Documente Academic
Documente Profesional
Documente Cultură
Mehdi El Haouate
http://www.ofppt-tsri.blogspot.com/ https://www.facebook.com/TSRI.reseaux
Sommaire
4.
5. 6. 7.
Prsentation du dpannage
Prsentation du pare-feu Prsentation de la traduction dadresses rseau NAT Prsentation de laccs distant et des rseaux privs virtuels VPN Accs rseau sans fil
8.
Dans la liste de la boite de dialogue suivante, slectionnez Protocole Internet version 4 (TCP/IPv4) puis cliquez sur le bouton Proprits.
Adresse IP priv automatique: Assigne automatiquement une adresse dans les adresses APIPA (169.254.Y.Z).
Spcifie par lutilisateur: Permet de dfinir une adresse IP statique, un masque ainsi quune passerelle par dfaut. A linstar de lAPIPA, ces paramtres sont pris en compte en labsence de rponse dun serveur DHCP.
Dans la zone de texte Suffixe DNS pour cette connexion, ils est possible de spcifier un suffixe diffrent pour cette connexion. La case cocher Enregistrer les adresses de cette connexion dans le systme DNS est utiliser conjointement.
La case cocher Enregistrer les adresses de cette connexion dans le systme DNS met jour les informations DNS de cette connexion.
Le bouton importer LMHOSTS permet de remplacer le fichier LMHOSTS dorigine par votre fichier.
Dans la section Paramtres NetBIOS, vous pouvez choisir si la rsolution de nom NetBIOS est activ et comment elle est configur: Par dfaut, Activer NetBIOS sur TC/IP ou Dsactiver Netbios sur TCP/IP.
Si vous dsactivez les protocoles en les dcochant via les proprits de la carte rseau, le protocole nest pas entirement dsactiv.
b. Connexion rseau
c. Partage et dcouverte
Partage dimprimante
Partage protg par mot de passe.
Non identifi: Un emplacement rseau qui nest pas encore dfini, les rgles de lemplacement public sappliquent.
Partage dimprimante
Partage protg par mot de passe
Activ*
Non disponible
Activ*
Activ
Dsactiv
Activ
Les tches
Le lien Afficher les ordinateurs et les priphriques rseau affiche une fentre avec le nom des ordinateurs et priphriques dcouverts sur le rseau. Le lien Connexion un rseau permet, sil existe plusieurs rseaux, de se connecter un rseau spcifique. Le lien Configurer une connexion ou un rseau permet dafficher lassistant pour se connecter un rseau. Le lien Grer les connexions rseau affiche la fentre Connexions rseaux (ncpa.cpl).
Prsentation du routage
1.
Introduction
La famille des serveurs Windows peut galement agir en tant que routeur. Son activation est des plus simple. Nanmoins, ensuite, il faut crer des routes soit manuellement ou plus efficacement laide dune protocole de routage dynamique.
Parmi les protocoles de routages existants, Windows server 2008 supporte uniquement le protocole RIP (Routing Internet Protocol), largement rpandu.
Concernant le protocole OSPF prsent dans les versions prcdentes, Microsoft la retir de Windows Server 2008, car il tait peu utilis.
Dans Windows Server 2008 le routage fait partie du rle Services de stratgie et daccs rseau, et plus particulirement du service de rle Services de routage et daccs distance.
Prsentation du routage
2.
cl de registre "IpEnableRouter"
Il est possible dactiver le routage en modifiant la valeur de la cl du registre IPEnableRouter de 0 (dfaut) qui signifie dsactiv 1 qui signifie activ. Le chemin est HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, un redmarrage est ncessaire.
Le fonctionnement diffre de la mthode utilisant le routage et laccs distant du fait quil nest pas possible:
Dajouter un protocole de routage
Prsentation du routage
3.
de serveur.
Dans larborescence de la console, cliquez sur Rles. Dans la fentre principale de Rles, cliquez sur Ajouter des rles.
Prsentation du routage
2.
Prsentation du routage
4.
Prsentation du routage
4.
Prsentation du routage
4.
NAT: Permet dactiver NAT pour partager un accs internet avec le rseau local.
Routage rseau: permet dactiver le routage.
Prsentation du routage
4.
Prsentation du routage
5.
Configuration du routage
Connectez vous en tant quadministrateur.
Cliquez sur Dmarrer Outils dadministration puis sur Gestionnaire de serveur.
Prsentation du routage
5.
Configuration du routage
Routeur IPv4 ou Routeur IPv6 spcifie si le serveur est activ en tant que routeur IPv4 ou IPv6 sur le rseau local uniquement (dfaut), soit sur le rseau local et les connexions la demande.
Onglet IPv4 La slection de la case cocher montre que le routage IPv4 est activ. Onglet Enregistrement Permet de slectionner quelles informations sont enregistres dans le journal Systme de lObservateur dvnements.
Prsentation du routage
6.
Prsentation du routage
6.
Prsentation du dpannage
1.
Introduction
Le dpannage rseau dun ordinateur doit tre rigoureux. Il faut toujours vrifier que notre ordinateur fonctionne et rechercher ensuite le problme en sloignant vers la destination. Cette procdure peut tre remplace par une procdure dichotomique plus efficace comme le montre le diagramme plus bas. Le premier point de tout dpannage rseau commence par sassurer que
Prsentation du dpannage
2.
Quelques outils
ipconfig (invite de commande) La commande ipconfig /all montre la configuration actuelle de votre ordinateur. ping (invite de commande) La commande ping permet de tester la connectivit entre votre ordinateur et la cible, en envoyant un paquet ICMP de type ECHO et en recevant une rponse appele ECHO REPLY. tracert ou pathping (invite de commande) Ces deux outils permettent deffectuer un traage en montrant les routeurs rencontrs. La commande est tracert <adresseIPDestination> ou pathping <adresseIPDestination>. netsh (invite de commande) La commande netsh permet de consulter et de configurer les cartes rseau ainsi que les pare-feu.
Prsentation du dpannage
3. Procdure de dpannage pour garantir un fonctionnement au niveau de la couche 3 du modle OSI
La procdure suivante est dichotomique et vous garantit quen peu dtapes vous pouvez identifier la source dun problme rseau.
Prsentation du pare-feu
1.
Introduction
Un pare-feu permet de bloquer ou de laisser passer les paquets laide de filtres agissant au niveau des couches 3, 4, et au-del du modle OSI.
Il existe des pare-feu de type rseau comme Microsoft ISA Server ou Cisco PIX/ASA se plaant entre deux sous-rseaux et filtrant le flux de donnes, mais galement des pare-feu de type hte filtrant le flux de
Un pare-feu dhte permet dviter que des ordinateurs malveillants situs sur le rseau interne attaquent les ordinateurs de lentreprise. Par dfaut,
Prsentation du pare-feu
1.
Introduction
Windows Vista et Windows Server 2008 ont introduit un pare-feu simple grer et puissant, qui dispose notamment des caractristiques suivantes :
une nouvelle interface graphique intgrant le pare-feu avec la gestion dIPSec, un filtrage complet des protocoles IPv4 et IPv6, le blocage de tout trafic entrant except sil sagit dune rponse une requte sortante, lactivation du pare-feu par dfaut. Le pare-feu permet de dfinir des filtres au niveau de lhte ou de la carte rseau que ce soit pour les protocoles IP, TCP/UDP ou ICMP.
Prsentation du pare-feu
2.
Profil rseau
Dans Windows Server 2008, il existe trois profils rseau appels Domaine, Priv et Public. Pour chaque profil, il est possible de dfinir des rgles diffrentes pour le pare-feu.
Le profil Domaine est reconnu par Windows, lorsque le serveur se trouve dans son domaine Active Directory. Le profil Public sapplique pour tout
Prsentation du pare-feu
2.
Profil rseau
Pour modifier le profil, il faut passer par le Centre de Rseau et partage. Connectez-vous en tant quadministrateur sur le serveur Windows
Server 2008.
Sur le Bureau, cliquez sur Dmarrer, saisissez Centre de Rseau et partage dans la zone Rechercher puis appuyez sur [Entre].
Dans la bote de dialogue Dfinir un emplacement rseau, slectionnez le type demplacement puis cliquez sur Suivant.
Prsentation du pare-feu
3.
Le pare-feu standard
Le pare-feu standard est la vision simplifie du pare-feu qui ne modifie que les paramtres du profil Public.
Pour ouvrir le pare-feu, connectez-vous en tant quadministrateur.
Sur le Bureau, cliquez sur Dmarrer - Panneau de configuration puis sur Pare-feu Windows.
Cliquez sur Activer ou dsactiver le Pare-feu Windows pour ouvrir la bote de dialogue Paramtres du Pare-feu Windows.
Longlet Gnral permet dactiver ou de dsactiver le pare-feu. Longlet Exceptions permet de dfinir des exceptions pour les connexions entrantes.
Longlet Avanc permet dactiver ou de dsactiver le pare-feu sur chacune des cartes rseau.
Prsentation du pare-feu
4.
Ouvrir Le pare-feu Windows avec fonctions avances de scurit: Connectez vous en tant que administrateur. Cliquer sur Dmarrer Outils dadministration puis sur Pare-feu
Prsentation du pare-feu
4. Le pare-feu Windows avec fonctions avances de scurit
Prsentation du pare-feu
4.
d.
e. f.
g.
Analyser le pare-feu.
Prsentation du pare-feu
4. Le pare-feu Windows avec fonctions avances de scurit
Gestion du pare-feu laide de linvite de commande Ajouter une rgle pour une application:
netsh advfirewall firewall add rule name="Mon application" dir=in action=allow program="C:\MonRep\MonApp.exe" enable=yes
Introduction
La traduction dadresses rseau NAT permet un rseau entier de
Internet. Son principal avantage est quil permet dutiliser dans une
entreprise des adresses prives et de nutiliser quune adresse publique pour laccs Internet.
Figure-9: Assistant installation dun serveur Routage et accs distant page: Connexion Internet NAT
option trs prise que ce soit pour des informaticiens ou des utilisateurs.
Par la suite la scurit est devenue de mise et les protocoles ont volu pour supporter la notion de rseau priv virtuel.
Un rseau priv virtuel est dfinit comme tant un accs distant scuris
dont lobjectif principal est dinclure lordinateur distant comme faisant partie du rseau de lentreprise en crant un tunnel pour faire passer toutes les communications de lordinateur vers lentreprise y compris les requtes Internet.
Prsentation de laccs distant et des rseaux privs virtuels 2. Connexion rseau distance
Dans notre cours, la connexion rseau distance fait rfrence une connexion utilisant simplement le protocole PPP (Point to Point) sinon le terme de connexion VPN est utilis.
Cliquez avec le bouton droit de la souris sur Routage et accs distant puis cliquez sur Configurer et activer le routage et laccs distant. Sur la page Bienvenue de lassistant, cliquez sur Suivant.
Prsentation de laccs distant et des rseaux privs virtuels 2. Connexion rseau distance
a. Activation de laccs distance (suite) Sur la page Configuration, cliquez sur Accs distance (Connexion distance ou VPN). Sur la page Accs distance, cochez la case Accs distance puis cliquez sur Suivant.
Sur la page Slection du rseau, slectionnez linterface rseau du rseau interne puis cliquez sur Suivant.
Sur la page Attribution dadresses IP, vous pouvez choisir entre utiliser le serveur DHCP dentreprise, ou partir dune plage dadresses IP que vous spcifiez sur le serveur daccs distant. Si vous utilisez un serveur DHCP distant, lagent serveur DHCP sera ajout et il faudra le configurer. Ensuite, cliquez sur Suivant.
Prsentation de laccs distant et des rseaux privs virtuels 2. Connexion rseau distance
a. Activation de laccs distance (suite)
Si vous avez indiqu une plage dadresses spcifies, alors la page Sur la page Gestion daccs distance multiples, vous pouvez indiquer que le serveur daccs distant gre galement lauthentification, ou quil Si vous avez indiqu de travailler en tant que client Radius, vous devez dfinir les paramtres Radius. devienne un client Radius ce qui amliore la scurit. suivante vous demande de spcifier ces adresses.
Sur la page Fin de lassistant Installation dun serveur de routage et daccs distant, lisez les informations de configuration avant de cliquer sur Terminer.
Prsentation de laccs distant et des rseaux privs virtuels 2. Connexion rseau distance
b. Gestion de laccs distance
Dans larborescence de la console, cliquez avec le bouton droit de la souris sur le nom du serveur puis cliquez sur Proprits.
Dans la bote de dialogue, sur longlet Gnral, vous pouvez activer ou dsactiver de manire indpendante laccs distance IPv4 et IPv6.
