Active Directory [PDF]

Zitiervorschau

WINDOWS SERVER 2012 Service Active Directory

Introduction L’objectif principal d’un réseau d’entreprise est de partager des



ressources : imprimantes, fichiers, … Pour organiser les ordinateurs dans un réseau les administrateurs



peuvent utiliser deux méthodes : - Groupe de travail; - Domaine. la principale différence entre les deux méthode est la manière



dont les ordinateurs et les autres ressources du réseau sont gérés. 2

OUZAOUIT

Introduction Dans un groupe de travail :



–

Tous les ordinateurs sont identiques, aucun ordinateur ne contrôle les autres.

–

Chaque ordinateur partage ces propres ressources

–

Chaque ordinateur possède ces propres comptes d’utilisateurs stockés sur la base de données SAM Pour

ouvrir une session sur l’un des ordinateurs et accéder à ces ressources, Vous

devez disposer d’un compte sur cet ordinateur. Administration

3

et sécurité décentralisées

OUZAOUIT

Introduction Dans un domaine :



–

Un ou plusieurs ordinateurs contrôlent les autres. on les appelle des contrôleurs de domaines (DC). ils permettant de localiser et gérer l’accès aux ressources du domaine.

–

Chaque ordinateur possède ces propres comptes utilisateurs (dans la base de données SAM), Permettant d’ouvrir une session sur l’ordinateurs en local et accéder à ces ressources.

–

Il y a aussi des comptes de domaine stockés sur le contrôleur de domaine

permettant d’accéder à toutes les machines et ressources du domaine. –

4

Administration et sécurité centralisées

OUZAOUIT

Introduction Groupe de travail

Domaine

Il n’y a en général pas plus de vingt ordinateurs sur ce type des réseaux.

Un domaine peut être constitué de milliers d’ordinateurs.

Un groupe de travail n’est pas protégé

Un domaine est

par un mot de passe

mot de passe

 tout utilisateur peut joindre sa machine au groupe.

protégé

par un

 Pour joindre une machine au domaine vous devez fournir un mot de passe

Tous les ordinateurs doivent se trouver sur le même réseau local ou le même sous-réseau 5

Les ordinateurs peuvent se trouver sur des réseaux locaux différents. OUZAOUIT

1. Vue d’ensemble de l’Active Directory Vue d'ensemble d'AD DS Que sont les domaines AD DS ? Que sont les unités d'organisation ? Qu'est-ce qu'une forêt AD DS ? Qu'est-ce que le schéma AD DS ? Les partitions AD Processus de connexion AD DS

 

    

6

OUZAOUIT

1. Vue d’ensemble de l’Active Directory Active Directory est le service d’annuaire (bibliothèque) de la famille Windows. –

Le rôle de l'annuaire Active Directory est de stocker d’une manière centralisé les information relatives aux objets d’un réseau et d’ y facilité l’accès, la recherche et la modification.

–

Les objets peuvent être les comptes utilisateurs, les groupes, les ordinateurs, les imprimantes, les dossiers, applications …

–

7

Il existe 5 rôles Active Directory qui sont :

•

AD Domain Services (AD DS): Annuaire

•

AD Certificate Services (AD CS): gestion de certificats numériques

•

AD Federation Services (AD FS): Ressources partagées

•

AD Right Management Services (AD RMS): Sécurisation des données

•

AD Lightweight Directory Services (AD LDS): version allégée d’Active Directory.

