Table Des Matieres [PDF]

Zitiervorschau

Table des matières

Page 1

Chapitre 1 Introduction aux services de domaine Active Directory

Ó Editions ENI - All rights reserved

A. Rôle du service d'annuaire dans l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . B. Positionnement et innovations de Windows Server 2008 R2 . . . . . . . . . . . . . . . . 1. Version majeure de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Évolutions en matière de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Accès aux applications et mobilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Virtualisation des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Nouveautés apportées par Windows Server 2008 et Windows Server 2008 R2 6. Innovations apportées à Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . a. AD DS: Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. AD DS: Gestion granulaire des stratégies de mot de passe . . . . . . . . . . . c. AD DS: Contrôleurs de domaine en lecture seule . . . . . . . . . . . . . . . . . . d. AD DS: Redémarrage des services de domaine Active Directory . . . . . . . e. AD DS: Aide à la récupération des données . . . . . . . . . . . . . . . . . . . . . f. AD DS: Améliorations de l’interface Active Directory . . . . . . . . . . . . . . . . C. Windows Server 2008 R2 : stratégie de Microsoft . . . . . . . . . . . . . . . . . . . . . . . 1. Intégration de l'innovation au sein de Windows Server . . . . . . . . . . . . . . . . . 2. Le nouveau cycle de produits Windows Server . . . . . . . . . . . . . . . . . . . . . . a. Versions majeures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Versions mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c. Service Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d. Feature Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Windows Server 2008 et Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . D. Services fondamentaux et protocoles standard . . . . . . . . . . . . . . . . . . . . . . . . E. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . F. Travaux pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Installation de Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Configuration des paramètres généraux du serveur Windows Server 2008 R2. 3. Configuration des paramètres TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Vérification des paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

22 23 23 23 24 24 24 25 25 26 26 26 26 26 27 27 28 28 28 28 28 29 29 31 34 34 40 43 44

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

48 49 50 51 51 55 55

Chapitre 2 DNS : concepts, architecture et administration A. Introduction aux services de résolution de noms DNS . 1. Un peu d'histoire . . . . . . . . . . . . . . . . . . . . . . . . . 2. Qu'est-ce que les services DNS ? . . . . . . . . . . . . . 3. Terminologie du système DNS . . . . . . . . . . . . . . . a. L'espace de nom DNS (Domain Namespace) . b. Hiérarchie DNS et espace de noms Internet . . . 4. Le DNS : base de données distribuée. . . . . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

Examen 70-640

Page 2

Table des matières

B. Structure de l'espace DNS et hiérarchie des domaines. . . . . . . . . . . . . . . . . . . . . . . . 56 1. Le domaine racine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 2. Les domaines de premier et deuxième niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 C. Les enregistrements de ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 D. Domaines, zones et serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 1. Domaines DNS et zones DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 2. Zones et fichiers de zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 3. Noms de domaines DNS et noms de domaines Active Directory . . . . . . . . . . . . . . 66 4. Types de zones et serveurs de noms DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 a. Serveurs de noms et zones primaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 b. Serveurs de noms et zones secondaires. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 c. Types de transferts de zones DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 d. Serveurs de cache et serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 5. Mise en œuvre des zones standard : bonnes pratiques . . . . . . . . . . . . . . . . . . . . . 75 6. Délégation des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 7. Utilisation des redirecteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 8. Zones de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 a. Contenu d'une zone de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 b. Avantages des zones de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 c. Mise à jour des zones de stub. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 d. Opérations sur les zones de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 9. Redirecteurs, zones de stub et délégation : bonnes pratiques . . . . . . . . . . . . . . . . 84 E. Gestion des noms multihôtes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 F. Vieillissement et nettoyage des enregistrements DNS . . . . . . . . . . . . . . . . . . . . . . . . . 86 G. Options de démarrage du serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 H. Récursivité des serveurs DNS et protection des serveurs . . . . . . . . . . . . . . . . . . . . . . . 91 1. Blocage des attaques de type Spoofing DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 2. Blocage des attaques de type Spoofing DNS sur les serveurs de type Internet . . . . . 91 I. Synthèse des rôles des serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 J. Commandes de gestion du service DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 1. La commande ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 a. Gestion du cache du client DNS et des enregistrements dynamiques . . . . . . . . 93 b. Renouvellement de l'inscription du client DNS. . . . . . . . . . . . . . . . . . . . . . . . . . 94 c. Nouvelles options de la commande ipconfig. . . . . . . . . . . . . . . . . . . . . . . . . . 96 2. La commande NSLookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 3. La commande DNSCmd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 4. La commande DNSLint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 5. La commande Netdiag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 K. Surveillance du service DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 1. Définition d'une base de référence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 2. Utilisation de la console Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . . 103 3. Utilisation des journaux d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

Ó Editions ENI - All rights reserved

Table des matières

Page 3

4. Utilisation des journaux de débogage DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 L. Restauration des paramètres par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 M. Interface NetBIOS et Configuration DNS du client Windows . . . . . . . . . . . . . . . . . . . . 107 1. À propos de l'interface NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 a. Interface NetBIOS et Configuration DNS du client Windows XP Professionnel . . . . 107 b. Types de noms à prendre en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 c. Positionnement de l'interface NetBIOS par rapport à TCP/IP . . . . . . . . . . . . . . . 108 2. Plate-forme Windows et interface Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 a. Services NetBIOS et codes de services Microsoft . . . . . . . . . . . . . . . . . . . . . . . 109 b. Résolution de noms NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 c. Ordre des résolutions NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 d. Ordre de résolution d'un poste de travail de type H-node . . . . . . . . . . . . . . . . 111 e. Interface et noms NetBIOS, résolutions WINS et domaines Active Directory. . . . . 114 3. Configuration d'un poste client Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 114 a. À propos des Clients Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 b. Postes de travail Windows XP et paramètres DNS nécessaires aux environnements de domaines Active Directory . . . . . . . . . . . . . . . . . . . . . 119 4. Demandes de résolutions DNS et NetBIOS : Processus de sélection de la méthode 126 5. Test d'intégration de l'ordinateur dans le domaine Active Directory . . . . . . . . . . . . 127 N. Nouveautés des services DNS de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . 127 1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 2. Chargement des zones en arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 3. Support des adresses IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 4. Support DNS des contrôleurs de domaine en lecture seule . . . . . . . . . . . . . . . . . 129 5. Support des zones de type GlobalNames . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 6. Évolutions de la partie Client DNS de Windows 7 et Windows Server 2008 R2 . . . . . 131 7. Sélection des contrôleurs de domaine avec Windows 7 et Windows Server 2008 R2131 O. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 P. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 1. Installation du service DNS en vue d'installer Active Directory. . . . . . . . . . . . . . . . . 137 2. Configuration du service DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 3. Configuration des zones DNS en mode dynamique. . . . . . . . . . . . . . . . . . . . . . . 138 4. Test de bon fonctionnement du service DNS à l'aide de Nslookup . . . . . . . . . . . . 139 5. Création des enregistrements de A et PTR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 6. Création d'un nouveau sous-domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 7. Création d'un nouveau sous-domaine en tant que nouvelle zone. . . . . . . . . . . . . 141 8. Configuration d'une zone secondaire et du transfert de zones . . . . . . . . . . . . . . . 142 9. Création d'une nouvelle zone DNS mise en délégation . . . . . . . . . . . . . . . . . . . . 143 10. Création d'une nouvelle zone DNS de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 11 Création des indications de racines DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 12. Configuration des redirecteurs conditionnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 13. Affichage du cache du serveur DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

