problème vous a été signalé.

1. Vérifiez si la réplication des services de domaine Active Directory fonctionne.

Selon vous, quel peut être le problème ?

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

Quelle procédure de résolution allez-vous suivre pour résoudre le problème ?

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

2. Mettez en œuvre la procédure de résolution des problèmes. Vous y parvenez lorsque vous êtes en mesure de créer un utilisateur test sur l’un des contrôleurs de domaine et de répliquer le compte sur l’autre contrôleur de domaine.

Page 524: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Ticket d’incident n° 5 : le support a remarqué que lorsque certains utilisateurs de l’agence de New York du domaine WoodgroveBank.com ouvrent une session, ils n’obtiennent pas les mappages de lecteur automatiques attendus. Tous les utilisateurs doivent obtenir un mappage de lecteur qui mappe le lecteur H: vers \\NYC-DC1\data. Le support a confirmé que l’objet de stratégie de groupe est configuré correctement. Le script d’ouverture de session est appelé MapDataDir.bat et doit se trouver dans le partage Netlogon.

1. Selon vous, quel peut être le problème ?

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

2. Quelle procédure de résolution allez-vous suivre pour résoudre le problème ?

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

3. Comment allez-vous vérifier que le problème a été résolu ?

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

4. Mettez en œuvre la procédure de résolution des problèmes. Quel était le problème et comment l’avez-vous résolu ?

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

Page 525: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-33

Tâche 2 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulations. 1. Fermez la fenêtre de contrôle à distance de chaque ordinateur virtuel en cours

d’exécution.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez résolu un ticket d’incident portant sur des problèmes liés à la réplication des services Active Directory.

Page 526: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-34 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Récapitulatif du module et objectifs

Éléments à prendre en considération pour la gestion des services de domaine Active Directory

Complétez ou modifiez les meilleures pratiques pour vos propres situations de travail :

• Lorsque vous résolvez des problèmes liés aux services de domaine Active Directory, commencez toujours au niveau de la couche réseau. Le plus souvent, l’opération de vérification de la connectivité réseau est rapide et facile.

• Utilisez l’Observateur d’événements lors de la résolution des problèmes liés aux services de domaine Active Directory. De nombreuses erreurs liées aux services de domaine Active Directory sont enregistrées dans les journaux d’événements de l’Observateur et les détails des erreurs fournissent souvent des informations utiles pour résoudre les problèmes.

Page 527: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-35

• Dans les grandes organisations, envisagez de déployer Microsoft® System Center Operations Manager avec le pack d’administration Active Directory. Le Gestionnaire des opérations peut surveiller tous les contrôleurs de domaine dans l’environnement et fournit des conseils détaillés sur la résolution des problèmes liés aux services de domaine Active Directory. Microsoft système Center Operations Manager est une mise à niveau de Microsoft Operations Manager.

Outils

Utilisez les outils ci-dessous lors de la résolution des problèmes liés aux services de domaine Active Directory :

Outil Fonction Emplacement

Gestionnaire de serveur Accéder aux outils de gestion des services de domaine Active Directory dans une console unique.

Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.

Sites et services Active Directory

Création et configuration des sites et des sous-réseaux, déplacement des contrôleurs de domaine entre les sites et forçage de la réplication.

Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

DNS Configuration et affichage des zones DNS.

Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur DNS.

Repadmin Collection des données sur la topologie de réplication et l’état actuels, et création des objets de réplication.

Installé par défaut et accessible dans une invite de commandes.

DCDiag Collecter des données sur les contrôleurs de domaine y compris les partenaires de réplication et l’état.

Installé par défaut et accessible dans une invite de commandes.

Page 528: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

10-36 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

(suite)

Outil Fonction Emplacement

Nslookup Révision des informations stockées dans des fichiers de zone DNS.

Installé par défaut et accessible dans une invite de commandes.

Ntfrsutl Affiche des informations détaillées sur les répliques FRS actives sur le contrôleur de domaine et peut être utilisé pour forcer la réplication.

Installé par défaut et accessible dans une invite de commandes.

FRSDiag Fournit une interface utilisateur graphique pour collecter des informations détaillées sur les performances et les problèmes FRS, et analyse les résultats afin d’identifier les problèmes courants liés à FRS et à Active Directory.

Peut être téléchargé à partir du Centre de téléchargement Microsoft.

Dfsradmin Fournit des informations détaillées sur l’état actuel de réplication DFSR dans le domaine. Peut également servir à configurer la réplication DFSR.

Installé sur les ordinateurs Windows Server 2008 lorsque vous installez les fonctionnalités de gestion de fichiers.

Questions du contrôle des acquis 1. L’utilisateur est en mesure d’ouvrir une session sur son ordinateur, mais

chaque fois qu’il tente d’accéder à une ressource réseau, il est invité à indiquer un nom d’utilisateur et un mot de passe. Comment allez-vous vous assurer qu’il peut accéder aux ressources réseau sans avoir à indiquer le nom d’utilisateur et le mot de passe une fois qu’une session est ouverte ?

2. Vous devez vérifier que tous les enregistrements SRV du contrôleur de domaine sont inscrits dans le système DNS. Tous les serveurs DNS de votre organisation utilisent un système DNS tiers et non un système DNS Windows Server 2008. Comment pouvez-vous afficher les enregistrements dans le système DNS ?

Page 529: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication 10-37

3. Dans une agence de votre organisation, les utilisateurs sont confrontés à des temps de connexion très longs. Vous créez un contrôleur de domaine dans votre bureau principal, puis vous envoyez le contrôleur de domaine à l’agence. Vous configurez le bureau d’agence comme second site dans votre forêt. Vous avez modifié la configuration de l’adresse IP du contrôleur de domaine, confirmé la connectivité réseau et vérifié que l’adresse IP du contrôleur de domaine a été mise à jour dans le système DNS. Cependant, certains utilisateurs de l’agence sont toujours confrontés à des temps de connexion très longs. Que devez-vous faire d’autre ?

4. Votre organisation possède cinq sites, configurés comme des sites distincts dans les services de domaine ActiveDirectory. Au moins un contrôleur de domaine a été déployé dans chaque bureau. L’intégralité de la gestion des comptes d’utilisateurs est effectuée dans le bureau principal. Lorsque vous créez un compte d’utilisateur dans le bureau principal, vous notez que l’opération peut prendre jusqu’à 3 heures avant de pouvoir ouvrir une session à l’aide de ce compte dans l’agence. Que devez-vous faire pour vous assurer que l’utilisateur peut se connecter dès que le compte a été créé ?

Page 530: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 531: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-1

Module 11. Résolution des problèmes de stratégie de groupe

Table des matières : Leçon 1 : Introduction à la résolution des problèmes de stratégie de groupe 11-3

Leçon 2 : Résolution des problèmes d’application de stratégie de groupe 11-10

Leçon 3 : Résolution des problèmes de paramètres de stratégie de groupe 11-18

Atelier pratique : Résolution des problèmes de stratégie de groupe 11-26

Page 532: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

Ce module décrit les procédures de résolution des problèmes des clients et des ordinateurs de traitement de la stratégie de groupe. Ces procédures peuvent inclure des paramètres de stratégie incorrects ou incomplets ou ne pas avoir d’application de la stratégie pour l’ordinateur ou l’utilisateur. Dans ce module, vous allez acquérir les connaissances et compétences nécessaires pour résoudre ces problèmes.

Page 533: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-3

Leçon 1 : Présentation de la résolution des problèmes de stratégie de groupe

La stratégie de groupe peut être complexe à déployer et à gérer, et parfois un paramètre peut entraîner des conséquences inattendues pour des utilisateurs ou des ordinateurs. Cette leçon fournit des informations sur le traitement de la stratégie de groupe et sur les points posant fréquemment problème ; elle décrit également certains outils de résolution des problèmes disponibles.

Page 534: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Scénarios de résolution des problèmes de stratégie de groupe

Lectures complémentaires • Article Microsoft Technet : Résolution des problèmes de stratégie de groupe

(éventuellement en anglais)

Page 535: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-5

Préparation de la résolution des problèmes de stratégie de groupe

Points clés La première étape de la résolution des problèmes de stratégie de groupe consiste à déterminer la source du problème. Des problèmes de stratégie de groupe peuvent être le symptôme d’autres problèmes non liés, tels que la connectivité réseau, des problèmes d’authentification, la disponibilité du contrôleur de domaine ou des erreurs de configuration du service de noms de domaine (DNS, Domain Name Service). Par exemple, la défaillance d’un routeur ou d’un serveur DNS peut empêcher les clients de contacter un contrôleur de domaine.

Question : Quel outil de diagnostic utiliser pour déterminer l’expiration du bail d’une adresse DHCP (Dynamic Host Configuration Protocol) émise pour un ordinateur client ?

Page 536: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Résolution des problèmes des systèmes au moyen des diagnostics réseau

(éventuellement en anglais)

• Utilisation de NSlookup.exe (éventuellement en anglais)

• Article Microsoft Technet : Accès impossible au contrôleur de domaine (éventuellement en anglais)

• Kerbtray.exe: Kerberos.exe : Kerberos Tray (éventuellement en anglais)

Page 537: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-7

Outils de résolution des problèmes liés à la stratégie de groupe

Points clés Il existe un certain nombre d’outils de diagnostic et de journaux permettant de vérifier si vous pouvez suivre un problème jusqu’à la stratégie de groupe principale.

Journalisation de stratégie de groupe Si d’autres outils ne fournissent pas les informations dont vous avez besoin pour identifier les problèmes qui affectent l’application de la stratégie de groupe, vous pouvez activer la journalisation détaillée et examiner les fichiers journaux résultants. Les fichiers journaux peuvent être générés sur le client et le serveur pour fournir des informations détaillées.

Question : Quel outil de diagnostic affiche rapidement le seuil de liaison lente de la stratégie de groupe en cours ?

Page 538: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lectures complémentaires • Modélisation de la stratégie de groupe et résultats (éventuellement en anglais)

• Création manuelle d’objets de stratégie de groupe par défaut (éventuellement en anglais)

• GPOTool (dans le kit des ressources de serveur Win2K) (éventuellement en anglais)

• Article Microsoft Technet : Actualisation des paramètres de stratégie de groupe avec GPUpdate.exe (éventuellement en anglais)

• Résolution des problèmes de stratégie de groupe au moyen de fichiers journaux (éventuellement en anglais)

Page 539: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-9

Démonstration : Utilisation des outils de diagnostic de stratégie de groupe

Question : Quelle procédure devez-vous effectuer avant d’exécuter les rapports de stratégie de groupe RSoP sur un ordinateur distant ?

Page 540: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 2 : Résolution des problèmes liés à l’application de la stratégie de groupe

Lors de la résolution des problèmes de stratégie de groupe, vous devez bien comprendre les interactions entre la stratégie de groupe et ses technologies de prise en charge, et la façon dont vous gérez, déployez et appliquez les objets de stratégie de groupe.

Page 541: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-11

Résolution des problèmes d’héritage de stratégie de groupe

Points clés Le blocage de l’héritage empêche tous les paramètres de niveau supérieur d’affecter les unités d’organisation et leurs unités enfants. Vous ne pouvez bloquer l’héritage que pour des unités d’organisation entières et non pour des objets individuels. Le blocage de l’héritage peut rendre la résolution des problèmes plus compliquée, car il s’oppose aux règles d’héritage habituelles.

Question : Y a-t-il des scénarios dans votre organisation qui bénéficieraient du blocage d’héritage ?

Lectures complémentaires • Article Microsoft Technet : Résolution des problèmes de stratégie de groupe au

moyen des fichiers journaux (éventuellement en anglais)

Page 542: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Résolution des problèmes de filtrage de stratégie de groupe

Points clés Le filtrage de stratégie de groupe détermine les utilisateurs et les ordinateurs qui recevront les paramètres d’objet de stratégie de groupe. Le filtrage des objets de stratégie de groupe dépend de deux facteurs :

• le filtrage de sécurité sur l’objet de stratégie de groupe ;

• les filtres WMI (Windows Management Instrumentation) sur l’objet de stratégie de groupe.

Page 543: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-13

Question : Vous avez appliqué le filtrage de sécurité pour limiter l’application de l’objet de stratégie de groupe au groupe Responsables uniquement. Pour cela, vous avez défini les autorisations suivantes :

• L’autorisation Appliquer la stratégie de groupe est refusée aux utilisateurs authentifiés.

• L’autorisation Lire et Appliquer la stratégie de groupe est accordée au groupe Responsables.

• Aucun des responsables ne reçoit les paramètres de l’objet de stratégie de groupe. Quel est le problème ?

Lectures complémentaires • Article Microsoft Technet : Résolution des problèmes d’étendue de stratégie de

groupe (éventuellement en anglais)

Page 544: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Résolution des problèmes de réplication de stratégie de groupe

Points clés Dans un domaine qui contient plusieurs contrôleurs de domaine, la propagation ou la réplication des informations de stratégie de groupe d’un contrôleur vers un autre prend du temps. Un objet de stratégie de groupe se compose de deux parties : le modèle de stratégie de groupe (GPT) et le conteneur de stratégie de groupe (GPC). Le suivi des modifications apportées aux objets de stratégie de groupe s’opère au moyen de numéros de version. Chaque modification incrémente le numéro de version du modèle de stratégie de groupe et du conteneur de stratégie de groupe.

Question : Quel outil utiliser pour forcer la réplication sur tous les contrôleurs du domaine ?

Page 545: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-15

Lectures complémentaires • Résolution des problèmes liés au service de réplication de fichiers

(éventuellement en anglais)

• Article Microsoft Technet : Échec de la réplication des paramètres de stratégie de groupe entre les contrôleurs de domaine (éventuellement en anglais)

Page 546: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Résolution des problèmes d’actualisation de stratégie de groupe

Points clés L’actualisation de la stratégie de groupe fait référence à la récupération périodique des objets de stratégie de groupe d’un client. Pendant l’actualisation, le client contacte un contrôleur de domaine disponible. Si des objets de stratégie de groupe ont été modifiés, le contrôleur de domaine fournit la liste de tous les objets de stratégie de groupe appropriés. Par défaut, les objets de stratégie de groupe sont traités au niveau de l’ordinateur uniquement si le numéro de version d’au moins un objet a été modifié sur le contrôleur de domaine auquel l’ordinateur accède.

Question : Vous avez implémenté la redirection de dossiers pour une unité d’organisation particulière. Certains utilisateurs signalent que leurs dossiers ne sont pas redirigés vers le partage réseau. Quelle est la première étape à entreprendre pour résoudre le problème ?

Lectures complémentaires • Échec de l’actualisation de la stratégie de groupe (éventuellement en anglais)

Page 547: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-17

Discussion : Résolution des problèmes de configuration de stratégie de groupe

Question : Des paramètres que personne d’autre ne reçoit sont appliqués à un utilisateur. Quel peut-être le problème et comment commenceriez-vous à le résoudre ?

Page 548: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Leçon 3 : Résolution des problèmes liés aux paramètres de stratégie de groupe

Les problèmes liés aux paramètres de stratégie de groupe sont généralement dus à la détection d’une liaison lente ou à une configuration incorrecte. Le fait de connaître le fonctionnement des extensions côté client et le mode de détermination des liaisons lentes facilite la résolution de ces problèmes.

Page 549: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-19

Comment fonctionne le traitement des extensions côté client

Points clés Les extensions côté client sont des bibliothèques de liens dynamiques (DLL, Dynamic Link Libraries) qui effectuent le traitement proprement dit des paramètres de stratégie de groupe. Les paramètres de stratégie sont regroupés en différentes catégories (modèles d’administration, paramètres de sécurité, redirection de dossiers, quotas de disque, installation de logiciels, par exemple). Les paramètres de chaque catégorie requièrent une extension côté client spécifique pour les traiter et chaque extension a ses propres règles pour le traitement des paramètres. Les principaux processus de stratégie de groupe appellent les extensions côté client appropriées pour traiter ces paramètres.

Certaines extensions côtés client se comportent différemment selon les circonstances. Par exemple, certaines extensions n’effectuent pas de traitement si une liaison lente est détectée. Les paramètres de sécurité et les modèles d’administration sont toujours appliqués et vous ne pouvez pas les désactiver. Vous pouvez contrôler le comportement d’autres extensions côtés client sur les liaisons lentes.

Page 550: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Lors du traitement de la stratégie de groupe, le processus WinLogon transmet la liste des objets de stratégie de groupe qui doivent être traités à chaque extension côté client de la stratégie. L’extension utilise la liste pour traiter la stratégie appropriée, le cas échéant.

Question : Les utilisateurs d’une succursale se connectent via une connexion modem lente. Vous voulez que la redirection de dossiers leur soit appliquée même via la liaison lente. Quelle méthode utilisez-vous pour y parvenir ?

Lectures complémentaires • Identification des extensions côté client de la stratégie de groupe

• Stratégie d’ordinateur pour les extensions côté client (éventuellement en anglais)

• Stratégie de groupe et bande passante réseau (éventuellement en anglais)

Page 551: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-21

Résolution des problèmes liés aux paramètres du modèle d’administration

Points clés Certains paramètres du modèle d’administration peuvent être des préférences plutôt que des stratégies que vous ne pouvez pas supprimer facilement, tandis que les systèmes d’exploitation plus anciens peuvent ne pas accepter d’autres paramètres d’administration.

Question : Votre réseau comporte des ordinateurs Windows XP et des ordinateurs Windows Vista. Vous avez configuré le modèle d’administration pour supprimer le lien Jeux du menu Démarrer, mais seuls les ordinateurs Windows Vista appliquent ce paramètre. Quel est le problème ?

Lectures complémentaires • Article Microsoft Technet : Résolution des problèmes liés aux paramètres de

stratégie de modèle d’administration (éventuellement en anglais)

Page 552: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Résolution des problèmes de stratégie de sécurité

Points clés Les stratégies de sécurité protègent l’intégrité de l’environnement informatique en contrôlant de nombreux aspects de celui-ci, tels que les stratégies de mot de passe, les options de sécurité, les groupes restreints, les stratégies réseau, les services, les stratégies de clé publique, etc.

Caractéristiques des stratégies de sécurité • Les stratégies de sécurité sont actualisées toutes les 16 heures, même si elles

n’ont pas changé.

• Les stratégies de sécurité sont toujours traitées, même sur des connexions lentes.

Page 553: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-23

Question : Vous avez configuré une stratégie de mots de passe dans un objet de stratégie de groupe et lié cette stratégie à l’unité d’organisation Recherche. La stratégie n’affecte pas les utilisateurs du domaine dans l’unité d’organisation. Quel est le problème ?

Lectures complémentaires • Résolution des problèmes liés à l’application de la stratégie de groupe

(éventuellement en anglais)

Page 554: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Résolution des problèmes liés aux paramètres de stratégie de script

Points clés L’extension côté client Scripts met à jour le Registre avec l’emplacement des fichiers de script afin que le processus UserInit puisse trouver ces valeurs pendant son traitement normal. Lorsqu’une extension côté client signale la réussite, cela peut signifier uniquement que l’emplacement du script se trouve dans le Registre. Même si le paramètre est dans le Registre, certains problèmes peuvent empêcher son application au client. Par exemple, si un script spécifié dans un paramètre de script comporte une erreur qui empêche son exécution, l’extension côté client ne détecte pas d’erreur.

La stratégie de groupe traite un objet de stratégie de groupe et stocke les informations de script aux emplacements suivants dans le Registre :

• HKCU\Software\Policies\Microsoft\Windows\System\Scripts (Scripts utilisateurs)

• HKLM\Software\Policies\Microsoft\Windows\System\Scripts (Scripts ordinateurs)

Page 555: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-25

Question : Un script d’ouverture de session est assigné à une unité d’organisation. Le script s’exécute correctement pour tous les utilisateurs, mais certains utilisateurs signalent qu’ils obtiennent un message de refus d’accès lorsque qu’ils tentent d’accéder au lecteur mappé. Quel est le problème ?

Lectures complémentaires • Article Microsoft Technet : Résolution des problèmes liés aux paramètres de

stratégie de scripts (éventuellement en anglais)

Page 556: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Atelier pratique : Résolution des problèmes de stratégie de groupe

Scénario La Woodgrove Bank a terminé son déploiement Windows Server 2008. En tant qu’administrateur des services de domaine Active Directory, l’une de vos principales tâches consiste à résoudre les problèmes liés aux services de domaine Active Directory que le support technique de la société fait remonter jusqu’à vous. Vous êtes également chargé de résoudre les problèmes liés à l’application et à la configuration des stratégies de groupe.

Remarque : certaines des tâches de cet atelier sont conçues pour illustrer les techniques de résolution des problèmes liés aux objets de stratégie de groupe et peuvent ne pas toujours respecter les meilleures pratiques en la matière.

Page 557: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-27

Exercice 1 : Résolution des problèmes liés aux scripts de stratégie de groupe Vous allez créer un objet de stratégie de groupe qui effectue les opérations ci-dessous et le lier à tous les utilisateurs et ordinateurs du domaine :

• définir l’adresse http://WoodgroveBank.com comme page d’accueil Internet Explorer® ;

• forcer le menu Démarrer classique ;

• forcer le client à attendre l’initialisation du réseau lors du démarrage, puis à ouvrir une session ;

• configurer le Pare-feu Windows pour autoriser l’administration à distance entrante.

Ensuite, vous allez appliquer à tous les utilisateurs du domaine un objet de stratégie de groupe préconfiguré qui mappe un lecteur vers le dossier partagé Données, puis observer les résultats et résoudre les problèmes.

Tous les utilisateurs du domaine disposeront d’un lecteur mappé sur un dossier partagé nommé Données. L’objet de stratégie de groupe est déjà créé et sauvegardé. Vous allez restaurer et appliquer l’objet de stratégie de groupe qui fournit cette stratégie au domaine et résoudre les problèmes liés à la stratégie.

Un utilisateur de l’unité d’organisation Miami a envoyé le ticket de support technique suivant :

• Nom d’utilisateur : Loig Raoul

• Nom de l’ordinateur : NYC-CL1

• Description du problème : Il n’y a aucun mappage de lecteur vers le dossier Données.

Ce ticket a été transmis à l’équipe serveur pour résolution.

Page 558: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Les tâches principales sont les suivantes :

1. Démarrer l’ordinateur virtuel 6238A-NYC-DC1 et ouvrir une session en tant qu’Administrateur.

2. Créer et lier une stratégie de Bureau au niveau du domaine.

• définir http://WoodgroveBank.com comme page d’accueil d’Internet Explorer ;

• forcer le menu Démarrer classique pour tous les utilisateurs du domaine ;

• forcer l’ordinateur client à attendre l’initialisation du réseau lors du démarrage et de l’ouverture de session ;

• configurer le Pare-feu Windows pour autoriser l’administration à distance entrante.

3. Restaurer l’objet de stratégie de groupe Lab11A.

4. Lier l’objet de stratégie de groupe Lab11A au domaine.

5. Démarrer l’ordinateur virtuel 6238A-NYC-CL1 et ouvrir une session en tant qu’Administrateur.

6. Tester l’objet de stratégie de groupe.

7. Résoudre les problèmes liés à l’objet de stratégie de groupe.

8. Résoudre le problème et tester la résolution.

Tâche 1 : Démarrer l’ordinateur virtuel 6238A-NYC-DC1 et ouvrir une session en tant qu’Administrateur. 1. Ouvrez le client VMRC (Virtual Server Remote Control Client) et double

cliquez sur 6238A-NYC-DC1.

2. Ouvrez une session sur NYC-DC1 en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

Page 559: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-29

Tâche 2 : Créer et lier une stratégie de Bureau au niveau du domaine. 1. Ouvrez Gestion des stratégies de groupe.

2. Créez et liez un objet de stratégie de groupe nommé Bureau au domaine WoodgroveBank.

3. Modifiez la stratégie comme suit :

a. Accédez à Configuration ordinateur, Modèles d’administration, Système, puis Ouverture de session. Activez la stratégie Toujours attendre le réseau lors du démarrage de l’ordinateur et de l’ouverture de session.

b. Accédez à Réseau, Connexions réseau, Pare-feu Windows, puis Profil du domaine. Activez la stratégie Pare-feu Windows : autoriser l’exception d’administration à distance entrante, puis tapez localsubnet dans le champ et cliquez sur OK.

c. Accédez à Configuration utilisateur, Paramètres Windows, Maintenance d’Internet Explorer, Adresses URL, puis Adresses URL importantes.

d. Dans la boîte de dialogue Adresses URL importantes, personnalisez l’URL de la page d’accueil en lui affectant la valeur http://WoodgroveBank.com.

e. Accédez à Modèles d’administration, Menu Démarrer et barre des tâches et activez le paramètre Forcer le menu Démarrer classique.

4. Fermez l’Éditeur de gestion des stratégies de groupe.

Tâche 3 : Restaurer l’objet de stratégie de groupe Lab11A. 1. Dans la console GPMC, cliquez avec le bouton droit sur le dossier Objets de

stratégie de groupe et cliquez sur Gérer les sauvegardes.

2. Dans la boîte de dialogue Gérer les sauvegardes, tapez D:\6238 dans le champ Emplacement de sauvegarde.

3. Sélectionnez l’objet de stratégie de groupe Lab 11A, cliquez sur Restaurer, puis cliquez deux fois sur OK.

4. Fermez la boîte de dialogue Gérer les sauvegardes.

Page 560: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 4 : Lier l’objet de stratégie de groupe Lab11A au domaine. 1. Dans la console GPMC, cliquez avec le bouton droit sur le domaine

WoodgroveBank.com et cliquez sur Lier un objet de stratégie de groupe existant.

2. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l’objet de stratégie de groupe Lab 11A et cliquez sur OK.

Tâche 5 : Démarrer l’ordinateur virtuel 6238A-NYC-CL1 et ouvrir une session en tant qu’Administrateur. • Démarrez NYC-CL1 et ouvrez une session en tant que

WoodgroveBank\Administrateur avec le mot de passe Pa$$w0rd.

Tâche 6 : Tester l’objet de stratégie de groupe. 1. Fermez la session, puis ouvrez une nouvelle session en tant

qu’Administrateur.

Remarque : deux ouvertures de session sont nécessaires pour voir les paramètres de la stratégie de groupe car l’Administrateur ouvre une session avec des données d’identification mises en cache.

2. Cliquez sur le bouton Démarrer et vérifiez que le menu Démarrer classique apparaît.

3. Double-cliquez sur Internet Explorer et cliquez sur le X rouge pour arrêter la tentative de connexion à la page de démarrage par défaut. Cliquez sur l’icône Démarrage dans la barre d’outils et vérifiez que http://WoodgroveBank.com est la page d’accueil.

4. Double-cliquez sur Internet Explorer et cliquez sur le X rouge pour arrêter la tentative de connexion à la page de démarrage par défaut. Cliquez sur l’icône Démarrage dans la barre d’outils et vérifiez que http://WoodgroveBank.com est la page d’accueil.

5. Fermez Internet Explorer.

6. Double-cliquez sur Ordinateur sur le Bureau et vérifiez qu’un lecteur est mappé au dossier partagé Données.

Page 561: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-31

7. Fermez la session.

8. Sur l’ordinateur virtuel NYC-CL1, ouvrez une session en tant que Loig avec le mot de passe Pa$$w0rd.

9. Fermez l’Accueil Windows.

10. Cliquez sur le bouton Démarrer et vérifiez que Loig dispose du menu Démarrer classique.

11. Sur le Bureau, double-cliquez sur Internet Explorer, cliquez sur l’icône Démarrage de la barre d’outils et vérifiez que http://WoodgroveBank.com est la page d’accueil.

12. Fermez Internet Explorer.

13. Sur le Bureau, double-cliquez sur Ordinateur et recherchez le lecteur mappé vers le dossier partagé Données.

Tâche 7 : Résoudre les problèmes liés à l’objet de stratégie de groupe. 1. Revenez à NYC-DC1.

2. Dans la console GPMC, cliquez avec le bouton droit sur Résultats de la stratégie de groupe, puis cliquez sur Assistant Résultats de la stratégie de groupe.

3. Dans l’écran Sélection de l’ordinateur, cliquez sur Autre ordinateur, puis tapez NYC-CL1 dans le champ.

4. Dans la fenêtre Sélection de l’utilisateur, sélectionnez WoodgroveBank\Loig, puis cliquez sur Terminer.

5. Dans la section Résumé de la configuration utilisateur, cliquez sur Objets de stratégie de groupe, puis sur Objets de stratégie de groupe appliqués.

6. Cliquez sur l’onglet Paramètres.

7. Développez Paramètres Windows, Scripts et Ouverture de session.

8. Revenez à NYC-CL1 en tant que Loig.

9. Testez l’autorisation de Loig sur l’emplacement des scripts : ouvrez une commande Exécuter, tapez \\nan-cd1\scripts et appuyez sur Entrée.

10. Cliquez sur OK pour fermer la boîte de dialogue d’erreur.

Page 562: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Remarque : si vous disposez de suffisamment de temps, vous pouvez afficher le journal opérationnel de stratégie de groupe en tant qu’Administrateur sur NYC-CL1. Si vous filtrez l’affichage pour afficher les événements que génère Loig, vous devez constater que le journal ne détecte pas les erreurs ou les avertissements pour cet utilisateur. Cela est dû au fait que l’objet de stratégie de groupe définit uniquement une valeur dans le Registre qui spécifie l’emplacement du dossier des scripts. La stratégie de groupe ne sait pas si l’utilisateur a accès à l’emplacement. L’écriture a réussi. Par conséquent, le journal de stratégie de groupe ne voit pas d’erreurs. Pour déterminer les problèmes d’accès, vous devez auditer Accès à l’objet pour le dossier des scripts.

Tâche 8 : Résoudre le problème et tester la résolution. 1. Revenez à NYC-DC1 et ouvrez l’Explorateur Windows.

2. Accédez au dossier D:\6238\scripts.

3. Ajoutez des utilisateurs authentifiés à la liste des autorisations de partage et accordez-leur l’autorisation Lecture.

4. Basculez vers NYC-CL1 en tant que Loig, fermez la session puis rouvrez-la.

5. Sur le Bureau, double-cliquez sur Ordinateur.

Remarque : une autre méthode de résolution du problème consisterait à déplacer le script vers le partage Netlogon.

6. Fermez la session.

Résultat : au terme de cet exercice, vous aurez résolu un problème de scripts de stratégie de groupe.

Page 563: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-33

Exercice 2 : Résolution des problèmes liés à l’objet de stratégie de groupe Lab11B Les utilisateurs du domaine de l’unité d’organisation Miami et de toutes les sous-unités d’organisation ne doivent pas avoir accès au Panneau de configuration. Vous allez restaurer et appliquer l’objet de stratégie de groupe qui fournit cette stratégie à l’unité d’organisation Miami.

Le technicien sur site local a soumis un ticket de support technique et transmis le problème suivant à l’équipe du serveur :

• Nom d’utilisateur : Technicien sur site local

• Nom de l’ordinateur : NYC-CL1

• Nom d’utilisateur : Technicien sur site local

• Nom de l’ordinateur : NYC-CL1

• Description du problème : Aucun utilisateur ne doit avoir accès au Panneau de configuration. Toutefois, certains utilisateurs y ont accès et d’autres pas. En particulier, Loig, un gestionnaire de la succursale de Miami, a accès au Panneau de configuration.

Ce ticket a été transmis à l’équipe serveur pour résolution.

Dans cet exercice, les tâches principales sont les suivantes :

1. Restaurer l’objet de stratégie de groupe Lab11B.

2. Lier l’objet de stratégie de groupe Lab11B à l’unité d’organisation Miami.

3. Tester l’objet de stratégie de groupe avec des utilisateurs différents.

4. Résoudre les problèmes liés à l’objet de stratégie de groupe à l’aide de RSoP.

5. Résoudre le problème et tester la résolution.

Tâche 1 : Restaurer l’objet de stratégie de groupe Lab11B. 1. Sur NYC-DC1, cliquez avec le bouton droit sur le dossier Objets de stratégie

de groupe, puis cliquez sur Gérer les sauvegardes.

2. Dans la boîte de dialogue Gérer les sauvegardes, tapez D:\6238\GPOBackup dans le champ Emplacement de sauvegarde.

3. Restaurez l’objet de stratégie de groupe Lab 11B.

Page 564: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-34 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Lier l’objet de stratégie de groupe Lab11B à l’unité d’organisation Miami. 1. Dans la console GPMC, cliquez avec le bouton droit sur l’unité d’organisation

Miami et cliquez sur Lier un objet de stratégie de groupe existant.

2. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l’objet de stratégie de groupe Lab 11B et cliquez sur OK.

Tâche 3 : Tester l’objet de stratégie de groupe. 1. Sur NYC-CL1, ouvrez une session en tant que Etienne avec le mot de passe

Pa$$w0rd.

2. Vérifiez que les paramètres de l’objet de stratégie de groupe Bureau sont appliqués.

3. Assurez-vous que l’icône du Panneau de configuration n’apparaît pas sur le Bureau ou dans le menu Démarrer.

4. Fermez la session.

5. Ouvrez une session sur NYC-CL1 en tant que Loig.

6. Fermez la session.

Tâche 4 : Résoudre les problèmes liés à l’objet de stratégie de groupe. 1. Revenez à NYC-DC1.

2. Dans la console GPMC, cliquez avec le bouton droit sur Résultats de la stratégie de groupe, puis cliquez sur Assistant Résultats de la stratégie de groupe.

3. Dans la fenêtre Sélection de l’ordinateur, cliquez sur Autre ordinateur, puis tapez NYC-CL1 dans le champ.

4. Dans la fenêtre Sélection de l’utilisateur, sélectionnez WoodgroveBank\Etienne, puis cliquez sur Terminer.

5. Dans la section Résumé de la configuration utilisateur, cliquez sur Objets de stratégie de groupe, puis sur Objets de stratégie de groupe appliqués.

6. Cliquez sur l’onglet Paramètres.

7. Développez Paramètres Windows, puis Panneau de configuration.

Page 565: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-35

8. Cliquez avec le bouton droit sur Résultats de la stratégie de groupe, envoyez une requête à Loig sur NYC-CL1 dans le volet de gauche et cliquez sur Relancer la requête.

9. Dans la section Résumé de la configuration utilisateur, cliquez sur Objets de stratégie de groupe, puis sur Objets de stratégie de groupe appliqués.

10. Cliquez sur Objets de stratégie de groupe refusés.

Tâche 5 : Résoudre le problème et tester la résolution. 1. Dans la console GPMC, développez le dossier Objets de stratégie de groupe,

cliquez sur l’objet de stratégie de groupe Lab 11B, cliquez sur l’onglet Délégation puis sur Avancée.

2. Dans l’onglet Sécurité, cliquez sur Miami_BranchManagersGG.

3. Supprimez Miami_BranchManagersGG de la liste d’autorisations, puis cliquez sur OK.

4. Basculez vers NYC-CL1 et ouvrez une nouvelle session en tant que Loig.

Résultat : au terme de cet exercice, vous aurez résolu un problème d’objets de stratégie de groupe.

Page 566: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-36 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Résolution des problèmes liés à l’objet de stratégie de groupe Lab11C Les utilisateurs de l’unité d’organisation Miami ne doivent pas avoir accès à la commande Exécuter du menu Démarrer. Vous allez restaurer et lier l’objet de stratégie de groupe Lab 11C pour appliquer ce paramètre.

Le technicien local a transmis le problème suivant à l’équipe du serveur :

• Nom d’utilisateur : Technicien sur site local

• Nom de l’ordinateur : NYC-CL1

• Description du problème : Aucun utilisateur ne doit avoir accès à la commande Exécuter du menu Démarrer, mais tous les utilisateurs de l’unité d’organisation Miami y ont accès.

Ce ticket a été transmis à l’équipe serveur pour résolution.

Dans cet exercice, les tâches principales sont les suivantes :

1. Restaurer l’objet de stratégie de groupe Lab11C.

2. Lier l’objet de stratégie de groupe Lab11C à l’unité d’organisation Miami.

3. Tester l’objet de stratégie de groupe.

4. Résoudre les problèmes liés à l’objet de stratégie de groupe.

5. Résoudre le problème et tester la résolution.

Tâche 1 : Restaurer l’objet de stratégie de groupe Lab11C. 1. Sur NYC-DC1, cliquez avec le bouton droit sur le dossier Objets de stratégie

de groupe, puis cliquez sur Gérer les sauvegardes.

2. Dans la boîte de dialogue Gérer les sauvegardes, tapez D:\6238\GPOBackup dans le champ Emplacement de sauvegarde.

3. Restaurez l’objet de stratégie de groupe Lab 11C.

Page 567: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-37

Tâche 2 : Lier l’objet de stratégie de groupe Lab11C à l’unité d’organisation Miami. 1. Dans la console GPMC, cliquez avec le bouton droit sur l’unité d’organisation

Miami et cliquez sur Lier un objet de stratégie de groupe existant.

2. Sélectionnez l’objet de stratégie de groupe Lab 11C et cliquez sur OK.

Tâche 3 : Tester l’objet de stratégie de groupe. 1. Ouvrez une session sur NYC-CL1 en tant que Loig.

2. Fermez la session.

Tâche 4 : Résoudre les problèmes liés à l’objet de stratégie de groupe. 1. Basculez vers NYC-DC1.

2. Dans la console GPMC, réexécutez la requête Loig sur NYC-CL1.

3. Dans la section Résumé de la configuration utilisateur, cliquez sur Objets de stratégie de groupe, puis sur Objets de stratégie de groupe appliqués.

4. Cliquez sur l’onglet Paramètres.

5. Dans la section Configuration utilisateur, développez Modèles d’administration, puis cliquez sur Menu Démarrer et barre des tâches.

Tâche 5 : Résoudre le problème et tester la résolution. 1. Développez le dossier Objets de stratégie de groupe, cliquez avec le bouton

droit sur l’objet de stratégie de groupe Lab 11C et cliquez sur Modifier.

2. Accédez à Configuration utilisateur, Modèles d’administration, Menu Démarrer, puis Barre des tâches.

3. Double-cliquez sur le paramètre Ajouter la commande Exécuter au menu Démarrer, cliquez sur Non configuré, puis sur OK.

4. Recherchez le paramètre Supprimer le menu Exécuter du menu Démarrer et activez-le.

5. Fermez l’Éditeur d’objets de stratégie de groupe.

Page 568: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-38 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

6. Ouvrez une session sur NYC-CL1 en tant que Loig.

7. Ne fermez pas la session.

Résultat : au terme de cet exercice, vous aurez résolu un problème d’objets de stratégie de groupe.

Page 569: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-39

Exercice 4 : Résolution des problèmes liés à l’objet de stratégie de groupe Lab11D Vous allez restaurer l’objet de stratégie de groupe Lab 11D et le lier au dossier Loopback. Cet objet de stratégie de groupe est conçu pour améliorer la sécurité.

Un utilisateur dans l’unité d’organisation Miami a envoyé le ticket de support technique suivant :

• Nom d’utilisateur : Loig Raoul

• Nom de l’ordinateur : NYC-CL1

• Description du problème : Depuis l’application de l’objet stratégie de groupe, Loig n’a plus le menu Démarrer classique ni le mappage de lecteur et ne peux plus exécuter Internet Explorer.

Ce ticket a été transmis à l’équipe serveur pour résolution.

Dans cet exercice, les tâches principales sont les suivantes :

1. Créer une unité d’organisation appelée Loopback.

2. Restaurer l’objet de stratégie de groupe Lab11D.

3. Lier l’objet de stratégie de groupe Lab11D à l’unité d’organisation Loopback.

4. Déplacer l’ordinateur virtuel NYC-CL1 vers l’unité d’organisation Loopback.

5. Tester l’objet de stratégie de groupe.

6. Résoudre les problèmes liés à l’objet de stratégie de groupe.

7. Résoudre le problème et tester la résolution.

Tâche 1 : Créer une unité d’organisation appelée Loopback. • Utilisez Utilisateurs et ordinateurs Active Directory pour créer une unité

d’organisation appelée Loopback dans le domaine WoodgroveBank.com.

Page 570: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-40 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Restaurer l’objet de stratégie de groupe Lab11D. 1. Sur NYC-DC1, cliquez avec le bouton droit sur le dossier Objets de stratégie

de groupe, puis cliquez sur Gérer les sauvegardes.

2. Dans la boîte de dialogue Gérer les sauvegardes, tapez D:\6238\GPOBackup dans le champ Emplacement de sauvegarde.

3. Restaurez l’objet de stratégie de groupe Lab 11D.

Tâche 3 : Lier l’objet de stratégie de groupe Lab11D à l’unité d’organisation Loopback. 1. Dans la console GPMC, cliquez avec le bouton droit sur l’unité d’organisation

Loopback et cliquez sur Lier un objet de stratégie de groupe existant.

2. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l’objet de stratégie de groupe Lab 11D et cliquez sur OK.

Tâche 4 : Déplacer l’ordinateur virtuel NYC-CL1 vers l’unité d’organisation Loopback. 1. Cliquez sur Démarrer, Outils d'administration, puis sur Utilisateurs et

ordinateurs Active Directory.

2. Développez le domaine WoodgroveBank.com , puis cliquez sur le conteneur Ordinateurs.

3. Cliquez avec le bouton droit sur le compte d’ordinateur NYC-CL1, puis cliquez sur Déplacer.

4. Sélectionnez l’unité d’organisation Loopback, puis cliquez sur OK.

Tâche 5 : Tester l’objet de stratégie de groupe. 1. Basculez vers l’ordinateur virtuel NYC-CL1, puis redémarrez l’ordinateur.

2. Ouvrez une session en tant que WoodgroveBank\Loig avec le mot de passe Pa$$w0rd.

3. Fermez l’Accueil Windows.

4. Cliquez sur le bouton Démarrer.

Page 571: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-41

5. Double-cliquez sur Internet Explorer.

6. Fermez Internet Explorer.

Tâche 6 : Résoudre les problèmes liés à l’objet de stratégie de groupe. 1. Revenez à NYC-DC1.

2. Dans la console GPMC, exécutez l’Assistant Résultats de la stratégie de groupe.

3. Dans la fenêtre Sélection de l’ordinateur, cliquez sur Autre ordinateur, tapez NYC-CL1 dans la zone, puis cliquez sur Suivant.

4. Dans la fenêtre Sélection de l’utilisateur, sélectionnez WoodgroveBank\Loig, puis cliquez sur Terminer.

5. Dans la section Résumé de la configuration ordinateur, cliquez sur Objets de stratégie de groupe, puis sur Objets de stratégie de groupe appliqués.

6. Dans la section Configuration de l’ordinateur, cliquez sur Modèles d’administration, puis sur Système/Stratégie de groupe.

Tâche 7 : Résoudre le problème et tester la résolution. 1. Dans la console GPMC, cliquez avec le bouton droit sur l’unité d’organisation

Admins et désactivez le lien vers l’objet de stratégie de groupe Lab 11D.

2. Redémarrez l’ordinateur NYC-CL1.

3. Ouvrez une session en tant que Loig.

Résultat : au terme de cet exercice, vous aurez résolu un problème d’objets de stratégie de groupe.

Page 572: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-42 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Récapitulatif du module et objectifs

Éléments à prendre en considération Prenez les points suivants en compte lorsque vous mettez en œuvre un plan de contrôle des services de domaine Active Directory :

• Les extensions côté client gèrent l’application de la stratégie de groupe à des intervalles normaux configurables.

• Les numéros de version des stratégies de groupe déterminent si une stratégie de groupe a été modifiée.

• Les extensions côté client ne sont pas toutes traitées sur une liaison lente.

• Les paramètres de sécurité sont actualisés toutes les 16 heures.

• Windows XP et les versions antérieures enregistrent la plupart des problèmes liés aux stratégies de groupe dans le journal Userenv. Vous pouvez modifier le Registre pour activer d’autres journaux d’extension côté client.

• Windows Vista enregistre les informations de journalisation dans les journaux opérationnels de l’Observateur d’événements.

Page 573: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-43

• Le blocage de l’héritage empêche l’application de toutes les stratégies de niveau élevé à moins que celles-ci ne soient appliquées.

• Vous pouvez filtrer la stratégie de groupe pour l’appliquer uniquement à certains principes de sécurité au moyen de paramètres de sécurité ou de scripts WMI.

• La stratégie de groupe est composée de deux parties : les modèles de stratégie de groupe et les conteneurs de stratégie de groupe. La stratégie de groupe réplique ces objets sur des planifications distinctes à l’aide de mécanismes différents.

• Windows XP et les versions ultérieures ouvrent une session pour les utilisateurs au moyen d’informations d’identification mises en cache par défaut. Pour cette raison, de nombreux paramètres d’utilisateurs nécessiteront deux ouvertures de session.

• Windows XP et les versions inférieures utilisent le protocole ICMP pour déterminer la vitesse de la liaison. Windows Vista et les versions ultérieures utilisent la reconnaissance du réseau pour déterminer la vitesse de la liaison.

• Les principes de sécurité requièrent l’autorisation d’accéder aux emplacements des scripts afin de pouvoir les exécuter.

• Les scripts de démarrage de l’ordinateur s’exécutent de manière synchrone par défaut.

• Les scripts d’ouverture de session des utilisateurs s’exécutent de manière asynchrone par défaut.

Page 574: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

11-44 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Outils Utilisez les outils suivants lors de la résolution des problèmes de stratégie de groupe :

Ping • Test de la connectivité réseau.