Sur longlet Scurit, vous pouvez modifier la mthode dauthentification en utilisant soit lauthentification Windows, soit lauthentification Radius. Sur longlet IPv4, vous pouvez indiquer :
La mthode dattribution des adresses IPv4. Si le routage est activ. Si le serveur daccs distant soccupe de la rsolution de noms NetBIOS et DNS sur le sous-rseau local. La carte rseau utiliser pour obtenir des informations DHCP, DNS et Wins.
Sur longlet PPP qui est en relation directe avec les connexions modem vous pouvez indiquer :
Connexions liaisons multiples permet dautoriser un utilisateur distant utiliser plusieurs modems pour se connecter. Contrle de la bande passante dynamique en utilisant les protocoles BAP ou BACP soit si le serveur gre lajout et la suppression dynamique de modems en fonction des besoins. Extension LCP (Link Control Protocol) laisser activ. Compression logicielle permet dactiver le protocole MPPC (Microsoft Point to Point Compression) entre lordinateur distant et le serveur.
Prsentation de laccs distant et des rseaux privs virtuels 2. Connexion rseau distance
b. Gestion de laccs distance (suite) Sur longlet Enregistrement, vous sont sauvegards dans le journal. dfinissez comment les enregistrements Vous pouvez galement configurer :
Les ports pour laccs distant. Visualiser les informations et statistiques sur les clients daccs distants. Grer les stratgies daccs distance. Lagent de relais DHCP.
Figure-11: Fentre proprit du serveur
leur technologie.
Scnario Accs distant et site site Accs distant et site site Accs distant
SSTP
Mthode dauthentification Authentification de lutilisateur en clair puis cration du tunnel PPTP Authentification de lordinateur via IPSec puis de lutilisateur dans le tunnel avec PPP Cration du tunnel SSL puis authentification de lutilisateur avec PPP
Ports utiliss TCP 1723 (Control), IP 47 (GRE - Data) UDP Port 500 (IKE), IP 50 (ESP) ventuellement UDP port 4500 (NAT-T Data) TCP 443 (HTTPS)
Accs non authentifi: Indique si le serveur accepte des connexions non authentifies. Elle est la mthode la moins scurise. PAP: (Password Authentication Protocol). Les mots de passe sont en clair. CHAP: (Challenge Handshake Authentication Protocol) fonctionne en stimulation/rponse et utilise un protocole de hachage des mots de passe MD5 (Message Digest 5). MS-CHAP-V2: fonctionne en authentification mutuelle mot de passe unidirectionnel EAP (Extensible Authentication Protocol): autorise lauthentification arbitraire dune connexion daccs distance grce des modles dauthentification appels types EAP.
La figure suivante montre les mthodes dauthentification actives par dfaut dans Windows Server 2008 pour un accs VPN.
Dans larborescence de la console, cliquez avec le bouton droit de la souris sur le nom du serveur puis cliquez sur Proprits. Dans la bote de dialogue, cliquez sur longlet Scurit. Cliquez sur Mthode dauthentification et slectionnez les mthodes dont vous avez besoin. Cliquez deux fois sur OK pour fermer la bote de dialogue.
b. Scurit
Pour scuriser une connexion Wi-Fi, il est ncessaire de scuriser les communications en utilisant le chiffrage et ventuellement lauthentification. Les protocoles de chiffrage utiliss sont:
WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) et WPA2.
Dans une entreprise, il est plus simple de grer les rseaux sans fil en utilisant les stratgies de groupe comme le montre la procdure suivante.
Cliquez sur Dmarrer - Outils dadministration et Gestion des stratgies de Par exemple, dveloppez larborescence jusquau domaine puis cliquez avec le bouton droit de la souris sur le nom du domaine puis sur Crer un objet GPO dans ce domaine, et le lier ici.
Dans la bote de dialogue, saisissez wifi pour le Nom puis cliquez sur OK.
Modifier.
Dans larborescence, cliquez avec le bouton droit de la souris sur wifi puis sur
Dans la liste, vous pouvez grer des rseaux sans fil auquel lutilisateur peut se connecter. Vous pouvez dfinir pour chaque connexion une liste des SSID utilisables, et une mthode dauthentification et de chiffrement approprie comme le montre limage cicontre.
Sommaire
Prsentation des services de lActive Directory (AD) Installation du rle Services de domaine Active Directory (AD DS) Redmarrage de lAD
3.
4.
5.
L'objectif principal d'Active Directory est de fournir des services centraliss d'identification et d'authentification un rseau d'ordinateurs utilisant le systme Windows.
Il permet galement l'attribution et l'application de stratgies, la distribution de logiciels, et l'installation de mises jour critiques par les administrateurs.
Active Directory rpertorie les lments d'un rseau administr tels que
les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partags, les imprimantes, etc.
Active Directory ne tourne que dans un environnement TCP/IP avec une implmentation dun serveur DNS Microsoft ou autre. Les prrequis pour le serveur DNS sont :
Le support pour des enregistrements de type SRV (obligatoire).
Pouvoir mettre jour dynamiquement les enregistrements (optionnel mais fortement recommand).
Pour des raisons de scurit, il nest pas rare de voir des entreprises disposer de plusieurs forts distinctes nayant pas de relation dapprobation entre elles.
la fort. Si cette limite est trop faible, il est possible de sortir ce domaine de la
fort et de le placer dans une autre fort. Une limite de gestion, que ce soit pour des raisons techniques ou politiques. Une solution consiste crer des units dorganisation pour simplifier la gestion. Une limite de rplication. Dans le cas o un site important a des problmes de bande passante sur une liaison WAN, il est envisageable de limiter la rplication en scindant le domaine en deux, soit un site principal et un site distant.
En terme de conception, il faut toujours prfrer le modle le plus simple cest--dire disposer dune fort contenant un seul domaine et si ce nest
Il faut prvoir au moins deux contrleurs de domaine par domaine. La cration dun domaine vide, cest--dire un domaine contenant uniquement deux contrleurs de domaines est galement envisageable pour des raisons dadministration.
Une unit dorganisation (OU ou UO) est un artifice logique permettant dorganiser hirarchiquement lAD afin de la rapprocher de lorganigramme logique de lentreprise. Lunit dorganisation a galement pour but de simplifier ladministration car il est possible de configurer et restreindre les droits via des stratgies de groupe. Windows Server 2008 introduit la protection contre les suppressions accidentelles des units dorganisation. Elle est active par dfaut lors de la cration de lunit dorganisation mais vous pouvez la dsactiver en dcochant la case Protger le conteneur contre une suppression accidentelle, soit dans la bote de dialogue lors de la cration, soit dans longlet Objet des Proprits de lunit dorganisation.
Contact : Dfinit un utilisateur qui ne peut pas se connecter au rseau dentreprise mais qui on peut envoyer des emails.
InetOrgPerson :Reprsente un objet de classe utilisateur mais qui est compatible avec la RFC 2798 donc compatible avec dautres services dannuaire LDAP. Il sutilise comme un objet de classe utilisateur.
Lorganisation physique de lActive Directory est base sur les composants suivants :
Sous-rseau IP : Dfini comme tant un domaine de diffusion. Site Active Directory : Un site Active Directory est compos dun ou plusieurs sous-rseaux IP relis entre eux par une liaison rapide. Par dfaut, il ny a quun seul site dans la fort, nomm Premier site par dfaut.
LActive Directory est une base de donnes compose de plusieurs partitions comme indique dans le tableau suivant :
Partition Schma Configuration Domaine DNS Autre Description Contient la dfinition des attributs et classes permettant de crer un objet. Contient la topologie physique et de rplication de lAD. Contient tous les objets dun domaine spcifique. Contient la base de donnes DNS. Ladministrateur peut galement crer une partition spcifique dans la fort.
Par dfaut, la base de donnes de lAD est stocke dans le rpertoire %systemroot%\NTDS. La base de donnes est au format JET.
Par partiel, il faut comprendre que pour un objet, seuls certains attributs sont rpliqus et que la rplication vers le catalogue global se dfinit au niveau de lattribut et non de la classe de lobjet.
Mme pour une fort contenant un seul domaine, le catalogue global peut avoir un sens car certaines applications sont conues pour rechercher des informations uniquement dans le catalogue global et non dans la partition de domaine.
Il est recommand de placer au moins un serveur catalogue global par site Active Directory.
La rplication intersite repose sur le KCC (Knowledge Consistency Checker) qui recalcule rgulirement les chemins de rplication afin doptimiser la rplication entre les sites, en dfinissant les serveurs appels ttes de pont qui reoivent et envoient les modifications entre les sites.
Il est galement possible de modifier manuellement la rplication mais le rsultat peut tre dsastreux. La rplication intersite intervient selon une planification qui peut dfinir des intervalles de plusieurs heures entre chaque rplication ainsi que des routes diffrentes bases sur une notion de cot de routes attribus par ladministrateur.
La rplication concerne :
le schma au niveau de tous les contrleurs de domaine de la fort, le catalogue global vers tous les catalogues globaux de la fort, la rplication de lattribut de domaine vers le catalogue global du domaine, les modifications des objets vers tous les contrleurs de domaine du mme domaine, la configuration vers tous les contrleurs de domaine de la fort,
les partitions spcifiques comme le DNS vers les serveurs viss, comme les
contrleurs de domaine dun domaine, les serveurs DNS contrleurs de domaine
Actuellement, la granularit de la rplication peut utiliser lattribut qui a t modifi et non lobjet.
Dans Windows Server 2008, Microsoft introduit quatre nouveaux rles qui
tendent les possibilits de lAD, savoir :
Services AD LDS (Active Directory Lightweight Directory Services)
Dans le cas o la page Avant de commencer de lAssistant Ajout de rles apparat, cliquez sur Suivant.
Dans la page Rles de serveurs de lAssistant Ajout de rles, slectionnez Services de domaine Active Directory puis cliquez sur Suivant.
Sur la page Services de domaine Active Directory de lAssistant Ajout de rles, lisez attentivement les informations donnes avant de cliquer sur Suivant. Sur la page Confirmation de lAssistant Ajout de rles, cliquez sur Installer.
Lorsque vous y tes invit, connectez-vous et attendez que la page de rsultats saffiche pour indiquer si linstallation a russi.
Le message davertissement affich sur la fentre Rsultats de linstallation indique que le service Windows Update nest pas configur comme cest le cas si lon ajoute le rle AD DS juste aprs linstallation de Windows 2008. Cliquez sur Fermer. Comme linstallation a russi, il est possible de configurer lActive Directory en lanant la commande dcpromo.
3. Lassistant dcpromo:
Lassistant dcpromo est un assistant graphique lanc partir de linvite de
commandes. La figure suivante montre la syntaxe de la commande dcpromo sur une installation complte. Veuillez noter que pour obtenir de laide dtaille sur les oprations de promotion, la rtrogradation, etc., il faut utiliser la syntaxe suivante : dcpromo / ?:demotion Lassistant est contextuel et affiche que les pages dont vous avez besoin.
Figure-15: Aide dtaille de la commande dcpromo
Cliquez sur Dmarrer puis tapez dcpromo dans la zone Rechercher. Le mode avanc ajoute des pages supplmentaires lassistant. La prsente procdure est ralise en mode avanc et les pages supplmentaires sont indiques.
Aprs quelques instants, la premire page de lassistant vous demande de choisir entre le mode standard (dfaut) et le mode avanc.
La page Compatibilit du systme dexploitation vous avertit que les contrleurs de domaine 2008 utilisent un systme de chiffrement SMB fort non reconnu par des clients Windows NT4. Ce paramtre peut galement affecter des clients antrieurs Windows Vista SP1. Pour plus de dtails, consultez la kb942564.
Si la page Nom de domaine NetBIOS apparat, vrifiez que le nom du domaine NetBIOS est identique au nom de domaine DNS, ici TESTDOM puis cliquez sur Suivant.
Si vous tes en mode avanc, lassistant affiche la page Nom de domaine NetBIOS, pour ventuellement modifier le nom NetBIOS propos.
Sur la page Dfinir le niveau fonctionnel de la fort, choisissez un niveau puis cliquez sur Suivant.
Sur la page Options supplmentaires pour le contrleur de domaine, slectionnez Serveur DNS si aucun serveur DNS nest install ou est utilisable. En slectionnant Serveur DNS, vous indiquez que vous installez galement le rle Serveur DNS puis cliquez sur Suivant. Il se peut que vous receviez un avertissement si une des cartes rseau dispose dune adresse IP dynamique. Souvent, on oublie que le protocole IPv6 est activ et que par dfaut son tat est Stateless. Vous pouvez cliquer sur Oui.
Sur la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, tapez ou cherchez les emplacements dsirs puis cliquez sur Suivant.
Pendant linstallation de lActive Directory, lassistant affiche une bote de dialogue dans laquelle vous pouvez slectionner la case cocher Redmarrer la fin de lopration afin que le serveur redmarre automatiquement.
Aprs le redmarrage, le Gestionnaire de serveur affiche les nouveaux rles, savoir Serveur DNS et Services de domaine Active Directory.