Examen 70-640

Page 4

Table des matières

Chapitre 3 Intégration des zones DNS dans Active Directory A. Stockage des zones DNS et réplication Active Directory . . . . . . . . . . . . . . . . . . . . . . 1. Objets ordinateurs Active Directory et nommages . . . . . . . . . . . . . . . . . . . . . . . . 2. Avantages de l'intégration des zones DNS dans Active Directory . . . . . . . . . . . . . . a. Mise à jour en mode multimaîtres (ou maîtres multiples) . . . . . . . . . . . . . . . . . b. Sécurité avancée des contrôles d'accès sur la zone et les enregistrements . . . 3. Partitions par défaut disponibles sous Windows 2000 . . . . . . . . . . . . . . . . . . . . . . 4. Intégration des zones DNS dans Active Directory avec Windows 2000 . . . . . . . . . . 5. Intégration des zones DNS dans Active Directory avec Windows Server 2003 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. ForestDnsZones.NomForêtDns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. DomainDnsZones.NomdeDomaineDns. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c. Utilisation d'autres partitions de l'annuaire d'applications . . . . . . . . . . . . . . . . . d. Création d'une partition dans l'annuaire d'applications Active Directory. . . . . . . e. Réplication des partitions du répertoire d'applications et cas des catalogues globaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f. Stockage des zones, partitions d'applications et réplications . . . . . . . . . . . . . . g. Zones DNS intégrées dans Active Directory et partitions d'annuaire ADAM . . . . . h. Conditions nécessaires pour réaliser un changement de stockage . . . . . . . . . i. Indications de racines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . j. Stockage des zones dans Active Directory et enregistrements dynamiques des contrôleurs de domaines Windows 2000, Windows Server 2003 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Sécurisation des mises à jour dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Configurer les mises à jour dynamiques sécurisées . . . . . . . . . . . . . . . . . . . . . 7. Mises à jour sécurisées et enregistrements DNS réalisés via DHCP . . . . . . . . . . . . . a. Utilisation du groupe spécial DNSUpdateProxy pour réaliser les mises à jour dynamiques des zones DNS sécurisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Sécurisation des enregistrements lors de l'utilisation du groupe DnsUpdateProxy . c. Sécurisation des zones DNS et pouvoir du service serveur DHCP sur les contrôleurs de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . d. Commande Netsh et déclaration de l'authentification du serveur DHCP . . . . . . 8. Conflits de gestion des autorisations sur les zones DNS . . . . . . . . . . . . . . . . . . . . . B. Intégration des serveurs DNS Windows avec l'existant . . . . . . . . . . . . . . . . . . . . . . . . 1. À propos des RFC pris en charge par le service DNS de Windows Server 2003 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. À propos des RFC 1034 et 1035 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Consultation des RFC sur le Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Interopérabilité des services DNS de Windows Server 2003 et 2008 R2 . . . . . . . . . . 5. Problème de compatibilité et recherches directe et inversée WINS . . . . . . . . . . . . 6. Spécificité du DNS de Windows 2000 Server, Windows Server 2003 et Windows Server 2008 R2 et intégration dynamique aux serveurs DHCP . . . . . . .

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

148 149 151 151 151 153 154 156 158 158 159 159 160 160 160 163 163 164 164 165 167 170 170 170 172 172 173 173 173 174 174 174 175

Table des matières

Page 5

7. Autorisations des transferts de zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . D. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Création des partitions de l'annuaire d'applications DNS par défaut . . . . . . . 2. Stockage d'une zone vers tous les serveurs DNS de la forêt . . . . . . . . . . . . . 3. Stockage d'une zone vers tous les serveurs DNS du domaine Active Directory 4. Stockage d'une zone vers tous les contrôleurs de domaine du domaine Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Stockage d'une zone dans une partition de répertoire d'application spécifique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Autorisations des mises à jour dynamiques sécurisées . . . . . . . . . . . . . . . . . 7. Activation des fonctions de vieillissement et de nettoyage sur le serveur DNS.

. . . . . .

. . . . . .

. . . . . .

. . . . . .

175 175 177 177 178 178

. . . . 179 . . . . 179 . . . . 180 . . . . 181

Chapitre 4 Localisation des services Active Directory et services DNS A. B. C. D.

E. F.

Ó Editions ENI - All rights reserved

G. H. I.

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Service de Localisation DNS et sélection des contrôleurs de domaine. . . . . . . . . . . Structure DNS et intégration dans l'annuaire Active Directory. . . . . . . . . . . . . . . . . . Enregistrements DNS "Emplacement du service" des contrôleurs de domaine . . . . . 1. Structure d'accueil de la zone DNS pour les enregistrements de ressources de type SRV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. À propos de l'enregistrement de ressources DNS de type SRV . . . . . . . . . . . . b. Enregistrements SRV inscrits par le service "Ouverture de session réseau" . . . . . c. À propos de l'enregistrement DsaGuid._msdcs.NomdeForêt . . . . . . . . . . . . . d. Enregistrements de ressources pour les clients non compatibles avec les enregistrements SRV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Serveurs DNS non dynamiques et enregistrements dynamiques des contrôleurs de domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. À propos de la zone DNS du domaine racine de la forêt. . . . . . . . . . . . . . . . . . Contraintes et problèmes potentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Contrôle rapide des enregistrements de ressources . . . . . . . . . . . . . . . . . . . . . . . . 1. Tests des enregistrements DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestion du problème de la transition des contrôleurs de domaines NT vers Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Inscription manuelle des enregistrements SRV du service Ouverture de session réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Désenregistrements des enregistrements SRV. . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Réinitialisation du cache de résolution client à l'aide de la commande ipconfig . 4. Effacement du contenu du cache des noms de serveurs DNS . . . . . . . . . . . . . .

. . . .

184 185 188 190

. . . .

190 191 193 195

. 195 . . . . .

196 196 197 197 198

. 199 . 202 . 205 . . . .

205 205 206 206

Examen 70-640

Page 6

Table des matières

Chapitre 5 Annuaires, opérations LDAP et services de domaine AD A. B. C. D. E.

. . . .

208 209 210 210

. . . . . . . . .