Nslookup • Test des recherches DNS.

DCdiag • Test des contrôleurs de domaine.

Set • Affichage, définition ou suppression de variables d’environnement.

Kerbtray • Affichage des informations de ticket Kerberos.

Rapports de stratégie de groupe RSoP.

• Rapports sur les stratégies actuelles fournies aux clients.

GPResult • Utilitaire en ligne de commande qui affiche les informations RSoP.

GPOTool • Vérification de la stabilité des objets de stratégie de groupe et contrôle de la réplication de stratégie.

GPResult • Actualisation des paramètres de stratégie de groupe locaux et basés sur les services de domaine Active Directory.

Dcgpofix • Restauration des objets de stratégie de groupe par défaut à leur état d’origine après l’installation initiale.

GPOLogView • Exportation des événements liés à la stratégie de groupe à partir des journaux système et opérationnels vers des fichiers texte, HTML ou XML. À utiliser avec Windows Vista et les versions ultérieures.

Scripts de gestion des stratégies de groupe

• Exemples de scripts qui effectuent des tâches de résolution des problèmes et de maintenance.

Page 575: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Résolution des problèmes de stratégie de groupe 11-45

Questions du contrôle des acquis 1. Quel outil peut tester la résolution de noms DNS ?

a. Nslookup

b. DCdiag

c. GPResult

d. Ping

2. Quel journal donnera les détails de la redirection de dossiers ?

________________________________________________________________

3. Quel indicateur visuel de la console GPMC montre que l’héritage a été bloqué ?

________________________________________________________________

4. Quels paramètres d’objet de stratégie de groupe sont appliqués sur les liaisons lentes par défaut ? Sélectionnez toutes les réponses qui conviennent.

a. Stratégies de scripts

b. Paramètres de sécurité

c. Paramètres d’administration

d. Maintenance d’Internet Explorer

e. Stratégie de récupération du système EFS

f. Stratégie IPSec

Page 576: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 577: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-1

Module 12. Implémentation d’une infrastructure AD DS

Table des matières : Leçon 1 : Présentation du domaine des services de domaine Active Directory 12-3

Leçon 2 : Planification d’une stratégie de groupe 12-7

Atelier pratique A : Déploiement des services de domaine Active Directory 12-9

Atelier pratique B : Configuration de la relation d’approbation de forêt 12-25

Atelier pratique C : Conception d’une stratégie de groupe 12-33

Page 578: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-2 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Vue d’ensemble du module

Ce module explique comment implémenter une infrastructure Services de domaine Active Directory® (Active Directory® Domain Services, ou AD DS). Il comporte cinq exercices répartis en trois ateliers pratiques. Ces exercices complètent le cours théorique en vous donnant la possibilité d’effectuer diverses opérations non réalisées au cours des ateliers précédents. Les exercices sont indépendants les uns des autres.

Page 579: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-3

Leçon 1 : Présentation du domaine des services de domaine Active Directory

Cette leçon présente les composants du domaine des services de domaine Active Directory sur lesquels vous travaillerez lors des ateliers.

Page 580: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-4 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Présentation de la configuration actuelle du domaine AD DS

Points clés La diapositive illustre la configuration actuelle du domaine de Woodgrove Bank.

Page 581: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-5

Présentation de la configuration du domaine AD DS requise

Points clés La diapositive illustre la configuration du domaine de Woodgrove Bank que l’on souhaite obtenir. Le domaine Contoso sera intégré à la forêt Woodgrove Bank sous forme d’arborescence distincte.

Page 582: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-6 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Présentation de la configuration du site AD DS

Points clés La diapositive illustre la configuration actuelle du site de Woodgrove Bank. La société vient d’ouvrir une nouvelle agence à New-York et souhaite créer un site pour contrôler le trafic de connexions de cette agence.

Nous allons créer les deux sites suivants :

• Le site Contoso.com contiendra le sous-réseau 192.168.0.0.

• Le site NYC-Branch-Office contiendra le sous-réseau 10.30.0.0.

Page 583: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-7

Leçon 2 : Planification d’une stratégie de groupe

Dans cette leçon, vous allez planifier une stratégie de groupe et l’implémenter au cours des ateliers.

Page 584: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-8 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Présentation du déploiement du contrôleur de domaine

Points clés La diapositive illustre le déploiement du nouveau contrôleur de domaine de Woodgrove Bank.

• L’ordinateur Server Core NYC-SVR2 sera renommé en NYC-DC3 pour tenir compte du changement de rôle. Le rôle RODC (read-only domain controller, contrôleur de domaine en lecture seule) sera alors installé sur NYC-DC3.

• L’ordinateur NYC-SVR1 sera renommé en ContosoDC pour tenir compte du changement de rôle. Il sera ensuite promu au rôle de contrôleur du domaine Contoso.

Page 585: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-9

Atelier pratique A : Déploiement des services de domaine Active Directory

Scénario Woodgrove Bank déploie un AD DS sous le système d’exploitation Windows Server® 2008. L’administrateur de l’entreprise a défini la configuration du déploiement. En tant qu’administrateur AD DS, vous êtes chargé d’implémenter cette configuration et de vérifier que tous ses composants fonctionnent correctement.

Informations sur les sites Il existera deux nouveaux sites : NYC Branch Office et Contoso.

• Nom du site : NYC-Head-Office

• Sous-réseau : 10.10.0.0

• Passerelle : 10.10.0.1

• Contrôleur de domaine : NYC-DC1 10.10.0.10

Page 586: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-10 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

• Nom du site : NYC-Branch-Office

• Sous-réseau : 10.30.0.0

• Passerelle : 10.30.0.1

• Contrôleur de domaine : NYC-DC3 (RODC) (renommer NYC-SRV2) 10.30.0.10

• Nom du site : Contoso

• Sous-réseau : 192.168.0.0

• Passerelle : 192.168.0.1

• Contrôleur de domaine : ContosoDC (renommer NYC-SRV1) 192.168.0.10

Informations sur les domaines Il existera deux domaines : WoodgroveBank.com et Contoso.com.

WoodgroveBank et Contoso font partie de la même forêt. WoodgroveBank est le domaine racine de la forêt et Contoso une arborescence distincte de cette dernière.

WoodgroveBank.com Contrôleurs de domaine : NYC-DC1, NYC-DC2, NYC-DC3 (RODC) (renommer NYC-SRV2)

Contoso.com Contrôleur de domaine : ContosoDC (renommer NYC-SVR1)

Remarque : l’atelier pratique suivant nécessite l’exécution simultanée de quatre ordinateurs virtuels. Les ordinateurs des stagiaires doivent être configurés avec 1 Go de RAM supplémentaire (soit un total de 3 Go) pour améliorer les performances des ordinateurs virtuels dans cet atelier pratique.

Page 587: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-11

Exercice 1 : Installation d’un RODC sur un ordinateur Server Core et création du site d’une agence

Scénario Woodgrove Bank a ouvert une nouvelle agence à New York. Les comptes d’utilisateurs du personnel de l’agence feront l’objet d’une unité d’organisation distincte. Pour mieux gérer le trafic de connexions, la direction a décidé de créer un site distinct pour l’agence et de créer un contrôleur de domaine en lecture seule sur une installation Server Core du site.

Vous êtes chargé de créer et de configurer le contrôleur de domaine de la nouvelle agence de New York. Vous utiliserez un serveur existant, NYC-SRV2, qui est une installation Server Core. Vous allez exécuter les tâches ci-dessous dans les services de domaine Active Directory :

• Vous préconfigurerez le compte du RODC de l’agence.

• Vous créerez une unité d’organisation nommée « Personnel agence » qui contiendra les comptes d’utilisateurs.

• Vous créerez des comptes d’utilisateurs pour le directeur et pour les utilisateurs de l’agence.

• Vous créerez un groupe global nommé BranchUsersGG et y ajouterez les utilisateurs de l’agence.

Les seuls mots de passe mis en cache sur le RODC seront ceux du personnel de l’agence.

Vous êtes également chargé de créer le site de l’agence ainsi que l’objet de sous-réseau, 10.30.0.0, de cette dernière. Vous devrez ensuite renommer NYC-SRV2 en NYC-DC3, qui est un nom reflétant le changement de rôle. Vous configurerez l’adresse IP en fonction du sous-réseau du site de l’agence. Ensuite, vous installerez le RODC sur le serveur. Enfin, vous configurerez une réplication à des intervalles de 30 minutes avec le site du siège.

Les tâches principales de cet exercice sont les suivantes :

1. Démarrer les ordinateurs virtuels et ouvrir une session.

2. Copier le fichier sans assistance et remplacer le nom NYC-SVR2 par NYC-DC3.

3. Donner à NYC-SRV2 l’adresse IP 10.30.0.10.

Page 588: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-12 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

4. Créer le site NYC-Branch-Office et renommer le site par défaut.

5. Créer les objets de sous-réseau des sites du siège et de l’agence de New York.

6. Configurer la planification de la réplication.

7. Créer une unité d’organisation pour l’agence.

8. Créer des utilisateurs et des groupes pour l’agence.

9. Configurer le service DNS sur NYC-DC1 de façon à autoriser les transferts de zone.

10. Prédéfinir le compte d’ordinateur pour le contrôleur de domaine en lecture seule.

11. Installer le rôle DNS sur l’ordinateur virtuel NYC-DC3.

12. Installer le contrôleur de domaine en lecture seule sur l’ordinateur virtuel NYC-DC3 et vérifier le résultat.

13. Fermer l’ordinateur virtuel NYC-SRV2 et ignorer les disques d’annulations.

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes et sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Lancer.

3. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC2, cliquez sur Lancer.

4. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-SVR2, cliquez sur Lancer.

5. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-RAS, cliquez sur Lancer.

6. Ouvrez une session sur tous les ordinateurs en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

7. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Page 589: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-13

Tâche 2 : Copier le fichier sans assistance et remplacer le nom NYC-SRV2 en NYC-DC3. 1. Copiez le fichier NYC-RODC.txt du dossier D:\6238\Mod12\Labfiles vers le

lecteur C:.

2. À l’invite de commandes, tapez Netdom renamecomputer %nomordinateur% /newname:NYC-DC3 /force /reboot:5, puis appuyez sur Entrée. L’ordinateur redémarre automatiquement au bout de 5 secondes.

Tâche 3 : Affecter l’adresse IP 10.30.0.10 à l’ordinateur virtuel NYC-SRV2. 1. Dans l’invite de commandes, tapez netsh interface ipv4 show interfaces.

Notez le numéro Idx de l’interface de connexion au réseau local.

2. Dans l’invite de commandes, tapez netsh interface ipv4 set address name=<Numéro Idx de l’interface réseau> source=static address=10.30.0.10 mask=255.255.0.0 gateway=10.30.0.1, puis appuyez sur Entrée.

3. Dans l’invite de commandes, tapez IPconfig /all et assurez-vous que les informations d’adresse IP sont correctes et que le serveur DNS est 10.10.0.10.

Tâche 4 : Créer le site NYC-Branch-Office et renommer le site par défaut. 1. Sur NYC-DC1, ouvrez Sites et services Active Directory.

2. Cliquez avec le bouton droit sur Sites, puis cliquez sur le New Site named NYC-Branch-Office. Sélectionnez DefaultIPSiteLink, puis cliquez sur OK.

3. Remplacez Default-First-Site-Name par NYC-Head-Office.

Tâche 5 : Créer les objets de sous-réseau des sites du siège et de l’agence de New York. 1. Créez un objet de sous-réseau pour le sous-réseau 10.10.0.0/16. Sélectionnez

le site NYC-Head-Office, puis cliquez sur OK.

2. Créez un objet de sous-réseau pour le sous-réseau 10.30.0.0/16. Sélectionnez le site NYC-Branch-Office, puis cliquez sur OK.

Page 590: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-14 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 6 : Configurer la planification de la réplication. 1. Ouvrez les propriétés du sous-réseau DEFAULTIPSITELINK.

2. Tapez 30 dans le champ Réplication toutes les, puis cliquez sur OK.

3. Fermez Sites et services Active Directory.

Tâche 7 : Créer une unité d’organisation pour les utilisateurs de l’agence. 1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Créez une unité d’organisation nommée NYC-Branch-Office.

Tâche 8 : Créer des utilisateurs et des groupes pour l’agence. 1. Créez un utilisateur selon les paramètres suivants :

• Nom : Branch Manager

• Nom d’ouverture de session : branchmanager

• Mot de passe : Pa$$w0rd

• Le mot de passe n’expire jamais.

2. Créez un second utilisateur selon les paramètres suivants :

• Nom : Branch User

• Nom d’ouverture de session : branchuser

• Mot de passe : Pa$$w0rd

• Le mot de passe n’expire jamais.

3. Créez un groupe global nommé BranchUsersGG.

4. Ajoutez les comptes Branch Manager et Branch User au groupe global BranchUsersGG.

Page 591: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-15

Tâche 9 : Configurer le service DNS sur NYC-DC1 de façon à autoriser les transferts de zone. 1. Sur NYC-DC1, ouvrez la console de gestion DNS.

2. Configurez la zone WoodgroveBank.com de façon à autoriser les transferts de zone.

3. Fermez le Gestionnaire DNS.

Tâche 10 : Prédéfinir le compte d’ordinateur pour le contrôleur de domaine en lecture seule. 1. Revenez à Utilisateurs et ordinateurs Active Directory, cliquez avec le

bouton droit sur l’unité d’organisation Contrôleurs de domaine, puis cliquez sur le compte Créer au préalable un compte de contrôleur de domaine en lecture seule.

2. Dans la page Assistant Installation des services de domaine Active Directory, activez la case à cocher Utiliser l’installation en mode avancé, puis cliquez sur Suivant.

3. Dans la page Compatibilité du système d’exploitation, cliquez sur Suivant.

4. Dans la page Informations d’identification réseau, vérifiez que l’option Mes informations d’identification de connexion actuelles est sélectionnée, puis cliquez sur Suivant.

5. Dans la page Spécifiez le nom de l’ordinateur, dans le champ Nom de l’ordinateur, tapez NYC-DC3, puis cliquez sur Suivant.

6. Dans la page Sélectionner un site, cliquez sur NYC-Branch-Office, puis sur Suivant.

7. Dans la page Options supplémentaires pour le contrôleur de domaine, conservez les valeurs par défaut, puis cliquez sur Suivant.

8. Dans la page Spécifier la stratégie de réplication de mot de passe, cliquez sur Ajouter, puis sélectionnez Autoriser la réplication des mots de passe du compte sur ce contrôleur de domaine en lecture seule (RODC).

9. Ajoutez BranchUsersGG.

Page 592: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-16 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

10. Dans la page Délégation de l’installation en une administration du RODC, cliquez sur Définir, puis ajoutez le compte BranchManager.

11. Fermez l’Assistant pour créer le compte RODC. Notez que le compte d’ordinateur NYC-DC3 est répertorié dans les services de domaine Active Directory, mais que le type de contrôleur de domaine est Compte de contrôleur de domaine inoccupé.

Tâche 11 : Installer le rôle DNS sur NYC-DC3. 1. Sur NYC-DC3, tapez Oclist pour afficher les rôles actuellement installés. Notez

qu’aucun rôle n’est actuellement installé.

2. Tapez start /w ocsetup DNS-Server-Core-Role, puis appuyez sur Entrée pour installer le serveur DNS. Le nom de rôle du Server Core est sensible à la casse.

Tâche 12 : Installer le contrôleur de domaine en lecture seule sur l’ordinateur virtuel NYC-DC3 et vérifier le résultat. 1. Tapez dcpromo.exe /UseExistingAccount:Attach /unattend:c:\nyc-rodc.txt.

L’exécution de la promotion prend plusieurs minutes et se termine par un redémarrage automatique de l’ordinateur.

2. Sur l’ordinateur virtuel NYC-DC3, ouvrez une session en tant que BranchManager.

3. Basculez vers l’ordinateur virtuel NYC-DC1 et actualisez l’affichage de l’unité d’organisation des contrôleurs de domaine. Notez que le type de contrôleur de domaine de l’ordinateur virtuel NYC-DC3 est maintenant défini sur Contrôleur de domaine en lecture seule.

4. Ouvrez Sites et services Active Directory et examinez le site NYC-Branch-Office. Notez que l’ordinateur virtuel NYC-DC3 est maintenant répertorié dans le conteneur Serveurs.

5. Ouvrez le Gestionnaire DNS et connectez-vous au serveur DNS NYC-DC3. Notez que l’ordinateur virtuel NYC-DC3 héberge une copie de la zone WoodgroveBank.com.

Page 593: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-17

Remarque : si le serveur n’est pas disponible, attendez quelques minutes et réessayez. Notez que l’ordinateur virtuel NYC-DC3 héberge une copie de la zone WoodgroveBank.com.

6. Fermez la console DNS.

Tâche 13 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation. 1. Fermez la fenêtre VMRC de l’ordinateur virtuel 6238A-NYC-SRV2.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

Résultat : auterme de cet exercice, vous aurez créé un RODC sur un ordinateur Server Core.

Page 594: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-18 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Création d’un domaine dans une arborescence distincte et sur un site distinct

Scénario La Woodgrove Bank a acquis une petite entreprise nommée Contoso, Ltd. Pour des raisons juridiques, cette société doit faire l’objet d’un domaine distinct dans une nouvelle arborescence faisant partie de la même forêt. Cela permettra à la société de conserver l’espace de noms Contoso.com. Le domaine Contoso se trouvera également dans un site distinct.

Vous êtes chargé de créer le domaine de Contoso, Ltd. Ce domaine sera nommé Contoso.com et aura sa propre arborescence dans la forêt WoodgroveBank. Vous ferez d’un serveur existant, NYC-SRV1, le contrôleur du nouveau domaine. Vous donnerez un nouveau nom à l’ordinateur : ContosoDC. De plus, vous créerez pour le domaine Contoso un site distinct utilisant le sous-réseau 192.168.0.0 et vous attribuerez l’adresse IP 192.168.0.10 à l’ordinateur ContosoDC. Vous allez configurer la réplication entre le site de New-York et le site Contoso de façon qu’elle se produise toutes les 4 heures, entre 18h00 et 06h00. Vous allez installer et configurer le service DNS sur ContosoDC pour qu’il comporte une zone secondaire de WoodgroveBank.com. Enfin, vous allez affecter à ContosoDC le rôle de contrôleur du domaine Contoso.com.

Dans cet exercice, les tâches principales sont les suivantes :

1. Démarrer NYC-SVR1.

2. Créer le site Contoso.

3. Créer le sous-réseau du site Contoso.

4. Créer et configurer un nouveau lien de sites pour la réplication.

5. Renommer le serveur NYC-SRV1 en ContosoDC.

6. Modifier l’adresse IP de ContosoDC.

7. Configurer le service DNS sur NYC-DC1 pour autoriser les transferts de zone (si vous avez effectué l’exercice 1, vous avez déjà appliqué cette étape).

8. Installer DNS sur ContosoDC.

9. Configurer le service DNS sur ContosoDC.

10. Promouvoir le serveur au rôle de contrôleur du domaine Contoso.

11. Fermer les ordinateurs virtuels NYC-SRV1 et NYC-DC2, et supprimer les disques d’annulations.

Page 595: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-19

Tâche 1 : Démarrer l’ordinateur virtuel NYC-SVR1. 1. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-

DC1, cliquez sur Lancer.

2. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Créer le site Contoso. 1. Sur NYC-DC1, ouvrez Sites et services Active Directory.

2. Créez un site nommé Contoso.

3. Sélectionnez le lien du site DefaultIPSiteLink, cliquez sur OK, puis de nouveau sur OK pour accuser réception du message.

Tâche 3 : Créer le sous-réseau du site Contoso. 1. Créez un objet de sous-réseau pour le sous-réseau 192.168.0.0/24.

Sélectionnez le site Contoso, puis cliquez sur OK.

2. Fermez Sites et services Active Directory.

Tâche 4 : Créer et configurer un nouveau lien de sites pour la réplication. 1. Créez un lien de sites nommé Contoso-NYC-HO.

2. Ouvrez les propriétés du lien du site Contoso-NYC-HO et ajoutez les sites Contoso et NYC-Head-Office au lien du site.

3. Tapez 240 dans le champ Réplication toutes les, puis cliquez sur Modifier la planification.

4. Dans la boîte de dialogue Planification pour Contoso-NYC-HO, sélectionnez par glisser-déplacer l’intervalle 06h00 à 18h00, Lundi à Vendredi, cliquez sur Réplication non disponible, puis deux fois sur OK.

Page 596: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-20 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 5 : Renommer le serveur NYC-SRV1 en ContosoDC. 1. Sur NYC-SRV1, ouvrez une session en tant qu’AdminLocal avec le mot de

passe Pa$$w0rd.

2. Remplacez le nom de l’ordinateur par ContosoDC, puis redémarrez l’ordinateur.

Tâche 6 : Modifier l’adresse IP de ContosoDC. 1. Ouvrez une session sur ContosoDC en tant que AdminLocal avec le mot de

passe Pa$$w0rd.

2. Configurez l’adresse IPV4 comme suit :

• Adresse IP : 192.168.0.10

• Masque de sous-réseau : 255.255.255.0

• Passerelle par défaut : 192.168.0.1

• DNS : 10.10.0.10

Tâche 7 : Configurer le service DNS sur NYC-DC1 pour autoriser les transferts de zone (si vous avez effectué l’exercice 1, vous avez déjà appliqué cette étape). 1. Basculez vers NYC-DC1.

2. Ouvrez la console de gestion DNS.

3. Configurez la zone Woodgrovebank.com de façon à Autoriser les transferts de zone.

4. Fermez le Gestionnaire DNS.

Tâche 8 : Installer le rôle du serveur DNS sur ContosoDC. 1. Basculez vers ContosoDC.

2. Installez le rôle de serveur DNS.

3. Laissez le Gestionnaire de serveur ouvert.

Page 597: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-21

Tâche 9 : Configurer le service DNS sur ContosoDC. 1. Ouvrez la console de gestion DNS.

2. Créez une zone directe secondaire nommée WoodgroveBank.com.

3. Configurez le serveur DNS principal en tant que 10.10.0.10. L’opération de transfert de zone prend quelques temps. Vous devez actualiser la console pour voir les modifications.

4. Développez les journaux globaux, puis cliquez sur Événements DNS. Examinez les événements qui décrivent le transfert de zone.

5. Fermez le Gestionnaire DNS.

Tâche 10 : Promouvoir le serveur au rôle de contrôleur du domaine Contoso. 1. Utilisez le Gestionnaire de serveur pour ajouter le rôle Services de domaine

Active Directory.

2. Lancez DCPromo.exe.

3. Dans l’Assistant Installation des services de domaine Active Directory, sélectionnez Utiliser l’installation en mode avancé.

4. Dans la page Compatibilité du système d’exploitation, cliquez sur Suivant.

5. Dans la fenêtre Choisissez une configuration de déploiement, cliquez sur Forêt existante, cliquez sur Créer un nouveau domaine dans une forêt existante, puis sélectionnez Créer une nouvelle racine d’arborescence de domaine au lieu d’un nouveau domaine enfant.

6. Dans l’écran Informations d’identification réseau, tapez Woodgrovebank.com dans le champ du nom de domaine, cliquez sur Définir, puis utilisez les informations d’identification suivantes :

a. Utilisateur : Administrateur

B. Mot de passe : Pa$$w0rd

7. Nommez la nouvelle racine d’arborescence de domaine Contoso.com.

8. Dans l’écran Nom de domaine NetBIOS, cliquez sur Suivant.

9. Définissez le niveau fonctionnel du domaine à Windows Server 2008.

Page 598: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-22 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

10. Dans la fenêtre Sélectionner un site, cliquez sur Suivant.

11. Dans la fenêtre Options supplémentaires pour le contrôleur de domaine, activez la case à cocher Catalogue global, puis cliquez sur Suivant.

12. Dans la boîte de message Attribution IP statique, cliquez sur Oui, l’ordinateur utilisera une adresse IP attribuée dynamiquement, puis sur Oui pour continuer.

Remarque : ce message fait référence à l’interface IPV6, qui est configurée pour utiliser le protocole DHCP.

13. Dans la fenêtre Contrôleur de domaine source, cliquez sur Suivant.

14. Dans la fenêtre Emplacement de la base de données, des fichiers journaux et de SYSVOL, cliquez sur Suivant.

15. Définissez le mot de passe administrateur de restauration des services d’annuaire sur Pa$$w0rd.

16. Dans l’écran Résumé, cliquez sur Suivant, puis sélectionnez Redémarrer à la fin de l’opération.

17. Ouvrez une session sur l’ordinateur ContosoDC en tant que Contoso\Administrateur.

18. Ouvrez la console de gestion DNS et examinez les zones de recherche directes. Notez la présence de la zone contoso.com.

19. À l’aide de la commande IPconfig /all, examinez la configuration IP. Notez que ContosoCD utilise 127.0.0.1 en tant que serveur DNS principal.

Page 599: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-23

Tâche 11 : Fermer les ordinateurs virtuels NYC-SVR1 et NYC-DC2, et supprimer les disques d’annulations. 1. Fermez la fenêtre VMRC de l’ordinateur virtuel 6238A-NYC-SVR1.

2. Dans la zone Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations. Cliquez sur OK.

3. Fermez la fenêtre VMRC de 6238A-NYC-DC2.

4. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations. Cliquez sur OK.

Résultat : au terme de cet exercice, vous aurez créé un domaine dans une arborescence distincte et sur un site distinct.

Page 600: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-24 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Présentation de la relation d’approbation de forêt

Points clés Cette rubrique présente les informations dont vous avez besoin pour l’atelier suivant.

À la fin de l’atelier suivant, vous aurez mis à niveau la forêt Fabrikam vers Windows Server 2008 et vous aurez affecté à un serveur Windows Server 2008 le rôle de contrôleur supplémentaire du domaine. La forêt Fabrikam.com aura une relation d’approbation avec la forêt WoodgroveBank. L’approbation utilisera l’authentification sélective afin que seul le groupe Administrateurs du domaine WoodgroveBank soit autorisé à s’authentifier auprès des ressources du domaine Fabrikam.

Page 601: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-25

Atelier pratique B : Configuration de la relation d’approbation de forêt

Scénario Woodgrove Bank a récemment fait l’acquisition d’une nouvelle filiale, Fabrikam, Inc. Celle-ci utilise actuellement des contrôleurs de domaine sous le système d’exploitation Windows Server® 2003. L’une des premières tâches des administrateurs de Woodgrove Bank consiste à mettre les contrôleurs de domaine à niveau vers Windows Server 2008. Fabrikam, Inc restera dans une forêt distincte et aura une relation d’approbation avec la forêt de Woodgrove Bank.

Page 602: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-26 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice : Mise à niveau du domaine Fabrikam et création d’une approbation de forêt avec Woodgrove Bank

Scénario Vous êtes chargé de préparer la forêt et le domaine Fabrikam 2003 afin qu’ils acceptent les contrôleurs de domaine Windows Server 2008. Vous devez également configurer les transferts de zone DNS entre les forêts Fabrikam et WoodgroveBank. Vous devez ensuite promouvoir un serveur Windows Server 2008 pour en faire un contrôleur du domaine Fabrikam. Enfin, vous devez configurer une approbation de forêt entre WoodgroveBank.com et Fabrikam.com. L’approbation utilisera l’authentification sélective de sorte que seul le groupe Administrateurs de domaine WoodgroveBank sera autorisé à s’authentifier auprès des ressources du domaine Fabrikam.

Utilisez les informations suivantes dans cet exercice :

• Nom du site : Fabrikam

• Sous-réseau : 10.20.0.0

• Passerelle : 10.20.0.1

• Contrôleur de domaine : FabrikamDC 10.20.0.10

Dans cet exercice, les tâches principales sont les suivantes :

1. Démarrer les ordinateurs virtuels VAN-DC1 et NYC-SVR1.

2. Préparer la forêt et le domaine pour que la forêt Fabrikam.Com accepte les contrôleurs de domaine Windows Server 2008.

3. Configurer des transferts de zone DNS réciproques en utilisant des zones de stub entre WoodgroveBank.com et Fabrikam.com.

4. Donner à NYC-SRV1 le nom VAN-DC2.

5. Affecter au serveur Windows Server 2008 le rôle de contrôleur du domaine Fabrikam.

6. Configurer une approbation de forêt entre WoodgroveBank.com et Fabrikam.com pour une authentification sélective.

7. Configurer l’authentification sélective pour le groupe Administrateurs du domaine WoodgroveBank.

8. Arrêter les serveurs.

Page 603: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-27

Tâche 1 : Démarrer les ordinateurs virtuels VAN-DC1 et NYC-SVR1. 1. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-VAN-

DC1, cliquez sur Lancer.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-SVR1, cliquez sur Lancer.

3. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Préparer la forêt et le domaine pour que la forêt Fabrikam.Com accepte les contrôleurs de domaine Windows Server 2008. 1. Sur VAN-DC1, ouvrez une session en tant qu’Administrateur avec le mot de

passe Pa$$w0rd.

2. Ouvrez Utilisateurs et ordinateurs Active Directory.

3. Cliquez avec le bouton droit sur Fabrikam.com, puis cliquez sur Augmenter le niveau fonctionnel du domaine.

4. Élevez le domaine au niveau fonctionnel de Windows Server 2003.

5. Ouvrez Domaines et approbations Active Directory.

6. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Augmenter le niveau fonctionnel de la forêt.

7. Élevez la forêt au niveau fonctionnel de Windows Server 2003.

8. Copiez les fichiers ADPrep Windows Server 2008 du dossier D:\6238\Mod12\Adprep sur l’ordinateur NYC-DC1 vers le dossier C:\Adprep sur l’ordinateur virtuel VAN-DC1.

9. Dans une invite de commandes, entrez la commande C:\Adprep\adprep /forestprep. Lisez le message d’avertissement, puis tapez C pour continuer. L’exécution de Forestprep prend quelques instants.

10. Dans la fenêtre d’invite de commandes, tapez C:\ Adprep\adprep /domainprep.

11. Fermez l’invite de commandes.

Page 604: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-28 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 3 : Configurer des transferts de zone DNS réciproques en utilisant des zones de stub entre WoodgroveBank.com et Fabrikam.com. 1. Sur l’ordinateur virtuel VAN-DC1, lancez la console de gestion DNS.

2. Configurez la zone Fabrikam.com pour autoriser les transferts de zone.

3. Sur l’ordinateur virtuel NYC-DC1, lancez la console de gestion DNS.

4. Lancez l’Assistant Nouvelle zone.

5. Dans l’écran Type de zone, cliquez sur Zone de stub.

6. Dans la page Étendue de la zone de réplication de Active Directory, cliquez sur Suivant.

7. Dans la fenêtre Nom de la zone, tapez Fabrikam.com.

8. Dans la fenêtre Serveurs DNS maîtres, tapez 10.20.0.10, puis fermez l’Assistant. L’exécution du transfert de zone prend quelques instants. Vous devez actualiser la console pour voir les modifications.

9. Fermez le Gestionnaire DNS.

10. Basculez vers VAN-DC1.

11. Lancez l’Assistant Nouvelle zone.

12. Dans l’écran Type de zone, cliquez sur Zone de stub.

13. Dans la page Étendue de la zone de réplication de Active Directory, cliquez sur Suivant.

14. Dans la fenêtre Nom de la zone , tapez WoodgroveBank.com.

15. Dans la fenêtre Serveurs DNS maîtres, tapez 10.10.0.10, puis fermez l’Assistant. L’exécution du transfert de zone prend quelques instants. Vous devez actualiser la console pour voir les modifications.

16. Fermez le Gestionnaire DNS.

Page 605: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-29

Tâche 4 : Donner à NYC-SRV1 le nom VAN-DC2. 1. Sur NYC-SRV1, ouvrez une session en tant qu’AdminLocal avec le mot de

passe Pa$$w0rd.

2. Modifiez la configuration de l’adresse IP pour la connexion au réseau local :

• Adresse IP : 10.20.0.11

• Masque de sous-réseau : 255.255.0.0

• Passerelle par défaut : 10.20.0.1

• Serveur DNS préféré : 10.20.0.10

3. Dans le Gestionnaire de serveur, cliquez sur Modifier les propriétés système.

4. Donnez à l’ordinateur le nom VAN-DC2, puis redémarrez-le.

Tâche 5 : Affecter au serveur Windows Server 2008 le rôle de contrôleur du domaine Fabrikam. 1. Sur l’ordinateur virtuel VAN-DC2, ouvrez une session en tant que

AdminLocal avec le mot de passe Pa$$w0rd.

2. Ajoutez le rôle Services de domaine Active Directory.

3. Lancez DCPromo.exe.

4. Dans la fenêtre Choisissez une configuration de déploiement, cliquez sur Forêt existante et conservez le choix par défaut : Ajouter un contrôleur de domaine à un domaine existant.

5. Dans la fenêtre Informations d’identification réseau, tapez Fabrikam.com dans le champ du nom de domaine, cliquez sur Définir et utilisez les informations d’identification suivantes :

• Utilisateur : Fabrikam\Administrateur

• Mot de passe : Pa$$w0rd

6. Dans la fenêtre Sélectionnez un domaine, cliquez sur Fabrikam.com, puis sur Oui pour accuser réception du message concernant les contrôleurs de domaine en lecture seule.

7. Dans la fenêtre Sélectionner un site, cliquez sur Suivant.

Page 606: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-30 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

8. Dans Options supplémentaires pour le contrôleur de domaine, désactivez les cases à cocher Serveur DNS et Catalogue global.

9. Dans la fenêtre Conflit de configuration du maître d’infrastructure, cliquez sur Transférer le rôle de maître d’infrastructure vers ce contrôleur de domaine.

10. Dans la fenêtre Emplacement de la base de données, des fichiers journaux et de Sysvol, cliquez sur Suivant.

11. Dans le champ Mot de passe administrateur de restauration des services d’annuaire, tapez Pa$$w0rd.

12. Dans la page Résumé, cliquez sur Suivant, puis cliquez sur Redémarrer à la fin de l’opération.

Tâche 6 : Configurer une approbation de forêt entre WoodgroveBank.com et Fabrikam.com pour une authentification sélective. 1. Basculez vers NYC-DC1.

2. Ouvrez Domaines et approbations Active Directory.

3. Dans les propriétés de WoodgroveBank.com, cliquez sur l’onglet Approbations, puis sur Nouvelle approbation.

4. Dans l’Assistant Nouvelle approbation, cliquez sur Suivant.

5. Nommez l’approbation Fabrikam.com.

6. Créez une approbation de forêt.

7. Configurez l’approbation pour qu’elle soit unilatérale : entrante.

8. Dans la fenêtre Sens de l’approbation, sélectionnez À la fois ce domaine et le domaine spécifié.

9. Utilisez les informations d’identification suivantes :

• Nom d’utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

10. Dans l’écran Niveau d’authentification d’approbations sortantes - Forêt spécifiée, cliquez sur Authentification sélective.

Page 607: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-31

11. Dans la fenêtre Fin de la sélection des approbations, cliquez sur Suivant.

12. Dans l’écran Confirmer l’approbation entrante, cliquez sur Suivant, et fermez l’Assistant.

Tâche 7 : Configurer l’authentification sélective pour le groupe Administrateurs du domaine WoodgroveBank. 1. Basculez vers VAN-DC1.

2. Ouvrez Utilisateurs et ordinateurs Active Directory.

3. Activez la fonctionnalité Affichage avancé.

4. Dans Unité d’organisation des contrôleurs de domaine, ouvrez les propriétés de l’ordinateur virtuel VAN-DC1.

5. Dans la fenêtre Propriétés de VAN-DC1, cliquez sur l’onglet Sécurité, puis sur Ajouter.

6. Affectez au groupe WoodgroveBank\Administrateurs de domaine l’autorisation Authentifier.

Tâche 8 : Fermer les ordinateurs virtuels NYC-SVR1, NYC-RAS et VAN-DC1, et supprimer les disques d’annulations. 1. Fermer les ordinateurs virtuels NYC-SVR1, NYC-RAS et VAN-DC1, et

supprimer les disques d’annulations.

2. Fermez la fenêtre VMRC de l’ordinateur virtuel 6238A-NYC-SVR1.

3. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

4. Fermez la fenêtre VMRC de l’ordinateur virtuel 6238A-NYC-RAS.

5. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

6. Fermez la fenêtre VMRC de l’ordinateur virtuel 6238A-VAN-DC1.

7. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

Résultat : au terme de cet exercice, vous aurez créé une approbation de forêt.

Page 608: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-32 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Présentation de la configuration de l’objet de stratégie de groupe AD DS

Points clés La diapositive illustre la configuration actuelle des unités d’organisation de Woodgrove Bank.

Page 609: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-33

Atelier C : Conception d’une stratégie de groupe

Scénario En tant qu’administrateur réseau de WoodgroveBank.Com, vous êtes chargé de développer une stratégie de bureau et de sécurité qui pourra être gérée de manière centralisée à l’aide d’une stratégie de groupe.

Page 610: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-34 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Planification d’une stratégie de groupe

Scénario Vous êtes chargé de créer une stratégie de sécurité ordinateur pouvant être délivrée via une stratégie de groupe. Vous devez créer toutes les unités d’organisation nécessaires, puis créer et lier à ces unités les stratégies appropriées. La stratégie d’entreprise exige que les serveurs se trouvent dans une arborescence d’unités d’organisation distincte en fonction de leur rôle. Vous devez prendre en compte des serveurs de fichiers et d’impression, des serveurs SQL™ et des serveurs Web.

Utilisez le diagramme du domaine pour planifier plus facilement la stratégie de groupe et la structure des unités d’organisation.

Inscrivez dans le tableau la description des objets de stratégie de groupe que vous devez créer, les paramètres que chacun contiendra et les points de liaison entre les objets de stratégie de groupe.

Dans cet exercice, les tâches principales sont les suivantes :

1. Créer une stratégie de sécurité globale qui sera applicable à tous les ordinateurs du domaine comme suit :

• Le compte Administrateur intégré à chaque ordinateur sera renommé Admin.

• Le groupe global IT Admins sera ajouté au groupe Administrateurs local.

• Les mises à jour de Windows proviendront d’un serveur Web interne nommé http://Updates.

2. Créer une stratégie de sécurité qui sera applicable à tous les serveurs avec des paramètres de sécurité supplémentaires en fonction du rôle de ces serveurs, comme suit :

• Le compte Administrateur intégré à chaque serveur membre sera renommé SRVAdmin.

• Les événements de connexion aux comptes seront audités sur tous les serveurs.

• L’exécution d’Internet Explorer® sera interdite sur tous les serveurs.

• Les serveurs SQL empêcheront toute installation d’un dispositif amovible.

Page 611: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-35

3. Configurer une stratégie de Bureau d’entreprise comme suit :

• Aucun des utilisateurs du domaine n’aura accès aux paramètres des écrans de veille.

• Les utilisateurs de Toronto et de Miami ne seront pas autorisés à exécuter Windows® Messenger.

• Les utilisateurs du domaine ne seront pas autorisés à ajouter de nouvelles imprimantes. Cette limitation ne s’appliquera pas aux utilisateurs de l’unité d’organisation Admin.

• Le chiffrement de fichiers hors connexion sera appliqué à l’unité d’organisation Executives.

• À l’exception des administrateurs du domaine, aucun utilisateur ne sera autorisé à accéder au Panneau de configuration.

Page 612: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-36 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Nom GPO Paramètres Lié à …

Page 613: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-37

Exercice 2 : Implémentation de la stratégie de Bureau d’entreprise

Scénario Vous êtes chargé d’implémenter la stratégie de Bureau d’entreprise pour le domaine de Woodgrove Bank. Vous devez créer et lier les objets de stratégie de groupe appropriés.

Les principales tâches abordées dans cet exercice sont les suivantes :

1. Créer et lier la stratégie de Bureau du domaine.

2. Créer et lier le GPO Empêcher l’accès au Panneau de configuration

3. Créer et lier le GPO Chiffrement forcé des fichiers hors connexion.

4. Créer et lier le GPO Blocage de Windows Messenger.

5. Créer et lier le GPO Autoriser l’ajout d’imprimantes.

Tâche 1 : Créer et lier la stratégie de Bureau du domaine. 1. Sur l’ordinateur virtuel NYC-DC1, ouvrez la console Gestion des stratégies de

groupe.

2. Créez un objet de stratégie de groupe nommé Stratégie de Bureau du domaine et liez-le au domaine WoodgroveBank.com.

3. Modifiez comme suit la stratégie de Bureau du domaine :

• Développez Configuration utilisateur, Stratégies, Modèles d’administration et Panneau de configuration, puis développez sur Imprimantes.

• Activez le paramètre Désactiver l’ajout d’imprimante.

4. Dans le Panneau de configuration, cliquez sur Affichage, puis activez le paramètre Masquer l’onglet Écran de veille.

5. Fermez l’Éditeur de gestion des stratégies de groupe.

Page 614: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-38 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Tâche 2 : Créer et lier le GPO Empêcher l’accès au Panneau de configuration. 1. Développez Configuration utilisateur, Stratégies, Modèles d’administration,

puis Panneau de configuration.

2. Activez le paramètre Empêcher l’accès au Panneau de configuration.

3. Fermez l’Éditeur de gestion des stratégies de groupe.

4. Double-cliquez sur le GPO Empêcher l’accès au Panneau de configuration, cliquez sur l’onglet Délégation dans le volet d’informations, puis cliquez sur Avancé.

5. Dans la boîte de dialogue Propriétés de sécurité de Empêcher l’accès au Panneau de configuration, sélectionnez Administrateurs du domaine, activez la case à cocher pour Refuser l’autorisation Appliquer la stratégie de groupe, puis cliquez sur OK.

6. Cliquez sur Oui pour accuser réception du message. Ainsi, la stratégie ne s’appliquera pas au groupe des administrateurs du domaine.

Tâche 3 : Créer et lier le GPO Chiffrement forcé des fichiers hors connexion. 1. Cliquez avec le bouton droit sur Unité d’organisation Executives, puis

cliquez sur Créer un objet GPO dans ce domaine, et le lier ici.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Chiffrement forcé des fichiers hors connexion dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur Chiffrement forcé des fichiers hors connexion, puis cliquez sur Modifier.

4. Développez Configuration ordinateur, Stratégies, Modèles d’administration et Réseau, puis cliquez sur Fichiers hors connexion.

5. Dans le volet d’informations, double-cliquez sur Chiffrer le cache des fichiers hors connexion.

6. Dans la boîte de dialogue Propriétés de Chiffrer le cache des fichiers hors connexion, cliquez sur Activé, puis sur OK.

7. Fermez l’Éditeur de gestion des stratégies de groupe.

Page 615: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-39

Tâche 4 : Créer et lier le GPO Blocage de Windows Messenger. 1. Cliquez avec le bouton droit sur Unité d’organisation Miami, puis cliquez sur

Créer un objet GPO dans ce domaine, et le lier ici.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Blocage de Windows Messenger dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur Blocage Windows Messenger, puis cliquez sur Modifier.

4. Développez Configuration utilisateur, Stratégies, Modèles d’administration et Composants Windows, puis double-cliquez sur Windows Messenger.

5. Dans le volet d’informations, double-cliquez sur Ne pas autoriser l’exécution de Windows Messenger.

6. Dans la boîte de dialogue Propriétés de Ne pas autoriser l’exécution de Windows Messenger, cliquez sur Activé, puis sur OK.

7. Fermez l’Éditeur de gestion des stratégies de groupe.

8. Cliquez avec le bouton droit sur Unité d’organisation Toronto, puis cliquez sur Lier un objet de stratégie de groupe existant.

9. Dans la boîte de dialogue de sélection de GPO, cliquez sur Blocage de Windows Messenger, puis sur OK.

Tâche 5 : Créer et lier le GPO Autoriser l’ajout d’imprimantes. 1. Cliquez avec le bouton droit sur Unité d’organisation IT Admins, puis

cliquez sur Créer un objet GPO dans ce domaine, et le lier ici.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Autoriser l’ajout d’imprimantes dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur Autoriser l’ajout d’imprimantes, puis cliquez sur Modifier.

4. Développez Configuration utilisateur, Stratégies, Modèles d’administration et Panneau de configuration, puis cliquez sur Imprimantes. Dans le volet d’informations, double-cliquez sur Désactiver l’ajout d’imprimante.

5. Dans la boîte de dialogue Propriétés de Désactiver l’ajout d’imprimante, cliquez sur Désactivé, puis sur OK.

Page 616: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-40 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

6. Fermez l’Éditeur de gestion des stratégies de groupe.

7. Fermez la console GPMC.

8. Arrêtez tous les ordinateurs virtuels et supprimez les modifications.

Résultat : au terme de cet exercice, vous aurez implémenté une stratégie de groupe.

Page 617: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Implémentation d’une infrastructure AD DS 12-41

Récapitulatif du module et objectifs

Éléments à prendre en considération Prenez les points suivants en compte lorsque vous mettez en œuvre une infrastructure des services de domaine Active Directory :

• Vous pouvez utiliser des sites pour contrôler l’étendue du trafic de connexions.

• L’utilisation d’arborescences distinctes dans la forêt permet de faire coexister plusieurs espaces de noms DNS.

