AD-GPO

ACTIVE DIRECTORY ET GPOUN GRAND MERCI BAPTISTE DIEU ET ECML TECHNOLOGIE POUR LA FOURNITURE DES

SOURCES AYANT SERVI DE BASE CE DOCUMENT

INTRODUCTION ACTIVE DIRECTORY

Active Directory est la plus grande volution quaient connue les environnements de Microsoft depuis les premires versions serveurs. Il sagit dune base dannuaire qui va regrouper tous les objets prsents sur le rseau. Active Directory est loutil de travail principal dans la gestion dun domaine Windows. Cette base dannuaire va permettre une administration simplifie, offrant une forte tolrance aux pannes puisquil dagit dune base dannuaire distribue.

Active Directory va sappuyer sur un ensemble de protocoles standard, ce qui fait de cette base dannuaire un composant rseau sur lequel toutes les applications pourront sappuyer. Par exemple, Exchange Server, le serveur de messagerie de Microsoft, permettra dutiliser les groupes dutilisateur dfinis dans la base Active Directory, afin denvoyer des messages ces mmes groupes dutilisateurs. Toute application pourra donc, si elle est dveloppe pour, tirer parti de tous les avantages dActive Directory.

Active Directory supporte les protocoles suivants :

TCP/IP : cest le protocole de transport rseau.

DNS : lespace de noms Active Directory sappuie sur ce service

DHCP : Ce protocole va permettre de distribuer les adresses IP et de configurer les clients dans DNS.

SNTP (Single Network Time Protocol) est le protocole de distribution et de synchronisation de lheure. Il est impratif que toutes les machines du domaine Windows disposent de la mme heure afin de synchroniser leurs actions.

LDAP (Lightweight Directory Access Protocol) : ce protocole permet de grer lannuaire dActive Directory et doprer des recherches dans sa base de donnes.

Alors que la base des comptes de Windows NT pouvait comporter 40000 objets par domaine, la base dannuaire de Windows permet de grer plusieurs millions dobjet, ce qui offre une volutivit toute preuve. La tolrance des pannes est galement assure ds que lon possde au moins deux contrleurs par domaine. En effet, comme Active Directory est une base distribue, chaque contrleur de domaine dispose des mmes informations. Ceci est possible grce une rplication que lon qualifie de multi-matre car tous les contrleurs sont gaux sur le domaine. De ce fait, un client qui effectue une recherche dans Active Directory va pouvoir consulter nimporte quel contrleur de domaine. La rpartition des charges est ainsi assure.

TERMINOLOGIE

La structure logique de la base Active Directory est compose de forts, darbres, de domaines et dunits dorganisation (OU).

La fortLa fort est un regroupement de plusieurs arbres.

LarbreCest un ensemble de domaines qui disposent dun espace de noms contigu. Un ou plusieurs arbres peuvent faire partie dune fort.

Le domaineLe domaine est un ensemble de ressources correspondant un espace de noms DNS. Cest un domaine qui est gr par un contrleur de domaine Active Directory.

Lunit dorganisation (OU)Cest un dcoupage logique administratif au sein dun domaine.

OBJETS ACTIVE DIRECTORYUn objet dans Active Directory peut tre un compte dordinateur, un utilisateur, une imprimante, un dossier public partag, etc... Chaque objet est compos dun ensemble dattributs qui sont reprsentatifs de lobjet. Par exemple, lobjet Utilisateur aura comme attributs un nom, un prnom, un nom douverture de session, un numro de tlphone, etc... alors quune imprimante aura comme attributs un nom, un emplacement, une description, etc...

Parmi les attributs dun objet, certains sont obligatoires, dautres facultatifs. Tous ces attributs sont dfinis dans ce quon nomme le schma. Ce schma est modifiable par les applications ou par ladministrateur, pour ventuellement rajouter des attributs aux objets. Le schma est prsent sur tous les contrleurs de domaine et est trait comme un objet Active Directory.

Tous les objets du mme type possdent les mmes attributs. Par contre, chacun de ces objets possdent des valeurs diffrentes pour ces attributs. Un ensemble dobjet disposant des mmes attributs est appel une classe. Par exemple, lors de la cration dun utilisateur, on cre un objet de la classe User .Lors de cette cration, le schma nest pas modifi. La modification revient crer de nouvelles classes ou de nouveaux attributs.

Pour modifier le schma, il faut utiliser le composant Schma Active Directory . Lajout dattributs dans le schma est irrversible. Il est impossible de supprimer un attribut cre dans un schma.

SERVICES DANNUAIRELe service dannuaire dispose de plusieurs conventions de dnomination :

Le nom complet relatif : il sagit du nom complet de lutilisateur qui constitue un attribut de lobjet. Par exemple, Pierre DURANT .

Le Nom principal dutilisateur : il sagit, pour un utilisateur, de son nom douverture de session suivi du nom de domaine dans lequel se trouve lobjet. Par exemple, [email protected] .

Le nom complet : tout objet Active Directory possde un nom complet qui permet de la situer dans un domaine et une OU. Par exemple, DC=org, DC=e-cml, OU=Secrtariat, CN=Pierre DURANT . Ce qui signifie que lutilisateur Pierre DURANT appartient lOU Secrtariat du sous-domaine e-cml do domaine org ;

Chaque objet dispose dun numro unique, son GUID (Globally Unique IDentifier). Le numro de change pas, mme si lobjet est renomm ou dplac.

INSTALLATIONLinstallation dActive Directory se fait sur un serveur Windows membre ou autonome. Une fois la base dannuaire installe, le serveur devient un Contrleur de domaine . Active Directory sera un fichier NTDS.DIT situ dans le rpertoire %systemroot%\ntds par dfaut. Il est possible de modifier ce chemin lors de linstallation dActive Directory.

Linstallation dActive Directory ncessite une partition NTFS pour stocker le rpertoire systme partag (SYSVOL) car le suivi des modifications dupliques de la base dannuaire seffectue par le changement des numros de versions squentiels pris en charge par le systme NTFS.

Pour installer Active Directory, il faut excuter la commande dcpromo.exe . La base des comptes du serveur sera alors copie dans Active Directory avant dtre dtruite sur le serveur. On ne perd donc pas les informations de comptes lors de la migration vers des contrleurs de domaines. Enfin, pour installer Active Directory, il faut disposer dun serveur DNS install et configur. Si le service DNS nest pas install, Active Directory propose de linstaller et de le configurer. Il faut un serveur DNS supportant les mises jour dynamiques (DDNS) et lenregistrement de ressources de type SRV.

Avant de se lancer dans linstallation, il est ncessaire de connatre le rle de ce serveur dans larchitecture Active Directory. En effet, lors de linstallation de la base dannuaire, il faudra spcifier si le serveur appartient un domaine existant ou si lon cre un nouveau domaine. Dans ce dernier, cas il faudra savoir si le domaine appartient un arbre existant ou un nouvel arbre, et de mme pour la fort.

Cration dun nouveau domaineLa premire fois quActive Directory est install, il faut crer un nouveau domaine (domaine racine ou root domaine) dans une nouvelle fort. Pour cela, il faut suivre les tapes suivantes :

On slectionne Contrleur de domaine pour un nouveau domaine

On slectionne Crer une nouvelle arborescence de domaine

On slectionne Crer une nouvelle fort darborescences de domaines

On renseigne alors le nom DNS du nouveau domaine

On renseigne alors le nom NetBIOS du domaine. Par dfaut, Windows lui donne le mme nom que le nom DNS. Ceci permettra aux clients antrieurs Windows de communiquer avec la machine.

On indique les emplacements des fichiers de bases de donnes sur le disque. Par dfaut, les fichiers seront crs dans %systemroot%\ntds . Ceux-ci peuvent tre stocks sur nimporte quel type de partition : FAT, FAT32 ou NTFS.