211 212 218 219 220 220 222 222 223

A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B. Objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Classes et attributs d'objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Création d'un attribut LDAP et valeur du Nom LDAP affiché. . . . . . . . . . . . . . . . . . 3. Protection des classes et attributs SYSTEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Désactivation d'une classe ou d'un attribut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Objets, classes, attributs et intégration des applications . . . . . . . . . . . . . . . . . . . . 6. Outils d'administration en ligne de commande de Windows Server 2003 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Construction de l'annuaire Active Directory et chargement du schéma par défaut 2. Protection du schéma. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . D. Conventions de nommage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Le nom unique relatif (RDN - Relative Distinguished Name) . . . . . . . . . . . . . . . . . . 2. Le nom unique (DN - Distinguished Name) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Le nom canonique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Le GUID de l'objet (Globally Unique Identifier) . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Le SID de l'objet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . F. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Rechargement du schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Création d'un nouvel attribut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Indexation d'un attribut dans les catalogues globaux Active Directory . . . . . . . . . .

226 228 228 233 236 236 237

F. G. H. I. J. K.

À propos des annuaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Un peu d'Histoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LDAPv2 & LDAPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conformité LDAP de Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conformité LDAP de Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Compatibilité LDAP et support de la classe inetOrgPerson . . . . . . . . . . . . . . . . . . . Objet RootDSE et extensions LDAPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifications LDAP et SASL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Références LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Affichage du RootDSE avec ADSI Edit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Utilisation de Ldp pour vérifier le mode fonctionnel d'un domaine ou d'une forêt .

Chapitre 6 Éléments de structure Active Directory

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

238 240 240 242 244 244 244 245 246 246 248 250 250 251 251

Table des matières 4. Ajout d'un attribut dans les catalogues globaux Active Directory . . . . . . 5. Gestion des comptes utilisateur à l'aide de la console MMC Utilisateurs et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Gestion des comptes d'ordinateur à l'aide de la console MMC Utilisateurs et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . 7. Gestion des comptes de groupe à l'aide de la console Utilisateurs et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8. Création d'une stratégie de mot de passe pour un domaine . . . . . . . .

Page 7 . . . . . . . . 252 . . . . . . . . 252 . . . . . . . . 253 . . . . . . . . 255 . . . . . . . . 256

Ó Editions ENI - All rights reserved

Chapitre 7 Composants de la structure logique A. Introduction aux composants de la structure logique . . . . . . . . . . . . . . . . . . . . . B. Les domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Conteneur (container) au sein de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Niveaux fonctionnels des domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Gestion des stratégies au niveau des domaines . . . . . . . . . . . . . . . . . . . . . . 4. Délégation de l'administration des domaines et contrôle des paramètres spécifiques au domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Utilisation du domaine comme unité de réplication élémentaire . . . . . . . . . . 6. Limites du domaine Active Directory et délégation contrainte . . . . . . . . . . . . C. Contrôleurs de domaine et structure logique . . . . . . . . . . . . . . . . . . . . . . . . . . . D. Les unités d'organisation (OU) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E. Les arbres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . F. Les forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Critères, rôle et bon usage des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Configuration de la forêt et domaine racine . . . . . . . . . . . . . . . . . . . . . . . . . 3. Activation des nouvelles fonctionnalités de forêt de Windows Server 2003, Windows Server 2008 et de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . 4. Unités de réplication et rôle des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Maîtres d'opérations FSMO de forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. La forêt et l'infrastructure physique Active Directory. . . . . . . . . . . . . . . . . . . . . 7. Frontières de sécurité et rôle des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8. Approbations au sein des forêts Active Directory . . . . . . . . . . . . . . . . . . . . . . a. Bénéfices apportés par la transitivité des approbations . . . . . . . . . . . . . . . b. Structure de la forêt et approbations . . . . . . . . . . . . . . . . . . . . . . . . . . . . c. Approbations et objets TDO dans les forêts Active Directory . . . . . . . . . . . . d. Types d'approbation supportés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e. Forêts Windows Server (2003, 2008 ou 2008 R2) et approbations de forêts . f. Routage des suffixes de noms et approbations de forêts . . . . . . . . . . . . . g. Utilisation de la commande Netdom pour créer et gérer les approbations . G. Réussir le processus de mise à niveau d’Active Directory vers les services de domaine Active Directory de Windows Server 2008 (et R2) . . . . . . . . . . . . . . 1. Vérifications et gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . .

. . . . .

. . . . .

260 260 262 263 266

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

267 269 269 272 274 279 286 287 287

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

289 293 295 295 297 298 298 299 300 302 304 305 307

. . . 308 . . . 309

Examen 70-640

Page 8

Table des matières

2. Préparation de l’infrastructure Active Directory pour Windows Server 2008 ou Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Mise en œuvre d’un nouveau contrôleur Windows Server 2008 ou Windows Server 2008 R2 AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Réaffectation des rôles FSMO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Opérations de finalisation Post Migration . . . . . . . . . . . . . . . . . . . . . . . . . . a. Modification des stratégies de sécurité des contrôleurs de domaine . . . b. Mise à jour des autorisations des objets GPO pour les domaines migrés à partir de Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . I. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Création du domaine racine de la forêt Active Directory . . . . . . . . . . . . . . 2. Ajout d'un deuxième contrôleur de domaine dans le domaine racine . . . . 3. Création d'un nouveau domaine enfant . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Création d'une nouvelle arborescence . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Désinstallation normale d'un contrôleur de domaine Active Directory . . . . . 6. Désinstallation forcée d'un contrôleur de domaine Active Directory. . . . . . . 7. Augmentation du niveau fonctionnel d'un domaine . . . . . . . . . . . . . . . . . 8. Augmentation du niveau fonctionnel de la forêt . . . . . . . . . . . . . . . . . . . . 9. Recherche d'un objet à l'aide des Requêtes sauvegardées . . . . . . . . . . . . 10. Création d'une Unité d'Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11. Délégation du contrôle de l'administration sur une OU et modification de l'ACL d'un objet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12. Déplacement d'une OU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13. Création des relations d'approbations externes . . . . . . . . . . . . . . . . . . . . . 14. Création des relations d'approbations raccourcies. . . . . . . . . . . . . . . . . . . 15. Création des relations d'approbations entre forêts . . . . . . . . . . . . . . . . . . . 16. Gestion des suffixes UPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . 309 . . . .

. . . .

. . . .

. . . .

. . . .

310 311 312 312

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

313 314 318 318 319 319 320 321 322 323 324 324 325

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

325 327 328 329 329 330

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

334 334 335 335 336 336 336 337 337 337 338

Chapitre 8 Groupes OUs et délégation A. Usage des groupes en environnement Active Directory 1. Les différents types de groupes Windows . . . . . . . . a. Les groupes de sécurité . . . . . . . . . . . . . . . . . . b. Les groupes de distribution . . . . . . . . . . . . . . . . 2. Portée des groupes. . . . . . . . . . . . . . . . . . . . . . . . a. Les groupes globaux . . . . . . . . . . . . . . . . . . . . b. Les groupes locaux de domaine. . . . . . . . . . . . c. Les groupes universels . . . . . . . . . . . . . . . . . . . 3. Règles générales concernant les objets groupes . . . a. Bon usage des comptes de groupes. . . . . . . . . b. Bon usage des groupes universels . . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

. . . . . . . . . . .