Page 618: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

12-42 Configuration et résolution des problèmes des services de domaine Active Directory Windows Server 2008

Évaluation du cours

Votre évaluation de ce cours permettra à Microsoft de mesurer la qualité de votre apprentissage.

Votre prestataire de formation vous montrera comment accéder au formulaire d’évaluation du cours.

Votre évaluation est strictement confidentielle et vos réponses à cette enquête seront utilisées dans le seul but d’améliorer la qualité des prochains cours Microsoft. Vos commentaires ouverts et honnêtes sont très précieux.

Page 619: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de contrôleurs de domaine en lecture seule et gestion des rôles de contrôleur de domaine L1-1

Module 1 : Implémentation des services de domaine Active Directory

Atelier pratique : Implémentation de contrôleurs de domaine en lecture seule et gestion des rôles de contrôleur de domaine Exercice 1 : Évaluation de l’état de préparation de la forêt et du serveur pour l’installation d’un contrôleur de domaine en lecture seule

Tâche 1 : Démarrer 6238A-NYC-DC1 et ouvrir une session en tant qu’Administrateur. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Launch.

3. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC2, cliquez sur Launch.

4. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-SVR1, cliquez sur Launch.

5. Ouvrez une session sur NYC-DC1 et NYC-DC2 en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

6. Ouvrez une session sur NYC-SVR1 en tant que AdminLocal avec le mot de passe Pa$$w0rd.

7. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Page 620: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L1-2 Module 1 : Implémentation des services de domaine Active Directory

Tâche 2 : Vérifier que le niveau fonctionnel de la forêt et du domaine est compatible avec le déploiement d’un contrôleur de domaine en lecture seule. 1. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration,

puis cliquez sur Utilisateurs et ordinateurs Active Directory.

2. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Propriétés.

3. Dans la boîte de dialogue Propriétés de WoodgroveBank.com, vérifiez que le niveau fonctionnel du domaine et celui de la forêt sont réglés à Windows Server 2003.

4. Cliquez sur Annuler.

Tâche 3 : Vérifier la disponibilité d’un contrôleur de domaine inscriptible exécutant Windows Server 2008. 1. Dans Utilisateurs et ordinateurs Active Directory, développez

WoodgroveBank.com et cliquez sur Domain Controllers.

2. Cliquez avec le bouton droit sur NYC-DC1 et cliquez sur Propriétés.

3. Dans l’onglet Système d’exploitation, assurez-vous que le nom du système d’exploitation est Windows Server 2008 Entreprise.

4. Cliquez sur OK, puis fermez Utilisateurs et ordinateurs Active Directory.

Tâche 4 : Configurer les paramètres de compte d’ordinateur pour le contrôleur de domaine en lecture seule. 1. Sur NYC-SVR1, cliquez sur Démarrer, pointez sur Outils d’administration,

puis cliquez sur Gestionnaire de serveur.

2. Dans le Gestionnaire de serveur, cliquez sur Modifier les propriétés système.

3. Dans l’onglet Nom de l’ordinateur, cliquez sur Modifier.

4. Dans le champ Nom de l’ordinateur, tapez TOR-DC1, puis cliquez sur OK.

Page 621: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de contrôleurs de domaine en lecture seule et gestion des rôles de contrôleur de domaine L1-3

5. Dans la boîte de dialogue Modification du nom ou du domaine de l’ordinateur, cliquez sur OK.

6. Cliquez sur Fermer, puis sur Redémarrer maintenant.

Résultat : au terme de cet exercice, vous aurez vérifié que le domaine et l’ordinateur sont prêts pour l’installation d’un contrôleur de domaine en lecture seule.

Exercice 2 : Installation et configuration d’un contrôleur de domaine en lecture seule

Tâche 1 : Prédéfinir le compte d’ordinateur pour le contrôleur de domaine en lecture seule. 1. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration,

puis cliquez sur Utilisateurs et ordinateurs Active Directory.

2. Développez WoodgroveBank.com, cliquez avec le bouton droit sur l’unité d’organisation Contrôleurs de domaine, puis cliquez sur Créer au préalable un compte de contrôleur de domaine en lecture seule.

3. Dans la page Assistant Installation des services de domaine Active Directory, activez la case à cocher Utiliser l’installation en mode avancé, puis cliquez sur Suivant.

4. Dans la page Compatibilité du système d’exploitation, cliquez sur Suivant.

5. Dans la page Informations d’identification réseau, assurez-vous que l’option Mes informations d’identification de connexion actuelles est sélectionnée, puis cliquez sur Suivant.

6. Dans la page Spécifiez le nom de l’ordinateur, dans le champ Nom de l’ordinateur, tapez TOR-DC1, puis cliquez sur Suivant.

7. Dans la page Sélectionner un site, cliquez sur Suivant.

8. Dans la page Options supplémentaires pour le contrôleur de domaine, désactivez la case à cocher Catalogue global, puis cliquez sur Suivant.

9. Dans la page Spécifier la stratégie de réplication de mot de passe, confirmez que tous les utilisateurs et groupes, à l’exception du Groupe de réplication dont le mot de passe RODC est autorisé sont configurés pour refuser la mise en cache des informations d’identification, puis cliquez sur Suivant.

Page 622: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L1-4 Module 1 : Implémentation des services de domaine Active Directory

10. Dans la page Délégation de l’installation en une administration du RODC, cliquez sur Définir.

11. Dans la boîte de dialogue Sélectionnez l’utilisateur ou le groupe, dans la zone de texte Entrez le nom de l’objet à sélectionner, tapez Fabrice, cliquez sur OK, puis cliquez sur Suivant.

12. Dans la page Résumé, vérifiez vos sélections, puis cliquez sur Suivant pour créer le compte du contrôleur de domaine en lecture seule.

13. Dans la page Fin de l’Assistant Installation des services de domaine Active Directory, cliquez sur Terminer.

Tâche 2 : Sur TOR-DC1, ouvrir une session en tant que LAdminLocal. • Ouvrez une session en tant que AdminLocal avec le mot de passe Pa$$w0rd.

Tâche 3 : Installer le contrôleur de domaine en lecture seule à l’aide du compte existant et utiliser WoodgroveBank\Fabrice en tant que compte avec informations d’identification pour effectuer l’installation. 1. Ouvrez une invite de commandes.

2. Tapez dcpromo /UseExistingAccount:Attach, puis appuyez sur Entrée.

3. Dans la page Assistant Installation des services de domaine Active Directory, activez la case à cocher Utiliser l’installation en mode avancé, puis cliquez sur Suivant.

4. Dans la page Informations d’identification réseau, tapez WoodgroveBank.com. Sous Spécifiez les informations d’identification de compte à utiliser pour effectuer l’installation, cliquez sur Autres informations d’identification, puis cliquez sur Définir.

5. Dans la boîte de dialogue Sécurité Windows, tapez Fabrice pour le Nom d’utilisateur et Pa$$w0rd pour le Mot de passe. Cliquez sur OK, puis sur Suivant.

Page 623: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de contrôleurs de domaine en lecture seule et gestion des rôles de contrôleur de domaine L1-5

6. Dans la page Sélectionner un compte de contrôleur de domaine, vérifiez que TOR-DC1 est sélectionné, puis cliquez sur Suivant. Dans la boîte de message Affectation IP statique, cliquez sur Oui, l’ordinateur utilisera une adresse IP affectée dynamiquement (non recommandé). Remarque : Ce message se rapporte à la carte IPv6 et ne concerne pas cet exercice.

7. Dans la page Installation à partir d’un support, cliquez sur Suivant.

8. Dans la page Contrôleur de domaine source, cliquez sur Utiliser ce contrôleur de domaine spécifique. Cliquez sur NYC-DC1.WoodgroveBank.com, puis sur Suivant.

9. Dans la page Emplacement de la base de données, des fichiers journaux et de SYSVOL, cliquez sur Suivant.

10. Dans la page Mot de passe administrateur de restauration des services d’annuaire, tapez Pa$$w0rd dans les zones Mot de passe et Confirmer le mot de passe, puis cliquez sur Suivant.

11. Dans la page Résumé, vérifiez vos sélections et cliquez sur Suivant pour installer les Services de domaine Active Directory.

12. Activez la case à cocher Redémarrer à la fin de l’opération. Patientez jusqu’à la fin de l’installation et au redémarrage automatique du serveur.

Tâche 4 : Vérifier le bon déroulement de l’installation du contrôleur de domaine. 1. Démarrez TOR-DC1 et ouvrez une session en tant que Fabrice avec le mot de

passe Pa$$w0rd.

2. Dans le Gestionnaire de serveur, développez Rôles et vérifiez que le rôle de serveur Services de domaine Active Directory est installé.

3. Cliquez sur Services de domaine Active Directory, affichez les informations relatives aux services système dans le volet droit, puis vérifiez que les services suivants sont en cours d’exécution :

a. Services de domaine Active Directory

b. Espace de noms DFS

c. Réplication DFS

Page 624: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L1-6 Module 1 : Implémentation des services de domaine Active Directory

e. Service de réplication de fichiers (FRS)

f. Centre de distribution de clés Kerberos

g. Accès réseau

h. Service de temps Windows

i. Station de travail

4. Dans le volet gauche, développez Services de domaine Active Directory.

5. Cliquez sur Utilisateurs et ordinateurs Active Directory, développez WoodgroveBank.com, puis cliquez sur Domain Controllers. Vérifiez que TOR-DC1 est répertorié dans l’unité d’organisation Contrôleurs de domaine.

6. Cliquez sur l’unité d’organisation Toronto.

7. Dans le volet Actions, cliquez sur Autres actions, puis vérifiez que vous n’avez pas l’autorisation d’ajouter ou de supprimer des objets de domaine.

8. Dans le volet gauche, développez Sites et services Active Directory, développez Sites, puis développez Default-First-Site-Name.

9. Cliquez sur Servers et vérifiez que TOR-DC1 est répertorié dans la liste Serveurs.

10. Double-cliquez sur TOR-DC1, et double-cliquez sur NTDS Settings. Dans le volet central, confirmez que les objets de connexion ont été créés.

11. Dans le conteneur Servers, double-cliquez sur NYC-DC1, puis double-cliquez sur NTDS Settings. Dans le volet du milieu, vérifiez qu’aucun objet de connexion n’a été créé à partir de TOR-DC1, mais qu’une connexion au contrôleur de domaine en lecture seule a été créée à partir de NYC-DC1.

12. Fermez le Gestionnaire de serveur et fermez la session sur TOR-DC1.

Page 625: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de contrôleurs de domaine en lecture seule et gestion des rôles de contrôleur de domaine L1-7

Tâche 5 : Configurer une stratégie de réplication de mots de passe permettant la mise en cache des informations d’identification pour tous les comptes d’utilisateur à Toronto. 1. Sur NYC-DC1, cliquez sur Outils d’administration, puis cliquez sur

Utilisateurs et ordinateurs Active Directory.

2. Développez l’unité d’organisation des Contrôleurs de domaine, cliquez avec le bouton droit sur TOR-DC1, puis cliquez sur Propriétés.

3. Dans l’onglet Stratégie de réplication de mot de passe, cliquez sur Ajouter.

4. Dans la boîte de dialogue Ajouter des groupes, des utilisateurs et des ordinateurs, cliquez sur Autoriser la réplication des mots de passe du compte sur ce contrôleur de domaine en lecture seule, puis cliquez sur OK.

5. Dans la boîte de dialogue Sélectionnez les utilisateurs, les ordinateurs ou les groupes, tapez Tor, puis cliquez sur Vérifier les noms.

6. Maintenez la touche Ctrl enfoncée, cliquez sur les 4 noms de groupes, puis cliquez deux fois sur OK.

7. Dans l’onglet Stratégie de réplication de mot de passe, cliquez sur OK.

8. Fermez Utilisateurs et ordinateurs Active Directory.

Résultat : au terme de cet exercice, vous avez installé un contrôleur de domaine en lecture seule et configuré sa stratégie de réplication de mot de passe.

Exercice 3 : Configuration des rôles de contrôleur de domaine des services de domaine Active Directory

Tâche 1 : Utiliser Sites et services Active Directory pour configurer TOR-DC1 en tant que serveur de catalogue global. 1. Sur NYC-DC1, ouvrez Sites et services Active Directory.

2. Développez Sites, développez Default-First-Site-Name, développez Servers, puis cliquez sur TOR-DC1.

3. Dans le volet d’informations, cliquez avec le bouton droit sur NTDS Settings, puis cliquez sur Propriétés.

4. Activez la case à cocher Catalogue global, puis cliquez sur OK.

Page 626: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L1-8 Module 1 : Implémentation des services de domaine Active Directory

Tâche 2 : Configurer NYC-DC2 en tant que maître d’infrastructure et maître d’opérations des noms de domaine pour le domaine WoodgroveBank.com. 1. Active Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory.

2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Changer le contrôleur de domaine.

3. Sous Remplacer par, cliquez sur Ce contrôleur de domaine ou cette instance AD LDS, cliquez sur NYC-DC2.WoodgroveBank.com, puis cliquez sur OK.

4. Dans l’arborescence de la console, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Maître d’opérations.

5. Dans l’onglet Infrastructure, assurez-vous que NYC-DC1.WoodgroveBank.com est répertorié dans la zone Maître d’opérations, et que NYC-DC2.WoodgroveBank.com est indiqué comme étant le contrôleur de domaine auquel le rôle sera transféré. Cliquez sur Modifier, puis sur Oui. Cliquez sur OK pour confirmer la réussite du transfert, puis cliquez sur Fermer.

6. Sur NYC-DC2, ouvrez Domaines et approbations Active Directory.

7. Dans l’arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Changer le contrôleur de domaine Active Directory.

8. Sous Remplacer par, cliquez sur Ce contrôleur de domaine ou cette instance AD LDS, cliquez sur NYC-DC2.WoodgroveBank.com, puis cliquez sur OK.

9. Dans l’arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Maître d’opérations.

10. Dans la boîte de dialogue Maître d’opérations, assurez-vous que NYC-DC1.WoodgroveBank.com figure dans la zone Maître des opérations d’attribution de noms de domaine, et que NYC-DC2.WoodgroveBank.com est indiqué comme étant le contrôleur de domaine auquel le rôle sera transféré. Cliquez sur Modifier, puis sur Oui. Cliquez sur OK pour confirmer la réussite du transfert, puis cliquez sur Fermer.

Page 627: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de contrôleurs de domaine en lecture seule et gestion des rôles de contrôleur de domaine L1-9

Tâche 3 : Ajouter l’attribut Service au catalogue global. 1. Sur NYC-DC1, cliquez sur Démarrer, sur Exécuter, tapez regsvr32

schmmgmt.dll, puis cliquez sur OK. Patientez jusqu’à ce que la dll soit enregistrée, puis cliquez sur OK.

2. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis appuyez sur Entrée.

3. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

4. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez surSchéma Active Directory, puis cliquez sur Ajouter. Cliquez sur OK.

5. Dans l’arborescence de la console, développez Schéma Active Directory, puis cliquez sur Attributs.

6. Dans le volet d’informations, cliquez avec le bouton droit sur department, puis cliquez sur Propriétés.

7. Activez la case à cocher Répliquer cet attribut dans le catalogue global, puis cliquez sur OK.

8. Fermez la fenêtre Console1 dans enregistrer les modifications.

Tâche 4 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation. 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la zone Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez configuré un serveur de catalogue global et les rôles de contrôleur de domaine des services de domaine Active Directory.

Page 628: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 629: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration de l’intégration des services de domaine Active Directory et du système DNS L2-11

Module 2 : Configuration du service de noms de domaine des services de domaine Active Directory

Atelier pratique : Configuration de l’intégration des services de domaine Active Directory et du système DNS Exercice 1 : Configuration des zones intégrées Active Directory

Tâche 1 : Démarrer l’ordinateur NYC-DC1 et ouvrir une session en tant qu’Administrateur • Démarrez NYC-DC1 et ouvrez une session en tant qu’Administrateur avec le

mot de passe Pa$$w0rd.

Tâche 2 : Examiner les enregistrements SRV 1. Cliquez sur Démarrer, pointez sur Outils d’administration, cliquez sur DNS,

puis développez Zones de recherche directes. Accédez à _msdsc.woodgrovebank.com>GC>_TCP.

2. Développez le dossier DC>_TCP.

3. Cliquez avec le bouton droit sur _msdsc.woodgrovebank.com, puis cliquez sur Propriétés.

4. Fermez la page des propriétés.

Page 630: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L2-12 Module 2 : Configuration du service de noms de domaine des services de domaine Active Directory

Tâche 3 : Créer un enregistrement SRV pour prendre en charge le protocole Telnet sur l’ordinateur NYC-SRV2 1. Cliquez avec le bouton droit sur _msdsc.woodgrovebank.com, puis cliquez

sur Nouveaux enregistrements.

2. Dans la section Choisissez un type d’enregistrement de ressource, sélectionnez le type d’enregistrement Emplacement du service (SRV), puis cliquez sur Créer un enregistrement.

3. Dans le champ Service, sélectionnez _telnet dans la liste déroulante.

4. Dans le champ Hôte offrant ce service, tapez NYC-SRV2.woodgrovebank.com, cliquez sur OK, puis sur Terminé.

Tâche 4 : Créer deux zones à partir des fichiers de zones pour Fabrikam et Contoso 1. Utilisez l’Explorateur Windows pour copier les fichiers Contoso.com.dns et

Fabrikam.com.dns du dossier D:\6238\Mod02\Labfiles vers C:\Windows\System32\DNS. Laissez l’Explorateur Windows ouvert.

2. Revenez à la console Gestionnaire DNS, cliquez avec le bouton droit Zones de recherche directes, puis cliquez sur Nouvelle zone.

3. Dans l’Assistant Nouvelle zone, cliquez sur Suivant. Dans la page Type de zone, assurez-vous que Zone principale est sélectionnée, désactivez la case à cocher Enregistrer la zone dans Active Directory, puis cliquez sur Suivant.

4. Dans la page Nom de la zone, tapez Contoso.com, puis cliquez sur Suivant.

5. Dans la page Fichier zone, sélectionnez Utiliser un fichier existant, assurez-vous que Contoso.com.dns figure dans le champ, puis cliquez sur Suivant.

6. Dans la page Mises à jour dynamiques, assurez-vous que l’option Ne pas autoriser les mises à jour dynamiques est sélectionnée, cliquez sur Suivant, puis sur Terminer.

7. Répétez les étapes 2 à 6 pour la zone Fabrikam.com.

Page 631: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration de l’intégration des services de domaine Active Directory et du système DNS L2-13

Tâche 5 : Configurer les zones Contoso et Fabrikam pour les intégrer à Active Directory et s’assurer que les mises à jour dynamiques ne sont pas autorisées 1. Dans la console de gestion DNS, cliquez avec le bouton droit sur la zone

Contoso.com, puis cliquez sur Propriétés.

2. Dans l’onglet Général, cliquez sur Modifier.

3. Activez la case à cocher Enregistrer la zone dans Active Directory, puis cliquez sur OK.

4. Dans le message DNS, cliquez sur Oui, puis sur OK.

5. Retournez dans l’Explorateur Windows. Notez que le fichier de zone Contoso.com.dns n’est plus dans le dossier DNS. Il est maintenant stocké dans les Services de domaine Active Directory.

6. Revenez à la page de propriétés de la zone Contoso.com et assurez-vous que les Mises à jour dynamiques sont définies sur la valeur Aucune.

7. Répétez les étapes 1 à 4 pour la zone Fabrikam.com.

Tâche 6 : Configurer l’étendue de réplication de la zone Contoso à échelle de la forêt, et celle de la zone Fabrikam à échelle du domaine 1. Dans la console Gestion DNS, cliquez avec le bouton droit sur la zone

Contoso.com, puis cliquez sur Propriétés.

2. Cliquez sur Modifier à côté de Réplication.

3. Dans la boîte de dialogue Modifier l’étendue de réplication de la zone, cliquez sur Vers tous les serveurs DNS de cette forêt, puis cliquez deux fois sur OK.

4. Ouvrez la page des propriétés de Fabrikam.com.

5. Vérifiez que l’étendue de réplication pour la zone Fabrikam est Vers tous les serveurs DNS de ce domaine.

Page 632: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L2-14 Module 2 : Configuration du service de noms de domaine des services de domaine Active Directory

Tâche 7 : Utiliser ADSI Edit.exe pour afficher les zones DNS intégrées à Active Directory 1. Dans le menu Démarrer, pointez sur Exécuter, puis lancez adsiedit.msc.

2. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion….

3. Dans la section Point de connexion, choisissez Sélectionnez ou entrez un nom unique ou un contexte d’attribution de noms.

4. Tapez DC=DomainDNSZones,DC=WoodgroveBank,DC=Com, puis cliquez sur OK.

5. Développez le contexte d’attribution de noms, développez CN=MicrosoftDNS, cliquez sur DC=Woodgrovebank.com et examinez les enregistrements.

6. Double-cliquez sur l’enregistrement NYC-DC1.

7. Fermez toutes les pages des propriétés et la console de gestion ADSI.

Page 633: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration de l’intégration des services de domaine Active Directory et du système DNS L2-15

Exercice 2 : Configuration des zones DNS en lecture seule

Tâche 1 : Démarrer et ouvrir une session sur l’ordinateur MIA-RODC en tant qu’Administrateur • Démarrez et ouvrez une session sur l’ordinateur MIA-RODC en tant

qu’Administrateur avec le mot de passe Pa$$w0rd.

Tâche 2 : Installer le service Serveur DNS • Dans la fenêtre d’invite de commandes, tapez Start /w Ocsetup DNS-Server-

Core-Role et appuyez sur Entrée.

Remarque : le nom du rôle de serveur est sensible à la casse.

Tâche 3 : Configurer le serveur DNS pour prendre en charge toutes les zones à l’échelle du domaine et de la forêt 1. Dans la fenêtre d’invite de commandes, tapez la commande suivante et

appuyez sur Entrée : Dnscmd /enlistdirectorypartition DomainDnsZones.woodgrovebank.com.

2. Ensuite, tapez la commande suivante et appuyez sur Entrée : Dnscmd /enlistdirectorypartition ForestDnsZones.woodgrovebank.com.

3. Basculez vers NYC-DC1 et ouvrez la console de gestion DNS.

4. Cliquez avec le bouton droit sur DNS, puis cliquez sur Établir une connexion au serveur DNS.

Page 634: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L2-16 Module 2 : Configuration du service de noms de domaine des services de domaine Active Directory

5. Dans la boîte de dialogue Connexion au serveur DNS, cliquez sur L’ordinateur suivant, tapez MIA-RODC dans le champ, puis cliquez sur OK.

6. Développez MIA-RODC, Zones de recherche directes, et assurez-vous que toutes les zones DNS sont affichées.

Remarque : si les zones DNS ne sont pas affichées, ouvrez Sites et services Active Directory sur NYC-DC1. Développez Sites, Default-First-Site-Name, Servers, MIA-RODC, puis cliquez sur NTDS Settings. Cliquez avec le bouton droit sur RODC-Connection (FRS) et cliquez sur Répliquer maintenant. Cliquez sur OK. Dans la console de gestion DNS, cliquez avec le bouton droit sur Zones de recherche directes et cliquez sur Actualiser. Vérifiez que les zones sont maintenant affichées. Si elles n’apparaissent toujours pas, patientez quelques minutes, puis cliquez de nouveau sur Actualiser.

Tâche 4 : Arrêter tous les ordinateurs virtuels et ignorer les changements 1. Sur l’ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, puis sur Microsoft Virtual Server, puis cliquez sur Site Web d’administration de Virtual Server.

2. Sous Navigation, cliquez sur État récapitulatif. Pour chaque ordinateur virtuel en cours d’exécution, cliquez sur le nom de l’ordinateur virtuel, puis, dans le menu contextuel, cliquez sur Désactiver l’ordinateur virtuel et ignorer les disques d’annulations. Cliquez sur OK.

Page 635: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Configuration des objets Active Directory L3-17

Module 3 : Configuration des objets et approbations Active Directory

Atelier pratique A : Configuration des objets Active Directory Exercice 1 : Configuration des objets des services de domaine Active Directory

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Launch.

3. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238-NYC-CL1, cliquez sur Launch.

4. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

5. Ouvrez une session sur NYC-CL1 en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

6. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Créer des comptes d’utilisateurs dans les services de domaine Active Directory 1. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration,

puis cliquez sur Utilisateurs et ordinateurs Active Directory.

2. Développez WoodgroveBank.com, cliquez avec le bouton droit sur l’unité d’organisation ITAdmins, pointez sur Nouveau, puis cliquez sur Utilisateur.

Page 636: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L3-18 Module 3 : Configuration des objets et approbations Active Directory

3. Dans la boîte de dialogue Nouvel objet - Utilisateur, entrez les paramètres suivants :

• Prénom - Karl

• Nom - Fonteneau

• Nom complet - Karl Fonteneau

• Nom d'ouverture de session de l’utilisateur - Karl

4. Cliquez sur Suivant.

5. Dans les champs Mot de passe et Confirmer le mot de passe, entrez Pa$$w0rd.

6. Désactivez la case à cocher L’utilisateur doit changer le mot de passe à la prochaine ouverture de session, cliquez sur Suivant, puis cliquez sur Terminer.

7. Sur NYC-DC1, ouvrez une fenêtre d’invite de commandes.

8. À l’invite, tapez la commande suivante et appuyez sur Entrée. dsadd user "cn=Delphine Ribaute,ou=itadmins,dc=WoodgroveBank, dc=com" -samid Delphine -pwd Pa$$w0rd -desc Administrateur

Un message indiquant que la commande dsadd a réussi doit s’afficher.

9. Dans Utilisateurs et ordinateurs Active Directory, vérifiez que le compte Delphine Ribaute a été ajoutée à l’unité d’organisation IT Admins.

Tâche 3 : Modifier des comptes d’utilisateurs existants dans les services de domaine Active Directory 1. Ouvrez l’Explorateur Windows, puis créez un nouveau dossier sur le lecteur

D nommé HomeDirs.

2. Cliquez avec le bouton droit sur HomeDirs, puis cliquez sur Partager.

3. Dans la boîte de dialogue Partage de fichiers, tapez Utilisateurs du domaine, puis cliquez sur Ajouter. Dans la colonne Niveau d’autorisation, cliquez sur Collaborateur. Cliquez sur Partager, puis cliquez sur Terminé.

4. Dans le dossier HomeDirs, créez un dossier nommé Marketing.

5. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Rechercher.

Page 637: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Configuration des objets Active Directory L3-19

6. Dans la boîte de dialogue Rechercher Utilisateurs, contacts et groupes, dans la zone Nom, tapez Michel, puis cliquez sur Rechercher maintenant.

7. Cliquez avec le bouton droit sur Michel Cordani, puis cliquez sur Propriétés. Modifiez les propriétés d’utilisateur de la manière suivante :

a. Sous l’onglet Général, définissez les champs suivants :

• Numéro de téléphone - 555-555-0100

• Bureau - Siège social

• E-mail - [email protected]

b. Dans l’onglet Appel entrant, pour Autorisations d’accès réseau choisissez Autoriser l’accès.

c. Dans l’onglet Compte, cliquez sur Horaires d’accès. Configurez les horaires d’accès à autoriser entre 8h00 et 17h00, puis cliquez sur OK.

d. Sur l’onglet Profil, sous Accueil, cliquez sur Connecter. Sélectionnez le lecteur H, et dans la zone à, tapez \\NYC-DC1\HomeDirs\Marketing\%username%

e. Cliquez sur OK.

8. Dans l’Explorateur Windows, accédez à D:\HomeDirs\Marketing. Vérifiez qu’un dossier nommé Michel a été créé dans le dossier.

9. Fermez Windows Explorer.

10. Fermez la boîte de dialogue Rechercher Utilisateurs, contacts et groupes, puis fermez Utilisateurs et ordinateurs Active Directory.

11. Sur NYC-CL1, fermez la session, puis ouvrez une session en tant que Michel avec le mot de passe Pa$$w0rd.

12. Ouvrez l’Explorateur Windows et vérifiez que le lecteur H a été mappé au dossier \\NYC-DC1\HomeDirs\Marketing\Michel. Créez un nouveau document dans le dossier.

13. Fermez l’Explorateur Windows.

Résultat : au terme de cet exercice, vous aurez configuré des objets des services de domaine Active Directory.

Page 638: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L3-20 Module 3 : Configuration des objets et approbations Active Directory

Exercice 2 : Mise en œuvre d’une stratégie de groupe des services de domaine Active Directory

Tâche 1 : Démarrer LON-DC1 et ouvrir une session 1. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-LON-

DC1, cliquez sur Launch.

2. Sur LON-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

3. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Consulter la documentation concernant les exigences liées aux groupes et créer une stratégie de mise en œuvre de groupes Voici un Tableau Planification des groupes globaux, avec des suggestions de réponses :

Groupe d’organisation Nom du groupe

Cadres possédant des comptes dans le domaine WoodgroveBank.com

Woodgrove_ExecutivesGG

Cadres possédant des comptes dans le domaine EMEA.WoodgroveBank.com

EMEA_ExecutivesGG

Cadres possédant des comptes dans le domaine Asia.WoodgroveBank.com

ASIA_ExecutivesGG

Cadres provenant de tous les domaines WGB_ExecutivesUG

Directeurs de la succursale de Miami MIA_BranchManagersGG

Directeurs de la succursale de New York NYC_BranchManagersGG

Directeurs de la succursale de Toronto TOR_BranchManagersGG

Directeurs de la succursale de Londres LON_BranchManagersGG

Directeurs de la succursale de Tokyo TOK_BranchManagersGG

Directeurs de succursales provenant de tous les domaines

WGB_BranchManagersUG

Page 639: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Configuration des objets Active Directory L3-21

Voici un Tableau Planification des groupes locaux, avec des suggestions de réponses :

Ressource Conditions d’accès Noms des groupes

ExecData\HeadOfficeReports Contrôle total EX_HOReports_FC

ExecData\BranchReports\NYC Contrôle total Lecture seule

EX_NYC_BranchReportsFC

EX_NYC_BranchReportsRO

ExecData\BranchReports\Toronto Contrôle total Lecture seule

EX_TOR_BranchReportsFC

EX_TOR_BranchReportsRO

ExecData\BranchReports\Miami Contrôle total Lecture seule

EX_MIA_BranchReportsFC

EX_MIA_BranchReportsRO

ExecData\BranchReports\London Contrôle total Lecture seule

EX_LON_BranchReportsFC

EX_LON_BranchReportsRO

ExecData\BranchReports\Tokyo Contrôle total Lecture seule

EX_TOK_BranchReportsFC

EX_TOK_BranchReportsRO

ExecData\Corp Contrôle total EX_CorpFC

Voici un Tableau Planification d’imbrication des groupes, avec des suggestions de réponses :

Nom du groupe local de domaine Groupes imbriqués

EX_HOReports_FC WGB_ExecutivesUG

EX_NYC_BranchReportsFC NYC_BranchManagersGG

EX_NYC_BranchReportsRO WGB_ExecutivesUG

EX_TOR_BranchReportsFC TOR_BranchManagersGG

EX_TOR_BranchReportsRO WGB_ExecutivesUG

EX_MIA_BranchReportsFC MIA_BranchManagersGG

EX_MIA_BranchReportsRO WGB_ExecutivesUG

EX_LON_BranchReportsFC LON_BranchManagersGG

EX_LON_BranchReportsRO WGB_ExecutivesUG

EX_TOK_BranchReportsFC TOK_BranchManagersGG

EX_TOK_BranchReportsRO WGB_ExecutivesUG

EX_CorpFC WGB_ExecutivesUG

WGB_BranchManagersUG

Page 640: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L3-22 Module 3 : Configuration des objets et approbations Active Directory

Remarque : la manière la plus simple de configurer l’accès au dossier ExecData consiste à attribuer des autorisations Collaborateur au groupe universel des cadres et au groupe universel des directeurs d’agence. Vous pouvez ensuite contrôler les autorisations par sous-dossiers en utilisant les autorisations du système de fichiers NTFS.

Tâche 3 : Analyser la stratégie de mise en œuvre des groupes • Préparez-vous à apporter des suggestions sur la manière de mettre en œuvre

les groupes en fonction des besoins de l’organisation.

Tâche 4 : Créer les groupes requis par la stratégie de mise en œuvre des groupes

Remarque : Pour simplifier le processus de mise en œuvre, il est possible que certains des groupes requis aient déjà été créés. En outre, configurez les groupes requis uniquement pour les domaines WoodgroveBank.com et EMEA.WoodgroveBank.com.

1. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory.

2. Vérifiez que tous les groupes locaux devant attribuer des autorisations sont créés. Les groupes sont situés dans l’unité d’organisation Executives, et dans l’unité d’organisation BranchManagers de chaque unité d’organisation de site.

3. Sur LON-DC1, ouvrez Utilisateurs et ordinateurs Active Directory. Vérifiez que tous les groupes locaux devant attribuer des autorisations sont créés. Les groupes sont situés dans l’unité d’organisation Executives et dans l’unité d’organisation BranchManagers.

4. Sur NYC-DC1, créez les groupes universels requis en fonction de la stratégie de mise en œuvre des groupes. Créez les groupes universels dans l’unité d’organisation Executives. Pour créer un groupe :

a. Cliquez avec le bouton droit sur l’unité d’organisation appropriée, pointez sur Nouveau, puis cliquez sur Groupe. Dans la zone de nom Groupe, tapez le nom du groupe que vous utilisez pour imbriquer les groupes globaux des cadres.

b. Cliquez sur l’étendu du groupe, puis cliquez sur OK.

Page 641: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Configuration des objets Active Directory L3-23

5. Créez les groupes locaux de domaine requis en fonction de la stratégie de mise en œuvre des groupes. Utilisez le tableau suivant pour déterminer l’emplacement de création de chaque groupe.

Ressource Emplacement du groupe

ExecData\HeadOfficeReports Unité d’organisation Executives

ExecData\BranchReports\NYC Unité d’organisation NYC\BranchManagers

ExecData\BranchReports\Toronto Unité d’organisation Toronto\BranchManagers

ExecData\BranchReports\Miami Unité d’organisation Miami\BranchManagers

ExecData\BranchReports\London Unité d’organisation Executives

ExecData\Corp Unité d’organisation Executives

Tâche 5 : Imbriquer les groupes requis par la stratégie de mise en œuvre des groupes 1. Sur NYC-DC1, imbriquez les groupes requis pour répondre à la stratégie de

mise en œuvre des groupes.

2. Pour imbriquer un groupe, cliquez avec le bouton droit sur le groupe à imbriquer dans un autre groupe, puis cliquez sur Ajouter à un groupe.

3. Dans la boîte de dialogue Sélectionner un groupe, tapez le nom du groupe qui contiendra les autres groupes, puis cliquez sur OK.

Tâche 6 : Fermer LON-DC2 et ignorer les disques d’annulations 1. Fermez la fenêtre VMRC 6238A-LON-DC1.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

Résultat : au terme de cet exercice, vous aurez implémenté une stratégie de mise en œuvre de groupes.

Page 642: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L3-24 Module 3 : Configuration des objets et approbations Active Directory

Exercice 3 : Automatisation de la gestion des objets des services de domaine Active Directory

Tâche 1 : Modifier et utiliser le fichier Importusers.csv pour préparer l’importation d’un groupe d’utilisateurs dans les services de domaine Active Directory 1. Sur NYC-DC1, ouvrez l’Explorateur Windows, puis accédez à

D:\6238\Mod03\Labfiles\.

2. Ouvrez ImportUsers.csv avec le Bloc-notes. Examinez les informations d’en-tête requises pour créer des unités d’organisation et des comptes d’utilisateurs.

3. Ouvrez ImportUsers.txt avec le Bloc-notes.

4. Copiez le contenu du fichier Users.txt, puis collez le contenu dans le fichier ImportUsers.csv, en commençant par la deuxième ligue.

5. Dans le menu Fichier, cliquez sur Enregistrer sous, puis tapez C:\import.csv. Dans la zone Type, sélectionnez Tous les fichiers.

6. Cliquez sur Enregistrer pour enregistrer le fichier.

7. Ouvrez une invite de commandes.

8. À l’invite de commandes, tapez CSVDE -I -F C:\import.csv, puis appuyez sur Entrée.

9. Dans Utilisateurs et ordinateurs Active Directory, accédez à l’unité d’organisation Houston. Vérifiez que cinq unités d’organisation ont été créées, et que plusieurs comptes d’utilisateur ont été créés dans chaque unité d’organisation.

Tâche 2 : Modifier et exécuter le script ActivateUser.vbs pour activer les comptes d’utilisateurs importés et attribuer un mot de passe à chaque compte 1. Sur NYC-DC1, dans D:\6238\Mod03\Labfiles, cliquez avec le bouton droit

sur Activateusers.vbs, puis cliquez sur Modifier.

2. Modifiez la valeur de conteneur dans la deuxième ligne en OU=BranchManagers,OU=Houston,DC=WoodgroveBank,DC=com.

Page 643: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Configuration des objets Active Directory L3-25

3. Modifiez les valeurs de conteneur dans les lignes supplémentaires à la fin du script pour inclure les unités d’organisations suivantes :

• OU=CustomerService,OU=Houston,DC=WoodgroveBank,DC=com

• OU=Executives,OU=Houston,DC=WoodgroveBank,DC=com

• OU=Investments,OU=Houston,DC=WoodgroveBank,DC=com

• OU=ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com

4. Dans le menu Fichier, cliquez sur Enregistrer sous, puis tapez C:\activateusers.vbs. Dans la zone Type, sélectionnez Tous les fichiers.

5. Cliquez sur Enregistrer pour enregistrer le fichier.

6. Dans l’Explorateur Windows, accédez au lecteur C:\. Double-cliquez sur Activateusers.vbs.

7. Dans Utilisateurs et ordinateurs Active Directory, accédez à l’unité d’organisation Houston. Vérifiez que les comptes d’utilisateurs de toutes les unités d’organisation enfants sont activés.

Tâche 3 : Modifier le fichier Modifyusers.ldf pour préparer la modification des propriétés d’un groupe d’utilisateurs dans les services de domaine Active Directory 1. Sur NYC-DC1, à l’invite de commandes, tapez LDIFDE -f c:\Modifyusers.ldf

-d "OU=Houston,DC=WoodgroveBank,DC=com" -r "objectClass=user" -l physicalDeliveryOfficeName et appuyez sur Entrée.

Cette commande exporte tous les comptes d’utilisateurs dans l’unité d’organisation Houston et les unités d’organisation enfants. Comme l’attribut Office est vide pour chaque objet, il n’est pas exporté.

2. Utilisez le Bloc-notes pour ouvrir le fichier C:\Modifyusers.ldf.

3. Dans le menu Edition, utilisez l’option Remplacer pour remplacer toutes les instances de changetype: add par changetype: modify.

4. Après chaque ligne changetype, ajoutez les lignes suivantes : replace: physicalDeliveryOfficeName physicalDeliveryOfficeName : Houston

Page 644: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L3-26 Module 3 : Configuration des objets et approbations Active Directory

5. À la fin de l’entrée de chaque utilisateur, ajoutez un tiret (-) suivi d’une ligne vide.

6. Lorsque vous avez terminé, l’entrée de chaque utilisateur doit être similaire à celle-ci :

• dn: CN=Martin Spona,OU=ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com changetype: modify replace: physicalDeliveryOfficeName physicalDeliveryOfficeName: Houston

7. Enregistrez le fichier sous C:\Modifyusers.ldf.

8. À l’invite de commandes, tapez ldifde -I -f c:\ Modifyusers.ldf, puis appuyez sur Entrée.

9. Dans Utilisateurs et ordinateurs Active Directory, vérifiez que l’attribut Bureau pour les comptes d’utilisateurs dans Houston ont été mis à jour avec l’emplacement Houston.

Tâche 4 : Modifier et exécuter le script CreateMultipleUsers.ps1 pour ajouter de nouveaux utilisateurs aux services de domaine Active Directory 1. Sur NYC-DC1, dans D:\6238\Mod03\Labfiles, cliquez avec le bouton droit

sur CreateMultipleUsers.ps1, puis cliquez sur Modifier.

2. Dans la section Create an OU, changez $strOUName = “OU=ADOUName” en $strOUName = “OU=R&D”.

3. Dans la section Assign the OU where the accounts will be created, changez $strOU=[ADSI]"LDAP://ou=AddOUName,dc=WoodgroveBank,dc=com" en $strOU=[ADSI]"LDAP://ou=R&D,dc=WoodgroveBank,dc=com".

4. Dans la section Get the user information from the .csv file, changez Path to CSV file en D:\6238\ Mod03\Labfiles\Createusers.csv.

5. Enregistrez les modifications apportées au fichier.

6. Cliquez sur Démarrer, cliquez sur Tous les programmes, cliquez sur Windows PowerShell 1.0, puis cliquez sur Windows PowerShell.

Page 645: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Configuration des objets Active Directory L3-27

7. À l’invite PS, tapez D:\6238 \Mod03\Labfiles\Createmultipleusers.ps1, puis appuyez sur Entrée.

8. À la demande de mot de passe, tapez Pa$$w0rd, puis appuyez sur Entrée.

9. Dans Utilisateurs et ordinateurs Active Directory, vérifiez que l’unité d’organisation R&D a été créée, et qu’elle a été remplie avec les comptes d’utilisateurs et les attributs appropriés.

Résultat : au terme de cet exercice, vous aurez étudié plusieurs options d’automatisation de gestion des objets utilisateur.

Page 646: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L3-28 Module 3 : Configuration des objets et approbations Active Directory

Atelier pratique B : Configuration des délégations et approbations Active Directory Exercice 1 : Délégation du contrôle des objets AD DS

Tâche 1 : Attribuer le contrôle total aux utilisateurs et groupes de l’unité d’organisation Toronto 1. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory, cliquez

avec le bouton droit sur Toronto, puis cliquez sur Délégation de contrôle.

2. Dans la page Bienvenue de l’Assistant Délégation de contrôle, cliquez sur Suivant.

3. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter.

4. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Tor_BranchManagersGG, cliquez sur OK, puis cliquez sur Suivant.

5. Dans la page Tâches à déléguer, activez les cases à cocher Créer, supprimer et gérer les comptes d’utilisateurs et Créer, supprimer et gérer les groupes.

6. Cliquez sur Suivant, puis sur Terminer.

Tâche 2 : Attribuer les droits pour réinitialiser les mots de passe et configurer les informations utilisateur privées dans l’unité d’organisation Toronto 1. Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, cliquez

avec le bouton droit sur Toronto, puis cliquez sur Délégation de contrôle.

2. Dans la page Bienvenue de l’Assistant Délégation de contrôle, cliquez sur Suivant.

3. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter.

4. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Tor_CustomerServiceGG, cliquez sur OK, puis sur Suivant.

Page 647: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique B : Configuration des délégations et approbations Active Directory L3-29

5. Dans la page Tâches à déléguer, activez la case à cocher Réinitialiser les mots de passe et forcer le changement de mot de passe à la prochaine ouverture de session.

6. Cliquez sur Suivant, puis sur Terminer.

7. Cliquez avec le bouton droit sur Toronto, puis cliquez sur Délégation de contrôle.

8. Dans la page Bienvenue de l’Assistant Délégation de contrôle, cliquez sur Suivant.

9. Dans la page Utilisateurs ou groupes, ajoutez Tor_CustomerServiceGG, cliquez sur OK, puis cliquez sur Suivant.

10. Dans la page Tâches à déléguer, cliquez sur Créer une tâche personnalisée à déléguer, puis sur Suivant.

11. Dans la page Type d’objet Active Directory, cliquez sur Seulement des objets suivants dans le dossier, activez la case à cocher Objets Utilisateur, puis cliquez sur Suivant.

12. Dans la page Autorisations, vérifiez que la case à cocher Générales est activée.

13. Sous Autorisations, activez la case à cocher Lire et écrire informations personnelles, cliquez sur Suivant, puis cliquez sur Terminer.

Tâche 3 : Vérifier les autorisations effectives attribuées à l’unité d’organisation Toronto 1. Sur l’ordinateur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory,

dans le menu Affichage, cliquez sur Fonctionnalités avancées.

2. Développez WoodgroveBank.com, cliquez avec le bouton droit sur l’unité d’organisation Toronto, puis cliquez sur Propriétés.

3. Dans la boîte de dialogue Propriétés de Toronto, sous l’onglet Sécurité, cliquez sur Avancé.

4. Dans la boîte de dialogue Paramètres de sécurité avancés de Toronto, sous l’onglet Autorisations effectives, cliquez sur Sélectionner.

5. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez David, puis cliquez sur OK. David Junca est membre du groupe Tor_BranchManagersGG.

Page 648: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L3-30 Module 3 : Configuration des objets et approbations Active Directory

6. Consultez les autorisations effectives de David. Vérifiez qu’il dispose d’autorisations pour créer et supprimer des comptes d’utilisateurs et de groupes, cliquez sur Annuler, puis cliquez sur OK.

7. Développez l’unité d’organisation Toronto, l’unité d’organisation CustomerService, cliquez avec le bouton droit sur Laurent Penisson, puis cliquez sur Propriétés.

8. Dans la boîte de dialogue Propriétés de Laurent Penisson, sous l’onglet Sécurité, cliquez sur Avancé.

9. Dans la boîte de dialogue Paramètres de sécurité avancés de Laurent Penisson, sous l’onglet Autorisations effectives, cliquez sur Sélectionner.

10. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Richard, puis cliquez sur OK. Richard Tupy est membre du groupe TOR_CustomerServiceGG.

11. Consultez les autorisations effectives de Richard. Vérifiez qu’il dispose des autorisations permettant de réinitialiser les mots de passe et d’écrire des attributs personnels. Cliquez sur Annuler, puis cliquez sur OK.

Tâche 4 : Activer le groupe Utilisateurs du domaine pour ouvrir une session sur les contrôleurs de domaine

Remarque : cette étape a été intégrée à l’atelier pour vous aider à tester les autorisations déléguées. En règle générale, il est préférable d’installer les outils d’administration sur une station de travail Windows plutôt que de permettre aux utilisateurs du domaine de se connecter aux contrôleurs du domaine.

1. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestion de la stratégie de groupe.

2. Si nécessaire, développez Forêt:WoodgroveBank.com, Domaines, WoodgroveBank.com, puis Contrôleurs de domaine.

3. Cliquez avec le bouton droit sur Stratégie Contrôleurs de domaine par défaut, puis cliquez sur Modifier.

Page 649: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique B : Configuration des délégations et approbations Active Directory L3-31

4. Dans la fenêtre Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis cliquez sur Attribution des droits utilisateur.

5. Double-cliquez sur Permettre l’ouverture d’une session locale. Dans la boîte de dialogue Propriétés de Permettre l’ouverture d’une session locale, cliquez sur Ajouter un utilisateur ou un groupe.

6. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, tapez Utilisateurs du domaine, puis cliquez deux fois sur OK. Fermez toutes les fenêtres.

7. Ouvrez une invite de commandes, tapez GPUpdate /force, puis appuyez sur Entrée. Attendez que l’exécution de la commande soit terminée, puis fermez la session.

Tâche 5 : Tester les autorisations déléguées pour l’unité d’organisation Toronto 1. Sur NYC-DC1, ouvrez une session en tant que David, avec le mot de passe

Pa$$w0rd.

2. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

3. Dans la boîte de dialogue Contrôle de compte d’utilisateur, tapez Pa$$w0rd, puis cliquez sur OK.

4. Cliquez avec le bouton droit sur l’unité d’organisation Toronto, puis créez un nouvel utilisateur avec les propriétés suivantes :

• Prénom : Test1

• Nom d’ouverture de session de l’utilisateur : Test1

• Mot de passe : Pa$$w0rd

Cette tâche réussira, car l’autorisation de l’exécuter a été déléguée à David Junca.

5. Cliquez avec le bouton droit sur l’unité d’organisation Toronto, puis créez un groupe nommé Groupe 1. Cette tâche réussira, car l’autorisation de l’exécuter a été déléguée à David Junca.

Page 650: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L3-32 Module 3 : Configuration des objets et approbations Active Directory

6. Cliquez avec le bouton droit sur l’unité d’organisation ITAdmins et consultez les options de menu. Vérifiez que David dispose des autorisations pour créer des objets dans l’unité d’organisation ITAdmins.

7. Fermez la session, puis ouvrez une session sur NYC-DC1en tant que Richard avec le mot de passe Pa$$w0rd.

8. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

9. Dans la boîte de dialogue Contrôle de compte d’utilisateur, tapez Pa$$w0rd, puis cliquez sur OK.

10. Cliquez avec le bouton droit sur l’unité d’organisation Toronto et consultez les options de menu. Vérifiez que Richard dispose des autorisations pour créer des objets dans l’unité d’organisation Toronto.

11. Développez Toronto, CustomerService, cliquez avec le bouton droit sur Laurent Penisson, puis cliquez sur Réinitialiser le mot de passe.

12. Dans la boîte de dialogue Réinitialiser le mot de passe, dans les zones Nouveau mot de passe et Confirmer le mot de passe, tapez Pa$$w0rd, puis cliquez deux fois sur OK.

13. Cliquez avec le bouton droit sur Laurent Penisson, puis cliquez sur Propriétés. Dans la boîte de dialogue Propriétés de Laurent Penisson, vérifiez que Richard a l’autorisation de définir des propriétés d’utilisateur telles que Bureau et Numéro de téléphone, mais pas des paramètres tels que Description et E-mail.

14. Fermez la console Utilisateurs et ordinateurs Active Directory, puis fermez la session.

Résultat : au terme de cet exercice, vous aurez délégué les tâches administratives du bureau de Toronto.

Page 651: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique B : Configuration des délégations et approbations Active Directory L3-33

Exercice 2 : Configuration des approbations des services de domaine Active Directory

Tâche 1 : Démarrer l’ordinateur virtuel VAN-DC1, puis ouvrir une session 1. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-VAN-

DC1, cliquez sur Launch.

2. Sur VAN-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

3. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Configurer les paramètres réseau et DNS pour activer l’approbation de forêt 1. Sur VAN-DC1, cliquez sur Démarrer, pointez sur Panneau de configuration,

sur Connexions réseau, puis cliquez sur Connexion au réseau local.

2. Cliquez sur Propriétés, sur Protocole Internet (TCP/IP), puis cliquez sur Propriétés.

3. Remplacez l’Adresse IP par 10.10.0.110, la Passerelle par défaut par 10.10.0.1 et le Serveur DNS préféré par 10.10.0.110. Cliquez sur OK et fermez les boîtes de dialogue ouvertes.

4. Cliquez sur Démarrer, puis sur Exécuter. Dans la boîte de dialogue Ouvrir, tapez cmd et appuyez sur Entrée.

5. À l’invite de commandes, tapez NET TIME \\10.10.0.10 /set /y et appuyez sur Entrée. Cette commande synchronise l’heure entre VAN-DC1 et NYC-DC1. Fermez l’invite de commandes.

6. Démarrez la console DNS à partir du dossier Outils d’administration.

7. Dans la console Gestionnaire DNS, développez VAN-DC1.

8. Cliquez avec le bouton droit sur VAN-DC1 et cliquez sur Propriétés.

9. Sous l’onglet Redirecteurs, cliquez sur Nouveau. Dans le champ Domaine DNS, tapez Woodgrovebank.com, puis cliquez sur OK.

Page 652: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L3-34 Module 3 : Configuration des objets et approbations Active Directory

10. Dans le champ Liste d’adresses IP du transmetteur de domaine sélectionné, tapez 10.10.0.10, puis cliquez sur Ajouter. Cliquez sur OK et fermez la console Gestionnaire DNS.

11. Ouvrez Domaines et approbations Active Directory à partir du dossier Outils d’administration.

12. Dans Domaines et approbations Active Directory, cliquez avec le bouton droit sur Fabrikam.com, puis cliquez sur Augmenter le niveau fonctionnel du domaine.

13. Sélectionnez Windows Server 2003, cliquez sur Augmenter, puis cliquez deux fois sur OK.

14. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Augmenter le niveau fonctionnel de la forêt.

15. Sélectionnez Windows Server 2003, cliquez sur Augmenter, puis cliquez deux fois sur OK.

16. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur.

17. Démarrez la console DNS à partir du dossier Outils d’administration.

18. Dans la console Gestionnaire DNS, développez NYC-DC1.

19. Sous NYC-DC1, cliquez avec le bouton droit sur Redirecteurs conditionnels, puis cliquez sur Nouveau redirecteur conditionnel.

20. Dans le champ Domaine DNS, tapez Fabrikam.com, cliquez sous Adresse IP, tapez 10.10.0.110, appuyez sur Entrée, puis cliquez sur OK.

21. Fermez la console Gestionnaire DNS.

Tâche 3 : Configurer une approbation de forêt entre WoodgroveBank.com et Fabrikam.com 1. Sur NYC-DC1, démarrez Domaines et approbations Active Directory dans le

dossier Outils d’administration.

2. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Propriétés.

3. Sous l’onglet Approbations, cliquez sur Nouvelle approbation.

4. Dans la page Assistant Nouvelle approbation, cliquez sur Suivant.

Page 653: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique B : Configuration des délégations et approbations Active Directory L3-35

5. Dans la page Nom d’approbation, tapez Fabrikam.com, puis cliquez sur Suivant.

6. Dans la page Type d’approbation, cliquez sur Approbation de forêt, puis sur Suivant.

7. Dans la page Direction de l’approbation, cliquez sur Bidirectionnel, puis cliquez sur Suivant.

8. Dans la page Sens de l’approbation, cliquez sur Ce domaine et le domaine spécifié, puis cliquez sur Suivant.

9. Dans la page Nom d’utilisateur et mot de passe, tapez [email protected] dans le champ Nom d’utilisateur et Pa$$w0rd dans le champ Mot de passe, puis cliquez sur Suivant.

10. Dans la page Niveau d’authentification d’approbation sortantes- Forêt locale, acceptez la valeur par défaut Authentification pour toutes les ressources de la forêt, puis cliquez sur Suivant.

11. Dans la page Niveau d’authentification d’approbation sortantes- Forêt spécifiée, acceptez la valeur par défaut Authentification pour toutes les ressources de la forêt, puis cliquez sur Suivant.

12. Dans la page Fin de la sélection des approbations, cliquez sur Suivant.

13. Dans la page Fin de la création de l’approbation, cliquez sur Suivant.

14. Dans la page Confirmer l’approbation sortante, cliquez sur Oui, confirmer l’approbation sortante, puis cliquez sur Suivant.

15. Dans la page Confirmer l’approbation entrante, cliquez sur Oui, confirmer l’approbation entrante, puis cliquez sur Suivant.

16. Dans la page Fin de l’Assistant Nouvelle approbation, cliquez sur Terminer.

17. Lisez le message Active Directory, puis cliquez sur OK.

18. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de WoodgroveBank.com.

Page 654: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L3-36 Module 3 : Configuration des objets et approbations Active Directory

Tâche 4 : Configurer l’authentification sélective pour l’approbation de forêt afin d’activer l’accès à NYC-DC2 uniquement 1. Dans Domaines et approbations Active Directory, cliquez sur

WoodgroveBank.com, puis, dans le menu Action, cliquez sur Propriétés.

2. Dans la boîte de dialogue Propriétés de WoodgroveBank.com, cliquez sur l’onglet Approbations.

3. Sous Domaines qui approuvent ce domaine (approbations entrantes), cliquez sur Fabrikam.com, puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés de Fabrikam.com, sous l’onglet Authentification, cliquez sur Authentification sélective, cliquez deux fois sur OK, puis fermez Domaines et approbations Active Directory.

5. Ouvrez Utilisateurs et ordinateurs Active Directory, et dans le menu Affichage, vérifiez que l’option Fonctionnalités avancées est sélectionnée.

6. Développez Contrôleur de domaine.

7. Cliquez sur NYC-DC2, et dans le menu Action, cliquez sur Propriétés.

8. Dans la boîte de dialogue Propriétés de NYC-DC2, cliquez sur l’onglet Sécurité, puis cliquez sur Ajouter.

9. Dans la boîte de dialogue Sélectionner utilisateurs, ordinateurs ou groupes, cliquez sur Emplacements, sur Fabrikam.com, puis sur OK.

10. Dans la boîte de dialogue Sélectionnez utilisateurs, ordinateurs ou groupes, tapez MarketingGG, puis cliquez sur OK.

11. Dans la boîte de dialogue Propriétés de NYC-DC2, activez la case à cocher Autorisation d’authentifier dans la colonne Autoriser.

12. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de NYC-DC2.

13. Développez Ordinateurs.

14. Cliquez sur NYC-CL1, et dans le menu Action, cliquez sur Propriétés.

15. Dans la boîte de dialogue Propriétés de NYC-CL1, cliquez sur l’onglet Sécurité, puis cliquez sur Ajouter.

16. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, cliquez sur Emplacements, sur Fabrikam.com, puis sur OK.

Page 655: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique B : Configuration des délégations et approbations Active Directory L3-37

17. Dans la boîte de dialogue Sélectionnez les utilisateurs, les ordinateurs ou les groupes, tapez MarketingGG, puis cliquez sur OK.

18. Dans la boîte de dialogue Propriétés de NYC-CL1, activez la case à cocher Autorisation d’authentifier dans la colonne Autoriser.

19. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de NYC-CL1.

Tâche 5 : Tester l’authentification sélective 1. Sur l’ordinateur virtuel NYC-CL1, ouvrez une session en tant que

[email protected] avec le mot de passe Pa$$w0rd.

Adam est membre du groupe MarketingGG à Fabrikam. Il est en mesure de se connecter à un ordinateur du domaine WoodgroveBank.com grâce à l’approbation entre les deux forêts et parce qu’il a été autorisé à s’authentifier auprès de NYC-CL1.

2. Cliquez sur Démarrer, sur Tous les programmes, sur Accessoires, sur Exécuter, tapez \\NYC-DC2 \netlogon, puis appuyez sur Entrée. Adam devrait pouvoir accéder au dossier.

3. Cliquez sur Démarrer, sur Tous les programmes, sur Accessoires, sur Exécuter, tapez \\NYC-DC1 \Netlogon, puis appuyez sur Entrée. Adam ne devrait pas pouvoir accéder au dossier car le serveur n’est pas configuré pour l’authentification sélective.

Tâche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation 1. Fermez la fenêtre de contrôle à distance de chaque ordinateur virtuel en cours

d’exécution.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez configuré des approbations en fonction d’un modèle de configuration d’approbation.

Page 656: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 657: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des sites Active Directory et de la réplication L4-39

Module 4 : Configuration des sites de domaine Active Directory et de la réplication

Atelier pratique : Configuration des sites Active Directory et de la réplication Exercice 1 : Configuration des sites et des sous-réseaux des services de domaine Active Directory

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session. 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Launch.

3. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-LON-DC1, cliquez sur Launch.

4. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-MIA-RODC, cliquez sur Launch.

5. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-RAS, cliquez sur Launch.

6. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

7. Sur LON-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

8. Ouvrez une session sur MIA-RODC en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

9. Ouvrez une session sur NYC-RAS en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

10. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Page 658: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L4-40 Module 4 : Configuration des sites de domaine Active Directory et de la réplication

Tâche 2 : Vérifier la configuration et la topologie de réplication actuelle du site. 1. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration,

puis cliquez sur Sites et services Active Directory.

2. Développez Sites, Default-First-Site-Name, Servers, puis NYC-DC1, cliquez sur NTDS Settings, cliquez avec le bouton droit sur NTDS Settings, puis cliquez sur Propriétés.

3. Dans la boîte de dialogue Propriétés de NTDS Settings, dans l’onglet Connexions, notez les partenaires de réplication de votre ordinateur, puis cliquez sur Annuler.

4. Dans le volet d’informations, cliquez avec le bouton droit sur l’objet de connexion de la liste, puis cliquez sur Propriétés.

5. Dans la boîte de dialogue Propriétés <généré automatiquement>, sous l’onglet Général, notez le(s) Contexte(s) de noms répliqués.

6. Cliquez sur Modifier la planification, notez les horaires de réplication, puis cliquez sur Annuler deux fois.

La planification d’une fois par heure signifie que si un contrôleur de domaine ne reçoit aucune notification de modification du partenaire de réplication, il doit vérifier les mises à jour toutes les heures.

7. Développez MIA-RODC, cliquez sur NTDS Settings, cliquez avec le bouton droit sur NTDS Settings, puis cliquez sur Propriétés.

8. Dans la boîte de dialogue Propriétés de NTDS Settings, sous l’onglet Connexions, vérifiez que le contrôleur de domaine en lecture seule (RODC) a des partenaires de réplication entrants (Répliquer depuis) et aucun partenaire de réplication en sortie (Répliquer sur). Cliquez sur Annuler.

Tâche 3 : Créer les sites des services de domaine Active Directory. 1. Dans Sites et services Active Directory, cliquez avec le bouton droit sur

Default-First-Site-Name, puis cliquez sur Renommer.

2. Type NewYork-Site, et appuyez sur Entrée.

3. Cliquez avec le bouton droit sur Sites, puis cliquez sur Nouveau site.

4. Dans la boîte de dialogue Nouvel objet-Site, dans le champ Nom, tapez Miami-Site, cliquez sur DEFAULTIPSITELINK, puis cliquez sur OK.

Page 659: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des sites Active Directory et de la réplication L4-41

5. Dans la boîte de dialogue Services de domaine Active Directory, cliquez sur OK.

6. Créez deux autres sites nommés Tokyo-Site et London-Site.

7. Cliquez avec le bouton droit sur Subnets, puis cliquez sur Nouveau sous-réseau.

8. Dans la boîte de dialogue Nouvel objet-Sous-réseau, dans la zone Préfixe, tapez 10.10.0.0/16. Cliquez sur NewYork-Site, puis sur OK.

9. Créez trois autres sous-réseaux avec les attributs suivants :

• Préfixe : 10.20.0.0/16, Site : London-Site

• Préfixe : 10.30.0.0/16, Site : Miami-Site

• Préfixe : 10.40.0.0/16, Site : Tokyo-Site

10. Cliquez avec le bouton droit sur London-Site, puis cliquez sur Propriétés. Vérifiez que le sous-réseau approprié est associé à ce site, puis cliquez sur OK.

Résultat : au terme de cet exercice, vous aurez configuré des sites et des sous-réseaux de services de domaine Active Directory et lié les sous-réseaux aux sites appropriés.

Page 660: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L4-42 Module 4 : Configuration des sites de domaine Active Directory et de la réplication

Exercice 2 : Configuration de la réplication des services de domaine Active Directory

Tâche 1 : Créer des objets lien de sites. 1. Dans Sites et services Active Directory, développez Inter-Site Transports, puis

cliquez sur IP.

2. Dans le volet d’informations, cliquez avec le bouton droit sur DEFAULTIPSITELINK, puis cliquez sur Renommer.

3. Tapez NewYork-London-Site-Lien, puis appuyez sur Entrée.

4. Cliquez avec le bouton droit sur New York-London-Site-Lien et cliquez sur Propriétés.

5. Sous l’onglet Général, dans la liste Sites présents dans ce lien de sites, cliquez sur Tokyo-Site, puis cliquez sur Supprimer. Cliquez sur Miami-Site, puis sur Supprimer.

6. Dans la zone Réplication toutes les, tapez 30, puis cliquez sur OK.

7. Cliquez avec le bouton droit sur IP, puis cliquez sur Lien vers un nouveau site.

8. Dans la boîte de dialogue Nouvel objet - Lien du site, tapez NewYork-Tokyo-Site-Lien.

9. Dans la liste Sites absents de ce lien de sites, cliquez sur NewYork-Site, puis cliquez sur Ajouter. Cliquez sur Tokyo-Site, sur Ajouter, puis sur OK.

10. Cliquez avec le bouton droit sur NewYork-Tokyo-Site-Lien, puis cliquez sur Propriétés.

11. Dans la zone Réplication toutes les, tapez 30, puis cliquez sur OK.

12. Créez un autre lien de sites nommé NewYork-Miami-Site-Lien. Ajoutez NewYork-Site et Miami-Site au lien de sites, puis cliquez sur OK.

13. Cliquez avec le bouton droit sur NewYork-Miami-Site-Lien et cliquez sur Propriétés.

14. Sous l’onglet Général, cliquez sur Modifier la planification.

15. Dans la boîte de dialogue Planification pour NewYork-Miami-Site-Lien, sélectionnez l’heure de 07h00 à 19h00, du lundi au vendredi, cliquez sur Réplication non disponible, puis cliquez sur OK à deux reprises.

Page 661: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des sites Active Directory et de la réplication L4-43

Tâche 2 : Configurer le pontage de liens de site. 1. Dans Sites et services Active Directory, cliquez avec le bouton droit sur IP, puis

cliquez sur Propriétés.

2. Dans la boîte de dialogue Propriétés IP, désactivez la case à cocher Relier tous les liens de sites, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur IP, puis cliquez sur Nouveau pont entre liens de sites.

4. Dans la boîte de dialogue Nouvel objet - Pont de la liaison du site, dans la zone Nom, tapez NewYork-London-Tokyo-Site-Lien-Pont.

5. Appuyez sur la touche Ctrl, puis dans la liste Liens de sites absents de ce pont entre liens de sites, cliquez sur NewYork-London-Site-Lien et sur NewYork-Tokyo-Site-Lien, cliquez sur Ajouter, puis cliquez sur OK.

Tâche 3 : Modifier la configuration d’adresse IP du contrôleur de domaine. 1. Sur LON-DC1, dans la fenêtre Gestionnaire de serveur, cliquez sur Afficher les

connexions réseau.

2. Dans la fenêtre Connexions réseau, cliquez avec le bouton droit sur Connexion au réseau local, puis cliquez sur Propriétés.

3. Dans la boîte de dialogue Propriétés de Connexion au réseau local, cliquez sur Protocole Internet version 4 (TCP/IPv4), puis sur Propriétés.

4. Dans la boîte de dialogue Propriétés de Protocole Internet version 4 (TCP/IPv4), remplacez l’adresse IP par 10.20.0.110, la passerelle par défaut par 10.20.0.1, cliquez sur OK, puis sur Fermer.

5. Ouvrez une invite de commandes et tapez la commande Ping 10.20.0.110, puis appuyez sur Entrée. Vérifiez que la commande ping a réussi.

6. À l’invite de commandes, tapez IPConfig /registerdns, puis appuyez sur Entrée.

7. Sur MIA-RODC, dans la fenêtre d’invite de commandes, tapez Netsh interface ipv4 show interfaces, puis appuyez sur Entrée. Enregistrez la valeur Idx assignée à la connexion au réseau local.

Page 662: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L4-44 Module 4 : Configuration des sites de domaine Active Directory et de la réplication

8. Tapez netsh interface ipv4 set address name="ID" source=static address=10.30.0.15 mask=255.255.0.0 gateway=10.30.0.1 (où ID est le numéro IDx assigné à la connexion réseau local), puis appuyez sur Entrée.

9. Ouvrez une invite de commandes et tapez la commande Ping 10.30.0.15, puis appuyez sur Entrée. Vérifiez que la commande ping a réussi.

10. À l’invite de commandes, tapez IPConfig /registerdns, puis appuyez sur Entrée.

11. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur DNS.

12. Développez NYC-DC1, puis Zones de recherche directes, puis cliquez sur WoodgroveBank.com. Vérifiez que l’adresse IP de MIA-RODC a été mise à jour.

13. Développez WoodgroveBank.com, sélectionnez et cliquez avec le bouton droit sur EMEA, puis cliquez sur Propriétés.

14. Sous l’onglet Serveurs de noms, cliquez sur Modifier.

15. Dans la boîte de dialogue Modifier l’enregistrement de serveur de noms, cliquez sur 10.10.0.110, tapez 10.20.0.110, puis cliquez trois fois sur OK.

16. Fermez la console de gestion DNS.

Tâche 4 : Déplacer les contrôleurs de domaine vers les sites appropriés. 1. Sur NYC-DC1, dans Sites et services Active Directory sous New-York-Site,

cliquez sur Servers.

2. Dans le volet d’informations, cliquez avec le bouton droit sur LON-DC1, puis cliquez sur Déplacer.

3. Dans la boîte de dialogue Déplacer un serveur, cliquez sur London-Site, puis cliquez sur OK.

4. Déplacez MIA-RODC vers Miami-Site.

Page 663: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des sites Active Directory et de la réplication L4-45

Tâche 5 : Configurer la mise en cache du catalogue global pour le site de Miami. 1. Sur NYC-DC1, dans Sites et services Active Directory, cliquez sur Miami-Site.

2. Dans le volet d’informations, cliquez avec le bouton droit sur NTDS Site Settings, puis cliquez sur Propriétés.

3. Dans la boîte de dialogue Propriétés de NTDS Site Settings, activez la case à cocher Activer la mise en cache de l’appartenance au groupe universel.

4. Dans la liste Actualiser le cache à partir de, cliquez sur CN=NewYork-Site, puis cliquez sur OK.

Résultat : au terme de cet exercice, vous aurez configuré la réplication des services de domaine Active Directory.

Page 664: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L4-46 Module 4 : Configuration des sites de domaine Active Directory et de la réplication

Exercice 3 : Surveillance de la réplication des services de domaine Active Directory

Tâche 1 : Vérifier que la topologie de réplication a été mise à jour. 1. Sur NYC-DC1, dans Sites et services Active Directory, si nécessaire, développez

NewYork-Site, puis Servers, puis NYC-DC1.

2. Cliquez avec le bouton droit sur NTDS Settings, pointez sur Toutes les tâches, puis cliquez sur Vérification de la topologie de réplication.

3. Dans la boîte de dialogue Vérification de la topologie de réplication, cliquez sur OK.

4. Accédez aux NTDS Settings pour MIA-RODC sur Miami-Site et forcez-le à vérifier la topologie de réplication. L’exécution de cette opération prend quelques minutes. Cliquez sur OK.

5. Cliquez sur NewYork-Site et dans le volet d’informations, cliquez avec le bouton droit sur NTDS Site Settings, puis cliquez sur Propriétés.

6. Vérifiez que NYC-DC1 est configuré en tant que générateur de topologie intersite (ISTG). Cliquez sur OK.

7. Accédez aux NTDS Site Settings pour Miami-Site et vérifiez que MIA-RODC n’est pas répertorié comme générateur de topologie intersite (ISTG). Dans la mesure où MIA-RODC est un contrôleur de domaine en lecture seule, il ne peut pas fonctionner comme serveur tête de pont ou ISTG. Cliquez sur OK.

Tâche 2 : Vérifier que la réplication fonctionne entre les sites. 1. Sur NYC-DC1, dans Sites et services Active Directory, développez NewYork-

Site, Servers, puis NYC-DC1, puis cliquez sur NTDS Settings.

2. Dans le volet d’informations, vérifiez qu’un objet de connexion a été créé entre NYC-DC1 et LON-DC1.

3. Cliquez avec le bouton droit sur l’objet de connexion, puis cliquez sur Répliquer maintenant.

4. Lisez le message de Répliquer maintenant, puis cliquez sur OK.

5. Sur LON-DC1, ouvrez Sites et services Active Directory, développez Sites, London-Site, Servers, LON-DC1, puis cliquez sur NTDS Settings.

Page 665: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des sites Active Directory et de la réplication L4-47

6. Cliquez avec le bouton droit sur l’objet de connexion configuré sur LON-DC1 entre LON-DC1 et NYC-DC1, puis cliquez sur Répliquer maintenant.

7. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory et développez WoodgroveBank.com.

8. Cliquez avec le bouton droit sur le conteneur Utilisateurs, pointez sur Nouveau, puis cliquez sur Users. Créez un nouvel utilisateur avec un prénom et le nom d’ouverture de session UtilisateurTest ainsi que le mot de passe Pa$$w0rd.

9. Dans Sites et services Active Directory, cliquez sur Miami-Site, développez MIA-RODC et cliquez sur NTDS Settings. Cliquez avec le bouton droit sur l’objet de connexion entre NYC-DC1 et MIA-RODC, puis cliquez sur Répliquer maintenant. Cliquez sur OK pour fermer la boîte de dialogue Répliquer maintenant.

Remarque : si vous recevez un message d’erreur lorsque la réplication est forcée sur l’objet de connexion, sous MIA-RODC, cliquez avec le bouton droit sur NTDS Settings, pointez sur Toutes les tâches, puis cliquez sur Vérification de la topologie de réplication. Développez NYC-DC1, cliquez avec le bouton droit sur NTDS Settings, pointez sur Toutes les tâches, puis cliquez sur Vérification de la topologie de réplication. Attendez une minute, puis recommencez l’étape 9.

10. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Changer de contrôleur de domaine.

11. Dans la boîte de dialogue Changer le serveur d’annuaire, cliquez sur MIA-RODC.WoodgroveBank.com, puis cliquez sur OK.

12. Dans le message Services de domaine Active Directory, cliquez sur OK.

13. Développez WoodgroveBank.com, puis développez Users. Vérifiez que le compte TestUser a été répliqué sur MIA-RODC.

14. Fermez Utilisateurs et ordinateurs Active Directory.

Page 666: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L4-48 Module 4 : Configuration des sites de domaine Active Directory et de la réplication

Tâche 3 : Utiliser DCDiag pour vérifier la topologie de réplication. 1. Sur NYC-DC1, ouvrez une invite de commandes.

2. À l’invite de commandes, tapez DCDiag /test:replications, puis appuyez sur Entrée.

3. Vérifiez que NYC-DC1 a réussi le test de connectivité, mais présente plusieurs erreurs de réplication. Des erreurs de réplication sont répertoriées car la réplication a été tentée alors que NYC-DC2 et TOK-DC1 n’étaient pas en cours d’exécution.

Tâche 4 : Utiliser Repadmin pour vérifier que la réplication a réussi. 1. Sur NYC-DC1, à l’invite de commandes, tapez repadmin /showrepl, puis

appuyez sur Entrée. Vérifiez que la réplication avec LON-DC1 a réussi pendant la dernière mise à jour de réplication.

2. À l’invite de commandes, tapez repadmin /showrepl MIA-RODC.WoodgroveBank.com, puis appuyez sur Entrée. Vérifiez que la mise à jour de toutes les partitions d’annuaire a réussi pendant la dernière mise à jour de réplication.

3. À l’invite de commandes, tapez repadmin /bridgeheads, puis appuyez sur Entrée. Vérifiez que NYC-DC1 et LON-DC1 sont répertoriés comme serveurs tête de pont pour leur site.

4. À l’invite de commandes, tapez repadmin /replsummary, puis appuyez sur Entrée.

5. Examinez le résumé de la réplication et fermez l’invite de commandes.

Page 667: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des sites Active Directory et de la réplication L4-49

Tâche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation. 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez vérifié le bon fonctionnement de la réplication des services de domaine Active Directory.

Page 668: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 669: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Création et configuration d’objets Stratégie de groupe L5-51

Module 5 : Création et configuration d’une stratégie de groupe

Atelier pratique : Création et configuration d’objets Stratégie de groupe Exercice 1 : Création et configuration des objets de stratégie de groupe

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Launch.

3. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

4. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Créer les stratégies de groupe 1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis lancer le

composant Gestion des stratégies de groupe.

2. Développez la forêt en cliquant sur WoodgroveBank.com, Domaines, WoodgroveBank.com et Objets de stratégie de groupe.

3. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis cliquez sur Nouveau.

4. Dans la boîte de dialogue Nouvel objet GPO, tapez Restreindre le Panneau de configuration dans le champ Nom, puis cliquez sur OK.

Page 670: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L5-52 Module 5 : Création et configuration d’une stratégie de groupe

5. Répétez les étapes précédentes pour créer les objets de stratégie de groupe suivants :

• Créez un objet de stratégie de groupe nommé Restreindre l’affichage du Bureau.

• Créez un objet de stratégie de groupe nommé Restreindre la commande Exécuter.

• Créez un objet de stratégie de groupe nommé Sécurité de base.

• Créez un objet de stratégie de groupe nommé Sécurité Vista et XP.

• Créez un objet de stratégie de groupe nommé Favoris Admin.

• Créez un objet de stratégie de groupe nommé Sécurité des bornes informatiques.

6. Laissez la fenêtre Console de gestion des stratégies de groupe ouverte pour effectuer la tâche ci-après.

Tâche 3 : Configurer les stratégies 1. Configurez la stratégie Sécurité de base :

a. Dans la Console de gestion des stratégies de groupe (GPMC), ouvrez le dossier Objets de stratégie de groupe, cliquez avec le bouton droit sur la stratégie Sécurité de base, puis cliquez sur Modifier.

b. Dans l’Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies locales et Options de sécurité, puis double-cliquez sur Ouverture de session interactive : Ne pas afficher le dernier nom d 'utilisateur.

c. Activez la case à cocher Définir ce paramètre de stratégie, cliquez sur Activé, puis sur OK.

d. Fermez l’Éditeur de gestion des stratégies de groupe.

Page 671: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Création et configuration d’objets Stratégie de groupe L5-53

2. Configurez la stratégie Favoris Admin :

a. Dans le dossier Objets de stratégie de groupe, cliquez avec le bouton droit sur la stratégie Favoris Admin, puis cliquez sur Modifier.

b. Dans l’Éditeur de gestion des stratégies de groupe, développez Configuration utilisateur en cliquant sur Stratégies, Paramètres Windows, Maintenance de Internet Explorer et URL. Dans le volet d’informations, double-cliquez sur Favoris et liens.

c. Dans la boîte de dialogue Favoris et liens, cliquez sur Ajouter une URL. Dans la boîte de dialogue Détails, tapez Support technique dans le champ Nom, tapez http://support.microsoft.com dans le champ URL, puis cliquez deux fois sur OK.

d. Fermez l’Éditeur de gestion des stratégies de groupe.

3. Configurez la stratégie Restreindre l’affichage du Bureau :

a. Dans le dossier Objets de stratégie de groupe, cliquez avec le bouton droit sur la stratégie Restreindre l’affichage du Bureau, puis cliquez sur Modifier.

b. Dans l’Éditeur de gestion des stratégies de groupe, développez Configuration utilisateur en cliquant sur Stratégies, Modèles d’administration, Panneau de configuration et Affichage, puis double-cliquez sur Supprimer l’application Affichage dans le Panneau de configuration.

c. Dans la boîte de dialogue Supprimer l'application Affichage dans le Panneau de configuration, cliquez sur Activé, puis sur OK.

d. Fermez l’Éditeur de gestion des stratégies de groupe.

4. Configurez la stratégie Sécurité des bornes informatiques :

a. Dans le dossier Objets de stratégie de groupe, cliquez avec le bouton droit sur la stratégie Sécurité des bornes informatiques, puis cliquez sur Modifier.

b. Dans l’Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur en cliquant sur Stratégies, Modèles d’administration, Système et Stratégie de groupe, puis, dans le volet d’informations, double-cliquez sur le paramètre Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur.

Page 672: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L5-54 Module 5 : Création et configuration d’une stratégie de groupe

c. Dans la boîte de dialogue de propriétés de Traitement en boucle, cliquez sur Activé, vérifiez que le mode est défini sur Remplacer, puis cliquez sur OK.

d. Développez Configuration utilisateur en cliquant sur Stratégies, Modèles d’administration et Bureau.

e. Double-cliquez sur Masquer et désactiver tous les éléments du Bureau. Dans la boîte de dialogue Masquer et désactiver tous les éléments du Bureau, cliquez sur Activé, puis sur OK.

f. Fermez l’Éditeur de gestion des stratégies de groupe.

5. Configurez la stratégie Restreindre le Panneau de configuration :

a. Dans le dossier Objets de stratégie de groupe, cliquez avec le bouton droit sur la stratégie Restreindre le Panneau de configuration, puis cliquez sur Modifier.

b. Dans l’Éditeur de gestion des stratégies de groupe, développez Configuration utilisateur en cliquant sur Stratégies, Modèles d’administration et Panneau de configuration, puis double-cliquez sur Empêcher l’accès au Panneau de configuration.

c. Dans la boîte de dialogue Empêcher l’accès au Panneau de configuration, cliquez sur Activé, puis cliquez sur OK.

d. Fermez l’Éditeur de gestion des stratégies de groupe.

6. Configurez la stratégie Restreindre la commande Exécuter :

a. Dans le dossier Objets de stratégie de groupe, cliquez avec le bouton droit sur la stratégie Restreindre la commande Exécuter, puis cliquez sur Modifier.

b. Dans l’Éditeur de gestion des stratégies de groupe, développez Configuration utilisateur en cliquant sur Stratégies, Modèles d’administration, Menu Démarrer et Barre des tâches, puis, dans le volet d’informations, double-cliquez sur Supprimer le menu Exécuter du menu Démarrer.

c. Dans la boîte de dialogue Supprimer le menu Exécuter du menu Démarrer, cliquez sur Activé, puis sur OK.

d. Fermez l’Éditeur de gestion des stratégies de groupe.

Page 673: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Création et configuration d’objets Stratégie de groupe L5-55

7. Configurez la stratégie Sécurité Vista et XP :

a. Dans le dossier Objets de stratégie de groupe, cliquez avec le bouton droit sur la stratégie Sécurité Vista et XP, puis cliquez sur Modifier.

b. Dans l’Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur en cliquant sur Stratégies, Modèles d’administration, Système et Ouverture de session, puis double-cliquez sur Toujours attendre le réseau lors du démarrage de l’ordinateur.

c. Dans la boîte de dialogue Toujours attendre le réseau lors du démarrage de l’ordinateur, cliquez sur Activé, puis cliquez sur OK.

d. Fermez l’Éditeur de gestion des stratégies de groupe. Laissez la Console de gestion des stratégies de groupe (GPMC) ouverte pour la tâche suivante.

Tâche 4 : Lier les objets de stratégie de groupe aux conteneurs appropriés 1. Dans la console de gestion des stratégies de groupe (GPMC), cliquez avec le

bouton droit sur le domaine WoodgroveBank.com, puis cliquez sur Lier un objet de stratégie de groupe existant.

2. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l’objet de stratégie de groupe Sécurité de base. Maintenez la touche Ctrl enfoncée et sélectionnez les objets de stratégie de groupe suivants :

• Restreindre la commande Exécuter

• Sécurité Vista et XP

• Sécurité des bornes informatiques

3. Cliquez sur OK.

4. Cliquez avec le bouton droit sur l’unité d’organisation ITAdmins, puis cliquez sur Lier un objet de stratégie de groupe existant.

5. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l’objet de stratégie de groupe Favoris Admin, puis cliquez sur OK.

6. Cliquez avec le bouton droit sur l’unité d’organisation Direction, puis cliquez sur Lier un objet de stratégie de groupe existant.

7. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l’objet de stratégie de groupe Restreindre l’affichage du Bureau, puis cliquez sur OK.

Page 674: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L5-56 Module 5 : Création et configuration d’une stratégie de groupe

8. Cliquez avec le bouton droit sur l’unité d’organisation Miami, cliquez sur Lier un objet de stratégie de groupe existant, puis sélectionnez la stratégie Restreindre le Panneau de configuration.

9. Répétez l’étape précédente pour lier la stratégie Restreindre le Panneau de configuration aux unités d’organisation Toronto et NYC.

Résultat : au terme de cet exercice, vous serez en mesure de créer et de configurer des objets de stratégie de groupe.

Page 675: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Création et configuration d’objets Stratégie de groupe L5-57

Exercice 2 : Gestion de l’étendue de l’application d’un objet de stratégie de groupe

Tâche 1 : Configurer la gestion de la stratégie de groupe pour le conteneur de domaine 1. Dans la Console de gestion des stratégies de groupe (GPMC), développez le

domaine WoodgroveBank.com pour exposer les stratégies liées.

2. Cliquez avec le bouton droit sur le lien Sécurité de base, puis cliquez sur Appliqué.

3. Cliquez sur le lien Sécurité de base, dans le volet de droite, cliquez sur l’onglet Détails.

4. Dans la liste déroulante État GPO, sélectionnez Paramètres de configuration utilisateurs désactivés.

5. Cliquez sur le lien Sécurité des bornes informatiqueset, dans le volet de droite, cliquez sur l’onglet Délégation.

6. Sous l’onglet Délégation, cliquez sur Avancé.

7. Dans les propriétés de Paramètres de sécurité, cliquez sur le groupe Utilisateurs authentifiés, puis cliquez sur Supprimer.

8. Cliquez sur Ajouter, puis, dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez bornes informatiques, puis cliquez sur OK.

9. Attribuez les autorisations Lire et appliquer la stratégie de groupe au groupe Bornes informatiques, puis cliquez sur OK.

Tâche 2 : Configurer la gestion de la stratégie de groupe pour l’unité d’organisation IT Admin • Cliquez avec le bouton droit sur l’unité d’organisation ITAdmins, puis cliquez

sur Bloquer l’héritage.

Page 676: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L5-58 Module 5 : Création et configuration d’une stratégie de groupe

Tâche 3 : Configurer la gestion de la stratégie de groupe pour les unités d’organisation des succursales 1. Ouvrez le dossier Objets de stratégie de groupe et, dans le volet

d’arborescence, cliquez sur la stratégie Restreindre le Panneau de configuration.

2. Cliquez sur l’onglet Délégation, puis sous l’onglet Délégation, cliquez sur Avancé.

3. Dans les propriétés de Paramètres de sécurité, cliquez sur Ajouter.

4. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Mia_BranchManagersGG; NYC_BranchManagersGG; Tor_BranchManagersGG, puis cliquez sur OK.

5. Refusez l’autorisation Appliquer une stratégie de groupe pour ces groupes, puis cliquez sur OK.

6. Cliquez sur Oui pour accuser réception du message d’avertissement.

Tâche 4 : Créer et appliquer un filtre WMI pour l’objet de stratégie de groupe Sécurité du serveur 1. Dans la Console de gestion des stratégies de groupe (GPMC), cliquez avec le

bouton droit sur le dossier Filtres WMI, puis cliquez sur Nouveau.

2. Dans le champ Nom, tapez Système d’exploitation Windows Vista ou XP.

3. Dans la boîte de dialogue Nouveau filtre WMI, cliquez sur Ajouter.

4. Dans la boîte de dialogue Requête WMI, tapez : Select * from Win32OperatingSystem where Caption = “Microsoft Windows Vista Enterprise” OR Caption = “Microsoft Windows XP Professional”.

5. Cliquez sur OK, puis sur Enregistrer.

6. Dans le dossier Objets de stratégie de groupe, cliquez sur la stratégie Sécurité Vista et XP, puis cliquez sur l’onglet Étendue.

Page 677: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Création et configuration d’objets Stratégie de groupe L5-59

7. Dans la section Filtrage WMI, sélectionnez la requête Système d’exploitation Windows Vista et XP dans la liste déroulante.

8. Cliquez sur Oui pour confirmer l’opération.

Résultat : au terme de cet exercice, vous serez en mesure de configurer l’étendue des paramètres de l’objet de stratégie de groupe.

Page 678: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L5-60 Module 5 : Création et configuration d’une stratégie de groupe

Exercice 3 : Vérification de l’application des objets de stratégie de groupe

Tâche 1 : Démarrer l’ordinateur NYC-CL1 • Sur NYC-CL1, ouvrez une session en tant qu’Antoine avec le mot de passe

Pa$$w0rd.

Tâche 2 : Vérifier qu’un utilisateur de la succursale de Miami reçoit la stratégie correcte 1. Ouvrez une session sur l’ordinateur virtuel NYC-CL1 en tant que Antoine avec

le mot de passe Pa$$w0rd.

2. Vérifiez qu’il n’existe aucun lien vers le menu Exécuter dans le dossier Accessoires du menu Démarrer.

3. Vérifiez qu’il n’y a aucun lien vers le Panneau de configuration du menu Démarrer.

4. Fermez la session.

Tâche 3 : Vérifier qu’un directeur de la succursale de Miami reçoit la stratégie correcte 1. Ouvrez une session sur l’ordinateur NYC-CL1 en tant que Loig avec le mot de

passe Pa$$w0rd.

2. Vérifiez qu’il n’existe aucun lien vers le menu Exécuter dans le dossier Accessoires du menu Démarrer.

3. Cliquez sur Démarrer, et assurez-vous qu’un lien vers le Panneau de configuration s’affiche dans le menu Démarrer.

4. Fermez la session.

Page 679: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Création et configuration d’objets Stratégie de groupe L5-61

Tâche 4 : Vérifier qu’un utilisateur de l’unité d’organisation IT Admin reçoit la stratégie correcte 1. Ouvrez une session sur l’ordinateur virtuel NYC-CL1 en tant que Florence

avec le mot de passe Pa$$w0rd.

2. Vérifiez qu’un lien vers le menu Exécuter s’affiche dans le dossier Accessoires du menu Démarrer.

3. Vérifiez qu’un lien vers le Panneau de configuration s’affiche dans le menu Démarrer.

4. Lancez Internet Explorer et ouvrez le dossier Favoris. Vérifiez que le lien vers le Support technique s’affiche.

5. Fermez la session.

Tâche 5 : Vérifier qu’un utilisateur de l’unité d’organisation Executive reçoit la stratégie correcte 1. Ouvrez une session sur l’ordinateur virtuel NYC-CL1 en tant que Laurent avec

le mot de passe Pa$$w0rd.

2. Cliquez sur Démarrer, pointez sur Accessoires, et vérifiez qu’il n’y a pas de lien vers le menu Exécuter dans le dossier Accessoires.

3. Cliquez sur Démarrer, et assurez-vous qu’un lien vers le Panneau de configuration s’affiche dans le menu Démarrer.

4. Vérifiez qu’il n’y a aucun accès vers les paramètres d’affichage du bureau.

Conseil : lorsque vous tentez d’accéder aux paramètres d’affichage, vous recevez un message vous informant que cette fonction a été désactivée.

5. Fermez la session.

Page 680: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L5-62 Module 5 : Création et configuration d’une stratégie de groupe

Tâche 6 : Vérifiez que le nom du dernier utilisateur qui a ouvert une session n’apparaît pas • Vérifiez que le nom du dernier utilisateur qui a ouvert une session n’apparaît

pas.

Tâche 7 : Utiliser l’outil Modélisation de stratégie de groupe pour tester les paramètres de l’ordinateur borne 1. Ouvrez une session sur l’ordinateur virtuel NYC-DC1 en tant

qu’Administrateur avec le mot de passe Pa$$w0rd.

2. Lancez la consoleGestion des stratégies de groupe (GPMC), cliquez avec le bouton droit sur le dossier Modélisation de stratégie de groupe, cliquez sur Assistant Modélisation de stratégie de groupe, puis deux fois sur Suivant.

