TAI067 Utiliser un annuaire réseau
TAI067 Utiliser un annuaire réseau
TABLE DES MATIERES
1 introduction : Les modèles de réseau dans l’environnement Windows 3
1.1 Le modèle groupe de travail 3
1.2 Le modèle domaine 3
2 Le service d’annuaire 5
2.1 L’annuaire dans les différents environnements réseau 5
2.2 Les normes 5
3 Le Domaine dans AD 6
3.1 La notion d’annuaire dans Windows 6
3.2 Création d’un domaine 6
3.2.1 Installation du contrôleur de domaine 6
3.2.1.1 Installation du service 6
3.2.2 Intégration des ordinateurs clients au domaine 12
3.2.3 Autorisation du serveur DHCP dans Active Directory 13
3.2.4 Contrôle du fonctionnement du serveur DNS 14
4 Comptes de groupes et d’utilisateurs dans AD 16
4.1 Opération préliminaire 16
4.2 L’intérêt des groupes 17
4.3 Les différents groupes 17
4.3.1 Groupe local 17
4.3.2 Groupe global 17
4.3.3 Groupe universel 17
4.3.4 Type de groupe « sécurité » 18
4.3.5 Type de groupe « distribution » 18
4.4 Création des groupes 18
4.5 Création des utilisateurs 20
4.5.1 Les différents types d’utilisateurs 20
4.5.1.1 Les utilisateurs et groupes prédéfinis 20
4.5.1.2 Le compte invité 20
4.5.1.3 Le compte Administrateur 20
4.5.1.4 Le groupe administrateurs du domaine 21
4.5.1.5 Le groupe utilisateurs du domaine 21
4.5.2 La création 21
4.5.3 Le paramétrage de base 23
4.5.3.1 Les propriétés de l’utilisateur 23
4.5.3.2 Gestion du mot de passe de l’utilisateur 25
4.5.4 L’accès au domaine des utilisateurs 25
5 partage de ressources 27
5.1 Configuration du partage 27
5.2 Restrictions d'accès 28
5.2.1 Limiter le nombre d'utilisateurs 28
5.2.2 Gérer les autorisations d'accès 28
5.3 Visualisation des ressources partagées 29
5.3.1 Sur le serveur 29
5.3.2 Sur le client 30
5.3.3 Sur le réseau : les ressources visibles et invisibles 30
5.4 Accès aux ressources partagées 31
5.4.1 Ajout d’un favori réseau 31
5.4.2 Connexion d’un lecteur réseau 32
5.5 Conclusion sur le partage 33
6 Les sites dans AD 34
6.1 Quand un domaine recouvre plusieurs sites 34
7 Les unités d’organisation dans AD 37
7.1 La délégation 37
7.1.1 Création d’une OU 37
7.1.2 Délégation de contrôle 38
7.2 Installation des outils d’administration sur un OS client 40
8 Les stratégies de groupes dans AD 42
8.1 Création et implémentation d’une stratégie 42
8.2 Héritage de stratégie 45
8.2.1 Ordre d’héritage 45
9 Conclusion 47
1 introduction : Les modèles de réseau dans l’environnement Windows
Jusqu’a présent nous avons travaillé sur des réseaux organisés en Groupe de travail, également appelé réseaux d’égal à égal (ou peer to peer), dans ce type de réseau tous les ordinateurs sont égaux et rien n’est centralisé.
Il existe un autre type d’organisation de réseaux : le modèle client/serveur.
Dans ce modèle, un serveur dédié centralise l’administration, dans ce support nous allons nous pencher sur ce modèle et plus particulièrement sur celui de Microsoft.
1.1 Le modèle groupe de travail
Lorsqu’on souhaite partager pour un ensemble d’ordinateurs des ressources telles que : dossiers et imprimantes et que ces ressources ne nécessitent pas la création d’accès particulier, on va les regrouper dans un groupe de travail (Workgroup) ou réseau d’égal à égal.
On ne peut parler dans ce cas d’une gestion centralisée des utilisateurs. En effet, dans le cas d’un Workgroup, la gestion des utilisateurs depuis un endroit unique est impossible, on doit les gérer poste de travail par poste de travail.
Pour illustrer ces propos, prenons l’exemple de 25 postes de travail tournant sous XP avec 25 utilisateurs. Pour des raisons d’organisation, chaque utilisateur doit être authentifié sur le réseau et il doit pouvoir se connecter depuis n’importe quel poste.
