Windows Server 2008

Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

omar.cheikhrouhou@isetsf.rnu.tn omar.cheikhrouhou@ceslab.org

1

Vue d'ensemble du module

• Gestion de comptes d'utilisateurs • Création de comptes d'ordinateurs • Utilisation de requêtes pour localiser des objets

dans AD DS • Présentation des groupes AD DS • Gestion des comptes de groupes • Création d'unités d'organisation

2

Leçon 1 : Gestion de comptes d'utilisateurs

• Qu'est-ce qu'un compte d'utilisateur ? • Noms associés aux comptes d'utilisateurs de

domaine • Options de mot de passe d'un compte d'utilisateur • Outils pour configurer des comptes d'utilisateurs • Démonstration : Configuration de comptes

d'utilisateurs • Démonstration : Attribution d'un nouveau nom

à un compte d'utilisateur • Qu'est-ce qu'un modèle de compte d'utilisateur ? • Démonstration : Création et utilisation d'un modèle

de compte d'utilisateur 3

Un compte d'utilisateur peut être stocké : Dans AD DS (compte AD DS)

Sur l'ordinateur local (compte local)

Qu'est-ce qu'un compte d'utilisateur ?

Lors de la création d'un compte d'utilisateur, un identificateur de sécurité (SID) est également créé

Un compte d'utilisateur est un objet AD DS (services de domaine Active Directory) qui permet l'authentification et l'accès à des ressources locales et réseau

Les comptes AD DS permettent d'ouvrir des sessions sur des domaines et d'accéder à des ressources réseau partagées

Les comptes locaux permettent d'ouvrir une session sur un ordinateur et des ressources locales uniques

4

Options de nommage pour les comptes d'utilisateurs de domaine:

Noms associés aux comptes d'utilisateurs de domaine

Noms d'objet Exemple Unicité requise

Nom d'ouverture de session de l'utilisateur Gregory Doit être unique au sein

du domaine

Nom d'ouverture de session de l'utilisateur (antérieur à Microsoft® Windows® 2000)

Woodgrove\Gregory Doit être unique au sein du domaine

Nom d'utilisateur principal (UPN)

Gregory@WoodgroveBank.com

Doit être unique au sein de la forêt

Nom unique LDAP CN=Gregory,OU=IT, DC=WoodgroveBank, DC=com

Sera globalement unique, en combinant le nom RDN, le nom de conteneur et les noms de domaine

Nom unique relatif (RDN) CN=Gregory Doit être unique dans l'unité d'organisation

5

Options de mot de passe d'un compte d'utilisateur

Les mots de passe d'un objet utilisateur constituent un aspect important de la sécurité réseau et il est possible de configurer des options pour les éléments suivants :

Historique des mots de passe

Longueur

Complexité

Par défaut, les mots de passe de domaine Windows Server® 2008 doivent respecter trois exigences de complexité sur quatre :

Majuscule

Minuscule

Caractères spéciaux

Chiffres

6

Les comptes locaux et les comptes de domaine ont chacun leurs propres outils pour la création et la gestion des propriétés:

Outils pour configurer des comptes d'utilisateurs

Compte Outils

Compte d'ordinateur local Windows XP et Windows Vista® : Panneau de configuration > Comptes d'utilisateurs

Compte de domaine

• Outil d'interface graphique Windows Server 2003 et Windows Server 2008 : Utilisateurs et ordinateurs Active Directory

• Utilitaires de ligne de commande : dsadd, Windows Powershell™, CSVDE, LDIFDE

7

Qu'est-ce qu'un modèle de compte d'utilisateur ?

Les modèles de comptes d'utilisateurs tirent parti des similarités qui existent entre les comptes d'utilisateurs

Pour utiliser des modèles utilisateur : Créez plusieurs utilisateurs standard qui reflètent les différents groupes de votre organisation Copiez le compte d'utilisateur qui correspond le mieux au nouveau compte que vous voulez créer Modifiez les attributs : noms, adresse de messagerie, nom d'ouverture de session, etc.

Un modèle de compte d'utilisateur est un compte comportant des propriétés communes déjà configurées

8

Profil utilisateur

9

Leçon 2 : Création de comptes d'ordinateurs

• Qu'est-ce qu'un compte d'ordinateur ? • Options pour la création de comptes d'ordinateurs • Gestion des comptes d'ordinateurs • Démonstration : Configuration de comptes

d'ordinateurs

10

Les comptes d'ordinateurs :

Qu'est-ce qu'un compte d'ordinateur ?