3. Dans la page Sélection du contrôleur de domaine, cliquez sur Suivant.

4. Dans l’écran Sélection d’ordinateurs et d’utilisateurs, cliquez sur Ordinateur, tapez Woodgrovebank\NYC-CL1, puis cliquez sur Suivant.

5. Dans l’écran Options de simulation avancées, cliquez sur Suivant.

6. Dans l’écran Autres chemins d’accès Active Directory, cliquez sur Suivant.

7. Dans l’écran Groupe de sécurité ordinateur, cliquez sur Ajouter.

8. Dans la boîte de dialogue Sélectionner des groupes, tapez Bornes informatiques, cliquez sur OK, puis sur Suivant.

9. Dans la page Filtres WMI pour Ordinateurs, cliquez sur Suivant.

10. Dans l’écran Aperçu des sélections, cliquez sur Suivant, sur Terminer, puis affichez le rapport. Le traitement de cette opération prend quelques minutes.

Résultat : au terme de cet exercice, vous serez en mesure de tester et de vérifier une application des objets de stratégie de groupe.

Page 681: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Création et configuration d’objets Stratégie de groupe L5-63

Exercice 4 : Gestion des objets de stratégie de groupe

Tâche 1 : Sauvegarder une stratégie particulière 1. Dans la Console de gestion des stratégies de groupe (GPMC), ouvrez le dossier

Objets de stratégie de groupe.

2. Cliquez avec le bouton droit sur la stratégie Restreindre le Panneau de configuration, puis cliquez sur Sauvegarder.

3. Dans la boîte de dialogue Sauvegarder, accédez à D:\6238\GPOBackup, cliquez sur Sauvegarder, puis sur OK une fois que la sauvegarde est effectuée.

Tâche 2 : Sauvegarder tous les objets de stratégie de groupe 1. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis

cliquez sur Sauvegarder tout.

2. Vérifiez que D:\6238\GPOBackup est l’emplacement sélectionné, cliquez sur Sauvegarder, puis cliquez sur OK lorsque la sauvegarde est effectuée.

Tâche 3 : Supprimer et restaurer un objet de stratégie de groupe individuel 1. Dans le dossier Objets de stratégie de groupe, cliquez avec le bouton droit sur

la stratégie Favoris Admin, puis cliquez sur Supprimer. Cliquez sur Oui pour confirmer l’opération, puis cliquez sur OK lorsque la suppression est effectuée.

2. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis cliquez sur Gérer les sauvegardes.

3. Dans la boîte de dialogue Gérer les sauvegardes, sélectionnez l’objet de stratégie de groupe Favoris Admin, puis cliquez sur Restaurer. Cliquez sur OK pour confirmer l’opération.

4. Cliquez sur OK lorsque la restauration est effectuée, puis fermez la boîte de dialogue Gérer les sauvegardes.

5. Vérifiez que la stratégie Favoris Admin s’affiche dans le dossier Objets de stratégie de groupe.

Page 682: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L5-64 Module 5 : Création et configuration d’une stratégie de groupe

Tâche 4 : Importer un objet de stratégie de groupe 1. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis

cliquez sur Nouveau.

2. Nommez le nouvel objet de stratégie de groupe Import, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Import, puis cliquez sur Importer des paramètres.

4. Dans l’Assistant Importation des paramètres, cliquez sur Suivant.

5. Dans la page Objet de stratégie de groupe de sauvegarde, cliquez sur Suivant.

6. Vérifiez que l’emplacement du dossier de sauvegarde est D:\6238\GPOBackup, puis cliquez sur Suivant.

7. Dans l’écran Objet de stratégie de groupe source, cliquez sur Restreindre le Panneau de configuration, puis sur Suivant.

8. Dans l’écran Analyse de la sauvegarde, cliquez sur Suivant, puis sur Terminer.

9. Cliquez sur OK une fois que l’importation est effectuée.

10. Cliquez sur Import, sur l’onglet Paramètres, puis vérifiez que le paramètre Restreindre l’accès au Panneau de configuration est activé.

Résultat : au terme de cet exercice, vous serez en mesure de sauvegarder, de restaurer et d’importer des objets de stratégie de groupe.

Page 683: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Création et configuration d’objets Stratégie de groupe L5-65

Exercice 5 : Délégation du contrôle administratif des objets de stratégie de groupe

Tâche 1 : Octroyer à Florence l’autorisation de créer des objets de stratégie de groupe dans le domaine 1. Sélectionnez le dossier Objets de stratégie de groupe, cliquez sur l’onglet

Délégation, puis sur Ajouter.

2. Dans la boîte de dialogue Sélectionnez Utilisateurs, ordinateurs ou Groupe, tapez Florence dans le champ Entrez le nom de l'objet à sélectionner, puis cliquez sur OK.

Tâche 2 : Déléguer l’autorisation de modifier l’objet de stratégie de groupe Importer à Florence 1. Dans le dossier Objets de stratégie de groupe, sélectionnez le dossier Import,

cliquez sur l’onglet Délégation, puis sur Ajouter.

2. Dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateur ou Groupe, tapez Florence dans le champ Entrez le nom de l’objet à sélectionner puis cliquez sur OK.

3. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, sélectionnez Modifier les paramètres dans la liste déroulante, puis cliquez sur OK.

Tâche 3 : Déléguer l’autorisation de lier les objets de stratégie de groupe de l’unité d’organisation Executives à Florence 1. Sélectionnez le dossier Unité d’organisation Direction, cliquez sur l’onglet

Délégation, puis sur Ajouter.

2. Dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateur ou Groupe, tapez Florence dans le champ Entrez un nom de l’objet à sélectionner, puis cliquez sur OK.

3. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, sélectionnez Ce conteneur seulement, puis cliquez sur OK.

Page 684: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L5-66 Module 5 : Création et configuration d’une stratégie de groupe

Tâche 4 : Activer le groupe Utilisateurs du domaine pour ouvrir une session sur les contrôleurs de domaine

Remarque : cette étape a été intégrée à l’atelier pour vous aider à tester les autorisations déléguées. En règle générale, il est préférable d’installer les outils d’administration sur une station de travail Windows plutôt que de permettre aux utilisateurs du domaine de se connecter aux contrôleurs du domaine.

1. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestion des stratégies de groupe.

2. Si nécessaire, développez Forêt:WoodgroveBank.com, Domaines, WoodgroveBank.com, puis Domain Controllers.

3. Cliquez avec le bouton droit sur Default Domain Controllers Policy, puis cliquez sur Modifier.

4. Dans la fenêtre Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité et Stratégies locales, puis cliquez sur Attribution des droits utilisateur.

5. Double-cliquez sur Permettre l’ouverture d’une session locale, puis, dans la boîte de dialogue Propriétés de Permettre l’ouverture d’une session locale, cliquez sur Ajouter un utilisateur ou un groupe.

6. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, tapez Utilisateurs du domaine, puis cliquez deux fois sur OK. Close all open windows.

7. Ouvrez une invite de commandes, tapez GPUpdate /force, puis appuyez sur Entrée. Attendez que l’exécution de la commande soit terminée, puis fermez la session.

Page 685: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Création et configuration d’objets Stratégie de groupe L5-67

Tâche 5 : Tester la délégation 1. Ouvrez une session sur l’ordinateur virtuel NYC-DC1 en tant que Florence.

2. Dans le menu Démarrer, cliquez sur Rechercher, tapez MMC dans la zone Rechercher, puis appuyez sur Entrée. Entrez Pa$$word lorsque le système vous invite à indiquer les informations d’identification.

3. Dans le menu déroulant Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

4. Sélectionnez Console de gestion des stratégies de groupe (GPMC), cliquez sur Ajouter, puis sur OK.

5. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis cliquez sur Nouveau.

6. Créez une nouvelle stratégie appelée Test. Cette opération doit réussir.

7. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Import, puis cliquez sur Modifier. Cette opération doit réussir.

8. Cliquez avec le bouton droit sur l’unité d’organisation Direction, puis cliquez sur l’objet de stratégie de groupe Test. Cette opération doit réussir.

9. Cliquez avec le bouton droit sur la stratégie Favoris Admin et tentez de la modifier. Cette opération n’est pas possible.

10. Fermez la console GPMC.

Tâche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulations 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous serez en mesure de sauvegarder, de restaurer et d’importer des objets de stratégie de groupe.

Page 686: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 687: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe L6-69

Module 6 : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe

Atelier pratique : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe Exercice 1 : Configuration de scripts et redirection de dossiers

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Launch.

3. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

4. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Créer un script d’ouverture de session pour mapper vers le dossier partagé de données (Data) 1. Cliquez sur Démarrer, sur Rechercher, tapez Notepad dans la zone de

recherche, puis appuyez sur Entrée.

2. Dans le Bloc-notes, tapez Net Use J: \\NYC-DC1\Data.

3. Fermez le Bloc-notes et enregistrez le fichier sous C:\Map.bat. Vérifiez que le champ Type contient Tous les fichiers.

Page 688: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L6-70 Module 6 : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe

Tâche 3 : Copier le script dans le partage NetLogon et l’attribuer aux unités d’organisation Miami, Toronto et New York 1. Cliquez sur Démarrer, puis sur Ordinateur.

2. Dans le volet droit, double-cliquez sur Disque local (C:).

3. Cliquez avec le bouton droit sur le script Map.bat, cliquez sur Copier pour copier le script dans le Presse-papiers, puis fermez la fenêtre de l’Explorateur Windows.

4. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestion des stratégies de groupe.

5. Développez Forêt, Domaines et WoodgroveBank.com, cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis cliquez sur Nouveau.

6. Dans la boîte de dialogue Nouvel objet GPO, tapez Script d'ouverture de session dans le champ Nom, puis cliquez sur OK.

7. Développez Objets de stratégie de groupe, cliquez avec le bouton droit sur la stratégie Script d’ouverture de session et cliquez sur Modifier.

8. Dans l’Éditeur de gestion des stratégies de groupe, développez successivement Configuration utilisateur, Stratégies et Paramètres Windows, puis cliquez sur Scripts (ouverture/fermeture de session).

9. Dans le volet Détails, cliquez avec le bouton droit sur Ouverture de session, puis cliquez sur Propriétés.

10. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur Afficher les fichiers.

11. Dans le volet Détails, cliquez avec le bouton droit sur Coller pour copier le script enregistré dans le Presse-papiers dans le dossier des scripts, puis fermez l’Explorateur Windows.

12. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur Ajouter.

13. Dans la boîte de dialogue Ajout d’un Script, cliquez sur Parcourir.

14. Dans la boîte de dialogue Parcourir, sélectionnez le fichier Map.bat, cliquez sur Ouvrir, puis deux fois sur OK. Fermez l’Éditeur de gestion des stratégies de groupe.

Page 689: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe L6-71

15. Dans la Console de gestion des stratégies de groupe (GPMC), cliquez avec le bouton droit sur l’unité d’organisation Miami, puis cliquez sur Lier un objet de stratégie de groupe existant.

16. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l’objet de stratégie de groupe Script d’ouverture de session et cliquez sur OK.

17. Répétez les étapes 15 et 16 pour lier l’objet de stratégie de groupe Script d’ouverture de session aux unités d’organisation Toronto et New York.

18. Réduisez la console GPMC dans la barre des tâches.

Tâche 4 : Partager et sécuriser un dossier pour le groupe Executives 1. Cliquez sur Démarrer, sur Ordinateur, puis naviguez jusqu'à D:\6238.

2. Cliquez avec le bouton droit sur le dossier ExecData, puis cliquez sur Propriétés.

3. Dans la boîte de dialogue Propriétés de ExecData, cliquez sur l’onglet Partage, puis sur Partage avancé.

4. Activez la case à cocher Partager ce dossier, puis cliquez sur Autorisations.

5. Cliquez sur Supprimer pour supprimer le groupe Tout le monde.

6. Cliquez sur Ajouter, dans le champ Entrez les noms des objets à sélectionner, tapez Executives_WoodgroveGG et cliquez sur OK.

7. Activez la case à cocher pour accorder l’autorisation Contrôle total, puis cliquez deux fois sur OK.

8. Cliquez sur l'onglet Sécurité, puis sur Avancé.

9. Sous l’onglet Autorisations, cliquez sur Modifier, puis désactivez la case à cocher Inclure les autorisations pouvant être héritées du parent de cet objet.

10. Dans la boîte de dialogue Sécurité de Windows, cliquez sur Copier.

11. Supprimez tous les utilisateurs et les groupes, à l’exception de Créateur propriétaire et System.

12. Cliquez sur Ajouter, dans le champ Entrez le nom de l'objet à sélectionner, tapez Executives_WoodgroveGG et cliquez sur OK.

Page 690: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L6-72 Module 6 : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe

13. Changez le champ Appliquer par Ce dossier seulement, activez les cases à cocher pour attribuer les autorisations Liste du dossier/lecture de données et Création de dossiers/ajout de données au groupe Executives_WoodgroveGG, puis cliquez sur OK.

14. Cliquez deux fois sur OK, cliquez sur Fermer pour fermer la boîte de dialogue Propriétés de ExecData, puis fermez l’Explorateur Windows.

Tâche 5 : Rediriger le dossier Documents pour le groupe Executives 1. Restaurez la console GPMC à partir de la barre des tâches, cliquez avec le

bouton droit sur le dossier Objets de stratégie de groupe, puis cliquez sur Nouveau.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Redirection des cadres dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Redirection des cadres, puis cliquez sur Modifier.

4. Dans l’Éditeur de gestion des stratégies de groupe, sous Configuration utilisateur, développez successivement Stratégies, Paramètres Windows et Redirection de dossiers, cliquez avec le bouton droit sur Documents, puis cliquez sur Propriétés.

5. Sous l’onglet Cible, réglez le paramètre sur De base - Rediriger les dossiers de tout le monde vers le même emplacement.

6. Laissez le paramétrage par défaut pour l’emplacement du dossier cible, puis tapez \\NYC-DC1\ExecData dans le champ Chemin d’accès de la racine.

7. Cliquez sur l’onglet Paramètres, examinez les paramètres actuels, puis cliquez sur OK. Cliquez sur Oui pour accuser réception du message Avertissement, puis fermez l’Éditeur de gestion des stratégies de groupe.

8. Cliquez avec le bouton droit sur l’unité d’organisation Executives, puis cliquez sur Lier un objet de stratégie de groupe existant. Sélectionnez l’objet de stratégie de groupe Redirection des cadres, puis cliquez sur OK.

Résultat : au terme de cet exercice, vous aurez configuré des scripts et la redirection de dossiers.

Page 691: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe L6-73

Exercice 2 : Configuration des modèles d’administration

Tâche 1 : Modifier la stratégie de domaine par défaut pour contenir les paramètres de tous les ordinateurs 1. Dans la Console de gestion des stratégies de groupe (GPMC), cliquez sur le

dossier Objets de stratégie de groupe, cliquez avec le bouton droit sur Default Domain Policy et cliquez sur Modifier.

2. Sous Configuration ordinateur, développez successivement Stratégies, Modèles d’administration, Réseau, Connexions réseau et Pare-feu Windows, puis cliquez sur Profil du domaine. Dans le volet d’informations, double-cliquez sur Pare-feu Windows : autoriser l’exception d’administration à distance entrante.

3. Dans la boîte de dialogue Pare-feu Windows: autoriser l’exception d’administration à distance entrante, cliquez sur Activé, tapez localsubnet dans la zone de texte Autoriser les messages entrants non sollicités provenant des adresses IP suivantes, puis cliquez sur OK.

4. Sous Modèles d’administration, développez Système, puis cliquez sur Stratégie de groupe. Dans le volet d’informations, double-cliquez sur Détection d'une liaison lente de stratégie de groupe.

5. Dans la boîte de dialogue Propriétés, cliquez sur Activé, tapez 800 dans le champ Vitesse de connexion (Kbits/s), puis cliquez sur OK.

6. Fermez l’Éditeur de gestion des stratégies de groupe.

Tâche 2 : Créer et attribuer un objet de stratégie de groupe pour empêcher l’installation de périphériques amovibles 1. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis

cliquez sur Nouveau.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Empêcher les périphériques amovibles dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Empêcher les périphériques amovibles, puis cliquez sur Modifier.

Page 692: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L6-74 Module 6 : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe

4. Pour modifier la stratégie, développez successivement Configuration ordinateur, Stratégies, Modèles d’administration, Système, et Installation de périphériques, puis cliquez sur Restrictions d’installation de périphériques. Double-cliquez sur Empêcher l’installation de périphériques amovibles, cliquez sur Activé, puis sur OK.

5. Fermez l’Éditeur de gestion des stratégies de groupe.

6. Cliquez avec le bouton droit sur l’unité d’organisation Miami, cliquez sur Lier un objet de stratégie de groupe existant, sélectionnez l’objet de stratégie de groupe Empêcher les périphériques amovibles, puis cliquez sur OK.

7. Répétez l’étape précédente pour lier l’objet de stratégie de groupe Empêcher les périphériques amovibles aux unités d’organisation Toronto et New York.

Tâche 3 : Créer et attribuer un objet de stratégie de groupe pour chiffrer les fichiers hors connexion 1. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis

cliquez sur Nouveau.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Chiffrer les données hors connexion dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Chiffrer les données hors connexion, puis cliquez sur Modifier.

4. Sous Configuration ordinateur, développez successivement Stratégies, Modèles d’administration et Réseau, puis cliquez sur Fichiers hors connexion. Dans le volet d’informations, double-cliquez sur Chiffrer le cache des fichiers hors connexion, cliquez sur Activé, puis sur OK.

5. Fermez l’Éditeur de gestion des stratégies de groupe.

6. Cliquez avec le bouton droit sur l’unité d’organisation Executives, cliquez sur Lier un objet de stratégie de groupe existant, sélectionnez l’objet de stratégie de groupe Chiffrer les données hors connexion, puis cliquez sur OK.

Page 693: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe L6-75

Tâche 4 : Créer et attribuer un objet de stratégie de groupe au niveau du domaine pour tous les utilisateurs du domaine 1. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis

cliquez sur Nouveau.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Stratégie Tous les utilisateurs dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Stratégie Tous les utilisateurs, puis cliquez sur Modifier.

4. Sous Configuration utilisateur, développez successivement Stratégies et Modèles d’administration, puis cliquez sur Système. Dans le volet d’informations, double-cliquez sur le paramètre Empêcher l’accès aux outils de modification du Registre, cliquez sur Activé, puis sur OK.

5. Cliquez sur Menu Démarrer et barre des tâches. Dans le volet d’informations, double-cliquez sur Supprimer l’horloge de la zone de notification système, cliquez sur Activé, puis sur OK.

6. Fermez l’Éditeur de gestion des stratégies de groupe.

7. Cliquez avec le bouton droit sur le domaine WoodgroveBank.com , cliquez sur Lier un objet de stratégie de groupe existant, sélectionnez l’objet de stratégie de groupe Stratégie Tous les utilisateurs et cliquez sur OK.

Tâche 5 : Créer et attribuer un objet de stratégie de groupe pour les utilisateurs de la succursale 1. Cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe, puis

cliquez sur Nouveau.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Stratégie Utilisateurs de la succursale dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Stratégie Utilisateurs de la succursale, puis cliquez sur Modifier.

4. Sous Configuration utilisateur, développez successivement Stratégies, Modèles d’administration et Système, puis cliquez sur Profil des utilisateurs.

5. Dans le volet d’informations, double-cliquez sur Limiter la taille du profil, cliquez sur Activé, tapez 1000000 dans le champ de taille, puis cliquez sur OK.

Page 694: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L6-76 Module 6 : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe

6. Sous Modèles d’administration, développez Composants Windows, puis cliquez sur Volet Windows.

7. Dans le volet d’informations, double-cliquez sur Désactiver le Volet Windows, cliquez sur Activé, puis sur OK.

8. Fermez l’Éditeur de gestion des stratégies de groupe.

9. Cliquez avec le bouton droit sur l’unité d’organisation Miami, cliquez sur Lier un objet de stratégie de groupe existant, sélectionnez l’objet de stratégie de groupe Stratégie Utilisateurs de la succursale, puis cliquez sur OK.

10. Répétez l’étape précédente pour lier l’objet de stratégie de groupe Stratégie Utilisateurs de la succursale aux unités d’organisation Toronto et New York.

11. Réduisez la Console de gestion des stratégies de groupe.

Résultat : au terme de cet exercice, vous aurez configuré des modèles d’administration.

Page 695: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe L6-77

Exercice 3 : Configuration des préférences

Tâche 1 : Ajouter un raccourci vers Notepad.exe sur le Bureau de NYC-DC1 1. Dans la console GPMC, cliquez sur le dossier Objets de stratégie de groupe,

cliquez avec le bouton droit sur Default Domain Policy et cliquez sur Modifier.

2. Développez successivement Configuration ordinateur, Préférences et Paramètres Windows, cliquez avec le bouton droit sur Raccourcis, pointez sur Nouveau, puis cliquez sur Raccourci.

3. Dans la boîte de dialogue Nouveau raccourci, sélectionnez Créer dans la liste déroulante Actions.

4. Dans le champ Nom, tapez Bloc-notes.

5. Dans le champ Emplacement, cliquez sur la flèche déroulante, puis sélectionnez Bureau du profil Tous les utilisateurs.

6. Dans le champ Chemin d'accès cible, tapez C:\Windows\System32\ Notepad.exe.

7. Cliquez sur l'onglet Commun, activez la case à cocher Ciblage au niveau de l’élément, puis cliquez sur Ciblage.

8. Dans la boîte de dialogue Éditeur cible, cliquez sur Nouvel élément, puis sur Nom de l’ordinateur.

9. Dans le champ Nom de l’ordinateur, tapez NYC-DC1, puis cliquez deux fois sur OK.

Task 2 : Créer un nouveau dossier appelé Reports sur le lecteur C: de tous les ordinateurs exécutant Windows Server 2008 1. Sous Paramètres Windows, cliquez avec le bouton droit sur Dossiers, pointez

sur Nouveau, puis cliquez sur Dossier.

2. Dans la boîte de dialogue Nouveau dossier, sélectionnez Créer dans la liste déroulante Action.

3. Dans le champ Chemin d'accès, tapez C:\Reports.

Page 696: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L6-78 Module 6 : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe

4. Cliquez sur l'onglet Commun, activez la case à cocher Ciblage au niveau de l'élément, puis cliquez sur Ciblage.

5. Dans la boîte de dialogue Éditeur cible, cliquez sur Nouvel élément, puis sur Système d’exploitation.

6. Dans la liste Produit, cliquez sur Windows Server 2008, puis cliquez deux fois sur OK.

Tâche 3 : Configurer le menu Démarrer 1. Sous Configuration utilisateur, développez successivement Préférences,

Paramètres du Panneau de configuration, cliquez avec le bouton droit sur Menu Démarrer, pointez sur Nouveau, puis cliquez sur Menu Démarrer (Windows Vista).

2. Dans la boîte de dialogue Propriétés de Nouveau Menu Démarrer (Windows Vista), sous Jeux, cliquez sur Ne pas afficher cet élément.

3. Sous Outils d’administration système, cliquez sur Afficher sur le menu Tous les programmes, puis cliquez sur OK.

4. Fermez l’Éditeur de gestion des stratégies de groupe et la Console de gestion des stratégies de groupe.

Résultat : au terme de cet exercice, vous aurez configuré les préférences.

Page 697: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe L6-79

Exercice 4 : Vérification de l’application des objets de stratégie de groupe

Tâche 1 : Vérifier que les préférences ont été appliquées 1. Sur NYC-DC1, fermez la session, puis ouvrez une session en tant

qu’Administrateur avec le mot de passe Pa$$w0rd.

2. Sur le Bureau, vérifiez qu’un raccourci a bien été créé pour le Bloc-notes.

3. Ouvrez l’Explorateur Windows et accédez au lecteur C:. Vérifiez qu’un dossier nommé Rapports a été créé sur le lecteur C:.

4. Cliquez sur Démarrer, puis sur Tous les programmes. Vérifiez que le menu Outils d’administration est proposé dans le menu Démarrer et que le dossier Jeux n’apparaît pas. Les préférences affectées aux ordinateurs Windows Vista sont également appliquées aux ordinateurs Windows Server 2008.

5. Fermez toutes les fenêtres.

Remarque : pour appliquer des préférences de stratégie de groupe aux ordinateurs Windows Vista, vous devez télécharger et installer les extensions côté client des préférences de stratégie de groupe pour Windows Vista (KB943729).

Tâche 2 : Démarrer l’ordinateur virtuel 6238A-NYC-CL1, ouvrir une session en tant qu’Administrateur et observer les paramètres de la stratégie de groupe 1. Ouvrez Virtual Server Remote Control Client et double-cliquez sur 6238A-

NYC-CL1.

2. Ouvrez une session sur NYC-CL1 en tant que Woodgrovebank\ Administrateur avec le mot de passe Pa$$w0rd. Fermez la session, puis ouvrez une nouvelle session en tant qu’administrateur.

Remarque : deux ouvertures de session sont nécessaires en raison des informations d’identification mises en cache.

Page 698: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L6-80 Module 6 : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe

3. Vérifiez que l’horloge n’est pas affichée dans la zone de notification.

4. Cliquez avec le bouton droit sur la Barre des tâches, cliquez sur Propriétés, puis sur l’onglet Zone de notification. Vérifiez que vous n’avez pas la possibilité d’afficher l’horloge, puis cliquez sur OK.

5. Fermez la session sur NYC-CL1.

Tâche 3 : Ouvrir une session en tant qu’utilisateur de l’unité d’organisation Executives et observer les paramètres appliqués 1. Ouvrez une session sur NYC-CL1 en tant que Ariane en utilisant le mot de

passe Pa$$w0rd.

2. Fermez l’Accueil Windows. Vérifiez que l’horloge n’est pas affichée dans la zone de notification.

3. Cliquez sur Démarrer, cliquez avec le bouton droit sur le dossier Documents, puis cliquez sur Propriétés. Vérifiez que l’emplacement est \\nyc-dc1\ execdata\ariane.

4. Cliquez sur Démarrer , cliquez sur Rechercher, tapez Regedt32 dans la zone Rechercher, puis appuyez sur Entrée. Assurez-vous que la modification du Registre a été désactivée.

5. Vérifiez que le Volet Windows n’est pas affiché.

6. Fermez la session sur NYC-CL1.

Tâche 4 : Ouvrir une session en tant qu’utilisateur d’une succursale et observer les paramètres appliqués 1. Sur l’ordinateur virtuel NYC-CL1, ouvrez une session en tant que Loig avec le

mot de passe Pa$$w0rd. Vérifiez que l’horloge n’est pas affichée dans la zone de notification.

2. Cliquez sur Démarrer, cliquez avec le bouton droit sur le dossier Documents, puis cliquez sur Propriétés. Vérifiez que l’emplacement est C:\Users\Loig.

3. Cliquez sur Démarrer , cliquez sur Rechercher, tapez Regedt32 dans la zone de recherche, puis appuyez sur Entrée. Assurez-vous que la modification du Registre a été désactivée.

Page 699: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe L6-81

4. Vérifiez que le Volet Windows n’est pas affiché.

5. Cliquez sur Démarrer, puis sur Ordinateur. Vérifiez que le lecteur J: est mappé sur le partage des données.

6. Fermez la session sur NYC-CL1.

Tâche 5 : Utiliser la Console de gestion des stratégies de groupe pour vérifier les résultats de la stratégie de groupe 1. On Sur NYC-DC1, cliquez successivement sur Démarrer, Tous les

programmes et Outils d’administration, puis cliquez sur Gestion des stratégies de groupe.

2. Cliquez avec le bouton droit sur Résultats de stratégie de groupe, puis cliquez sur Assistant Résultats de stratégie de groupe. Cliquez sur Suivant.

3. Dans la page Sélection de l’ordinateur, cliquez sur Autre ordinateur, tapez WoodgroveBank\NYC-CL1 et cliquez sur Suivant.

4. Dans l’écran Sélection de l’utilisateur, sélectionnez WOODGROVEBANK\ Ariane, puis cliquez sur Suivant.

5. Dans la page Aperçu des sélections, cliquez sur Suivant, puis sur Terminer.

6. Dans la boîte de dialogue Internet Explorer, cliquez sur Ajouter, cliquez de nouveau sur Ajouter, puis sur Fermer.

7. Dans le rapport Résultats de stratégie de groupe, cliquez sur Objets de stratégie de groupe sous Résumé de la configuration ordinateur.

8. En regard de Objets GPO appliqués, cliquez sur afficher.

Question : quelles stratégies sont appliquées à l’ordinateur ?

Réponse : uniquement la stratégie de domaine par défaut.

9. Dans le rapport Résultats de stratégie de groupe, cliquez sur Objets de stratégie de groupe sous Résumé de la configuration utilisateur.

10. En regard de Objets GPO appliqués, cliquez sur afficher.

Question : quelles stratégies sont appliquées à l’utilisateur ?

Réponse : Stratégie tous les utilisateurs, Stratégie du domaine par défaut, Redirection des cadres

Page 700: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L6-82 Module 6 : Configuration des environnements utilisateur à l’aide d’une stratégie de groupe

11. Cliquez sur l’onglet Paramètres. Sous Configuration ordinateur, cliquez sur Modèles d’administration. Développez chaque paramètre.

Question : quels paramètres ont été fournis à l’ordinateur ?

Réponse : Pare-feu Windows : Autoriser l’exception d’administration à distance entrante, détection de liaison lente définie sur 800 kbits/s.

12. Sous Configuration utilisateur, développez chaque paramètre.

Question : quels paramètres ont été fournis à l’utilisateur ?

Réponse : la stratégie Redirection des cadres fournit les paramètres de redirection de dossiers. La Stratégie tous les utilisateurs fournit les paramètres pour supprimer l’horloge et désactiver les outils de modification du Registre.

Tâche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la zone Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez vérifié l’application d’un objet de stratégie de groupe.

Page 701: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de la sécurité à l’aide d’une stratégie de groupe L7-83

Module 7 : Implémentation de la sécurité à l’aide d’une stratégie de groupe

Atelier pratique : Implémentation de la sécurité à l’aide d’une stratégie de groupe Exercice 1 : Configuration des paramètres de stratégie de compte et de sécurité

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Launch.

3. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

4. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Créer une stratégie de compte pour le domaine 1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur

Gestion des stratégies de groupe.

2. Développez Forêt, cliquez sur Domaines, sur WoodgroveBank.com, puis cliquez sur le dossier Objets Stratégie de groupe.

3. Dans le volet d’informations, cliquez avec le bouton droit sur Default Domain Policy, puis cliquez sur Modifier.

4. Dans l’Éditeur de gestion des stratégies de groupe, développez successivement Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de comptes, puis cliquez sur Stratégie de mot de passe.

Page 702: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L7-84 Module 7 : Implémentation de la sécurité à l’aide d’une stratégie de groupe

5. Dans le volet d’informations, double-cliquez sur Longueur maximale du mot de passe, définissez la valeur à 8 caractères, puis cliquez sur OK.

6. Double-cliquez sur le paramètre Durée de vie minimale du mot de passe, réglez la valeur à 19 jours, puis cliquez sur OK.

7. Double-cliquez sur le paramètre Durée de vie maximale du mot de passe, réglez la valeur à 20 jours, puis cliquez sur OK.

8. Dans le volet de gauche, cliquez sur Stratégie de verrouillage de compte.

9. Dans le volet d’informations, double-cliquez sur le paramètre Seuil de verrouillage du compte, définissez la valeur à 5 tentatives d’ouverture de session non valides, puis cliquez sur OK.

10. Dans la boîte de dialogue Modifications suggérées pour les valeurs, cliquez sur OK pour accepter des valeurs de 30 minutes, puis cliquez sur OK.

11. Fermez l’Éditeur de gestion des stratégies de groupe, et laissez GPMC ouvert.

Tâche 3 : Configurer les paramètres de stratégie locale pour un client Windows Vista 1. Démarrez NYC-CL1 et ouvrez une session en tant que

WoodgroveBank\administrateur avec le mot de passe Pa$$w0rd.

2. Cliquez sur Démarrer, puis tapez MMC dans la zone Rechercher. Appuyez sur Entrée pour ouvrir une nouvelle console de gestion Microsoft.

3. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

4. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, sélectionnez l’Éditeur d’objets de stratégie de groupe, cliquez sur Ajouter, sur Terminer, puis sur OK.

5. Développez successivement Stratégie de l’ordinateur local, Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis cliquez sur Options de sécurité. Dans le volet d’informations, double-cliquez sur Comptes : statut du compte Administrateur, cliquez sur Activé, puis cliquez sur OK.

6. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

Page 703: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de la sécurité à l’aide d’une stratégie de groupe L7-85

7. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, sélectionnez l’Éditeur d’objets de stratégie de groupe, cliquez sur Ajouter, puis sur Parcourir.

8. Dans la boîte de dialogue Rechercher un objet Stratégie de groupe, cliquez sur l’onglet Utilisateurs, sélectionnez le groupe Non-administrateurs, cliquez sur OK, sur Terminer, puis sur OK.

9. Développez Ordinateur local\Stratégie de non-administrateurs, Configuration utilisateur, Modèles d’administration, cliquez sur Menu Démarrer et barre des tâches, double-cliquez sur Supprimer le menu Exécuter du menu Démarrer, cliquez sur Activé, puis cliquez sur OK.

10. Fermez la console MMC sans enregistrer les modifications.

Tâche 4 : Créer une stratégie de réseau sans fil pour les clients Windows Vista 1. Basculez vers NYC-DC1.

2. Dans la console de gestion des stratégies de groupe (GPMC, Group Policy Management Console), cliquez avec le bouton droit sur le dossier Objet de Stratégie de groupe, puis cliquez sur Nouveau.

3. Dans la boîte de dialogue Nouvel objet GPO, tapez Vista sans fil dans le champ Nom, puis cliquez sur OK.

4. Cliquez avec le bouton droit sur la stratégie Vista sans fil, puis cliquez sur Modifier.

5. Dans l’Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, cliquez avec le bouton droit sur Stratégies de réseau sans fil (IEEE 802.11), puis cliquez sur Créer une stratégie de réseau sans fil Vista.

6. Dans la boîte de dialogue Nouvelle stratégie de réseau sans fil Vista, dans l’onglet Général, cliquez sur Ajouter, puis cliquez sur Infrastructure.

7. Dans la boîte de dialogue Propriétés de Nouveau profil, tapez Entreprise dans le champ Nom de profil.

8. Dans le champ Nom réseau (SSID), tapez Entr, puis cliquez sur Ajouter.

9. Cliquez sur l’onglet Sécurité, réglez l’authentification sur Ouvert avec 802.1X, puis cliquez sur OK.

10. Cliquez sur l’onglet Autorisations réseau, puis sur Ajouter.

Page 704: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L7-86 Module 7 : Implémentation de la sécurité à l’aide d’une stratégie de groupe

11. Dans la boîte de dialogue Nouvelle entrée d’autorisation, tapez Recherche dans le champ Nom réseau (SSID) : définissez l’autorisation sur Refuser, puis cliquez deux fois sur OK.

12. Fermez l’Éditeur de gestion des stratégies de groupe.

13. Cliquez avec le bouton droit sur le conteneur Domaine Woodgrovebank.com, puis cliquez sur Lier un objet de stratégie de groupe existant.

14. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l’objet de stratégie de groupe Vista sans fil et cliquez sur OK.

Tâche 5 : Configurer une stratégie qui interdit un service sur tous les contrôleurs de domaine 1. Dans la console GPMC, ouvrez le dossier Objet Stratégie de groupe, cliquez

avec le bouton droit sur la Default Domain Controller Policy, puis cliquez sur Modifier.

2. Développez successivement Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, puis cliquez sur Services système.

3. Dans le volet d’informations, double-cliquez sur Registre à distance, activez la case à cocher à Définir ce paramètre de stratégie, cliquez sur Désactivé, puis cliquez sur OK.

4. Fermez l’Éditeur de gestion des stratégies de groupe, puis laissez la console GPMC ouverte.

Résultat : au terme de cet exercice, vous aurez configuré les paramètres de stratégie de compte et de sécurité.

Page 705: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de la sécurité à l’aide d’une stratégie de groupe L7-87

Exercice 2 : Implémentation de stratégies de mot de passe affinées

Tâche 1 : Créer un objet de stratégie de groupe à l’aide d’ADSI edit 1. Sur NYC-DC1, cliquez sur Démarrer, cliquez sur Exécuter, tapez adsiedit.msc,

puis cliquez sur OK.

2. Dans la console Modification ADSI, cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion.

3. Dans la boîte de dialogue Paramètres de connexion, cliquez sur OK.

4. Développez Contexte d'attribution de noms par défaut, DC=woodgrovebank, DC=com, CN=System, cliquez avec le bouton droit sur CN=Password Settings Container, pointez sur Nouveau, puis cliquez sur Objet.

5. Dans la boîte de dialogue Créer un objet, cliquez sur msDS-PasswordSettings, puis sur Suivant.

6. Dans Valeur, tapez ITAdmin, puis cliquez sur Suivant.

7. Dans la valeur msDS-PasswordSettingsPrecedence, tapez 10, puis cliquez sur Suivant.

8. Dans la valeur msDS-PasswordReversibleEncryptionEnabled, tapez FALSE, puis cliquez sur Suivant.

9. Dans la valeur msDS-PasswordHistoryLength, tapez 30, puis cliquez sur Suivant.

10. Dans la valeur msDS-PasswordComplexityEnabled, tapez TRUE, puis cliquez sur Suivant.

11. Dans la valeur msDS-MinimumPasswordLength, tapez 10, puis cliquez sur Suivant.

12. Dans la valeur msDS-MinimumPasswordAge, tapez -5184000000000, puis cliquez sur Suivant.

13. Dans la valeur msDS-MaximumPasswordAge, tapez -6040000000000, puis cliquez sur Suivant.

Page 706: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L7-88 Module 7 : Implémentation de la sécurité à l’aide d’une stratégie de groupe

14. Dans la valeur msDS-LockoutThreshold, tapez 3, puis cliquez sur Suivant.

15. Dans la valeur msDS-LockoutObservationWindow, tapez -18000000000, puis cliquez sur Suivant.

16. Dans la valeur msDS-LockoutDuration, tapez -18000000000, cliquez sur Suivant, puis cliquez sur Terminer.

17. Fermez la console MMC ADSI Edit sans enregistrer les modifications.

Tâche 2 : Attribuer une stratégie de mot de passe ITAdmin au groupe global Administrateurs informatiques 1. Cliquez sur Démarrer, sur Outils d’administration, puis cliquez sur

Utilisateurs et ordinateurs Active Directory.

2. Cliquez sur Affichage, puis sur Fonctionnalités avancées.

3. Développez woodgrovebank.com, System, puis cliquez sur Password Settings Container. Dans le volet d’informations, cliquez avec le bouton droit sur l’objet de stratégie de groupe ITAdmin, puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés de ITAdmin, cliquez sur l’onglet Éditeur d’attributs. Faites défiler la liste, sélectionnez l’attribut msDS-PSOAppliesTo, puis cliquez sur Modifier.

5. Dans la boîte de dialogue Éditeur à valeurs multiples de noms uniques avec entités de sécurité, cliquez sur Ajouter un compte Windows.

6. Tapez ITAdmins_WoodgroveGG, puis cliquez sur OK à trois reprises.

7. Fermez Utilisateurs et ordinateurs Active Directory.

Résultat : au terme de cet exercice, vous aurez implémenté des stratégies de mot de passe affinées.

Page 707: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de la sécurité à l’aide d’une stratégie de groupe L7-89

Exercice 3 : Configuration des groupes restreints et des stratégies de restriction logicielle

Tâche 1 : Configurer des groupes restreints pour le groupe local Administrateurs 1. Si nécessaire, cliquez sur Démarrer, pointez sur Outils d’administration, puis

cliquez sur Gestion des stratégies de groupe.

2. Développez Forêt, cliquez sur Domaines, cliquez sur WoodgroveBank.com, puis cliquez sur le dossier Objets Stratégie de groupe.

3. Dans le volet d’informations, cliquez avec le bouton droit sur Default Domain Policy, puis cliquez sur Modifier.

4. Dans l’Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, cliquez sur Groupes restreints, cliquez avec le bouton droit sur Groupes restreints puis cliquez sur Ajouter un groupe.

5. Dans la boîte de dialogue Ajouter un groupe, tapez Administrateurs, puis cliquez sur OK.

6. Dans la boîte de dialogue Propriétés de Administrateurs, cliquez sur Ajouter.

7. Dans la boîte de dialogue Ajouter des membres, tapez : Woodgrovebank\ITAdmins_WoodgroveGG, puis cliquez sur OK.

8. Dans la boîte de dialogue Administrateurs Propriétés, cliquez sur Ajouter.

9. Dans la boîte de dialogue Ajouter un membre, tapez Woodgrovebank\Admins du domaine, puis cliquez deux fois sur OK.

10. Fermez l’Éditeur de gestion des stratégies de groupe.

Page 708: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L7-90 Module 7 : Implémentation de la sécurité à l’aide d’une stratégie de groupe

Tâche 2 : Empêcher l’exécution d’Internet Explorer et de scripts VBS sur les contrôleurs de domaine 1. Dans la console de gestion des stratégies de groupe, dans le volet

d’informations, cliquez avec le bouton droit sur Default Domain Controllers Policy, puis cliquez sur Modifier.

2. Dans l’Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, puis cliquez sur Stratégies de restriction logicielle.

3. Cliquez avec le bouton droit sur Stratégies de restriction logicielle, puis cliquez sur Nouvelles stratégies de restriction logicielles.

4. Dans le volet d’informations, cliquez avec le bouton droit sur Règles supplémentaires, puis cliquez sur Nouvelle règle de hachage.

5. Dans la boîte de dialogue Nouvelle règle de hachage, cliquez sur Parcourir, naviguez jusqu’à C:\Programmes\Internet Explorer\iexplore.exe, puis cliquez sur Ouvrir.

6. Vérifiez que le niveau de sécurité est Rejeté, puis cliquez sur OK.

7. Cliquez avec le bouton droit sur Règles supplémentaires, puis cliquez sur Nouvelle règle de chemin d’accès.

8. Dans le champ Chemin d’accès, tapez *.vbs, puis cliquez sur OK.

9. Fermez l’Éditeur de gestion des stratégies de groupe.

Résultat : au terme de cet exercice, vous aurez configuré des groupes restreints et des stratégies de restriction logicielle.

Page 709: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de la sécurité à l’aide d’une stratégie de groupe L7-91

Exercice 4 : Configuration des modèles de sécurité

Tâche 1 : Créer un modèle de sécurité pour les serveurs de fichiers et d’impression 1. Cliquez sur Démarrer, tapez MMC dans la zone Rechercher, puis appuyez sur

Entrée.

2. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, faites défiler la liste vers le bas, cliquez sur Modèles de sécurité, sur Ajouter, puis sur OK.

4. Développez Modèles de sécurité, cliquez avec le bouton droit sur C:\Users\Administrateur\Documents\Security\Templates, puis cliquez sur Nouveau modèle.

5. Dans la boîte de dialogue C:\Users\Administrateur\Documents\Security\Templates , tapez FPSecurity dans le champ Nom du modèle, puis cliquez sur OK.

6. Développez FPSecurity, Stratégies locales, puis cliquez sur Options de sécurité.

7. Dans le volet d’informations, double-cliquez sur Comptes : renommer le compte administrateur, activez la case à cocher pour définir ce paramètre de stratégie dans le modèle, tapez FPAdmin dans le champ Définir ce paramètre de stratégie dans le modèle, puis cliquez sur OK.

8. Dans le volet d’informations, double-cliquez sur Ouverture de session interactive : Ne pas afficher le dernier nom d’utilisateur, activez la case à cocher Définir ce paramètre de stratégie dans le modèle, cliquez sur Activé, puis sur OK.

9. Dans le volet Dossier, cliquez avec le bouton droit sur FPSecurity, puis cliquez sur Enregistrer.

10. Fermez la console MMC sans enregistrer les modifications.

Page 710: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L7-92 Module 7 : Implémentation de la sécurité à l’aide d’une stratégie de groupe

Tâche 2 : Démarrer NYC-SVR1, joindre le domaine et désactiver le Pare-feu Windows 1. Démarrez NYC-SVR1. Ouvrez une session en tant que LocalAdmin avec un

mot le mot de passe Pa$$w0rd.

2. Si nécessaire, ouvrez Gestionnaires de serveur. Cliquez sur Modifier les propriétés système.

3. Dans l’onglet Nom de l’ordinateur, cliquez sur Modifier.

4. Dans la section Membre de, cliquez sur Domaine, tapez WoodgroveBank.com dans le champ, puis cliquez sur OK.

5. Entrez les informations d’identification de l’Administrateur et Pa$$w0rd, puis cliquez sur OK.

6. Cliquez sur OK pour redémarrer l’ordinateur.

7. Ouvrez une session en tant que Woodgrovebank\Administrateur avec le mot de passe Pa$$w0rd.

8. Cliquez sur Démarrer, cliquez sur Panneau de configuration, double-cliquez sur Pare-feu Windows, puis cliquez sur Modifier les paramètres.

9. Dans la boîte de dialogue Paramètres du Pare-feu Windows, cliquez sur Désactivé, puis cliquez sur OK pour désactiver le Pare-feu Windows.

