alphorm.com - Active Directory 2008 R2 (70-640)

Transcription

Active Directory 2008 R2 (70-640)
Présentation et installation de l’AD:
Présentation de
l'Active Directory
Hamid HARABAZAN
Fondateur d’alphorm.com
Site : http://alphorm.com
Blog : http://alphorm.com/blog
Forum : http://alphorm.com/forum
Certifications : MCT, MCITP, VCP, A+,
Server+, Linux+, LPIC-1, CCENT/CCNA,…
Contact : [email protected]
alphorm.com™©
Plan
• Authentification autonome
• Domaine
• Introduction de
• Réplication
l’authentification avec l’Active
Directory
• Active Directory comme base
de données
• Sites
• Arborescence
• Forêt
• Unités d'organisation
• Catalogue global
• Gestion à base de stratégies
• Niveau fonctionnel
• Banque de données Active
• Partitions d'applications et DNS
Directory
• Contrôleurs de domaine
• Relations d'approbation
alphorm.com™©
• Ressource
• Utilisateur (compte utilisateur, compte ordinateur, compte service)
• Le besoin de protéger des informations
alphorm.com™©
Authentification autonome (groupe de travail)
• Le magasin d'identités est la base de données du Gestionnaire des
comptes de sécurité (SAM) dans le système Windows.
• Pas de magasin d'identités approuvées
• Plusieurs comptes d'utilisateur
• Gestion difficile des mots de passe
alphorm.com™©
Introduction de l’authentification avec l’Active Directory
alphorm.com™©
Active Directory
• Magasin d'identités centralisé et approuvé par tous les membres du
domaine. Il stocke des informations sur les utilisateurs, les groupes, les
ordinateurs et les autres identités
• Service d'authentification centralisé. L'authentification Kerberos utilisée
dans Active Directory fournit l'authentification unique. Les utilisateurs ne
sont authentifiés qu'une fois.
• Hébergé par un serveur jouant le rôle d'un contrôleur de domaine des
Services de domaine Active Directory
(AD DS)
• Services Active Directory
Services de domaine Active Directory (AD DS)
Services AD LDS (Active Directory Lightweight Directory Services)
Services de certificats Active Directory (AD CS)
Services AD RMS (Active Directory Rights Management Services)
Services ADFS (Active Directory Federation Services)
alphorm.com™©
Composants et concepts d'Active Directory
• Active Directory comme base de données
• Démonstration : schéma Active Directory
• Banque de données Active Directory
• Domaine
• Réplication
• Sites
• Arborescence
• Forêt
alphorm.com™©
Active Directory comme base de données
• Active Directory est une base de données
Chaque « enregistrement » est un objet
•
Utilisateurs, groupes, ordinateurs...
Chaque « champ » est un attribut
•
Nom de connexion, SID, mot de passe, description, appartenance...
• Services : Kerberos, DNS, réplication, etc.
En fin de compte, AD DS est à la fois une base de données et les
services qui prennent en charge ou utilisent cette base de données.
• Accès à la base de données
Outils Windows, interfaces utilisateur et composants
API (.NET, VBScript, Windows PowerShell)
Lightweight Directory Access Protocol (LDAP)
alphorm.com™©
Banque de données Active Directory
• %racinesystème%
racinesystème%\NTDS\
NTDS\ntds.dit
• Partitions logiques
Schéma
Contexte d'appellation de domaine
Configuration
Catalogue global (aussi appelé Jeu d'attributs
partiel [PAS, Partial Attribute Set])
DNS (partitions d'applications)
Maître d'opérations
du schéma
Configuration
• SYSVOL
%racinesystème%\SYSVOL
Scripts d'ouverture
de session
NTDS.DIT
*Domaine*
DNS
Stratégies
PAS
alphorm.com™©
Gestion à base de stratégies
• Active Directory propose un point unique de gestion pour la sécurité et
la configuration par des stratégies
Stratégie de groupe
•
Stratégie de mot de passe et de verrouillage du domaine
•
Stratégie d'audit
•
Configuration
•
Appliquée aux utilisateurs ou aux ordinateurs par une étendue d'objet de
stratégie de groupe contenant des paramètres de configuration
Stratégies affinées pour les mots de
passe et le verrouillage
alphorm.com™©
Contrôleurs de domaine
• Les serveurs jouant le rôle AD DS :
hébergent la base de données Active Directory (NTDS.DIT) et SYSVOL ;
•
sont répliqués entre les contrôleurs de domaine.
Service Centre de distribution de clés Kerberos (KDC) : authentification
Autres services Active Directory
• Pratiques recommandées
Disponibilité : au moins deux par domaine
Sécurité : installation minimale, contrôleurs de domaine en lecture seule
alphorm.com™©
Domaine
• Composé d'un ou plusieurs contrôleurs de
domaine
• Tous les contrôleurs de domaine répliquent le
contexte d'appellation de domaine
Le domaine est le contexte dans lequel sont créés les
utilisateurs, les groupes, les ordinateurs, etc.
Les « limites de réplication »
• Source d'identité approuvée : tout contrôleur de
domaine peut authentifier toute ouverture de
session dans le domaine
• Le domaine est l'étendue (limite) maximale pour
certaines stratégies d'administration
Mot de passe
Verrouillage
alphorm.com™©
Réplication
• Réplication multimaître
Objets et attributs dans la base de données
Le contenu de SYSVOL est répliqué.
• Plusieurs composants travaillent pour créer une topologie de
réplication robuste et efficace, et pour répliquer les modifications
granulaires dans Active Directory.
• La partition de configuration de la base de données stocke des
informations sur les sites, la topologie du réseau et la réplication.
CD1
CD3
CD2
alphorm.com™©
Sites
• Objet Active Directory qui représente une partie bien connectée de votre
réseau
Associé à des objets de sous-réseau représentant des sous-réseaux IP
• Réplication intrasite/intersites
La réplication au sein d'un site se produit très rapidement (15 à 45 secondes).
La réplication entre sites peut être gérée.
• Localisation des services
Ouverture de session sur un contrôleur de
domaine de votre site
Site B
Site A
alphorm.com™©
Arborescence
• Un ou plusieurs domaines dans une même instance d'AD DS qui
partagent un espace de noms DNS contigu
alphorm.local
alphardtech.local
maghreb.alphorm.local
alphorm.com™©
Forêt
• Un ensemble d'une ou plusieurs arborescences de domaines Active
Directory
• Le premier domaine est le domaine racine de la forêt.
forêt
• Une seule configuration et un seul schéma répliqués dans tous les
contrôleurs de domaine de la forêt
• Une limite de sécurité et de réplication
alphorm.com™©
Catalogue global
• Jeu d'attributs partiel (PAS)
ou catalogue global
Domaine A
• Contient tous les objets
PAS
dans chaque domaine de la
forêt
• Contient uniquement les
attributs sélectionnés
• Un type d'index
• Peut être consulté depuis
tout domaine
Domaine B
PAS
• Très important pour de
nombreuses applications
alphorm.com™©
Niveau fonctionnel
• Niveaux fonctionnels de domaine
• Niveaux fonctionnels de forêt
• Contrôle :
Les fonctionncalités fournies par le domaine
Le OS des contrôleurs de domaines
alphorm.com™©
Partitions d'applications et DNS
• Active Directory et DNS sont étroitement
intégrés.
• Relation un à un entre le nom de domaine DNS
et l'unité de domaine logique d'Active Directory
• Dépendance totale vis-à-vis du DNS pour
localiser les ordinateurs et les services dans le
domaine
• Un contrôleur de domaine agissant comme
serveur DNS peut stocker les données de la
zone dans Active Directory même, dans une
partition d'applications.
Maître d'opérations du
schéma
Configuration
Domaine
DNS
PAS
alphorm.com™©
Relations d'approbation
• Étend le concept de magasin d'identités approuvées à un autre domaine
• Le domaine d'approbation (avec les ressources) approuve les services de
magasin d'identités et d'authentification du domaine approuvé.
• Un utilisateur approuvé peut s'authentifier auprès du domaine autorisé à
approuver et accéder à ses ressources.
• Dans une forêt, chaque domaine approuve tous les autres domaines.
Domaine
approuvé
Domaine autorisé
à approuver
alphorm.com™©
Unités d'organisation
• Conteneurs
Users
Computers
Des conteneurs qui prennent
également en charge la gestion
et la configuration des objets à
l'aide d'une stratégie de groupe
Elles créent des unités
d'organisation pour :
•
déléguer les autorisations
administratives ;
•
appliquer la stratégie de
groupe.
alphorm.com™©
Ce qu’on a couvert :
• Authentification autonome
• Domaine
• Introduction de
• Réplication
l’authentification avec l’Active
Directory
• Active Directory comme base
de données
• Sites
• Arborescence
• Forêt
• Banque de données Active
Directory
FIN
alphorm.com™©
Installation de l'AD sur un
Windows Complet
Hamid HARABAZAN
alphorm.com™©
Plan
• Installation de l’OS
• Taches initiales
• Rôle vs Fonctionnalité
• Ajout AD DS
alphorm.com™©
• Taches initiales
• Rôle vs Fonctionnalité
• Ajout AD DS
FIN
alphorm.com™©
Installation de l'AD sur un
Windows Core
Hamid HARABAZAN
alphorm.com™©
Plan
• Fonctionnement de l'installation minimale
• Taches initiales (sconfig)
• Installation de l'AD en CLI
alphorm.com™©
Fonctionnement de l'installation minimale
Installation minimale : 3 Go d'espace disque, 256 Mo de RAM
Pas d'interface utilisateur graphique : Interface utilisateur locale de
ligne de commande. Utilisation possible des outils d'interface utilisateur
graphique à distance
• Rôles
• Fonctionnalités
Services de domaine Active Directory
Cluster de basculement Microsoft
Active Directory AD LDS
Équilibrage de la charge réseau
Serveur DHCP
Sous-système pour applications UNIX
Serveur DNS
Sauvegarde Windows
Services de fichiers
MPIO (Multipath I/O)
Serveur d'impression
Gestion du stockage amovible
Services de diffusion multimédia en
continu
Chiffrement de lecteur BitLocker Windows
SNMP
Serveur Web : HTML. La version R2 ajoute
.NET.
WINS
Hyper-V
Client Telnet
Qualité de service (QoS)
alphorm.com™©
• Fonctionnement de l'installation minimale
• Taches initiales (sconfig)
• Installation de l'AD en CLI
FIN
alphorm.com™©
Administration
sécurisée et efficace de l'AD :
Les consoles de gestion
de l'AD
Hamid HARABAZAN
alphorm.com™©
Plan
• Les 5 consoles de gestion d’Active Directory
• Powershell pour Active Directory
• Création d’une structure avec les Unités
d'organisation
• La console des GPOs
alphorm.com™©
Les 5 consoles de gestion d’Active Directory
• Utilisateurs et ordinateurs Active Directory
Gérer au quotidien les objets les plus courants, dont les utilisateurs, les groupes, les
ordinateurs, les imprimantes et les dossiers partagés
• Sites et services Active Directory
Gérer la réplication, la topologie du réseau et les services associés
• Domaines et approbations Active Directory
Configurer et gérer les relations d'approbation et le niveau fonctionnel du domaine
et de la forêt
• Schéma Active Directory
Administrer le schéma
À enregistrer avec la commande : regsvr32 schmmgmt.dll
schmmgmt dll
• Centre d’administration d’Active Directory
Un peu de tous ☺
• Powershell pour Active Directory :
Get-ADUser –Filter * -SearchBase ‘’dc=alphorm,dc=local’’
alphorm.com™©
• Les 5 consoles de gestion d’Active Directory
• Powershell pour Active Directory
• Création d’une structure avec les Unités
d'organisation
• La console des GPOs
FIN
alphorm.com™©
Administration
Consoles personnalisées
et privilèges minimum
Hamid HARABAZAN
alphorm.com™©
Plan
• Préparer le lab de cette vidéo :
Créer un compte utilisateur
Attacher CL01 au domaine
• Bonne pratique : avoir deux comptes (normal et
administrateur)
• Création d'une console MMC personnalisée pour
administrer Active Directory
• Administration sécurisée avec des privilèges minimum,
Exécuter en tant qu'administrateur et Contrôle de compte
d'utilisateur
alphorm.com™©
• Préparer le lab de cette vidéo :
Créer un compte utilisateur
Attacher CL01 au domaine
• Bonne pratique : avoir deux comptes (normal et
administrateur)
• Création d'une console MMC personnalisée pour
administrer Active Directory
• Administration sécurisée avec des privilèges minimum,
Exécuter en tant qu'administrateur et Contrôle de compte
d'utilisateur
FIN
alphorm.com™©
Administration
Rechercher des objets
dans Active Directory
Hamid HARABAZAN
alphorm.com™©
Plan
• Le besoin de rechercher des objets dans Active
Directory
• La boîte de dialogue de recherche
• Tri et colonnes
• La commande Rechercher
• Déterminer l'emplacement d'un objet
• Les requêtes enregistrées
alphorm.com™©
Recherche d'objets dans Active Directory
• Lorsque vous affectez des autorisations à un dossier ou un fichier
Sélectionnez le groupe ou l'utilisateur auquel les autorisations sont affectées.
• Lorsque vous ajoutez des membres à un groupe
Sélectionnez l'utilisateur ou le groupe qui sera ajouté en tant que membre.
• Lorsque vous configurez un attribut lié tel que Géré par
Sélectionnez l'utilisateur ou le groupe qui sera affiché
dans l'onglet Géré par.
• Lorsque vous devez administrer un utilisateur, un groupe ou un
ordinateur
Effectuez une recherche pour trouver l'objet dans Active Directory, au lieu de
le rechercher manuellement.
alphorm.com™©
Détermination de l'emplacement d'un objet
1.
Vérifiez que l'option Fonctionnalités avancées est sélectionnée
dans le menu Affichage de la console MMC.
2.
Recherchez l'objet.
3.
Ouvrez sa boîte de dialogue Propriétés.
Propriétés
4.
Ouvrez l'onglet Objet.
Objet
5.
Affichez le Nom canonique de l'objet
ou
•
Dans la boîte de dialogue Rechercher, Affichage
colonnes et ajoutez la colonne Publié à.
Choisir les
alphorm.com™©
Les requêtes enregistrées
• Utilisateurs
Désactivés
Dans date d'expiration
Non loggués depuis 30j
Paris
Finance
Tous : (objectClass=user)
Jamais loggués :
(&(objectCategory
(&(objectCategory=person)(
objectCategory=person)(objectClass
=person)(objectClass=user))(|(
objectClass=user))(|(lastLogon
=user))(|(lastLogon=0)(!(
lastLogon=0)(!(lastLogon
=0)(!(lastLogon=*)))
lastLogon=*)))
Créés après 20/01/2010 : (objectCategory=user)(
objectCategory=user)(whenCreated
=user)(whenCreated>=20100120000000.0Z)
whenCreated>=20100120000000.0Z)
• Ordinateurs
Désactivés
Tous : (objectCategory=group)
objectCategory=group)
• Groupes
Tous : (objectCategory=computer)
objectCategory=computer)
alphorm.com™©
• Le besoin de rechercher des objets dans Active
Directory
• La boîte de dialogue de recherche
• Tri et colonnes
• La commande Rechercher
• Déterminer l'emplacement d'un objet
• Les requêtes enregistrées
FIN
alphorm.com™©
Administration
Utiliser les commandes DS
Hamid HARABAZAN
alphorm.com™©
Plan
• Créer les objets
• Noms uniques (DN) et Noms communs (CN)
• Les commandes DS
• Recherche d'objets avec DSQuery
• Extraction des attributs des objets avec DSGet
• Envoi de noms uniques à d'autres commandes DS
• Modification des attributs des objets avec DSMod
• Suppression d'un objet avec DSRm
• Transfert d'un objet avec DSMove
• Ajout d'un objet avec DSAdd
• Administration sans l'interface utilisateur graphique
alphorm.com™©
Noms uniques (DN) et Noms communs (CN)
CN (nom commun)
Nom unique
cn=Hamid HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local
ou=Vente,ou=Utilisateurs,dc=alphorm,dc=local
Nom unique
alphorm.com™©
Commandes DS
• DSQuery.
DSQuery. Exécute une requête en fonction des paramètres définis
sur la ligne de commande et renvoie la liste des objets
correspondants.
• DSGet.
DSGet. Renvoie les attributs définis d'un objet.
• DSMod.
DSMod. Modifie les attributs définis d'un objet.
• DSMove.
DSMove. Transfère un objet vers un nouveau conteneur ou une
nouvelle UO.
• DSAdd.
DSAdd. Crée un objet dans l'annuaire.
• DSRm.
DSRm. Supprime un objet ou tous les objets dans l'arborescence
sous un objet conteneur ou les deux.
• DScommand /?
Exemple : dsquery /?
alphorm.com™©
Recherche d'objets avec DSQuery
• dsquery objectType –attribut “critères” BaseDN –scope {subtree|onelevel|base}
subtree|onelevel|base}
objectType : utilisateur, ordinateur, groupe, unité d'organisation
-limit commutateur pour spécifier le nombre de résultats
•
100 est la valeur par défaut
•
0 signifie « renvoyer tous les résultats »
attribut est spécifique à objectType : dsquery objectType /?
•
Exemples pour utilisateur : -name, -samid, -office, -desc
critères entre guillemets s'il y a un espace. Les caractères génériques (*) sont
autorisés.
BaseDN Spécifier le début et l'étendue de la recherche, Par défaut, l'étendue de la
recherche est l'ensemble du domaine.
alphorm.com™©
Recherche d'objets avec DSQuery
Exemples :
• dsquery user -name "Jam*"
• dsquery user "ou=Admins,dc=alphorm,dc=com" -name "Dan*"
• dsquery group DC=alphorm,DC=Com
• dsquery site -o rdn
• dsquery user domainroot -name *smith -inactive 3
alphorm.com™©
Extraction des attributs des objets avec DSGet
•
dsget objectType objectDN -attribut
Syntaxe courante pour de nombreuses commandes DS
•
Exemple :
dsget user “cn=Hamid
HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local" -email
•
Quelle différence existe-t-il entre DSGet et DSQuery ?
alphorm.com™©
Modification des attributs des objets avec DSMod
•
dsmod objectType "objectDN" -attribut "nouvelle valeur"
•
Exemple :
•
dsmod user "cn=Hamid HARABAZAN,ou=Utilisateurs,dc=alphorm,dc=local" dept “IT"
•
dsquery user "ou=Utilisateurs,dc=alphorm,dc=local " | dsmod user department “IT"
alphorm.com™©
Suppression d'un objet avec DSRm
•
dsrm objectDN
Notez que DSRm n'a pas besoin de objectType
•
Exemple :
dsrm "cn=CL123,ou=Postes,dc=alphorm,dc=local"
dsquery computer -stalepwd 90 | dsrm
alphorm.com™©
Transfert d'un objet ave DSMove
•
dsmove objectDN –newparent targetOUDN
objectDN : objet à déplacer
targetOUDN : unité d'organisation cible (destination)
•
dsmove objectDN –newname nouveauNom
objectDN : objet à déplacer
nouveauNom : nouveau nom de l'objet (utilisé dans le RDN)
alphorm.com™©
Ajout d'un objet avec DSAdd
•
dsadd objectType objectDN -attribut "valeur"
objectType : classe d'objet à ajouter
objectDN : unité d'organisation dans laquelle créer l'objet
-attribut "valeur" : attributs à renseigner
•
•
Chaque classe d'objet requiert des attributs.
Exemple :
dsadd ou "ou=Lab,dc=alphorm,dc=local"
alphorm.com™©
Administration sans l'interface graphique utilisateur
• Invite de commandes
Commandes DS
csvde.exe et ldifde.exe
• LDAP
ldp.exe
• Windows PowerShell
• Scripts
Scripts Windows PowerShell
VBScript
alphorm.com™©
• Créer les objets
• Noms uniques (DN) et Noms communs (CN)
• Les commandes DS
• Recherche d'objets avec DSQuery
• Extraction des attributs des objets avec DSGet
• Envoi de noms uniques à d'autres commandes DS
• Modification des attributs des objets avec DSMod
• Suppression d'un objet avec DSRm
• Transfert d'un objet avec DSMove
• Ajout d'un objet avec DSAdd
• Administration sans l'interface utilisateur graphique
FIN
alphorm.com™©
Administration
Gestion à distance de l’AD
Hamid HARABAZAN
alphorm.com™©
Plan
• Depuis un autre serveur Windows 2008 R2
• Depuis Windows Seven
• RDP
• Commandes ds à distance
alphorm.com™©
RDP
• RDP depuis un serveur
• RDP depuis un client Seven
• Bureaux à distance depuis un serveur
• Bureaux à distance depuis un client Seven :
http://www.microsoft.com/download/en/details.aspx?displaylang=en&i
d=21101
alphorm.com™©
Depuis un client Seven
• Installer les RSAT
http://www.microsoft.com/download/en/details.aspx?displayla
ng=en&id=7887
• Lancer les consoles AD DS depuis un client Seven
• Lancer le Gestionnaire du serveur à distance depuis un client
Seven
• Lancer la Gestion d'ordinateur à distance depuis un client Seven
alphorm.com™©
• Depuis un autre serveur Windows 2008 R2
• Depuis Windows Seven
• RDP
• Commandes ds à distance
FIN
alphorm.com™©
Gestion des utilisateurs :
Création et administration
des comptes d'utilisateur
Hamid HARABAZAN
alphorm.com™©
Plan
• Qu’est ce que c’est un Compte d'utilisateur?
• Création d'un objet utilisateur
• Les propriétés d’un compte utilisateur
• Opération sur un compte utilisateur
Renommer un compte d'utilisateur
Réinitialisation du mot de passe d'un utilisateur
Déverrouillage d'un compte d'utilisateur
Désactivation et activation d'un compte d'utilisateur
Suppression d'un compte d'utilisateur
Déplacement d'un compte d'utilisateur
• Modification des attributs de plusieurs utilisateurs
• Création des utilisateurs avec des modèles
alphorm.com™©
Compte d'utilisateur
• Un compte d'utilisateur est un objet qui
permet l'authentification d'un utilisateur avec des attributs, notamment le nom
d'ouverture de session et le mot de passe
est une entité de sécurité associée à un identificateur de sécurité (SID) qui peut
avoir des droits d'accès aux ressources
• Un compte d'utilisateur peut être stocké
dans Active Directory®, où il permet la connexion au domaine et peut avoir des
droits d'accès aux ressources en tout point du domaine.
•
La gestion des comptes d'utilisateur du domaine est effectuée à l'aide des
composants logiciels enfichables et les commandes Active Directory.
dans la base de données locale du Gestionnaire de comptes de sécurité d'un
ordinateur membre, où il permet la connexion à l'ordinateur local et peut avoir
des droits d'accès aux ressources locales.
•
La gestion des comptes d'utilisateur locaux est effectuée à l'aide du logiciel
enfichable Utilisateurs et Groupes et la commande net local user
Le jeton %username% peut représenter la valeur de –samid, par exemple
-profile \\server01\users\%username%\profile
alphorm.com™©
• Qu’est ce que c’est un Compte d'utilisateur?
• Création d'un objet utilisateur
• Les propriétés d’un compte utilisateur
• Opération sur un compte utilisateur
Renommer un compte d'utilisateur
Réinitialisation du mot de passe d'un utilisateur
Déverrouillage d'un compte d'utilisateur
Désactivation et activation d'un compte d'utilisateur
Suppression d'un compte d'utilisateur
Déplacement d'un compte d'utilisateur
• Modification des attributs de plusieurs utilisateurs
• Création des utilisateurs avec des modèles
FIN
alphorm.com™©
Gestion des utilisateurs :
Automatisation
des comptes d'utilisateur
Hamid HARABAZAN
alphorm.com™©
Plan
• Création et manipulation avec les
commandes DS
• Création et manipulation avec Powershell
• Import/export avec CSVDE
• Import/export avec LDIFDE
alphorm.com™©
Création et manipulation avec les commandes DS
• dsadd user "DNUtilisateur
"DNUtilisateur"
DNUtilisateur" –samid nom d'ouverture de session antérieur à
Windows 2000 –pwd { mot de passe | * } –mustchpwd yes
dsadd user "cn=Amy Strande,OU=Utilisateurs,DC=alphorm,DC=local" -samid
AStrande -fn Amy -ln Strande -display "Strande, Amy" -pwd Pa$$w0rd -desc
"Vice President, IT"
• Changer le mot de passe et obliger l’utilisateur à le modifier :
dsmod user "cn=Amy
cn=Amy Strande,OU=
Strande,OU=Utilisateurs,DC=
Utilisateurs,DC=alphorm,DC=local"
alphorm,DC=local" –pwd
Pa$$w0rd! -mustchpwd yes
• Activer/désactiver un compte :
dsmod user "cn=Amy
cn=Amy Strande,OU=
Strande,OU=Utilisateurs,DC=
alphorm,DC=local"–
=local"–
disabled {yes|no
{yes|no}
yes|no}
alphorm.com™©
Création de comptes utilisateur avec Powershell
• Le fournisseur « AD »
• New-ADUser -Name "Mary North"
• New-ADUser -Path "OU=Comptabilité,DC=alphorm,DC=local" -Name
"Mary North“ -SAMAccountName "mnorth"
• New-ADUser -Path "ou=User Accounts,dc=contoso,dc=com" -Name
"Mary North" -SAMAccountName "mary.north" -AccountPassword
(ConvertTo-SecureString -AsPlainText "Pa$$w0rd" -Force) ChangePasswordAtLogon $true -Enabled $true
• Création à partir d’un modèle :
$user = Get-ADUser "CN=etudiant 2ème
année,OU=Utilisateurs,DC=alphorm,DC=local" -Properties
MemberOf,Title,Department,Company,PhysicalDeliveryOfficeName
New-ADUser -path "OU=Utilisateurs,DC=alphorm,DC=local" -Instance $user
-Name "Mary North" -SAMAccountName "mary.north"
alphorm.com™©
Acccéder aux attributs des comptes utilisateurs avec Powershell
• Set-ADUser -Identity mary.north -EmailAddress
"[email protected]"
• Get-ADUser -Identity mary.north | Set-ADUser -EmailAddress
"[email protected]"
• $user = Get-ADUser -Identity mary.north
• $user.mail = "[email protected]"
• Set-ADUser -Instance $user
• Set-ADAccountPassword -Identity "mary.north" –Reset
• Set-ADAccountPassword -Identity "mary.north" -Reset -NewPassword
(ConvertTo-SecureString -AsPlainText "Pa$$w0rd" -Force)
alphorm.com™©
Importer un CSV sous Powershell
• import-csv "C:\importps.csv" | New-ADUser
• import-csv "C:\importps.csv" | New-ADUser -organization alphorm.com
alphorm.com™©
Exporter des utilisateurs avec CSVDE
Exportation
• CSVDE.exe
Active Directory
nom_fichier.csv
Importation
• CSV (fichier de valeurs séparées par une virgule ou de texte délimité par des
virgules)
Peut être modifié avec un simple éditeur de texte (Notepad) ou Microsoft Office
Excel®
• CSVDE.exe
csvde -f nomfichier -d DNracine -p ÉtendueRecherche -r Filtre
-l ListeAttributs
DNracine : Début de l'exportation (par défaut = domaine)
ÉtendueRecherche : Étendue de l'exportation (Base,OneLevel,Subtree)
Filtre : Filtre dans l'étendue (langage de requêtes LDAP)
ListeAttributs : Utilisation du nom LDAP
alphorm.com™©
Importer des utilisateurs avec CSVDE
Exportation
• CSVDE.exe
Active Directory
nom_fichier.ldf
Importation
• CSVDE.exe
csvde –i -f NomFichier [-k]
i. Importation (le mode par défaut est l'exportation)
k. Poursuivre en cas d'erreur (par exemple lorsque l'objet existe déjà)
• Les mots de passe ne sont pas importés. Les utilisateurs créés sont
donc désactivés.
• Les utilisateurs existants ne peuvent pas être modifiés.
alphorm.com™©
Importation des utilisateurs avec LDIFDE
Exportation
• LDIFDE.exe
Active Directory
nom_fichier.ldf
Importation
• LDIF (LDAP Data Interchange Format)
• LDIFDE.exe
ldifde [-i] [-f NomFichier] [-k]
i. Importation (le mode par défaut est l'exportation)
k. Poursuivre en cas d'erreur (par exemple lorsque l'objet existe déjà)
• Les mots de passe ne sont pas importés. Les utilisateurs créés sont
donc désactivés.
• Possibilité de modification ou de suppression des utilisateurs
existants
alphorm.com™©
• Création et manipulation avec les
commandes DS
• Création et manipulation avec Powershell
• Import/export avec CSVDE
• Import/export avec LDIFDE
FIN
alphorm.com™©
Gestion des groupes :
Gestion d'une entreprise
avec des groupes
Hamid HARABAZAN
alphorm.com™©
Plan
• Qu’est ce que c’est un groupe?
• Gestion des accès sans utiliser des groupes
• Simplification de la gestion par l'utilisation de groupes
• Évolutivité de l'utilisation des groupes
• Un seul type de groupe ne suffit pas
• Gestion à base de rôles : Groupes de rôles et groupes de règles
• Type de groupe
Groupe de sécurité
Groupe de distribution
• Étendue d'un groupe
Groupes locaux
Groupes globaux
Groupes universels
• Développement d'une stratégie de gestion des groupes (IGDLA)
• Définition des conventions d'appellation pour les groupes
alphorm.com™©
Gestion des accès sans utiliser des groupes
Identité
Gestion des accès
Ressource
alphorm.com™©
Gestion des ajouts aux groupes
Identité
Groupe
Ressource
Gestion des accès
alphorm.com™©
Évolutivité des ajouts au groupes
Identité
Groupe
Ressource
Gestion des accès
alphorm.com™©
Un seul type de groupe ne suffit pas
Identité
Groupe
Gestion des accès
Ressource
alphorm.com™©
Gestion à base de rôles : Groupes de rôles et groupes de règles
Identité
Groupe de rôles Groupe de règles
Ressource
Gestion des accès
alphorm.com™©
Type de groupe
• Groupes de distribution
Utilisés uniquement avec les applications de messagerie
impossible d'accorder des autorisations
• Groupes de sécurité
Entité de sécurité avec un SID ; des autorisations peuvent être
accordées
Peuvent prendre en charge la messagerie
alphorm.com™©
Étendue du groupe
• Un groupe peut avoir 4 étendues
Locale
Globale
Locale de domaine
Universelle
• Caractéristiques de chaque étendue
Réplication.
Réplication Où sont stockés le groupe et sa liste de membres ?
Membres.
Membres Quels types d'objets, provenant de quels domaines, peuvent
être membres d'un groupe ?
Disponibilité (étendue)
étendue). Où le groupe peut-il être utilisé ? Dans quelles
étendues le groupe peut-il se trouver ? Le groupe peut-il être ajouté à une
liste ACL ?
alphorm.com™©
Groupes locaux
• Réplication
Définition dans le Gestionnaire de comptes de sécurité (SAM) d'un membre de
domaine ou d'un ordinateur de groupe de travail
Aucune réplication en dehors de l’ordinateur local
• Membres : Un groupe local peut inclure :
tout type d'entité de sécurité du domaine : utilisateurs (U), ordinateurs (O),
groupes globaux (GG) ou groupes locaux de domaine (GLD)
U, O, GG de tout domaine de la forêt
U, O, GG de tout domaine approuvé
groupes universels (GU) définis dans un domaine de la forêt
• Disponibilité / étendue
Limitée à l'ordinateur dans lequel le groupe est défini. Peut-être utilisé pour les
listes ACL sur l'ordinateur local uniquement
Ne peut pas appartenir à un autre groupe
alphorm.com™©
Groupes globaux
• Réplication
Définition dans le contexte d'appellation du domaine
Groupe et membres répliqués sur chaque CD du domaine
• Membres : Un groupe global peut inclure :
Uniquement les entités de sécurité du même domaine : U, O, GG, GLD
Peut être utilisé par tous les membres d'un domaine, tous les autres
domaines de la forêt et tous les domaines externes autorisés à
approuver.
Peut être sur les listes ACL de toute ressource ou tout ordinateur de ces
domaines
Peut être membre de tout GLD ou GU de la forêt, et de tout GLD d'un
domaine externe autorisé à approuver
• Bien adapté à la définition de rôles
alphorm.com™©
Groupes universels
• Réplication
Définis dans un seul domaine de la forêt
Répliqué sur le catalogue global (à l'échelle de la forêt)
• Membres : Un groupe universel peut inclure :
U, O, GG et GU de tout domaine de la forêt
Disponible pour chaque domaine et membre de domaine de la forêt
Peut être sur les listes ACL de toute ressource sur tout système de la forêt
Peut être membre des autres GU ou GLD n'importe où dans la forêt
• Utile dans les forêts multi-domaines
Définition de rôles incluant des membres de plusieurs domaines
Définition de règles de gestion d'entreprise pour gérer les ressources de
plusieurs domaines de la forêt
alphorm.com™©
Groupes locaux de domaine
• Réplication
Définition dans le contexte d'appellation du domaine
Groupe et membres répliqués sur chaque CD du domaine
• Membres : un groupe local de domaine peut inclure :
tout type d'entité de sécurité du domaine : U, O, GG, GLD
U, O, GG de tout domaine de la forêt
U, O, GG de tout domaine approuvé
GU définis dans un domaine de la forêt
Peut être sur les listes ACL de toute ressource ou membre du domaine
Peut être membre des autres groupes locaux du domaine ou des groupes
locaux de l'ordinateur
• Bien adapté à la définition de règles de gestion d'entreprise
alphorm.com™©
Récapitulatif des possibilités de l'étendue des groupes
Étendue du
groupe
Membres d'un
même domaine
Membres d'un
domaine de la
même forêt
Membres d'un
domaine
externe
approuvé
Attribution
d'autorisations
sur les ressources
Locale
U, O,
GG, GLD, GU
et utilisateurs
locaux
U, O,
GG, GU
U, O,
GG
Dans l'ordinateur
local uniquement
Locale de
domaine
U, O,
GG, GLD, GU
U, O,
GG, GU
U, O,
GG
N'importe où
dans le domaine
Universelle
U, O,
GG, GU
U, O,
GG, GU
S/O
N'importe où
dans la forêt
Globale
U, O,
GG
S/O
S/O
N'importe où
dans le domaine
ou un domaine
approuvé
U
O
GG
GLD
GU
Utilisateur
Ordinateur
Groupe global
Groupe local de domaine
Groupe universel
alphorm.com™©
Développer une stratégie de gestion de groupes (IGDLA)
• Identités (utilisateurs ou ordinateurs)
membres de
• Groupes Globaux
qui collectent des membres
en fonction de leurs rôles
qui sont membres de
• Groupes de Domaine
Locaux
qui assurent des
fonctions de
gestion, telles que la
gestion de l'accès aux
ressources
qui
• ont Accès à une ressource (par exemple, sur une liste ACL)
• constituent une forêt multi-domaines : IGU
UDLA
alphorm.com™©
Gestion à base de rôles et stratégie de gestion de groupes Windows
Gestion des accès
Identité Groupe de rôles Groupe de règles
Identité
Globale
Locale de domaine
Ressource
Accès
alphorm.com™©
Définition des conventions d'appellation pour les groupes
• Propriétés liées au nom
Nom de groupe.
groupe. cn et nom de groupe -- unique dans l'UO
Nom de groupe (avant Windows 2000). sAMAccountName du groupe - unique dans
le domaine
Utiliser le même nom (unique dans le domaine) pour les deux propriétés
• Conventions d'appellation
Groupes de rôles.
rôles. Nom simple unique, tel que GG_Vente ou GU_Vente
Groupes de gestion.
gestion. Par exemple, ACL_Sales Folders_L,
Folders_L ACL_Docs_Finance_E
Préfixe.
Préfixe. Fonction de gestion du groupe, par exemple liste ACL
alphorm.com™©
• Qu’est ce que c’est un groupe?
• Gestion des accès sans utiliser des groupes
• Simplification de la gestion par l'utilisation de groupes
• Évolutivité de l'utilisation des groupes
• Un seul type de groupe ne suffit pas
• Gestion à base de rôles : Groupes de rôles et groupes de règles
• Type de groupe
Groupe de sécurité
Groupe de distribution
• Étendue d'un groupe
Groupes locaux
Groupes globaux
Groupes universels
FIN
• Développement d'une stratégie de gestion des groupes (IGDLA)
• Définition des conventions d'appellation pour les groupes
alphorm.com™©
Propriétés et opérations
des groupes
Hamid HARABAZAN
alphorm.com™©
Plan
• Documenter les groupes
• Protéger les groupes contre la suppression accidentelle
• Déléguer la gestion des membres
• Changer le type de groupe
• Opérations : Déplacer, Supprimer, Renommer
• Groupes par défaut
• Identités spéciales
alphorm.com™©
Documenter les groupes
• Pourquoi décrire les groupes ?
Faciliter leur identification lors des recherches
Mieux comprendre comment et quand utiliser un groupe
• Établir et respecter une convention d'appellation stricte
Un préfixe, par exemple, permet de différencier
APP_Budget et ACL_Budget_Edit
Un préfixe facilite la recherche d'un groupe dans la boîte de dialogue de sélection
• Indiquer la fonction d'un groupe avec son attribut de description
Apparaît dans le volet d'informations du composant Utilisateurs et ordinateurs Active
Directory
• Détailler la fonction d'un groupe dans la zone des commentaires
alphorm.com™©
Application des appartenances
• Les modifications de la liste des membres ne sont pas appliquées
immédiatement
alphorm.com™©
Délégation de la gestion des membres
• L'onglet Géré par a deux fonctions :
Fournir des informations de contact indiquant qui gère le groupe
L'utilisateur (ou le groupe) indiqué peut modifier les membres des groupes
si l'option "Le gestionnaire peut mettre à jour la liste des membres" est
sélectionnée
• Conseil
Il faut cliquer sur OK (et pas
uniquement sur Appliquer) pour
changer l'ACL du groupe
Pour définir un groupe dans la zone
Nom, cliquez sur Modifier, puis sur
Types d'objet, puis sur Groupes
alphorm.com™©
Groupes par défaut
• Groupes locaux par défaut dans les conteneurs BUILTIN et Utilisateurs
Administrateurs de l'entreprise, Administrateurs du schéma, Administrateurs, Admins du
domaine, Opérateurs de serveur, Opérateurs de compte, Opérateurs de sauvegarde,
Opérateurs d'impression
• Problèmes liés à ces groupes
Excès de délégation
•
Les opérateurs de compte, par exemple, peuvent ouvrir des sessions sur un
contrôleur du domaine (CD).
• Recommandation : Laisser ces groupes vides et créer des groupes personnalisés
avec les droits et privilèges nécessaires
alphorm.com™©
Identités spéciales
• L'appartenance aux groupes est gérée par Windows :
Impossible de les afficher, les modifier ni les ajouter à d'autres groupes
Peuvent être utilisées sur les listes ACL
• Exemples
Ouverture de session anonyme. Représente les connexions à un ordinateur
sans nom d'utilisateur ni mot de passe
Utilisateurs authentifiés. Représente les identités authentifiées, mais n'inclut
pas l'identité Invité
Tout le monde. Inclut Utilisateurs authentifiés et Invité (mais pas Ouverture
de session anonyme par défaut dans Windows Server 2003/2008)
Interactif. Utilisateurs connectés en session locale ou Bureau à distance
Réseau. Utilisateurs accédant à une ressource par le réseau
alphorm.com™©
• Documenter les groupes
• Protéger les groupes contre la suppression accidentelle
• Déléguer la gestion des membres
• Changer le type de groupe
• Opérations : Déplacer, Supprimer, Renommer
• Groupes par défaut
• Identités spéciales
FIN
alphorm.com™©
Automatisation des groupes
Hamid HARABAZAN
alphorm.com™©
Plan
• Création de groupes avec DSAdd
• Modification des membres des groupes avec DSMod
• Extraction des membres des groupes avec DSGet
• Copie des membres des groupes
• Déplacement des groupes et changement de leurs noms
• Suppression de groupes
• Importation de groupes avec CSVDE
• Importation de groupes avec LDIFDE
• Modification des membres des groupes avec LDIFDE
• Conversion de l'étendue et du type de groupe
• Gestion des groupes avec Powershell
alphorm.com™©
Création de groupes avec DSAdd
• dsadd group DNGroupe –secgrp {yes|no} –scope {g | l | u}
DNGroupe.
DNGroupe. Nom unique du groupe à créer
-secgrp.
secgrp Security-enabled (yes=sécurité ; no=distribution)
-scope.
globale, locale du domaine, universelle)
scope étendue (g
-samid.
samid sAMAccountName (non nécessaire, par défaut cn)
-desc Description.
Description attribut description
-member MemberDN …. Liste des membres (séparés par un espace)
espace à ajouter
lors de la création du groupe
-memberof DNGroupe …. Liste des groupes (séparés par un espace)
espace auxquels
ajouter ce groupe
• Exemples :
dsadd group "CN=GG_HelpDesk,OU
"CN=GG_HelpDesk,OU=
GG_HelpDesk,OU=Groupes,DC=
Groupes,DC=alphorm,DC=local"
alphorm,DC=local" –
samid GG_HelpDesk,
GG_HelpDesk, –secgrp yes –scope g
alphorm.com™©
Modification des membres des groupes avec DSMod
• dsmod group "DNGroupe" [options]
-addmbr
addmbr "Member DN"
-rmmbr
rmmbr "Member DN“
• Exemples :
dsmod group "CN=GG_HelpDesk,OU
"CN=GG_HelpDesk,OU=
alphorm,DC=local" addmbr "CN=hamid
"CN=hamid harabazan,OU=
harabazan,OU=Utilisateurs,DC=
alphorm,DC=local"
"CN=james
"CN=james bond,OU=
bond,OU=Utilisateurs,DC=
alphorm,DC=local"
dsmod group "CN=GG_HelpDesk,OU
"CN=GG_HelpDesk,OU=
alphorm,DC=local" rmmbr "CN=hamid
alphorm,DC=local"
alphorm.com™©
Extraction des membres des groupes avec DSGet
• Aucune option pour obtenir la liste complète des membres d'un groupe
dans Utilisateurs et ordinateurs Active Directory
• DSGet permet d'obtenir la liste complète (y compris des membres
imbriqués)
imbriqués
• dsget group "DNGroupe" –members [-expand]
Liste des membres d'un groupe (DNGroupe), pouvant inclure
les membres imbriqués (-expand)
Exemple : dsget group
"CN=GG_HelpDesk,OU
"CN=GG_HelpDesk,OU=
alphorm,DC=local" –members -expand
• dsget {user|computer} "DNObjet" –memberof [-expand]
• Liste des appartenances d'un utilisateur ou un ordinateur (DNObjet),
pouvant inclure les appartenances à des groupes imbriqués (-expand)
• Exemple : dsget user "CN=hamid
"CN=hamid
harabazan,OU=
alphorm,DC=local" –memberof -expand
alphorm.com™©
Copie des membres de groupes
• Copie des membres d'un groupe dans un autre
dsget group "CN=GG_Marketing,OU
"CN=GG_Marketing,OU=
GG_Marketing,OU=Groupes,DC=
members | dsmod group
"CN=GG_HelpDesk,OU
"CN=GG_HelpDesk,OU=
Groupes,DC=alphorm,DC=local
alphorm,DC=local"
=local" –addmbr
• Copie des appartenances d'un utilisateur sur un autre
dsget user "CN=hamid
memberof | dsmod group –addmbr "CN=james
"CN=james
bond,OU=
bond,OU=Utilisateurs,DC=
alphorm,DC=local"
alphorm.com™©
Déplacer et renommer des groupes
Cliquez avec le bouton droit sur le groupe, puis cliquez sur Déplacer ou
Renommer
• Commande DSMove
dsmove DNObjet [-newname NouveauNom]
[-newparent DNUOcible]
•
DNObjet est le DN du groupe
•
-newparent DNUOcible déplace le groupe dans une nouvelle UO
•
-newname NouveauNom modifie le cn du groupe
- Il faut utiliser DSMod Group pour modifier sAMAccountName
• dsmove "CN=GG_HelpDesk,OU
"CN=GG_HelpDesk,OU=
alphorm,DC=local" –newparent
"OU=Utilisateurs,DC
"OU=Utilisateurs,DC=
alphorm,DC=local"
• dsmove "CN=GG_HelpDesk,OU
"CN=GG_HelpDesk,OU=
alphorm,DC=local" –newname
"GG_Support"
GG_Support"
• dsmod group "CN=GG_Support,OU
"CN=GG_Support,OU=
GG_Support,OU=Groupes,DC=
alphorm,DC=local" -samid
"GG_Support"
GG_Support"
alphorm.com™©
Suppression de groupes
• Utilisateurs et ordinateurs Active Directory : Clic droit, Supprimer
• Commande DSRm
dsrm DNObjet ... [-subtree [-exclude]] [-noprompt] [-c]
•
-noprompt évite les demandes de confirmation de chaque suppression
•
-c permet de continuer en cas d'erreur (refus d'accès par exemple)
•
-subtree supprime l'objet et tous les objets enfants
•
-subtree -exclude supprime tous les objets enfants mais pas l'objet lui-même
• Exemples :
• dsrm "CN=GG_Support,OU=Groupes,DC=alphorm,DC=local"
• La suppression d'un groupe de sécurité entraîne des conséquences
importantes
Le SID est perdu et ne peut plus être rétabli même si le groupe est à nouveau créé
Conseil : D'abord, enregistrez puis supprimez tous les membres durant une
période de test, pour évaluer tous les effets indésirables possibles
alphorm.com™©
Importation de groupes avec CSVDE
• csvde -i -f "nomfichier" [-k]
-i. Importation (mode par défaut : exportation)
-f. Nom du fichier
-k. Poursuivre en cas d'erreur (par exemple si un objet existe déjà)
• CSVDE permet de créer des groupes, pas de modifier les groupes
existants
alphorm.com™©
Importation de groupes avec LDIFDE
• Ldifde -i -f "nomfichier" [-k]
-i. Importation (mode par défaut : exportation)
-f. Nom du fichier
-k. Poursuivre en cas d'erreur (par exemple si un objet existe déjà)
alphorm.com™©
Modification des membres des groupes avec LDIFDE
• Fichier LDIF
• Changetype: modify
• 3e ligne : Quel type de modification ? Ajouter une valeur à un membre
Supprimer un membre, modifier pour supprimer : member
• L'opération de modification se termine par une ligne contenant
uniquement –
alphorm.com™©
Conversion d'étendue et de type de groupe
• dsmod group DNGroupe –secgrp {yes|no } –scope {l|g|u
{l|g|u}
l|g|u}
• Exemples :
dsmod group CN=GG_HelpDesk,OU
CN=GG_HelpDesk,OU=
alphorm,DC=local"
GG_Marketing –secgrp no
dsmod group CN=GG_HelpDesk,OU
CN=GG_HelpDesk,OU=
alphorm,DC=local"
GG_Marketing –secgrp yes –scope u
alphorm.com™©
Gestion des groupes avec Powershell
• Help *adgroup* ou Get-Command *ADGroup*
• Get-ADGroup
• New-ADGroup
• Remove-ADGroup
• Set-ADGroup
• Get-ADGroup GG_marketing -Properties members
• Get-ADGroupMember -Identity "GG_HelpDesk"
• New-ADGroup -Path
"CN=GG_HelpDesk,OU=Groupes,DC=alphorm,DC=local" -Name
"GG_HelpDesk -sAMAccountName "GG_HelpDesk" -GroupCategory
Security -GroupScope Global
• Add-ADGroupMember -Identity "GG_HelpDesk" -Members "CN=hamid
harabazan,OU=Utilisateurs,DC=alphorm,DC=local"
alphorm.com™©
• Création de groupes avec DSAdd
• Modification des membres des groupes avec DSMod
• Extraction des membres des groupes avec DSGet
• Copie des membres des groupes
• Déplacement des groupes et changement de leurs noms
• Suppression de groupes
• Importation de groupes avec CSVDE
• Importation de groupes avec LDIFDE
• Modification des membres des groupes avec LDIFDE
• Conversion de l'étendue et du type de groupe
• Gestion des groupes avec Powershell
FIN
alphorm.com™©
Support des comptes d'ordinateur:
Création d'ordinateurs
et jonction au domaine
Hamid HARABAZAN
alphorm.com™©
Plan
• Groupes de travail, domaines et
approbations
• Création et jonction au domaine
• Sécurisation de la création d'ordinateurs et
des jonctions
alphorm.com™©
Groupes de travail, domaines et approbations
alphorm.com™©
Création et jonction au domaine
• Méthode 1 :
Jonction directe au domaine
Redémarrage
Le compte ordinateur et créé dans le conteneur « Computers »
Déplacer dans la OU appropriée
• Méthode 2 :
Définissez au préalable (pré-création) un ordinateur dans l'UO appropriée
(possibilité de délégation)
Jonction
Redémarrage
alphorm.com™©
Sécuriser la création d'ordinateurs et les jonctions
• Limitation de la capacité des utilisateurs à créer des ordinateurs
Par défaut, tout utilisateur peut joindre 10 ordinateurs au domaine.
•
La prédéfinition n'est pas nécessaire.
Définissez la valeur ms
ms--DS
DS--MachineAccountQuota sur 0.
• Délégation, aux groupes appropriés, de l'autorisation de créer des objets
ordinateur dans les UO appropriées
• Prédéfinition des objets ordinateur dans les UO appropriées
L'ordinateur est dans l'UO appropriée et n'a pas besoin d'être déplacé.
La Stratégie de groupe s'applique à l'ordinateur dès sa jonction au domaine.
• Configuration du conteneur Ordinateurs par défaut
redircmp "DN de l'UO pour les nouveaux objets ordinateur"
alphorm.com™©
• Groupes de travail, domaines et
approbations
• Création et jonction au domaine
• Sécurisation de la création d'ordinateurs et
des jonctions
FIN
alphorm.com™©
Support des comptes d'ordinateur:
Propriétés et opérations
des comptes d'ordinateur
Hamid HARABAZAN
alphorm.com™©
Plan
• Configuration des attributs d'ordinateur
• Comptes d'ordinateur et canal sécurisé
• Identification des problèmes de comptes d'ordinateur
• Réinitialisation d'un compte d'ordinateur
• Modification du nom d'un ordinateur
• Désactivation et activation d'un ordinateur
• Suppression et recyclage des comptes d'ordinateur
alphorm.com™©
Configurer des attributs d'ordinateur
• Attributs utiles
Description
Emplacement
•
France\Paris\Siege\Bat3\Etage22\Coul3
•
Utilisé par les applications détectant l'emplacement
telles que la recherche d'imprimantes
Géré par
•
Lié à l'utilisateur correspondant à l'utilisateur principal de l'ordinateur
•
Lié au groupe responsable de l'ordinateur (serveurs)
Membre de
•
Groupes : Filtrage de stratégie de groupe, déploiement de logiciels
alphorm.com™©
Compte d'ordinateur et canal sécurisé
• Les ordinateurs ont des comptes.
un nom sAMAccountName et un mot de passe
Utilisé pour créer un canal sécurisé entre l'ordinateur et un contrôleur de
domaine
• Le canal sécurisé peut être rompu.
Lors de la réinstallation d'un ordinateur, même avec le même nom, qui
génère un nouveau SID et mot de passe.
Lors de la restauration d'un ordinateur à partir d'une ancienne sauvegarde ou
de la réapplication d'un ancien instantané
Lorsque l'ordinateur et le domaine ne sont pas d'accord sur le mot de passe
alphorm.com™©
Reconnaître les problèmes de compte d'ordinateur
• Messages d'ouverture de session
• Erreurs du journal d'événements, comprenant des mots clés tels que
Mot de passe
Approbation
Canal sécurisé
Relations avec le domaine ou les contrôleurs de domaine
• Absence d'un compte d'ordinateur dans Active Directory
alphorm.com™©
Réinitialiser un compte d'ordinateur
• Évitez de supprimer un ordinateur du domaine et de l'y joindre à nouveau.
Création d'un nouveau compte : nouveau SID, perte des appartenances aux
groupes
• Réinitialiser le canal sécurisé
Utilisateurs et ordinateurs Active Directory*
•
Cliquez du bouton droit sur l'ordinateur et choisissez Réinitialiser le compte.
DSMod*
• dsmod computer "NomUniqueOrdinateur" –reset
NetDom
• netdom reset NomOrdinateur /domain NomDomaine /UserO
NomUtilisateur /PasswordO {Mot de passe | *}
NLTest
• nltest /server:NomServeur /sc_reset:DOMAIN\DC
* = exige une nouvelle jonction au domaine et un redémarrage
alphorm.com™©
Renommer un ordinateur
• Servez-vous des propriétés système de l'ordinateur pour renommer
correctement ce dernier et son compte.
• NetDom
netdom renamecomputer NomOrdinateur /NewName:NouveauNom
[/UserO:NomUtilisateurLocal] [/PasswordO:{MotDePasseLocal|*}
][/UserD:NomUtilisateurDomaine]
[/PasswordD:{MotDePasseDomaine|*} ]
[/SecurePasswordPrompt] [/REBoot[:TempsEnSecondes] ]
• Soyez conscient des conséquences du changement de nom sur les services
et les certificats associés au nom de l'ordinateur.
alphorm.com™©
Désactiver et activer un ordinateur
• Désactivez un ordinateur lorsqu'il doit rester hors connexion pendant
une longue période.
L'opération correspond à la désactivation d'un utilisateur qui part en congé.
L'opération empêchant l'établissement du canal
sécurisé, les utilisateurs dont les informations
d'identification n'ont pas été mises en cache dans
l'ordinateur ne peuvent pas ouvrir de session.
Cliquez du bouton droit sur l'ordinateur et choisissez Activer le compte ou
Désactiver le compte.
alphorm.com™©
Supprimer et recycler des comptes d'ordinateur
• Suppression d'un ordinateur avec Utilisateurs et comptes Active
Directory
Cliquez du bouton droit sur l'ordinateur et choisissez Supprimer.
• La suppression détruit le SID et les appartenances aux groupes.
Lors du remplacement ou de la réinstallation d'un ordinateur, s'il doit jouer
le même rôle, réinitialisez son compte au lieu de le supprimer.
Préserve tous les attributs de l'ordinateur, y compris le SID et les
appartenances aux groupes
Vous pouvez renommer l'objet si l'ordinateur est renommé pendant la
réinstallation/mise à niveau.
Cette opération « recycle » le compte d'ordinateur.
alphorm.com™©
• Configuration des attributs d'ordinateur
• Comptes d'ordinateur et canal sécurisé
• Identification des problèmes de comptes d'ordinateur
• Réinitialisation d'un compte d'ordinateur
• Modification du nom d'un ordinateur
• Désactivation et activation d'un ordinateur
• Suppression et recyclage des comptes d'ordinateur
FIN
alphorm.com™©
Implémentation d'une infrastructure
de stratégie de groupe
Fonctionnement de
la Stratégie de groupe
Hamid HARABAZAN
alphorm.com™©
Plan
• Qu'est-ce que la gestion des configurations ?
• Aperçu et examen de la stratégie de groupe
• Création d’une stratégie de test
• Actualisation de la stratégie de groupe
• Stockage des objets GPO
• Objets GPO locaux
alphorm.com™©
configurations ?
alphorm.com™©
groupe
• Stratégies ordinateur/utilisateur
• Stratégs vs Préférences
• Étendue
• Lien de GPO Le filtrage par groupe de sécurité
• Le filtrage WMI
• Ciblage des préférences
• Paramètres
• Étendue
• Application
• Jeu de stratégies résultant
• Client de stratégie de groupe et extensions côté client
alphorm.com™©
Démonstration : Création, liaison et modification d'objets GPO
Dans cette démonstration, nous allons :
• Créer un objet GPO
• Lier un objet GPO
• Ouvrir un objet GPO pour modification
• GPO ordinateur :
Configurer Windows Update
• GPO utilisateur :
Masquer le paneau de configuration
alphorm.com™©
Actualisation de la stratégie de groupe
• À quel moment les GPO et leurs paramètres sont-ils appliqués ?
• Configuration ordinateur
Démarrage
Toutes les 90 à 120 minutes
Déclenchement : commande GPUpdate
• Configuration utilisateur
Ouverture de session
Toutes les 90 à 120 minutes
Déclenchement : commande GPUpdate
alphorm.com™©
Stockage des objets GPO
• Objet de stratégie de groupe (GPO)
Conteneur de stratégie de groupe (GPC)
•
Éditeur ADSI
•
Est stocké dans les services de domaine Active Directory.
•
Nom convivial, identificateur unique global (GUID)
•
Version
Modèle de stratégie de groupe (GPT)
•
Stocké dans le dossier SYSVOL des contrôleurs de domaine
•
Contient tous les fichiers requis pour définir et appliquer des paramètres
•
Le fichier .ini contient la Version.
• Mécanismes de réplication distincts
• GPOTool
alphorm.com™©
Objets GPO locaux
• Les GPO locaux s'appliquent avant les GPO de domaine.
Tout paramètre spécifié par un GPO de domaine remplacera celui des GPO locaux.
• gpedit.msc
Serveur
Client
alphorm.com™©
Ce qu’on a couvert
• Qu'est-ce que la gestion des configurations ?
• Aperçu et examen de la stratégie de groupe
• Création d’une stratégie de test
• Stockage des objets GPO
• Objets GPO locaux
FIN
alphorm.com™©
Examen approfondi des
paramètres et des objets GPO
Hamid HARABAZAN
alphorm.com™©
Plan
• Modèles d'administration
• Import des GPOs
• Paramètres gérés et non gérés, et préférences
• Magasin central
• Démonstration : Utilisation des paramètres et des objets GPO
Commentaer/Copier/Sauvegarder/Importer/Supprimer/Restaurer…
• Les objets GPO gérés et leurs paramètres
alphorm.com™©
Modèles d'administration
• .ADMX
• .ADML
alphorm.com™©
Import des GPOs
• ADM
Avant Windows Vista et Windows 2008
• ADMX/ADML
A partir de Windows Vista et Windows 2008
alphorm.com™©
Paramètres gérés et non gérés, et préférences
Paramètre de stratégie géré
•
L'interface utilisateur est verrouillée. L'utilisateur ne peut pas modifier le paramètre.
•
Les modifications concernent l'une des quatre clés de Registre réservées.
•
La modification et le verrouillage de l'interface utilisateur sont « libérés » lorsque l'utilisateur ou
l'ordinateur n'entre plus dans l'étendue.
Paramètre de stratégie non géré
•
L'interface utilisateur n'est pas verrouillée.
•
Les modifications apportées sont permanentes ; elles « tatouent » le Registre.
Par défaut, seuls les paramètres gérés s'affichent.
Pour afficher les paramètres non gérés, définissez les Options de filtre.
• Préférences
L'effet des préférences varie.
alphorm.com™©
Magasin central
• Fichiers .ADM
Stockés dans le Modèle de stratégie de groupe (GPT)
Entraînent des problèmes de contrôle des versions et d'encombrement des GPO
• Fichiers .ADMX/.ADML
Récupérés depuis le client
Problématiques si le client ne dispose pas des fichiers appropriés
• Magasin central
Créez un dossier nommé PolicyDefinitions dans un contrôleur de domaine.
•
À distance : \\par-dc01\SYSVOL\alphorm.local\Policies\PolicyDefinitions
•
Localement : %SystemRoot%\Windows\PolicyDefinitions
Copiez les fichiers .ADMX de votre dossier %SystemRoot%\PolicyDefinitions.
Copiez le fichier .ADML stocké dans les sous-dossiers propres à la langue (par exemple en-us).
alphorm.com™©
Démonstration :
Utilisation des paramètres et des objets GPO.Dans cette démonstration,
nous allons :
• Utiliser des Options de filtre pour localiser des stratégies dans les
modèles d'administration
• Ajouter des commentaires à un objet GPO
• Créer un nouvel objet GPO à partir d'un GPO Starter
• Créer un nouveau GPO par copie d'un GPO existant
• Sauvegader les GPOs
• Créer un nouveau GPO par importation des paramètres exportés à
partir d'un autre GPO
alphorm.com™©
Gestion des objets GPO et de leurs paramètres
• Copier (et Coller dans un conteneur Objets GPO)
Créer une nouvelle « copie » d'un GPO et modifiez-la.
Transférer un GPO dans un domaine approuvé, par exemple test-to-production.
• Sauvegarder tous les paramètres, objets, liens, autorisations (listes ACL).
• Restaurer dans le même domaine que la sauvegarde.
• Importer les paramètres dans un nouveau GPO du même domaine ou d'un autre domaine.
Table de migration pour le mappage source/cible des chemins UNC et des noms de groupe de
sécurité
Remplace tous les paramètres du GPO (pas de « fusion »)
• Enregistrer le rapport.
• Supprimer
• Renommer
alphorm.com™©
• Import des GPOs
• Paramètres gérés et non gérés, et préférences
• Magasin central
• Démonstration : Utilisation des paramètres et des objets GPO
Commentaer/Copier/Sauvegarder/Importer/Supprimer/Restaurer…
• Les objets GPO gérés et leurs paramètres
FIN
alphorm.com™©
Gestion de l'étendue
de la stratégie de groupe
Hamid HARABAZAN
alphorm.com™©
Plan
• Ordre de traitement de la stratégie de groupe
• Liens de GPO
• Héritage et priorité des objets GPO
• Filtrage de sécurité pour modifier l'étendue d'un objet GPO
• Filtres WMI
• Activation ou désactivation d'objets GPO et de nœuds de GPO
• Traitement en boucle des strategies
• Examen approfondi du traitement de la stratégie de groupe
alphorm.com™©
GPO OU
GPO de domaine
GPO de sites
Ordre de priorité
Ordre d’application
Ordre de traitement de la stratégie de groupe
GPO local
alphorm.com™©
Liens de GPO
• Un lien de GPO
Entraîne l'application des paramètres de stratégie de ce GPO aux utilisateurs
ou aux ordinateurs de ce conteneur
Relie le GPO à un site, à un domaine ou à une UO
•
Les sites doivent être activés dans la console GPM.
Un GPO peut être relié à plusieurs sites ou UO.
Un lien peut exister mais être désactivé.
Un lien peut être supprimé, mais le GPO existe toujours.
alphorm.com™©
Héritage et priorité des objets GPO
• L'application des GPO liés à chaque conteneur entraîne un effet cumulé appelé héritage.
Priorité par défaut : Local
Site
Domaine
UO
UO… (LSDUO)
Visible dans l'onglet Héritage de Stratégie de groupe
• Ordre des liens (attribut du lien de GPO)
Numéro inférieur
Plus haut dans la liste
Prioritaire
• Blocage de l'héritage (attribut de l'UO)
Bloque le traitement des GPO à partir du dessus
• Imposé (attribut du lien de GPO)
Les GPO imposés « ignorent » le blocage de l'héritage.
Les paramètres de GPO imposés l'emportent sur les paramètres conflictuels des GPO inférieurs.
alphorm.com™©
Filtrage de sécurité pour modifier l'étendue d'un objet GPO
• Application d'une autorisation de stratégie de groupe
Le GPO possède une liste ACL (onglet Délégation
Avancé).
Par défaut : les utilisateurs authentifiés disposent de l'autorisation Appliquer la stratégie de groupe.
• L'étendue comprend uniquement les utilisateurs du ou des groupes globaux sélectionnés.
Supprimez des utilisateurs authentifiés.
Ajoutez les groupes globaux appropriés.
•
Il doit s'agir de groupes globaux (l'étendue des GPO ne comprend pas le domaine local).
• L'étendue comprend les utilisateurs sauf ceux du ou des groupes sélectionnés.
Dans l'onglet Délégation, cliquez sur Avancé.
Ajoutez les groupes globaux appropriés.
Refusez l'autorisation Appliquer la stratégie de groupe.
N'apparaît pas dans l'onglet Délégation ni dans la section du filtrage
alphorm.com™©
Filtres WMI
• Windows Management Instrumentation (WMI)
• Langage de requêtes WMI (WQL)
Similaire à T-SQL
Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft Windows XP
Professional" AND CSDVersion="Service Pack 3"
• Création d'un filtre WMI
• Utilisation du filtre pour un ou plusieurs GPO
alphorm.com™©
Activation ou désactivation d'objets GPO et de nœuds de GPO
• Onglet Détails du GPO
Liste déroulante État GPO
• Activé : les extensions CSE appliquent les paramètres Configuration
ordinateur et Configuration utilisateur.
• Tous les paramètres désactivés : les extensions CSE ne traitent pas le
GPO.
• Paramètres de Configuration ordinateur désactivés : les extensions CSE
ne traitent pas les paramètres de Configuration ordinateur.
• Paramètres de Configuration utilisateur désactivés : les extensions CSE
ne traitent pas les paramètres de Configuration utilisateur.
alphorm.com™©
Ciblage des préférences
• Ciblage au sein d'un GPO
Étendue =
étendue du GPO
x
étendue du ciblage
Possible uniquement
avec les préférences
• De très nombreuses
options
alphorm.com™©
Traitement des stratégies en boucle
• À l'ouverture de session d'un utilisateur, les paramètres utilisateur issus des GPO dont l'étendue
comprend un objet ordinateur sont appliqués.
Expérience utilisateur cohérente sur un ordinateur
Salles de conférence, kiosques, ateliers informatiques, Infrastructure de bureau virtuel (VDI), RDS/TS, etc.
• Configuration ordinateur\
ordinateur\Stratégies\
Stratégies\Modèles d'administration\
d'administration\Système\
Système\Stratégie de groupe
Mode de traitement en boucle de la stratégie de groupe utilisateur
• Mode de remplacement
L'utilisateur n'obtient aucun des paramètres utilisateur dont l'étendue comprend l'utilisateur… uniquement
les paramètres utilisateur dont l'étendue comprend l'ordinateur.
• Mode de fusion
L'utilisateur obtient les paramètres utilisateur dont l'étendue comprend cet utilisateur, mais les paramètres
utilisateur dont l'étendue comprend l'ordinateur se superposent à ces paramètres. L'ordinateur gagne.
alphorm.com™©
Traitement des stratégies en boucle
Entreprise
Clients
Ordinateur C
Utilisateur
Ordinateur B+C
Utilisateur B+E
Employés
Ordinateur B
Utilisateur B
Kiosques
Fusion
Ordinateur B+K
Utilisateur E+B+K
Ordinateur
Utilisateur E
Bouclage
Ordinateur K
Utilisateur K
Remplacement
Ordinateur B+K
Utilisateur B+K
alphorm.com™©
Examen approfondi du traitement de la stratégie de groupe
• L'ordinateur démarre. Les services RPCSS (Remote Procedure Call System Service) et MUP (Multiple
Universal Naming Convention Provider) démarrent.
• Le Client de stratégie de groupe démarre et obtient la liste ordonnée des GPO dont l'étendue comprend
l'ordinateur.
Local
Site
Domaine
UO
GPO imposés
• Le conteneur de stratégie de groupe (GPC) traite chaque GPO dans l'ordre.
Doit-il être appliqué ? (activé/désactivé/autorisation/filtre WMI)
Les extension CSE sont déclenchées pour traiter les paramètres du GPO.
•
Les paramètres définis sur Activé ou Désactivé sont traités.
• Ouverture de session par l'utilisateur
• Le processus se répète pour les paramètres utilisateur.
• L'actualisation de l'ordinateur survient au démarrage, puis toutes les 90 à 120 minutes.
• L'actualisation de l'utilisateur survient à l'ouverture de session, puis toutes les 90 à 120 minutes.
alphorm.com™©
Liaisons lentes et systèmes déconnectés
• Le client de stratégie de groupe détermine si la liaison au domaine doit être considérée
comme lente.
Par défaut, inférieure à 500 Kbits/s
Chaque CSE peut utiliser cette détermination de liaison lente pour choisir ou non d'effectuer le
traitement.
•
L'extension CSE Logiciel, par exemple, n'effectue pas le traitement.
• Environnement déconnecté
Les paramètres appliqués précédemment restent en vigueur.
Les exceptions comprennent les scripts de démarrage, d'ouverture de session, de fermeture de
session et d'arrêt.
• Environnement connecté
Windows Vista et les versions ultérieures détectent les nouvelles connexions et actualisent la
stratégie de groupe lorsqu'une fenêtre d'actualisation a été manquée pendant la déconnexion.
alphorm.com™©
Entrée en vigueur des paramètres
• La réplication des GPO doit survenir.
Le GPC et le GPT doivent être répliqués.
• Les modifications de groupe doivent être intégrées.
Fermeture/ouverture de session pour l'utilisateur ; redémarrage pour l'ordinateur
• L'actualisation de la stratégie de groupe doit survenir.
Clients Windows XP, Windows Vista et Windows 7
Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session
• Les paramètres nécessitent parfois une fermeture/ouverture de session (utilisateur) ou un redémarrage
(ordinateur) pour prendre effet.
• Actualisation manuelle : GPUpdate [/force] [/logoff] [/boot]
• La plupart des extensions CSE ne réappliquent pas les paramètres si le GPO n'a pas changé.
Configuration dans Ordinateur\
Ordinateur\Modèles d'administration\
d'administration\Système\
alphorm.com™©
• Ordre de traitement de la stratégie de groupe
• Liens de GPO
• Héritage et priorité des objets GPO
• Filtrage de sécurité pour modifier l'étendue d'un objet GPO
• Filtres WMI
• Activation ou désactivation d'objets GPO et de nœuds de GPO
• Traitement en boucle des strategies
• Examen approfondi du traitement de la stratégie de groupe
FIN
alphorm.com™©
Résolution des problèmes liés
à l'application des stratégies
Hamid HARABAZAN
alphorm.com™©
Plan
• Génération des rapports RSoP
• Assistant Modélisation de stratégie de groupe
• Examen des journaux d'événements de stratégie
alphorm.com™©
Jeu de stratégies résultant
• Effet cumulatif d'une stratégie de groupe
Un utilisateur ou un ordinateur appartient généralement à l'étendue de
plusieurs GPO.
Paramètres potentiellement en conflit : priorité
• Outils indiquant dans un rapport les paramètres appliqués et le GPO
« vainqueur » en cas de paramètres conflictuels
• Outils permettant de modéliser les effets des modifications apportées à
l'infrastructure de stratégie de groupe ou à l'emplacement des objets
dans Active Directory
alphorm.com™©
Jeu de stratégies résultant
• L'héritage, les filtres, les boucles et les autres facteurs d'étendue et de
priorité sont complexes.
• RSoP
« Résultat final » de l'application d'une stratégie
Outils simplifiant l'évaluation, la modélisation et la résolution des problèmes
d'application des paramètres de stratégie de groupe
• Trois outils RSoP
Assistant Résultats de stratégie de groupe
Assistant Modélisation de stratégie de groupe
GPResult.exe
alphorm.com™©
Génération des rapports RSoP
• Assistant Résultats de stratégie de groupe
Interroge l'infrastructure WMI pour générer des rapports sur l'application réelle d'une stratégie de
groupe
• Spécifications
Identifiants d'administrateur sur l'ordinateur cible
Accès à l'infrastructure WMI (pare-feu)
L'utilisateur doit avoir ouvert au moins une session.
• Le rapport RSoP
Peut être enregistré
S'affiche en mode Avancé
•
Expose des paramètres qui n'apparaissent pas dans le rapport HTML
•
Présente les événements du traitement de la stratégie de groupe
alphorm.com™©
Assistant Modélisation de stratégie de
groupe
• Analyses
basées sur des hypothèses par l'Assistant Modélisation de
stratégie de groupe
Émule l'application d'une stratégie de groupe pour générer un rapport RSoP
anticipé
alphorm.com™©
Examen des journaux d'événements de stratégie
• Journal système
Informations générales sur la stratégie de groupe
Erreurs en un endroit quelconque du système, susceptibles d'affecter la
stratégie de groupe
• Journal des applications
Événements enregistrés par les extensions CSE
• Journal opérationnel de la stratégie de groupe
Suivi détaillé de l'application d'une stratégie de groupe
alphorm.com™©
• Génération des rapports RSoP
• Examen des journaux d'événements de stratégie
FIN
alphorm.com™©
Gestion de la configuration et de la
sécurité avec des GPOs
Délégation du support
technique des ordinateurs
Hamid HARABAZAN
alphorm.com™©
Plan
• Fonctionnement du support technique des ordinateurs
• Définition de l'appartenance aux groupes à l'aide des
préférences de la stratégie de groupe
alphorm.com™©
Fonctionnement des stratégies de groupes restreints
• Les stratégies de Groupes restreints permettent de gérer l'appartenance
aux groupes.
Membre de
• Stratégie pour un groupe de domaine
• Désignation de son appartenance à un groupe local
• Cumulative
Membres
• Stratégie pour un groupe local
• Désignation de ses membres (groupes et
utilisateurs)
• Faisant autorité
alphorm.com™©
Définition
desou
membres
groupes
à
• Créer,
supprimer
remplacerde
un groupe
local
l'aide des préférences
• Renommer un groupe local
• Changer la Description
• Modifier l'appartenance à un
groupe
• Les préférences Groupe local
sont accessibles dans
Configuration ordinateur et
Configuration utilisateur.
alphorm.com™©
• Fonctionnement du support technique des ordinateurs
• Définition de l'appartenance aux groupes à l'aide des
préférences de la stratégie de groupe
FIN
alphorm.com™©
Gestion des paramètres
de sécurité
Hamid HARABAZAN
alphorm.com™©
Plan
• Qu'est-ce que la gestion des stratégies de sécurité ?
• Configurer la stratégie de sécurité locale
• Gérer la configuration de la sécurité à l'aide des modèles de sécurité
• Utilisation de Configuration et analyse de la sécurité
• Assistant Configuration de la sécurité
alphorm.com™©
Qu'est-ce que la gestion des stratégies de sécurité ?
• Gérer la configuration de la sécurité
Créez la stratégie de sécurité.
Appliquez-la à un ou plusieurs systèmes.
Analysez les paramètres de sécurité par rapport à la stratégie.
Mettez la stratégie à jour ou corrigez les incohérences du système.
• Outils
Stratégie de groupe local et Stratégie de groupe de domaine
Modèles de sécurité (composant logiciel enfichable)
Configuration et analyse de la sécurité (composant logiciel enfichable)
Assistant Configuration de la sécurité
alphorm.com™©
La stratégie de sécurité locale et de domaine
• Stratégie de sécurité locale
• Stratégie de groupe de domaine
alphorm.com™©
Les modèles de sécurité
• Les paramètres sont un sous-ensemble des
paramètres du GPO domaine, mais
diffèrent du GPO local.
• Modèles de sécurité
Fichiers au format texte
Applicables directement à un ordinateur
•
Configuration et analyse de la sécurité
•
Secedit.exe
Déployables avec la Stratégie de groupe
Permet de comparer les paramètres
de sécurité actuels d'un ordinateur
par rapport à ceux du modèle de sécurité
alphorm.com™©
L'outil de Configuration• Secedit.exe
et analyse de la sécurité
• Construire votre propre console
MMC
• Créer une base de données
Importer un ou des modèles
• Utiliser la base de données
Analyser un ordinateur
Corriger les incohérences
secedit /configure /db BaselineSecurity.sdb /cfg
BaselineSecurity.inf /log BaselineSecurity.log
secedit /generaterollback /cfg
BaselineSecurity.inf /rbk
BaselineSecurityRollback.inf
/log BaselineSecurityRollback.log
Configurer l'ordinateur
Exporter sous forme de modèle
alphorm.com™©
Assistant Configuration de la sécurité
• Stratégie de sécurité : fichier .xml qui configure :
Configuration de services à base de rôles
La sécurité du réseau, notamment les règles du pare-feu
Les valeurs du registre
La stratégie d'audit
Peut comprendre un modèle de sécurité (.inf)
• Créer la stratégie
• Modifier la stratégie
• Appliquer la stratégie
• Annuler la stratégie
• Transformer la stratégie en objet GPO
scwcmd transform /p:"MySecurity.xml
/p:"MySecurity.xml"
p:"MySecurity.xml" /g:"Mon
/g:"Mon nouveau GPO"
alphorm.com™©
• Qu'est-ce que la gestion des stratégies de sécurité ?
• Configurer la stratégie de sécurité locale
• Gérer la configuration de la sécurité à l'aide des modèles de sécurité
• Utilisation de Configuration et analyse de la sécurité
• Assistant Configuration de la sécurité
FIN
alphorm.com™©
Gestion des logiciels avec
GPSI
Hamid HARABAZAN
alphorm.com™©
Plan
• Fonctionnement de l'installation de logiciels de la stratégie
de groupe (GPSI)
• Création d'un point de distribution de logiciels
• Maintenance des logiciels déployés avec un objet GPO
• GPSI et liaisons lentes
alphorm.com™©
Fonctionnement de GPSI
• Extension côté client (CSE)
• Installe les packages pris en charge
Packages Windows Installer (fichiers .msi)
msi
•
Éventuellement modifiés par Transform (..mst)
mst ou des correctifs (..msp)
msp
•
GPSI installe automatiquement avec des privilèges élevés.
élevés
Package d'applications de bas niveau (.zap
zap)
zap
•
Pris en charge uniquement par l'option Publier
•
Exige un utilisateur avec privilèges Admin
SCCM (System Center Configuration Manager) et d'autres outils de déploiement peuvent prendre en charge
un grand nombre de packages d'installation et de configuration.
• Aucun « retour »
Pas d'indication centralisée sur la réussite ou l'échec
Aucune gestion intégrée des mesures, de l'audit et des licences
alphorm.com™©
Fonctionnement de GPSI (suite)
• Options de déploiement de logiciels
Affectation de l'application aux utilisateurs
•
Les raccourcis du menu Démarrer apparaissent.
- Installation à la demande
•
Associations de fichiers effectives (Installation automatique en option)
- Installation à l'invocation de document
•
En option, configurer pour l'installation à la connexion
Publier l'application pour les utilisateurs
•
Publié dans Programmes et fonctionnalités (Panneau de configuration)
- Installation sur requête
Affectation aux ordinateurs
•
Installation au démarrage
alphorm.com™©
Démonstration :
Création d'un point de distribution de logiciels
• Créer un dossier partagé
• Y mettre les logiciels :
XML Notepad : http://www.microsoft.com/enus/download/details.aspx?id=7973
alphorm.com™©
GPSI
• Redéploiement d'application
Après une installation réussie, le client ne tentera pas de réinstaller l'application.
Vous devrez modifier le package.
Package
Toutes les tâches
Redéployer l'application
• Mise à niveau d'une application
Créez un nouveau package dans le même GPO ou dans un autre.
Avancé
Mises à niveau
Sélectionner le package à mettre à niveau
Commencez par désinstaller l'ancienne version ou remplacez-la par la nouvelle.
• Suppression d'une application
Package
Toutes les tâches
Supprimer
Désinstallez immédiatement (retrait forcé) ou
empêchez les nouvelles installations (retrait optionnel).
Ne supprimez pas le GPO et n'annulez pas son lien avant que tous les clients n'aient appliqué le paramètre.
alphorm.com™©
GPSI et liaisons lentes
• Le Client de stratégie de groupe détermine si le contrôleur de domaine qui fournit les
GPO est à l'autre extrémité d'une liaison lente.
< 500 Kbits/s par défaut
• Chaque extension CSE identifie les liaisons lentes pour décider si le traitement doit avoir
lieu.
Par défaut, GPSI ne traite pas en cas de liaison lente.
• Vous pouvez modifier le comportement de traitement en cas de liaison lente pour chaque
extension CSE.
Configuration ordinateur\
ordinateur\Stratégies\
d'administration\ Système\
• Vous pouvez modifier le seuil de liaison lente.
Configuration ordinateur [ou utilisateur]
utilisateur] \Stratégies\
d'administration\ Système\
Système\Stratégie
de groupe
alphorm.com™©
• Fonctionnement de l'installation de logiciels de la stratégie
de groupe (GPSI)
• Création d'un point de distribution de logiciels
• Maintenance des logiciels déployés avec un objet GPO
• GPSI et liaisons lentes
FIN
alphorm.com™©
Les stratégies d'audit
Hamid HARABAZAN
alphorm.com™©
Plan
• Présentation des stratégies d'audit
• Définition des paramètres d'audit sur un fichier ou un dossier
• Activation d'une stratégie d'audit
• Évaluation des événements dans le journal de sécurité
alphorm.com™©
Présentation des stratégies d'audit
• Audit des événements d'une
catégorie d'activités
Accès aux fichiers/dossiers NTFS
Modifications des comptes ou
des objets dans Active Directory
Ouverture de session
Affectation ou utilisation de
droits d'utilisateur
• Par défaut, les contrôleurs de domaine auditent les événements de réussite de la plupart des catégories.
• Objectif : aligner les stratégies d'audit sur les stratégies de sécurité et les besoins concrets de l'entreprise
Excès d'audit : les journaux sont si volumineux qu'il est difficile d'y localiser les événements importants.
Audit insuffisant : les événements importants ne sont pas journalisés.
Des outils très utiles peuvent vous aider à regrouper les journaux.
alphorm.com™©
L'audit sur un fichier ou un dossier
• Modification de la liste de contrôle
d'accès système (SACL)
Propriétés
Avancé
Audit
Modification
alphorm.com™©
Activation de la stratégie d'audit
• Activation de l'audit de l'accès aux objets : Réussite et/ou Échec
• L'étendue de l'objet GPO doit être définie sur le serveur.
• Le paramètre de stratégie Réussite/Échec doit correspondre aux
paramètres d'audit (réussite/échec).
alphorm.com™©
Évaluation des événements dans le journal de sécurité
• Journal de sécurité
• Récapitulatif
La stratégie Auditer l'accès aux objets doit être
activée pour auditer la Réussite ou l'Échec.
•
L'étendue de l'objet GPO doit être définie sur
le serveur.
La liste de contrôle d'accès système (SACL) doit
être configurée pour auditer les accès ayant
réussi ou échoué.
L'examen du journal de sécurité est nécessaire.
alphorm.com™©
• Présentation des stratégies d'audit
• Définition des paramètres d'audit sur un fichier ou un dossier
• Activation d'une stratégie d'audit
• Évaluation des événements dans le journal de sécurité
FIN
alphorm.com™©
Audit de l'administration
d'Active Directory
Hamid HARABAZAN
alphorm.com™©
Plan
• Activation de la stratégie d'audit
• Amélioration de la stratégie d'audit
• Consultation des événements audités dans le journal de la sécurité
alphorm.com™©
Amélioration de la stratégie d'audit
• Une entrée du journal des événements signale que « cet objet a été modifié ».
•
Difficultés à identifier l'attribut qui a été modifié
•
Impossible de connaître l'ancienne ou la nouvelle valeur de l'attribut
• Modification du service d'annuaire
Identifie l'objet, l'attribut et les anciennes et nouvelles valeurs
Non activé par défaut
4 sous categories :
•
Directory Service Access
•
Directory Service Changes
•
Directory Service Replication
•
Detailed Directory Service Replication
À activer depuis l'invite de commande :
auditpol /set /subcategory
/subcategory:"modification
subcategory:"modification du service d’annuaire" /success:enable
/success:enable
alphorm.com™©
• Activation de la stratégie d'audit
• Amélioration de la stratégie d'audit
• Consultation des événements audités dans le journal de la sécurité
FIN
alphorm.com™©
Amélioration de la sécurité de
l'authentification
Configuration des stratégies de
mot de passe et de verrouillage
Hamid HARABAZAN
alphorm.com™©
Plan
• Principes de la stratégie de mot de passe
• Fonctionnement des stratégies de verrouillage des comptes
• Configuration de la stratégie du domaine pour les mots de passe et le
verrouillage
• Stratégie affinée pour les mots de passe et le verrouillage (PSO)
• Les étapes d’implementation des objets PSO (Password Settings Object)
• Priorité des objets PSO et objet PSO résultant
alphorm.com™©
Principes de la stratégie de mot de passe
• Les stratégies de mot de passe se composent des éléments suivants :
Conserver l'historique des mots de passe : 24 mots de passe
Durée de vie maximale du mot de passe : 42 jours
Durée de vie minimale du mot de passe : 1 jour
Longueur minimale du mot de passe : 7 caractères
Le mot de passe doit respecter des exigences de complexité : activé
Enregistrer les mots de passe en utilisant un chiffrement réversible : désactivé
alphorm.com™©
Principes de la stratégie de verrouillage de compte
• Les stratégies de verrouillage des comptes se composent des éléments
suivants :
Durée de verrouillage : non défini
Seuil de verrouillage : 0 tentative d'ouverture de session non valide
Réinitialiser le compteur de verrouillage du compte après : non défini
• Permettent d'atténuer la menace des attaques en force visant les comptes
d'utilisateur
• Déverrouillage
Tout utilisateur verrouillé peut être déverrouillé par un administrateur.
La stratégie de réinitialisation du verrouillage de compte peut définir un délai après
lequel un compte verrouillé est automatiquement déverrouillé.
alphorm.com™©
•
La stratégie de mot de passe et de
Les
stratégies de mot de passe du domaine sont définies par l'objet GPO prioritaire dont
verrouillage
l'étendue comprend les contrôleurs de domaine.
Par défaut, il s'agit du GPO de la stratégie de domaine par défaut.
• Recommandations :
Modifiez les paramètres des stratégies de mot de passe, de verrouillage et Kerberos dans le GPO
par défaut du domaine.
N'utilisez pas le GPO par défaut du domaine pour déployer d'autres paramètres de stratégie.
Ne définissez pas les paramètres de mot de passe, de verrouillage ou Kerberos du domaine dans
un autre objet GPO.
• Les paramètres de stratégie sont remplacés par les options des comptes utilisateur.
utilisateur.
Le mot de passe n'expire jamais.
jamais.
Enregistrez les mots de passe avec un chiffrement réversible.
réversible.
alphorm.com™©
Stratégie affinée pour les mots de passe et le verrouillage
Les stratégies affinées autorisent la cohabitation de plusieurs stratégies de mot de
passe et de verrouillage dans le même domaine.
Stratégie du domaine :
Longueur : 10
Âge max. : 90
Verrouillage : 5 en 30 min
Réinitialisé : 30 min
Le mot de passe
n'expire jamais
Longueur : 64
Verrouillage : Aucune
Comptes de
service
Administrateurs
Utilisateurs
Finances
Longueur : 15
Âge max. : 45
Réinitialisé : 1 jour
Longueur : 15
Âge max. : 60
Réinitialisé : 30 min
alphorm.com™©
Les étapes d’implementation des objets PSO
• http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx
• Conditions :
Le niveau fonctionnel de domaine Windows Server 2008 est obligatoire.
Les objets PSO peuvent uniquement être appliqués à des utilisateurs ou à
des groupes globaux.
alphorm.com™©
Priorité des objets PSO et objets PSO
résultants
• Un même objet PSO peut être lié à plusieurs groupes ou utilisateurs.
• Un même groupe ou utilisateur peut être lié à plusieurs objets PSO.
• Un seul objet PSO « l'emporte » : l'objet PSO résultant.
résultant.
Priorité : plus le nombre est faible (proche de 1), plus la priorité est élevée.
Le PSO de groupe global dont la priorité est la plus élevée (la plus proche de 1) l'emporte.
Tout objet PSO lié à un utilisateur remplace tous les objets PSO des groupes globaux. L'objet PSO lié à un utilisateur dont la
priorité est la plus élevée (la plus proche de 1) l'emporte.
• Attribut msDSmsDS-ResultantPSO d'un utilisateur dans l'Éditeur d'attributs
Cliquez sur le bouton Filtrer et vérifiez que Construit est sélectionné.
• En l'absence de PSO, les stratégies des comptes du domaine s'appliquent.
• Recommandations
Utilisez uniquement des objets PSO liés à des groupes. Ne les liez pas à des objets utilisateur.
Évitez de donner la même valeur de priorité à deux objets PSO.
• Les objets PSO ne peuvent pas être « liés » à une UO.
Créez un groupe instantané contenant tous les utilisateurs de l'UO.
alphorm.com™©
• Principes de la stratégie de mot de passe
• Fonctionnement des stratégies de verrouillage des comptes
• Configuration de la stratégie du domaine pour les mots de passe et le
verrouillage
• Stratégie affinée pour les mots de passe et le verrouillage (PSO)
• Les étapes d’implementation des objets PSO (Password Settings Object)
• Priorité des objets PSO et objet PSO résultant
FIN
alphorm.com™©
Amélioration de la sécurité de
l'authentification
Audit de l'authentification
Hamid HARABAZAN
alphorm.com™©
Plan
• Événements de connexion aux comptes et événements de connexion
• Configuration des stratégies d'audit liées à l'authentification
• Définition de l'étendue des stratégies d'audit
• Examen des événements de connexion
alphorm.com™©
Événements de connexion aux comptes et événements de connexion
Événement de
connexion au compte
• Événements de connexion au compte
Enregistrés par le système
qui authentifie le compte
Pour les comptes de domaine :
contrôleurs de domaine
Événement
de connexion
Pour les comptes locaux :
ordinateur local
• Événements de connexion
Enregistrés par l'ordinateur sur lequel
l'utilisateur a ouvert une session ou auquel il
s'est connecté
Ouverture de session interactive : système de
l'utilisateur
Connexion réseau : serveur
Événement
de connexion
alphorm.com™©
Configurer les stratégies d'audit liées à l'authentification
• Configuration ordinateur > Paramètres Windows > Paramètres de
sécurité > Stratégies locales > Stratégie d'audit
La configuration par défaut de Windows Server
2008 consiste à auditer les événements
Opération réussie pour les événements de
connexion au compte et de connexion.
alphorm.com™©
d'audit
Stratégie Contrôleurs de
domaine par défaut
Compte de connexion au
compte
Contrôleurs
de domaine
GPO personnalisé
Événements de
connexion
Serveurs
Bureau
à distance
Clients
Finance
alphorm.com™©
Examiner les événements de connexion
• Journal Sécurité du système qui a généré l'événement
Contrôleur de domaine qui a authentifié l'utilisateur : connexion au compte
•
Remarque : pas de réplication dans les autres contrôleurs de domaine
Système sur lequel l'utilisateur a ouvert une session ou auquel il s'est
connecté : connexion
alphorm.com™©
• Événements de connexion aux comptes et événements de connexion
• Configuration des stratégies d'audit liées à l'authentification
• Définition de l'étendue des stratégies d'audit
• Examen des événements de connexion
FIN
alphorm.com™©

alphorm.com - Active Directory 2008 R2 (70-640)

Transcription

Documents pareils

BAC +5 Titre RNCP Niveau 1 Expert en Ingéniérie Systèmes

Factsheet Active Directory

Recycle Bin documentation

Fausses pages jaunes et annuaires médicaux bidon

Création d`un script de démarrage sous Active Directory Création d

Partenaire Microsoft® CPLS (Microsoft® Certified Partners for

Active Director yy

Red Hat rachète les outils d`annuaires estampillés Netscape

Remote control pour Active Directory

1. Présentation