Table des matières

Page 9

B. Définition d'une structure d'unités d'organisation. . . . . . . . . . . . . . . . . . . . . . . . . . 1. Rôle des objets unités d'organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Utilisation des unités d'organisation et relation avec l'organisation de l'entreprise 3. Délégation de l'autorité d'administration et usage des unités d'organisation. . . . a. Structure basée sur la nature des objets gérés . . . . . . . . . . . . . . . . . . . . . . b. Structure basée sur les tâches d'administration . . . . . . . . . . . . . . . . . . . . . . c. Facteurs à intégrer dans la définition d'une hiérarchie d'unités d'organisation 4. Usage des unités d'organisation pour les stratégies de groupe . . . . . . . . . . . . . 5. Règles générales et bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

338 338 339 340 341 341 341 345 345 346

Ó Editions ENI - All rights reserved

Chapitre 9 Composants de la structure physique A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B. Contrôleurs de domaine et structure physique . . . . . . . . . . . . . . . . . . . . . . . . . 1. Catalogue global et ensemble partiel d'attributs . . . . . . . . . . . . . . . . . . . . . 2. Rôle des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Fonctions principales des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . 4. Catalogues globaux et activation de l'appartenance aux groupes universels C. Sites et services Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Qu'est-ce qu'un site Active Directory ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Pourquoi créer un site ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Sites et services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . D. Réplication Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Concept de la réplication intrasite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Réplication intrasite avec des contrôleurs Windows 2000 Server, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2. . . . . 3. Concept de la réplication intersites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Création des objets connexion en intrasite et anneaux de réplication . . . . . . 5. Réplication intersites à l'aide des liens de sites et ponts de liaisons . . . . . . . . a. Les liens de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Choix du transport Intersites : IP (avec RPC) ou SMTP . . . . . . . . . . . . . . . . c. Service système Messagerie intersites. . . . . . . . . . . . . . . . . . . . . . . . . . . d. Mise en œuvre du transport SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Gestion des liens intersites et des coûts de réplication . . . . . . . . . . . . . . . . . a. Détermination de la planification et des coûts des liens intersites . . . . . . . b. Pourquoi désactiver le pontage par défaut de tous les liens de sites ? . . . c. Effets de la désactivation de la transitivité sur le KCC et avantages dans les grands réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d. Effets de la désactivation de la transitivité sur la topologie DFS . . . . . . . . e. À propos des algorithmes utilisés par le KCC/ISTG . . . . . . . . . . . . . . . . . . f. Création d'un nouveau pont entre liens de sites . . . . . . . . . . . . . . . . . . . g. Gestion des serveurs tête de pont . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

352 353 354 355 356 357 357 358 358 359 360 361

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

364 364 365 368 369 370 371 372 373 373 375

. . . . .

. . . . .

. . . . .

. . . . .

376 376 376 377 377

Examen 70-640

Page 10

Table des matières

h. Définition du générateur de topologie intersites . . . . . . . . . . . . . . . . . . . . . . . E. Résolution des problèmes de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . F. Contrôle des réplications urgentes en intersites . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Événements pris en charge par les réplications urgentes . . . . . . . . . . . . . . . . . . . 2. Verrouillage des comptes utilisateur et réplication urgente . . . . . . . . . . . . . . . . . . 3. Changements de mots de passe et réplication Active Directory . . . . . . . . . . . . . . 4. Gestion des "Bad Passwords" et optimisation des trafics . . . . . . . . . . . . . . . . . . . . 5. Activation des messages de notification de modifications sur un objet lien de site. 6. Administration des mots de passe à l'aide de la DLL Acctinfo.dll. . . . . . . . . . . . . . G. Critères d'architecture à considérer pour définir la topologie de réplication intersites. H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Recherche des serveurs maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Transfert d'un rôle de maître d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Prise de rôle d'un maître d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Création d'un site Active Directory et déplacement d'un serveur . . . . . . . . . . . . . . 5. Création des sous-réseaux IP Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Ajout d'un serveur de catalogue sur un site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7. Activation de la mise en cache de l'appartenance des groupes universels sur un site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8. Création d'un objet de connexion intrasite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9. Désactivation de la transitivité intersites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10. Création d'un nouveau lien de sites et gestion de la réplication intersites . . . . . . . 11. Création d'un pont de liaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12. Affectation des serveurs têtes de pont (BHS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13. Forçage des réplications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14. Utilisation de Repadmin et Replmon. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

380 381 381 381 382 383 384 384 385 387 389 393 393 394 394 395 395 396 397 398 400 400 402 402 404 404

Chapitre 10 Services d'infrastructure Active Directory A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B. Recherches LDAP et catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . 1. LDAP et la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Comment utiliser la commande LDP pour rechercher un objet via LDAP . . 3. Récupération des syntaxes et attributs à l'aide de la console Utilisateurs et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Ajout, retrait de la fonction de catalogue global et ports TCP/IP . . . . . . . . 5. Ports réseaux utilisés par les contrôleurs de domaine catalogues globaux . C. Positionnement des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Authentifications et appartenance aux groupes universels de sécurité. . . . 2. Indisponibilité des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Personnalisation des attributs présents dans les catalogues globaux . . . . . 4. Mise en cache de l'appartenance des groupes universels . . . . . . . . . . . .

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

410 410 411 411

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

412 414 415 416 416 416 417 418

Table des matières

Page 11

5. Bonnes pratiques pour déterminer le positionnement des catalogues globaux . . . D. Planification et critères d'emplacement et d'affectation des contrôleurs de domaine E. Planification et critères d'emplacement et d'affectation des catalogues globaux . . . F. Planification et critères d'emplacement et d'affectation des serveurs DNS Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . G. Positionnement des maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Rôle des contrôleurs maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Recommandations générales concernant l'emplacement des maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Emplacement du contrôleur maître de schéma . . . . . . . . . . . . . . . . . . . . . . . . . 4. Emplacement du contrôleur maître d'opérations de noms de domaines . . . . . . . 5. Emplacement du contrôleur maître d'opérations de PDC Emulator . . . . . . . . . . . . 6. Emplacement du maître d'opérations RID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7. Emplacement du maître d'opérations d'infrastructure. . . . . . . . . . . . . . . . . . . . . . 8. Prise de contrôle forcée des maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . 9. Bonnes pratiques à respecter et emplacement des maîtres d'opérations . . . . . . . H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Contrôle des opérations du KCC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Ajout et suppression d'un catalogue global. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vérification de la suppression des enregistrements SRV. . . . . . . . . . . . . . . . . . . . .

