L`Active Directory

Transcription

L`Active Directory

L’Active Directory
Active Directory :
Plan
-
Concepts
Espace de noms
Topologie
Réseau d’agence
W2000 vs WS2003
Outils
Utilisateur
Formation Master II Pro
2
Active Directory :
Philosophie
3
Active Directory :
Concepts
Le schéma
• Tout élément de l’AD est un objet doté d’attribut
Ex
: l’objet utilisateur a un attribut e-mail
• Les définitions des classes et des attributs sont
accessibles via le Schéma
• Utilisation :
– Extensible (ajouts d’objet ou d’attribut)
– interopérabilité
4
Active Directory :
Concepts
partitions
Les partitions sont des conteneurs dans lesquels sont
conservés un type de données
– partition du domaine :
– Objet du domaine commun à tous les serveurs
– Partition de la configuration :
– Information de configuration de la forêt, commun à tous les
contrôleurs de la forêt
– Partition du schéma :
– Schéma de l’AD, sur tous les contrôleurs
– Partition de l’application :
– Peut être créée avec des objets de tout type sauf de sécurité (user,
groupe, ordi) peut être répliquée sur n’importe quel ensemble de
contrôleurs dans la forêt
5
Active Directory :
Concepts
Domaine
– frontière de sécurité et de réplication
– L’annuaire associé à chaque domaine est disponible
sur 1 ou plusieurs serveurs du domaine
– Il est possible de créer des arborescence de
domaines
– A chaque domaine est associé un nom
– Ex : polytech.univ-montp2.fr
6
Active Directory :
Concepts
Architecture logique
– Arbre : ensemble de domaines situé sous une racine
unique formant un espace de noms contigus
– Forêt : ensemble d’arbres ne formant pas un espace
de noms continus
Forêt
p1.com
p2.com
Arbre
Arbre
7
Active Directory :
Concepts
Caractéristiques d’une forêt
– Dans une forêt les domaines partagent :
• Un même schéma
• Une même partition de configuration
• Un même catalogue global
– Dans une forêt, les domaines sont liés entre eux par
des relations d’approbations :
• Transitives
• Bidirectionnelles
8
Active Directory :
Concepts
Relations d’approbation
– Les relations d’approbation entre domaines
W2000 utilisent Kerberos et sont :
– Implicites, transitives et bidirectionnelles
NT 4.0
W2000 W2003
9
Active Directory :
Concepts
Catalogue global
Il contient une réplique partielle (nb réduit d’attribut)
d’objets de l’annuaire
• Utilisation : permet de localiser rapidement n’importe quel objet
•
sans connaître son emplacement dans l’arborescence
Est présent dans chaque domaine
10
Active Directory :
Concepts
Unités organisationnelles
– Conteneurs d’objets de type utilisateurs, groupes, ordinateurs
– Définies dans un domaine
– Utilisation :
•
•
•
Organisations des données
Délégation des droits pour l’administration
Application des stratégies de groupe
11
Active Directory :
Concepts
Fonctions des serveurs
– Un serveur WNT peut être :
• Contrôleur principal de domaine (PDC)
• Contrôleur secondaire de domaine (BDC)
• Serveur membre
– Un serveur W2000/WS2003 peut être :
• Contrôleur de domaine (DC)
• Serveur membre
12
Active Directory :
Conception de l’espace de noms
13
Active Directory : Conception de l’espace de noms
Définition de l’espace de noms
– Doit se rapprocher des topologies
idéales
– Doit déboucher sur un découpage utile :
– Espace de noms des domaines et DNS
– Topologies d’OU
– Topologies de sites
14
Combien de forêts ?
– Au départ une forêt !
– Pour créer une forêt de + il faut des
arguments :
– Nécessité de préserver des schémas distincts
– Refus de dévoiler une topologie de domaines
– Désaccord sur la composition des groupes sensibles
Administrateur de Schéma
Administrateur de l’Entreprise
– Souhait de conserver le contrôle des approbations
15
Contraintes du nombre de forêts
– Un domaine ne peut pas changer de forêt
– Déplacement d’objet :