Sur la page Informations didentification rseau, tapez le nom du domaine de la fort dans laquelle vous allez promouvoir ce serveur en tant que rplica, ici testdom.fr. Indiquez si ncessaire les informations de compte dun utilisateur pouvant effectuer lopration de promotion de serveur en contrleur de domaine, ici test\administrateur pour lutilisateur et Pa$$word pour le mot de passe puis cliquez sur Suivant.
Sur la page Slectionnez un domaine, slectionnez le domaine dans lequel vous voulez ajouter le rplica puis cliquez sur Suivant.
Sur la page Slectionnez un site, slectionnez un site ou laissez la slection propose puis cliquez sur Suivant.
Sur la page Options supplmentaires pour le contrleur de domaine, activez les cases cocher correspondantes si vous voulez installer sur le serveur un serveur DNS, quil devienne serveur Catalogue global ou linstaller en tant que serveur RODC puis cliquez sur Suivant. Ici choisissez les options que vous dsirez tester.
Sur la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, tapez ou cherchez les emplacements dsirs puis cliquez sur Suivant.
Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez le mot de passe pour entrer dans le mode de restauration des services dannuaire. Il est obligatoire et doit tre complexe. Cliquez ensuite sur Suivant.
Sur la page Rsum, vrifiez vos slections et cliquez sur Suivant. Pendant linstallation de lActive Directory, lassistant affiche une bote de dialogue dans laquelle vous pouvez slectionner la case cocher Redmarrer la fin de lopration afin que le serveur redmarre automatiquement.
Veuillez vrifier linstallation dActive Directory comme indiqu plus loin la section Vrification raliser aprs linstallation dun contrleur de domaine.
6. Modification du schma dune fort 2000 ou 2003 pour accueillir un contrleur de domaine Windows Server 2008
Si vous installez le contrleur en tant que premier contrleur de domaine Windows Server 2008 dans une fort autre que Windows Server 2008, alors veuillez modifier le schma laide de la procdure suivante :
de schma.
Insrez le DVD Windows Server 2008 dans lordinateur jouant le rle de matre Ouvrez une invite de commande et dplacez-vous dans le rpertoire Tapez adprep /forestprep puis appuyez sur [Entre].
sources\adprep du DVD.
Sur la page Choisissez une configuration de dploiement, slectionnez Fort existante, Crer un nouveau domaine dans une fort existante puis cliquez sur Suivant.
Sur la page Informations didentification rseau, tapez le nom du domaine de la fort dans laquelle vous allez promouvoir ce serveur en tant que DC. Indiquez si ncessaire les informations de compte dun utilisateur pouvant effectuer lopration de promotion de serveur en contrleur de domaine, puis cliquez sur Suivant
Sur la page Nommez le nouveau domaine, tapez le nom de domaine complet du domaine parent et le nom DNS, puis cliquez sur Suivant. Sur la page Slectionnez un site, slectionnez un site ou laissez la slection propose puis cliquez sur Suivant.
Sur la page Options supplmentaires pour le contrleur de domaine, activez les cases cocher correspondantes si vous voulez installer sur le serveur un serveur DNS et quil soit Catalogue global puis cliquez sur Suivant.
Sur la page , tapez ou cherchez les emplacements dsirs puis cliquez sur Suivant.
Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez le mot de passe pour entrer dans le mode de restauration des services dannuaire. Il est obligatoire et doit tre complexe. Cliquez ensuite sur Suivant. Sur la page Rsum, vrifiez vos slections et cliquez sur Suivant.
Pendant linstallation de lActive Directory lassistant affiche une bote de dialogue dans laquelle vous pouvez slectionner la case cocher Redmarrer la fin de lopration afin que le serveur redmarre automatiquement.
Veuillez vrifier linstallation dActive Directory comme indiqu plus loin la section Vrification raliser aprs linstallation dun contrleur de domaine.
Cochez la case Utiliser linstallation en mode avanc puis cliquez sur Suivant.
Sur la page Compatibilit du systme dexploitation, cliquez sur Suivant. Sur la page Choisissez une configuration de dploiement, slectionnez Fort existante, Crer un nouveau domaine dans une fort existante, cochez la case Crer une nouvelle fort racine darborescence de domaine au lieu dun nouveau domaine enfant puis cliquez sur Suivant.
Sur la page Informations didentification rseau, tapez le nom du domaine de la fort dans laquelle vous allez promouvoir ce serveur en tant que DC. Indiquez si ncessaire les informations de compte dun utilisateur pouvant effectuer lopration de promotion de serveur en contrleur de domaine, puis cliquez sur Suivant. Sur la page Nommez la nouvelle racine darborescence de domaine, tapez le nom de domaine de la nouvelle arborescence, puis cliquez sur Suivant. Sur la page Nom de domaine NetBIOS, vrifiez le nom puis cliquez sur Suivant. Sur la page Slectionnez un site, slectionnez un site ou laissez la slection propose puis cliquez sur Suivant.
Sur la page Options supplmentaires pour le contrleur de domaine, activez les cases cocher correspondantes si vous voulez installer sur le serveur un serveur DNS et quil soit Catalogue global puis cliquez sur Suivant. Sur la page Contrleur de domaine source vrifiez la slection puis cliquez sur Suivant.
Sur la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, tapez ou cherchez les emplacements dsirs puis cliquez sur Suivant.
Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez le mot de passe pour entrer dans le mode de restauration des services dannuaire. Il est obligatoire et doit tre complexe. Cliquez ensuite sur Suivant.
Linstallation partir dun mdia vite de rpliquer tous les objets et de ce fait, diminue le temps consacr la rplication. Il faut donc disposer dune copie de lActive Directory stocke sur un mdia. Pour crer une copie de lAD partir dun mdia, il faut tre sur un contrleur de domaine qui nest pas RODC. Ouvrez une invite de commandes. Tapez ntdsutil puis appuyez sur [Entre]. Tapez ifm puis appuyez sur [Entre].
Tapez activate instance ntds puis appuyez sur [Entre]. Tapez create full c:\media o media est le nom du rpertoire qui contiendra la copie de lAD puis appuyez sur [Entre]. Pour copier galement le rpertoire SYSVOL, tapez create Sysvol full.
Copiez sur lautre machine le contenu de C:\media en prenant soin de conserver le chemin C:\media. Connectez-vous en tant quadministrateur sur cette machine.
Cochez la case Utiliser linstallation en mode avanc puis cliquez sur Suivant.
Sur la page Informations didentification rseau, tapez le nom du domaine de la fort dans laquelle vous allez promouvoir ce serveur en tant que rplica. Indiquez si ncessaire les informations de compte dun utilisateur pouvant effectuer lopration de promotion de serveur en contrleur de domaine, puis cliquez sur Suivant. Sur la page Slectionnez un domaine, slectionnez le domaine dans lequel vous voulez ajouter le rplica puis cliquez sur Suivant.
Sur la page Slectionnez un site, slectionnez un site ou laissez la slection propose puis cliquez sur Suivant. Sur la page Options supplmentaires pour le contrleur de domaine, activez les cases cocher correspondantes si vous voulez installer sur le serveur un serveur DNS, quil devienne serveur Catalogue global ou linstaller en tant que serveur RODC puis cliquez sur Suivant.
Sur la page Installation partir du support, slectionnez Rpliquer les donnes partir du support lemplacement suivant et tapez lemplacement puis cliquez sur Suivant. Sur la page Contrleur de domaine source, vrifiez la slection puis cliquez sur Suivant.
Sur la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, tapez ou cherchez les emplacements dsirs puis cliquez sur Suivant.
Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez le mot de passe pour entrer dans le mode de restauration des services dannuaire. Il est obligatoire et doit tre complexe. Cliquez ensuite sur Suivant. Sur la page Rsum, vrifiez vos slections et cliquez sur Suivant.
Seul un rplica peut devenir RODC, et un seul RODC peut tre cr par site Active Directory. Une mthode consiste crer un compte RODC dans lActive Directory pour un ordinateur qui est encore hors domaine en utilisant la console Utilisateurs et ordinateurs Active Directory. Ensuite sur lordinateur, lors de lopration dcpromo, il sera tenu de devenir serveur RODC. Une autre mthode consiste lancer directement la commande dcpromo sur le futur rplica.
Cochez la case Utiliser linstallation en mode avanc puis cliquez sur Suivant.
Sur la page Choisissez une configuration de dploiement, slectionnez Fort existante, Ajouter un contrleur de domaine un domaine existant puis cliquez sur Suivant. Sur la page Informations didentification rseau, tapez le nom du domaine de la fort dans laquelle vous allez promouvoir ce serveur en tant que rplica. Indiquez si ncessaire les informations de compte dun utilisateur pouvant effectuer lopration de promotion de serveur en contrleur de domaine puis cliquez sur Suivant.
Sur la page Slectionnez un domaine, slectionnez le domaine dans lequel vous voulez ajouter le rplica ici puis cliquez sur Suivant.
Sur la page Slectionnez un site, slectionnez un site ou laissez la slection propose ici puis cliquez sur Suivant.
Sur la page Options supplmentaires pour le contrleur de domaine, activez les cases cocher correspondantes si vous voulez installer sur le serveur un serveur DNS, quil devienne serveur Catalogue global et vrifiez que la case cocher serveur RODC est slectionne. Cliquez ensuite sur Suivant. Sur la page Spcifier la stratgie de rplication des mots de passe, ajoutez ou supprimez des utilisateurs ou des groupes puis cliquez sur Suivant.
Sur la page Dlgation de linstallation et de ladministration du RODC, slectionnez le groupe ou ladministrateur puis cliquez sur Suivant. Par dfaut, les membres des groupes administrateurs de domaine ou administrateurs de lentreprise peuvent effectuer cette opration.
Sur la page Installation partir du support, slectionnez Rpliquer les donnes partir du support lemplacement suivant et tapez lemplacement puis cliquez sur Suivant. Sur la page Contrleur de domaine source, vrifiez la slection puis cliquez sur Suivant. Sur la page Emplacement de la base de donnes, des fichiers journaux et de SYSVOL, tapez ou cherchez les emplacements dsirs puis cliquez sur Suivant. Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez le mot de passe pour entrer dans le mode de restauration des services dannuaire. Il est obligatoire et doit tre complexe. Cliquez ensuite sur Suivant. Sur la page Rsum, vrifiez vos slections et cliquez sur Suivant.
Dterminer si le serveur a des objets enfants avec Sites et services Active Directory. Dans tous les cas.
Vrifier quil existe une association en ladresse IP et le sous-rseau associ au site avec Sites et services Active Directory et la commande ipconfig. Si les sites sont utiliss. Vrifier la configuration du serveur DNS avec la console DNS. Dans tous les cas.
Tester le dplacement dun objet vers un nouveau site avec Sites et services Active Directory. Si les sites sont utiliss.
Contrler le statut du rpertoire partag SYSVOL, laide de lExplorateur et de la commande dcdiag /test :netlogons. Dans tous les cas.
Vrifier lappartenance un domaine pour un nouveau contrleur de domaine enfant avec Utilisateurs et ordinateurs Active Directory. Dans tous les cas. Vrifier la rplication entre les contrleurs de domaine avec la commande dcdiag /test :replications. Dans tous les cas.
Vrifier la disponibilit des matres doprations avec la commande dcdiag /s:<ServeurDC> /test:knowsofroleholders. Dans tous les cas.
Redmarrage de lAD
Windows Server 2008 permet darrter et de dmarrer les services Active Les trois tats dun serveur Active Directory sont : AD dmarr : mode normal de fonctionnement dun contrleur de domaine. Ad Stopp : mode des services de lAD arrts, il remplace le mode de restauration des services dannuaire. Mode de restauration des services dannuaire : mode permettant deffectuer les tches de maintenance dans les versions prcdentes. Il
est prfrable darrter les services sur une version 2008. Pour rentrer
dans ce mode, il faut appuyer sur la touche [F8] au dmarrage.
Redmarrage de lAD
1. Dmarrage/arrt des services Active Directory avec la console MMC Services
Cliquez sur Dmarrer - Outils dadministration - Gestionnaire de serveur.
Dans larborescence, cliquez sur Rles puis sur Services de domaine Active Directory.
Dans la fentre principale, dans la section Services systme, slectionnez Services de domaines Active Directory (nom du service ntds) puis cliquez sur Arrt pour arrter les services ou sur Dmarrer pour dmarrer les services. Si la bote de dialogue Gestionnaire de serveur apparat, cliquez sur Arrter les services dpendants.
Sur la page Assistant Installation des services de domaine Active Directory, cliquez sur Suivant.
Si le serveur de domaine est catalogue global, une bote de dialogue vous avertit quil doit y avoir au moins un autre serveur catalogue global dans la fort. Si ce nest pas le cas, il faut en crer un autre avant de continuer lopration. Cliquez sur OK.