419 420 421 422 424 424 426 427 427 428 428 429 429 430 431 437 437 438 439

Ó Editions ENI - All rights reserved

Chapitre 11 Principes fondamentaux des stratégies de groupe A. Technologie IntelliMirror . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Apports pour l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Évolutions apportées aux GPO par les clients Windows 7 . . . . . . . . . . . . . . . . a. Amélioration de la détection réseau (Network Location Awareness) . . . . . . b. Multiples stratégies locales (LGPO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c. Meilleure gestion des messages d'événements . . . . . . . . . . . . . . . . . . . . d. Anciens ADM et nouveaux ADMX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e. Windows Vista prend en charge de nombreuses nouvelles catégories . . . . 4. Nouveautés apportées aux postes clients grâce aux évolutions des stratégies de groupe de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. La gestion centralisée des paramètres de gestion de l'alimentation . . . . . . b. Améliorations apportées aux paramètres de sécurité . . . . . . . . . . . . . . . . c. Meilleure gestion des paramètres liés à Internet Explorer . . . . . . . . . . . . . . d. Assignement des imprimantes en fonction du site Active Directory . . . . . . . e. Délégation de l'installation des pilotes d'impression via les GPO . . . . . . . . . f. Nouveaux objets "GPO Starter". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . g. Paramètres du protocole NAP - Network Access Protection . . . . . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

442 442 443 444 444 445 446 447 447

. . . . . . . .

. . . . . . . .

. . . . . . . .

448 448 449 450 450 450 451 452

Examen 70-640

Page 12

Table des matières

5. Nouvelles préférences des stratégies de groupe de Windows Server 2008 R2 . a. Préférences ou stratégies de groupe ?. . . . . . . . . . . . . . . . . . . . . . . . . . . b. Déploiement et prise en charge des Préférences de stratégies de groupe . c. Familles de paramètres pris en charge par les Préférences de stratégies de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d. Opérations et Actions sur les Eléments des Préférences . . . . . . . . . . . . . . . e. Arrêter le traitement des éléments de cette extension si une erreur survient. f. Exécuter dans le contexte de sécurité de l'utilisateur connecté (option de stratégie utilisateur) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . g. Supprimer l'élément lorsqu'il n'est plus appliqué . . . . . . . . . . . . . . . . . . . . h. Appliquer une fois et ne pas réappliquer . . . . . . . . . . . . . . . . . . . . . . . . . i. Ciblage au niveau de l'élément de Préférences. . . . . . . . . . . . . . . . . . . . j. Utilisation des variables au sein de l'éditeur de cibles . . . . . . . . . . . . . . . . k. Suivi de l'exécution des Préférences des stratégies de groupe . . . . . . . . . . B. Création et configuration d'objets stratégies de groupe . . . . . . . . . . . . . . . . . . . 1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Stratégies de groupe et relation avec les technologies . . . . . . . . . . . . . . . . . 3. Que contient une stratégie de groupe ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Modèles administratifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Règles de sécurité pour les ordinateurs et modèles de sécurité . . . . . . . . . c. Gestion des applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d. Gestion de l'exécution des scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e. Gestion des services d'installation à distance RIS. . . . . . . . . . . . . . . . . . . . f. Gestion des paramètres de configuration et de sécurité d'Internet Explorer. g. Redirection des dossiers utilisateurs (dossiers spéciaux) . . . . . . . . . . . . . . . h. Qu'est-ce qu'une stratégie de groupe ? . . . . . . . . . . . . . . . . . . . . . . . . . . i. Qu'est-ce qu'une stratégie locale ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Structure physique d'une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . a. Objet Conteneur de Stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . . . b. Modèle de la stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c. Composants d'une stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . d. Modèles de stratégie de groupe ADMX pour Windows Vista et Windows 7 . e. Création du "Central Store" au sein du SYSVOL . . . . . . . . . . . . . . . . . . . . . f. Recommandations sur l'administration des GPO en environnement Windows Vista/Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Application des stratégies de groupe dans l'environnement Active Directory . . a. Application à l'aide du modèle S,D,OU et ordre de traitement. . . . . . . . . . b. Domaines Active Directory et domaines NT : L, S, D, OU et 4, L, S, D, OU . . c. Liaisons des stratégies de groupe sur les objets Sites, Domaine et Unités d'organisation et de l'héritage . . . . . . . . . . . . . . . . . . . . . . . . . . d. Liaisons et attribut gPLink . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e. Sélection du contrôleur de domaine préféré . . . . . . . . . . . . . . . . . . . . . .

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

. . . 453 . . . 453 . . . 454 . . . 457 . . . 459 . . . 460 . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . .

460 460 461 461 462 462 464 464 464 465 465 467 472 474 475 476 478 481 481 483 483 485 485 486 490

. . . .

. . . .

. . . .

491 492 492 494

. . . 495 . . . 496 . . . 496

Table des matières

C.

Ó Editions ENI - All rights reserved

D.

E. F.

Page 13

6. Création d'une stratégie de groupe avec les outils Active Directory. . . . . . . . . a. Utilisation de la console de gestion MMC Utilisateurs et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Utilisation de la console de gestion MMC "Sites et services Active Directory" 7. Création d'une stratégie de groupe avec la GPMC . . . . . . . . . . . . . . . . . . . . a. Création d'une stratégie de groupe non liée . . . . . . . . . . . . . . . . . . . . . . b. Création d'une stratégie de groupe liée. . . . . . . . . . . . . . . . . . . . . . . . . . c. Gestion des liens de stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . d. Suppression d'une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . e. Désactivation d'une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . 8. Administration du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Gestion des conflits de traitement des stratégies de groupe . . . . . . . . . . . b. Gestion du filtrage du déploiement des stratégies de groupe . . . . . . . . . . c. Points importants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d. Définition de filtres WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration des paramètres d'actualisation des stratégies de groupe . . . . . . . 1. Rafraîchissement des stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . a. Rafraîchissement des stratégies en tâche de fond . . . . . . . . . . . . . . . . . . b. Cycle de rafraîchissement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c. Rafraîchissement à la demande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Configuration de la fréquence de rafraîchissement des stratégies de groupe . 3. Rafraîchissement à l'aide de Gpupdate.exe . . . . . . . . . . . . . . . . . . . . . . . . . 4. Traitement des composants des stratégies de groupe sur les liaisons lentes . . . a. Traitement des paramètres de stratégie de groupe non modifiés . . . . . . . b. Activation de la détection de liens lents. . . . . . . . . . . . . . . . . . . . . . . . . . c. Forçage de l'application des paramètres de stratégie même lorsqu'ils n'ont pas changé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Interdiction du rafraîchissement pour les utilisateurs . . . . . . . . . . . . . . . . . . . . 6. Traitement par boucle de rappel (Loopback) . . . . . . . . . . . . . . . . . . . . . . . . Gestion des stratégies de groupe à l'aide de la GPMC . . . . . . . . . . . . . . . . . . . 1. Opération de sauvegarde et restauration des stratégies de groupe . . . . . . . . 2. Opération de copie de stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . 3. Opération d'importation des paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Pourquoi utiliser la fonctionnalité d'importation de la GPMC ? . . . . . . . . . . b. Utilisation d'une table de correspondances entres les objets de différents domaines ou forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vérification et résolution des problèmes liés aux stratégies de groupe avec RsoP Délégation du contrôle administratif sur les stratégies de groupe . . . . . . . . . . . . 1. Accorder une délégation via le groupe "Propriétaires créateurs de la stratégie de groupe" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Accorder une délégation à l'aide de la console de gestion GPMC . . . . . . . . a. Accorder une délégation de liaison des stratégie de groupe . . . . . . . . . . b. Accorder une délégation de modélisation des stratégie de groupe. . . . . .