Dans ce cas de figure, on va devoir créer 25 utilisateurs sur chacun des postes soit 25 x 25 ce qui donne 625 créations d’utilisateurs ! De plus si on doit modifier une caractéristique d’un compte utilisateur, il faudra répéter la modification 25 fois.
Cela devient très vite impossible à gérer et on va, pour remédier à cela, opter pour une gestion centralisée des utilisateurs, c’est le modèle domaine.
C’est pourquoi, Microsoft conseille, le modèle Workgroup pour des réseaux de 10 postes maximum.
1.2 Le modèle domaine
Il peut devenir difficile d'administrer les groupes de travail s'ils prennent trop d'ampleur. Ces difficultés sont dues essentiellement à la décentralisation des bases de données des comptes de sécurité. Windows propose le modèle Domaine comme solution plus efficace pour implémenter la sécurité et simplifier l'administration dans un environnement réseau.
C’est le modèle réseau client/serveur de Microsoft.
Un domaine est un ensemble d'ordinateurs qui, regroupés dans un but commun, partagent des stratégies de sécurité et une base de données des comptes et groupes d’utilisateurs et comptes d’ordinateur.
Avec ce type de modèle, l'administration du réseau est ainsi centralisée, ce qui est beaucoup plus facile à gérer que l'approche station par station qu'implique le modèle par groupes de travail.
La base de données centralisée des comptes et les stratégies de sécurité proposées par le modèle Domaine offrent à l'administrateur un outil puissant pour maintenir les stratégies de sécurité de l'ensemble des ordinateurs de l'organisation.
Cette base de données est ce qu’on appelle un Service d’annuaire, l’annuaire utilisé dans les environnements Windows s’appelle Active Directory : AD.
2 Le service d’annuaire
2.1 L’annuaire dans les différents environnements réseau
Toutes les entités ou objets mis en œuvre dans un réseau de type Client/serveur sont répertoriés dans une base de données que l’on appelle un annuaire.
Cet annuaire permet de centraliser, simplifier et sécuriser l’administration des ressources.
Centraliser, car toutes les entités peuvent être administrées à partir d’un point unique (même si pour des raisons de taille la base de données est répartie sur plusieurs serveurs). Les entités répertoriées dans l’annuaire sont présentées dans une structure arborescente.
Simplifier, car avec un annuaire, l’administrateur n’a pas besoin de connaître l’emplacement exact d’une ressource réseau si elle figure dans l’annuaire. On parle alors, de publier la ressource dans l’annuaire.
Sécuriser, car avec un annuaire l’administrateur pourra aisément définir et appliquer une politique de sécurité sur le réseau qu’il gère.
L’annuaire utilisé par Novell est NDS depuis la version 3 de Netware.
Historiquement, l’annuaire utilisé par Linux est NIS, mais de plus en plus la norme LDAP, dont nous parlons dans le paragraphe suivant, s’impose. Il existe un OpenLDAP développé par l’université du Michigan.
L’annuaire utilisé par Windows 2000 et 2003 Server s’appelle l’Active Directory.
Contrairement à NDS complètement intégrée dans Novell Netware, l’annuaire Active Directory n’est pas implémenté par défaut dans Windows 2003 Server. Il n’est créé qu’à l’installation d’un domaine.
Nous ne détaillerons dans ce support que l’utilisation de l’Active Directory (AD).
2.2 Les normes
Une norme existe pour les services d’annuaire : la norme X.500.
Cette norme décrit une structure d’annuaire en forme d’arborescence inversée (structure utilisée dans l’explorateur et les consoles Windows où la racine est en haut) et une base de données hiérarchique.
Les services d’annuaire compatibles avec cette norme utilisent le protocole DAP, mais la mise en œuvre de ce type d’annuaire fut considérée comme complexe et lourde.
Pour remédier à cela, l'université du Michigan a élaboré une version plus simple, basée sur TCP/IP du DAP, le protocole simplifié d'accès annuaire en vue d'une utilisation sur Internet : LDAP (Lightweight Directory Access Protocol).
LDAP est en train de devenir un standard sur Internet.
Active directory est compatible LDAP, ce qui veut dire qu’elle peut communiquer avec d’autres services d’annuaire compatibles LDAP.
3 Le Domaine dans AD
3.1 La notion d’annuaire dans Windows
Les objets que nous allons manipuler avec l’AD (Active Directory) sont principalement des ordinateurs et des utilisateurs.
Pour clarifier la présentation, les objets seront regroupés dans des conteneurs. Vous pouvez voir ces conteneurs dans la partie gauche de la console Utilisateurs et Ordinateurs Active Directory, qui apparaitra après avoir installé le domaine, ils se présentent comme des dossiers.