• On sait migrer des objets d’un domaine à un autre
• Mais ce n’est pas anodin !
– On ne sait pas interroger le Catalogue Global
d’une autre forêt …
… à moins de passer par un Méta Annuaire!!
16
Combien de domaines
– Au départ un domaine
– Un domaine de plus, il faut argumenter :
• Délégation ne suffit pas
• Nécessité de mettre en place des stratégies
spécifiques :
– Gestion des mots de passe
– Verrouillage des comptes
– Gestion des tickets Kerberos
• Soucis d’optimisation de la réplication
• Restructuration prévue, mais + tard
17
Définition de la racine de la forêt
– Le 1er domaine créé est la racine de la forêt
– Il donne son nom à la forêt
– Il héberge 2 groupes sensibles :
– Admins de l’Entreprise
– Admins du Schéma
– Choix du domaine Racine :
– A choisir parmi les domaines déjà définis
– Ou à créer pour les besoins
18
Active Directory : Topologies d’OU
Rôles des Unités Organisationnelles
– Les OU peuvent servir à :
• Organiser des objets
• Ne pas tout montrer à tout le monde
• Définir des périmètres de délégation
• Définir des périmètres d’applications pour les GPO
– Une OU contient des objets et pas des
références à des objets
– A une OU correspond des sécurités
19
Active Directory : Topologie de sites
Notion de site Active Directory
– Qu’est ce qu’un site ?
• Ensemble machines ‘bien communicantes’
• Définit comme un agrégat de sous réseaux IP
• Suppose un subnetting géographique
– Qui utilise les sites ?
• Station pour localiser un DC proche
• KCC (Konsistency Coherence Checker) pour limiter
le trafic de réplication sur liaisons lentes
• Client DFS pour localiser un répliqua proche
• Utilisateur pour localiser une imprimante proche
20
Active Directory : Topologie de sites
Définition d’une topologie de
réplication
– Qui réplique avec qui (en inter sites) ?
• Tout automatique : le KCC fait tout
• Semi-automatique :
– Fournir qques indices au KCC :
Créer manuellement qques connexions
Ajouter des liens de sites
Designer des têtes de pont
• Tout manuel :
– Créer toutes les connexions manuellement
– Inhiber le KCC
21
Active Directory : Réseau d’agence
Installation depuis une sauvegarde
– Avec W2000, lors de l’installation d’un
contrôleur de domaine, une réplication
complète de l’AD est faite par le réseau
• Augmentation des coûts de communication
• Expédition de contrôleurs pré installés
– Avec WS2003, DCPROMO est capable
d’installer l’AD à partir d’un sauvegarde de
l’annuaire :
• Seul le delta est répliqué par le réseau
22
Optimisation de la réplication
– W2000 : les attributs multi-valués (ex : groupes) sont
stockés comme une valeur unique
• Ces attributs ont une taille limite. Ils sont répliqués en bloc > consommation de bande passante inutile
– WS2003 : réplication unitaire des modifications
• Suppression de la limite max des 5000 utilisateurs par
•
groupe, réconciliation en cas de mises à jour concurrentes.
Tous les contrôleurs doivent être en WS2003
23
Optimisation de la réplication
– WS2000 : topologie de réplication inter sites auto
générée par l’ISTG (Inter Site Topology
Generator) n’est pas exploitable pour nb de sites
> 250
– Génération manuel de la topologie de réplication
– WS2003 : utilisation d’un nouvel algo complexité
lineaire au lieu de s2.
– Tous les controleurs doivent en WS2003
– Bridgehead Server entre sites
– Load balancing des connexions
24
Active Directory : WS2003 versus W2000
Appartenance des attributs au GC
– Avec W2000, l’ajout d’attribut au GC engendre une
synchronisation complète des copies du GC
– Nécessité de paramétrer avant le déploiement des GC
– Avec WS2003, seuls les attributs ajoutés sont
répliqués, mais tous les contrôleurs doivent être en
WS2003
25
Active Directory : Multi forêts
Relation d’approbation
• Avec WS2003 les relations d’approbation inter