Remarque : l’étape suivante a pour but de simplifier l’atelier, mais ne constitue pas une pratique recommandée.

10. Fermez le Pare-feu Windows, puis le Panneau de configuration.

Tâche 3 : Exécuter l’Assistant Configuration de la sécurité et importer le modèle FPSecurity 1. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration,

puis cliquez sur Gestionnaire de serveur.

2. Dans l’écran d’accueil, cliquez sur Suivant.

3. Dans l’écran Action de configuration, cliquez sur Suivant.

4. Dans l’écran Sélectionnez un serveur, tapez NYC-SVR1. woodgrovebank.com, puis cliquez sur Suivant.

Page 711: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de la sécurité à l’aide d’une stratégie de groupe L7-93

5. Une fois le traitement des bases de données de configuration terminé, cliquez sur Suivant.

6. Dans l’écran Configuration des services selon les rôles, cliquez sur Suivant.

7. Dans l’écran Sélectionnez des rôles de serveurs, désactivez la case à cocher Serveur DNS.

8. Activez la case à cocher Serveur de fichiers.

9. Activez la case à cocher Serveur d’impression, puis cliquez sur Suivant.

10. Dans la fenêtre Sélectionnez des fonctionnalités client, cliquez sur Suivant.

11. Dans l’écran Sélectionnez des options d’administration et d’autres options, cliquez sur Suivant.

12. Dans l’écran Sélectionnez des services supplémentaires, cliquez sur Suivant.

13. Dans l’écran Gestion des services non spécifiés, cliquez sur Suivant.

14. Dans l’écran Confirmer les modifications de services, examinez les modifications, puis cliquez sur Suivant.

15. Dans l’écran Sécurité du réseau, cliquez sur Suivant.

16. Dans l’écran Règles de sécurité réseau, cliquez sur Suivant.

17. Dans l’écran Paramètres de Registre, cliquez sur Suivant.

18. Dans l’écran Exiger les signatures de sécurité SMB, cliquez sur Suivant.

19. Dans l’écran Méthodes d’authentification sortante, cliquez sur Suivant.

20. Dans l’écran Authentification sortante utilisant les comptes de domaines, activez la case à cocher Horloges synchronisées avec celle du serveur sélectionné, puis cliquez sur Suivant.

21. Dans l’écran Méthodes d’authentification entrante, cliquez sur Suivant.

22. .Dans l’écran Paramètres de Registre, cliquez sur Suivant.

23. Dans l’écran Stratégie d’audit, cliquez sur Suivant.

24. Dans l’écran Stratégie d’audit système, cliquez sur Suivant

25. Dans l’écran Résumé de stratégie d’audit, cliquez sur Suivant.

26. Dans l’écran Enregistrer la stratégie de sécurité, cliquez sur Suivant.

27. Dans l’écran Nom du fichier de stratégie de sécurité, tapez FPPolicy à la fin du chemin d’accès C:\Windows\security\msscw\policies\, puis cliquez sur Inclure les modèles de sécurité.

Page 712: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L7-94 Module 7 : Implémentation de la sécurité à l’aide d’une stratégie de groupe

28. Dans la boîte de dialogue Inclure les modèles de sécurité, cliquez sur Ajouter.

29. Naviguez jusqu’à Documents\Security\Templates\FPSecurity, cliquez sur Ouvrir, sur OK, puis sur Suivant.

30. Dans l’écran Appliquer la stratégie de sécurité, cliquez sur Appliquer maintenant, puis cliquez sur Suivant.

31. Dans l’écran Application de la stratégie de sécurité, cliquez sur Suivant, puis sur Terminer.

Tâche 4 : Transformer FPPolicy en objet de stratégie de groupe 1. Sur NYC-DC1, cliquez sur Démarrer, puis sur Invite de commandes.

2. À l’invite de commandes des administrateurs, tapez scwcmd transform /p:”C:\Windows\security\msscw\Policies\FPpolicy.xml” /g:FileServerSecurity, puis appuyez sur Entrée.

3. Ouvrez la Console de gestion des stratégies de groupes (GPMC) si nécessaire, puis ouvrez le dossier Objet Stratégie de groupe. Double-cliquez sur l’objet de stratégie de groupe FilesServerSecurity, puis cliquez sur l’onglet Paramètres.

4. Dans la boîte de dialogue Internet Explorer, cliquez sur Ajouter, cliquez de nouveau sur Ajouter, puis sur Fermer. Examinez les paramètres de stratégie de groupe.

5. Fermez la Console de gestion des stratégies de groupe et fermez la session NYC-DC1.

Résultat : au terme de cet exercice, vous aurez configuré des modèles de sécurité.

Page 713: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de la sécurité à l’aide d’une stratégie de groupe L7-95

Exercice 5 : Vérification de la configuration de la sécurité

Tâche 1 : Ouvrir une session en tant qu’Administrateur local de l’ordinateur Windows Vista et vérifier l’appartenance du groupe Administrateurs local 1. Ouvrez une session sur NYC-CL1 en tant que NYC-CL1\administrateur avec

le mot de passe Pa$$w0rd.

2. Cliquez sur Démarrer, cliquez sur Rechercher, tapez CMD dans la zone Rechercher, puis appuyez sur Entrée.

3. À l’invite de commandes, tapez GPupdate /force, puis appuyez sur Entrée.

4. Cliquez sur Démarrer, sur Tous les programmes puis sur Accessoires. Vérifiez que le menu Exécuter apparaît.

5. Cliquez sur Démarrer, sur Panneau de configuration, sur Comptes d’utilisateurs, à nouveau sur Comptes d’utilisateurs, sur Gérer les comptes d’utilisateurs, sur l’onglet Avancé, sur Avancé, sur Groupes, puis double-cliquez sur Administrateurs. Assurez-vous que les groupes globaux Administrateurs de domaine et Administrateurs informatiques existent.

6. Redémarrez NYC-CL1.

Tâche 2 : Ouvrir une session sur l’ordinateur Windows Vista comme utilisateur ordinaire et tester la stratégie de compte 1. Ouvrez une session sur NYC-CL1 en tant que Woodgrovebank\Loig, avec le

mot de passe Pa$$w0rd.

2. Cliquez sur Démarrer, sur Tous les programmes, puis sur Accessoires. Vérifiez que le menu Exécuter n’apparaît pas.

3. Appuyez sur Droite-Alt+Suppr, puis cliquez sur Modifier le mot de passe.

4. Dans le champ Ancien mot de passe, tapez Pa$$w0rd.

5. Dans les champs Nouveau mot de passe et Confirmer le mot de passe, tapez w0rdPa$$. Vous ne pouvez pas mettre à jour le mot de passe car la durée minimale du mot de passe n’est pas arrivée à expiration.

6. Fermez la session sur NYC-CL1.

Page 714: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L7-96 Module 7 : Implémentation de la sécurité à l’aide d’une stratégie de groupe

Tâche 3 : Ouvrir une session sur le contrôleur de domaine comme administrateur de domaine et tester les restrictions logicielles et les services 1. Ouvrez une session sur NYC-DC1 en tant qu’Administrateur avec le mot de

passe Pa$$w0rd.

2. Cliquez sur Démarrer, puis sur Invite de commandes. À l’invite de commandes, tapez gpupdate /force, puis appuyez sur Entrée.

3. Cliquez sur Démarrer, sur Internet Explorer, lisez le message d’erreur, puis cliquez sur OK.

4. Cliquez sur Démarrer, sur Ordinateur, naviguez jusqu’à D:\6238\mod07\ labfiles, puis double-cliquez sur Hello.vbs. Lisez le message d’erreur, puis cliquez sur OK.

5. Cliquez sur Démarrer, sur Outils d’administration, puis sur Services. Dans le volet d’informations, faites défiler la liste vers le bas jusqu’au service Accès à distance au Registre, et vérifiez qu’il est désactivé.

Tâche 4 : Utiliser la modélisation des stratégies de groupe pour tester les paramètres sur le serveur de fichiers et d’impression 1. Ouvrez la console GPMC, cliquez avec le bouton droit sur Modélisation de

stratégie de groupe, puis cliquez sur Assistant Modélisation de stratégie de groupe.

2. Dans l’écran d’accueil, cliquez sur Suivant.

3. Dans la page Sélection du contrôleur de domaine, cliquez sur Suivant.

4. Dans l’écran Sélection d’ordinateurs et d’utilisateurs, cliquez sur Ordinateur, tapez Woodgrovebank\NYC-SVR1, puis cliquez sur Suivant.

5. Dans la page Options de simulation avancées, cliquez sur Suivant.

6. Dans l’écran Autres chemins d’accès Active Directory, cliquez sur Suivant.

7. Dans l’écran Groupes de sécurité ordinateur, cliquez sur Suivant.

8. Dans l’écran Filtres WMI pour Ordinateurs, cliquez sur Suivant.

9. Dans l’écran Aperçu des sélections, cliquez sur Suivant, puis sur Terminer. Examinez les paramètres de stratégie.

Page 715: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation de la sécurité à l’aide d’une stratégie de groupe L7-97

Tâche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez vérifié la configuration de la sécurité.

Page 716: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 717: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Analyse des services de domaine Active Directory L8-99

Module 8 : Mise en œuvre d’un plan de contrôle de services de domaine Active Directory

Atelier pratique : Analyse des services de domaine Active Directory Exercice 1 : Analyse des services de domaine Active Directory à l’aide de l’Observateur d’événements

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Launch.

3. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC2, cliquez sur Launch.

4. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

5. Sur NYC-DC2, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

6. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Créer une vue personnalisée pour capturer les événements appropriés 1. Démarrez NYC-DC1 et ouvrez une session en tant qu’Administrateur avec le

mot de passe Pa$$w0rd.

2. Cliquez sur Démarrer, sur Outils d’administration, puis sur Observateur d’événements.

3. Cliquez avec le bouton droit sur Affichages personnalisées, puis cliquez sur Créer une vue personnalisée.

Page 718: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L8-100 Module 8 : Mise en œuvre d’un plan de contrôle de services de domaine Active Directory

4. Dans la boîte de dialogue Créer une vue personnalisée, activez les trois cases à cocher Critique, Avertissement et Erreur.

5. Cliquez sur la flèche déroulante Journaux d’événements, développez Journaux des applications et des services, activez les cases à cocher Service d’annuaire et Serveur DNS, puis cliquez sur OK.

6. Dans la boîte de dialogue Enregistrer le filtre dans une vue personnalisée, tapez Service d’annuaire dans le champ Nom, puis cliquez sur OK.

Tâche 3 : Exporter la vue personnalisée 1. Cliquez avec le bouton droit sur la vue personnalisée Service d’annuaire, puis

cliquez sur Exporter la vue personnalisée.

2. Dans la boîte de dialogue Enregistrer sous, naviguez jusqu’à D:\6238\data, tapez Active Directory dans le champ Nom du fichier, puis cliquez sur Enregistrer.

Tâche 4 : Importer la vue personnalisée 1. Ouvrez une session sur NYC-DC2 en tant qu’Administrateur avec le mot de

passe Pa$$w0rd.

2. Cliquez sur Démarrer, cliquez sur Outils d’administration, puis sur Observateur d’événements.

3. Cliquez avec le bouton droit sur Affichages personnalisées, puis cliquez sur Importer une vue personnalisée.

4. Dans la boîte de dialogue Importer une vue personnalisée, tapez \\NYC-DC1\Data\Active Directory.xml, puis cliquez sur Ouvrir.

5. Dans la boîte de dialogue Importer le fichier de vue personnalisée, cliquez sur OK.

Tâche 5 : Configurer les ordinateurs pour transmettre et collecter les événements 1. Sur l’ordinateur collecteur NYC-DC1, cliquez sur Démarrer, puis sur Invite de

commandes.

2. Dans la fenêtre d’invite de commandes, tapez wecutil qc, appuyez sur Entrée, tapez O, puis appuyez sur Entrée pour effectuer les modifications.

Page 719: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Analyse des services de domaine Active Directory L8-101

3. Fermez l’invite de commandes.

4. Basculez sur NYC-DC2 (ordinateur source).

5. Cliquez sur Démarrer, puis sur Invite de commandes.

6. Dans la fenêtre d’invite de commandes, tapez winrm quickconfig, appuyez sur Entrée, tapez O, puis appuyez sur Entrée pour effectuer les modifications.

7. Fermez l’invite de commandes.

Tâche 6 : Créer un abonnement pour transmettre les événements système à NYC-DC1 1. Sur NYC-DC1, dans l’Observateur d’événements, cliquez avec le bouton droit

sur Abonnements, puis cliquez sur Créer un abonnement.

2. Dans la boîte de dialogue Propriétés de l’abonnement, tapez Événements du service dans le champ Nom de l’abonnement, cliquez sur Initialisation par le collecteur, puis cliquez sur Sélectionner des ordinateurs.

3. Dans la boîte de dialogue Ordinateurs, cliquez sur Ajouter des ordinateurs du domaine.

4. Dans la boîte de dialogue Sélectionnez des ordinateurs, tapez NYC-DC2, puis cliquez deux fois sur OK.

5. Cliquez sur Sélectionner des événements, puis dans la boîte de dialogue Filtre de requête, activez la case à cocher Information.

6. Cliquez sur la flèche déroulante Journaux d’événements, développez Journaux Windows, puis activez la case à cocher Système.

7. Dans le champ ID de l’événement, tapez 7036, puis cliquez sur OK.

8. Cliquez sur Avancé, sur Utilisateur spécifique, puis sur Utilisateur et mot de passe.

9. Dans Informations d’identification de la source de l’abonnement, vérifiez que le nom d'utilisateur est Woodgrovebank\Administrateur, entrez le mot de passe Pa$$w0rd, puis cliquez sur OK.

10. Cliquez sur Minimiser la latence, puis cliquez deux fois sur OK. Cliquez sur Oui en réponse aux messages de l’Observateur d’événements.

11. Dans le volet des dossiers, cliquez sur le dossier Abonnements, et assurez-vous que l’état d’abonnement des Événements du service est Actif.

Page 720: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L8-102 Module 8 : Mise en œuvre d’un plan de contrôle de services de domaine Active Directory

12. Sur NYC-DC2, cliquez sur Démarrer, puis sur Invite de commandes.

13. À l’invite de commandes, tapez Net Stop DNS, puis appuyez sur Entrée.

14. Tapez Net Start DNS, puis appuyez sur Entrée.

15. Sur NYC-DC1, dans Journaux Windows, cliquez sur le journal Événements transmis. Examinez les événements d’information.

Remarque : les événements réels peuvent prendre quelques minutes pour apparaître dans le journal des événements transmis. Démarrez et arrêtez le service DNS à nouveau si nécessaire.

Tâche 7 : Joindre une tâche à un journal des événements et à un événement 1. Sur NYC-DC1, développez les journaux Windows, cliquez avec le bouton

droit sur le journal Configuration, puis cliquez sur Joindre une tâche à ce journal.

2. Dans l’Assistant Créer une tâche de base, cliquez sur Suivant.

3. Sur l’écran Lors de l’enregistrement d’un événement spécifique, cliquez sur Suivant.

4. Sur l’écran Action, cliquez sur Envoyer un courrier électronique, puis cliquez sur Suivant.

5. Sur l’écran Envoyer un courrier électronique, tapez Observateur d’événements dans le champ De.

6. Tapez [email protected] dans le champ À.

7. Tapez Installation d’application dans le champ Objet.

8. Tapez Mail.Woodgrovebank.com dans le champ Serveur SMTP, puis cliquez sur Suivant.

9. Dans la page Résumé, cliquez sur Terminer. Dans la zone de message Observateur d’événements, cliquez sur OK.

10. Cliquez sur le journal Événements transmis pour l’ouvrir.

11. Cliquez avec le bouton droit sur l’un des événements 7036, puis cliquez sur Joindre une tâche à cet événement.

Page 721: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Analyse des services de domaine Active Directory L8-103

12. Sur l’écran Créer une tâche de base, cliquez sur Suivant.

13. Sur l’écran Lors de l’enregistrement d’un événement spécifique, cliquez sur Suivant.

14. Sur l’écran Action, cliquez sur Afficher un message, puis cliquez sur Suivant.

15. Sur l’écran Afficher un message, tapez Événement de service dans le champ Titre, tapez Un service arrêté ou démarré dans le champ Message. Cliquez sur Suivant, puis sur Terminer. Cliquez sur OK pour accuser réception du message de l’Observateur d’événements.

16. Basculez sur NYC-DC2, puis répétez les étapes pour arrêter et démarrer le service DNS. La zone de message apparaît, affichant votre message. Cliquez sur OK pour accuser réception du message.

Remarque : la boîte de message peut être masquée par la fenêtre de l’Observateur d’événements. Cherchez-la dans la barre des tâches.

17. Fermez toutes les fenêtres.

Résultat : au terme de cet exercice, vous aurez analysé les services de domaine Active Directory à l’aide de l’Observateur d’événements.

Page 722: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L8-104 Module 8 : Mise en œuvre d’un plan de contrôle de services de domaine Active Directory

Exercice 2 : Surveiller les services de domaine Active Directory à l'aide de l'Analyseur de fiabilité et de performances

Tâche 1 : Configurer l’analyseur de fiabilité et de performances afin de contrôler les services de domaine Active Directory 1. Sur NYC-DC1, cliquez sur Démarrer, sur Outils d’administration, sur

Moniteur de fiabilité et de performances, puis sur Analyseur de performances.

2. Cliquez sur le signe Plus vert de la barre d’outils pour ajouter des objets et des compteurs.

3. Dans la boîte de dialogue Ajouter des compteurs, développez l’objet Services d’annuaire, sélectionnez le compteur Nb total d’octets DRA entrants/s, puis cliquez sur Ajouter.

4. Répétez l’étape précédente pour ajouter les compteurs suivants :

• Nb total d’octets DRA sortants/s

• Nb de threads Active Directory utilisés

• Lectures Active Directory/s

• Écritures Active Directory/s

5. Développez Statistiques de sécurité au niveau du système, puis ajoutez le compteur Authentifications Kerberos.

6. Développez DNS, ajoutez le compteur Requêtes UDP reçues, puis cliquez sur OK.

Page 723: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Analyse des services de domaine Active Directory L8-105

Tâche 2 : Créer un ensemble de collecteurs de données 1. Dans le volet Dossier, cliquez avec le bouton droit sur Analyseur de

performances, cliquez sur Nouveau, puis sur Ensemble de collecteurs de données.

2. Dans la boîte de dialogue Créer un nouvel ensemble de collecteurs de données, tapez Active Directory dans le champ Nom, puis cliquez sur Suivant.

3. Laissez le répertoire racine comme chemin d’accès par défaut, cliquez sur Suivant, puis sur Terminer.

4. Développez Ensembles de collecteurs de données, Défini par l’utilisateur, cliquez avec le bouton droit sur l’ensemble de collecteurs de données Active Directory, puis cliquez sur Démarrer.

5. Développez successivement Rapports, Défini par l’utilisateur, Active Directory, puis cliquez sur System Monitor Log.blg. Le statut du rapport montre que le journal est en train de collecter des données.

6. Développez Ensembles de collecteurs de données, cliquez avec le bouton droit sur l’ensemble de collecteurs de données Active Directory, puis cliquez sur Démarrer.

7. Cliquez sur System Monitor Log.blg. Le graphique correspondant au journal s’affiche dans le volet d’informations.

Résultat : Au terme de cet exercice, vous aurez analysé les services de domaine Active Directory à l’aide de l’analyseur de fiabilité et de performances.

Page 724: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L8-106 Module 8 : Mise en œuvre d’un plan de contrôle de services de domaine Active Directory

Exercice 3 : Configurer l’audit des services de domaine Active Directory

Tâche 1 : Examiner l’état actuel de la stratégie d’audit 1. Sur NYC-DC1, cliquez sur Démarrer, puis sur Invite de commandes.

2. Dans la fenêtre d’invite de commandes, tapez Auditpol.exe /get /category:*, appuyez sur Entrée et examinez les paramètres de stratégie d’audit par défaut.

3. Réduisez la fenêtre d’invite en icône.

Tâche 2 : Activer l’option Auditer l’accès au service d’annuaire sur les contrôleurs de domaine 1. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration,

puis cliquez sur Gestion des stratégies de groupe.

2. Ouvrez le dossier Objets Stratégie de groupe, cliquez avec le bouton droit sur Stratégie Contrôleurs de domaine par défaut, puis cliquez sur Modifier.

3. Développez successivement Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégie locale, puis cliquez sur Stratégie d’audit. Notez que tous les paramètres de stratégie ont pour valeur Non défini.

4. Double-cliquez sur Auditer l’accès au service d’annuaire, activez la case à cocher Définir ces paramètres de stratégie, puis les deux cases à cocher Essais ayant réussi et Essais ayant échoué, et enfin OK.

5. Fermez l’Éditeur de gestion des stratégies de groupe, puis la Console de gestion des stratégies de groupe.

6. Restaurez l’invite de commandes, puis tapez Gpupdate et appuyez sur Entrée.

7. Lorsque la mise à jour est terminée, exécutez de nouveau la commande Auditpol.exe /get /category:*, puis examinez la stratégie d’audit.

8. Fermez l’invite de commandes.

Page 725: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Analyse des services de domaine Active Directory L8-107

Tâche 3 : Définir la liste de contrôle d’accès système (SACL) pour le domaine 1. Cliquez sur Démarrer, Outils d'administration, puis sur Utilisateurs et

ordinateurs Active Directory.

2. Cliquez sur le menu Afficher, puis sur Fonctionnalités avancées.

3. Cliquez avec le bouton droit sur woodgrovebank.com, puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés, cliquez sur l’onglet Sécurité, sur Avancés, cliquez sur l’onglet Audit, puis sur Ajouter.

5. Dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes, tapez Tout le monde, puis cliquez sur OK.

6. Dans la boîte de dialogue Audit de l’entrée pour Woodgrovebank, activez les cases à cocher Réussite et Échec pour Écrire toutes les propriétés, puis cliquez sur OK trois fois.

Tâche 4 : Tester la stratégie 1. Cliquez avec le bouton droit sur l’unité d’organisation Toronto, cliquez sur

Renommer, puis renommez l’unité d’organisation en GTA.

2. Ouvrez l’Observateur d’événements, développez Journaux Windows, puis cliquez sur Sécurité.

3. Ouvrez l’événement 4662, et examinez-le.

4. Revenez à Utilisateurs et ordinateurs Active Directory, et modifiez n’importe quel compte d’utilisateur pour en changer le numéro de téléphone.

5. Revenez à l’Observateur d’événements, et examinez les événements résultant des modifications du service d’annuaire.

6. Fermez toutes les fenêtres.

7. Arrêtez tous les ordinateurs virtuels sans enregistrer les modifications.

Page 726: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L8-108 Module 8 : Mise en œuvre d’un plan de contrôle de services de domaine Active Directory

Tâche 5 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : Au terme de cet exercice, vous aurez configuré l’Audit de service d’annuaire Active Directory.

Page 727: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation d’un plan de maintenance des services de domaine Active Directory L9-109

Module 9 : Implémentation d’un plan de maintenance des services de domaine Active Directory

Atelier pratique : Implémentation d’un plan de maintenance des services de domaine Active Directory Exercice 1 : Gestion des contrôleurs de domaine des services de domaine Active Directory

Tâche 1 : Démarrer l’ordinateur virtuel et ouvrir une session 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Launch.

3. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

4. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Utiliser l’Assistant Configuration de la sécurité pour verrouiller les services et configurer le pare-feu sur NYC-DC1 1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur

Gestionnaire de serveur.

2. Dans la fenêtre Gestionnaire de serveur, dans la section Informations de sécurité, cliquez sur Exécuter l’Assistant Configuration de la sécurité. L’Assistant Configuration de la sécurité s’affiche.

3. Dans la page Assistant Configuration de la sécurité, cliquez sur Suivant.

Page 728: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L9-110 Module 9 : Implémentation d’un plan de maintenance des services de domaine Active Directory

4. Dans la page Action, vérifiez que l’action Créer une nouvelle stratégie de sécurité est sélectionnée, puis cliquez sur Suivant.

5. Dans la page Sélectionner un serveur, cliquez sur Suivant.

6. Dans la page Traitement de la base de données de configuration de la sécurité, cliquez sur Afficher la base de données de configuration. Dans la boîte de dialogue Internet Explorer, cliquez sur Oui.

7. Dans la fenêtre Visionneuse SCW, développez Rôles de serveurs, puis Contrôleur de domaine (Active Directory).

8. Développez Fonctionnalités de clients, puis développez Client DNS.

9. Développez successivement Pare-feu Windows, Règles de pare-feu, puis Contrôleur de domaine Active Directory - LDAP de catalogue global (TCP-In).

10. Fermez la fenêtre Visionneuse SCW, puis cliquez sur Suivant.

11. Dans la page Configuration de service selon le rôle, cliquez sur Suivant.

12. Dans la page Sélectionnez des rôles de serveurs, vérifier que la case à cocher Contrôleur de domaine (Active Directory) est activée, puis cliquez sur Suivant.

13. Dans la page Sélectionnez des fonctionnalités de clients, cliquez sur Suivant.

14. Dans la page Sélectionnez des options d’administration et d’autres options, activez la case à cocher Active Directory - Mode de planification RSoP. Laissez toutes les autres options activées, puis cliquez sur Suivant.

15. Dans la page Sélectionnez des services supplémentaires, cliquez sur Suivant.

16. Dans la page Gestion des services non spécifiés, assurez-vous que l’option Ne pas modifier le mode de démarrage du service est sélectionnée, puis cliquez sur Suivant.

17. Dans la page Confirmer les modifications de services, examinez les configurations de service qui seront modifiées et cliquez sur Suivant.

18. Dans la page Sécurité du réseau, cliquez sur Suivant.

19. Dans la page Règles de sécurité réseau, examinez les règles de pare-feu qui seront configurées sur le serveur, puis cliquez sur Suivant.

Page 729: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation d’un plan de maintenance des services de domaine Active Directory L9-111

20. Dans la page Paramètres du Registre, cliquez sur Suivant.

21. Dans la page Exiger les signatures de sécurité SMB, cliquez sur Suivant.

22. Dans la page Exiger la signature LDAP, activez la case à cocher Windows 2000 avec Service Pack 3 ou version ultérieure, puis cliquez sur Suivant.

23. Dans la page Méthodes d’authentification sortante, cliquez sur Suivant.

24. Dans la page Authentification sortante utilisant les comptes de domaines, vérifiez que les cases à cocher Systèmes d’exploitation Windows NT 4.0 Service Pack 6a ou ultérieurs et Horloges synchronisées avec celle du serveur sélectionné sont activées, puis cliquez sur Suivant.

25. Dans la page Méthodes d’authentification entrante, désactivez les cases à cocher Ordinateurs exigeant l’authentification LAN Manager et Ordinateurs qui n’ont pas été configurés pour utiliser l’authentification NTLMv2, puis cliquez sur Suivant.

26. Dans la page Résumé des paramètres du Registre, examinez les modifications, puis cliquez sur Suivant.

27. Dans la page Stratégie d’audit, cliquez sur Suivant.

28. Dans la page Stratégie d’audit système, sélectionnez Effectuer un audit des activités exécutées avec ou sans échec, puis cliquez sur Suivant.

29. Dans la page Résumé de stratégie d’audit, cliquez sur Suivant.

30. Dans la page Enregistrer la stratégie de sécurité, cliquez sur Suivant.

31. Dans la page Nom du fichier de stratégie de sécurité, tapez c:\windows\security\msscw\policies\NYC-DC1.xml comme nom de fichier de stratégie, puis cliquez sur Suivant.

32. Dans la boîte de dialogue d’avertissement sur la configuration de la sécurité, cliquez sur OK.

33. Dans la page Appliquer la stratégie de sécurité, vérifiez que l’option Appliquer ultérieurement est sélectionnée, puis cliquez sur Suivant.

34. Cliquez sur Terminer pour fermer l’Assistant Configuration de la sécurité.

Page 730: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L9-112 Module 9 : Implémentation d’un plan de maintenance des services de domaine Active Directory

Tâche 3 : Effectuer une défragmentation en mode hors connexion de la base de données des services de domaine Active Directory 1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur

Services.

2. Cliquez avec le bouton droit sur Services de domaine Active Directory, puis cliquez sur Arrêter.

3. Dans la boîte de dialogue Arrêter les autres services, cliquez sur Oui.

4. Cliquez sur Démarrer, puis sur Invite de commandes.

5. Tapez ntdstuil, puis appuyez sur Entrée.

6. À l’invite ntdsutil, tapez Activate Instance NTDS, puis appuyez sur Entrée.

7. Tapez files, puis appuyez sur Entrée.

8. À l’invite file maintenance, tapez compact to C:\temp, puis appuyez sur Entrée. Une nouvelle base de données Ntds.dit est créée à l’emplacement spécifié.

9. À l’invite de la commande file maintenance, tapez integrity, puis appuyez sur Entrée.

10. Tapez quit, puis appuyez sur Entrée.

11. Tapez quit, puis appuyez de nouveau sur Entrée pour revenir à l’invite de commandes.

12. Tapez copy “c:\temp\ntds.dit” “c:\Windows\NTDS\ntds.dit”, puis appuyez sur Entrée.

13. Tapez y, puis appuyez sur Entrée.

14. Supprimez tous les fichiers journaux dans le répertoire du journal en tapant la commande ci-dessous, puis en appuyant sur Entrée : del C:\Windows\ NTDS\*.log.

Page 731: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation d’un plan de maintenance des services de domaine Active Directory L9-113

Tâche 4 : Déplacer la base de données des services de domaine Active Directory 1. À l’invite de commandes, tapez ntdsutil, puis appuyez sur Entrée.

2. À l’invite ntdsutil, tapez activate instance ntds, puis appuyez sur Entrée.

3. Tapez files, puis appuyez sur Entrée.

4. À l’invite de la commande file maintenance, tapez move db to C:\DSData, puis appuyez sur Entrée.

5. Lorsque le déplacement est terminé, tapez quit, puis appuyez sur Entrée.

6. Tapez quit, puis appuyez de nouveau sur Entrée pour revenir à l’invite de commandes.

7. À l’invite de commandes, tapez net start “Active Directory Domain Services”, puis appuyez sur Entrée.

8. Fermez l’invite de commandes, ainsi que toutes les fenêtres ouvertes.

Résultat : au terme de cet exercice, vous aurez exécuté l’Assistant Configuration de la sécurité pour verrouiller les services sur un contrôleur de domaine des services de domaine Active Directory et effectué des tâches de maintenance de base de données des services de domaine Active Directory.

Page 732: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L9-114 Module 9 : Implémentation d’un plan de maintenance des services de domaine Active Directory

Exercice 2 : Sauvegarde des services de domaine Active Directory

Tâche 1 : Installer les fonctionnalités de sauvegarde de Windows Server 1. Depuis les Outils d’administration, démarrez le Gestionnaire de serveur.

2. Dans le Gestionnaire de serveur, cliquez sur Fonctionnalités, puis sur Ajouter des fonctionnalités.

3. Dans la page Sélectionnez des fonctionnalités, développez Fonctionnalités de sauvegarde de Windows Server, puis activez les cases à cocher Sauvegarde de Windows Server et Outils de ligne de commande.

4. Cliquez sur Suivant, puis sur Installer.

5. Une fois l’installation terminée, cliquez sur Fermer.

Tâche 2 : Créer une sauvegarde planifiée 1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur

Sauvegarde de Windows Server.

2. Dans le volet Actions, cliquez sur Planification de sauvegarde.

3. Dans la page Mise en route, cliquez sur Suivant.

4. Dans la boîte de dialogue Sauvegarde de Windows Server, cliquez sur Oui.

5. Dans la page Sélectionner la configuration de la sauvegarde, cliquez sur Personnalisé, puis sur Suivant.

6. Dans la page Sélectionner les éléments de sauvegarde , désactivez la case à cocher Tous les fichiers (D:) , puis cliquez sur Suivant.

7. Dans la page Spécifiez heure de la sauvegarde, sous Une fois un jour, dans la liste Sélectionner une heure, cliquez sur 12h00, puis sur Suivant.

8. Dans la page Sélectionner le disque de destination, cliquez sur Afficher tous les disques disponibles.

9. Dans la boîte de dialogue Afficher tous les disques disponibles, activez la case à cocher Disque 1, puis cliquez sur OK.

Page 733: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation d’un plan de maintenance des services de domaine Active Directory L9-115

10. Dans la page Sélectionner le disque de destination, activez la case à cocher Disque 1, puis cliquez sur Suivant.

11. Dans la boîte de dialogue Sauvegarde de Windows Server, cliquez sur Oui pour continuer, puis sur Suivant.

12. Dans la page Nommer le disque de destination, activez la case à cocher Disque 1, puis cliquez sur Suivant.

13. Dans la page Confirmation, cliquez sur Annuler pour éviter le formatage du lecteur D:.

14. Fermez l’utilitaire Sauvegarde de Windows Server.

Tâche 3 : Effectuer une sauvegarde à la demande 1. Dans la fenêtre de l’outil de sauvegarde de Windows Server, dans le volet

Actions, cliquez sur Sauvegarde unique.

2. Dans la page Sauvegarde, vérifiez que l’option Différentes options est sélectionnée, puis cliquez sur Suivant.

3. Dans la page Sélectionner la configuration de la sauvegarde, cliquez sur Personnalisé, puis sur Suivant.

4. Dans la page Sélectionner les éléments de sauvegarde, vérifiez que la case à cocher Activer la récupération du système est sélectionnée, puis cliquez sur Suivant.

5. Dans la page Spécifier le type de destination, cliquez sur Suivant.

6. Dans la page Sélectionner la destination de sauvegarde, cliquez sur Suivant.

7. Dans la page Spécifier une option avancée, cliquez sur Sauvegarde complète VSS, puis sur Suivant.

8. Dans la page Confirmation, cliquez sur Sauvegarde. La sauvegarde prend approximativement 10 à 15 minutes. Quand la sauvegarde est terminée, fermez l’utilitaire de sauvegarde de Windows Server.

Résultat : au terme de cet exercice, vous aurez installé la fonctionnalité Sauvegarde de Windows Server, vous l’aurez utilisée pour planifier une sauvegarde des informations des services de domaine Active Directory et effectué une sauvegarde à la demande.

Page 734: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L9-116 Module 9 : Implémentation d’un plan de maintenance des services de domaine Active Directory

Exercice 3 : Réalisation d’une restauration faisant autorité dans la base de données des services de domaine Active Directory

Tâche 1 : Supprimer l’unité d’organisation Toronto 1. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory.

2. Développez WoodgroveBank.com, cliquez avec le bouton droit sur Toronto, puis cliquez sur Supprimer.

3. Dans la boîte de dialogue Services de domaine Active Directory, cliquez sur Oui.

4. Dans la boîte de dialogue Confirmer la suppression de la sous-arborescence, cliquez sur Oui.

Tâche 2 : Redémarrer l’ordinateur NYC-DC1 en mode Restauration des services d’annuaire 1. Sur l’ordinateur NYC-DC1, cliquez sur Démarrer, cliquez avec le bouton droit

sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.

2. Tapez bcdedit /set safeboot dsrepair, puis appuyez sur Entrée.

Tâche 3 : Restaurer les données sur l’état du système 1. Tapez shutdown -t 0 -r, puis appuyez sur Entrée. L’ordinateur redémarre.

2. Après le redémarrage du serveur, appuyez sur Alt Gr et Suppr. Dans l’écran d’ouverture de session, cliquez sur Changer d’utilisateur, puis cliquez sur Autre utilisateur.

3. Ouvrez une session en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

4. Cliquez sur Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.

5. À l’invite de commandes, tapez wbadmin get versions -backuptarget:D: -machine:NYC-DC1, puis appuyez sur Entrée. Notez les informations de version.

Page 735: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation d’un plan de maintenance des services de domaine Active Directory L9-117

6. Tapez wbadmin start systemstaterecovery -version:version, (où version est le numéro enregistré lors de l’étape précédente), puis appuyez sur Entrée.

7. Tapez Y, puis appuyez sur Entrée. La restauration prend de 30 à 35 minutes environ.

Remarque : Lorsque vous entrez le numéro de version, n’incluez pas la barre oblique du début (/). Le format de la commande de récupération sera semblable à wbadmin start systemstaterecovery -version:04/27/2008-15:49.

Tâche 4 : Marquer les informations restaurées comme faisant autorité et redémarrer le serveur 1. À l’invite de commandes, tapez ntdsutil, puis appuyez sur Entrée.

2. À l’invite ntdsutil:, tapez Activate instance ntds, puis appuyez sur Entrée.

3. Tapez authoritative restore, puis appuyez sur Entrée.

4. Tapez restore subtree “OU=Toronto,DC=Woodgrovebank,DC=com” , appuyez sur Entrée, puis cliquez sur Oui.

5. Tapez quit, puis appuyez sur Entrée.

6. Tapez quit, puis appuyez de nouveau sur Entrée.

Tâche 5 : Vérifier que les données supprimées ont été restaurées 1. Pour redémarrer le serveur normalement après avoir effectué l’opération de

restauration, tapez bcdedit /deletevalue safeboot, puis appuyez sur Entrée.

2. Tapez shutdown -t 0 -r, puis appuyez sur Entrée.

3. Après le redémarrage du serveur, ouvrez une session en tant qu’Administrateur.

4. Ouvrez Utilisateurs et ordinateurs Active Directory et vérifiez que l’UO Toronto a été restaurée.

Page 736: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L9-118 Module 9 : Implémentation d’un plan de maintenance des services de domaine Active Directory

Tâche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la zone Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez effectué une restauration faisant autorité des informations des services de domaine Active Directory.

Page 737: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation d’un plan de maintenance des services de domaine Active Directory L9-119

Exercice 4 : Restauration des données à l’aide de l’outil de montage de base de données des services de domaine Active Directory (facultatif)

Tâche 1 : Démarrer l’ordinateur virtuel et ouvrir une session 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Launch.

3. Sur NYC-DC1, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

4. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Créer et monter un instantané des informations des services de domaine Active Directory 1. Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, dans l’UO

ITAdmins, cliquez avec le bouton droit sur Fabrice Canel, puis cliquez sur Propriétés. Ajoutez les informations ci-dessous dans les propriétés du compte d’utilisateur, puis cliquez sur OK :

• Description : administrateur informatique

• Bureau : siège social

• Numéro de téléphone : 555-5555

2. Cliquez sur Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.

3. À l’invite de commandes, tapez ntdsutil, puis appuyez sur Entrée.

4. À l’invite de commandes ntdsutil, tapez snapshot, puis appuyez sur Entrée.

5. À l’invite de commandes snapshot, tapez activate instance ntds, puis appuyez sur Entrée.

6. À l’invite de commandes snapshot, tapez create, puis appuyez sur Entrée. La commande renvoie la sortie suivante : L’ensemble d’instantanés {GUID} a bien été généré.

Page 738: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L9-120 Module 9 : Implémentation d’un plan de maintenance des services de domaine Active Directory

7. À l’invite snapshot, tapez mount numéro, puis appuyez sur Entrée. numéro est le GUID affiché dans la commande précédente. L’instantané monté s’affiche dans le système de fichiers.

8. Tapez Quit, puis appuyez sur Entrée.

9. Tapez Quit, puis appuyez de nouveau sur Entrée. Laissez l’invite de commandes ouverte.

Tâche 3 : Supprimer un compte d’utilisateur dans les services de domaine Active Directory • Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton

droit sur Fabrice Canel et cliquez sur Supprimer, puis sur Oui.

Tâche 4 : Utiliser LDP pour restaurer le compte d’utilisateur supprimé 1. À l’invite de commandes, tapez la commande ci-dessous et appuyez sur

Entrée : Dsamain -dbpath <chemin d’accès à l’instantané ntds.dit> -ldapport 51389. Le chemin d’accès au fichier d’instantané ntds.dit apparaissait dans la commande mount. Ajoutez windows\ntds\ntds.dit au chemin d’accès.

Remarque : le chemin d’accès au fichier d’instantané ntds.dit s’apparente à C:\$SNAP_200804270943_VolumeC$\windows\ntds\ntds.dit.

Un message indique que le démarrage des services de domaine Active Directory est terminé. Laissez Dsamain.exe en cours d’exécution. Ne fermez pas l’invite de commandes.

2. Cliquez sur Démarrer, Exécuter, tapez LDP, puis cliquez sur OK.

3. Dans le menu Connexion, cliquez sur Connexion, puis sur OK.

4. Dans le menu Connexion, cliquez sur Liaison, puis sur OK.

5. Dans le menu Options, cliquez sur Contrôles.

6. Dans la liste Chargement prédéfini, cliquez sur Return Deleted Objects, puis sur OK.

7. Dans le menu Affichage, cliquez sur Arborescence, puis sur OK.

Page 739: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Implémentation d’un plan de maintenance des services de domaine Active Directory L9-121

8. Développez DC=Woodgrove Bank,DC=com, puis cliquez sur CN=Éléments supprimés,DC=Woodgrove Bank,DC=com.

9. Cliquez avec le bouton droit sur CN=Fabrice Canel, puis cliquez sur Modifier.

10. Dans la zone Attribut, tapez isDeleted. Sous Opération, cliquez sur Supprimer, puis cliquez sur Entrée.

11. Dans la zone Attribut, tapez distinguishedName.

12. Dans la zone Valeurs, tapez CN=Fabrice Canel,ou=ITAdmins, dc=woodgrovebank,dc=com.

13. Sous Opération, cliquez sur Remplacer, puis cliquez sur Entrée.

14. Activez la case à cocher Étendue, puis cliquez sur Exécuter.

15. Cliquez sur Fermer, puis fermez LDP.

16. Ouvrez Utilisateurs et ordinateurs Active Directory et vérifiez que le compte de Fabrice Canel a été restauré dans l’UO ITAdmins et que le compte est désactivé.

Tâche 5 : Afficher les informations pour le compte d’utilisateur supprimé de l’instantané monté 1. Cliquez sur Démarrer, Exécuter, tapez LDP, puis cliquez sur OK.

2. Dans le menu Connexion, cliquez sur Connexion.

3. Dans Serveur, tapez localhost et dans Port, tapez 51389, puis cliquez sur OK.

4. Dans le menu Connexion, cliquez sur Lier.

5. Dans Lier, vérifiez que Liaison en tant qu’utilisateur actuellement connecté est sélectionnée, puis cliquez sur OK.

6. Dans le menu Affichage, cliquez sur Arborescence.

7. Dans BaseDN, tapez dc=woodgrovebank,dc=com, puis cliquez sur OK.

8. Recherchez l’UO ITAdmins et double-cliquez sur CN=Fabrice Canel. Affichez les attributs Description, physicalDeliveryOfficeName et Numéro de téléphone. Vous pouvez maintenant ajouter ces informations d’attributs dans l’objet utilisateur dans Utilisateurs et ordinateurs Active Directory.

Page 740: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L9-122 Module 9 : Implémentation d’un plan de maintenance des services de domaine Active Directory

9. Fermez LDP.exe.

10. Dans l’invite de commandes, arrêtez Dsamain.exe en appuyant sur Ctrl+C.

11. Fermez l’invite de commandes.

Tâche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la zone Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez restauré un compte d’utilisateur supprimé et affiché les propriétés de l’utilisateur restauré à l’aide de l’outil d’exploration de base de données des services de domaine Active Directory.

Page 741: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes liés à Active Directory, au système DNS et à la réplication L10-123

Module 10 : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

Atelier pratique : Résolution des problèmes liés à Active Directory, au système DNS et à la réplication Exercice 1 : Résolution des erreurs liées à l’authentification et à l’autorisation

Tâche 1 : Démarrer les serveurs virtuels 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes, sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Launch.

3. Ouvrez une session sur NYC-DC1 en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

4. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC2, cliquez sur Launch.

5. Sur NYC-DC2, ouvrez une session en tant qu’Administrateur, avec le mot de passe Pa$$w0rd.

6. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-CL1, cliquez sur Launch.

7. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Exécuter le fichier Lab10_Prep.bat 1. Sur NYC-DC1, ouvrez l’Explorateur Windows et accédez à

d:\6238\Mod10\Labfiles.

2. Double-cliquez sur Lab10_Prep.bat.

Page 742: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L10-124 Module 10 : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

Tâche 3 : Résoudre les tickets d’incident Ticket d’incident n° 1 : une utilisatrice appelée Sabine Royant rencontre des difficultés pour se connecter sur son ordinateur avec le système d’exploitation Windows Vista®. Elle était détachée pour une mission de recherche depuis plusieurs mois et maintenant elle doit accéder au réseau pour préparer son rapport pour la direction. Son ordinateur de bureau a été désactivé pendant son absence. Le problème vous a été signalé.

1. Tentez d’ouvrir une session sur NYC-CL1 avec le nom d’utilisateur Sabine et le mot de passe Pa$$w0rd.

Question : L’ouverture de session a-t-elle réussi ?

Réponse : Non. Notez le message d’erreur suivant : La relation d’approbation entre cette station de travail et le domaine principal a échoué.

2. Sur l’ordinateur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory, puis cliquez sur Ordinateurs. Vérifiez que le compte d’ordinateur NYC-CL1 existe toujours dans les services de domaine Active Directory.

Question : Selon vous, quel peut être le problème ? Comment allez-vous le résoudre ?