Le conteneur Users va contenir les utilisateurs et les groupes d’utilisateurs du domaine, le conteneur Builtin contient lui, les groupes, le conteneur Computers va contenir les ordinateurs etc.
3.2 Création d’un domaine
Pour mettre en place un tel modèle, il faut :
Installer un contrôleur de domaine
Déclarer chaque ordinateur comme faisant partie du domaine : on dit « intégrer » un ordinateur dans le domaine.
3.2.1 Installation du contrôleur de domaine
3.2.1.1 Installation du service
Après avoir installé le S.E., il suffit de lui ajouter le rôle de contrôleur de domaine, qui s’installe comme un autre service
Comme pour les autres services, l’assistant démarre
Il vous demande ensuite quel type de contrôleur, vous souhaitez créer. En ce qui nous concerne nous nous contenterons d’étudier le cas où il s’agit du premier contrôleur pour un nouveau domaine.
Sauf avis contraire, sélectionnez le premier choix, le reste ne nous concerne pas
Si votre réseau ne contient pas de serveur DNS, demandez à l’assistant de vous l’installer sur le contrôleur de domaine. Ce service est nécessaire pour le contrôleur de domaine.
Vous indiquez ensuite le nom de votre domaine, de préférence entrez un nom du type « exemple.sigle.fr ». Ce nom devra correspondre à la zone gérée par le serveur DNS, nous avions précédemment créé : taiX.fr.
Certaines versions de Windows utilisent un nom de domaine NETBIOS, il faut donc en préciser un.
L’assistant va ensuite paramétrer l’emplacement des données système. Il est sage de le laisser faire, plus on est standard, mieux on se porte.
Sauf avis contraire, validez par défaut, l’écran suivant.
Entrez ensuite un nouveau mot de passe pour l’administrateur local de restauration de l’annuaire, sauf si vous avez de bonnes raisons de le faire, précisez le même mot de passe que celui que vous avez affecté à l’administrateur lors de l’installation du S.E.
L’assistant va ensuite procéder à la configuration, vous pouvez prendre une pose, il y en a pour quelques minutes…
Voilà c’est terminé; il ne vous reste plus qu’à redémarrer l’ordinateur.
3.2.2 Intégration des ordinateurs clients au domaine
Vous devez paramétrer individuellement chaque ordinateur devant faire partie du domaine
Le paramétrage se réalise depuis l’onglet Nom de l’ordinateur des propriétés système.
Cliquez sur le bouton Modifier et indiquez le nom NETBIOS du domaine (c’est-à-dire sans l’extension .fr).
Le contrôleur de domaine ajoute, alors, l’ordinateur dans le conteneur Computers d’Active Directory, pour cela, il vous demande un nom d’utilisateur autorisé à ajouter un ordinateur dans Active Directory. Le compte Administrateur du serveur permet de le faire.
Ne confondez pas le compte de l’administrateur du serveur avec celui de votre station de travail, ils n’ont rien à voir entre eux. Ce dernier ne peut réaliser que des actions locales sur votre poste de travail.
Votre ordinateur est ensuite référencé dans le conteneur Computers d’Active Directory et vous le pouvez voir dans la console Utilisateurs et ordinateurs Active Directory.
3.2.3 Autorisation du serveur DHCP dans Active Directory
Si vous avez un serveur DHCP dans le domaine, vous devez l’autoriser dans Active Directory.
Pour cela dans la console DHCP, cliquez sur Autoriser dans le menu Action. La flèche rouge deviendra verte.
3.2.4 Contrôle du fonctionnement du serveur DNS
Toute l’architecture d’Active Directory repose sur le service DNS, avant d’aller plus loin, vous avez donc intérêt à contrôler le bon fonctionnement de votre serveur DNS.
Pour cela dans la console DNS testez le fonctionnement du serveur.
Un autre test doit également être effectué : un Ping avec un nom DNS complet à la place de l’adresse IP :
c:\>ping pc01.taix.fr (sur le serveur)
c:\>ping server1.taix.fr (sur un des clients)
Si la réponse est correcte dans les deux sens cela signifie que votre système DNS fonctionne correctement.
Important ! : Sur les clients du domaine c’est l’adresse du serveur du domaine qui doit figurer comme serveur DNS dans la configuration IP et non pas l’adresse des DNS du FAI.