Sur la page Choisissez une configuration de dploiement, slectionnez Fort existante, Ajouter un contrleur de domaine un domaine existant puis cliquez sur Suivant.
Sur la page Supprimez le domaine, activez la case cocher Supprimer le domaine car ce serveur est le dernier du domaine si cest le cas puis cliquez sur Suivant.
Si la page Confirmation de la suppression apparat, activez la case cocher Supprimer toutes les partitions de lannuaire dapplications prsentes sur ce contrleur de domaine Active Directory pour pouvoir continuer, puis cliquez sur Suivant. Sur la page Supprimer la dlgation DNS, activez la case cocher Supprimer les dlgations DNS pointant vers ce serveur. Il faut galement indiquer un administrateur DNS. Dans le cas contraire, vous devrez le faire manuellement. Puis cliquez sur Suivant.
Sur la page Administrateur, tapez le mot de passe de ladministrateur puis cliquez sur Suivant.
Cliquez sur Dmarrer puis tapez dcpromo /forceremoval dans la zone Rechercher. Sur la page Assistant Installation des services de domaine Active Directory, cliquez sur Suivant.
Sur la page Forcer la suppression des services de domaine Active Directory, vrifiez les informations puis cliquez sur Suivant.
Sur la page Administrateur, tapez le mot de passe de ladministrateur puis cliquez sur Suivant. Sur la page Rsum, cliquez sur Suivant. la fin, vous devez redmarrer le serveur.
Nanmoins, son utilisation est adapte ladministration normale dune Active Directory.
Cet outil sert surtout dfinir les relations dapprobation entre domaines ou forts, le matre des oprations dattributs de noms de domaine ainsi qu dfinir le niveau fonctionnel de la fort.
Avec cette console, il est possible de connatre tous les attributs et classes permettant de crer des objets dans lActive Directory. Il est galement possible dajouter de nouveaux attributs ou classes, de dfinir si un attribut peut tre rpliqu dans le catalogue global et enfin de dsactiver un attribut. ! Il faut rserver lusage de cet outil aux administrateurs avancs. La modification dun paramtre peut avoir des consquences graves jusqu rendre lActive Directory inutilisable.
Sommaire
Introduction Installation du rle Serveur DNS Configuration dun serveur DNS Gestion dune zone
5.
6.
Le systme DNS (Domain Name System) utilise un espace de noms. Il se compose dune arborescence de domaines dont le niveau le plus bas correspond un enregistrement de ressources. Les nuds de niveaux suprieurs permettent dorganiser ces enregistrements de manire hirarchique, on les appelle domaines.
Introduction
La racine dun espace de noms peut tre une racine Internet ou une racine dentreprise. Dans la suite du chapitre, il sera toujours fait rfrence la racine Internet.
La racine dun espace de noms peut tre une racine Internet ou une racine dentreprise. Dans la suite du chapitre, il sera toujours fait rfrence la racine Internet. ! Pour savoir plus sur le fonctionnement du systme DNS, merci de se rfrer au cours sur le DNS Partie administration de rseau sous linux .
Pour installer le rle Serveur DNS, il existe deux mthodes. La premire consiste installer le rle Serveur DNS en mme temps que lActive Directory. La seconde mthode, dcrite ici, effectue linstallation du rle par lintermdiaire du Gestionnaire de serveur.
1- Prrequis
Le serveur doit avoir une adresse IP statique configure manuellement ou fixe via un serveur DHCP.
2- Installation
Lassistant dajout de rles installe le service DNS et permet galement de configurer le serveur DNS avec les options les plus courantes. Connectez-vous en tant quadministrateur. Pour dmarrer linstallation, lancez le Gestionnaire de serveur en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur Gestionnaire de serveur.
Pour installer le rle Serveur DNS, il existe deux mthodes. La premire consiste installer le rle Serveur DNS en mme temps que lActive Directory. La seconde mthode, dcrite ici, effectue linstallation du rle par lintermdiaire du Gestionnaire de serveur.
1- Prrequis
Le serveur doit avoir une adresse IP statique configure manuellement ou fixe via un serveur DHCP.
2- Installation
Lassistant dajout de rles installe le service DNS et permet galement de configurer le serveur DNS avec les options les plus courantes. Connectez-vous en tant quadministrateur. Pour dmarrer linstallation, lancez le Gestionnaire de serveur en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur Gestionnaire de serveur.
Dans lAssistant Ajout de rles, si la page Avant de commencer apparat, cliquez sur Suivant.
Sur la page Rles de serveurs, slectionnez le rle Serveur DNS puis cliquez sur Suivant. Sur la page Serveur DNS, cliquez sur Suivant. Sur la page Confirmation, cliquez sur Installer.
Consultez la page Rsultats pour voir si linstallation a russi puis cliquez sur Fermer.
Dans le volet de gauche du Gestionnaire DNS, cliquez avec le bouton droit de la souris sur le serveur DNS puis choisissez Configurer un serveur DNS.
Sur la page Bienvenue dans lassistant Configuration dun serveur DNS, cliquez sur Suivant.
Sur la page Slectionnez une action de configuration, slectionnez Configurer les indications de racine uniquement, puis cliquez sur Suivant. Vous pouvez choisir une autre option si vous voulez crer une zone. Sur la page Fin de lassistant Configuration dun serveur DNS, cliquez sur Terminer.
Comme vous pouvez le constater, il faut activer le nettoyage au niveau de lenregistrement, de la zone et dau moins un serveur qui gre la zone.
Il faut distinguer entre des enregistrements statiques et des enregistrements dynamiques. Par dfaut un enregistrement statique ne permet pas la suppression automatique de lenregistrement. Si vous voulez leffacer automatiquement suivez la procdure ci-dessous.
Connectez-vous en tant quadministrateur.
dadministration et enfin sur DNS. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils Dans le volet de gauche du Gestionnaire DNS, dveloppez larborescence pour Cliquez avec le bouton droit de la souris sur lenregistrement puis sur Proprits dans le menu contextuel. faire apparatre dans la fentre principale lenregistrement statique concern.
Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Dans le volet de gauche du Gestionnaire DNS, cliquez avec le bouton droit de la souris sur le serveur DNS puis sur Dfinir le vieillissement/nettoyage pour toutes les zones.
La case cocher Nettoyer les enregistrements de ressources obsoltes devrait tre toujours slectionne afin que le systme efface automatiquement ces enregistrements. LIntervalle de non-actualisation indique un intervalle durant lequel il nest pas possible de ractualiser cet enregistrement. Ladresse IP peut tre modifie.
Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS. Cliquez sur longlet Avanc, slectionnez la case cocher Activer le nettoyage automatique des enregistrements obsoltes, modifiez ventuellement le Dlai de nettoyage puis cliquez sur OK.
Dans le volet de gauche du Gestionnaire DNS, cliquez avec le bouton droit de la souris sur le serveur DNS puis sur Proprits.
Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Dans le volet de gauche du Gestionnaire DNS, cliquez avec le bouton droit de la souris sur le serveur DNS puis sur Nettoyer les enregistrements de ressources obsoltes. Dans la bote de dialogue DNS qui vous demande si vous voulez nettoyer tous les enregistrements prims du serveur, cliquez sur Oui.
Vous pouvez dterminer le moment o un enregistrement sera supprim en recherchant les derniers vnements 2501 et 2502 dans le journal puis en lui ajoutant la valeur du dlai de nettoyage.
Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS. Dans le volet de gauche du Gestionnaire DNS, cliquez sur Journaux globaux pour dvelopper larborescence. Cliquez sur vnements DNS pour faire apparatre les vnements dans la fentre principale. Vous pouvez dfinir quels vnements seront enregistrs dans le journal des vnements dans longlet Enregistrement des vnements de la bote de dialogue Proprits du serveur.
Dans le volet de gauche du Gestionnaire DNS, cliquez avec le bouton droit de la souris sur le serveur DNS puis cliquez sur Proprits. Dans la bote de dialogue Proprits, cliquez sur longlet Interfaces puis cochez les cases des adresses IP sur lesquelles le serveur doit couter et cliquez sur OK.
Remarquez quil est possible de slectionner une adresse IP et non la carte rseau.
Afin de rduire les menaces dues aux serveurs DNS, il est recommand de rediriger les requtes vers un serveur de cache interne qui sera redirig vers un serveur de cache externe.
Affichage dtaill du menu Affichage. La zone Recherches mises en cache apparat dans le volet de gauche.
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur le nom du serveur puis cliquez sur Effacer le cache.
Cette opration ne vide pas le cache DNS du serveur mais uniquement la zone de cache du serveur DNS. Pour vider le cache DNS dun ordinateur, saisissez la commande ipconfig /flushdns dans une invite de commande Pour visualiser le cache DNS, saisissez la commande ipconfig /displaydns.
Pour consulter la liste des serveurs racine , modifier ou supprimer un serveur, utilisez la procdure suivante : Connectez-vous en tant quadministrateur. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS. Dans le volet de gauche, cliquez avec le bouton droit de la souris sur le nom du serveur puis choisissez Proprits. Cliquez sur longlet Indications de racine.
Ajouter, Modifier, Supprimer permettent dajouter, modifier ou de supprimer de serveurs racine. Copier partir du serveur permet de copier la liste partir dun serveur qui fait rfrence.
Lorsque le serveur DNS reoit une requte, il tente de rsoudre le nom en adresse IP en utilisant les ressources dans lordre suivant :
1. Une zone DNS locale au serveur en utilisant les priorits suivantes :
zone DNS faisant autorit ou non ;
Le redirecteur par dfaut redirige les requtes DNS qui nont pu tre rsolues sur le serveur DNS vers le premier serveur de la liste. En cas de non rponse, il tente de contacter les autres serveurs de la liste selon lordre dfini. Les redirecteurs conditionnels permettent de rediriger les requtes non rsolues localement pour un domaine spcifique vers un serveur DNS particulier. Cette mthode est trs utile lorsque votre entreprise collabore avec des entreprises partenaires et vous donne accs un extranet. Il vous suffit simplement dajouter les adresses des serveurs DNS pour cette zone. Nanmoins, si les adresses des serveurs DNS changent, vous devez tre averti et les modifier.
La zone de stub est une amlioration du redirecteur conditionnel mais ne peut sutiliser que sil est possible deffectuer un transfert de zone.
a. Ajout dun redirecteur par dfaut Connectez-vous en tant quadministrateur. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS. Dans le volet de gauche, cliquez avec le bouton droit de la souris sur le nom du serveur puis choisissez Proprits. Cliquez sur longlet Redirecteurs.
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur la zone Redirecteurs conditionnels puis cliquez sur Nouveau redirecteur conditionnel.
Saisissez le nom du domaine, qui doit tre redirig puis associez-lui une ou plusieurs adresses IP qui correspondent aux serveurs DNS qui grent ce domaine en tapant ladresse IP de chaque serveur dans la zone Adresses IP des serveurs matres comme le montre limage suivante.
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur Zones de recherche directes puis cliquez sur Nouvelle zone.
Sur la page Type de zone, slectionnez loption Zone de stub. Si le serveur DNS est galement un contrleur de domaine, vous pouvez enregistrer la zone dans lActive Directory en slectionnant la case cocher correspondante. Enfin cliquez sur Suivant.
Sur la page Nom de la zone, saisissez le nom de domaine DNS qui doit tre redirig, puis cliquez sur Suivant.
La page Fichier de zone apparat si vous navez pas slectionn la case cocher Enregistrer la zone dans Active Directory sur la page Type de zone. Vous pouvez soit crer un nouveau fichier nomm (recommand), soit utiliser un fichier existant. Par dfaut, ces fichiers sont stocks dans le rpertoire %systemroot%\sytem32\dns. Cliquez sur Suivant.
serveurs de la liste en tant que matre pour la zone et non les serveurs
Sur la page Fin de lAssistant Nouvelle zone, vrifiez vos informations matres stocks dans lActive Directory. Cliquez ensuite sur Suivant.
Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Sur la page Bienvenue ! de lAssistant Nouvelle zone, cliquez sur Suivant.
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur Zones de recherche directes puis cliquez sur Nouvelle zone.
Vers tous les serveurs DNS de ce domaine. Il sagit du paramtre par dfaut.
Vers tous les contrleurs de ce domaine rplique la zone sur tous les contrleurs de domaine du domaine. Ce paramtre doit tre utilis si vous disposez de contrleurs de domaine Windows Server 2000 agissant en tant que serveurs DNS. Dans la partition de domaine applicative rplique la zone uniquement vers les serveurs qui font partie de ltendue de rplication de la zone applicative. Il faut
Sur la page Mise niveau dynamique, choisissez soit daccepter les mises jour dynamiques des enregistrements DNS, soit de les interdire. Les mises jour dynamiques scurises ne sont disponibles quavec des zones intgres Active Directory.
Si votre serveur DNS hberge une zone utilise par Active Directory, il est conseill dautoriser les mises jour dynamiques. Il est mme conseill que le serveur DNS soit galement un serveur contrleur de domaine afin de bnficier de la scurit induite par lActive Directory. Loption Ne pas autoriser les mises jour dynamiques est utiliser dans une zone primtre (DMZ) ou directement sur Internet.
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur Zones de recherche inverse puis cliquez sur Nouvelle zone.
Si la page tendue de la zone de rplication de Active Directory apparat, il faut indiquer la faon de stocker les informations dans lActive Directory, puis vous pouvez cliquer sur Suivant.
Sur la page Nom de la zone de recherche inverse, slectionnez le type dadressage IPv4 ou IPv6, puis cliquez sur Suivant. La nouvelle page porte le mme nom dans les deux cas mais vous devez saisir lID rseau, ou le Nom de la zone de recherche inverse en IPv4.
Lcran suivant montre un ID rseau IPv4, remarquez que le nom de la zone est renseign automatiquement et est gris.
Sur la page Mise niveau dynamique, choisissez daccepter les mises jour dynamiques des enregistrements DNS ou de les interdire. Sur la page Fin de lAssistant Nouvelle zone, vrifiez vos informations puis cliquez sur Terminer. La nouvelle zone apparat dans le volet gauche.
La source de noms permet de configurer plusieurs paramtres importants pour la zone. Microsoft dfinit ces paramtres par dfaut mais il peut tre utile de les modifier pour quils correspondent vos besoins. La procdure est la suivante :
Connectez-vous en tant quadministrateur. dadministration et enfin sur DNS.
Cliquez avec le bouton droit de la souris sur la zone puis sur Proprits.
Les pages suivantes montrent comment configurer les enregistrements les plus importants.
Saisissez au minimum le Nom et lAdresse IP. Laissez la slection pour la cration du pointeur PTR. La case cocher Autoriser tout utilisateur identifi mettre jour les enregistrements DNS avec le mme nom propritaire ne saffiche que lorsque la zone est intgre lActive Directory et permet un administrateur denregistrer un nom hte dans le serveur DNS au nom de ce dernier mme si lhte est hors ligne.
SRV ou emplacement de service , permet dassocier un service spcifique un hte. Le Service peut tre un service existant ou un nom que vous ajoutez.
RFC2672.
DNAME permet de mapper une arborescence dun espace de nom DNS sous un autre domaine. Vous pouvez lutiliser pour une migration en douceur dun espace de nom comme peut lillustrer lexemple suivant : Avec linvite de commande, vous allez crer deux domaines et un enregistrement dans le domaine qui doit avoir un alias. Puis vous allez crer lalias et voir le rsultat avec lutilitaire nslookup. Cration du domaine migrer : dnscmd /zoneadd MonVieuxDomaine.local /primary Cration dun enregistrement dans ce domaine : dnscmd /recordadd MonvieuxDomaine.local www A 192.168.6.1
Lenregistrement DNAME nest configurable que via linvite de commande dnscmd. Il faut noter que le domaine dalias doit tre cr sur le serveur DNS et ne peut contenir denregistrements lors de la cration de lenregistrement DNAME.
Pour des raisons de scurit, que ce soit au niveau du stockage, du transfert de zone ou de la mise jour dynamique des enregistrements, il est prfrable de stocker les zones dans lActive Directory. Effectuez la procdure suivante successivement avec deux machines virtuelles (une avec AD et lautre sans) et remarquez les diffrences en fonction du rle Active Directory qui est install ou non. Vous pouvez tout moment modifier le type de stockage ou lemplacement en utilisant la procdure suivante :
Connectez-vous en tant quadministrateur. dadministration et enfin sur DNS. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils
Cliquez avec le bouton droit de la souris sur la zone puis sur Proprits. Cliquez sur longlet Gnral de la bote de dialogue Proprits. La zone Type indique sil sagit dune zone intgre Active Directory. Vous pouvez modifier le type de zone tout moment en cliquant sur le bouton
Le bouton Rplication nest activ que pour une zone intgre Active Directory. Il permet de dfinir la manire dont la zone est rplique vers les autres contrleurs de domaine.
La liste droulante Mises jour dynamiques permet de dfinir si la zone accepte les mises jour des enregistrements de manire dynamique, voire scurise, cest--dire quun contrle des ACLs (Access Control List) de lActive Directory est effectu pour savoir si la mise jour est permise.
Le transfert dune zone intgre lActive Directory utilise la rplication de lActive Directory et requiert que chaque serveur DNS soit galement un contrleur de domaine.
Si le stockage de la zone se fait dans un fichier, alors il faut configurer le transfert de zone ; plusieurs cas peuvent se prsenter mais ils utilisent tous la notion de zone secondaire et de serveur matre.
Au pralable, il faut autoriser le transfert de zone en suivant cette procdure. Pour effectuer un exercice complet, vous allez crer une zone secondaire sur le serveur Win1 dont le nom correspond au domaine et utiliser le Server Win2 en tant que matre.
Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Dans le volet de gauche, cliquez sur le nud Zones de recherche directes ou Zones de recherche inverse pour faire apparatre la zone considre, ici pffc.fr (si elle nexiste pas, crez-la). Cliquez sur la zone pour dvelopper le nud. Cliquez avec le bouton droit de la souris sur la zone puis sur Proprits. La case cocher Autoriser les transferts de zone doit tre coche. Ensuite vous devez dterminer la mthode.
Dans le volet de gauche, cliquez avec le bouton droit de la souris sur le nud Zones de recherches directes (ici) ou Zones recherches inverses puis cliquez sur Nouvelle Zone.
Sur la page Type de zone, slectionnez loption Zone secondaire puis cliquez sur Suivant.
Sur la page Nom de la zone, saisissez la zone rpliquer, puis cliquez sur Suivant.
Si la rplication ne sest pas faite correctement, cliquez avec le bouton droit de la souris sur la zone considre puis, soit sur Transfert partir du matre (transfert IXFR) soit sur Recharge partir du matre (transfert AXFR). Si le problme persiste, vrifiez la connexion rseau entre les deux serveurs et si la zone peut tre transfre. Sur le serveur qui hberge la zone secondaire contrlez que la rplication seffectue correctement.
Si un serveur WINS existe, il peut tre intressant de lassocier une zone de recherche directe ou inverse. Dans ce cas, si le serveur DNS ne peut rsoudre le nom dans la zone considre, il fait appel aux serveurs WINS dfinis pour tenter de rsoudre le nom. Le scnario le plus commun est de dsactiver la rsolution de noms NetBIOS pour les ordinateurs fonctionnant sous Windows Vista, voire Windows XP et de permettre une recherche via un serveur WINS par lintermdiaire du serveur DNS.
7- WINS (suite)
Cliquez sur Dmarrer puis saisissez control ncpa.cpl dans la zone de saisie Cliquez avec le bouton droit de la souris sur linterface dsire puis cliquez sur Double cliquez sur Protocole Internet version 4 (TCP/IPv4). Proprits.
Dans la bote de dialogue Proprits de protocole Internet version 4 (TCP/IPv4), Dans la bote de dialogue Paramtres TCP/IP avancs, cliquez sur longlet WINS. cliquez sur loption Dsactiver NetBIOS sur TCP/IP.
Dans longlet WINS, dsactivez la case cocher Activer la recherche LMHOSTS et Cliquez trois fois sur OK.
7- WINS (suite)
b. Configurer un serveur DNS pour utiliser la rsolution WINS Connectez-vous en tant quadministrateur.
Si vous devez installer un serveur WINS, il est plac en tant que fonctionnalit et non en tant que rle. Lancez le Gestionnaire DNS en cliquant sur Dmarrer puis sur Outils dadministration et enfin sur DNS.
Dans le volet de gauche, cliquez sur le nud Zones de recherche directes ou Zones de recherche inverse pour faire apparatre la zone considre.
Cliquez avec le bouton droit de la souris sur la zone puis sur Proprits.
Pour activer la recherche galement vers un serveur DNS, cochez la case Utiliser la recherche directe WINS.
7- WINS (suite)
b. Configurer un serveur DNS pour utiliser la rsolution WINS (suite) Si dautres serveurs DNS grant la zone ne reconnaissent pas les enregistrements de type WINS, comme certains serveurs DNS non Microsoft et en particulier les serveurs BIND/Unix, il peut y avoir des problmes lors du transfert de zone ; pour viter ces problmes, il est conseill de cocher la case Ne pas rpliquer cet enregistrement. Sous Adresse IP, ajoutez les adresses des serveurs WINS.
En cliquant sur le bouton Avanc, vous configurez le Dlai dexpiration du cache, cest--dire le TTL de lenregistrement retourn par le serveur WINS et le Dlai dexpiration de la recherche, cest--dire le dlai avant que le serveur ne retourne une rponse de type "Nom introuvable". Un serveur WINS nest utilisable que pour des adresses IPv4.
7- WINS (suite)
Cette procdure montre comment crer la zone, la configurer avec un enregistrement et ce quil se passe lorsque le client effectue une demande de rsolution du nom.
Connectez-vous en tant quadministrateur.
Saisissez la commande suivante : dnscmd NomDuServeur /config /enableglobalnamessupport 1 puis appuyez sur [Entre].
Pour crer la zone, vous pouvez passer par linterface graphique mais galement saisir la commande suivante : dnscmd NomDuServeur /ZoneAdd GlobalNames /DsPrimary /DP /forest puis appuyer sur [Entre]. La zone GlobalNames est
NomDuServeur est un serveur DNS Windows Server 2008 qui est contrleur de domaine.
7- WINS (suite)
Ajoutez un enregistrement de type CNAME dans la zone globale. Pour le test, vous allez ajouter lenregistrement Web comme le montre la figure suivante. partir de linvite de commande, saisissez dnscmd /RecordAdd GlobalNames web CNAME www.test.ch puis appuyez sur [Entre].
Lordinateur client na pas besoin dtre configur. Il lui suffit de faire partie du domaine considr. Car si vous saisissez ping web sur lordinateur client, il va automatiquement rajouter un suffixe pour lenregistrement.
Avant dutiliser nslookup, vous devez vous assurer quune connexion IP est possible
entre ladresse IP de lordinateur et ladresse IP du serveur DNS. Pour rechercher un hte en utilisant un serveur DNS particulier
Saisissez nslookup www.eni.fr MonServeur DNS
Pour afficher un maximum dinformations Saisissez set debug = true puis [Entre]
Pour afficher les informations concernant le serveur DNS, saisissez dnscmd Pour afficher les zones stockes sur le serveur DNS, saisissez dnscmd localhost /enumzones puis [Entre]. Pour ajouter une zone, saisissez dnscmd localhost /addzone MaZone.com /Primary /File mazone.dns par exemple puis [Entre].
domaine particulier.
Bien entendu, il est galement possible de crer une rplication mixte avec des serveurs hbergeant des zones secondaires, nanmoins ce nest pas une solution scurise, ni efficace.
Sommaire
Prsentation du protocole DHCP Service DHCP de Windows Installation et dsinstallation du rle DHCP
4.
5.
Configuration
Gestion dun serveur DHCP
Le serveur DHCP peut mettre jour le DNS au nom du client DHCP,pour un client qui ne peut mettre jour le serveur DNS ou si le client le demande.
Dans certains rseaux, on voit parfois plusieurs sous-rseaux IP partager le mme rseau physique. Le serveur DHCP permet de runir ces diffrents rseaux IP pour crer une tendue globale de manire ce que les clients DHCP se trouvant sur le rseau physique reoivent une adresse provenant de lun des sous-rseaux IP.
Parmi les quelques 80 options standardises, les clients DHCP Windows nutilisent par dfaut que les suivants : PAD, Masque de sous-rseau, Routeur, Serveur DNS, Nom de lhte, Nom de Domaine DNS, Nom du serveur Wins, Informations spcifiques au fournisseur, Type de nud pour la rsolution de nom NetBIOS sur TCP/IP, ID de ltendue NetBIOS, Adresse demande, Dure du bail, Type de message DHCP
Le support du protocole NAP permet de contrler la distribution dadresses IP de manire ce quun client non conforme ne puisse recevoir toutes les options DHCP et soit renvoy vers le rseau de remdiation.
Un serveur DHCP disposant de plusieurs cartes rseau peut ncouter les requtes DHCP que sur certaines de ses cartes.
En cliquant sur le bouton Valider, lassistant contrle quun serveur DNS rpond. Sur la page Paramtres WINS IPv4, spcifiez les options WINS cest--dire les adresses des serveurs WINS que recevra un client DHCP, puis appuyez sur Suivant.
Sur la page Autorisation du serveur DHCP, il faut indiquer si cest lutilisateur actuel ou un utilisateur spcifique qui autorise le serveur DHCP distribuer des adresses IP.
Dans Rles, cliquez sur Supprimer des rles. cliquez sur Suivant.
Sur la page Rles de serveurs, slectionnez le rle Serveur DHCP puis cliquez sur
Sur la page Confirmation, vrifiez que vous supprimez le serveur DHCP puis La page Etat davancement montre une barre de progression pour vous faire patienter pendant la suppression. cliquez sur Supprimer. Suivant.
Dans la bote de dialogue Assistant Suppression de rle, cliquez sur Oui pour
Lors de la prochaine connexion, lassistant affiche le rsultat de la suppression du serveur DHCP. Vrifiez que la suppression est russie.
Lassistant de suppression du serveur DHCP ne supprime que les services et pas la base de donnes qui est toujours prsente dans le rpertoire %systemroot%\system32\dhcp. Effacez le rpertoire pour une suppression complte.
Cliquez avec le bouton droit de la souris sur le nud du serveur puis sur Dans la bote de dialogue Proprits, saisissez le nouveau chemin pour la base
La mise jour des enregistrements DNS partir du serveur DHCP est possible au niveau de ltendue ou du serveur DHCPv4 ou DHCPv6. Il est recommand de la paramtrer au niveau du serveur DHCP.
Connectez-vous en tant quadministrateur sur Win1. puis sur DHCP. Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration Cliquez sur le nud du serveur pour dvelopper larborescence. Cliquez sur IPv4 ou IPv6 pour dvelopper larborescence. Cliquez avec le bouton droit de la souris sur IPv4 ou IPv6, puis sur Proprits.
Ne modifiez Tentatives de dtection de conflit que dans des environnements o vous disposez dordinateurs antrieurs Windows 2000.
Vous pouvez modifier le chemin daccs du fichier journal daudit. En cliquant sur Liaisons, vous pouvez modifier les interfaces dcoute pour le protocole DHCP. En cliquant sur Information didentification, vous pouvez scuriser les inscriptions DNS effectues par le serveur DHCP. Pour cela, il faut dfinir un compte dutilisateur ddi qui doit tre membre du groupe DnsUpdateProxy et ensuite ajouter son login chaque serveur DHCP. Cela permet galement dviter des erreurs denregistrement.
Lassistant de cration dune tendue post-installation est plus complet que celui propos lors de linstallation du serveur DHCP.
Connectez-vous en tant quadministrateur sur Win1. puis sur DHCP. Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration Cliquez sur le nud du serveur pour dvelopper larborescence. Cliquez sur IPv4 pour dvelopper larborescence. tendue. Cliquez avec le bouton droit de la souris sur le nud IPv4, puis sur Nouvelle
Sur la page Nom de domaine et serveur DNS, saisissez une une les
adresses des serveurs DNS puis cliquez sur Ajouter, cliquez ensuite sur Sur la page Serveur WINS, saisissez ventuellement ladresse dun serveur Sur la page Activer ltendue, cliquez sur Oui (dfaut) pour lactiver WINS puis cliquez sur Ajouter avant de cliquer sur Suivant. Suivant.
immdiatement ou sur Non pour lactiver plus tard, puis cliquez sur Suivant.
Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration Cliquez sur le nud du serveur pour dvelopper larborescence.
Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration puis sur DHCP.
Cliquez avec le bouton droit de la souris sur Rservations, puis sur Nouvelle rservation. Dans la bote de dialogue Nouvelle rservation, saisissez les informations demandes puis cliquez sur Ajouter. Saisissez le Nom de la rservation afin de lidentifier.
Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration puis sur DHCP.
Cliquez avec le bouton droit de la souris sur Rservations, puis sur Nouvelle rservation. Dans la bote de dialogue Nouvelle rservation, saisissez les informations demandes puis cliquez sur Ajouter. Saisissez le Nom de la rservation afin de lidentifier.
Ladresse IP correspond ladresse IP attribue cette rservation. Ladresse MAC correspond ladresse physique (Mac Address) de la carte rseau de lhte.
Pour afficher ladresse MAC de la carte locale, vous pouvez utiliser la commande ipconfig /all. La commande arp -a affiche les adresses MAC sur le mme segment de rseau. Enfin, si le protocole NetBIOS est toujours activ, vous pouvez saisir nbtstat -A <AdresseIP> ou nbtstat -a <nomIP>.
La Description est facultative. Les Types pris en charge sont les clients DHCP, BOOTP ou les deux.
de ltendue ;
de la classe ; de la rservation. Concernant les priorits des options, le niveau de la rservation est la plus prioritaire alors que le niveau serveur est le moins prioritaire. > La meilleure pratique veut quil faille dfinir les options globales valables pour toutes les tendues au niveau du serveur, comme les adresses de serveurs DNS, WINS, le
nom de domaine, etc. Les options dtendue peuvent disposer de ladresse du routeur.
Enfin, les options placer au niveau de la rservation doivent tre les exceptions. > La procdure est la mme pour grer les options au niveau du serveur ou de la rservation.
Cliquez avec le bouton droit de la souris sur Options dtendue puis choisissez
Onglet Gnral
La slection dune option seffectue en activant la case cocher de loption dsire. Ensuite, vous devez configurer loption dans Entre de donnes. Le cadre change pour chaque option.
Longlet Paramtres avancs diffre du fait quil est possible de restreindre les ordinateurs concerns par les options soit en utilisant une classe Fournisseur comme :
Options Microsoft regroupe les classes Options Microsoft Windows 2000 et Options Microsoft Windows 98. Options Microsoft Windows 2000 uniquement pour Windows 2000 et suprieur. Options Microsoft Windows 98 pour Windows 98. Options standard DHCP (dfaut), comme son nom lindique. Cette notion de classe nest plus vraiment utilise.
Il est galement possible de cibler le type de client en utilisant une classe dutilisateur comme :
Classe BOOTP par dfaut pour les clients BOOTP uniquement. Classe de protection daccs rseau par dfaut qui correspond au client NAP. Classe de routage et daccs distant par dfaut qui correspond au client VPN. Classe utilisateur par dfaut (dfaut), soit les autres. Cette classe Utilisateur est plus intressante que la classe Fournisseur car elle permet de dfinir clairement les options spcifiques chaque type daccs client.
Le serveur Agent Relay DHCP agit comme un proxy situ entre le client DHCP et le serveur DHCP. Il coute les messages de diffusion BOOTP (1) sur le segment de rseau local et transmet la demande auprs dun serveur DHCP (2) situ sur un
rseau
Cliquez sur le nud IPv4 ou IPv6 selon lagent relais DHCP activer. souris sur Gnral, puis sur Nouveau protocole de routage.
Si lagent de relais DHCP nest pas install, cliquez avec le bouton droit de la Dans la bote de dialogue Nouveau protocole de routage, slectionnez Agent de relais DHCP dans la liste Protocoles de routage puis cliquez sur OK.
Cliquez sur Dmarrer - Outils dadministration puis sur Gestionnaire de serveur. Dans larborescence de la console, cliquez sur le nud Rles. Cliquez sur le nud IPv4. Cliquez sur le nud Services de stratgie et daccs distant. Cliquez avec le bouton droit de la souris sur Agent de relais DHCP puis sur Proprits.
Saisissez ladresse du serveur DHCP disposant dune tendue pour le sousrseau. Il faut galement crer une tendue pour le rseau. Puis cliquez sur Ajouter. Rptez lopration sil existe dautres serveurs DHCP. la fin, cliquez sur OK.
Dans la bote de dialogue Nouvelle interface pour Agent de relais DHCP, slectionnez linterface dcoute dans la liste des interfaces puis cliquez sur OK. Dans la bote de dialogue Proprits de Proprits de relais DHCP, assurezvous que la case cocher Relayer les paquets DHCP est slectionne, puis cliquez sur OK.
Pour assurer la gestion dun serveur DHCP, il faut tre membre du groupe Administrateurs ou membre du groupe Administrateurs DHCP des serveurs DHCP.
Cliquez avec le bouton droit de la souris sur le nud du serveur, puis sur Sauvegarder.
Dans la bote de dialogue Rechercher un dossier, dplacez-vous vers le dossier prvu pour la sauvegarde et cliquez sur OK.
Arrtez le service DHCP en cliquant avec le bouton droit de la souris sur le nud du serveur, puis en cliquant sur Toutes les tches et Arrter.
Cliquez avec le bouton droit de la souris sur le nud du serveur, puis cliquez sur
3. Statistiques
Il est possible dafficher des statistiques pour les serveurs DHCPv4 et DHCPv6. La
procdure est la suivante : Connectez-vous en tant quadministrateur sur Win1. puis sur DHCP.
Lancez la console DHCP en cliquant sur Dmarrer - Outils dadministration Cliquez sur le nud du serveur pour dvelopper larborescence. statistiques IPv4 ou IPv6, puis sur Afficher les statistiques.
Cliquez avec le bouton droit de la souris sur IPv4 ou sur IPv6 pour afficher les
Les commandes ci-aprs crent une tendue appele Etendue4 avec des
adresses allant de 172.30.1.50 172.30.1.59 avec un masque de 255.255.255.0 dont le bail est de 1 heure ; on y ajoute ladresse du routeur
serveur DHCP ne faisant pas partie dun domaine dtecte quil se trouve sur
un segment de rseau o existe un serveur DHCP de domaine, son service DHCP sarrte.
Sommaire
Ch3: Utilisteurs.
1. 2. 3.
Utilisateurs et groupes
1.
le compte dutilisateur sert authentifier et autoriser un utilisateur sur un ordinateur ou un rseau ainsi que dannuaire dentreprise.
Le compte utilisateur
On distingue le compte dutilisateur local dont les informations de compte rsident dans la SAM (Secure Account Manager) locale de tout ordinateur station de travail, serveur membre de domaine et serveur membre dun groupe de travail du compte dutilisateur de domaine qui est stock dans lActive Directory. Un compte dutilisateur de domaine peut se connecter sur nimporte quel ordinateur et accder toutes les ressources du domaine, alors quun compte dutilisateur local ne peut le faire que sur lordinateur considr. Dans Windows, lutilisateur est identifi par son identificateur de scurit SID (Security IDentifier) qui commence toujours par 1-5-20<guid domaine>-ValueID, ValueID est toujours un nombre suprieur 1000, except pour lutilisateur administrateur et invit. Le SID est unique.
Utilisateurs et groupes
1.
Pour afficher les SID, il faut un utilitaire. Pour cela, vous pouvez tlcharger getsid.exe du kit de ressources techniques Windows 2000.
Vous pouvez aussi utiliser la commande : WMIC USERACCOUNT LIST Brief. Pour un utilisateur donn : WMIC USERACCOUNT WHERE "name = test Ad2 " get SID. Par dfaut, les utilisateurs suivants sont toujours crs :
Administrateur : compte dutilisateur qui a accs tout lordinateur (local) ou la fort ou au domaine (Active Directory). Ce compte ne peut tre dtruit ou
Utilisateurs et groupes
1.
Utilisateurs et groupes
2- Les groupes
Dans le but de faciliter la gestion des comptes dutilisateurs, il peut tre utile de les regrouper en fonction de leurs besoins pour effectuer des tches spcifiques et de les placer dans un groupe afin de ne grer quune seule entit plutt que chaque utilisateur. Cest dans cette optique que la notion de groupe a t cre. Microsoft a intgr un certain nombre de groupes appels prdfinis et builtin permettant deffectuer des oprations dadministration pour les administrateurs et des oprations standards pour les utilisateurs. Ladministrateur doit placer des utilisateurs dans ces groupes.
Il existe des groupes appels identits spciales ou entits de scurit intgres dont les membres sont contextuels, cest--dire quen fonction dun objet ou dune ressource considre lutilisateur slectionn est plac par le systme dexploitation dans ce groupe.
Utilisateurs et groupes
2- Les groupes
Par exemple, un utilisateur connect localement un ordinateur est membre du groupe Interactif alors quun autre utilisateur connect distance fait partie lui, du groupe Rseau. Les types de groupe possibles sont :
Scurit, prvu pour grer des lments de scurit comme les permissions. Distribution, utilis comme un groupe de distribution pour envoyer des emails par exemple. Les groupes de distribution ne permettent pas de dfinir des autorisations. En revanche, les groupes de scurit peuvent tre utiliss dans la plupart des systmes de messagerie.
Utilisateurs et groupes
2- Les groupes (suite)
Groupe Type Porte Ordinateur local Stock sur Ordinateur local SAM Utilis principalement pour Grer des utilisateurs et des permissions dans des groupes de travail ou des permissions dans une AD
Local
Scurit
Local de domaine
Groupe global
Groupe universel
Utilisateurs et groupes
2- Les groupes (suite)
Liste des groupes prdfinis sur un ordinateur local
Lorsquun ordinateur rejoint le domaine, le groupe administrateurs de domaine est automatiquement ajout au groupe local Administrateurs et le groupe utilisateurs de domaine est ajout au groupe local utilisateurs.
Utilisateurs et groupes
2- Les groupes (suite)
Liste des entits de scurit intgres sur un ordinateur local
Affichage possible via la commande : WMIC SYSACCOUNT LIST BRIEF Le groupe Tout le monde ninclut plus les utilisateurs du groupe Anonymous Logon.
Utilisateurs et groupes
2- Les groupes (suite)
Liste des groupes Builtin de lActive Directory: Cette liste se trouve dans le conteneur Builtin.
Liste des groupes prdfinis de lActive Directory: Cette liste se trouve dans le conteneur Users. Liste des identits intgres de scurit sur un contrleur de domaine
Les groupes de la figure,
disposant dune flche rouge sont galement visibles sur tout ordinateur de la fort si ladministrateur connect est un administrateur de domaine.
Figure-32: Liste des entits de scurit sur un contrleur de domaine (extrait)
Utilisateurs et groupes
3- Profil utilisateur
Le profil utilisateur se compose dun ensemble de paramtres permettant de construire lenvironnement de lutilisateur et dy stocker des documents et des fichiers de configuration. Dans un environnement Active Directory, une grande partie du profil de lutilisateur peut tre gr de manire efficace par les stratgies de groupe afin de donner aux utilisateurs un Bureau consistant.
Par dfaut, le profil utilisateur est stock par ordinateur dans un rpertoire qui porte le nom du login et se trouve lintrieur du rpertoire Users sur Windows Vista ou Documents and Settings pour Windows XP.
Si lutilisateur change dordinateur, toute la personnalisation du Bureau et les documents enregistrs dans le profil ne sont pas retrouvs sur le nouvel ordinateur. Pour pallier ce problme, il est possible de crer des profils itinrants qui sont sauvegards sur un serveur.
Utilisateurs et groupes
3- Profil utilisateur (suite)
Ds quun utilisateur se connecte sur un ordinateur, son profil est alors charg du serveur en local puis le profil local est utilis durant sa session. la fin de sa session, le profil ventuellement modifi est sauvegard (dfaut) ou ne lest pas sil sagit dun profil itinrant obligatoire. Pour crer un profil itinrant obligatoire, cest--dire un profil itinrant dont les modifications ne sont pas enregistres, il faut renommer le fichier ntuser.dat se situant dans le rpertoire partag ct serveur utilisateurs\%username% en ntuser.man. Le profil de lutilisateur est cr dans les conditions suivantes :
lavance en copiant un profil existant.
lors de la premire connexion de lutilisateur si aucun profil nexiste,
Lorsquaucun profil utilisateur nexiste, le profil de lutilisateur est cr en copiant le profil appel Default sur Windows Vista/2008 vers le profil de lutilisateur.
Utilisateurs et groupes
4- Stratgies dutilisation des utilisateurs et des groupes
Dans la philosophie Microsoft, il existe deux sortes de groupe, savoir des groupes permettant de grer des utilisateurs et des groupes associs aux ressources pour
Dans un domaine, il nexiste pas une mais plusieurs stratgies. Celles-ci dpendent du niveau fonctionnel du domaine et du nombre de domaines.
Il faut utiliser les groupes globaux pour regrouper les utilisateurs et les groupes Domaine local pour y appliquer les permissions, ce qui donne la stratgie suivante:
Utilisateurs et groupes
4- Stratgies dutilisation des utilisateurs et des groupes
Les autres stratgies comme :
Utilisateurs Groupe global Permissions Utilisateurs Groupe Domaine local Permissions Utilisateurs Permissions
sont possibles mais dconseilles car elles ne sont pas adaptes une volution de lentreprise si le nombre de domaines augmente.
La dernire stratgie a un effet indsirable lorsque lutilisateur est supprim car sil reoit des permissions, son SID reste toujours associ la permission et devient visible en tant que SID et plus en tant quutilisateur. Enfin, ladministrateur ne devrait crer de nouveaux groupes que si cest vraiment ncessaire.
linstallation dun serveur Windows Server 2008, deux comptes dutilisateurs sont automatiquement crs, savoir :
Administrateur, ou administrator sur une version anglaise. Invit, ou guest sur une version anglaise.
Utilisateur local
Leur compte rside dans la SAM locale de lordinateur situe dans le fichier SAM du rpertoire %systemroot%\system32\config ainsi que dans la copie de sauvegarde, dans le dossier %systemroot%\system32\config\regback.
Pour des raisons videntes de scurit, les fichiers SAM ne sont pas accessibles pour tre copis ou lus pendant que lordinateur fonctionne. La seule mthode consiste utiliser soit la console Utilisateurs et groupes locaux soit la base de registre pour accder certaines informations sur lutilisateur.
Dans un domaine, le compte utilisateur local ne peut tre acceptable que pour excuter un service ou une application qui fonctionne en tant que service.
Utilisateur local
1- Cration dun utilisateur local
Pour crer un utilisateur local, il faut lancer le Gestionnaire de serveur.
Connectez-vous en tant quadministrateur sur Win1. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Configuration pour dvelopper larborescence. Utilisateurs et groupes locaux pour dvelopper larborescence.
Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Cliquez avec le bouton droit de la souris sur Utilisateurs puis cliquez sur Nouvel utilisateur.
Tapez un nom de login dans la zone de saisie Nom dutilisateur comportant au maximum 20 caractres sauf les caractres suivants " / \ [ ] : ; | =, + * ? < > @ et un Mot de passe comportant au maximum 14 caractres. Tapez-le nouveau dans la zone de saisie Confirmer le mot de passe avant de cliquer sur Crer.
Utilisateur local
2- Configuration dun utilisateur local
Une fois lutilisateur cr, il est possible de modifier les paramtres de lutilisateur. Procdez comme suit :
Connectez-vous en tant quadministrateur sur Win1. dadministration puis Gestionnaire de serveur. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le dossier Dans la fentre principale, cliquez avec le bouton droit de la souris sur Utilisateurs. La liste des utilisateurs apparat dans la fentre principale. lutilisateur dont vous voulez modifier les paramtres puis cliquez sur Proprits. Utilisateurs et groupes locaux pour dvelopper larborescence.
Utilisateur local
2- Configuration dun utilisateur local (suite)
Onglet Gnral Les paramtres de longlet Gnral correspondent aux paramtres de compte indiqus lors de la cration du compte. Onglet Membre de Il est possible de rajouter le compte de lutilisateur un groupe local en utilisant le bouton Ajouter. Par dfaut, chaque utilisateur local est membre du groupe local
Utilisateurs.
Onglet Profil Chemin du profil : indique le chemin pour stocker le profil de lutilisateur. Script douverture de session : permet de lancer un script louverture de session. Chemin daccs local : le rpertoire de base peut tre local. Connecter : le rpertoire de base peut se trouver sur le rseau. Dans ce cas, il est identifi par une lettre de lecteur, le chemin rseau tant un chemin UNC.
Utilisateur local
2- Configuration dun utilisateur local (suite)
Onglet Appel entrant Loption Autorisation daccs rseau permet de dfinir si lutilisateur peut accder au serveur distance laide des services daccs distant. La case cocher Vrifier lidentit de lappelant restreint la connexion un numro de tlphone. Les Options de rappel dfinissent sil faut rappeler lutilisateur (meilleur pour la
scurit) ou non.
Il est galement possible de dfinir une adresse IP statique et des itinraires statiques pour cette connexion. Autres onglets Les autres onglets, savoir : Environnement, Sessions, Contrle distance et Profil de services Terminal Server concernent la gestion des accs en mode Terminal Services.
Utilisateur local
3- Rinitialisation du mot de passe de lutilisateur local
La rinitialisation du mot de passe est une opration dangereuse car elle rinitialise galement son certificat. En dautres termes, il naura plus accs aux fichiers crypts laide dEFS, aux mots de passe Internet enregistrs sur lordinateur et aux messages lectroniques chiffrs avec la cl publique de lutilisateur.
Connectez-vous en tant quadministrateur sur Win1.
dadministration puis Gestionnaire de Serveur. Configuration pour dvelopper larborescence. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Utilisateurs et groupes locaux pour dvelopper larborescence.
Utilisateur local
3- Rinitialisation du mot de passe de lutilisateur local (suite)
Dans le volet gauche du Gestionnaire de serveur, cliquez sur le dossier Dans la fentre principale, cliquez avec le bouton droit de la souris sur le mot de passe. Utilisateurs. La liste des utilisateurs apparat dans la fentre principale.
lutilisateur dont vous voulez rinitialiser le mot de passe puis cliquez sur Dfinir
Dans la bote de dialogue Dfinir le mot de passe, tapez le nouveau nom et Dans la bote de dialogue Utilisateurs et groupes locaux qui indique si lopration sest bien droule, prenez connaissance du rsultat et cliquez sur OK.
Utilisateur local
4- Suppression dun utilisateur
Supprimer un utilisateur dtruit le compte dutilisateur.
Connectez-vous en tant quadministrateur sur Win1. dadministration puis Gestionnaire de Serveur. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le dossier Dans la fentre principale, cliquez avec le bouton droit de la souris sur lutilisateur que vous voulez dtruire puis cliquez sur Supprimer. Utilisateurs. La liste des utilisateurs apparat dans la fentre principale. Utilisateurs et groupes locaux pour dvelopper larborescence.
Utilisateur local
5- Cration dun groupe local
Connectez-vous en tant quadministrateur sur Win1. dadministration puis Gestionnaire de Serveur. Configuration pour dvelopper larborescence. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud
Utilisateur local
6- Ajout dun utilisateur un groupe local
Dans le volet gauche du Gestionnaire de serveur, cliquez sur le dossier Groupes. Dans la fentre principale, cliquez avec le bouton droit de la souris sur le groupe dont vous voulez modifier les paramtres puis cliquez sur Proprits ou sur Ajouter En cliquant sur Ajouter, vous pouvez ajouter des utilisateurs et des entits de scurit intgres. la fin, cliquez sur Appliquer pour ajouter les utilisateurs au groupe sans fermer la bote de dialogue ou sur OK pour ajouter les utilisateurs et Il nest pas possible de renommer le compte dans la bote de dialogue Proprits mais uniquement depuis le menu Actions de la fentre principale. fermer la bote de dialogue. La liste des groupes apparat dans la fentre principale.
au groupe.
Utilisateur local
7- Suppression dun groupe
Connectez-vous en tant quadministrateur sur Win1. dadministration puis Gestionnaire de Serveur. Supprimer un groupe supprime le groupe mais pas les utilisateurs qui sont membres. Ouvrez le Gestionnaire de serveur en cliquant sur Dmarrer - Outils Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Dans le volet gauche du Gestionnaire de serveur, cliquez sur le nud Utilisateurs Dans le volet gauche du Gestionnaire de serveur, cliquez sur le dossier Groupes. Dans la fentre principale, cliquez avec le bouton droit de la souris sur le groupe que vous voulez dtruire puis cliquez sur Supprimer. La liste des groupes apparat dans la fentre principale. et groupes locaux pour dvelopper larborescence.
Utilisateur de domaine
1- Cration dun utilisateur
Connectez-vous en tant quadministrateur de domaine.
Ouvrez la console Utilisateurs et ordinateurs Active Directory en cliquant sur Dmarrer - Outils dadministration puis sur Utilisateurs et ordinateurs Active Directory.
Ouvrez ou crez une unit dorganisation qui deviendra le conteneur de
Tapez au minimum le Prnom ou le Nom de lutilisateur. Le Nom complet reprend et affiche le contenu du Prnom, des Initiales et du Nom. de nom dfinie. Le Nom douverture de session devrait tre identique au Nom douverture de session de lutilisateur (antrieur Windows 2000), puis cliquez
lutilisateur, puis slectionnez le conteneur, cliquez avec le bouton droit de la souris puis cliquez sur Nouveau puis sur Utilisateur.
Ensuite, il faut taper le nom du compte de lutilisateur selon les rgles de la stratgie
sur Suivant. Le nom doit comporter au maximum 256 caractres sauf les caractres suivants " / \ [ ] : ; | =, + * ? < > @.
Utilisateur de domaine
1- Cration dun utilisateur (suite)
Tapez un Mot de passe comportant au maximum 127 caractres puis confirmez-le.
est cr.
Lunit dorganisation marketing doit obligatoirement exister. Dans lexemple prcdent, seul le nom douverture de session antrieur Windows 2000 a t dfini.
Utilisateur de domaine
2- Configuration dun utilisateur
Utilisateur de domaine
2- Configuration dun utilisateur
Dans longlet Compte, il est possible de modifier le nom douverture de session de lutilisateur et le suffixe utilis. Ladministrateur peut dverrouiller un compte bloqu par le systme dexploitation.