Réponse : Le compte d’ordinateur pour NYC-CL1 a été réinitialisé. Par conséquent, vous devez joindre à nouveau l’ordinateur au domaine.

3. Ouvrez une session sur NYC-CL1 avec le nom d’utilisateur NYC-CL1\AdminLocal et le mot de passe Pa$$w0rd.

4. Cliquez sur Démarrer, cliquez avec le bouton droit sur Ordinateur, puis cliquez sur Propriétés.

5. Dans la fenêtre Système, cliquez sur Paramètres système avancés.

6. Dans la boîte de dialogue Contrôle de compte d’utilisateur, cliquez sur Continuer.

7. Dans l’onglet Nom de l’ordinateur, cliquez sur Modifier.

8. Dans la boîte de dialogue Modification du nom ou du domaine de l’ordinateur, cliquez sur Groupe de travail, tapez Groupe de travail dans le champ Groupe de travail, puis cliquez sur OK.

9. Dans la boîte de dialogue Modification du nom ou du domaine de l’ordinateur, tapez Administrateur comme nom d’utilisateur et Pa$$w0rd comme mot de passe, puis cliquez sur OK.

Page 743: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes liés à Active Directory, au système DNS et à la réplication L10-125

10. Dans la boîte de dialogue Modification du nom ou du domaine de l’ordinateur, cliquez deux fois sur OK, puis cliquez sur Fermer.

11. Dans le message Microsoft Windows, cliquez sur Redémarrer ultérieurement.

12. Dans la fenêtre Système, cliquez sur Paramètres système avancés.

13. Dans la boîte de dialogue Contrôle de compte d’utilisateur, cliquez sur Continuer.

14. Dans l’onglet Nom de l’ordinateur, cliquez sur Modifier.

15. Dans la boîte de dialogue Modification du nom ou du domaine de l’ordinateur, cliquez sur Domaine, tapez WoodgroveBank.com dans le champ Domaine, puis cliquez sur OK.

16. Dans la boîte de dialogue Modification du nom ou du domaine de l’ordinateur, tapez Administrateur comme nom d’utilisateur et Pa$$w0rd comme mot de passe, puis cliquez deux fois sur OK.

17. Dans la boîte de dialogue Modification du nom ou du domaine de l’ordinateur, cliquez deux fois sur OK, puis cliquez sur Fermer.

18. Dans le message Microsoft Windows, cliquez sur Redémarrer maintenant.

19. Une fois l’ordinateur redémarré, essayez d’ouvrir une session sur NYC-CL1 avec le nom d’utilisateur Sabine et le mot de passe Pa$$w0rd.

Question : L’ouverture de session a-t-elle réussi ?

Réponse : Oui.

20. Fermez la session sur NYC-CL1.

Ticket d’incident n° 2 : un membre du personnel de support appelé Karim Manar doit ajouter les nouveaux employés dans l’unité d’organisation NYC BranchManagers du domaine Woodgrovebank.com. Karim est membre du groupe global de support. Tous les membres du groupe de support doivent pouvoir gérer les comptes d’utilisateurs à partir des stations de travail clientes à l’aide du Bureau à distance. Toutefois, lorsque Karim tente d’ajouter de nouveaux employés, il échoue. Le problème vous a été signalé.

1. Ouvrez une session sur NYC-CL1 avec le nom d’utilisateur Karim et le mot de passe Pa$$w0rd.

2. Cliquez sur Démarrer, sur Tous les programmes, sur Accessoires et sur Connexion Bureau à distance.

Page 744: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L10-126 Module 10 : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

3. Dans la zone Connexion Bureau à distance, tapez NYC-DC1, puis cliquez sur Se connecter.

Question : Avez-vous réussi à vous connecter à l’ordinateur distant ? Quels sont les messages d’erreur, le cas échéant, que vous avez reçus ?

Réponse : Non. Le message d’erreur indique que l’ordinateur ne peut pas se connecter à l’ordinateur distant.

Question : D’après vous, quelle est la cause du problème ?

Réponse : Il est nécessaire de s’assurer que le Bureau à distance est activé sur NYC-DC1.

4. Sur l’ordinateur NYC-DC1, ouvrez le Gestionnaire de serveur.

5. Dans la section Informations sur l’ordinateur, cliquez sur Configurer le Bureau à distance.

6. Dans la boîte de dialogue Propriétés système, cliquez sur N’autoriser que la connexion des ordinateurs exécutant Bureau à distance avec authentification NLA (plus sûr).

7. Dans la boîte de dialogue Bureau à distance, cliquez sur OK.

8. Cliquez sur Sélectionnez des utilisateurs. Dans la boîte de dialogue Utilisateurs du Bureau à distance, cliquez sur Ajouter, tapez Support technique, puis cliquez trois fois sur OK.

9. Sur l’ordinateur NYC-CL1, dans la boîte de dialogue Connexion Bureau à distance, cliquez sur Se connecter.

10. Dans la boîte de dialogue Sécurité Windows, tapez WoodgroveBank\Karim comme nom d’utilisateur et Pa$$w0rd comme mot de passe, puis cliquez sur OK.

Question : Avez-vous réussi ? Quels sont les messages d’erreur, le cas échéant, que vous avez reçus ?

Réponse : Non. Le message d’erreur indique que l’utilisateur ne dispose pas du droit d’ouverture de session par les services Terminal Server.

Question : Comment allez-vous résoudre ce problème ?

Réponse : Vous devez accorder à l’utilisateur les droits d’utilisation des services Terminal Server sur NYC-DC1.

11. Fermez la fenêtre Bureau à distance.

Page 745: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes liés à Active Directory, au système DNS et à la réplication L10-127

12. Sur NYC-DC1, cliquez sur Démarrer, sur Outils d’administration, puis sur Gestion des stratégies de groupe.

13. Développez Forêt:WoodgroveBank.com, Domaines, WoodgroveBank.com, cliquez sur Objets de stratégie de groupe, cliquez avec le bouton droit sur Stratégie Contrôleurs de domaine par défaut, puis cliquez sur Modifier.

14. Développez successivement Configuration de l’ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité et Stratégies locales, puis cliquez sur Attribution des droits utilisateur.

15. Double-cliquez sur Propriétés de Autoriser l’ouverture de session par les services Terminal Server, activez la case à cocher Définir ces paramètres de stratégie, puis cliquez sur Ajouter un utilisateur ou un groupe.

16. Tapez Support, puis cliquez deux fois sur OK.

17. Ouvrez une invite de commandes, tapez gpupdate /force, puis appuyez sur Entrée.

18. Sur l’ordinateur NYC-CL1, dans la boîte de dialogue Connexion Bureau à distance, cliquez sur Se connecter.

19. Dans la boîte de dialogue Sécurité Windows, tapez WoodgroveBank\Karim comme nom d’utilisateur et Pa$$w0rd comme mot de passe, puis cliquez sur OK.

Question : Avez-vous réussi ? Quels sont les messages d’erreur, le cas échéant, que vous avez reçus ?

Réponse : Oui. Aucun message d’erreur ne s’est affiché.

20. Dans la fenêtre Bureau à distance, ouvrez Utilisateurs et ordinateurs Active Directory.

21. Dans la boîte de dialogue Contrôle de compte d’utilisateur, tapez Pa$$w0rd, puis cliquez sur OK.

Question : Quel message d’erreur obtenez-vous ?

Réponse : Le message d’erreur indique que le type d’ouverture de session demandé sur cet ordinateur n’est pas accordé à l’utilisateur.

Question : Selon vous, pourquoi obtenez-vous ce message d’erreur ?

Réponse : L’utilisateur a besoin du droit d’ouvrir une session de manière interactive pour exécuter un outil d’administration via le Bureau à distance.

22. Cliquez sur Annuler, puis fermez la session Bureau à distance.

Page 746: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L10-128 Module 10 : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

23. Sur NYC-DC1, dans l’Éditeur de gestion des stratégies de groupe, double-cliquez sur le paramètre Permettre l’ouverture d’une session locale.

24. Cliquez sur Ajouter un utilisateur ou un groupe, tapez Support, puis cliquez deux fois sur OK.

25. Dans une fenêtre d’invite de commandes, tapez gpupdate /force, puis appuyez sur Entrée.

26. Sur NYC-CL1, ouvrez Connexion Bureau à distance, puis cliquez sur Se connecter.

27. Dans la boîte de dialogue Sécurité Windows, tapez le mot de passe Pa$$w0rd, puis cliquez sur OK.

28. Dans la fenêtre Bureau à distance, ouvrez Utilisateurs et ordinateurs Active Directory.

29. Dans la boîte de dialogue Contrôle de compte d’utilisateur, tapez Pa$$w0rd, puis cliquez sur OK.

30. Développez WoodgroveBank.com, cliquez sur NYC, cliquez sur BranchManagers, puis double-cliquez sur l’unité d’organisation BranchManagers.

Question : Pouvez-vous ouvrir l’unité d’organisation (UO) ? Quels sont les messages d’erreur, le cas échéant, que vous avez reçus ?

Réponse : Non. Le message d’erreur indique que l’objet ne peut pas être affiché.

Question : Quelles étapes supplémentaires, le cas échéant, estimez-vous nécessaires ?

Réponse : Karim ou le groupe Support technique ne doit certainement pas disposer des autorisations appropriées sur l’unité d’organisation BranchManagers. Vous devez les vérifier.

Page 747: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes liés à Active Directory, au système DNS et à la réplication L10-129

31. Sur NYC-DC1, dans Utilisateurs et ordinateurs Active Directory, dans le menu Affichage, cliquez sur Fonctionnalités avancées.

32. Développez NYC, cliquez avec le bouton droit sur BranchManagers, puis cliquez sur Propriétés.

33. Sous l’onglet Sécurité, cliquez sur Avancé.

34. Vérifiez les autorisations attribuées au groupe Support technique. Vérifiez que le groupe dispose des autorisations permettant de créer et supprimer des comptes d’utilisateurs et de groupes.

35. Vérifiez les autorisations attribuées à Karim. Vérifiez que les autorisations sur l’unité d’organisation lui ont été refusées. Cliquez sur l’entrée qui refuse l’autorisation, cliquez sur Supprimer, puis cliquez deux fois sur OK.

36. Sur NYC-CL1, dans la fenêtre Utilisateurs et ordinateurs Active Directory, cliquez sur Actualiser. Vérifiez que Karim a désormais accès à l’unité d’organisation BranchManagers.

37. Essayez de créer un utilisateur test dans l’unité d’organisation Branch Managers.

Question : Avez-vous réussi ?

Réponse : Oui.

38. Sur NYC-CL1, fermez la session Bureau à distance, puis déconnectez-vous de NYC-CL1.

Résultat : au terme de cet exercice, vous aurez résolu deux tickets d’incident portant sur des problèmes d’authentification et d’autorisation.

Page 748: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L10-130 Module 10 : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

Exercice 2 : Résolution des problèmes liés à l’intégration du système DNS et des services de domaine Active Directory

Tâche 1 : Résoudre un ticket d’incident Ticket d’incident n° 3 : certains utilisateurs de WoodgroveBank.com se plaignent de problèmes pour accéder aux ressources réseau. Le support a déjà établi que tous les ordinateurs clients qui présentent le problème utilisent NYC-DC2 comme serveur DNS préféré. Vous allez utiliser NYC-CL1 pour tester toutes les solutions et vous assurer que les utilisateurs peuvent ouvrir une session sur le domaine en utilisant NYC-DC1 et NYC-DC2 comme serveurs DNS principaux.

Question : Quel peut être le problème ?

Réponse : DNS n'est sans doute pas correctement configuré.

1. Ouvrez une session sur NYC-CL1 en tant que Woodgrovebank\Administrateur avec le mot de passe Pa$$w0rd.

2. Ouvrez l’invite de commandes, tapez NSLookup, puis appuyez sur Entrée.

3. Tapez server 10.10.0.10, puis appuyez sur Entrée.

4. Tapez Set type=SOA, puis appuyez sur Entrée.

5. Tapez WoodgroveBank.com, puis appuyez sur Entrée. Vérifiez que l’enregistrement SOA existe et qu’il fait référence à NYC-DC1.WoodgroveBank.com.

6. Tapez set type=SRV, puis appuyez sur Entrée.

7. Tapez _ldap._tcp.woodgrovebank.com, puis appuyez sur Entrée. Vérifiez que les enregistrements SRV pour NYC-DC1 et NYC-DC2 sont répertoriés.

8. Tapez _gc._tcp.woodgrovebank.com, puis appuyez sur Entrée. Vérifiez que les enregistrements SRV pour NYC-DC1 et NYC-DC2 sont répertoriés.

9. Tapez server 10.10.0.11, puis appuyez sur Entrée.

10. Tapez Set type=SOA, puis appuyez sur Entrée.

Page 749: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes liés à Active Directory, au système DNS et à la réplication L10-131

11. Tapez WoodgroveBank.com, puis appuyez sur Entrée. Vérifiez qu’aucun résultat n’est renvoyé.

Question : Quelle est la procédure pour résoudre ce problème ?

Réponse : S’assurer de la présence de la connectivité de base entre les deux contrôleurs de domaine. Sur NYC-DC1, vérifiez que le service DNS est en cours d’exécution, et déterminez si la zone s’est répliquée. Déterminez quels sont les types de zones en cours d’exécution sur les deux serveurs DNS. Assurez-vous que NYC-DC1 autorise les transferts de zone vers NYC-DC2, et que le transfert de la zone s’effectue correctement.

12. Sur NYC-DC2, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Services.

13. Dans la console Services, vérifiez que le service DNS est Démarré.

14. Démarrez la console de gestion DNS dans Outils d’administration.

15. Développez Zones de recherche directes, puis cliquez sur WoodgroveBank.com.

Question : Quel message d’erreur obtenez-vous ?

Réponse : Zone non chargée par le serveur DNS.

16. Développez NYC-DC2 et Zones de recherche directes, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Propriétés.

Question : De quel type est la zone WoodgroveBank.com ? Vérifiez les paramètres de zone.

Réponse : WoodgroveBank.com est une zone secondaire, configurée pour utiliser 10.10.0.10 comme serveur maître.

17. Sur NYC-DC1, démarrez la console de gestion DNS dans Outils d’administration.

18. Développez NYC-DC1 et Zones de recherche directes, cliquez avec le bouton droit sur WoodgroveBank.com après l’avoir sélectionné, puis cliquez sur Propriétés.

Question : De quel type est la zone WoodgroveBank.com ?

Réponse : WoodgroveBank.com est une zone principale.

19. Dans l’onglet Transferts de zone, activez la case à cocher Autoriser les transferts de zone.

20. Cliquez sur Vers n’importe quel serveur, puis cliquez sur OK.

Page 750: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L10-132 Module 10 : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

21. Répétez les étapes précédentes pour activer les zones de transfert de la zone _msdcs.woodgrovebank.com.

22. Sur NYC-DC2, dans le Gestionnaire DNS, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Rechargement à partir du maître. Appuyez sur F5 pour vérifier si les informations de zone ont été transférées.

Remarque : si la zone n’est pas transférée immédiatement, patientez une minute, puis appuyez de nouveau sur F5.

23. Cliquez avec le bouton droit sur _msdcs.Woodgrovebank.com après l’avoir sélectionné, puis cliquez sur Rechargement à partir du maître. Appuyez sur F5 pour vérifier si les informations de zone ont été transférées.

24. Sur NYC-CL1, dans la fenêtre d’invite de commandes, tapez WoodgroveBank.com, puis appuyez sur Entrée. Vérifiez que l’enregistrement SOA existe et qu’il fait référence à NYC-DC1.WoodgroveBank.com.

25. Tapez set type=SRV, puis appuyez sur Entrée.

26. Tapez _ldap._tcp.woodgrovebank.com, puis appuyez sur Entrée. Vérifiez que les enregistrements SRV pour NYC-DC1 et NYC-DC2 sont répertoriés.

27. Tapez _gc._tcp.woodgrovebank.com, puis appuyez sur Entrée. Vérifiez que les enregistrements SRV pour NYC-DC1 et NYC-DC2 sont répertoriés.

Question : Quel était le problème et comment l’avez-vous résolu ?

Réponse : NYC-DC1 n’autorisait pas les transferts de zone. NYC-DC2 ne possédait pas de copie de la zone. La correction de tous ces problèmes a permis à NYC-DC2 de demander une copie de la zone.

Résultat : au terme de cet exercice, vous aurez résolu un ticket d’incident portant sur des problèmes liés à l’intégration du système DNS et aux services de domaine Active Directory.

Page 751: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes liés à Active Directory, au système DNS et à la réplication L10-133

Exercice 3 : Résolution des problèmes liés à la réplication des services de domaine Active Directory

Tâche 1 : Résoudre les tickets d’incident Ticket d’incident n° 4 : le support est chargé de créer des comptes d’utilisateurs pour les nouveaux employés. Comme les nouveaux employés vont se déplacer entre les succursales, il est essentiel qu’ils puissent ouvrir une session à partir de n’importe quel emplacement. Le support a remarqué que la réplication entre NYC-DC1 et NYC-DC2 ne fonctionne pas. Lorsqu’un membre de l’équipe crée un compte d’utilisateur sur le contrôleur de domaine NYC-DC1, le compte d’utilisateur ne s’affiche pas sur le contrôleur de domaine NYC-DC2. Le problème vous a été signalé.

1. Sur NYC-DC1, ouvrez Utilisateurs et ordinateurs Active Directory dans Outils d’administration.

2. Dans l’unité d’organisation NYC, cliquez sur Branch Managers. Vérifiez que le compte d’utilisateur test que vous avez créé dans l’exercice 1 est affiché.

3. Sur NYC-DC2, ouvrez Utilisateurs et ordinateurs Active Directory dans Outils d’administration.

4. Dans l’unité d’organisation NYC, cliquez sur Branch Managers. Vérifiez que le compte d’utilisateur test que vous avez créé dans l’exercice 1 n’est pas affiché.

5. Sur NYC-DC2, ouvrez Sites et services Active Directory dans Outils d’administration. Développez successivement Sites, Premier-site-par défaut, Serveurs et NYC-DC2, puis cliquez sur Paramètres NTDS.

6. Cliquez avec le bouton droit sur l’objet de connexion avec NYC-DC1, puis cliquez sur Répliquer maintenant.

Question : La réplication a-t-elle abouti et, si ce n’est pas le cas, quel message d’erreur avez-vous reçu ?

Réponse : La réplication a échoué. Le message d’erreur signalait que le serveur RPC n’est pas disponible.

Page 752: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L10-134 Module 10 : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

Question : Selon vous, quel peut être le problème ?

Réponse : Il est possible qu’il y ait un problème réseau entre les deux contrôleurs de domaine, notamment avec les règles de pare-feu. Les enregistrements DNS de l’un des contrôleurs de domaine sont peut-être manquants. Il est possible que les services de domaine Active Directory ne soient pas en cours d’exécution sur l’un ou sur les deux contrôleurs de domaine.

7. Sur NYC-DC2, ouvrez une invite de commandes. Tapez repadmin / replsummary, puis appuyez sur Entrée.

8. Examinez le résumé de la réplication.

9. Dans l’invite de commandes, tapez ping NYC-DC1, puis appuyez sur Entrée.

Question : La commande Ping a-t-elle réussi ?

Réponse : Oui.

10. Dans l’invite de commandes, tapez ping NYC-DC2, puis appuyez sur Entrée.

Question : La commande Ping a-t-elle réussi ?

Réponse : Oui, mais la commande Ping a utilisé l’adresse IPv6.

11. Dans l’invite de commandes, tapez NSLookup, puis appuyez sur Entrée.

12. Tapez server 10.10.0.10, puis appuyez sur Entrée.

13. Tapez NYC-DC2.Woodgrovebank.com, puis appuyez sur Entrée. Vérifiez que l’adresse de NYC-DC2 qui est affichée est la suivante : 10.11.0.11. Tapez Exit et appuyez sur Entrée.

14. Sur NYC-DC1, ouvrez le Gestionnaire DNS, puis supprimez l’enregistrement pour NYC-DC2 dans le domaine WoodgroveBank.com.

15. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Propriétés.

16. Dans le champ Mises à jour dynamiques, cliquez sur Sécurisées et non sécurisées, puis sur OK.

17. Sur NYC-DC2, dans l’invite de commandes, tapez Ipconfig /registerdns, puis appuyez sur Entrée.

18. Tapez net stop netlogon & net start netlogon, puis appuyez sur Entrée.

19. Sur NYC-DC1, dans le Gestionnaire DNS, actualisez l’affichage, puis vérifiez que l’enregistrement NYC-DC2 a été ajouté avec une adresse IP de 10.10.0.11.

Page 753: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes liés à Active Directory, au système DNS et à la réplication L10-135

20. Sur NYC-DC1, dans l’invite de commandes, tapez dnscmd /clearcache, puis appuyez sur Entrée.

21. Dans l’invite de commandes, tapez IPConfig /flushdns, puis appuyez sur Entrée.

22. Ouvrez le composant Sites et services Active Directory. Développez Sites, Premier-Site-par-défaut, Serveurs, NYC-DC2, puis cliquez sur Paramètres NTDS.

23. Cliquez avec le bouton droit sur l’objet de connexion avec NYC-DC1, puis cliquez sur Répliquer maintenant.

Question : La réplication a-t-elle réussi ? Quel message d’erreur avez-vous reçu ?

Réponse : Oui, la réplication a réussi. Non, aucun message d’erreur ne s’est affiché.

24. Sur NYC-DC2, dans Utilisateurs et ordinateurs Active Directory, sous NYC, dans l’unité d’organisation Branch Managers, vérifiez que le compte d’utilisateur test que vous avez créé dans l’exercice 1 s’affiche correctement.

Ticket d’incident n° 5 : le support a remarqué que lorsque certains utilisateurs de la succursale de New York du domaine Woodgrovebank.com ouvrent une session, ils n’obtiennent pas automatiquement les mappages de lecteur attendus. Tous les utilisateurs doivent obtenir un mappage de lecteur qui mappe le lecteur H: vers \\NYC-DC1\data. Le support a confirmé que l’objet Stratégie de groupe est configuré correctement. Le script d’ouverture de session est appelé MapDataDir.bat et doit se trouver dans le partage Netlogon.

Question : Selon vous, quel peut être le problème ?

Réponse : Si la stratégie est bien configurée, il est possible que la stratégie ou le script n’ait pas été répliqué correctement entre les contrôleurs de domaine. Puisque la réplication fonctionne bien entre NYC-DC1 et NYC-DC2, vous devez vérifier que le script d’ouverture de session a été répliqué entre les contrôleurs de domaine.

Page 754: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L10-136 Module 10 : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

Question : Quelle procédure allez-vous suivre pour résoudre le problème ?

Réponse : Vérifiez les partages Netlogon sur NYC-DC1 et sur NYC-DC2 pour vous assurer que le fichier MapDataDir.bat se trouve aux deux emplacements. Dans la négative, il vous faudra déterminer la raison de l’échec de la réplication. Commencez par vous assurer que les services FRS et DFSR sont en cours d’exécution sur les deux contrôleurs de domaine dans l’applet Services du Panneau de configuration. Si c’est le cas, il vous faut résoudre les problèmes réseau entre les deux contrôleurs de domaine.

1. Sur NYC-DC1, ouvrez l’Explorateur Windows, puis accédez à C:\Windows\SYSVOL\sysvol\WoodgroveBank.com\Scripts. Vérifiez que le fichier MapDataDir.bat se trouve dans le dossier.

2. Cliquez sur Démarrer, sur Rechercher, puis dans la zone de recherche, tapez \\NYC-DC2\Netlogon et appuyez sur Entrée.

Question : Le dossier contient-il le fichier MapDataDir.bat ?

Réponse : Non.

3. Ouvrez une invite de commandes, tapez ntfrsutl forcerepl nyc-dc2 /p NYC-DC1.woodgrovebank.com, puis appuyez sur Entrée.

Question : La réplication a-t-elle réussi ? Dans la négative, quel message d’erreur avez-vous obtenu ?

Réponse : Non, la réplication a échoué. Le message d’erreur indique que l’accès est refusé.

4. Sur NYC-DC1, ouvrez la console Services dans Outils d’administration.

Question : Le service de réplication de fichiers et le service de réplication DFS sont-ils en cours d’exécution ? Démarrez les services, si nécessaire, et configurez-les pour qu’ils démarrent automatiquement.

Réponse : Oui, les services s’exécutent et sont configurés pour démarrer automatiquement.

5. Sur NYC-DC2, ouvrez la console Services dans Outils d’administration.

Question : Le service de réplication de fichiers et le service de réplication DFS sont-ils en cours d’exécution ? Démarrez les services, si nécessaire, et configurez-les pour qu’ils démarrent automatiquement.

Réponse : Non, les services doivent être démarrés. L’état de démarrage des services étant désactivé, les services doivent être définis pour démarrer tout d’abord automatiquement, puis pour être ensuite démarrés.

Page 755: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes liés à Active Directory, au système DNS et à la réplication L10-137

6. Sur NYC-DC2, dans l’invite de commandes, tapez ntfrsutl forcerepl nyc-dc2 /p NYC-DC1.woodgrovebank.com, puis appuyez sur Entrée.

Question : La réplication a-t-elle réussi ? Dans la négative, quel message d’erreur avez-vous obtenu ?

Réponse : Oui, la réplication a réussi et aucun message d’erreur n’a été reçu.

7. Cliquez sur Démarrer, puis dans la zone de recherche, tapez \\NYC-DC2\Netlogon et appuyez sur Entrée.

Question : Le dossier contient-il le fichier MapDataDir.bat ?

Réponse : Non, le fichier n’est pas dans le dossier.

8. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Pare-feu Windows avec sécurité avancée.

9. Cliquez sur Règles d’entrée, cliquez avec le bouton droit sur Réplication de fichiers (RPC), puis cliquez sur Activer la règle.

10. Cliquez avec le bouton droit sur Réplication de fichiers (RPC-EPMAP), puis cliquez sur Activer la règle.

11. Dans l'invite de commandes, tapez ntfrsutl forcerepl nyc-dc2 /p NYC-DC1.woodgrovebank.com, puis appuyez sur Entrée.

Question : La réplication a-t-elle réussi ? Dans la négative, quel message d’erreur avez-vous obtenu ?

Réponse : Oui, la réplication a réussi et aucun message d’erreur n’a été reçu.

12. Cliquez sur Démarrer, sur Rechercher, puis dans la zone de recherche, tapez \\NYC-DC2\Netlogon et appuyez sur Entrée.

Question : Le dossier contient-il le fichier MapDataDir.bat ?

Réponse : Oui, le fichier est dans le dossier.

Remarque : si le fichier ne figure pas dans le dossier, patientez une minute avant d’actualiser l’affichage. S’il ne figure toujours pas, redémarrez le service de réplication de fichiers sur NYC-DC2.

Page 756: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L10-138 Module 10 : Résolution des problèmes liés aux services de domaine Active Directory (AD DS), au système DNS et à la réplication

Question : Quel était le problème et comment l’avez-vous résolu ?

Réponse : Le service de réplication de fichiers et le service de réplication DFS sur NYC-DC2 étaient arrêtés. Le Pare-feu Windows sur NYC-DC1 bloquait également le trafic de réplication des fichiers.

Tâche 2 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulations 1. Fermez la fenêtre de contrôle à distance de chaque ordinateur virtuel en cours

d’exécution.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.

Résultat : au terme de cet exercice, vous aurez résolu un ticket d’incident portant sur des problèmes liés à la réplication des services Active Directory.

Page 757: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes de stratégie de groupe L11-139

Module 11 : Résolution des problèmes de stratégie de groupe

Atelier pratique : Résolution des problèmes de stratégie de groupe Exercice 1 : Résolution des problèmes liés aux scripts de stratégie de groupe

Tâche 1 : Démarrer l’ordinateur virtuel 6238A-NYC-DC1 et ouvrir une session en tant qu’Administrateur 1. Ouvrez Virtual Server Remote Control Client et double-cliquez sur 6238A-

NYC-DC1.

2. Ouvrez une session sur NYC-DC1 en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

Tâche 2 : Créer et lier une stratégie de Bureau au niveau du domaine 1. Cliquez sur Démarrer, Outils d'administration, puis sur Gestion des

stratégies de groupe.

2. Dans la console GPMC, développez successivement Forêt : WoodgroveBank.com et Domaines, cliquez avec le bouton droit sur le domaine WoodgroveBank.com, puis cliquez sur Créer un objet GPO dans ce domaine, et le lier ici. Nommez le nouveau dossier Bureau, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur la stratégie Bureau, puis cliquez sur Modifier.

4. Développez successivement Configuration ordinateur, Stratégies, Modèles d’administration et Système, puis cliquez sur Ouverture de session. Dans le volet d’informations, double-cliquez sur Toujours attendre le réseau lors du démarrage de l’ordinateur et de l’ouverture de session, cliquez sur Activé, puis sur OK.

5. Dans le volet gauche, développez successivement Réseau, Connexions réseau et Pare-feu Windows, puis cliquez sur Profil du domaine. Dans le volet d’informations, double-cliquez sur Pare-feu Windows : autoriser l’exception d’administration à distance entrante.

Page 758: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L11-140 Module 11 : Résolution des problèmes de stratégie de groupe

6. Dans la boîte de dialogue Pare-feu Windows : autoriser l’exception d’administration à distance entrante, cliquez sur Activé, tapez localsubnet, puis cliquez sur OK.

7. Développez successivement Configuration utilisateur, Stratégies, Paramètres Windows et Internet Explorer Maintenance, puis cliquez sur URL. Dans le volet d’informations, double-cliquez sur Adresses URL importantes.

8. Dans la boîte de dialogue URL principales, activez la case à cocher Personnaliser l’URL de la page de démarrage, tapez http://WoodgroveBank.com., puis cliquez sur OK.

9. Développez Modèles d’administration, cliquez sur Menu Démarrer et barre des tâches, double-cliquez sur Forcer le menu Démarrer classique, cliquez sur Activé, puis sur OK.

10. Fermez l’Éditeur de gestion des stratégies de groupe.

Tâche 3 : Restaurer l’objet de stratégie de groupe Lab11A 1. Dans la Console de gestion des stratégies de groupe (GPMC), développez

WoodgroveBank.com, cliquez avec le bouton droit sur le dossier Objets de stratégie de groupe (GPO), puis cliquez sur Gérer les sauvegardes.

2. Dans la boîte de dialogue Gérer les sauvegardes, tapez D:\6238\GPOBackup dans le champ Emplacement de sauvegarde.

3. Sélectionnez l’objet de stratégie de groupe Lab 11A, cliquez sur Restaurer, puis cliquez deux fois sur OK.

4. Fermez la boîte de dialogue Gérer les sauvegardes.

Tâche 4 : Lier l’objet de stratégie de groupe Lab11A au domaine 1. Dans la console GPMC, cliquez avec le bouton droit sur le domaine

WoodgroveBank.com, puis cliquez sur Lier un objet de stratégie de groupe existant.

2. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l’objet de stratégie de groupe Lab 11A et cliquez sur OK.

Page 759: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes de stratégie de groupe L11-141

Tâche 5 : Démarrer NYC-CL1 et ouvrir une session en tant qu’Administrateur • Démarrez NYC-CL1 et ouvrez une session en tant que WoodgroveBank\

Administrateur avec le mot de passe Pa$$w0rd.

Tâche 6 : Tester l’objet de stratégie de groupe 1. Sur NYC-CL1, fermez la session, puis ouvrez une nouvelle session en tant

qu’Administrateur.

Remarque : deux ouvertures de session sont nécessaires pour afficher les paramètres de stratégie de groupe car l’administrateur ouvre une session à l’aide des informations d’identification mises en cache.

2. Cliquez sur le menu Démarrer et vérifiez que le menu Démarrer classique est visible.

3. Double-cliquez sur Internet Explorer et cliquez sur le X rouge pour arrêter la tentative de connexion à la page de démarrage par défaut. Cliquez sur le symbole Démarrage dans la barre d’outils et vérifiez que http://WoodgroveBank.com est la page d’accueil.

Conseil : regardez la barre d’état tout en bas.

4. Fermez Internet Explorer.

5. Double-cliquez sur Ordinateur sur le Bureau, vérifiez qu’un lecteur est mappé sur le dossier partagé Données, puis fermez la session.

6. Ouvrez une session sur NYC-CL1 en tant que Loig avec le mot de passe Pa$$w0rd.

7. Fermez l’Accueil Windows.

8. Cliquez sur le menu Démarrer et vérifiez que Loig voit le menu Démarrer classique.

Page 760: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L11-142 Module 11 : Résolution des problèmes de stratégie de groupe

9. Sur le Bureau, double-cliquez sur Internet Explorer, puis cliquez sur l’icône Démarrage de la barre d’outils pour vérifier que http://WoodgroveBank.com est la page d’accueil.

10. Fermez Internet Explorer.

11. Sur le Bureau, double-cliquez sur Ordinateur et recherchez le lecteur mappé sur le dossier partagé Données.

12. Fermez la session sur NYC-CL1.

Tâche 7 : Résoudre les problèmes liés à l’objet de stratégie de groupe 1. Revenez à NYC-DC1.

2. Dans la console GPMC, cliquez avec le bouton droit sur Résultats de la stratégie de groupe, puis cliquez sur Assistant Résultats de la stratégie de groupe.

3. Dans l'Assistant Résultats de la stratégie de groupe, cliquez sur suivant.

4. Dans la page Sélection de l’ordinateur, cliquez sur Autre ordinateur, tapez NYC-CL1 dans le champ et cliquez sur Suivant.

5. Dans l’écran Sélection de l’utilisateur, sélectionnez WoodgroveBank\Loig, puis cliquez sur Suivant.

6. Dans l’écran Aperçu des sélections, cliquez sur Suivant, puis sur Terminer.

7. Dans la boîte de dialogue Internet Explorer, cliquez sur Ajouter, sur Ajouter une seconde fois, puis sur Fermer.

8. Dans la section Résumé de la configuration utilisateur, cliquez sur Objets de stratégie de groupe, puis sur Objets de stratégie de groupe appliqués.

9. Cliquez sur l’onglet Paramètres.

10. Développez Paramètres Windows, Scripts et Ouverture de session.

11. Basculez vers NYC-CL1 et ouvrez une session en tant que Loig.

12. Testez l’autorisation de Loig sur l’emplacement des scripts : ouvrez une commande Exécuter, tapez \\nan-cd1\scripts et appuyez sur Entrée.

13. Cliquez sur OK pour fermer la boîte de dialogue d’erreur.

Page 761: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes de stratégie de groupe L11-143

14. Fermez la session en tant que Loig.

Remarque : si vous disposez de suffisamment de temps, vous pouvez afficher le journal opérationnel de stratégie de groupe en tant qu’Administrateur sur NYC-CL1. Si vous filtrez l’affichage pour afficher les événements que génère Loig, vous devez constater que le journal ne détecte pas les erreurs ou les avertissements pour cet utilisateur. Cela est dû au fait que l’objet de stratégie de groupe définit uniquement une valeur de Registre qui spécifie l’emplacement du dossier des scripts. La stratégie de groupe ne sait pas si l’utilisateur a accès à l’emplacement. L’écriture dans le Registre a été effectuée avec succès. Par conséquent, le journal de stratégie de groupe ne voit pas d’erreurs. Pour déterminer les problèmes d’accès, vous devez auditer Accès à l’objet pour le dossier des scripts.

Tâche 8 : Résoudre le problème et tester la résolution 1. Basculez vers NYC-DC1, cliquez sur Démarrer, puis sur Ordinateur.

2. Accédez au dossier D:\6238\scripts et cliquez dessus avec le bouton droit, puis cliquez sur Partager.

3. Dans la boîte de dialogue Partage de fichiers, cliquez sur Modification des paramètres système.

4. Dans le champ Entrez les noms des objets à sélectionner, tapez Utilisateurs authentifiés, cliquez sur Ajouter, sur Partage, puis sur Terminé.

5. Basculez vers NYC-CL1 et ouvrez une session en tant que Loig.

6. Sur le Bureau, double-cliquez sur Ordinateur. Vérifiez que le mappage de lecteur existe.

7. Fermez la session.

Remarque : une autre méthode de résolution du problème consisterait à déplacer le script vers le partage Netlogon.

Page 762: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L11-144 Module 11 : Résolution des problèmes de stratégie de groupe

Résultat : au terme de cet exercice, vous aurez résolu un problème de scripts de stratégie de groupe.

Exercice 2 : Résolution des problèmes liés à l’objet de stratégie de groupe Lab11B

Tâche 1 : Restaurer l’objet de stratégie de groupe Lab11B 1. Sur NYC-DC1, dans la console GPMC, cliquez avec le bouton droit sur le

dossier Objets de stratégie de groupe et cliquez sur Gérer les sauvegardes.

2. Dans la boîte de dialogue Gérer les sauvegardes, dans le champ Emplacement de sauvegarde, tapez D:\6238\GPOBackup.

3. Sélectionnez l’objet de stratégie de groupe Lab 11B, cliquez sur Restaurer, puis cliquez deux fois sur OK.

4. Fermez la boîte de dialogue Gérer les sauvegardes.

Tâche 2 : Lier l’objet de stratégie de groupe Lab11B à l’unité d’organisation Miami 1. Dans la console GPMC, cliquez avec le bouton droit sur l’unité d’organisation

Miami et cliquez sur Lier un objet de stratégie de groupe existant.

2. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l’objet de stratégie de groupe Lab 11B et cliquez sur OK.

Tâche 3 : Tester l’objet de stratégie de groupe 1. Ouvrez une session sur NYC-CL1 en tant que Etienne avec le mot de passe

Pa$$w0rd.

2. Vérifiez que les paramètres de l’objet de stratégie de groupe Bureau sont appliqués.

3. Assurez-vous que l’icône du Panneau de configuration n’apparaît pas sur le Bureau ni dans le menu Démarrer.

4. Fermez la session.

Page 763: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes de stratégie de groupe L11-145

5. Ouvrez une session sur NYC-CL1 en tant que Loig. L’icône du Panneau de configuration apparaît-elle sur le Bureau ?

6. Fermez la session.

Tâche 4 : Résoudre les problèmes liés à l’objet de stratégie de groupe 1. Revenez à NYC-DC1.

2. Dans la console GPMC, cliquez avec le bouton droit sur Résultats de la stratégie de groupe, puis cliquez sur Assistant Résultats de la stratégie de groupe.

3. Dans l'Assistant Résultats de la stratégie de groupe, cliquez sur suivant.

4. Dans l’écran Sélection de l’ordinateur, cliquez sur Autre ordinateur, tapez NYC-CL1 dans le champ Nom et cliquez sur Suivant.

5. Dans l’écran Sélection de l’utilisateur, sélectionnez WoodgroveBank\ Etienne P., puis cliquez sur Suivant.

6. Dans l’écran Aperçu des sélections, cliquez sur Suivant, puis sur Terminer.

7. Dans la section Résumé de la configuration utilisateur, cliquez sur Objets de stratégie de groupe, puis sur Objets de stratégie de groupe appliqués.

8. Cliquez sur l’onglet Paramètres, développez Paramètres Windows, puis Panneau de configuration.

9. Cliquez avec le bouton droit sur Résultats de la stratégie de groupe, envoyez une requête à Loig sur NYC-CL1 dans le volet de gauche et cliquez sur Relancer la requête.

10. Dans la section Résumé de la configuration utilisateur, cliquez sur Objets de stratégie de groupe, puis sur Objets de stratégie de groupe appliqués.

11. Cliquez sur Objets de stratégie de groupe refusés.

Tâche 5 : Résoudre le problème et tester la résolution 1. Dans la console GPMC, développez le dossier Objets Stratégie de groupe,

cliquez sur l’objet de stratégie de groupe Lab 11B, cliquez sur l’onglet Délégation puis sur Avancée.

2. Dans l’onglet Sécurité, cliquez sur Miami_BranchManagersGG.

Page 764: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L11-146 Module 11 : Résolution des problèmes de stratégie de groupe

3. Cliquez sur Supprimer pour supprimer Miami_BranchManagersGG de la liste d’autorisations, puis cliquez sur OK.

4. Basculez vers NYC-CL1 et rouvrez une session en tant que Loig.

Résultat : au terme de cet exercice, vous aurez résolu un problème d’objets de stratégie de groupe.

Page 765: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes de stratégie de groupe L11-147

Exercice 3 : Résolution des problèmes liés à l’objet de stratégie de groupe Lab11C.Tâche 1 : Restaurer l’objet de stratégie de groupe Lab11C 1. Sur NYC-DC1, dans la console GPMC, cliquez avec le bouton droit sur le

dossier Objets de stratégie de groupe et cliquez sur Gérer les sauvegardes.

2. Dans la boîte de dialogue Gérer les sauvegardes, tapez D:\6238\GPOBackup dans le champ Emplacement de sauvegarde.

3. Sélectionnez l’objet de stratégie de groupe Lab 11C, cliquez sur Restaurer, puis cliquez deux fois sur OK.

4. Fermez la boîte de dialogue Gérer les sauvegardes.

Tâche 2 : Lier l’objet de stratégie de groupe Lab11C à l’unité d’organisation Miami 1. Dans la console GPMC, cliquez avec le bouton droit sur l’unité d’organisation

Miami et cliquez sur Lier un objet de stratégie de groupe existant.

2. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l’objet stratégie de groupe Lab 11C et cliquez sur OK.

Tâche 3 : Tester l’objet de stratégie de groupe 1. Ouvrez une session sur NYC-CL1 en tant que Loig. La commande Exécuter

apparaît dans le menu Démarrer. Elle ne doit pas apparaître là.

2. Fermez la session.

Tâche 4 : Résoudre les problèmes liés à l’objet de stratégie de groupe 1. Basculez vers NYC-DC1.

2. Dans la console GPMC, cliquez avec le bouton droit sur Résultats de la stratégie de groupe, envoyez une requête à Loig sur NYC-CL1 dans le volet de gauche et cliquez sur Relancer la requête.

3. Dans la section Résumé de la configuration utilisateur, cliquez sur Objets de stratégie de groupe, puis sur Objets de stratégie de groupe appliqués.

Page 766: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L11-148 Module 11 : Résolution des problèmes de stratégie de groupe

4. Cliquez sur l’onglet Paramètres.

5. Dans la section Configuration utilisateur, développez Modèles d’administration et cliquez sur Menu Démarrer et barre des tâches.

Tâche 5 : Résoudre le problème et tester la résolution 1. Développez le dossier Objets de stratégie de groupe, cliquez avec le bouton

droit sur l’objet de stratégie de groupe Lab 11C et cliquez sur Modifier.

2. Dans la section Configuration utilisateur, développez Stratégies et Modèles d’administration, puis cliquez sur Menu Démarrer et barre des tâches.

3. Double-cliquez sur le paramètre Ajouter la commande Exécuter au menu Démarrer, cliquez sur Non configuré, puis sur OK.

4. Recherchez Supprimer le menu Exécuter du menu Démarrer et double-cliquez dessus, cliquez sur Activé, puis sur OK.

5. Fermez l’Éditeur d’objets de stratégie de groupe.

6. Ouvrez une session sur NYC-CL1 en tant que Loig. La commande Exécuter apparaît dans le menu Démarrer. Elle ne doit pas apparaître là.

7. Ne fermez pas la session.

Résultat : au terme de cet exercice, vous aurez résolu un problème d’objets de stratégie de groupe.

Page 767: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes de stratégie de groupe L11-149

Exercice 4 : Résolution des problèmes liés à l’objet de stratégie de groupe Lab11D

Tâche 1 : Créer une unité d’organisation appelée Loopback 1. Ouvrez Utilisateurs et ordinateurs Active Directory dans Outils

d’administration, cliquez avec le bouton droit sur le domaine WoodgroveBank, puis cliquez sur Nouveau et sur Unité d’organisation.

2. Dans la boîte de dialogue Nouvel objet, tapez Loopback dans le champ Nom, puis cliquez sur OK.

Tâche 2 : Restaurer l’objet de stratégie de groupe Lab11D 1. Sur NYC-DC1, dans la console GPMC, cliquez avec le bouton droit sur le

dossier Objets de stratégie de groupe et cliquez sur Gérer les sauvegardes.

2. Dans la boîte de dialogue Gérer les sauvegardes, dans le champ Emplacement de sauvegarde, tapez D:\6238\GPOBackup.

3. Sélectionnez l’objet de stratégie de groupe Lab 11D, cliquez sur Restaurer, puis cliquez deux fois sur OK.

4. Fermez la boîte de dialogue Gérer les sauvegardes.

Tâche 3 : Lier l’objet de stratégie de groupe Lab11D à l’unité d’organisation Loopback 1. Dans la console GPMC, dans le menu Action, cliquez sur Actualiser, cliquez

avec le bouton droit sur l’unité d’organisation Loopback, puis cliquez sur Lier un objet de stratégie de groupe existant.

2. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l’objet de stratégie de groupe Lab 11D et cliquez sur OK.

Page 768: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L11-150 Module 11 : Résolution des problèmes de stratégie de groupe

Tâche 4 : Déplacer l’ordinateur virtuel NYC-CL1 vers l’unité d’organisation Loopback 1. Revenez dans Utilisateurs et ordinateurs Active Directory.