4 Comptes de groupes et d’utilisateurs dans AD
4.1 Opération préliminaire
Avant de créer les utilisateurs et les groupes, il convient de prendre connaissance des paramètres de sécurité associés à la gestion des mots de passe.
Si vous voulez créer un mot de passe utilisateur de 6 caractères, le système va vous le refuser. Le paramètre par défaut pour la longueur du mot de passe est de 7 caractères et il va vous afficher un joli message.
Pour visualiser et éventuellement modifier ces paramètres, il faut aller dans Démarrer > Outils d’administration > Stratégie de sécurité du domaine.
Pour vous simplifier la vie, vous pouvez réduire le nombre de caractères et désactiver les exigences de complexité.
IL est évident qu’en entreprise, vous ne modifierez ces paramètres que si on vous le demande, généralement c’est l’administrateur qui s’en chargera.
Vous allez, ensuite créer les groupes dont vous avez besoin.
4.2 L’intérêt des groupes
Avant d’examiner la façon de créer un groupe, il convient de réfléchir un peu sur « pourquoi créer un groupe ? »
Dans un groupe, on va, dans la mesure du possible, essayer de regrouper des utilisateurs ayant des droits et des restrictions communes d’accès aux ressources.
Imaginons que pour un dossier précis, on souhaite donner des droits d’accès en lecture à 50 utilisateurs. Plutôt que d’affecter le droit en lecture à chacun des utilisateurs, il est beaucoup plus simple de les affecter à un groupe et de mettre ces 50 utilisateurs dans ce groupe.
De plus, si un utilisateur quitte un groupe pour en rejoindre un autre, il suffit de le retirer du groupe, de le mettre dans un autre et automatiquement il va perdre les droits de son premier groupe, pour acquérir ceux de son nouveau groupe.
Un utilisateur peut appartenir à plusieurs groupes, à ce moment les droits de tous les groupes se cumulent.
4.3 Les différents groupes
4.3.1 Groupe local
Ce type d’objet n’existe que sur l’ordinateur lui-même, un membre de ce groupe ne peut avoir des droits que le sur le poste de travail où il a été créé.
Dans un domaine, ce type de groupe est généralement créé sur des stations de travail qui partagent une ressource et contient la liste des utilisateurs qui peuvent accéder à la ressource.
Dans un domaine, les groupes locaux servent donc principalement à appliquer des permissions à des ressources.
Rappel : dans un groupe de travail, le groupe local, est le seul type de groupe qui existe.
En conséquence un groupe local n’est pas répertorié dans l’Active Directory.
Un groupe local peut exister dans n’importe quel modèle d’organisation réseau (Workgroup ou Domaine), dans un domaine, il peut contenir un groupe global.
4.3.2 Groupe global
Les groupes globaux sont des outils destinés à simplifier l'administration au niveau du domaine uniquement.
Ils sont répertoriés dans l’Active Directory.
La fonction d'un groupe global est de regrouper des utilisateurs au niveau du domaine.
4.3.3 Groupe universel
Un groupe universel permet de regrouper des utilisateurs existants sur plusieurs domaines.
Il est utilisé dans les organisations complexes qui comportent plus d’un domaine.
4.3.4 Type de groupe « sécurité »
Ce type de groupes peut se voir affecter des droits sur les ressources (dossiers partagés, imprimantes…) du domaine.
C’est ce type de groupe que nous utiliserons dans les TP.
4.3.5 Type de groupe « distribution »
Ce type de groupes est utilisé dans le cadre de la messagerie par des applications comme Exchange.
Il sert à envoyer des messages à l’ensemble des utilisateurs d’un groupe.
4.4 Création des groupes
Commencez par un clic droit choix Nouveau puis Groupe.
Le système vous demande ensuite d’indiquer le nom du groupe. Par défaut il vous propose de créer un groupe de sécurité global.
Vous validez, c’est terminé.
À l’aide d’un clic droit sur le groupe, nous allons examiner ce que le système a créé.
L’onglet « Membres », va nous permettre de visualiser les comptes utilisateurs appartenant à ce groupe.
L’onglet « Membre de » nous permet de visualiser, le cas échéant, les groupes locaux auxquels appartient le groupe global.
L’onglet « Géré par », va permettre de désigner un responsable de l’administration du groupe, ce dernier pourra, sous certaines conditions, même s’il est simple utilisateur, créer et supprimer des comptes utilisateurs du groupe.
4.5 Création des utilisateurs
4.5.1 Les différents types d’utilisateurs
4.5.1.1 Les utilisateurs et groupes prédéfinis
Après le redémarrage, votre contrôleur de domaine est créé avec quelques utilisateurs ou groupes d’utilisateurs, nous allons examiner les principaux.