Sont requis pour l'authentification et l'audit

Un compte d'ordinateur est un objet dans AD DS qui identifie un ordinateur dans un domaine

Permettent de gérer un ordinateur à l'aide de stratégies de groupe

Sont requis pour tous les ordinateurs qui exécutent Windows NT ou une version ultérieure

11

Options pour la création de comptes d'ordinateurs

Scénario Processus

Ajout d'ordinateurs individuels à un domaine

• Ajouter l'ordinateur au domaine à l'aide de propriétés système de l'ordinateur

• Un compte sera créé par défaut dans le conteneur Ordinateurs

Création de plusieurs comptes d'ordinateurs en préparation de l'automatisation du déploiement de systèmes d'exploitation et de logiciels

1. Créer une unité d'organisation pour chaque service

2. Préconfigurer de nouveaux comptes d'ordinateurs dans cette unité d'organisation à l'aide d'un script ou d'un outil de ligne de commande

3. Ajouter l'ordinateur au domaine

12

Gestion des comptes d'ordinateurs Les activités de gestion d'un ordinateur incluent les suivantes :

Ajout de comptes d'ordinateurs : fournit un nom d'ordinateur et indique une option de gestion

Désactivation de comptes d'ordinateurs : conserve le compte mais empêche toute ouverture de session à partir du compte

Réinitialisation du compte d'ordinateur : supprime la connexion de l'ordinateur au domaine (jointure nécessaire)

Suppression de comptes d'ordinateurs : supprime l'ordinateur de tous les services de domaine

Configuration de stratégies de groupe : gère les environnements logiciels ou les postes de travail

13

Leçon 3 : Utilisation de requêtes pour localiser des objets dans AD DS

• Options pour localiser des objets dans AD DS • Démonstration : Recherche dans AD DS • Qu'est-ce qu'une requête sauvegardée ? • Démonstration : Utilisation d'une requête

sauvegardée

14

Options pour localiser des objets dans AD DS

Tri : utilisation des en-têtes de colonne dans Utilisateurs et ordinateurs Active Directory pour rechercher des objets d'après les colonnes

Recherche : indication de critères concernant les éléments à rechercher

Ligne de commande : paramètre dsquery

15

Qu'est-ce qu'une requête sauvegardée ?

Les requêtes sauvegardées : Représentent le moyen le plus rapide et le plus cohérent pour accéder à un jeu commun d'objets d'annuaire à contrôler ou pour effectuer des tâches spécifiques

Une requête sauvegardée permet d'enregistrer des critères de recherche

Fournit des options pour les attributs de recherche (dernière date d'ouverture de session)

16

Contrôle des acquis de l'atelier pratique

• Pour que des recherches comme celles utilisées dans cet atelier pratique retournent des résultats exacts, que devez-vous faire lors de la création des comptes d'utilisateurs ?

• Votre organisation dispose d'un groupe de techniciens DST qui doivent être en mesure d'ajouter tous les ordinateurs au domaine AD DS. Comment pouvez-vous garantir que ces techniciens peuvent ajouter plus de 10 ordinateurs au domaine sans leur accorder plus d'autorisations que nécessaire ?

17

Leçon 3 : Présentation des groupes AD DS

• Qu'est-ce qu'un groupe ? • Que sont les groupes globaux ? • Que sont les groupes universels ? • Que sont les groupes locaux de domaine ? • Que sont les groupes locaux ? • Discussion : Identification de l'utilisation de groupes • Qu'est-ce que l'imbrication de groupes ? • Discussion : Stratégies d'imbrication de groupes AD DS • Contrôle des acquis concernant les groupes AD DS

19

Qu'est-ce qu'un groupe ?

Il existe deux types de groupes :

Groupes de distribution Utilisés pour les listes de distribution de courrier électronique Sans sécurité activée

Groupes de sécurité Sécurité activée Peuvent être utilisés pour attribuer des autorisations Peuvent également être à extension messagerie avec Exchange Server

Les groupes sont un ensemble logique d'objets semblables : • Services • Emplacements • Ressources

20

Que sont les groupes globaux ?

