2012-2013

Administration de serveur Windows

2012-2013 Cration dobjets utilisateur et ordinateur AD DS Table des matires : Leon 1 : administration des comptes dutilisateurs Leon 2 : cration de comptes dutilisateurs Leon 3 : automatisation de ladministration des objets AD DS

2012-2013

Vue densemble du module

Lune de vos fonctions en qualit dadministrateur des services de domaine Active Directory (AD DS) est dadministrer les comptes dutilisateurs et dordinateurs. Ces comptes sont des objets AD DS dont se servent les individus pour se connecter au rseau et accder aux ressources. Dans ce module, vous allez apprendre modifier les comptes dutilisateurs et dordinateurs sur des ordinateurs excutant le systme dexploitation Microsoft Windows Server 2008 dans un environnement rseau.

Leon 1 Administration des comptes dutilisateurs

Dans les services de domaine Active Directory pour Windows Server 2008, tous les utilisateurs qui ncessitent un accs aux ressources rseau doivent tre configurs avec un compte dutilisateur. Ce compte dutilisateur permet aux utilisateurs de sauthentifier dans le domaine AD DS et ainsi daccder aux ressources rseau. En tant quadministrateur des services de domaine Active Directory, vous devez tre en mesure de crer et configurer des comptes dutilisateurs. Quest-ce quun compte dutilisateur ?

Un compte dutilisateur est un objet qui contient toutes les informations qui dfinissent un utilisateur dans Windows Server 2008. Il peut sagir dun compte local ou dun compte de domaine. Un compte dutilisateur se compose dun nom dutilisateur et dun mot de passe, ainsi que dappartenances des groupes. Il comporte en outre divers autres paramtres qui peuvent tre configurs en fonction des besoins de votre organisation.

2012-2013

Utilisation Un compte dutilisateur vous permet deffectuer les tches suivantes : autoriser ou empcher les utilisateurs douvrir une session sur un ordinateur en fonction de leur identit de compte dutilisateur ; octroyer aux utilisateurs un accs aux processus et aux services pour un contexte de scurit donn ; grer laccs des utilisateurs aux ressources, telles que les objets AD DS et leurs proprits, les dossiers partags, les fichiers, les rpertoires et les files dattente dimprimantes. Noms associs aux comptes dutilisateurs de domaine

Au moment de crer un compte dutilisateur, ladministrateur fournit un nom douverture de session dutilisateur. Le nom douverture de session dutilisateur doit tre unique dans le domaine/la fort o le compte dutilisateur est cr. Noms gnrs par Active Directory Lorsquun compte dutilisateur est cr laide de loutil Utilisateurs et ordinateurs Active Directory, les services de domaine Active Directory crent galement les lments suivants : un nom unique LDAP ; un nom unique apparent LDAP ; un identificateur de scurit (SID) et un identificateur global unique (GUID).

2012-2013

Options de mot de passe des comptes dutilisateurs

En tant quadministrateur systme, vous pouvez grer les options de mot de passe des comptes dutilisateurs. Vous pouvez dfinir ces options lors de la cration dun compte dutilisateur ou dans la bote de dialogue Proprits du compte dutilisateur. Les administrateurs systme peuvent galement modifier les paramtres par dfaut de complexit des mots de passe de domaine en accdant lditeur de gestion des stratgies de groupe. Ils peuvent configurer ces paramtres lemplacement suivant : Configuration ordinateur\Stratgies\Paramtres Windows\Paramtres de scurit\Stratgies de comptes\Stratgie de mot de passe.

2012-2013 Gestion standard des utilisateurs

Parmi les tches utilisateur standard courantes, on peut citer la rinitialisation des mots de passe, la configuration de la gestion des groupes, laffectation de profils utilisateur, la cration de rpertoires de base et la dfinition de lexpiration des utilisateurs. La fonction de rinitialisation de mot de passe est accessible via la console de gestion Utilisateurs et ordinateurs Active Directory. Les administrateurs peuvent facilement accder lenregistrement dun utilisateur et rinitialiser son mot de passe par le biais dun menu contextuel. La fonctionnalit de gestion de groupes est galement accessible via la console de gestion Utilisateurs et ordinateurs Active Directory. Les administrateurs peuvent crer des groupes et leur affecter des utilisateurs en slectionnant ces utilisateurs et en les ajoutant aux groupes. Les administrateurs peuvent dfinir une date dexpiration pour les utilisateurs dans la console de gestion Utilisateurs et ordinateurs Active Directory au moment de crer ces mmes utilisateurs. Dans la console de gestion Utilisateurs et ordinateurs Active Directory, les administrateurs peuvent dfinir des horaires daccs, qui dterminent les horaires prcis auxquels un utilisateur peut accder un ordinateur. Les administrateurs peuvent affecter un rpertoire de base leurs utilisateurs dans la console de gestion Utilisateurs et ordinateurs Active Directory en accdant un compte dutilisateur et en spcifiant le rpertoire de base de lutilisateur dans la section Dossier de base. Les administrateurs peuvent affecter des profils personnaliss aux utilisateurs dans la console de gestion Utilisateurs et ordinateurs Active Directory. Cela leur permet dattribuer aux utilisateurs un accs aux ressources.

2012-2013 Outils de configuration des comptes dutilisateurs

Utilisateurs et ordinateurs Active Directory Utilisateurs et ordinateurs Active Directory est le principal outil utilis pour ladministration au jour le jour des services de domaine Active Directory. Outils de ligne de commande Vous pouvez galement utiliser les outils de ligne de commande Dsadd, Dsmod et Dsrm pour administrer les comptes dutilisateurs dans les services de domaine Active Directory. Csvde Loutil de ligne de commande Csvde utilise un fichier texte spar par des virgules, galement appel format valeurs spares par des virgules (format Csvde), comme entre pour crer plusieurs comptes dans les services de domaine Active Directory. Ldifde Loutil de ligne de commande Ldifde utilise un format valeurs spares par des lignes pour crer, modifier et supprimer des objets dans Active Directory. Windows PowerShell Utilisez Windows PowerShell pour modifier la valeur des attributs de plusieurs objets Active Directory ou lorsque les critres de slection de ces objets sont complexes.

2012-2013 Quest-ce quun modle de compte dutilisateur ?

Un modle de compte dutilisateur est un compte dont les paramtres et les proprits sont couramment utiliss et dj configurs. Vous pouvez utiliser des modles de compte dutilisateur pour simplifier la cration de comptes dutilisateurs de domaine. Pour effectuer cette procdure, vous devez tre membre du groupe Oprateurs de compte, Administrateurs du domaine ou Administrateurs de lentreprise dans Active Directory, ou vous devez avoir reu les autorisations appropries par dlgation. Pour ouvrir Utilisateurs et ordinateurs Active Directory, cliquez successivement sur Dmarrer et sur Panneau de configuration, puis double-cliquez sur Outils dadministration et sur Utilisateurs et ordinateurs Active Directory. Pour empcher un utilisateur dtermin douvrir une session pour des raisons de scurit, vous pouvez dsactiver son compte dutilisateur au lieu de le supprimer. En crant des comptes dutilisateurs dsactivs avec des appartenances des groupes communs, vous pouvez utiliser les comptes dutilisateurs dsactivs comme modles de compte pour simplifier la cration de comptes dutilisateurs. Si certaines informations, telles que les horaires daccs et les groupes, sont conserves lors de la cration dun utilisateur partir dun modle, les attributs Description et Bureau ne sont pas rpliqus. Dautres attributs peuvent tre consults et modifis dans le composant logiciel enfichable MMC Schma Active Directory.

2012-2013

Leon 2 Cration de comptes dordinateurs

Dans les services de domaine Active Directory, les ordinateurs sont des principaux de scurit, au mme titre que les utilisateurs. Cela signifie que les ordinateurs doivent disposer de comptes et de mots de passe. Pour tre entirement authentifi par les services de domaine Active Directory, un utilisateur doit possder un compte dutilisateur valide et doit galement se connecter au domaine partir dun ordinateur qui dispose dun compte dordinateur valide. Tous les ordinateurs excutant Microsoft Windows NT ou des systmes dexploitation plus rcents doivent possder des comptes dordinateurs dans les services de domaine Active Directory. Quest-ce quun compte dordinateur ?

Les ordinateurs accdent aux ressources rseau pour effectuer des tches importantes, telles que lauthentification des ouvertures de session des utilisateurs, lobtention dadresses IP ou la rception de stratgies de scurit. Pour bnficier dun accs complet ces ressources rseau, les ordinateurs doivent possder des comptes valides dans les services de domaine Active Directory. Un compte dordinateur deux fonctions principales, savoir, effectuer des activits de scurit et dadministration.

2012-2013 Options de cration de comptes dordinateurs

Vous pouvez crer des comptes dordinateur s dans les services de domaine Active Directory, soit en joignant lordinateur au domaine, soit en prdfinissant les comptes dordinateurs avant de joindre lordinateur au domaine. Les administrateurs comme les utilisateurs peuvent joindre les ordinateurs au domaine. La prdfinition du compte consiste simplement crer le compte dordinateur dans Active Directory avant de joindre lordinateur au domaine. Si vous devez scuriser le compte prdfini, vous pouvez fournir un GUID intermdiaire qui sera ensuite utilis uniquement par lordinateur auquel correspond le GUID. Ajout dordinateurs un domaine AD DS Si un ordinateur est joint un domaine, par dfaut, le compte dordinateur est cr dans le conteneur Computers. Dans la plupart des organisations, les administrateurs dplaceront les comptes dordinateurs dans des units dorganisation spcifiques un service de faon appliquer aux ordinateurs des configurations de logiciels et de systmes dexploitation spcifiques. Prdfinition de comptes dordinateurs Vous pouvez faire en sorte que les comptes dordinateurs soient configurs dans le conteneur AD DS adquat en prdfinissant des comptes dordinateurs. Lorsque vous prdfinissez un compte dordinateur, vous crez lordinateur dans le domaine avant de ly joindre. Les organisations prdfinissent des comptes dordinateurs afin dautomatiser linstallation des systmes dexploitation et des applications par le biais doutils, tels que les services de dploiement Windows.

2012-2013 Administration des comptes dordinateurs

Les proprits les plus couramment utilises pour les comptes dordinateurs dans les services de domaine Active Directory sont les proprits Emplacement et Gr par. Pour assurer la maintenance des ordinateurs, vous devez dterminer leur emplacement physique. La proprit Emplacement peut tre utilise pour documenter lemplacement physique de lordinateur dans votre rseau. La proprit Gr par dsigne la personne responsable de lordinateur. De telles informations peuvent savrer utiles lorsque vous disposez dun centre de donnes constitu de plusieurs serveurs pour diffrents services et que vous devez assurer la maintenance dun serveur. Vous pouvez ainsi appeler ou contacter par courrier lectronique la personne responsable dun serveur avant den assurer la maintenance.

2012-2013

Leon 3 : Automatisation de ladministration des objets AD DS

Dans la plupart des cas, il est probable que vous crez et configurez les objets AD DS de faon individuelle. Toutefois, il peut arriver que vous ayez besoin de crer ou de modifier simultanment la configuration dun grand nombre dobjets. Par exemple, si votre organisation embauche un groupe important de nouveaux employs, vous pouvez automatiser le processus de configuration des nouveaux comptes. Si votre organisation dmnage sur un nouveau site, vous pouvez automatiser la tche dattribution de nouvelles adresses et de nouveaux numros de tlphone tous les utilisateurs. Cette leon explique comment administrer des objets AD DS multiples. Outils dautomatisation de ladministration des objets AD DS

Windows Server 2008 propose plusieurs outils permettant de crer ou de modifier automatiquement plusieurs comptes dutilisateurs dans les services de domaine Active Directory. Certains de ces outils ncessitent lutilisation dun fichier texte contenant des informations sur les comptes dutilisateurs que vous souhaitez crer. Vous pouvez galement crer des scripts Windows PowerShell pour ajouter ou modifier des objets Active Directory. Les administrateurs peuvent continuer utiliser Microsoft Visual Basic Scripting Edition (VBScript) pour administrer les objets Active Directory. Si les stagiaires disposent dj de scripts VB dvelopps, ils devraient pouvoir les rutiliser avec trs peu de modifications.

2012-2013 Configuration des objets AD DS laide des outils de ligne de commande

Administration des objets utilisateur avec LDIFDE

Vous pouvez utiliser loutil de ligne de commande Csvde pour crer plusieurs comptes dans AD DS, mais en aucun cas pour les modifier.