On renseigne lemplacement du rpertoire systme qui sera partag. Ce dossier doit obligatoirement se situer sur une partition ou un volume NTFS. Il contient les informations de stratgies de groupes, les scripts et les informations de rplication.

Le systme essaie alors de dtecter un serveur DNS. Sil nen dtecte pas, il propose dinstaller et de configurer celui de Windows.

On slectionne alors le mode Active Directory : natif si le rseau ne comporte que des serveurs et des clients Windows, mixte si des clients ou des serveurs plus anciens sont prsents. Il sera possible de changer du mode mixte natif tout moment, mais lopration est irrversible.

Active Directory demande alors un mot de passe pour le mode restauration de la base de donnes. En effet, lors du lancement du systme en mode restauration Active Directory pour restaurer la base partir dune sauvegarde, il faudra se connecter en tant quadministrateur avec le mot de passe que lon indique ici.

Active Directory procde alors la cration et la configuration de la base avant de convertir le serveur en contrleur de domaine.

Le systme doit alors tre redmarr pour prendre en compte le nouveau domaine.

Ajout dun contrleur un domaine existantUn fois le domaine cre, il est possible dajouter des contrleurs de domaine supplmentaires. Il est fortement recommand de possder au moins deux contrleurs pour assurer la tolrance des pannes ainsi que la rpartition de charge.

Pour ajouter un contrleur, il faut suivre les tapes suivantes :

On slectionne Contrleur de domaine supplmentaire pour un domaine existant

On renseigne alors le nom DNS du domaine, le compte et le mot de passe dun utilisateur ayant le droit dajouter un contrleur au domaine.




Active Directory procde alors la cration et la configuration de la base avant de convertir le serveur en contrleur de domaine supplmentaire pour le domaine.

Le systme doit alors tre redmarr pour prendre en compte le nouveau contrleur.

Ajout dun domaine enfantLa cration dun domaine enfant seffectue aprs la cration dun domaine racine. Pour ajouter un domaine enfant, il faut suivre les tapes suivantes :

On slectionne Contrleur de domaine pour un nouveau domaine

On slectionne Crer un nouveau domaine enfant dans une arborescence de domaine existante

On renseigne le compte et le mot de passe dun utilisateur faisant partie du groupe Administrateurs de lentreprise .

On renseigne alors le nom DNS du domaine parent, puis le nom du nouveau domaine enfant crer.

On renseigne alors le nom NetBIOS du domaine.


Le systme doit alors tre redmarr pour prendre en compte le nouveau domaine enfant.

Ajout dun arbre dans une fort existanteLajout dun arbre dans une fort existante va permettre de crer un nouvel espace de noms contigu.

Pour ajouter un arbre, il faut suivre les tapes suivantes :

On slectionne Contrleur de domaine supplmentaire pour un domaine existant

On slectionne Crer une nouvelle arborescence de domaine

On slectionne Placer cette nouvelle arborescence de domaine dans une fort existante

On renseigne le compte et le mot de passe dun utilisateur faisant partie du groupe Administrateurs de lentreprise .

On renseigne alors le nom DNS pour la nouvelle arborescence.




Active Directory procde alors la cration et la configuration de la base avant de convertir le serveur en contrleur de domaine supplmentaire pour le domaine.

Le systme doit alors tre redmarr pour prendre en compte le nouveau contrleur.

APPROBATIONS

Les approbations permettent des utilisateurs de domaines diffrents situs dans des forts diffrentes de communiquer entre eux. En fait, lapprobation permet des utilisateurs dtre authentifis sur dautres domaines que le leur. On va donc grer des domaines que lon approuve et des domaines qui nous approuvent.

Approbation unidirectionnelleDans ce type dapprobation, un domaine A approuve un domaine B. Ainsi le domaine B peut authentifier les utilisateurs du domaine A.

Cette approbation est non transitive : c'est--dire que si un domaine A approuve un domaine B et que de domaine B approuve un domaine C, A napprouve pas C pour autant.

Lapprobation unidirectionnelle peut tre mise en place avec :

Un domaine Windows dune fort diffrente

Un domaine Windows NT

Un domaine Kerberos

Approbation bidirectionnelleDans ce type dapprobation, un domaine A approuve un domaine B et le domaine B approuve le domaine A. Ainsi le domaine B peut authentifier les utilisateurs du domaine A et vice-versa.

AA BB

AA BB

Cette approbation est transitive : c'est--dire que si un domaine A approuve un domaine B et que de domaine B approuve un domaine C, alors A approuve le domaine C.

Approbation automatiqueDans un arbre, les approbations sont automatiques. C'est--dire quun domaine parent approuve automatiquement son enfant et vice-versa. Les approbations tant transitives dans un arbre, elles remontent jusqu la racine de celui-ci jusqu faire une approbation entre deux arbres dune mme fort et ainsi de suite. Tous les utilisateurs des domaines dune mme fort peuvent donc sauthentifier automatiquement.

GESTION DES RESSOURCESAvec un domaine Active Directory, la gestion des utilisateurs devient centralise, au niveau du ou des contrleurs de domaines. Loutil de gestion des utilisateurs locaux, prsent sur Windows XP ou sur un serveur autonome, est remplac par loutil de gestion des ordinateurs et utilisateurs Active Directory . Cet outil va permettre de grer toutes les ressources mises disposition sur le domaine.

RESSOURCES INSTALLES PAR DFAUTPar dfaut, Active Directory contient un certains nombres de ressources dclares sur le domaine. Cest le cas de certains groupes administratifs, de comptes utilisateurs ou dordinateurs. Ces ressources contiennent les objets fondamentaux pour la gestion des droits du domaine au niveau administratif.

Ces ressources sont classes dans des conteneurs hirarchique ou des units dorganisation (OU), un peu comme les fichiers sur disque sont classs par dossiers. Ces conteneurs devront tre enrichis pour reflter la structure fonctionnelle de lentreprise gre par le domaine. Dans la figure ci-dessus, on peut numrer les conteneurs prsents ds la conception du domaine:

Dossier DescriptionBuiltin Conteneur pour les groupes de scurit locaux au contrleur

de domaine. Ils permettent ladministration des services et fonctions, grs par ce contrleur. Ils ne peuvent pas tre crs par ladministrateur

Computers Conteneur pour les ordinateurs clients et les serveurs membres appartenant au domaine

Domain Controllers Conteneur pour le ou les contrleurs de domaine qui administre le domaine. Il sagit dune unit dorganisation, et non dun conteneur.

ForeignSecurityPrincipals

Conteneur pour les ordinateurs ou utilisateurs non-membres de la fort auquel appartient le contrleur de domaine. Ils peuvent aussi appartenir des groupes de scurits locaux pour la gestion des ressources locales

Users Contient les comptes utilisateurs ainsi que les groupes de scurits prsents par dfaut sur le domaine

CONVENTION DE NOMMAGE X500La dnomination dun objet Active Directory doit suivre le protocole de nommage X500. Lors de la cration, de la slection ou de la modification dun objet dans le domaine, cette convention doit tre respecte.

Chaque type dobjet dans la hirarchie est donc dfini par un identifiant :

Type de nom DescriptionCN Lidentifiant CN dsigne un objet, ou un conteneur simple

dans la structure Active Directory.Par exemple, Administrateur est un objet, et Utilisateurs et Builtin sont deux conteneurs dfinis par dfaut dans la base de donnes Active Directory

OU Lidentifiant OU dsigne une unit dorganisation dans la structure Active Directory.Par exemple, Domain Controllers est une unit dorganisation dfinie par dfaut dans la base de donnes Active Directory

DC Lidentifiant DC dsigne un niveau de hirarchie dans un espace de noms DNS.Par exemple, DC=microsoft, DC=com dsigne les deux niveaux de lespace de noms du domaine microsoft.com

Exemple :

CN=Bob, OU=Techniciens, DC=mondomaine, DC=local dsigne lutilisateur Bob , dans lunit dorganisation Techniciens , situe la racine du domaine mondomaine.local

UNITS DORGANISATION (OU)Les units dorganisation (OU) vont permettre de dcouper le domaine en plusieurs groupes logiques, administrables sparment, et sur lesquels sappliquent des configurations diffrentes. Elles sont donc utilises pour reflter les structures fonctionnelles ou commerciales dune entreprise.