Membres : • Comptes d'utilisateurs et d'ordinateurs du même domaine que le groupe

global • Groupes globaux du même domaine que le groupe global

Autorisations : • Des autorisations peuvent être attribuées aux groupes globaux de

n'importe quel domaine de la forêt ou de n'importe quel domaine approuvé

Utilisation : • Gérer les objets d'annuaire qui nécessitent une maintenance quotidienne,

tels que les comptes d'utilisateurs et d'ordinateurs • Regrouper les utilisateurs qui ont des besoins d'accès réseau semblables

21

Que sont les groupes universels ?

Membres : • Groupes globaux de n'importe quel domaine de la forêt • Comptes d'utilisateurs et d'ordinateurs de n'importe quel domaine de la forêt • Groupes universels de n'importe quel domaine de la forêt

Autorisations : • Peuvent être attribuées dans n'importe quel domaine de la forêt ou dans

n'importe quel domaine approuvé

Utilisation : • Utiliser ces groupes pour regrouper des groupes qui couvrent plusieurs

domaines

Conversion possible en : • Groupe local de domaine • Groupe global (si aucun autre groupe universel n'existe en tant que membre)

22

Que sont les groupes locaux de domaine ?

Membres : • Comptes de n'importe quel domaine de la forêt ou de n'importe quel domaine

approuvé • Groupes globaux de n'importe quel domaine de la forêt ou de n'importe quel

domaine approuvé • Groupes universels de n'importe quel domaine de la forêt ou de n'importe quel

domaine approuvé • Groupes locaux de domaine, mais uniquement du même domaine que le

groupe local de domaine

Autorisations : • Les autorisations des membres peuvent être attribuées uniquement dans le

même domaine que le groupe local de domaine

Conversion possible en : • Groupe universel (si aucun autre groupe local de domaine n'existe en tant que

membre) 23

Que sont les groupes locaux ?

Membres : • Utilisateurs locaux • Utilisateurs de domaine • Groupes de domaines

Autorisations : • Des autorisations ne peuvent être accordées aux groupes

locaux que sur l'ordinateur local

Les groupes locaux ne peuvent pas être créés sur des contrôleurs de domaine

24

Discussion : Identification de l'utilisation de groupes

Pour chaque scénario, déterminez le type et l'étendue des groupes qui doivent être créés :

– Scénario 1 : A. Datum a des utilisateurs du service des ressources humaines disséminés dans plusieurs emplacements géographiques différents du domaine, mais qui doivent pouvoir accéder aux mêmes ressources

– Scénario 2 : Tailspin Toys possède deux domaines : un pour les États-Unis et un pour l'Europe. Vous voulez créer un groupe qui permet au service d'assistance technique centralisé de gérer les ressources des deux domaines

– Scénario 3 : A. Datum a, dans le groupe Ventes, des utilisateurs qui sont géographiquement dispersés. Ils ont demandé un groupe unifié unique qui permettra à tous les utilisateurs du groupe Ventes d'accéder aux ressources. Les membres du groupe Ventes changent fréquemment

25

Qu'est-ce que l'imbrication de groupes ?

Avantages de l'utilisation d'une stratégie d'imbrication pour gérer des groupes AD DS :

Les groupes qui sont membres d'autres groupes réduisent la réplication

Les groupes imbriqués permettent une gestion simplifiée

L'imbrication permet aux groupes d'être membres d'autres groupes

26

Discussion : Stratégies d'imbrication de groupes AD DS

Élargissez le cadre de la discussion précédente en prenant en compte l'option d'imbrication de groupes. Comment la configuration des groupes changerait-elle si l'imbrication de groupes était utilisée pour chaque scénario indiqué ici ?

– Scénario 1 : A. Datum a des utilisateurs du service des ressources humaines disséminés dans plusieurs emplacements géographiques différents du domaine, mais qui doivent pouvoir accéder aux mêmes ressources. Comment des groupes imbriqués peuvent-ils être utilisés pour simplifier la gestion ?

– Scénario 2 : Tailspin Toys a deux domaines : les États-Unis et l'Europe. Vous voulez créer un groupe pour que le service d'assistance technique centralisé gère les ressources des deux domaines et réduise le trafic de réplication entre les domaines

– Scénario 3 : Chez A. Datum, vous devez attribuer des autorisations sur un dossier situé sur un serveur membre pour un projet entre les groupes Ventes, Marketing et Finance. Tous les utilisateurs sont géographiquement dispersés

27

Contrôle des acquis concernant les groupes AD DS

• Pourquoi devez-vous utiliser un groupe global plutôt qu'un groupe local de domaine pour les utilisateurs d'un service commercial d'une société comprenant plusieurs domaines ?