. . . 498 . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . .

498 499 499 500 500 500 501 501 501 501 503 504 505 508 508 508 508 509 509 510 511 511 512

. . . . . . . .

. . . . . . . .

. . . . . . . .

512 514 514 516 516 519 519 519

. . . 519 . . . 520 . . . 520 . . . .

. . . .

. . . .

521 522 522 523

Examen 70-640

Page 14

Table des matières

c. Accorder une délégation de création des filtres WMI . . . . . . . . . . . . . . . . . G. Recommandations pour la définition d'une stratégie de groupe pour l'entreprise . H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Création des stratégies de groupe à l'aide des outils d'administration standards 2. Modification d'un objet stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Création d'une stratégie liée à un site, un domaine ou une OU . . . . . . . . . . . . 4. Installation de la Console de Gestion des Stratégies de groupe et autres outils . 5. Création, liaison et suppression d'une stratégie de groupe dans le conteneur de stratégie avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . 6. Modification d'une stratégie de groupe avec la GPMC . . . . . . . . . . . . . . . . . . 7. Délégation de la création d'un objet stratégie de groupe avec la GPMC . . . . . 8. Délégation de la création des scripts WMI avec la GPMC . . . . . . . . . . . . . . . . 9. Ajout/suppression des liaisons sur les objets sites, domaine et OU avec la GPMC 10. Créer un filtrage à l'aide du droit AGP avec la GPMC . . . . . . . . . . . . . . . . . . . 11. Créer un filtrage à l'aide d'un filtre WMI avec la GPMC . . . . . . . . . . . . . . . . . . 12. Exemples, modèles de filtres WMI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13. Blocage de l'héritage sur les objets sites, domaines et OU avec la GPMC . . . . . 14. Utilisation de l'option "Appliqué" avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . 15. Rafraîchissement manuel des stratégies sur les postes Windows 2000 . . . . . . . . 16. Rafraîchissement des stratégies sur les postes Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows Server 2008 et R2 . . . . . . . . . 17. Utilisation du mode Résultats de stratégie de groupe à l'aide du protocole RSoP avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . . 18. Utilisation du mode Modélisation de stratégie de groupe à l'aide du protocole RSoP avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . . 19. Utilisation de la commande Gpotool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20. Utilisation de la commande Gpresult . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21. Procédure de sauvegarde des stratégies avec la GPMC . . . . . . . . . . . . . . . . . 22. Procédure de restauration des stratégies avec la GPMC . . . . . . . . . . . . . . . . . 23. Automatisation des sauvegardes à l'aide d'un script livré avec la GPMC . . . . . . 24. Copie des stratégies de groupe avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . 25. Création d'une stratégie de groupe pour configurer l'environnement utilisateur . 26. Configuration des mises à jour automatiques pour des clients réseau via une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27. Création d'une stratégie de groupe pour configurer les paramètres ordinateurs .

. . . . . . . .

. . . . . . . .

523 524 525 533 533 534 535 535

. . . . . . . . . . .

. . . . . . . . . . .

537 537 538 538 538 539 539 539 541 541 542

. . 542 . . 543 . . . . . . . .

. . . . . . . .

543 544 545 546 546 547 548 548

. . 554 . . 557

Chapitre 12 Déploiement et gestion des logiciels à l'aide des stratégies de groupe A. Introduction à la gestion des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564 1. IntelliMirror et la gestion des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564 2. Le cycle de vie du logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

Table des matières

Page 15

B. Déploiement de logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Les différentes étapes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Disposer d'un package MSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Déployer le logiciel : Distribution et Ciblage . . . . . . . . . . . . . . . . . . . . . . . . . c. Assurer la maintenance du logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d. Supprimer le logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Technologie Windows Installer et types de Packages . . . . . . . . . . . . . . . . . . . . . a. Logiciels au format Microsoft Windows Installer . . . . . . . . . . . . . . . . . . . . . . . b. Applications repackagées en format MSI . . . . . . . . . . . . . . . . . . . . . . . . . . . c. Fichiers .Zap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d. Remarques générales concernant les différents types de formats d'installation C. Configuration du déploiement des logiciels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Création d'un nouveau déploiement d'applications. . . . . . . . . . . . . . . . . . . . . . a. Création ou modification d'une stratégie de groupe. . . . . . . . . . . . . . . . . . . b. Configuration des options de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . c. Association des extensions de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d. Création des catégories des applications publiées . . . . . . . . . . . . . . . . . . . . D. Maintenance des logiciels déployés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Mise à niveau des applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Déploiement des Services Packs et mises à jour . . . . . . . . . . . . . . . . . . . . . . . . 3. Suppression des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . F. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Publication d'une application à l'aide des stratégies de groupe . . . . . . . . . . . . . 2. Affectation (Attribution) d'une application à l'aide des stratégies de groupe. . . . . 3. Passage des patchs et redéploiement d'une application. . . . . . . . . . . . . . . . . . 4. Configuration d'un point de distribution DFS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Suppression d'une application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Activation des diagnostics avancés de Windows Installer . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

568 568 569 569 572 572 572 572 573 574 576 577 577 577 580 582 582 584 584 585 586 587 589 589 590 591 592 593 593

Ó Editions ENI - All rights reserved

Chapitre 13 Maintenance d'une infrastructure Active Directory A. Maintenance Active Directory avec Windows Server 2008 et 2008 R2 . . . . . . B. Introduction à la maintenance Active Directory . . . . . . . . . . . . . . . . . . . . . . 1. À propos du moteur de base de données ESE . . . . . . . . . . . . . . . . . . . . a. Mise en cache et points importants. . . . . . . . . . . . . . . . . . . . . . . . . . b. Fichiers utilisés par ESE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c. Nouvelle structure de fichiers Active Directory de Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Opérations de maintenance Active Directory . . . . . . . . . . . . . . . . . . . . . . . 1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Pourquoi est-il nécessaire de défragmenter ? . . . . . . . . . . . . . . . . . . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

598 599 600 600 601

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

602 603 603 604

Examen 70-640

Page 16

D.