4.5.1.2 Le compte invité
Ce compte est destiné à un utilisateur occasionnel ne disposant pas d'un compte sur l'ordinateur.
Le compte invité ne peut pas être supprimé. Il est conseillé de le désactiver si vous n'en n'avez pas besoin. Dans le cas contraire, vous devez le renommer et lui affecter un mot de passe. De plus vous devrez régulièrement réviser ses droits et permissions.
4.5.1.3 Le compte Administrateur
Ce compte a le contrôle absolu de l'ensemble des opérations et de la sécurité du système. Il possède également le contrôle des fichiers même s'il n'en n'est pas le propriétaire. Toute personne connaissant le nom d'utilisateur et le mot de passe du compte administrateur a le contrôle intégral de l'administration du système.
L'administrateur peut :
Gérer les stratégies de sécurité.
Etablir des relations d'approbation entre domaines.
Créer, modifier ou supprimer des groupes et des comptes d'utilisateur.
Modifier le système d'exploitation.
Créer des répertoires partagés et s'y connecter.
Installer et connecter des imprimantes.
Formater et partitionner des disques fixes.
Sauvegarder et restaurer le système.
Prendre possession de fichiers et de répertoires.
Installer ou mettre à niveau des gestionnaires de périphérique.
Déverrouiller un serveur, ouvrir une session à partir d'un serveur et arrêter un serveur.
Pour des raisons de sécurité le compte administrateur doit être renommé et ne plus avoir « Administrateur » comme nom d’ouverture de session, c’est trop facile à trouver.
Son mot de passe ne doit pas être oublié. Dans un tel cas de figure, vous seriez contraint de réinstaller Windows.
Ce compte peut être une source de problèmes du fait des droits et permissions qui lui sont associés. Son utilisation doit être strictement contrôlée.
Il ne doit pas être utilisé pour des activités ne relevant pas de l'administration. C'est pour cette raison, que l'administrateur dispose toujours d'un compte personnel pour ses autres activités.
4.5.1.4 Le groupe administrateurs du domaine
Les membres de ce groupe peuvent gérer entièrement le domaine.
4.5.1.5 Le groupe utilisateurs du domaine
Lorsque vous créez un utilisateur, par défaut ce dernier est membre de ce groupe.
4.5.2 La création
Commencez par un clic droit choix « Nouveau » puis « Utilisateur».
Vous entrez ensuite le nom et prénom de l’utilisateur, ainsi que son nom d’ouverture de session dans le domaine, également appelé identifiant ou login.
Vous entrez ensuite son mot de passe, en respectant la politique de sécurité de l’entreprise, vous validez ou non les choix proposés pour la gestion du mot de passe.
Si vous souhaitez créer des comptes et ne pas les mettre en service immédiatement, vous pouvez cocher la case « le compte est désactivé ».
La création du compte est terminée.
4.5.3 Le paramétrage de base
4.5.3.1 Les propriétés de l’utilisateur
Pour accéder aux propriétés de l’utilisateur, il suffit de faire un clic droit sur l’utilisateur depuis Active Directory
Nous n’allons pas, dans ce support, étudier l’intégralité des propriétés d’un utilisateur. Nous ne nous intéresserons qu’à l’onglet « Compte ».
L’onglet « Compte », va nous permettre de :
Restreindre les horaires d’accès de l’utilisateur
Sélectionner les postes depuis lesquels l’utilisateur est autorisé à se connecter au domaine
Affiner la gestion de son mot de passe
Affecter une durée de vie au compte
En ce qui concerne les horaires d’accès, par défaut, tout est permis. Pour interdire une plage d’accès, vous commencez par la sélectionner et ensuite vous cliquez sur le bouton « Ouverture de session refusée », la zone sélectionnée devient blanche.
Pour les stations de travail accessibles à l’utilisateur, par défaut toutes sont accessibles, si vous souhaitez restreindre cette liste, il suffit de préciser les noms des stations depuis lesquelles l’utilisateur peut se connecter.
4.5.3.2 Gestion du mot de passe de l’utilisateur
Vous pouvez réinitialiser le mot de passe d’un utilisateur, en faisant un clic droit sur cet utilisateur, dans la console, et en sélectionnant « Réinitialiser le mot de passe ».
4.5.4 L’accès au domaine des utilisateurs
Pour se connecter au domaine, l’utilisateur va devoir s’identifier, entrer son mot de passe et le nom du domaine.