Les units d'organisation peuvent donc contenir des utilisateurs, des groupes, des ordinateurs, des imprimantes, des contacts, des dossiers partags et une quantit illimite d'autres units d'organisation, mais elles ne peuvent pas contenir d'objets d'autres domaines.

Il est galement possible de crer une hirarchie dans les units dorganisation. Cela permettra de dfinir des stratgies de droits spcifiques des utilisateurs, tout en hritant de droits dj dfinis pour dautres utilisateurs.

HirarchieOn peut dfinir deux OU, Administration et Comptabilit , possdant des droits communs ainsi que certains droits supplmentaires pour les objets de la comptabilit. Cela permet de ne pas avoir redfinir tous les droits pour chaque groupe : les objets de lOU Comptabilit hritent par dfaut des droits des objets de lOU Administration, et peuvent ensuite avoir leurs droits propres.

Ici, Alice Dupont ainsi que son ordinateur PC-ALICEDUPONT hritent des droits cumuls entre lOU Administration et lOU Comptabilit. Nous verrons comment modifier cet hritage dans les chapitres suivants.

Cration interactive dune OUUne unit dorganisation peut tre cre directement via loutil Utilisateurs et ordinateurs Active Directory .

Une OU est dfinie par son nom, sa description, et sa position dans la hirarchie des OU du domaine. Dautres proprits sont disponibles pour situer lOU au niveau de lentreprise, et dsigner le grant de lOU, si son administration a t dlgue.

Cration par script dune OUUne unit dorganisation peut galement tre cre par script, via la commande dsadd :

dsadd ou La liste des paramtres est la suivante :

Option Description Indique le nom de lOU crer. Le nom de lOU doit

contenir son emplacement dans la hirarchie X500 du domaine.Exemple : OU=test, DC=microsoft, DC=com

-d | -s

Indique le nom du domaine ou le nom du contrleur o lOU doit tre cre

-desc Indique un commentaire li lOU cre-u Indique le nom dutilisateur utilis pour crer lOU-p Indique le mot de passe du compte utilisateur.

La valeur * permet de demander le mot de passe de manire interactive

-q Excute la commande de manire silencieuse

Dplacement dune ressource entre OU

Dans certaines conditions, il est utile de dplacer une ressource dune OU vers une autre. Ceci peut tre fait par le menu Dplacer , dans loutil Utilisateurs et ordinateurs Active Directory .

Il est galement possible de dplacer une OU par script en utilisant la commande dsmove :

dsmove -newparent Lexemple suivant permet de dplacer lOU MonOU vers lOU Administration :

dsmove permet aussi de renommer un objet en utilisant la syntaxe suivante :

dsmove -newname

Autres commandes Active DirectoryDautres commandes en ligne Active Directory permettent de modifier le contenu de la base :

Option DescriptionDsget Affiche les informations relatives un objet

dans la base Active DirectoryDsmod Modifie les informations relatives un objetDsrm Supprime un objet dans la base Active

DirectoryDsmove Dplace un objet dans la base Active Directory

Laide est disponible sur ces commandes via la syntaxe dsget ou / ? par exemple. Ces commandes sont disponibles pour grer tous les types dobjets vus dans les chapitres suivants.

Exemple (affectation dun commentaire une unit dorganisation) :

dsmod ou "OU=Contrleurs de domaine,DC=Microsoft,DC=Com" -desc "Il s'agit d'une unit d'organisation test"

Dlgation de contrleLa dlgation de contrle permet de dlguer certains droits sur une OU, un utilisateur ou un groupe dutilisateurs.

La dlgation permet de dfinir des tches simples, comme la gestion des utilisateurs, ou des tches personnalises plus complexes, en

fonction des attributs des objets prsents dans lOU. Ainsi, ladministrateur peut dlguer ses tches des responsables de diffrentes units. Cela permet daugmenter le niveau fonctionnel dun utilisateur sans crer de groupes de scurit spcifique cette tche. La dlgation de contrle peut seffectuer au niveau du domaine complet, ce qui nest pas conseill pour des raisons videntes de scurit.

UTILISATEURSPrsentationLes comptes utilisateurs permettent aux utilisateurs daccder aux ressources du domaine. Ils sont associs un mot de passe, et fonctionnent dans un environnement dfinit (local ou domaine).

Un utilisateur possdant un compte sur le domaine pourra donc didentifier sur toutes les machines de ce domaine, sauf si ladministrateur met une restriction en place. Lors dune modification (par exemple, le mot de passe), cette modification sera rpercute automatiquement sur lensemble du domaine.

Un utilisateur possdant un compte local ne pourra sidentifier que sur la machine disposant de ce compte. Les informations sur lutilisateur sont stockes sur la machine possdant ce compte. Lors dune modification (par exemple, le mot de passe), cette modification devra tre rpercute manuellement sur toutes les machines ayant dclar ce compte.

Cration interactive dun compte utilisateur

Un compte utilisateur peut tre cr directement via loutil Utilisateurs et ordinateurs Active Directory , dans lunit dorganisation voulue.

Un

utilisateur est dfini au moins par son nom, son login sur le domaine, et son mot de passe.

Bien sur, il sera cr dans lOU pour laquelle on veut dfinir lutilisateur.

Stratgie de scurit du mot de passeUn contrleur de domaine met en place une stratgie de mot de passe par dfaut. Ce mot de passe doit contenir au moins 6 caractres et rpondre un critre de complexit :

au moins une minuscule

au moins une majuscule

au moins un signe de ponctuation

le login ne doit pas tre contenu dans un mot de passe

Cette stratgie de mot de passe pourra tre modifie par la gestion des stratgies de groupe, que nous verrons plus tard dans ce groupe.

OptionsDiffrentes options sont dfinies au moment de la cration du compte :

Option DescriptionLutilisateur doit changer son mot de passe la prochaine ouverture de session

Lors de sa premire connexion, le systme forcera lutilisateur choisir un nouveau de passe. Cette option permet dassurer lutilisateur que ladministrateur ne connatra pas son mot de passe personnel.

Lutilisateur ne peut pas changer son mot de passe

Cette option permet ladministrateur de sassurer quil pourra accder aux ressources du compte utilisateur. On utilise cette option pour les comptes invits.

Le mot de passe nexpire jamais Cette option permet de passer outre la stratgie de mot de passe par dfaut (qui dfinit la longvit dun mot de passe 42 jours)

Le compte est dsactiv Cette option invalide le compte utilisateur : il nest plus possible douvrir une session avec ce compte. Cette option est intressante pour dsactiver temporairement un compte (pour un cong par exemple). En effet, si on supprime le compte, on ne pourra le recrer sans supprimer toutes les ressources qui lui taient associes (voir la fin du paragraphe)

Proprits de lutilisateurUn compte utilisateur dispose de nombreuses proprits permettant de le dfinir au niveau ressource dans le domaine, mais aussi de faon fonctionnelle dans lentreprise.

Il est ainsi possible de dfinir un nombre important de paramtres, qui peuvent savrer utile lors de la recherche dans la base Active Directory, par exemple, o lors daudits pour savoir qui a effectu des modifications sur les ressources du rseau.

ProfilsParmi les proprits disponibles, la notion de Profil est une des plus importantes. Elle permet de dfinir sur quels dossiers seront sauvegards les paramtres dun compte utilisateur. Cest un moyen efficace de planifier lemplacement de toutes les donnes utilisateur, des fins de sauvegarde par exemple.

On distingue trois types de profils utilisateur disponibles :

Type de profil DescriptionProfil local Cest un profil enregistr au niveau de la station

de travail de lutilisateur. Il peut avoir des caractristiques diffrentes selon la machine sur laquelle lutilisateur ouvre sa session

Profil itinrant Cest un profil enregistr dans une ressource partage ou dans un dossier priv de lutilisateur. Il peut le modifier, et il reste accessible quelle que soit lordinateur sur lequel il est connect.

Profil itinrant obligatoire Cest un profil enregistr dans une ressource partage ou dans un dossier priv de lutilisateur ou dun groupe. Il ne peut pas tre modifi.

Profil localLe profil local est enregistr au niveau de lordinateur client. Il se situe par dfaut dans le dossier %SYSTEMDRIVE%\Documents and Settings\ . Sa configuration est stock dans le fichier NTUSER.DAT , prsent pour chaque profil.

Lutilisateur peut modifier ce profil comme il lui plait, condition quil ait les droits dadministration sur son ordinateur. Il faut donc dfinir son compte de domaine comme administrateur local de la machine.

Ce type de profil nest pas trs avantageux ni trs efficace dans un domaine, car on ne peut pas administrer les ressources de lutilisateur depuis les outils du domaine.

Profil itinrant (ou errant)Le profil errant apporte deux avantages :

Il permet un utilisateur de retrouver les paramtres de son profil (comme son bureau, par exemple), quelle que soit la machine sur laquelle il ouvre une session.

Les fichiers correspondant au profil se retrouvent sur un dossier partag du serveur et peuvent tre facilement intgrs une politique de sauvegarde.

Un profil errant est dfini au niveau des proprits du compte utilisateur.

Les fichiers constituant le profil de lutilisateur seront donc stocks dans le dossier partag personnel de lutilisateur, sur le serveur. Bien entendu, il faut dfinir les droits daccs ncessaires au niveau de ce dossier.

Lors de la fermeture de session sur lordinateur client, le profil est synchronis sur le serveur.

Attention : Avec Windows 2000, les profils ne sont pas synchroniss, mais tlchargs. Ceci peut poser un problme de performances, notamment si 500 utilisateurs ouvrent leurs sessions simultanment.

Sur un rseau important, cela peut mener des problmes de performances ; nous verrons comment optimiser cet change avec les stratgies de scurit dans un prochain paragraphe.

Profil errant obligatoireLe profil errant obligatoire perme de dfinir un profil qui nest pas modifiable. Lenvironnement peut tre modifi le temps de la session, mais, chaque ouverture de session, lutilisateur retrouve son environnement dorigine, comme dfinit dans le profil de dpart. Ce type de profil est destin aux utilisateurs visiteurs, ou ceux dont les droits doivent tre restreints.

Pour crer un profil errant obligatoire, il faut renommer le fichier NTUSER.DAT en NTUSER.MAN (mandatory).

Cration par script dun compte utilisateurUn utilisateur peut galement tre cr via la commande dsadd :

dsadd user

La liste des paramtres est la suivante :

Option Description Indique le nom de lutilisateur crer. Le nom de

lutilisateur doit contenir son emplacement dans la hirarchie X500 du domaine.Exemple : CN=Bob DURAND, CN=Utilisateurs, DC=microsoft, DC=com

-d | -s

Indique le nom du domaine ou le contrleur de domaine o lutilisateur doit tre cr

-samid Identifiant unique dans la base Active Directory-upn Indique le nom principal de lutilisateur

Exemple : [email protected] Indique le prnom de lutilisateur-mi Indique les initiales de lutilisateur-ln Indique le nom de lutilisateur-display Indique le nom complet afficher de lutilisateur

Exemple : Pascal DUPONT -empid Indique lID de lemploy affecter lutilisateur-pwd Indique le mot de passe du compte utilisateur-desc Indique la description associe lutilisateur-memberof Indique les groupes auxquels appartient lutilisateur-office Indique lemplacement du bureau de lutilisateur-tel Indique le numro de tlphone de lutilisateur

-email Indique ladresse e-mail de lutilisateur-hometel Indique le numro de tlphone personnel de lutilisateur-pager Indique le numro de pager personnel de lutilisateur-mobile Indique le numro de portable de lutilisateur-fax Indique le numro de fax de lutilisateur-iptel Indique le numro de tlphone IP de lutilisateur-webpg Indique la page web de lutilisateur-title Indique la fonction de lutilisateur-dept Indique le dpartement de lutilisateur dans lentreprise-company Indique la socit laquelle appartient lutilisateur-mgr Indique le nom unique du directeur de lutilisateur-hmdir Spcifie l'emplacement du rpertoire de base de l'utilisateur

que vous souhaitez ajouter. Si RpertoireBase est donn sous la forme d'un chemin UNC (\\), vous devez alors spcifier une lettre de lecteur mapper ce chemin en utilisant le paramtre -hmdrv Il est possible dutiliser la variable denvironnement %username% dans le chemin pour indiquer le nom de lutilisateurExemple : \Users\%username%\home

-hmdrv Spcifie la lettre de lecteur du rpertoire de base (par exemple E:) de l'utilisateur que vous souhaitez ajouter

-profile Spcifie le chemin du profil de lutilisateur-loscr Spcifie le chemin du script douverture de session de

lutilisateur-mustchpwr Indique si lutilisateur doit changer son mot de passe

louverture de session-canchpwd Indique si lutilisateur peut changer son mot de passe-pwdneverexpires Indique si le mot de passe de lutilisateur nexiste jamais-acctexpires Indique la dure de validit du mot de passe de lutilisateur-disabled Indique si le compte de lutilisateur est dsactiv-u Indique le nom dutilisateur utilis pour crer le nouveau

compte-p Indique le mot de passe du compte utilisateur crant le

nouveau compte. La valeur * permet de demander le mot de passe de manire interactive


Dsactivation des comptes utilisateursChaque compte utilisateur dispose dun identifiant unique (SID comme vu dans la base de registre). Lorsquon supprime un compte et quon le recre, mme avec des informations strictement identiques, celui-ci se voit affecter un nouvel SID. Il perd donc tout son contexte de scurit. Afin dviter davoir reconfigurer tous ses droits et autorisations, il est conseill de dsactiver le compte. Aprs vrification, si la suppression peut se faire dans de bonnes conditions, elle peut tre ralise.

IMPORT ET EXPORT DES UTILISATEURS AVEC CSVDECSVDE (Comma Separated Value Directory Exchange) est un utilitaire permettant l'importation en bloc d'utilisateurs dans l'annuaire Active Directory. Il s'avre trs utile si l'on doit importer une base de donnes utilisateurs venant d'un autre support (Excel, Notes,...) et permet l'import via des fichiers .txt ou .csv . Pour que l'importation fonctionne correctement, le fichier doit contenir les informations ncessaires la cration des attributs du compte de l'utilisateur. Si CSVDE ne permet pas de modifier des donnes existantes dActive Directory, il permet en revanche d'importer comme d'exporter vers des feuilles Excel ou simplement un fichier texte.

La solution la plus simple pour crer un fichier CSVDE est dobtenir un masque de fichier partir dun utilisateur existant dans Active Directory et les exporter vers CSVDE, via le paramtre -f :

Le fichier CSVDE obtenu est le suivant :

Lentte contient les champs dfinis dans le fichier. Il nest pas ncessaire de renseigner tous les champs. Seuls les champs dfinis dans lentte du fichier serviront limport.

Il est bien entendu possible de filtrer les entres exportes par CSVDE. Lexemple suivant extrait les informations concernant le compte Bob DUPONT :

Exemple dimportation :

Lexemple suivant importe les champs dfinis ci-aprs :

DN,UserPrincipalName,SamAccountName,TelephoneNumber,department,UserAccountControl,ObjectClass

Les donnes sont :

"CN=Bob DURANT,OU=Dveloppeurs,DC=virtualdomain,DC=com",bob.durant,[email protected],0611111111,Dveloppeurs,512,user

Activation du compte

Le paramtres 512 (6me paramtre UserAccountControl ) indique que le compte est activ. Une valeur de 514 dsactive le compte.

Limport est ralis via le paramtres -i :

Loutil CSVDE se rvle trs pratique pour faire de limport de masse, en partant par exemple dune feuille Excel convertie en .csv .

ORDINATEURSLes comptes dordinateurs nexistent que dans le contexte dun domaine. Ils permettent didentifier chaque ordinateur ayant accs la base de compte Active Directory, notamment pour lidentification des utilisateurs.

Les comptes dordinateurs sont particulirement utiles pour la gestion de la scurit : ainsi on va pouvoir utiliser ces comptes pour configurer des audits, du cryptage IP, le dploiement de logiciels, les stratgies de scurit,

Cration interactive dun compte ordinateurUn compte ordinateur peut tre cr directement via loutil Utilisateurs et ordinateurs Active Directory , dans lunit dorganisation voulue.

Un ordinateur est dfini au moins par son nom et son nom compatible pr-Windows.

Ordinateur grUn ordinateur gr est connu par le domaine par son identifiant unique (GUID). Cela permet certains services, notamment les services de dploiement RIS (Remote Installation Services), de filtrer les ordinateurs susceptibles de sinstaller comme client du domaine. Nous verrons cette option lors du chapitre concernant les installations distance.

Cration par script dun compte ordinateurUn ordinateur peut galement tre cr via la commande dsadd :

dsadd computer Option Description

Indique le nom de lordinateur crer. Le nom de lordinateur doit contenir son emplacement dans la hirarchie X500 du domaine.Exemple : CN=CLIENTXP, CN=Ordinateurs, DC=microsoft, DC=com

-d | -s

Indique le nom du domaine ou le contrleur de domaine o lordinateur doit tre cr

-loc Indique lemplacement de lordinateur

-desc Indique la description associe lordinateur-memberof Indique les groupes auxquels appartient lordinateur-u Indique le nom dutilisateur utilis pour crer le nouveau




GROUPESLes groupes permettent de simplifier la gestion de laccs des utilisateurs aux ressources du rseau. Ils peuvent, en une seule action, affecter une ressource un ensemble dutilisateurs, au lieu de rpter laction pour chaque utilisateur. Un utilisateur pourra tre membre de plusieurs groupes.

Les groupes dclars sur les contrleurs de domaines sont utilisables sur lensemble des machines du domaine. Ils permettent davoir une gestion centralise de la hirarchie des groupes. Ils peuvent contenir des utilisateurs du domaine, et mme dautres domaines.

Groupes par dfautLes groupes par dfaut possdent des droits et des autorisations prdfinis qui permettent de faciliter la mise en place dun environnement scuris. Ainsi, un certain nombre de rles courants sont directement applicables en faisant membre du groupe adquat lutilisateur auquel on souhaite donner ces droits.

Ces groupes sont crs automatiquement, ainsi que les autorisations qui leur sont associs.

Sur un serveurLes groupes par dfaut sur un serveur sont stocks dans la base de compte locale la machine. Ils sont crs automatiquement lors de linstallation de Windows Server 2003 et sont visibles dans loutil Utilisateurs et groupes locaux .

Groupe DescriptionAdministrateurs Les membres ont plein pouvoir sur le domaine. Lorsquun

serveur est ajout au domaine, le groupe Administrateurs du domaine est ajout ce groupe.

Invits Les membres de ce groupe ont un pouvoir trs limit. Un profil temporaire est cr pour les utilisateurs de ce groupe.

Utilisateurs Les membres de ce groupe peuvent utiliser les applications et les priphriques installs.

Utilisateurs avec pouvoir

Les membres de ce groupe peuvent crer des comptes utilisateurs, des ordinateurs, des dossiers partags, et les grer

Oprateurs dimpression Les membres de ce groupe peuvent grer les imprimantes et les travaux dimpression

Certains groupes par dfaut sont installs si un service est dploy sur le serveur. Cest le cas des groupes Utilisateurs DHCP et Administrateurs DHCP par exemple.

Sur un contrleur Active DirectoryLes groupes par dfaut sur un contrleur Active Directory sont stocks dans la base Active Directory du domaine. Ils sont visibles dans les conteneurs Builtin et Users de loutil Utilisateurs et ordinateurs Active Directory . Ils sont crs lors de linstallation dActive Directory. Ils rpondent surtout des rles prcis dans dadministration des objets du domaine.

Les proprits de certains de ces groupes sont les suivants :

Groupe Description

Oprateurs de compte Les membres de ce groupe peuvent grer les comptes utilisateurs

Oprateurs de serveur Les membres de ce groupe peuvent grer les ordinateurs du domaine

Contrleurs de domaine Ce groupe contient les comptes dordinateurs et de contrleurs de domaine

Oprateurs de sauvegarde

Les membres de ce groupe peuvent faire des sauvegardes des dossiers et fichiers, mme sans la permission daccder ces derniers

Ordinateurs Ce groupe contient les comptes dordinateurs du domaineInvits du domaine Les membres de ce groupe bnficient dun profil

temporaireUtilisateurs du domaine Ce groupe contient tous les utilisateurs du domaineAdministrateurs du domaine

Les membres de ce groupe peuvent administrer les ressources du domaine

Administrateurs de lentreprise

Les membres de ce groupe peuvent administrer les ressources du domaine, et crer des liens entre les domaines de la fort

Groupes SystmeLes groupes systme sont des groupes sont les membres sont grs automatiquement par le systme. Ces groupes sont utiles dans le cas daffectations dautorisations sur les ressources.

Groupe DescriptionAnonymous Logon Reprsente les utilisateurs qui ne sont pas authentifisTout le monde Tous les utilisateurs (authentifis ou non) sont prsents dans

ce groupeRseau Regroupe les utilisateurs connects via le rseauUtilisateurs authentifis Reprsente les utilisateurs qui sont authentifisCrateur propritaire Reprsente le propritaire dune ressource

Types de groupeIl existe deux types de groupes disponibles dans Active Directory :

Type DescriptionGroupes de scurit Ils permettent daffecter des utilisateurs et des ordinateurs

des ressources

Groupes de distribution Ils sont conus pour regrouper des utilisateurs dans un contexte logique. Ils sont exploitables, entre autres, par les logiciels de messagerie. Ils ne permettent pas daffecter des ressources.

Etendues des groupesChaque type de groupe Active Directory grent chacun trois niveaux dtendue . Leur fonctionnement dpend du niveau fonctionnel du domaine, qui peut varier entre mixte et Windows 2000 / Windows 2003 (natif).

Groupes globauxMode mixte Mode natif

Membres Compte utilisateurs du mme domaine

Compte utilisateurs et groupes globaux du mme domaine

Membres de Groupes locaux du mme domaine

Groupes locaux du domaine

Etendue Visibles dans leur domaine et dans tous les domaines approuvs

Autorisations pour Tous les domaines de la fort

Groupes locauxMode mixte Mode natif

Membres Non utilisables Comptes utilisateurs, groupes globaux et universels dun domaine quelconque de la fort, et groupes locaux de mme domaine

Membres de Non utilisables Groupes locaux de mme domaine

Etendue Visibles dans leur propre domaineAutorisations pour Le domaine dans lequel le groupe existe

Groupes universelsMode mixte Mode natif

Membres Non utilisables Comptes utilisateurs, groupes globaux et universels dun domaine quelconque de la fort

Membres de Non utilisables Groupes locaux de mme domaine

Etendue Visibles dans tous les domaines de la fortAutorisations pour Tous les domaines de la fort

Cration interactive dun groupeUn groupe peut tre cr directement via loutil Utilisateurs et ordinateurs Active Directory , dans lunit dorganisation voulue.

Un groupe est dfini au moins par son nom, son type et son tendue.

Cration par script dun groupeUn groupe peut galement tre cr via la commande dsadd :

dsadd group

Les paramtres de la commande sont les suivants :

Option Description Indique le nom du groupe crer. Le nom du groupe doit

contenir son emplacement dans la hirarchie X500 du domaine.Exemple : CN=GROUPEDHCP, CN=Utilisateurs, DC=microsoft, DC=com

-samid Identifiant unique dans la base Active Directory-d | -s

Indique le nom du domaine ou le contrleur de domaine o le groupe doit tre cr

-secgrp yes | no Indique si le groupe est un groupe de scurit (yes) ou un groupe de distribution (no)

-scope l | g | u Dfinit ltendue du groupe : l dfinit un groupe local au domaine g dfinit un groupe global u dfinit un groupe universel

-desc Indique les groupes auxquels appartient lordinateur-memberof Indique les groupes auxquels ce groupe doit tre ajout-members Indique les membres ajouter au groupe-u Indique le nom dutilisateur utilis pour crer le nouveau




CONTACTSLes contacts permettent de rfrencer des personnes indpendantes de lorganisation fonctionnelle du domaine, comme par exemple des clients ou des fournisseurs. Ils pourront tre recherchs dans lannuaire Active Directory, comme les autres ressources.

Cration interactive dun contact Un contact peut tre cr directement via loutil Utilisateurs et ordinateurs Active Directory , dans lunit dorganisation voulue. Un contact est dfini au moins par son nom.

Cration par script dun contact Un contact peut galement tre cr via la commande dsadd :

dsadd contact

Les paramtres de la commande sont les suivants :

Option Description Indique le nom du contact crer. Le nom du contact doit

contenir son emplacement dans la hirarchie X500 du domaine.Exemple : CN=Fournisseur X, OU=Marketing, DC=microsoft, DC=com

-samid Identifiant unique dans la base Active Directory-d | -s

Indique le nom du domaine ou le contrleur de domaine o lutilisateur doit tre cr

-fn Indique le prnom de lutilisateur-mi Indique les initiales de lutilisateur-ln Indique le nom de lutilisateur-display Indique le nom complet afficher de lutilisateur

Exemple : Pascal DUPONT -desc Indique la description associe lutilisateur-office Indique lemplacement du bureau de lutilisateur-tel Indique le numro de tlphone de lutilisateur-email Indique ladresse e-mail de lutilisateur-hometel Indique le numro de tlphone personnel de lutilisateur-pager Indique le numro de pager personnel de lutilisateur-mobile Indique le numro de portable de lutilisateur-fax Indique le numro de fax de lutilisateur-iptel Indique le numro de tlphone IP de lutilisateur-title Indique la fonction de lutilisateur-dept Indique le dpartement de lutilisateur dans lentreprise-company Indique la socit laquelle appartient lutilisateur-u Indique le nom dutilisateur utilis pour crer le nouveau




DOSSIER PARTAGSLes dossiers partags permettent de rfrencer les partages rseaux sur le domaine.

Ainsi un utilisateur peut profiter du service de recherche, au lieu de parcourir toutes les stations manuellement sur le rseau pour trouver ces partages.

IMPRIMANTES

Comme les dossiers partags, un utilisateur peut profiter du service de recherche des imprimantes, au lieu de parcourir toutes les stations manuellement sur le rseau pour les trouver.

INETORGPERSONLobjet InetOrgPerson est un cas particulier. Active Directory prend en charge la classe d'objets InetOrgPerson et ses attributs dfinis dans RFC 2798. La classe d'objets InetOrgPerson est utilise dans plusieurs services d'annuaire LDAP et X.500 non Microsoft pour reprsenter les membres d'une organisation.

La prise en charge de InetOrgPerson rend les migrations de donnes des autres annuaires LDAP vers Active Directory plus efficaces. L'objet InetOrgPerson est driv de la classe d'utilisateur et peut tre utilis comme entit de scurit tout comme celle-ci.

RECHERCHE DANS ACTIVE DIRECTORYLavantage de la base Active Directory est de pouvoir faire des recherches pour localiser des ressources sur le rseau. Ces recherches peuvent se baser sur des critres comme le type dobjet ou les valeurs de ces proprits. Deux solutions existent pour procder cette recherche :

Recherche interactive sur le serveur

La recherche interactive est disponible dans loutil Utilisateurs et ordinateurs Active Directory

Recherche interactive sur le client

La recherche interactive est disponible dans les Favoris Rseau , via la commande Rechercher dans Active Directory .

Cette recherche est possible par dfaut par le nom, mais peut tre ralise sur tous les champs correspondants aux proprits dfinies par les objets.

Recherche par script sur

le serveurLa recherche est galement possible sur le serveur via les commandes dsquery .

Lexemple suivant recherche les utilisateurs dont le nom commence par Bob :

Plus dinformations sont disponibles sur la commande dsquery ladresse suivante : http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/46ba1426-43fd-4985-b429-cd53d3046f01.mspx?mfr=true

STRATGIES DE SCURIT

DfinitionLe terme Stratgie dsigne la configuration logicielle du systme par rapport aux utilisateurs. A la suite dune installation de Windows, aucune stratgie n'est configure, et tout est permis (en fonction bien sr des droits des groupes d'utilisateurs prdfinis : Administrateurs, Utilisateurs, Utilisateurs avec pouvoir...). La stratgie peut alors tre modifie par un administrateur en fonction des paramtres quil veut appliquer sur une machine ou sur un compte utilisateur.

Stratgie de scurit cliente (sous Windows XP)Les stratgies de scurit sont les conteneurs de proprits valables sur une machine ou sur le rseau. Elles sont configures pour la machine locale ou pour lutilisateur en session sur la machine.

Une machine cliente sous Windows XP, de mme quun serveur autonome Windows Server, possde donc sa gestion des stratgies, accessible par loutil dadministration Stratgie de scurit locale . Elle permet de configurer une stratgie de paramtres valables sur le client, mme si celui-ci nest pas membre dun domaine Active Directory.

Sur un client, les paramtres de scurit locaux paramtrables sont situs dans les branches suivantes :

Option Description

Stratgie de comptes Cette arborescence contient les paramtres permettant de scuriser les comptes utilisateurs. On trouve ici les paramtres inhrents aux critres de gestion des mots de passe (longueur, complexit, ), ainsi que les options de verrouillage lors de la saisie de mauvais mot de passe.

Stratgies locales Cette arborescence contient les paramtres permettant de grer les audits au sein du systme (notamment laudit NTFS). On trouve galement les options de scurit visant dterminer quels utilisateurs possdent des droits sur les paramtrages critiques du systme.

Stratgies de clefs publiques

Cette branche contient les paramtres permettant de grer le systme de cryptage EFS du systme de fichiers NTFS.

Stratgies de restriction logicielle

Cette branche contient les paramtres permettant de restreindre lusage des applications en fonction des utilisateurs.

Stratgie de scurit IP Cette branche contient les paramtres permettant de mettre en place un cryptage IPSec lors des communications avec lordinateur.

Chaque paramtre est modifiable par ladministrateur, et est mis en place pour lordinateur. La valeur affecte dpend de ces paramtres.