OUZAOUIT

1. Vue d’ensemble de l’Active Directory AD DS se compose à la fois de composants physiques et logiques

Composants physiques

Composants logiques

• Base de données AD DS

• Partitions

• Contrôleurs de domaine

• Schéma

• Serveur de catalogue

• Domaines

global

• Contrôleur de domaine

en lecture seule RODC

• Arborescences de domaines • Forêts • Sites • Unités d'organisation

8

OUZAOUIT

1. Vue d’ensemble de l’Active Directory Composants physiques Base de données: Stocke les informations AD DS. Il s'agit d'un fichier NTDS.DIT qui se trouve sur chaque contrôleur de domaine. Contrôleur de domaine: serveur active directory qui gère le domaine et qui contient la base de données AD. Il authentifie les utilisateurs par protocole Kerberos pour accéder au domaine. Serveur Catalogue global: contrôleur de domaine qui stocke une copie complète de tous les informations sur son domaine et une partie des informations des autres domaines de la foret. Contrôleur en lecture seule RODC: sont des contrôleurs de domaine qui possèdent une copie en lecture de la base de données de l'annuaire. est souvent utilisée dans les filiales où la sécurité et l'assistance informatique sont souvent moins avancées que dans les centres d'affaires principaux.

 





9

OUZAOUIT

1. Vue d’ensemble de l’Active Directory Composants logiques 





Domaine AD: est un ensemble d’objets ( machines, d’utilisateurs, groupes, imprimantes, …) partageant la même base de données active directory et regroupées sous un même nom. Arborescence de domaine: est constitué de plusieurs domaines, un espace de noms contigu. foret: est constituée d'un arbre ou de plusieurs arbres qui ne forment pas un espace de nom contigu.

10

OUZAOUIT

1. Vue d’ensemble de l’Active Directory 

Unité d’organisation OU: est un type d’objet conteneur qui permet d’organiser logiquement les objets dans un domaine.



Un site: est une combinaison d’un ou plusieurs sous réseaux connectés entre eux par une liaison à haut débit fiable (liaison LAN). Un Schéma: Définit la liste des attributs (informations sur l’objet comme nom, prénom…) que tous les objets peuvent avoir dans AD DS.



11

OUZAOUIT

1. Vue d’ensemble de l’Active Directory Active Directory stocke sa base de donnée dans un fichier

unique NTDS.DIT. Cette base de données est divisée logiquement en cinq partitions (Naming Context):  la

partition de schéma,

 la

partition de configuration,

 la

partition de domaine.

 La

partition application

 La

partition catalogue global (PAS)

12

OUZAOUIT

1. Vue d’ensemble de l’Active Directory 

La partition de configuration contient la topologie de la forêt, c'est-à-dire les informations concernant les domaines, les sites, les connexions entre les contrôleurs, etc... Concrètement, il existe qu'une seule partition de configuration par forêt. Lors d'une modification, cette partition sera dupliquée sur tous les contrôleurs de domaine de tous les domaines de la forêt.



La partition de schéma contient le schéma étendu au niveau de la forêt, c'est-à-dire l'ensemble des définitions des classes (utilisateur, ordinateur, groupe…) et attributs (nom, emplacement, SID…) des objets pouvant être créer dans l'annuaire Active Directory. Pour assurer la cohérence de la définition de chaque classe d'objet, il n'existera qu'un seul schéma par

forêt. La partition de schéma est aussi répliquée sur l'ensemble des contrôleurs de domaine de tous les domaines de la forêt. 13

OUZAOUIT

1. Vue d’ensemble de l’Active Directory 

La partition de domaine contient les informations concernant tous les objets d'un domaine. Elle est spécifique à un domaine, donc, les informations qu'elle contient seront répliquer sur l'ensemble des contrôleurs de domaine appartenant au même domaine. Par conséquent, dans une forêt composée de plusieurs domaines, il existera plusieurs partitions de domaine (une par domaine).



La partition application la partition application, stocke les données sur les applications utilisées dans Active Directory, comme par exemple, les zones intégrées à Active Directory d'un serveur DNS.

Cette partition est répliquée sur des contrôleurs de domaine que vous définissez. 

La partition Catalogue global Cette partition est également appelé Partial Attribute Set (PAS) dans certains documents. Elle contient une copie partiel de tous les objets du domaine. Il est répliqué sur tous les catalogues globaux dans la forêt. 14

OUZAOUIT

1. Vue d’ensemble de l’Active Directory Schéma Configuration Domaine A

Schéma Configuration

Domaine A Contrôleur domaine Schéma

Domaine A

Configuration

Domaine B

Domaine B Catalogue global

Domaine B

Schéma Configuration Domaine B

Contrôleur domaine

Contrôleur domaine 15

OUZAOUIT

1. Vue d’ensemble de l’Active Directory Processus de connexion AD DS 1. Le compte d'utilisateur est authentifié auprès de DC1 pour joindre le domaine

DC1

2. DC1 retourne un ticket TGT (Ticket Granting Ticket) au client 3. Le client utilise le ticket TGT pour solliciter l'accès à WKS1 4. DC1 accorde l'accès à WKS1 5. Le client utilise le ticket TGT pour solliciter l'accès à SVR1

WKS1

6. DC1 retourne l'accès à SVR1 16

OUZAOUIT

SVR1

2. Les maitres d’opérations AD 

Les Maîtres d’opérations ou FSMO (Flexible Single Master Operation)

désignent certains types de contrôleur de domaine

qui ont des

rôles spécifiques. 

Certains rôles sont uniques pour tous les domaines de la forêt ;

d’autres rôles sont plus simplement uniques à l’intérieur d’un domaine. 

Voici les 5 rôles que nous allons étudier :

• Forêt • Maître d'attribution de noms de domaine • Contrôleur de schéma

17

• Domaine • RID master • Maître d'infrastructure

• Maître d'émulateur de contrôleur de domaine principal PDC OUZAOUIT

2. Les maitres d’opérations AD Maitre d’attribution de nom de domaine

Maitre de schéma –

Il est le seul à avoir un accès

–

en écriture sur le schéma Active

–

Directory

pour

nommage –

Ce rôle permet principalement

de gérer

Une fois les modifications

suppression d’un domaine

effectuées, il les réplique sur

dans une forêt. –

l’ajout et la

Il ne peut exister qu'un seul

Il ne peut exister qu'un seul

maître

contrôleur de schéma sur

l'ensemble de la forêt.

l'ensemble de la forêt. 18

aussi maître de

l’ensemble de la forêt.

l’ensemble de la forêt. –

Appelé

OUZAOUIT

de

nommage

sur

2. Les maitres d’opérations AD Maitre des ID relatifs 

Lorsqu’un contrôleur de domaine crée un objet Active Directory (Utilisateur, Groupe de sécurité, Ordinateur...), il assigne à cet objet un identifiant unique de sécurité (SID). Ce dernier est constitué de l’identifiant de sécurité du domaine (Domain SID) et d’un RID (Relative Identifier). Afin d’assurer l’unicité du SID pour un objet du domaine, le maître RID alloue régulièrement des plages de RID à chaque contrôleur qui en fait la demande.

19

Maitre Emulateur PDC  

Il est unique au sein d’un domaine. Il permet de Synchroniser les horloges sur tous les contrôleurs de domaine (heure et date), Gérer le verrouillage des comptes, Changer les mots de passe et Assurer la compatibilité avec les contrôleurs de domaine Windows NT. OUZAOUIT

2. Les maitres d’opérations AD   



Maitre Infrastructure

Unique au sein d’un domaine, Il a pour objectif de gérer les références ( objets fantômes) entre plusieurs objets. Imaginons qu’un utilisateur d’un domaine A soit ajouté au sein d’un groupe du domaine B. Le contrôleur de domaine « Maître d’infrastructure » deviendra responsable de cette référence et devra s’assurer de la réplication de cette information sur tous les contrôleurs de domaine du domaine, alors un objet fantôme sera créé sur le domaine B afin de faire référence à l’utilisateur du domaine A. De ce fait, si l’objet est modifié ou supprimé à l’avenir, le Maître d’infrastructure devra se charger de déclencher la mise à jour de l’objet fantôme auprès des autres contrôleurs de domaine. 20

OUZAOUIT

2. Les maitres d’opérations AD

21

OUZAOUIT

2. Les maitres d’opérations AD Attribution initiale des maîtres d'opérations –

le premier contrôleur de domaine de la forêt se voit attribuer les cinq rôles en plus d’être promu catalogue global.

–

Pour chaque nouveau domaine supplémentaire au sein de cette forêt, le premier contrôleur se verra attribuer quant à lui les 3 rôles de niveau domaine.

–

Le nombre des maîtres d’opérations dans votre infrastructure est calculable à l’aide de la formule 2 + (n x 3) où n est le nombre de

domaines dans votre forêt. 22

OUZAOUIT

2. Les maitres d’opérations AD Localisation des maîtres d'opérations

- Ou bien on utilise la ligne de commande: NETDOM, DCDIAG ou NTDSUTIL. - NETDOM est l'outil fournissant le résultat le plus clair. Il suffit de saisir

netdom query /domain:[MONDOMAINE] fsmo 23

OUZAOUIT

3.Installation d’un contrôleur de domaine  

 

Installation d'un contrôleur de domaine à partir du Gestionnaire de serveur Installation d'un contrôleur de domaine sur une installation minimale de Windows Server 2012 Mise à niveau d'un contrôleur de domaine Installation d'un contrôleur de domaine en utilisant l'installation à partir du support

24

OUZAOUIT

3.Installation d’un contrôleur de domaine Ouvrez le gestionnaire de serveur, puis cliquez sur "Gérer" puis "Ajouter des rôles et fonctionnalités".

25

OUZAOUIT

3.Installation d’un contrôleur de domaine

26

OUZAOUIT

3.Installation d’un contrôleur de domaine Il va falloir dans la liste cocher "Services AD DS" et validez aussi quand l'assistant vous propose d'installer les outils de gestion.

27

OUZAOUIT

3.Installation d’un contrôleur de domaine Petit descriptif du rôle que l'on souhaite installer.

28

OUZAOUIT

3.Installation d’un contrôleur de domaine Petit descriptif du rôle que l'on souhaite installer.

29

OUZAOUIT

3.Installation d’un contrôleur de domaine Pour éviter de devoir redémarrer manuellement à chaque fin d'installation de service, on coche l'option redémarrage automatique.

30

OUZAOUIT

3.Installation d’un contrôleur de domaine Phase d'installation surtout ne pas éteindre le serveur.

31

OUZAOUIT

3.Installation d’un contrôleur de domaine Une fois l'installation terminée, nous allons configurer notre serveur pour qu'il devienne contrôleur de domaine. Cliquez sur promouvoir ce serveur en contrôleur de domaine. Depuis Windows Server 2012, la fameuse commande dcpromo qui permette de promouvoir le serveur n'existe plus.

32

OUZAOUIT

3.Installation d’un contrôleur de domaine Comme notre domaine n'existe pas, on crée une nouvelle forêt et on spécifie le nom du domaine qu’on souhaite créé.

33

OUZAOUIT

3.Installation d’un contrôleur de domaine Puis vous définissez le niveau fonctionnel de la forêt et du domaine et définissez le mot de passe de restauration. Ils déterminent les fonctionnalités de domaine ou forêt disponibles sur ADDS. Elles déterminent également les systèmes d’exploitation Windows que vous pouvez exécuter sur les contrôleurs de domaine dans le domaine ou la forêt. Vous ne pouvez pas définir le niveau fonctionnel du domaine à une valeur inférieure au niveau fonctionnel de forêt. 34

OUZAOUIT

3.Installation d’un contrôleur de domaine Si vous créez votre premier domaine dans une infrastructure n’ayant pas de DNS, le message d’erreur suivant est normal : la zone de nom de votre domaine sera créée automatiquement par la suite.

35

OUZAOUIT

3.Installation d’un contrôleur de domaine Le nom NETBIOS de votre domaine est ensuite déterminé, vous pouvez éventuellement le changer :

36

OUZAOUIT

3.Installation d’un contrôleur de domaine Vous devez ensuite préciser les chemins de stockage de l’AD

37

OUZAOUIT

3.Installation d’un contrôleur de domaine Un dernier écran résume votre paramétrage :

38

OUZAOUIT

3.Installation d’un contrôleur de domaine Après configuration le serveur redémarre automatiquement (cela peut être long car de nombreux services sont configurés). L’ouverture de session s’effectue avec le compte administrateur du domaine. Votre domaine est créé.

39

OUZAOUIT