Pour se connecter au domaine, l’utilisateur devra utiliser son compte de domaine et non pas un compte local qui n’existe que sur son poste de travail.
Si votre utilisateur ne peut se connecter au domaine depuis la station, en fonction du S.E. vous aurez un message qui ressemble à ceci :
Si votre utilisateur à des restrictions horaires, le message ressemblera à ceci :
Vous remarquerez que les messages d’erreurs ne sont pas les mêmes, alors apprenez à les lire, cela vous permettra d’être plus efficace dans vos démarches de diagnostics de pannes.
Si vous rencontrez en tel message d’erreur, vous devriez, si vous avez bien le message, arriver très rapidement à faire un bon diagnostic Mais attention, cela ne veut pas dire que vous devez, par exemple, modifier ses horaires d’accès.
Il peut s’agir d’une restriction volontaire de la part de l’administrateur, ne faites donc rien sans concertation préalable.
5 partage de ressources
Dans un réseau (Domaine ou Groupe de travail), vous pouvez mettre à la disposition des utilisateurs, des ressources, en les partageant.
Ces ressources sont :
Les disques durs
Les lecteurs CD et DVD
Les lecteurs de disques amovibles
Les imprimantes
Les connexions Internet
Les ressources partagées seront accessibles et pourront être utilisées comme une ressource locale
5.1 Configuration du partage
Les ressources destinées à être mises à la disposition des autres utilisateurs du réseau doivent être partagées en vue d'une utilisation réseau.
Pour partager une ressource, commencez par accéder au menu Partage et sécurité, prenons l'exemple d'un lecteur de DVD.
Vous accédez ensuite à la fenêtre de Propriétés, et vous affectez un Nom de partage.
Vous validez et votre ressource est partagée.
5.2 Restrictions d'accès
5.2.1 Limiter le nombre d'utilisateurs
Pour éviter que l'ordinateur partageant des ressources ne soit trop sollicité, vous pouvez tout simplement en limiter le nombre d'utilisateurs autorisés à utiliser simultanément la ressource.
5.2.2 Gérer les autorisations d'accès
En fonction des ressources les autorisations par défaut seront différentes. Pour un dossier, une unité de stockage nous aurons :
Pour une imprimante nous aurons :
Vous avez ensuite la possibilité de modifier ces autorisations et ajouter ou supprimer des groupes ou des utilisateurs.
5.3 Visualisation des ressources partagées
5.3.1 Sur le serveur
Dans le poste de travail la ressource apparaît avec une main sous l'icône.
Quelle que soit la ressource partagée le symbole sera identique. A titre d'exemple un dossier partagé sera symbolisé comme cela
5.3.2 Sur le client
Sur les postes utilisant les ressources partagées, ces dernières apparaissent avec un symbole réseau sous l'icône.
Pour un dossier
Pour une imprimante.
5.3.3 Sur le réseau : les ressources visibles et invisibles
Dans les Favoris réseau, vous pouvez voir tous les postes et toutes les ressources partagées du réseau sauf si elles sont invisibles.
Bien que partagée, une ressource peut être invisible. Pour cela, il suffit de terminer son nom de partage par le caractère $. Votre ressource sera partagée en toute discrétion et n’apparaîtra pas dans le voisinage réseau. Pour y accéder, un utilisateur, devra en connaître l'existence.
Il est à noter que dans les systèmes d’exploitation Windows un partage administratif invisible existe par défaut sur toutes les ressources disque. Ce partage ne peut pas être supprimé, il permet à l’administrateur d’accéder à toutes les ressources disques du réseau.
5.4 Accès aux ressources partagées
5.4.1 Ajout d’un favori réseau
Cette méthode vous permet de visualiser les partages du réseau et de les sélectionner, mais elle n’est utilisable que sur le même segment de LAN car vous ne verrez dans les Favoris réseau que les ordinateurs de votre LAN.
En effet, pour afficher les ordinateurs du réseau cet utilitaire s’appuie sur les noms NETBIOS qui ne passent pas les routeurs.
A la suite de cette manipulation, la ressource apparaîtra dans les Favoris réseau.
5.4.2 Connexion d’un lecteur réseau
Quand vous connaissez le chemin d’accès et le nom de partage de la ressource, c’est cette méthode qui est la plus rapide.
Quand la ressource partagée (dossier ou imprimante) se trouve sur un autre réseau que le vôtre, c’est de plus, la seule méthode.
Dans la zone Dossier vous devez indiquer le nom UNC de la ressource.