forêts réduisent la charge d’administration
Rel. Approb. A-B
Forêt A
Rel. Approb. B-C
Forêt B
Forêt C
26
Active Directory : WS2003
Niveau de fonctionnalité :
domaines
Niveau de
fonctionnalité
Fonctionnalité activée
Types de DC
supportés
W2000
mixte
Installation depuis un support
•Mis en cache des groupes universels
•Partitions applicatives
WNT4
W2000
WS2003
W2000
Natif
Fonctionnalités de W2000 +
•Imbrication des groupes
•Groupe de type universel
•SIDhistory
W2000
WS2003
WS2003
intérimaire
Idem mode natif w2000
WNT4
WS2003
WS2003
natif
Fonctionnalités de W2000 natif +
•Mis à jour de l’attribut logon timestamp
•Version de KDC (Key Distribution Center) Kerberos
•Mot de passe utilisateur dans InetOrgPerson
WS2003
27
Active Directory : WS2003
Niveau de fonctionnalité : forêts
Niveau de
fonctionnalité
Fonctionnalité activée
Types de DC
supportés
W2000
Installation depuis un support
•Mis en cache des groupes universels
•Partitions applicatives
WNT4
W2000
WS2003
WS2003
intérimaire
Idem mode w2000
•Réplication LVR (linked Value Record)
•Amélioration ISTG (Inter Site Topology Generator)
WNT4
WS2003
WS2003
Fonctionnalités de W2003 intérimaire +
•Classe auxiliaire dynamique
•Modification de la classe user en InetOrgPerson
•Dé/réactivation au sein du schéma
•Changement du nom de domaine
•Relation d’approbation inter forêts
WS2003
28
Active Directory : Outil interactif
Affichage
29
L’utilisateur
30
Requête sauvegardée
31
Résultat d’une recherche
32
Sites
33
Active Directory : Ligne de commande
L’utilisateur
– Utilisation de lignes de commande pour créer des objets :
–
–
–
–
dsadd user -> crée un compte utilisateur
dsadd group -> crée un groupe
dsmod group -> ajoute des membres à un groupes
Dsquery -> recherche d’objet dans l’AD
– Possibilité de créer des fichiers de commandes
dsadd computer "cn=smithj1,ou=cso,dc=contoso,dc=msft "
dsadd user "cn=John Smith,ou=CSO,dc=contoso,dc=msft" -samid
smithj -upn [email protected] -fn John -ln Smith -display "John
Smith" -pwd P@ssw0rd -disabled yes
Voir les exemples :
http://www.microsoft.com/technet/scriptcenter/scripts/default.m
spx
et dsxxx/? évidemment !!
34
Active Directory : Le compte utilisateur
Description
– Ensemble des attributs d’un objet user
• Nom, prénom, initial, adresse, e-mail …
– profil
– Dossier de base
– Groupes auxquels il appartient
– L’UO ou la hiérarchie d’UO qui le contient
35
Le profil
– Décrit l’environnement de travail de l’utilisateur
Bureau,
Mes Documents, données applicatifs (IE, …)
– 3 types :
– Profil errant : stocké sur un serveur de fichiers. Est
téléchargé sur toute station ou l’utilisateur se connecte ->
même environnement
– Profil local : stocké sur la station local. Est différent sur
chaque station ou se logue l’utilisateur
– Profil bloqué :modification de l’extension du fichier
C:\Documents and Settings\lepinay\ntuser.dat en .man
L’utilisateur ne peut pas sauvegarder les modifications
apportées au profil
Permet de fournir un profil identique à une population
36
Le dossier de base
– Le dossier de base est le conteneur des
données de l’utilisateur
– Peut être local ou sur un serveur de fichier
37
Les groupes prédéfinis
38
Les UO
– L’utilisateur est placé dans une hiérarchie
d’UO en fonction des droits qu’on voudra
pouvoir lui donner.
– Cette hiérarchie permet aussi de lui appliquer
des stratégies de groupe
39

L`Active Directory

Transcription

Documents pareils

administrateur systemes reseaux et developpement

BAC +5 Titre RNCP Niveau 1 Expert en Ingéniérie Systèmes

Administration systèmes

Foglight® for Active Directory

Factsheet Active Directory

debardage a cheval - Saint-Sauveur-le

Recycle Bin documentation

Pourquoi installer un domaine Windows Active directory

Fausses pages jaunes et annuaires médicaux bidon