E.

F.

G.

H.

Table des matières

3. Comment défragmenter ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Pourquoi effectuer une défragmentation hors connexion ? . . . . . . . . . . . . . c. Procédure de défragmentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Pourquoi déplacer la base de données et les fichiers journaux ? . . . . . . . . . . . 5. Comment déplacer la base de données ? . . . . . . . . . . . . . . . . . . . . . . . . . . Sauvegarde de l'annuaire Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Pourquoi est-il vital de réaliser une sauvegarde ?. . . . . . . . . . . . . . . . . . . . . . . 3. État du système (System State) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Procédure de sauvegarde de l'Active Directory avec Windows Server 2003 . . . . Restauration de l'annuaire Active Directory avec Windows Server 2003 . . . . . . . . . 1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Méthodes de restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Importance de la durée de vie des objets de désactivation . . . . . . . . . . . . 3. Comment exécuter une restauration en mode principal pour Windows Server 2003 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Comment exécuter une restauration normale pour Windows Server 2003 . . . . . 5. Comment exécuter une restauration forcée avec Windows Server 2003 ? . . . . . Outils et méthodes de Sauvegarde de Windows Server 2008 et 2008 R2 . . . . . . . . 1. Opérations prises en charge par l'outil Sauvegarde de Windows Server . . . . . . . 2. À propos des droits de sauvegarde et restauration et de NTBackup 2003 . . . . . 3. Nouvelles fonctionnalités de Sauvegarde de Windows Server . . . . . . . . . . . . . . 4. Différences entre NTBackup et Sauvegarde de Windows Server. . . . . . . . . . . . . 5. Installation de l'outil Sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . . . 6. Nouvelles fonctionnalités de l'outil Sauvegarde de Windows Server . . . . . . . . . . a. Composants Windows et opérations de sauvegardes . . . . . . . . . . . . . . . . . b. Outil Sauvegarde de Windows Server, support de VSS et performances . . . . c. Sauvegardes locales et clichés instantanés du support de sauvegarde VHD. d. Sauvegarde sur le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e. Sauvegardes sur DVD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f. Sauvegardes de type Etat du système en ligne de commande . . . . . . . . . g. Sauvegarde d'un serveur via la console MMC . . . . . . . . . . . . . . . . . . . . . . h. Sauvegarde d'un serveur en ligne de commande . . . . . . . . . . . . . . . . . . . Opérations de sauvegarde et restauration Active Directory avec Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . 1. Récupération complète du système d'exploitation Windows Server 2008 . . . . . . a. Restauration à l'aide de l'environnement de récupération WinRE . . . . . . . . . 2. Récupération de l'état système d'un contrôleur de domaine Windows Server 2008 ou 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Clichés instantanés de la base Active Directory et consultation des données via l'outil Active Directory Database Mounting Tool - DMT . . . . . . . . . . . . . . . Sauvegarde et restauration AD DS - Bonne pratiques . . . . . . . . . . . . . . . . . . . . . .

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

604 604 604 604 606 606 607 607 607 608 609 610 610 611 612

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

613 613 614 614 615 615 615 616 617 619 619 619 620 621 622 622 624 626

. . 627 . . 627 . . 627 . . 632 . . 632 . . 634

Ó Editions ENI - All rights reserved

Table des matières

Page 17

I. Nouveaux paramètres de GPO pour les opérations de sauvegarde de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . J. Maintenance de l'annuaire Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Définir une politique de surveillance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Outils utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. L'observateur d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. L'analyseur de performances et le moniteur de fiabilité et de performances . c. Journaux de surveillance et de traçage. . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Événements à auditer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Événements réseaux des contrôleurs de domaine . . . . . . . . . . . . . . . . . . . . b. Événements de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c. Événements d'authentification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Compteurs de performance à contrôler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Compteurs de performance pour le contrôle de la quantité de données répliquées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Compteurs de performance pour le contrôle des fonctions et services principaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c. Compteurs de performance de contrôle des volumes de sécurité principaux d. Compteurs de performance pour le contrôle des principaux indicateurs du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Usage des bonnes pratiques pour surveiller Active Directory . . . . . . . . . . . . . . . . K. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . L. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Déplacement des fichiers de base de données Active Directory de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Réalisation d'une défragmentation hors ligne . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vérification de l'intégrité de la base de données Active Directory de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Modification du mot de passe du compte Administrateur de réparation d'urgence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Sauvegarde System State régulière de l'Active Directory . . . . . . . . . . . . . . . . . . . 6. Restauration forcée de la base Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 7. Surveillance des réplications Active Directory et FRS . . . . . . . . . . . . . . . . . . . . . . 8. Installation des fonctionnalités de Sauvegarde de Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . 9. Installation des fonctionnalités de Sauvegarde de Windows Server 2008 ou Windows Server 2008 R2 à l'aide de la ligne de commande . . . . . . . . . . . . . 10. Sauvegarde des volumes critiques à l'aide de l'outil Sauvegarde de Windows Server 2008 ou Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . 11. Sauvegarde de type Etat du système d'un contrôleur de domaine à l'aide de la ligne de commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12. Sauvegarde complète d'un contrôleur de domaine via l'interface graphique . . . 13. Sauvegarde complète d'un contrôleur de domaine via la ligne de commande .

. . . . . . . . . . . .

635 636 636 637 637 639 644 645 645 645 645 646

. 646 . 646 . 647 . . . .

647 648 649 651

. 651 . 653 . 654 . . . .

655 656 656 657

. 659 . 659 . 660 . 661 . 661 . 662

Examen 70-640

Page 18

Table des matières

14. Récupération complète d'un contrôleur de domaine via l'environnement WinRE de Windows Server 2008 ou Windows Server 2008 R2 . . . . . . . . . . . 15. Récupération complète d'un contrôleur de domaine via la ligne de commande de Windows Server 2008 ou Windows Server 2008 R2 . . . . 16. Gestion des clichés instantanés sur la base de données Active Directory . 17. Planification d'un cliché instantané automatique . . . . . . . . . . . . . . . . . . . 18. Montage d'un cliché instantané en dynamique via DSAMAIN . . . . . . . . . . 19. Accès aux données Active Directory stockées dans un cliché instantané .