UNC signifie Universal Naming Convention : convention de nommage universelle.
Le nom UNC se présente sous la forme : \\nom_du_serveur\nom_du_partage
5.5 Conclusion sur le partage
Il n'y a pas de différence fondamentale pour partager une ressource que ce soit sur un serveur ou sur une station, dans un domaine ou dans un groupe de travail. Cependant, la gestion des droits d'accès sera plus fine si vous partagez des ressources dans un domaine.
N'oubliez pas que pour accéder à une ressource, il faut d'abord pouvoir accéder à l'ordinateur qui la partage. Ce qui signifie que la stratégie de sécurité locale du poste ou la stratégie de sécurité du domaine doivent l’autoriser.
De plus, il faudra vérifier que le pare-feu de Windows n'interdit pas l'accès aux ressources partagées du poste.
6 Les sites dans AD
Le domaine est une structuration logique d’Active Directory et peut avoir une taille et une étendue très variable.
Le site lui est une structuration géographique d’Active Directory, il fait référence à un espace physique déterminé. Cette notion de site est utilisée dans les grands réseaux, dont les services sont éparpillés sur plusieurs emplacements et qui regroupent des LAN et des WAN.
Un domaine peut recouvrir plusieurs sites et un site peut recouvrir plusieurs domaines. Il n’y a pas de hiérarchie entre le domaine et le site puisqu’ils font référence à des problématiques différentes : organisationnelle pour le domaine et géographique pour le site.
Les sites s’appuient sur le plan d’adressage IP :
Un site représente un réseau distinct mais peut être composé de plusieurs sous- réseaux.
L’appartenance d’un hôte à un site est déterminée par son adresse IP.
Un contrôleur de domaine, au minimum, doit être présent dans chaque site. Donc attention, même si vous n’avez qu’un seul domaine, à partir du moment où vous avez plusieurs sites vous devez avoir, autant de contrôleurs de domaine que de sites.
Pour gérer les sites et les liaisons entre les contrôleurs de domaine, l’administrateur utilisera la console Sites et services Active Directory.
6.1 Quand un domaine recouvre plusieurs sites
Un contrôleur devra être présent dans chaque site.
L’administration d’Active Directory pourra être effectuée indifféremment sur l’un ou l’autre des contrôleurs, mais il faudra que régulièrement ces contrôleurs aient des échanges afin que leurs bases de données d’annuaire convergent, c’est ce qu’on appelle la réplication.
La réplication de la base de données d’annuaire entre les contrôleurs de domaine des différents sites est gérée par l’administrateur à l’aide des liens de site. Il pourra indiquer la fréquence de réplication et éventuellement des créneaux horaires.
Cette notion de site va permettre à l’administrateur d’optimiser le trafic des liaisons plus ou moins lentes entre les contrôleurs de domaine.
Pour cela il doit tout d’abord créer le lien entre les deux sites en sélectionnant le protocole de transport (dans notre cas IP), puis il pourra le configurer.
Le site est l’un des objets Active Directory auquel une stratégie de groupe (GPO) peut être appliquée. Ainsi chaque site peut avoir ses règles de sécurité propres.
7 Les unités d’organisation dans AD
Les unités d’organisation, que nous appellerons OU (Organisation Unit), ont pour vocation de structurer Active Directory.
Les OU sont situées dans un domaine et vont contenir d’autres objets (utilisateurs, groupes, ordinateurs etc.).
Elles vont servir à l’administrateur de deux manières :
1. La délégation
2. L’affectation de stratégie de groupe.
7.1 La délégation
Dans les grosses structures l’administration des comptes utilisateur représente une charge importante en volume.
Elle comporte toute une série de tâches telle que la création de nouveaux comptes utilisateur en copiant un modèle ou la réinitialisation des mots de passe oubliés qui ne sont ni très compliquées, ni très techniques mais qui sont fréquentes.
Il sera donc pratique de pouvoir déléguer l’administration courante d’un sous-ensemble d’utilisateurs à un utilisateur qui se trouve sur le terrain.
Pour cela on placera tous les comptes utilisateurs et groupes concernés dans une OU.
7.1.1 Création d’une OU
Dans la console Utilisateurs et ordinateurs Active Directory faites un clic droit sur votre domaine et choisissez Nouveau > Unité d'organisation.
7.1.2 Délégation de contrôle
7.2 Installation des outils d’administration sur un OS client
Vous avez délégué certaines tâches d’administration à un utilisateur du domaine.
Mais comment va-t-il administrer ?
Sur son poste, il a un OS client, donc aucune console d’administration et il ne peut pas se connecter au contrôleur de domaine, car la stratégie de sécurité locale du contrôleur le lui interdit.
Nous allons remédier à ce problème en installant les outils d’administration sur son poste car il est possible de les installer sur un OS client.
Pour cela il faut installer, sur le client Windows, le logiciel Adminpack.msi qui se trouve dans le répertoire \i386 du CD d’installation de Windows 2003 Server.
Après cette installation, une nouvelle rubrique Outils d’administration apparaît dans le menu Démarrer du poste client.
8 Les stratégies de groupes dans AD
Les stratégies de groupe sont aussi appelées GPO (Group Policy Object).
Elles peuvent s’appliquer à des :
Domaines
Sites
Unités d’organisation.
Mais leur nom est trompeur, car elles ne peuvent pas s’appliquer à des groupes.
La stratégie va définir un ensemble de règles pour une catégorie d’utilisateurs ou tous les utilisateurs d’un domaine.
Elle est en fait destinée à restreindre les droits des utilisateurs afin d’accroître la sécurité et de faciliter la maintenance et l’administration du réseau.
8.1 Création et implémentation d’une stratégie
Dans l’exemple suivant, nous allons implémenter la stratégie sur une OU.
Dans la console Utilisateurs et ordinateurs Active Directory, sélectionnez l’OU concernée.
Dans les Propriétés de l'OU concernée (ici Unite1), vous allez sur l'onglet Stratégie de groupe.
Vous cliquez sur Nouveau pour créer une nouvelle stratégie ou sur Ajouter pour ajouter une stratégie existante.
Vous cliquez sur Modifier et vous allez pouvoir configurer la stratégie.
Vous remarquez que vous avez deux grandes catégories dans les paramètres de la stratégie :
1. La configuration ordinateur : les paramètres de cette catégorie s’appliquent à tous les utilisateurs qui ouvrent une session sur l’ordinateur.
2. La configuration utilisateur
Promenez-vous dans l’arborescence et vous verrez que toutes les tâches possibles ont été répertoriées.
Une stratégie par défaut existe c’est celle du domaine, mais selon vos besoins vous pouvez créer des OU et y appliquer des stratégies (GPO).
Un grand classique est de créer une GPO qui empêche d’accéder au panneau de configuration, aux commandes DOS, à la commande exécuter et aux connexions réseau, vous comprenez facilement pourquoi…
8.2 Héritage de stratégie
Les stratégies de groupe sont héritées et cumulatives. Ce qui veut dire que la stratégie d’un domaine s’appliquera à tous les objets du domaine et si des OU dans le domaine ont leur propre stratégie, les deux stratégies se cumuleront. Si les deux stratégies se contredisent c’est la stratégie de l’OU qui s’appliquera.
Si vous ne voulez pas que la stratégie du Domaine s’applique à une OU, cochez Bloquer l’héritage de stratégie.
8.2.1 Ordre d’héritage
L’ordre d’héritage des stratégies est le suivant :
1. Stratégie de sécurité locale
2. Site
3. Domaine
4. Unité d’organisation (OU)
Ce qui veut dire qu’en cas de contradiction entre stratégies de domaine et de OU c’est la stratégie de l’OU qui s’applique, en cas de contradiction entre site et domaine c’est la stratégie du domaine qui s’applique etc…
Dans une structure complexe il n’est pas toujours simple de s’y retrouver dans les héritages de stratégie…
Pour élaborer une stratégie, activez les options qui vous intéressent en les recherchant dans l’arborescence comme dans les exemples ci-dessous.
Quand un utilisateur ouvrira une session, la stratégie de son OU/domaine/site s’appliquera.
9 Conclusion
Avec Active Directory, le service d’annuaire de Windows 2003 Server, vous disposez d’un outil d’administration puissant capable de gérer des réseaux de grande taille.
En tant que technicien, il ne vous sera pas demandé de concevoir ces réseaux, mais l’on pourra vous demander de participer à leur mise en place, leur administration et leur dépannage en suivant les consignes d’un administrateur ou d’un cahier des charges.
Afin de pouvoir assumer ces différentes tâches, il est essentiel de comprendre comment fonctionne le service d’annuaire Active directory et ces principaux composants :
Domaine
Site
Unité d’organisation (OU)
Stratégie de sécurité (GPO)
Compte utilisateur
Compte de groupe
Compte d’ordinateur
Imprimante
Dossier partagé
Aucun commentaire:
Enregistrer un commentaire