Stratgie de scurit sur un domaine

Lors de la mise en place dun domaine Active Directory, une stratgie de scurit du domaine est mise en place par dfaut. Tous les ordinateurs et utilisateurs membres de ce domaine hriteront donc des paramtres configurs au niveau de cette stratgie. On retrouve dans larborescence des paramtres communs avec les paramtres de scurit locale des clients, ainsi que beaucoup

dautres paramtres concernant la scurit accrue inhrente au domaine.

Comme sur un client, chaque paramtre est modifiable par ladministrateur, et est mis en place pour lordinateur. La valeur affecte dpend de ces paramtres.

Stratgie de scurit sur un contrleur de domaineUne stratgie de scurit supplmentaire est mise en place sur les contrleurs de domaine. La majorit des paramtres ne sont pas configurs sur cette stratgie, et les ordinateurs et utilisateurs hritent donc en majorit des paramtres fixs dans la stratgie du domaine. Toutefois, ces lments restent configurables afin dobtenir une scurit plus ou moins permissive.

STRATGIES DE GROUPE (GPO)PrsentationLes stratgies de groupe sont des ensembles de paramtres applicables des utilisateurs, des groupes dutilisateurs et des ordinateurs, de faon automatise. Elles se dfinissent au niveau dun domaine ou des units dorganisation prsentes dans ce domaine, et sont applicables tous les objets situs dans le conteneur o est dfinie la stratgie. Elles sont alors imposes automatiquement par le systme dexploitation et non modifiables par lutilisateur.

Grce aux stratgies de groupe, il est alors possible de restreindre le bureau des utilisateurs, dappliquer des stratgies de comptes et de mots de passe, de dployer des applications, de paramtrer la scurit, dexcuter des scripts, de mettre en uvre des audits, de changer les droits dun utilisateur, etc... En bref, les stratgies de groupe permettent de disposer dun outil de gestion et de contrle dadministration permettant de rduire le cot de maintenance dun domaine Active Directory ainsi que les tches lies ladministration.

DfinitionLes stratgies de groupe sont reprsentes comme des objets Active Directory. On les appelle plus communment des GPO (Group Policy Objects).

Lorsquon cre une stratgie de groupe, on cre alors un objet Active Directory que lon va lier un conteneur de type OU ou au domaine. Il est possible de lier la GPO plusieurs conteneurs et lier plusieurs GPO un mme conteneur.

Il existe deux possibilits pour grer les stratgies de groupe au niveau de Windows Server 2003 :

On peut les grer avec loutil Utilisateurs et Ordinateurs Active Directory . Chaque conteneur possible pour lapplication dune stratgie possde une proprit permettant de crer, supprimer et grer la porte de la

stratgie. Nanmoins, on ne peut visualiser et grer quune stratgie la fois, pour un conteneur donn.

On peut grer lensemble des stratgies de faon gnralise en utilisant la Gestion des Stratgies de Groupe (ou GPMC pour Group Policy Management Console). Cest un composant qui nest pas intgr au systme et qui doit tre tlcharg et install sparment. Il peut sinsrer ensuite dans une console MMC. Cet outil savre plus pratique utiliser, car on a une vue globale des stratgies dployes et des lments qui composent cette stratgie. Nous utiliserons donc cet outil dans cette session de cours. Aprs son installation, il remplace la possibilit de gestion des stratgies de loutil Utilisateurs et Ordinateurs Active Directory .

PrincipeLa gestion des stratgies de groupe se divise en deux parties : la configuration ordinateur et la configuration utilisateur . Pour rsumer simplement :

Les paramtres de stratgies pour les ordinateurs dfinissent le comportement du systme dexploitation, dune partie du bureau et des lments de scurit.

Les paramtres de stratgies pour les utilisateurs dfinissent les applications publies, la configuration des applications ainsi que la configuration du bureau.

Lorsque la machine dmarre, les paramtres dfinis pour lordinateur vont tre appliqus ainsi que les scripts de dmarrage. La stratgie va alors modifier des valeurs parmi les clefs du registre de la machine de destination, de faon ce que les paramtres concernant cette stratgie soient appliqus sur la machine et sur le compte de lutilisateur connect. Les stratgies de groupe naffectent que 4 cls du registre qui ne sont modifiables que par le compte Administrateur, un utilisateur tiers ne peut modifier aucune des cls mme sil dispose dditeur de registre comme REGEDIT. Les cls du registre concernes sont :

HKEY_CURRENT_USER\Software\Policies

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

HKEY_LOCAL_MACHINE\Software\Policies

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Ensuite, lorsque lutilisateur ouvre une session, les paramtres de lutilisateur sont appliqus, suivi des scripts douverture de session.

Une fois les stratgies appliques, elles sont rafrachies toutes les 90 minutes sur le domaine. Ainsi les ordinateurs et les utilisateurs ont toujours la stratgie applique mme sils ne se dconnectent pas. Sur les contrleurs de domaine et les serveurs membres, les GPO sont rafrachies toutes les 5 minutes.

Il est possible de forcer manuellement la mise jour des stratgies sur le domaine en utilisant la commande suivante :

gpupdate /force

Visualisation dune stratgie

La figure ci-contre montre la stratgie du domaine configure par dfaut.

Longlet Etendue prsente la ou les stratgies prsente sur lOU ou le domaine. Les diffrentes options accessibles par le menu contextuel de chaque stratgie de scurit sont :

Option DescriptionAppliquer Cette fonctionnalit permet de forcer l'application d'une

stratgie mme si l'hritage a t bloqu au niveau d'un conteneur infrieur. Lorsque ce paramtre est appliqu, un cadenas apparat sur de l'icne du lien de stratgie de groupe.

Lien activ dtermine si le lien de stratgie de groupe est activ ou non. S'il n'est pas activ, les paramtres de la stratgie ne s'appliqueront pas.

Supprimer le lien Cette permission retire la stratgie de scurit de lOU ou du domaine correspondant. Cela ne dtruit pas la stratgie qui reste prsente dans les objets de stratgie de groupe

Dans longlet Dtails , il est possible, pour chaque stratgie dfinie, de restreindre les paramtres pris en compte lors de son application, de faon prendre en compte ou ignorer les paramtres utilisateurs, les paramtres ordinateur ou tous les paramtres. Lavantage est dacclrer lapplication des stratgies lors de s ouvertures de session si certains des paramtres ne nous sont pas utiles.

Les stratgies de groupe ne sont pas appliques aux utilisateurs membres du groupe de scurit Administrateurs.

Longlet Paramtres permet de rsumer les paramtres qui ont t initialiss ou modifis dans la stratgie. Cela vite de rechercher, dans chaque branche de larborescence de la stratgie, les paramtres qui sont destins sappliquer.

Enfin, longlet Dlgation permet de dlguer la gestion des stratgies des utilisateurs ou des groupes de scurit.

Loption Avanc permet de dfinir les permissions des utilisateurs et des groupes sur les stratgies en place. Par exemple, un utilisateur doit tre capable de lire la stratgie pour quelle sapplique lui.

Cration dune stratgie

La cration dune stratgie seffectue sur lOU ou sur le domaine que lon souhaite voir concern. Les options possibles sont les suivantes :

Option Description

Crer et lier un objet de stratgie de groupe ici

Cette option permet de crer une nouvelle stratgie avec des paramtres par dfaut. Elle sera galement applique par dfaut elle aussi.

Lier un objet de stratgie de groupe existant

Cette option permet dutiliser une stratgie de scurit dj dfinie.

Une fois la stratgie cre, on peut la modifier, de faon dfinir les paramtres qui nous intressent.

Lditeur de stratgie de groupe affiche alors larborescence des paramtres configurable dans la stratgie, au niveau utilisateur et ordinateur :

Configuration des paramtresChaque paramtre est configurable suivant sa nature, mais dispose galement dun tat o le systme ignore sa valeur.