. . . . . . 663 . . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

664 665 666 666 667

A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Services d'annuaire de Windows 2000 Server et services associés . . . . . . . . 2. Services d'annuaire de Windows Server 2003 et services associés . . . . . . . . 3. Services d'annuaire de Windows Server 2003 R2 et services associés. . . . . . 4. Services d'annuaire de Windows Server 2008 R2 et services associés. . . . . . B. Nouvelles fonctionnalités des services de domaine AD DS de Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . 1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Rôle contrôleur de domaine et mode Server Core . . . . . . . . . . . . . . . . . . a. À propos du mode Server Core. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Limitations d'une installation en mode Server Core . . . . . . . . . . . . . . . . c. Server Core et rôles Windows Server 2008 ou Windows Server 2008 R2 . . d. Installation de Windows Server 2008 en mode Server Core . . . . . . . . . . e. Installation d'un contrôleur RODC en mode Server Core . . . . . . . . . . . . 3. Rôle de contrôleur de domaine en mode lecture seule . . . . . . . . . . . . . . a. Sécurisation des mots de passe sur les contrôleurs RODC . . . . . . . . . . . b. Réplication des mots de passe sur les contrôleurs RODC. . . . . . . . . . . . c. Pré-remplissage des mots de passe sur un contrôleur en lecture seule . . d. Conditions requises pour déployer un contrôleur en mode lecture seule (RODC) et limitations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Pourquoi et comment évoluer vers le niveau fonctionnel de domaine Windows Server 2008 et 2008 R2 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Gestion des stratégies de mot de passe granulaires . . . . . . . . . . . . . . . . . 6. Service d'audit Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7. Protection des objets Active Directory contre l'effacement . . . . . . . . . . . . . C. Active Directory Certificate Services (AD CS) . . . . . . . . . . . . . . . . . . . . . . . . . 1. Introduction aux infrastructures à clés publiques (PKI) . . . . . . . . . . . . . . . . . 2. Les différents types de certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Nature et contenu d'un certificat numérique . . . . . . . . . . . . . . . . . . . . c. Certificats X.509 version 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d. Certificats X.509 version 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

671 671 672 674 675

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

676 676 676 676 678 678 679 684 686 687 689 691

Chapitre 14 Configuration des rôles de serveurs avec les services AD

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

. . . . . 693 . . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

694 695 701 703 705 705 705 705 709 712 713

Ó Editions ENI - All rights reserved

Table des matières

Page 19

e. Certificats X.509 version 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Les certificats et l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Relation entre les certificats et les authentifications . . . . . . . . . . . . . . . . . . . . b. Cadre d'utilisation des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c. Utilisation des certificats numériques en entreprise . . . . . . . . . . . . . . . . . . . . d. Certificats Utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e. Certificats pour les Ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f. Certificats pour les Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Stockage des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Stockage des certificats et interface CryptoAPI . . . . . . . . . . . . . . . . . . . . . . . c. Affichage des certificats : Magasin logique et magasin physique . . . . . . . . . d. Archivage local des certificats expirés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e. Structure de rangement du magasin de certificats logique . . . . . . . . . . . . . . f. Origine des certificats stockés dans les magasins . . . . . . . . . . . . . . . . . . . . . g. Protection et Stockage des Clés Privées . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Console de gestion MMC des certificats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Nouvelle interfaces cryptographiques de Windows 7 et Windows Server 2008 R2 . a. Interface CNG (Cryptographic API Next Generation) . . . . . . . . . . . . . . . . . . . 7. Services de certificats de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Pourquoi utiliser une PKI Microsoft Windows Server plutôt qu'une autre ? . . . . . c. Importance de l'Architecture d'une infrastructure à clés publiques . . . . . . . . . 8. Nouveautés apportées par les Autorités Windows Server 2008 et 2008 R2 . . . . . . a. Nouveau composant MMC PKI d'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . b. Enrôlement pour les périphériques réseau à l'aide du protocole MSCEP . . . . . c. Évolution des méthodes d'enrôlement Web avec AD CS . . . . . . . . . . . . . . . . d. OCSP et paramètres de validation du chemin d'accès. . . . . . . . . . . . . . . . . 9. Nouveautés apportées par les Autorités de certification Windows Server 2008 R2 . a. Amélioration des bases de données des autorités de certification devant gérer de grands volumes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b. Nouveau service Web Inscription de certificats . . . . . . . . . . . . . . . . . . . . . . . c. Support de l’enrôlement des certificats entre les forêts . . . . . . . . . . . . . . . . . D. Active Directory Federation Services (AD FS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Concepts fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. AD FS : Nouveautés apportées par Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Installation du rôle AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Références pour AD FS avec Windows Server 2008 et Windows Server 2008 R2 . . 5. À propos des différentes versions d'AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E. Active Directory Lightweight Directory Services (AD LDS) . . . . . . . . . . . . . . . . . . . . . 1. Concepts fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. AD LDS : Nouveautés apportées par Windows Server 2008 et 2008 R2. . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

713 721 721 722 728 729 730 731 731 731 732 733 734 734 736 736 738 738 738 739 739 740 742 742 743 744 750 753 761

. . . . .

761 762 762 763 763

. . . . . . .

765 765 768 768 768 768 769

Examen 70-640

Page 20

Table des matières

3. Installation du rôle AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Références pour AD LDS avec Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . 5. Nouveautés apportées pour Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . F. Active Directory Rights Management Services (AD RMS) . . . . . . . . . . . . . . . . . . . . . 1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Concepts fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. AD RMS : Nouveautés apportées par Windows Server 2008 . . . . . . . . . . . . . . . . 4. Installation du rôle AD RMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Validation du bon fonctionnement de la plate-forme RMS . . . . . . . . . . . . . . . . . 6. Références pour AD RMS avec Windows Server 2008 et Windows Server 2008 R2 . 7. Nouveautés de Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . G. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . H. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Affichage du certificat local d'un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Exportation d'un certificat local avec sa clé privée . . . . . . . . . . . . . . . . . . . . . . 3. Exportation d'un certificat stocké dans Active Directory. . . . . . . . . . . . . . . . . . . . 4. Étapes de configuration de l'inscription automatique . . . . . . . . . . . . . . . . . . . . . 5. Création d'une autorité racine d'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Activation de l'inscription automatique des certificats ordinateur . . . . . . . . . . . . . 7. Activation de l'inscription automatique des certificats utilisateur . . . . . . . . . . . . . 8. Mise en place de l'authentification par carte à puce (Modèles V2) . . . . . . . . . . 9. Mise en place de l'authentification par carte à puce pour Windows Vista ou Windows 7 à l'aide des modèle V3 . . . . . . . . . . . . . . . . . 10. Déploiement d'un contrôleur de domaine RODC . . . . . . . . . . . . . . . . . . . . . . . 11. Déploiement d'une stratégie de mot de passe affinée et d'une configuration du verrouillage des comptes via la console ADS Edit . . . . . . 12. Déploiement d'une stratégie de mot de passe affinée et d'une configuration du verrouillage des comptes via LDIFDE. . . . . . . . . . . . . . 13. Application d'une stratégie de mot de passe affinée sur des utilisateurs et des groupes globaux de sécurité à l'aide de la commande LDIFDE . . . . . . . . 14. Activation des fonctionnalités d'audit de Windows Server 2008 ou Windows Server 2008 R2 via les Stratégies d'audit granulaire (GAP - Granular Audit Policy) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . .

770 780 780 780 780 781 782 783 791 797 798 798 803 803 804 805 805 806 806 807 807

. 809 . 810 . 811 . 813 . 814 . 814

Tableau des objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory