L`Active Directory
Transcription
L`Active Directory
L’Active Directory Active Directory : Plan - Concepts Espace de noms Topologie Réseau d’agence W2000 vs WS2003 Outils Utilisateur Formation Master II Pro 2 Active Directory : Philosophie Formation Master II Pro 3 Active Directory : Concepts Le schéma • Tout élément de l’AD est un objet doté d’attribut Ex : l’objet utilisateur a un attribut e-mail • Les définitions des classes et des attributs sont accessibles via le Schéma • Utilisation : – Extensible (ajouts d’objet ou d’attribut) – interopérabilité Formation Master II Pro 4 Active Directory : Concepts partitions Les partitions sont des conteneurs dans lesquels sont conservés un type de données – partition du domaine : – Objet du domaine commun à tous les serveurs – Partition de la configuration : – Information de configuration de la forêt, commun à tous les contrôleurs de la forêt – Partition du schéma : – Schéma de l’AD, sur tous les contrôleurs – Partition de l’application : – Peut être créée avec des objets de tout type sauf de sécurité (user, groupe, ordi) peut être répliquée sur n’importe quel ensemble de contrôleurs dans la forêt Formation Master II Pro 5 Active Directory : Concepts Domaine – frontière de sécurité et de réplication – L’annuaire associé à chaque domaine est disponible sur 1 ou plusieurs serveurs du domaine – Il est possible de créer des arborescence de domaines – A chaque domaine est associé un nom – Ex : polytech.univ-montp2.fr Formation Master II Pro 6 Active Directory : Concepts Architecture logique – Arbre : ensemble de domaines situé sous une racine unique formant un espace de noms contigus – Forêt : ensemble d’arbres ne formant pas un espace de noms continus Forêt p1.com p2.com Arbre Arbre Formation Master II Pro 7 Active Directory : Concepts Caractéristiques d’une forêt – Dans une forêt les domaines partagent : • Un même schéma • Une même partition de configuration • Un même catalogue global – Dans une forêt, les domaines sont liés entre eux par des relations d’approbations : • Transitives • Bidirectionnelles Formation Master II Pro 8 Active Directory : Concepts Relations d’approbation – Les relations d’approbation entre domaines W2000 utilisent Kerberos et sont : – Implicites, transitives et bidirectionnelles NT 4.0 Formation Master II Pro W2000 W2003 9 Active Directory : Concepts Catalogue global Il contient une réplique partielle (nb réduit d’attribut) d’objets de l’annuaire • Utilisation : permet de localiser rapidement n’importe quel objet • sans connaître son emplacement dans l’arborescence Est présent dans chaque domaine Formation Master II Pro 10 Active Directory : Concepts Unités organisationnelles – Conteneurs d’objets de type utilisateurs, groupes, ordinateurs – Définies dans un domaine – Utilisation : • • • Organisations des données Délégation des droits pour l’administration Application des stratégies de groupe Formation Master II Pro 11 Active Directory : Concepts Fonctions des serveurs – Un serveur WNT peut être : • Contrôleur principal de domaine (PDC) • Contrôleur secondaire de domaine (BDC) • Serveur membre – Un serveur W2000/WS2003 peut être : • Contrôleur de domaine (DC) • Serveur membre Formation Master II Pro 12 Active Directory : Conception de l’espace de noms Formation Master II Pro 13 Active Directory : Conception de l’espace de noms Définition de l’espace de noms – Doit se rapprocher des topologies idéales – Doit déboucher sur un découpage utile : – Espace de noms des domaines et DNS – Topologies d’OU – Topologies de sites Formation Master II Pro 14 Active Directory : Conception de l’espace de noms Combien de forêts ? – Au départ une forêt ! – Pour créer une forêt de + il faut des arguments : – Nécessité de préserver des schémas distincts – Refus de dévoiler une topologie de domaines – Désaccord sur la composition des groupes sensibles Administrateur de Schéma Administrateur de l’Entreprise – Souhait de conserver le contrôle des approbations Formation Master II Pro 15 Active Directory : Conception de l’espace de noms Contraintes du nombre de forêts – Un domaine ne peut pas changer de forêt – Déplacement d’objet : • On sait migrer des objets d’un domaine à un autre • Mais ce n’est pas anodin ! – On ne sait pas interroger le Catalogue Global d’une autre forêt … … à moins de passer par un Méta Annuaire!! Formation Master II Pro 16 Active Directory : Conception de l’espace de noms Combien de domaines – Au départ un domaine – Un domaine de plus, il faut argumenter : • Délégation ne suffit pas • Nécessité de mettre en place des stratégies spécifiques : – Gestion des mots de passe – Verrouillage des comptes – Gestion des tickets Kerberos • Soucis d’optimisation de la réplication • Restructuration prévue, mais + tard Formation Master II Pro 17 Active Directory : Conception de l’espace de noms Définition de la racine de la forêt – Le 1er domaine créé est la racine de la forêt – Il donne son nom à la forêt – Il héberge 2 groupes sensibles : – Admins de l’Entreprise – Admins du Schéma – Choix du domaine Racine : – A choisir parmi les domaines déjà définis – Ou à créer pour les besoins Formation Master II Pro 18 Active Directory : Topologies d’OU Rôles des Unités Organisationnelles – Les OU peuvent servir à : • Organiser des objets • Ne pas tout montrer à tout le monde • Définir des périmètres de délégation • Définir des périmètres d’applications pour les GPO – Une OU contient des objets et pas des références à des objets – A une OU correspond des sécurités Formation Master II Pro 19 Active Directory : Topologie de sites Notion de site Active Directory – Qu’est ce qu’un site ? • Ensemble machines ‘bien communicantes’ • Définit comme un agrégat de sous réseaux IP • Suppose un subnetting géographique – Qui utilise les sites ? • Station pour localiser un DC proche • KCC (Konsistency Coherence Checker) pour limiter le trafic de réplication sur liaisons lentes • Client DFS pour localiser un répliqua proche • Utilisateur pour localiser une imprimante proche Formation Master II Pro 20 Active Directory : Topologie de sites Définition d’une topologie de réplication – Qui réplique avec qui (en inter sites) ? • Tout automatique : le KCC fait tout • Semi-automatique : – Fournir qques indices au KCC : Créer manuellement qques connexions Ajouter des liens de sites Designer des têtes de pont • Tout manuel : – Créer toutes les connexions manuellement – Inhiber le KCC Formation Master II Pro 21 Active Directory : Réseau d’agence Installation depuis une sauvegarde – Avec W2000, lors de l’installation d’un contrôleur de domaine, une réplication complète de l’AD est faite par le réseau • Augmentation des coûts de communication • Expédition de contrôleurs pré installés – Avec WS2003, DCPROMO est capable d’installer l’AD à partir d’un sauvegarde de l’annuaire : • Seul le delta est répliqué par le réseau Formation Master II Pro 22 Active Directory : Réseau d’agence Optimisation de la réplication – W2000 : les attributs multi-valués (ex : groupes) sont stockés comme une valeur unique • Ces attributs ont une taille limite. Ils sont répliqués en bloc > consommation de bande passante inutile – WS2003 : réplication unitaire des modifications • Suppression de la limite max des 5000 utilisateurs par • groupe, réconciliation en cas de mises à jour concurrentes. Tous les contrôleurs doivent être en WS2003 Formation Master II Pro 23 Active Directory : Réseau d’agence Optimisation de la réplication – WS2000 : topologie de réplication inter sites auto générée par l’ISTG (Inter Site Topology Generator) n’est pas exploitable pour nb de sites > 250 – Génération manuel de la topologie de réplication – WS2003 : utilisation d’un nouvel algo complexité lineaire au lieu de s2. – Tous les controleurs doivent en WS2003 – Bridgehead Server entre sites – Load balancing des connexions Formation Master II Pro 24 Active Directory : WS2003 versus W2000 Appartenance des attributs au GC – Avec W2000, l’ajout d’attribut au GC engendre une synchronisation complète des copies du GC – Nécessité de paramétrer avant le déploiement des GC – Avec WS2003, seuls les attributs ajoutés sont répliqués, mais tous les contrôleurs doivent être en WS2003 Formation Master II Pro 25 Active Directory : Multi forêts Relation d’approbation • Avec WS2003 les relations d’approbation inter forêts réduisent la charge d’administration Rel. Approb. A-B Forêt A Rel. Approb. B-C Forêt B Formation Master II Pro Forêt C 26 Active Directory : WS2003 Niveau de fonctionnalité : domaines Niveau de fonctionnalité Fonctionnalité activée Types de DC supportés W2000 mixte Installation depuis un support •Mis en cache des groupes universels •Partitions applicatives WNT4 W2000 WS2003 W2000 Natif Fonctionnalités de W2000 + •Imbrication des groupes •Groupe de type universel •SIDhistory W2000 WS2003 WS2003 intérimaire Idem mode natif w2000 WNT4 WS2003 WS2003 natif Fonctionnalités de W2000 natif + •Mis à jour de l’attribut logon timestamp •Version de KDC (Key Distribution Center) Kerberos •Mot de passe utilisateur dans InetOrgPerson WS2003 Formation Master II Pro 27 Active Directory : WS2003 Niveau de fonctionnalité : forêts Niveau de fonctionnalité Fonctionnalité activée Types de DC supportés W2000 Installation depuis un support •Mis en cache des groupes universels •Partitions applicatives WNT4 W2000 WS2003 WS2003 intérimaire Idem mode w2000 •Réplication LVR (linked Value Record) •Amélioration ISTG (Inter Site Topology Generator) WNT4 WS2003 WS2003 Fonctionnalités de W2003 intérimaire + •Classe auxiliaire dynamique •Modification de la classe user en InetOrgPerson •Dé/réactivation au sein du schéma •Changement du nom de domaine •Relation d’approbation inter forêts WS2003 Formation Master II Pro 28 Active Directory : Outil interactif Affichage Formation Master II Pro 29 Active Directory : Outil interactif L’utilisateur Formation Master II Pro 30 Active Directory : Outil interactif Requête sauvegardée Formation Master II Pro 31 Active Directory : Outil interactif Résultat d’une recherche Formation Master II Pro 32 Active Directory : Outil interactif Sites Formation Master II Pro 33 Active Directory : Ligne de commande L’utilisateur – Utilisation de lignes de commande pour créer des objets : – – – – dsadd user -> crée un compte utilisateur dsadd group -> crée un groupe dsmod group -> ajoute des membres à un groupes Dsquery -> recherche d’objet dans l’AD – Possibilité de créer des fichiers de commandes dsadd computer "cn=smithj1,ou=cso,dc=contoso,dc=msft " dsadd user "cn=John Smith,ou=CSO,dc=contoso,dc=msft" -samid smithj -upn [email protected] -fn John -ln Smith -display "John Smith" -pwd P@ssw0rd -disabled yes Voir les exemples : http://www.microsoft.com/technet/scriptcenter/scripts/default.m spx et dsxxx/? évidemment !! Formation Master II Pro 34 Active Directory : Le compte utilisateur Description – Ensemble des attributs d’un objet user • Nom, prénom, initial, adresse, e-mail … – profil – Dossier de base – Groupes auxquels il appartient – L’UO ou la hiérarchie d’UO qui le contient Formation Master II Pro 35 Active Directory : Le compte utilisateur Le profil – Décrit l’environnement de travail de l’utilisateur Bureau, Mes Documents, données applicatifs (IE, …) – 3 types : – Profil errant : stocké sur un serveur de fichiers. Est téléchargé sur toute station ou l’utilisateur se connecte -> même environnement – Profil local : stocké sur la station local. Est différent sur chaque station ou se logue l’utilisateur – Profil bloqué :modification de l’extension du fichier C:\Documents and Settings\lepinay\ntuser.dat en .man L’utilisateur ne peut pas sauvegarder les modifications apportées au profil Permet de fournir un profil identique à une population Formation Master II Pro 36 Active Directory : Le compte utilisateur Le dossier de base – Le dossier de base est le conteneur des données de l’utilisateur – Peut être local ou sur un serveur de fichier Formation Master II Pro 37 Active Directory : Le compte utilisateur Les groupes prédéfinis Formation Master II Pro 38 Active Directory : Le compte utilisateur Les UO – L’utilisateur est placé dans une hiérarchie d’UO en fonction des droits qu’on voudra pouvoir lui donner. – Cette hiérarchie permet aussi de lui appliquer des stratégies de groupe Formation Master II Pro 39