• Comment pourriez-vous permettre aux membres d'un service Ventes qui sont souvent en déplacement entre les domaines d'une société implantée dans plusieurs villes d'accéder aux imprimantes de différents domaines gérés à l'aide de groupes locaux de domaine ?

28

Leçon 4 : Gestion des comptes de groupes

• Éléments à prendre en compte pour l'affectation de noms à des groupes

• Démonstration : Création de groupes • Démonstration : Ajout de membres à des groupes • Identification de l'appartenance à un groupe • Démonstration : Modification de l'étendue et du type

d'un groupe

29

Éléments à prendre en compte pour l'affectation de noms à des groupes

Utiliser une désignation concise

• Éviter les noms longs et compliqués

• Utiliser des noms courants

Utiliser des noms de services

• Ventes

• Marketing

• Cadres

Utiliser des noms géographiques

Regrouper les utilisateurs par emplacements :

Pays

États

Villes

Utiliser des noms propres aux projets

Si des équipes virtuelles sont créées pour un projet, utiliser le nom du projet comme descripteur

Les noms doivent être suffisamment spécifiques pour décrire précisément leur fonction, mais pas au point de créer un groupe pour chaque sous-fonction

30

Identification de l'appartenance à un groupe

Vous pouvez utiliser l'un ou l'autre des onglets pour suivre l'appartenance aux groupes

Les membres d'un groupe sont répertoriés sous l'onglet Membres :

• Utilisateurs individuels • Groupes imbriqués

Onglet Membres

L'onglet Membres de répertorie les groupes auxquels le groupe actuel appartient

Onglet Membres de

32

Leçon 5 : Création d'unités d'organisation

• Qu'est-ce qu'une unité d'organisation ? • Qu'est-ce qu'une hiérarchie d'unités d'organisation ? • Exemples de hiérarchies d'unités d'organisation • Démonstration : Création d'unités d'organisation • Démonstration : Déplacement d'objets entre

des unités d'organisation

34

Qu'est-ce qu'une unité d'organisation ?

Les unités d'organisation peuvent être utilisées pour :

déléguer l'autorité (créer des utilisateurs, réinitialiser des mots de passe)

créer des conteneurs dans le modèle de domaine pour représenter des structures logiques

créer des limites d'administration dans le domaine

Une unité d'organisation : • est un objet d'annuaire dans le domaine • est la plus petite étendue ou unité à laquelle vous pouvez attribuer des

paramètres de stratégie de groupe ou déléguer l'autorité administrative • peut contenir des utilisateurs, des ordinateurs, des groupes, des imprimantes et

d'autres unités d'organisation

applique la stratégie de groupe

35

Qu'est-ce qu'une hiérarchie d'unités d'organisation ?

Les unités d'organisation peuvent être placées à l'intérieur d'autres unités d'organisation pour créer une conception hiérarchique

WoodgroveBank.com

Builtin

Divisions

Gestion d'entreprise

Délégation

Développement produit

Comptes Délégation

Ressources

Groupes de sécurité

36

Exemples de hiérarchies d'unités d'organisation

Exemple Avantage

Unités d'organisation géographiques

• Peuvent être administrées au niveau de l'emplacement

Unités d'organisation de services • Délégation par fonction de travail

Unités d'organisation de ressources

• Conçues pour gérer les objets de ressources (non-utilisateurs)

Par la direction • Créer des unités d'organisation autour de l'administration de l'entreprise

37

Contrôle des acquis de l'atelier pratique

• Plusieurs outils permettent de créer des groupes dans AD DS. Quel outil serait le plus susceptible de fonctionner sur n'importe quelle station de travail, tant que vous pouvez ouvrir une session sur le domaine ?

• Vous travaillez dans une entreprise en pleine expansion qui va développer de nouveaux marchés à travers le pays. Quelles recommandations faites-vous concernant une hiérarchie d'unités d'organisation à mesure que vous constatez la croissance ?

• Lors de la délégation de responsabilités d'administration dans un service, comment pourriez-vous donner à une personne l'autorisation de réinitialiser les mots de passe, d'ajouter un nouvel utilisateur et de mettre à jour les propriétés des comptes (tels que des numéros de téléphone) ?

40

44

Liens utiles

45