Ainsi si le paramtre est indiqu comme Non configur , il ne sera pas pris en compte lors de lapplication de cette stratgie. Il pourra bien sur tre pris en compte sil est dfinit dans les stratgies dont on hrite, ou dans les stratgies dfinies dans un niveau infrieur.

Si le paramtre est configur, il sera pris en compte si aucune stratgie de priorit plus importante ne spcifie le contraire.

Exemple : Empcher laccs au Panneau de Configuration

Option Description

Non configur Laccs au Panneau de Configuration sera autoris sauf si nimporte quelle autre GPO spcifie le contraire.

Activ Laccs au Panneau de Configuration ne sera pas autoris, sauf si une GPO ayant une priorit plus importante spcifie le contraire.

Dsactiv Laccs au Panneau de Configuration sera autoris, sauf si une GPO ayant une priorit plus importante spcifie le contraire.

Ordre dapplication et Cumul des stratgiesDes stratgies peuvent tre appliques diffrents niveaux (par exemple, sur un domaine puis sur une OU). Tout dabord les stratgies dfinies au niveau du domaine sont appliques et enfin celles aux niveaux des OU. Il y a cumul des stratgies tant quaucun conflit nintervient (c'est--dire quun paramtre nest pas dfini diffremment dans les deux stratgies). En cas de conflit, cest la stratgie la plus proche de lutilisateur (ici celle de lOU o est situ lutilisateur) qui est applique.

Dans le cas o plusieurs stratgies sont appliques au mme conteneur, les stratgies sont lues dans lordre de la liste du bas vers le haut. Cest donc celle du haut qui est applique en cas de conflit. Sil ny a pas conflit, il y a cumul des stratgies. Il est alors possible de dplacer les stratgies du haut vers le bas pour modifier les priorits dapplication de celles-ci.

Dans la figure ci-dessous, les utilisateurs membres de lOU Dveloppeurs seront soumis en premier aux paramtres de la Stratgie Techniciens puis de la Stratgie Dveloppeurs . Il est possible de modifier cet ordre grce aux flches situes sur la gauche.

Hritage des stratgiesPar dfaut, les stratgies sont hrites des conteneurs parents. Ainsi, les utilisateurs dune OU sur laquelle aucune stratgie na t dfinie peuvent se voir appliquer des stratgies dfinies au niveau du domaine, ou mme dune OU parente de ce conteneur.

Il est possible, sur un conteneur, de ne pas hriter des stratgies venant de plus haut dans la hirarchie. Pour cela, on utilise loption Bloquer lhritage dans le menu contextuel du conteneur soumis la stratgie :

Dans ce cas, seules les stratgies appliques aux conteneurs seront applicables aux objets prsents dans ce dernier, et non plus hrites.

Sauf dans le cas o le conteneur parent valide loption Appliqu . Cette option permet aux administrateurs de forcer lapplication dune stratgie, en cas de conflit, o mme si lenfant spcifie Bloquer lhritage .

Suppression des stratgiesDu fait que les stratgies appliques aux conteneurs ne sont quun lien vers le GPC, la suppression dune stratgie va tre, soit simplement la suppression de ce lien logique, soit la suppression du lien ainsi que de la stratgie elle-mme.

La suppression de la stratgie dans la branche correspondante lOU ne supprime que la lien. Pour supprimer rellement la configuration de la stratgie, il faut le faire dans la branche Objets de stratgies de groupe .

DPLOIEMENT PAR STRATGIELes stratgies de groupe permettent de distribuer des applications ou des correctifs aux utilisateurs ou ordinateurs. Il sagit dune fonctionnalit offerte par la technologie IntelliMirror de Microsoft. Le dploiement dapplications fonctionne sur la technologie Windows Installer . Il sagit dun service qui fonctionne sur chaque machine, et qui permet dinstaller et de maintenir des applications. Le systme pourra donc installer de nouveaux composants ds que lutilisateur en aura besoin, mais aussi rparer des fichiers manquant ou corrompus, et ce sans intervention de lutilisateur.

Le dploiement dapplications va donc ncessiter un Package utilisable par Windows Installer. Il sagit dun fichier dinstallation avec lextension .MSI, accompagn des fichiers ncessaires linstallation du produit.

Pour dployer des applications, on crera un dossier partag sur le serveur pour stocker les images des applications installer. Ce partage devra contenir les sources .MSI du produit.

Au niveau de la stratgie de groupe, dans la Configuration ordinateur se situe la branche Installation de logiciel . Il est alors possible daccder au menu pour crer un Nouveau package... . On slectionne alors le fichier .MSI installer.

Il existe deux mthodes dinstallation pour les packages :

Option Description

Publication Lorsquon publie une application pour les utilisateurs, ces derniers utilisent loutil Ajout/Suppression de programmes dans le panneau de configuration. En double-cliquant sur un fichier dont lextension est associe au programme publi, cela provoque linstallation automatique du programme, sans avoir passer par le panneau de configuration. La publication est disponible dans les stratgies de groupe uniquement pour les paramtres utilisateurs.

Attribution Un raccourci vers lapplication attribue est cr dans le menu Dmarrer. Lapplication sera installe lorsque lutilisateur cliquera sur ce raccourci, ou effectuera un double click sur un document associ lapplication. Si vous attribuez des applications lordinateur, celles-ci seront automatiquement installes.

Introduction active directoryTerminologieLa fortLarbreLe domaineLunit dorganisation (OU)

Objets Active DirectoryServices dannuaireInstallationCration dun nouveau domaineAjout dun contrleur un domaine existantAjout dun domaine enfantAjout dun arbre dans une fort existante

ApprobationsApprobation unidirectionnelleApprobation bidirectionnelleApprobation automatique

Gestion des ressourcesRessources installes par dfautConvention de nommage X500Units dorganisation (OU)HirarchieIci, Alice Dupont ainsi que son ordinateur PC-ALICEDUPONT hritent des droits cumuls entre lOU Administration et lOU Comptabilit. Nous verrons comment modifier cet hritage dans les chapitres suivants.Cration interactive dune OUCration par script dune OUDplacement dune ressource entre OUIl est galement possible de dplacer une OU par script en utilisant la commande dsmove:Autres commandes Active Directorydsmod ou "OU=Contrleurs de domaine,DC=Microsoft,DC=Com" -desc "Il s'agit d'une unit d'organisation test"

Dlgation de contrle

UtilisateursPrsentationCration interactive dun compte utilisateurStratgie de scurit du mot de passeOptions

Proprits de lutilisateurProfilsProfil localProfil itinrant (ou errant)Profil errant obligatoire

Cration par script dun compte utilisateurDsactivation des comptes utilisateurs

Import et export des utilisateurs avec CSVDEOrdinateursCration interactive dun compte ordinateurOrdinateur gr

Cration par script dun compte ordinateur

GroupesGroupes par dfautSur un serveurSur un contrleur Active Directory

Groupes SystmeTypes de groupeEtendues des groupesGroupes globauxGroupes locauxGroupes universels

Cration interactive dun groupeCration par script dun groupe

ContactsCration interactive dun contact Cration par script dun contact

Dossier partagsImprimantesInetOrgPersonRecherche dans Active DirectoryRecherche interactive sur le serveurRecherche interactive sur le clientRecherche par script sur le serveur

Stratgies de scuritDfinitionStratgie de scurit cliente (sous Windows XP)Stratgie de scurit sur un domaineStratgie de scurit sur un contrleur de domaine

Stratgies de groupe (GPO)PrsentationDfinitionPrincipeVisualisation dune stratgieCration dune stratgieConfiguration des paramtresOrdre dapplication et Cumul des stratgiesHritage des stratgiesSuppression des stratgies

Dploiement par stratgie

AD-GPO

Documents

Transcript of AD-GPO