2. Développez le domaine WoodgroveBank.com, puis cliquez sur le conteneur Ordinateurs.

3. Cliquez avec le bouton droit sur le compte d’ordinateur NYC-CL1, puis cliquez sur Déplacer.

4. Sélectionnez l’unité d’organisation Loopback, puis cliquez sur OK.

Tâche 5 : Tester l’objet de stratégie de groupe 1. Basculez vers NYC-CL1 et redémarrez l’ordinateur.

2. Ouvrez une session en tant que WoodgroveBank\Loig avec le mot de passe Pa$$w0rd.

3. Fermez l’Accueil Windows.

4. Cliquez sur Démarrer. Loig a désormais accès à la commande Exécuter et l’icône du Panneau de configuration apparaît sur le Bureau.

5. Double-cliquez sur Internet Explorer. Internet Explorer ne se lance pas.

Tâche 6 : Résoudre les problèmes liés à l’objet de stratégie de groupe 1. Revenez à NYC-DC1.

2. Dans la console GPMC, cliquez avec le bouton droit sur Résultats de la stratégie de groupe, puis cliquez sur Assistant Résultats de la stratégie de groupe.

3. Dans l'Assistant Résultats de la stratégie de groupe, cliquez sur suivant.

4. Dans l’écran Sélection de l’ordinateur, cliquez sur Autre ordinateur, tapez NYC-CL1 dans le champ et cliquez sur Suivant.

5. Dans l’écran Sélection de l’utilisateur, sélectionnez WoodgroveBank\Loig, puis cliquez sur Suivant.

Page 769: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique : Résolution des problèmes de stratégie de groupe L11-151

6. Dans l’écran Aperçu des sélections, cliquez sur Suivant, puis sur Terminer.

7. Dans la section Résumé de la configuration ordinateur, cliquez sur Objets de stratégie de groupe, puis sur Objets de stratégie de groupe appliqués.

8. Dans l’onglet Paramètres, dans la section Configuration de l’ordinateur, cliquez sur Modèles d’administration, puis sur Système/Stratégie de groupe.

Tâche 7 : Résoudre le problème et tester la résolution 1. Dans la console GPMC, cliquez sur l’unité d’organisation Loopback, puis

désactivez le lien vers l’objet de stratégie de groupe Lab 11D en cliquant avec le bouton droit sur ce même objet, puis en cliquant sur Lien activé pour désactiver la case à cocher.

2. Redémarrez l’ordinateur NYC-CL1 et ouvrez une session en tant que Loig. Les restrictions sur la commande Exécuter et l’icône du Panneau de configuration sont levées et Internet Explorer se lance à présent correctement.

Page 770: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook
Page 771: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Déploiement des services de domaine Active Directory L12-153

Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

Atelier pratique A : Déploiement des services de domaine Active Directory

Remarque : certaines des tâches de cet atelier pratique sont conçues pour illustrer les techniques de déploiement et de gestion Active Directory ; elles ne respectent pas toujours les meilleures pratiques.

Exercice 1 : Installation d’un contrôleur de domaine en lecture seule sur un serveur Core

Tâche 1 : Démarrer les ordinateurs virtuels et ouvrir une session 1. Sur votre ordinateur hôte, cliquez sur Démarrer, pointez sur Tous les

programmes et sur Microsoft Learning, puis cliquez sur 6238A. L’utilitaire de lancement de l’atelier pratique démarre.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC1, cliquez sur Launch.

3. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-DC2, cliquez sur Launch.

4. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-SVR2, cliquez sur Launch.

5. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-RAS, cliquez sur Launch.

6. Ouvrez une session sur tous les ordinateurs en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

7. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Page 772: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-154 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

Tâche 2 : Copier le fichier sans assistance et remplacer le nom NYC-SVR2 par NYC-DC3 1. Sur NYC-SVR2, à l’invite de commandes, tapez copy \\10.10.0.10\D$\6425\

Mod12\Labfiles\NYC-Rodc.txt C:\ et appuyez sur Entrée.

2. Tapez Netdom renamecomputer %nomordinateur% /nouveaunom:NYC-DC3 /force /reboot:5, puis appuyez sur Entrée. L’ordinateur redémarre automatiquement au bout de 5 secondes.

3. Après le redémarrage du serveur, ouvrez une session en tant qu’Administrateur avec le mot de passe Pa$$w0rd.

Tâche 3 : Affecter l’adresse IP 10.30.0.10 à l’ordinateur virtuel NYC-SVR2 1. Sur NYC-SVR2, à l’invite de commandes, tapez netsh interface ipv4 show

interfaces et appuyez sur Entrée. Notez le numéro Idx de l’interface de connexion au réseau local.

2. Tapez netsh interface ipv4 set address name="Numéro Idx de l’interface LAN" source=static address=10.30.0.10 mask=255.255.0.0 gateway=10.30.0.1, puis appuyez sur Entrée. Le numéro Idx est le numéro attribué à la Connexion au réseau local.

3. Tapez IPconfig /all, puis appuyez sur Entrée et vérifiez que les informations d’adresse IP sont correctes. Vérifiez également que le serveur DNS est bien 10.10.0.10.

Tâche 4 : Créer le site NYC-Branch-Office et renommer le site par défaut 1. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration,

puis cliquez sur Sites et services Active Directory.

2. Développez Sites, cliquez avec le bouton droit sur Sites, puis cliquez sur Nouveau site.

3. Dans la boîte de dialogue Nouvel objet – Site, tapez NYC-Branch-Office dans le champ Nom. Sélectionnez DefaultIPSiteLink, puis cliquez sur OK. Cliquez sur OK de nouveau pour accuser réception du message.

Page 773: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Déploiement des services de domaine Active Directory L12-155

4. Cliquez avec le bouton droit sur Nom-Premier-Site-Par défaut, puis cliquez sur Renommer.

5. Tapez NYC-Head-Office et appuyez sur Entrée.

Tâche 5 : Créer les objets de sous-réseau des sites du siège et de l’agence de New York 1. Cliquez avec le bouton droit sur Sous-réseaux, puis cliquez sur Nouveau

sous-réseau.

2. Dans la boîte de dialogue Nouvel objet - Sous-réseau, dans le champPréfixe, tapez 10.10.0.0/16, sélectionnez le site NYC-Head-Office, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur Sous-réseaux, puis cliquez sur Nouveau sous-réseau.

4. Dans la boîte de dialogue Nouvel objet - Sous-réseau, dans le champPréfixe, tapez 10.30.0.0/16, sélectionnez le site NYC-Branch-Office, puis cliquez sur OK.

Tâche 6 : Configurer la planification de la réplication 1. Développez Transports inter-sites, cliquez sur IP, puis double-cliquez sur

DEFAULTIPSITELINK.

2. Tapez 30 dans le champ Réplication toutes les, puis cliquez sur OK.

3. Fermez la console Sites et services Active Directory.

Tâche 7 : Créer une unité d’organisation pour les utilisateurs de l’agence 1. Cliquez sur Démarrer, Outils d'administration, puis sur Utilisateurs et

ordinateurs Active Directory.

2. Cliquez avec le bouton droit sur le domaine WoodgroveBank.com, cliquez sur Nouveau, puis sur Unité d’organisation.

3. Dans la boîte de dialogue Nouvel objet – Unité d’organisation, tapez NYC Branch Office, puis cliquez sur OK.

Page 774: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-156 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

Tâche 8 : Créer des utilisateurs et des groupes pour l’agence 1. Cliquez avec le bouton droit sur l’unité d’organisation NYC Branch Office,

cliquez sur Nouveau, puis sur Utilisateur.

2. Créez un utilisateur selon les paramètres suivants :

• Nom : Branch Manager

• Nom d’ouverture de session : branchmanager

• Désactivez la case à cocher L’utilisateur doit changer le mot de passe à la prochaine ouverture de session

• Activez la case à cocher Le mot de passe n’expire jamais

• Mot de passe : Pa$$w0rd

3. Créez un second utilisateur selon les paramètres suivants :

• Nom : Branch User

• Nom d’ouverture de session : branchuser

• Désactivez la case à cocher L’utilisateur doit changer le mot de passe à la prochaine ouverture de session

• Activez la case à cocher Le mot de passe n’expire jamais

• Mot de passe : Pa$$w0rd

4. Cliquez avec le bouton droit sur l’unité d’organisation NYC Branch Office cliquez sur Nouveau, puis sur Groupe.

5. Dans la boîte de dialogue Nouvel objet - Groupe, tapez BranchUsersGG. Vérifiez que vous créez un groupe de sécurité global, puis cliquez sur OK.

6. Appuyez sur la touche Ctrl, puis cliquez pour sélectionner à la fois les comptes Branch Manager et Branch User.

7. Cliquez avec le bouton droit sur les comptes sélectionnés, puis cliquez sur Ajouter à un groupe.

8. Dans la boîte de dialogue Sélection de groupes, tapez BranchUsersGG, puis cliquez deux fois sur OK.

Page 775: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Déploiement des services de domaine Active Directory L12-157

Tâche 9 : Configurer le service DNS sur NYC-DC1 de façon à autoriser les transferts de zone 1. Sur NYC-DC1, cliquez sur Démarrer, sur Rechercher, tapez DNSmgmt.msc

dans la zone de recherche, puis appuyez sur Entrée pour lancer la console de gestion DNS.

2. Développez NYC-DC1 et Zones de recherche directes, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Propriétés.

3. Dans la boîte de dialogue Propriétés de WoodgroveBank.com, cliquez sur l’onglet Transferts de zone.

4. Activez la case à cocher Autoriser les transferts de zone, puis cliquez sur OK.

5. Fermez le Gestionnaire DNS.

Tâche 10 : Prédéfinir le compte d’ordinateur pour le contrôleur de domaine en lecture seule 1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit

sur l’unité d’organisation Contrôleurs de domaine, puis cliquez sur Créer au préalable un compte de contrôleur de domaine en lecture seule.

2. Dans la page Assistant Installation des services de domaine Active Directory, activez la case à cocher Utiliser l’installation en mode avancé, puis cliquez sur Suivant.

3. Dans la page Compatibilité du système d’exploitation, cliquez sur Suivant.

4. Dans la page Informations d’identification réseau, vérifiez que l’option Mes informations d’identification de connexion actuelles est sélectionnée, puis cliquez sur Suivant.

5. Dans la page Spécifiez le nom de l’ordinateur, dans le champ Nom de l’ordinateur, tapez NYC-DC3, puis cliquez sur Suivant.

6. Dans la page Sélectionner un site, cliquez sur NYC-Branch-Office, puis sur Suivant.

7. Dans la page Options supplémentaires pour le contrôleur de domaine, acceptez les valeurs par défaut, puis cliquez sur Suivant.

Page 776: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-158 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

8. Dans la page Spécifier la stratégie de réplication de mot de passe, cliquez sur Ajouter, cliquez sur Autoriser la réplication des mots de passe du compte sur ce contrôleur de domaine en lecture seule (RODC), puis cliquez sur OK.

9. Tapez BranchUsersGG, cliquez sur OK, puis surSuivant.

10. Dans la page Délégation de l’installation en une administration du RODC, cliquez sur Définir. Dans la boîte de dialogue Sélectionnez utilisateur ou groupe, tapez BranchManager, cliquez sur OK, puis sur Suivant.

11. Sur la page Résumé, vérifiez vos sélections, cliquez sur Suivant, puis sur Terminer pour créer le compte du contrôleur de domaine en lecture seule. Notez que le compte d’ordinateur NYC-DC3 est répertorié dans Active Directory, mais que le type de contrôleur de domaine est Compte de contrôleur de domaine inoccupé.

Tâche 11 : Installer le rôle DNS sur NYC-DC3 1. Sur NYC-DC3, tapez Oclist pour afficher les rôles actuellement installés. Notez

qu’aucun rôle n’est actuellement installé.

2. Tapez start /w ocsetup DNS-Server-Core-Role, puis appuyez sur Entrée pour installer le serveur DNS. Le nom de rôle du Server Core est sensible à la casse.

Tâche 12 : Installer le contrôleur de domaine en lecture seule sur l’ordinateur virtuel NYC-DC3 et vérifier le résultat 1. Tapez dcpromo.exe /UseExistingAccount:Attach /unattend:C:\nyc-rodc.txt.

L’exécution de la promotion prend plusieurs minutes et se termine par un redémarrage automatique de l’ordinateur.

2. Ouvrez une session sur NYC-DC3 en tant que BranchManager avec le mot de passe Pa$$w0rd.

Remarque : si vous recevez un message d’erreur à l’ouverture de session, attendez une minute, puis essayez à nouveau.

Page 777: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Déploiement des services de domaine Active Directory L12-159

3. Sur NYC-DC1, actualisez l’affichage de l’unité d’organisation des contrôleurs de domaine. Notez que le type de contrôleur de domaine de l’ordinateur virtuel NYC-DC3 est maintenant défini sur Contrôleur de domaine en lecture seule.

4. Ouvrez Sites et services Active Directory et examinez le site NYC-Branch-Office. Notez que l’ordinateur virtuel NYC-DC3 est maintenant répertorié dans le conteneur Serveurs.

5. Ouvrez le Gestionnaire DNS, cliquez avec le bouton droit sur DNS, puis cliquez sur Connexion au serveur DNS.

6. Dans la boîte de dialogue Connexion au serveur DNS, cliquez sur Le serveur suivant, tapez NYC-DC3 dans le champ, puis cliquez sur OK.

Remarque : si le serveur n’est pas disponible, attendez quelques instants et réessayez.

7. Développez NYC-DC3 et Zones de recherche directes, puis cliquez sur WoodgroveBank.com. Vérifiez que NYC-DC3 héberge une copie de la zone WoodgroveBank.com.

8. Fermez la console DNS.

Tâche 13 : Fermer l’ordinateur virtuel NYC-SVR2 et supprimer les disques d’annulations 1. Fermez la fenêtre VMRC de l’ordinateur virtuel 6238A-NYC-SVR2.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

Résultat : au terme de cet exercice, vous aurez créé un RODC sur un ordinateur Server Core.

Page 778: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-160 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

Exercice 2 : Création du domaine et du site Contoso

Tâche 1 : Démarrer l’ordinateur virtuel NYC-SVR1 1. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-

DC1, cliquez sur Launch.

2. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Créer et configurer un nouveau lien de sites pour la réplication 1. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration,

puis cliquez sur Sites et services Active Directory.

2. Cliquez avec le bouton droit sur Sites, puis cliquez sur Nouveau site.

3. Dans la boîte de dialogue Nouvel objet – Site, tapez Contoso dans le champ Nom. Sélectionnez DefaultIPSiteLink, puis cliquez sur OK. Cliquez sur OK pour accuser réception du message.

Tâche 3 : Créer le sous-réseau du site Contoso 1. Cliquez avec le bouton droit sur Sous-réseaux, puis cliquez sur Nouveau

sous-réseau.

2. Dans la boîte de dialogue Nouvel objet - Sous-réseau, dans le champPréfixe, tapez 192.168.0.0/24, sélectionnez le site Contoso, puis cliquez sur OK.

Tâche 4 : Créer et configurer un nouveau lien de sites pour la réplication 1. Développez Transports inter-sites, cliquez avec le bouton droit sur IP, puis

cliquez sur Lien vers un nouveau site.

2. Dans la boîte de dialogue Nouvel objet – Lien de sites, tapez Contoso-NYC-HO dans le champ Nom.

3. Dans la zone Sites absents de ce lien de sites, maintenez la touche Ctrl enfoncée et cliquez sur les deux sites Contoso et NYC-Head-Office pour les sélectionner, cliquez sur Ajouter, puis sur OK.

Page 779: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Déploiement des services de domaine Active Directory L12-161

4. Cliquez sur IP, cliquez avec le bouton droit sur le lien de site Contoso-NYC-HO, puis cliquez sur Propriétés.

5. Sur l’onglet Général, tapez 240 dans le champ Réplication toutes les.

6. Cliquez sur Modifier la planification.

7. Dans la boîte de dialogue Planification pour Contoso-NYC-HO, sélectionnez par glisser-déplacer l’intervalle 6h00 à 18h00, Lundi à Vendredi, cliquez sur Réplication non disponible, puis cliquez deux fois sur OK.

8. Double-cliquez sur DefaultIPSiteLink, puis dans la zone Sites présents dans ce lien de sites, cliquez sur Contoso, sur Supprimer, puis sur OK.

9. Fermez la console Sites et services Active Directory.

Tâche 5 : Renommer le serveur NYC-SRV1 en ContosoDC 1. Sur NYC-SVR1, ouvrez une session en tant que AdminLocal avec le mot de

passe Pa$$w0rd.

2. Cliquez surDémarrer, cliquez avec le bouton droit surOrdinateur, puis cliquez sur Propriétés.

3. Dans Propriétés système, cliquez sur Paramètres système avancés.

4. Cliquez sur l’onglet Nom d’ordinateur, puis sur Modifier.

5. Tapez ContosoDC dans le champ Nom d’ordinateur, puis cliquez sur OK.

6. Cliquez sur OK pour accuser réception du message, cliquez sur Fermer, puis sur Redémarrer maintenant pour redémarrer l’ordinateur.

Tâche 6 : Modifier l’adresse IP de ContosoDC 1. Ouvrez une session sur ContosoDC en tant que AdminLocal avec le mot de

passe Pa$$w0rd. Le Gestionnaire de serveur est lancé automatiquement.

2. Dans le Gestionnaire de serveur, dans le volet Résumé serveur, cliquez sur Afficher les connexions réseau.

3. Cliquez avec le bouton droit sur Connexion au réseau local, puis cliquez sur Propriétés.

Page 780: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-162 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

4. Dans la boîte de dialogue Propriétés de Connexion au réseau local, cliquez sur Protocole Internet version 4 (TCP/IPv4), puis sur Propriétés.

5. Configurez l’adresse IP comme suit :

• Adresse IP : 192.168.0.10

• Masque de sous-réseau : 255.255.255.0

• Passerelle par défaut : 192.168.0.1

• DNS : 10.10.0.10

6. Cliquez sur OK, sur Fermer, puis fermez la fenêtre Connexions réseau.

Tâche 7 : Configurer le service DNS sur NYC-DC1 pour autoriser les transferts de zone (si vous avez effectué l’exercice 1, vous avez déjà appliqué cette étape) 1. Basculez vers NYC-DC1.

2. Cliquez sur Démarrer, cliquez sur Recherche, tapez DNSmgmt.msc dans la zone de recherche, puis appuyez sur Entrée pour lancer la console de gestion DNS.

3. Développez NYC-DC1, puis Zones de recherche directes, cliquez sur WoodgroveBank.com, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés de WoodgroveBank.com, cliquez sur l’onglet Transferts de zone.

5. Activez la case à cocher Autoriser les transferts de zone, puis cliquez sur OK.

6. Fermez le Gestionnaire DNS.

Tâche 8 : Installer le service DNS sur ContosoDC 1. Sur ContosoDC, dans le Gestionnaire de serveur, dans le volet de gauche,

cliquez avec le bouton droit sur Rôles puis cliquez sur Ajouter des rôles.

2. Dans la page Avant de commencer, cliquez sur Suivant, activez la case à cocher Serveur DNS, puis cliquez Suivant.

Page 781: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Déploiement des services de domaine Active Directory L12-163

3. Sur la page Serveur DNS, cliquez sur Suivant, puis cliquez sur Installer. Une fois l’installation terminée, cliquez sur Fermer.

4. Laissez le Gestionnaire de serveur ouvert.

Tâche 9 : Configurer le service DNS sur ContosoDC 1. Cliquez sur Démarrer, cliquez sur Recherche, tapez DNSmgmt.msc dans la

zone de recherche, puis appuyez sur Entrée pour lancer la console de gestion DNS.

2. Cliquez sur ContosoDC pour le sélectionner, cliquez avec le bouton droit sur ContosoDC, puis cliquez sur Nouvelle zone.

3. Dans l'Assistant Nouvelle zone, cliquez sur Suivant.

4. Dans la page Type de zone, cliquez sur Zone secondaire, puis sur Suivant.

5. Dans la page Zone de recherche directe ou inversée, vérifiez que l’option Zone de recherche directe est sélectionnée, puis cliquez sur Suivant.

6. Dans la page Nom de la zone, tapez WoodgroveBank.com, puis cliquez sur Suivant.

7. Dans la page Serveurs DNS maîtres, tapez 10.10.0.10, appuyez sur Entrée, cliquez sur Suivant, puis sur Terminer.

8. Développez Zones de recherche directes, puis cliquez sur WoodgroveBank.com. Attendez que le transfert de zone se termine. Vous devez actualiser la console pour voir les modifications.

9. Développez les journaux globaux, puis cliquez sur Événements DNS. Examinez les événements qui décrivent le transfert de zone.

Question : Quelle version de la zone WoodgroveBank.com a-t-elle été transférée ?

Réponse : Les réponses varient.

10. Fermez le Gestionnaire DNS.

Page 782: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-164 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

Tâche 10 : Promouvoir le serveur au rôle de contrôleur du domaine Contoso 1. Dans le Gestionnaire de serveur, cliquez avec le bouton droit sur Rôles, puis

cliquez sur Ajouter des rôles.

2. Dans l’Assistant Ajout de rôles, cliquez sur Suivant, activez la case à cocher Services de domaine Active Directory, puis cliquez sur Suivant.

3. Dans la page Services de domaine Active Directory, cliquez sur Suivant, puis sur Installer. Une fois l’installation terminée, cliquez sur Fermer.

4. Cliquez sur Démarrer, cliquez sur Recherche, tapez DCPromo dans la zone de recherche, puis appuyez sur Entrée.

5. Dans l’Assistant Installation des services de domaine Active Directory, activez la case à cocher Utiliser l’installation en mode avancé, puis cliquez sur Suivant.

6. Dans la page Compatibilité du système d’exploitation, cliquez sur Suivant.

7. Dans la page Choisissez une configuration de déploiement, cliquez sur Forêt existante, cliquez sur Créer un nouveau domaine dans une forêt existante, activez la case à cocher Créer une nouvelle racine d’arborescence de domaine au lieu d’un nouveau domaine enfant, puis cliquez sur Suivant.

8. Dans la fenêtre Informations d’identification réseau, tapez WoodgroveBank.com, puis cliquez surDéfinir. Dans la boîte de dialogue Sécurité Windows, tapez administrateur avec le mot de passe Pa$$w0rd, cliquez sur OK, puis sur Suivant.

9. Dans l’écran Nommez la nouvelle racine d’arborescence de domaine, tapez Contoso.com, puis cliquez sur Suivant.

10. Dans l’écran Nom de domaine NetBIOS, cliquez sur Suivant.

11. Dans l’écran Définir le niveau fonctionnel du domaine, sélectionnez Windows Server 2008 dans la liste déroulante, puis cliquez sur Suivant.

12. Dans l’écran Sélectionner un site, vérifiez que Contoso est sélectionné, puis cliquez sur Suivant.

Page 783: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique A : Déploiement des services de domaine Active Directory L12-165

13. Dans l’écran Options supplémentaires pour le contrôleur de domaine, activez la case à cocher Catalogue global, puis cliquez sur Suivant.

14. Dans la boîte de message Attribution IP statique, cliquez sur Oui, l’ordinateur utilisera une adresse IP attribuée dynamiquement (non recommandé).

Remarque : ce message fait référence à l’interface IPV6, dont l’adresse est attribuée dynamiquement.

15. Dans la zone de message, cliquez sur Oui pour continuer.

16. Dans l’écran Contrôleur de domaine source, cliquez sur Suivant.

17. Dans l’écran Emplacement de la base de données, des fichiers journaux et de SYSVOL, cliquez sur Suivant.

18. Dans l’écran Mot de passe administrateur de restauration des services d’annuaire, tapez Pa$$w0rd dans les champs, puis cliquez sur Suivant.

19. Dans l’écran Résumé, cliquez sur Suivant, puis activez la case à cocher Redémarrer à la fin de l’opération. L’installation du contrôleur de domaine va s’achever avec le redémarrage de l’ordinateur.

20. Ouvrez une session sur CDContoso en tant que Contoso\LocalAdmin avec le mot de passe Pa$$w0rd.

21. Ouvrez la console de gestion DNS. Examinez les Zones de recherche directes. Notez que Contoso.com est hébergé sur l’ordinateur local.

22. Ouvrez une invite de commandes, tapez IPConfig /all, puis appuyez sur Entrée. Notez que CDContoso utilise 127.0.0.1 en tant que serveur DNS préféré.

Page 784: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-166 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

Tâche 11 : Fermer les ordinateurs virtuels NYC-SVR1 et NYC-DC2, et supprimer les disques d’annulations 1. Fermez la fenêtre VMRC de l’ordinateur virtuel 6238A-NYC-SVR1.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez la fenêtre VMRC de 6238A-NYC-DC2.

4. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

Résultat : au terme de cet exercice, vous aurez créé un domaine et un site.

Page 785: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique B : Configuration de la relation d’approbation de forêt L12-167

Atelier pratique B : Configuration de la relation d’approbation de forêt Exercice : Mise à niveau du domaine Fabrikam et création d’une approbation de forêt avec Woodgrove Bank

Tâche 1 : Démarrer les ordinateurs virtuels VAN-DC1 et NYC-SVR1 1. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-VAN-

DC1, cliquez sur Launch.

2. Dans l’utilitaire de lancement de l’atelier pratique, en regard de 6238A-NYC-SVR1, cliquez sur Launch.

3. Réduisez la fenêtre de l’utilitaire de lancement de l’atelier pratique.

Tâche 2 : Préparer la forêt et le domaine Fabrikam.Com 1. Sur VAN-DC1, ouvrez une session en tant qu’Administrateur avec le mot de

passe Pa$$w0rd.

2. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

3. Cliquez avec le bouton droit sur Fabrikam.com, puis cliquez sur Augmenter le niveau fonctionnel du domaine.

4. Dans la boîte de dialogue Augmenter le niveau fonctionnel du domaine, sélectionnez Windows Server 2003 dans la liste déroulante, puis cliquez sur Augmenter. Cliquez sur OK pour confirmer l’action, puis sur OK pour confirmer le succès de l’opération.

5. Fermez Utilisateurs et ordinateurs Active Directory.

6. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Domaines et approbations Active Directory.

7. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Augmenter le niveau fonctionnel de la forêt.

Page 786: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-168 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

8. Dans la boîte de dialogue Augmenter le nouveau fonctionnel de la forêt, sélectionnez Windows Server 2003 dans la liste déroulante, puis cliquez sur Augmenter. Cliquez sur OK pour confirmer l’action, puis sur OK pour confirmer le succès de l’opération.

9. Fermez Domaines et approbations Active Directory.

10. Ouvrez une invite de commandes.

11. Tapez xcopy \\10.10.0.10\D$\6238\Mod12\Adprep\*.* c:\Adprep\ /E, puis appuyez sur Entrée.

12. Dans la fenêtre d’invite de commandes, tapez C: \Adprep\adprep /forestprep, puis appuyez sur Entrée.

13. Lisez le message d’avertissement, tapez C, puis appuyez sur Entrée. L’exécution de Forestprep prend quelques instants.

14. Dans la fenêtre d’invite de commandes, tapez C:\ Adprep\adprep /domainprep, puis appuyez sur Entrée.

15. Fermez l’invite de commandes.

Tâche 3 : Configurer des transferts de zone DNS réciproques en utilisant des zones de stub 1. Sur VAN-DC1, cliquez sur Démarrer, sur Exécuter, tapez DNSmgmt.msc

dans l’écran Exécuter, puis appuyez sur Entrée.

2. Développez VAN-DC1, puis Zones de recherche directes, puis cliquez sur Fabrikam.com.

3. Cliquez avec le bouton droit sur Fabrikam.com, puis cliquez sur Propriétés.

4. Dans la page Propriétés de Fabrikam.com, cliquez sur l’onglet Transferts de zone.

5. Activez la case à cocher Autoriser les transferts de zone, puis cliquez sur OK.

6. Basculez vers NYC-DC1.

7. Cliquez sur Démarrer, cliquez sur Recherche, tapez DNSmgmt.msc dans le champ Recherche, puis appuyez sur Entrée pour lancer la console de gestion DNS.

8. Cliquez avec le bouton droit sur Zones de recherche directes, puis cliquez sur Nouvelle zone.

Page 787: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique B : Configuration de la relation d’approbation de forêt L12-169

9. Dans l'Assistant Nouvelle zone, cliquez sur Suivant.

10. Dans l’écran Type de zone, cliquez sur Zone de stub, puis sur Suivant.

11. Dans l’écran Étendue de la zone de réplication de Active Directory, cliquez sur Suivant.

12. Dans l’écran Nom de la zone, tapez Fabrikam.com, puis cliquez sur Suivant.

13. Dans l’écran Serveurs DNS maîtres, tapez 10.20.0.10, appuyez sur Entrée, cliquez sur Suivant, puis sur Terminer.

14. Cliquez sur Fabrikam.com. Un certain temps peut être nécessaire pour le transfert de zone. Vous devez actualiser la console pour voir les modifications.

15. Fermez le Gestionnaire DNS.

16. Revenez à VAN-DC1.

17. Cliquez avec le bouton droit sur Zones de recherche directes, puis cliquez sur Nouvelle zone.

18. Dans l'Assistant Nouvelle zone, cliquez sur Suivant.

19. Dans l’écran Type de zone, cliquez sur Zone de stub, puis sur Suivant.

20. Dans l’écran Étendue de la zone de réplication de Active Directory, cliquez sur Suivant.

21. Dans l’écran Nom de la zone, tapez WoodgroveBank.com, puis cliquez sur Suivant.

22. Dans l’écran Serveurs DNS maîtres, tapez 10.10.0.10, cliquez sur Ajouter, sur Suivant, puis sur Terminer.

23. Cliquez sur WoodgroveBank.com. Un certain temps peut être nécessaire pour le transfert de zone. Vous devez actualiser la console pour voir les modifications.

24. Fermez le Gestionnaire DNS.

Tâche 4 : Donner à NYC-SRV1 le nom VAN-DC2 1. Sur NYC-SRV1, ouvrez une session en tant qu’AdminLocal avec le mot de

passe Pa$$w0rd.

2. Dans le Gestionnaire de serveur, cliquez sur Afficher les connexions réseau.

3. Cliquez avec le bouton droit sur Connexion au réseau local, puis cliquez sur Propriétés.

Page 788: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-170 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

4. Cliquez sur Protocole Internet version 4 (TCP/IPv4), puis sur Propriétés.

5. Modifiez la configuration des adresses IP de la façon suivante :

a. Adresse IP : 10.20.0.11

b. Masque de sous-réseau : 255.255.0.0

c. Passerelle par défaut : 10.20.0.1

d. Serveur DNS préféré : 10.20.0.10

6. Cliquez sur OK, sur Fermer, puis fermez la fenêtre Connexions réseau.

7. Dans le Gestionnaire de serveur, cliquez sur Modifier les propriétés système.

8. Dans la boîte de dialogue Propriétés système, sous l’onglet Nom de l’ordinateur, cliquez sur Modifier.

9. Tapez VAN-DC2 dans le champ Nom d’ordinateur, puis cliquez sur OK.

10. Cliquez sur OK pour accuser réception du message, cliquez sur Fermer, puis sur Redémarrer maintenant.

Tâche 5 : Affecter au serveur Windows Server 2008 le rôle de contrôleur du domaine Fabrikam 1. Sur l’ordinateur virtuel VAN-DC2, ouvrez une session en tant que

AdminLocal avec le mot de passe Pa$$w0rd.

2. Dans le Gestionnaire de serveur, cliquez avec le bouton droit sur Rôles, puis cliquez sur Ajouter des rôles.

3. Dans l’Assistant Ajout de rôles, cliquez sur Suivant, activez la case à cocher Services de domaine Active Directory, puis cliquez sur Suivant.

4. Dans l’écran Services de domaine Active Directory, cliquez sur Suivant, puis sur Installer. Une fois l’installation terminée, cliquez sur Fermer.

5. Cliquez sur Démarrer, cliquez sur Recherche, tapez DCPromo dans la zone de recherche, puis appuyez sur Entrée.

6. Dans l’Assistant Installation des services de domaine Active Directory, cliquez sur Suivant.

7. Dans la page Compatibilité du système d’exploitation, cliquez sur Suivant.

Page 789: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique B : Configuration de la relation d’approbation de forêt L12-171

8. Dans la page Choisissez une configuration de déploiement, cliquez sur Forêt existante et conservez le choix par défaut : Ajouter un contrôleur de domaine à un domaine existant, puis cliquez sur Suivant.

9. Dans la page Informations d’identification réseau, tapez Fabrikam.com, cliquez sur Définir, dans la boîte de dialogue Sécurité Windows, tapez administrateur avec le mot de passe Pa$$w0rd, cliquez sur OK, puis sur Suivant.

10. Dans la page Sélectionner un domaine, cliquez sur Fabrikam.com, cliquez sur Suivant, puis sur Oui pour accuser réception du message concernant les contrôleurs de domaine en lecture seule.

11. Dans la page Sélectionner un site, cliquez sur Suivant.

12. Dans la page Options supplémentaires pour le contrôleur de domaine, désactivez les cases à cocher Serveur DNS et Catalogue global, puis cliquez sur Suivant.

13. Dans la page Conflit de configuration du maître d’infrastructure, cliquez sur Transférer le rôle de maître d’infrastructure vers ce contrôleur de domaine.

14. Dans la page Emplacement de la base de données, Fichiers journaux et SYSVOL, cliquez sur Suivant.

15. Dans la page Mot de passe administrateur de restauration des services d’annuaire, tapez Pa$$w0rd dans les champs, puis cliquez sur Suivant.

16. Dans la page Résumé, cliquez sur Suivant, puis activez la case à cocher Redémarrer à la fin de l’opération.

Tâche 6 : Configurer une approbation de forêt entre WoodgroveBank.com et Fabrikam.com pour une authentification sélective 1. Basculez vers NYC-DC1.

2. Cliquez sur Démarrer, sur Outils d’administration, puis sur Domaines et approbations Active Directory.

3. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés de WoodgroveBank.com, cliquez sur l’onglet Approbations, puis cliquez sur Nouvelle approbation.

5. Dans l’Assistant Nouvelle approbation, cliquez sur Suivant.

Page 790: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-172 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

6. Dans la page Nom d’approbation, tapez Fabrikam.com dans le champ Nom, puis cliquez sur Suivant.

7. Dans la page Type d’approbation, cliquez sur Approbation de la forêt, puis sur Suivant.

8. Dans la page Direction de l’approbation, sélectionnez Sens unique : en entrée, puis cliquez sur Suivant.

9. Dans la page Sens de l’approbation, sélectionnez Ce domaine et le domaine spécifié, puis cliquez sur Suivant.

10. Dans la page Nom d’utilisateur et mot de passe, tapez Administrateur dans le champ Nom d’utilisateur et Pa$$word dans le champ mot de passe.

11. Dans la page Niveau d’authentification d’approbations sortantes - Forêt spécifiée, cliquez sur Authentification sélective, puis cliquez sur Suivant.

12. Dans la page Fin de la sélection des approbations, cliquez sur Suivant.

13. Dans la page Suffixes de noms routés - Forêt locale, cliquez sur Suivant.

14. Dans la page Fin de la création des approbations, cliquez sur Suivant.

15. Dans la page Confirmer l’approbation entrante, cliquez sur Suivant, sur Terminer, puis sur OK.

Tâche 7 : Configurer l’authentification sélective pour le groupe Administrateurs du domaine WoodgroveBank 1. Basculez vers VAN-DC1.

2. Cliquez sur Démarrer, Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory.

3. Dans le menu Affichage, cliquez sur Fonctionnalités avancées.

4. Développez Fabrikam.com, cliquez sur Contrôleurs de domaine, cliquez avec le bouton droit sur VAN-DC1, puis cliquez sur Propriétés.

5. Dans la boîte de dialogue Propriétés de VAN-DC1, cliquez sur l’onglet Sécurité, puis sur Ajouter.

6. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, cliquez sur Sites.

7. Dans la boîte de dialogue Emplacements, cliquez sur WoodgroveBank.com, puis sur OK.

Page 791: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier pratique B : Configuration de la relation d’approbation de forêt L12-173

8. Tapez Admins du domaine, puis cliquez sur OK.

9. Cliquez sur le groupe Admins du domaine dans le domaine WoodgroveBank.com, puis cliquez sur OK.

10. Activez la case à cocher Autoriser en regard de Autorisation d’authentifier, puis cliquez sur OK.

Tâche 8 : Fermer les ordinateurs virtuels NYC-SVR1, NYC-RAS et VAN-DC1, et supprimer les disques d’annulations 1. Fermez la fenêtre VMRC de l’ordinateur virtuel 6238A-NYC-SVR1.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez la fenêtre VMRC de l’ordinateur virtuel 6238A-NYC-RAS.

4. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

5. Fermez la fenêtre VMRC de l’ordinateur virtuel 6238A-VAN-DC1.

6. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

Résultat : au terme de cet exercice, vous aurez mis à niveau le domaine Fabrikam et créé une approbation de forêt avec Woodgrove Bank.

Page 792: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-174 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

Réponse proposée pour la structure d’unités d’organisation

WoodgroveBank.com

Executives

Toronto

IT Admins

Miami

NYC

Serveurs membres

Serveurs Web

Serveurs de fichiers et d’impression

Serveurs SQL

Atelier C : Conception d’une stratégie de groupe Exercice 1 : Planification d’une stratégie de groupe

Page 793: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier C : Conception d’une stratégie de groupe L12-175

Réponse proposée pour la configuration des objets de stratégie de groupe :

Nom de l’objet de stratégie de groupe Paramètres Lié à

Stratégie de Bureau du domaine

• Interdire l’accès à l’onglet Écran de veille

• Empêcher les utilisateurs d’ajouter des imprimantes

Domaine WoodgroveBank

Stratégie des ordinateurs du domaine

• Renommer le compte Administrateur local en AdminSRV

• Ajouter ITAdminGG au groupe Administrateurs local

• Configurer Windows Update pour utiliser l’adresse intranet Http://Updates

Domaine WoodgroveBank

Empêcher l’accès au Panneau de configuration (sécurité filtrée pour exempter le groupe Admins du domaine)

• Empêcher l’accès au Panneau de configuration

Domaine WoodgroveBank

Stratégie de sécurité de serveur membre (la stratégie sera appliquée)

• Auditer les connexions aux comptes

• Empêcher l’exécution d’Internet Explorer

• Renommer le compte Administrateur local en AdminSRV

Unité d’organisation Serveurs membres

Sécurité SQL (la stratégie sera appliquée)

• Empêcher l’installation des périphériques amovibles

Unité d’organisation SQL Servers

Chiffrement forcé des fichiers hors connexion (la stratégie sera appliquée)

• Chiffrement forcé des fichiers hors connexion

Unité d’organisation Executives

Page 794: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-176 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

(suite)

Nom de l’objet de stratégie de groupe Paramètres Lié à

Blocage de Windows Messenger

• Empêcher l’exécution de Windows Messenger

Unité d’organisation Toronto

Unité d’organisation Miami

Autoriser l’ajout d’imprimantes

• Autoriser l’ajout d’imprimantes Unité d’organisation IT Admins

Page 795: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier C : Conception d’une stratégie de groupe L12-177

Exercice 2 : Implémentation de la stratégie de Bureau d’entreprise

Tâche 1 : Créer et lier la stratégie de Bureau du domaine 1. Sur NYC-DC1, cliquez sur Démarrer, pointez sur Outils d’administration,

puis cliquez sur Gestion des stratégies de groupe.

2. Si nécessaire, développez Domaines, cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Créer un objet GPO dans ce domaine, et le lier ici.

3. Dans la boîte de dialogue Nouvel objet GPO, tapez Stratégie de Bureau du domaine dans le champ Nom, puis cliquez sur OK.

4. Cliquez avec le bouton droit sur Stratégie de Bureau du domaine, puis cliquez sur Modifier.

5. Développez Configuration utilisateur, Stratégies, Modèles d’administration et Panneau de configuration, puis cliquez sur Imprimantes. Dans le volet d’informations, double-cliquez sur Désactiver l’ajout d’imprimante.

6. Dans la boîte de dialogue Propriétés de Désactiver l’ajout d’imprimante, cliquez sur Désactivé, puis sur OK.

7. Dans le volet de gauche, cliquez sur Afficher, puis double-cliquez sur Masquer l’onglet Écran de veille.

8. Dans la boîte de dialogue Propriétés de Masquer l’onglet Écran de veille, cliquez sur Activé, puis cliquez sur OK.

9. Fermez l’Éditeur de gestion des stratégies de groupe.

Tâche 2 : Créer et lier le GPO Empêcher l’accès au Panneau de configuration 1. Cliquez avec le bouton droit sur WoodgroveBank.com, puis cliquez sur Créer

un objet GPO dans ce domaine, et le lier ici.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Empêcher l’accès au Panneau de configuration dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur Empêcher l’accès au Panneau de configuration, puis cliquez sur Modifier.

Page 796: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-178 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

4. Développez Configuration de l’utilisateur, Stratégies et Modèles d’administration, cliquez sur Panneau de configuration, puis double-cliquez sur Empêcher l’accès au Panneau de configuration.

5. Dans la boîte de dialogue Propriétés de Empêcher l’accès au Panneau de configuration, cliquez sur Activé, puis sur OK.

6. Fermez l’Éditeur de gestion des stratégies de groupe.

7. Double-cliquez sur le GPO Empêcher l’accès au Panneau de configuration, cliquez sur l’onglet Délégation dans le volet d’informations, puis cliquez sur Avancé.

8. Dans la boîte de dialogue Paramètres de Empêcher l’accès au Panneau de configuration, sélectionnez Admins du domaine, activez la case à cocher Refuser l’autorisation Appliquer la stratégie de groupe, puis cliquez sur OK. Cliquez sur Oui pour accuser réception du message. Ainsi, la stratégie ne s’appliquera pas au groupe des administrateurs du domaine.

Tâche 3 : Créer et lier le GPO Chiffrement forcé des fichiers hors connexion 1. Cliquez avec le bouton droit sur l’unité d’organisation Executives, puis cliquez

sur Créer un objet GPO dans ce domaine, et le lier ici.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Chiffrement forcé des fichiers hors connexion dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur Chiffrement forcé des fichiers hors connexion, puis cliquez sur Modifier.

4. Développez Configuration ordinateur, Stratégies, Modèles d’administration et Réseau, puis cliquez sur Fichiers hors connexion.

5. Dans le volet d’informations, double-cliquez sur Chiffrer le cache des fichiers hors connexion.

6. Dans la boîte de dialogue Propriétés de Chiffrer le cache des fichiers hors connexion, cliquez sur Activé, puis sur OK.

7. Fermez l’Éditeur de gestion des stratégies de groupe.

Page 797: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

Atelier C : Conception d’une stratégie de groupe L12-179

Tâche 4 : Créer et lier le GPO Blocage de Windows Messenger 1. Cliquez avec le bouton droit sur l’unité d’organisation Miami, puis cliquez sur

Créer un objet GPO dans ce domaine, et le lier ici.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Blocage de Windows Messenger dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur Blocage de Windows Messenger, puis cliquez sur Modifier.

4. Développez Configuration utilisateur, Stratégies, Modèles d’administration et Composants Windows, puis double-cliquez sur Windows Messenger.

5. Dans le volet d’informations, double-cliquez sur Ne pas autoriser l’exécution de Windows Messenger.

6. Dans la boîte de dialogue Propriétés de Ne pas autoriser l’exécution de Windows Messenger, cliquez sur Activé, puis sur OK.

7. Fermez l’Éditeur de gestion des stratégies de groupe.

8. Cliquez avec le bouton droit sur l’unité d’organisation Toronto, puis cliquez sur Lier un objet de stratégie de groupe existant.

9. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur Blocage de Windows Messenger, puis sur OK.

Tâche 5 : Créer et lier le GPO Autoriser l’ajout d’imprimantes 1. Cliquez avec le bouton droit sur l’unité d’organisation IT Admins, puis cliquez

sur Créer un objet GPO dans ce domaine, et le lier ici.

2. Dans la boîte de dialogue Nouvel objet GPO, tapez Autoriser l’ajout d’imprimantes dans le champ Nom, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur Autoriser l’ajout d’imprimantes, puis cliquez sur Modifier.

4. Développez Configuration utilisateur, Stratégies, Modèles d’administration et Panneau de configuration, puis cliquez sur Imprimantes. Dans le volet d’informations, double-cliquez sur Désactiver l’ajout d’imprimante.

5. Dans la boîte de dialogue Propriétés de Désactiver l’ajout d’imprimante, cliquez sur Désactivé, puis cliquez sur OK.

6. Fermez l’Éditeur de gestion des stratégies de groupe.

7. Fermez la console Gestion de stratégie de groupe.

Page 798: 6238AK-FR Config Troubleshooting WS08 AD DS-TrainerHandbook

L12-180 Module 12 : Implémentation d’une infrastructure de services de domaine Active Directory

Tâche 6 : Fermer tous les ordinateurs virtuels et ignorer les disques d’annulation 1. Pour chaque ordinateur virtuel en cours d’exécution, fermez la fenêtre VMRC.

2. Dans la boîte de dialogue Fermer, sélectionnez Désactiver l’ordinateur virtuel et ignorer les disques d’annulations, puis cliquez sur OK.

3. Fermez l’utilitaire de lancement de l’atelier pratique 6238A.