Les Options de compte permettent de dfinir des paramtres pour lutilisation du compte, comme le montre limage suivante : Longlet Compte
Utilisateur de domaine
2- Configuration dun utilisateur
Chemin du profil : indique le chemin pour stocker le profil de lutilisateur. Celui-ci peut tre enregistr localement ou sur un domaine en utilisant un chemin UNC (\\Serveur\partage\NomUtilisateur). Il est galement possible de crer des profils itinrants obligatoires. Script douverture de session : permet de lancer un script louverture de session.
Chemin daccs local : le rpertoire de base peut tre local. Longlet Profil
Connecter : le rpertoire de base peut se trouver sur le rseau. Dans ce cas, il est identifi par une lettre de lecteur, le chemin rseau tant un chemin UNC.
Les scripts douvertures de session peuvent tre avantageusement remplacs par les stratgies de groupe.
Utilisateur de domaine
2- Configuration dun utilisateur
Longlet Membre de
Le bouton Ajouter permet dajouter lutilisateur des groupes Domaine local,
Globaux ou universels. Le bouton Supprimer supprime lappartenance de lutilisateur aux groupes slectionns. Le bouton Dfinir le groupe principal est utilis pour les clients Mac ou des applications compatibles avec Posix. Par dfaut, cest toujours le groupe Utilisateurs du domaine.
Longlet Appel entrant Loption Autorisation daccs rseau permet de dfinir si lutilisateur peut accder au serveur distance laide des services daccs distant.
La commande dsmod permet galement de modifier des paramtres de lutilisateur : dsmod user cn=tara,ou=marketing,dc=helptest,dc=com -disabled yes
Utilisateur de domaine
3- Suppression dun utilisateur
Connectez-vous en tant quadministrateur de domaine. Ouvrez la console Utilisateurs et ordinateurs Active Directory en cliquant sur
sauvegarde. La cration dun utilisateur portant le mme nom ne restaure pas le mme SID.
Utilisateur de domaine
4- Dplacement dun utilisateur
Connectez-vous en tant quadministrateur de domaine.
Utilisateur de domaine
5- Autres actions possibles
partir du menu de la console Utilisateurs et ordinateurs Active Directory, vous
pouvez :
Activer ou dsactiver un compte dutilisateur. Rinitialiser son mot de passe ; il ny a pas deffets indsirables sur les certificats comme pour un utilisateur local. Ouvrir la page de dmarrage de lutilisateur. Envoyer un message si une adresse de messagerie a t dfinie. Ajouter un compte dutilisateur un groupe.
Utilisateur de domaine
6- Cration dun modle dutilisateur avec un profil itinrant
Etre efficace passe par lutilisation de modles utilisateur. Il est possible de crer des modles pour les diffrents types dutilisateurs identifis dans lentreprise. Pour ce faire, il faut :
Prparer le rpertoire profil et le rpertoire de base si ncessaire, Crer un utilisateur modle disposant dun profil itinrant, Se connecter avec lutilisateur modle pour personnaliser le profil, Dsactiver le compte modle.
Utilisateur de domaine
6- Cration dun modle dutilisateur avec un profil itinrant
Lors de la copie, les paramtres suivants sont conservs :
Les options de compte :
Utilisateur de domaine
6- Cration dun modle dutilisateur avec un profil itinrant
Utilisateur de domaine
6- Cration dun modle dutilisateur avec un profil itinrant
b. Crer un utilisateur modle disposant dun profil itinrant
Connectez-vous en tant quadministrateur de domaine. Ouvrez la console Utilisateurs et ordinateurs Active Directory en cliquant sur Dmarrer - Outils dadministration puis sur Utilisateurs et ordinateurs Active Ouvrez ou crez une unit dorganisation qui deviendra le conteneur de lutilisateur, puis slectionnez le conteneur, cliquez avec le bouton droit de la Tapez _Marketing pour le Prnom et le Nom douverture de session, le prfixe tant _ pour le faire apparatre en dbut de liste. Ensuite, cliquez sur Tapez un Mot de passe complexe comme Pa$$w0rd et cochez les cases comme le montre limage suivante avant de cliquer sur Suivant. Suivant. Directory.
Utilisateur de domaine
6- Cration dun modle dutilisateur avec un profil itinrant
b. Crer un utilisateur modle disposant dun profil itinrant (suite)
Contrlez vos informations puis cliquez sur Terminer. Lutilisateur est cr. Il faut maintenant modifier les proprits du compte de lutilisateur.
Slectionnez lutilisateur _Marketing et cliquez avec le bouton droit de la souris puis cliquez sur Proprits. Dans longlet Adresse, tapez une adresse (exp. ISTA, Hay Riad).
Utilisateur de domaine
6- Cration dun modle dutilisateur avec un profil itinrant
c. Se connecter avec lutilisateur modle pour personnaliser le profil
Sur un ordinateur client, connectez-vous en tant que lutilisateur modle _marketing.
Avec le bouton droit de la souris, cliquez sur un espace vide du Bureau puis sur
Cliquez sur Couleur et apparence des fentres. Personnaliser.
Dans la bote de dialogue Paramtres de lapparence, slectionnez Contraste Fermez la session. blanc lev dans la liste Modle de couleurs puis cliquez sur OK.
Ne modifiez pas manuellement des paramtres qui peuvent ltre laide dune
stratgie de groupe.
Utilisateur de domaine
6- Cration dun modle dutilisateur avec un profil itinrant
d. Dsactiver le compte modle
Connectez-vous en tant quadministrateur de domaine. Ouvrez Utilisateurs et ordinateurs Active Directory en cliquant sur Dmarrer Outils dadministration puis sur Utilisateurs et ordinateurs Active Directory. Dveloppez les arborescences pour slectionner lutilisateur _marketing puis cliquez avec le bouton droit de la souris et choisissez Dsactiver le compte.
e. Copier lutilisateur
.. Dveloppez les arborescences pour slectionner lutilisateur _marketing puis cliquez avec le bouton droit de la souris et choisissez Copier. Sur la page suivante, tapez un Mot de passe complexe comme Pa$$w0rd et dcochez Le compte est dsactiv avant de cliquer sur Suivant. Contrlez vos valeurs avant de cliquer sur Terminer.
Dans la bote de dialogue Copier lobjet Utilisateur, tapez TestUser dans Nom et Nom douverture de session puis cliquez sur Suivant.
Utilisateur de domaine
6- Cration dun modle dutilisateur avec un profil itinrant
f. Copier le profil dun utilisateur de domaine
Pour copier le profil, cliquez sur Dmarrer, puis cliquez avec le bouton droit de la souris sur Ordinateur et enfin, cliquez sur Proprits. Le profil copier doit Dans la fentre Systme, cliquez sur Paramtres systme avancs. exister sur cet ordinateur.
Dans la bote de dialogue Proprits systme, dans longlet Paramtres systme avancs, cliquez sur le bouton Paramtres de la zone Profil des Dans la bote de dialogue Profil des utilisateurs, slectionnez lutilisateur _Marketing et cliquez sur le bouton Copier dans.
utilisateurs.
Dans la bote de dialogue Copier dans, tapez le chemin du profil o sera stock le profil de lutilisateur TestUser. Actuellement seul c:\profil existe. Noubliez pas de modifier les autorisations sur le rpertoire profil de TestUser. Il ne vous reste plus qu tester votre utilisateur.
Utilisateur de domaine
7- Cration dun groupe
Connectez-vous en tant quadministrateur de domaine. Ouvrez la console Utilisateurs et ordinateurs Active Directory en cliquant sur Dmarrer - Outils dadministration puis sur Utilisateurs et ordinateurs Active Ouvrez ou crez une unit dorganisation qui deviendra le conteneur de lutilisateur, puis slectionnez le conteneur, cliquez avec le bouton droit de la souris puis cliquez sur Nouveau puis sur Groupe.
Directory.
Utilisateur de domaine
8- Modification dun groupe
Dans larborescence de domaine, recherchez votre groupe puis slectionnez-le et cliquez avec le bouton droit de la souris pour afficher le menu contextuel puis Il nest pas possible de modifier le nom du groupe dans la bote de dialogue. Vous pouvez modifier ltendue du groupe selon les chemins suivants :
Globale Universel Domaine local Domain local Universel Globale
Les onglets Membres et Membre de permettent de grer respectivement les Longlet Gr par permet dindiquer le nom du gestionnaire du groupe. Il peut tre utile dans de grandes entreprises de dfinir qui gre quoi. Attention, cest une dlgation de droit au niveau de lobjet.
Utilisateur de domaine
8- Suppression dun groupe
Connectez-vous en tant quadministrateur de domaine.
Ouvrez la console Utilisateurs et ordinateurs Active Directory en cliquant sur Dmarrer - Outils dadministration puis sur Utilisateurs et ordinateurs Active Dans larborescence de domaine, recherchez votre groupe puis slectionnez-le et cliquez avec le bouton droit de la souris pour afficher le menu contextuel puis Dans la bote de dialogue Services de domaine Active Directory, cliquez sur Oui. Supprimer un groupe ne supprime pas les membres du groupe. cliquez sur Supprimer. Directory.
Sommaire
4.
Lobjet conteneur peut tre un site Active Directory, un domaine ou une unit dorganisation.
Ce modle simplifie ladministration car si un utilisateur est dplac dune unit dorganisation vers une autre, automatiquement il subira les stratgies de groupe appliques dans la nouvelle unit dorganisation lorsquelles seront rappliques.
Il est possible que plusieurs stratgies de groupe existent pour le mme conteneur.
Si un paramtre (stratgie) est dfini plusieurs niveaux avec des valeurs conflictuelles, par dfaut, cest toujours le dernier paramtre lu qui sapplique.
groupes
Dans le volet de gauche, cliquez sur le nud du domaine ou du site dans lequel Dveloppez la structure arborescente du domaine ou du site pour slectionner le Sur lobjet, cliquez avec le bouton droit de la souris puis cliquez sur Crer un Tapez le Nom de la stratgie, ventuellement slectionnez un modle bas sur un objet Starter, soit un modle de stratgie puis cliquez sur OK. Lobjet stratgie objet GPO dans ce domaine, et le lier ici. conteneur qui sera li au GPO.
Une stratgie de groupe peut ne pas tre lie un conteneur ou tre lie plusieurs conteneurs. Dans ce dernier cas, il faut tre prudent lorsque vous modifiez un paramtre pour la stratgie, il peut entrer en conflit avec les besoins dun des conteneurs. La procdure pour lier les stratgies de groupe un objet Active Directory est la suivante :
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des stratgies de groupe. Dveloppez la structure arborescente du domaine ou du site pour slectionner le conteneur qui sera li au GPO. Sur lobjet, cliquez avec le bouton droit de la souris puis cliquez sur Lier un objet stratgie de groupe existant. Slectionnez la stratgie de groupe que vous voulez lier au conteneur puis cliquez sur OK. Lobjet est li.
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des stratgies de groupe. Dveloppez la structure arborescente du domaine ou du site pour slectionner le conteneur dont vous voulez supprimer lobjet GPO. Cliquez avec le bouton droit de la souris sur lobjet puis cliquez sur Supprimer. Si le conteneur est Objets de stratgie de groupe, le message suivant apparat.
Comme la stratgie est lie au niveau de lobjet conteneur, les objets inclus dans ces conteneurs subissent automatiquement les stratgies qui doivent sappliquer. Nanmoins, il est possible de bloquer lhritage pour ne plus recevoir des stratgies provenant dun niveau parent. il est possible dindiquer que lhritage de certains objets GPO ne peut tre bloqu. Le terme utilis pour dfinir quune stratgie ne peut pas tre bloque est Appliqu.
Si la proprit Appliqu dun GPO est active, alors ce GPO sapplique en dernier.
a. Blocage de lhritage
Dveloppez la structure arborescente du domaine ou du site pour slectionner la stratgie GPO que vous voulez forcer. Cliquez avec le bouton droit de la souris sur lobjet puis cliquez sur Appliqu. Licne du conteneur change, comme le montre la figure suivante pour la stratgie Default Domain Policy.
Lordinateur applique les stratgies de configuration ordinateur suivantes : GPO1, GPO2, GPO3, GPO4 et GPO5.
Pour lutilisateur, ce sont les stratgies de configuration utilisateur pour les conteneurs de lordinateur et de lutilisateur qui sappliquent dans lordre suivant, soit GPO1, GPO2, GPO3, GPO4, GPO6 et GPO7 puis GPO1, GPO2, GPO3, GPO4 et GPO5.
Sur lobjet, cliquez avec le bouton droit de la souris puis cliquez sur Modifier. Lditeur de gestion des stratgies de groupe apparat. Dveloppez Configuration ordinateur\Stratgie\Modles d administration\Systme\Stratgie de groupe puis double cliquez sur le paramtre Mode de traitement par boucle de rappel de la stratgie de groupe. Slectionnez loption Activ, puis choisissez un mode, Fusionner ou Remplacer, enfin cliquez sur OK. Fermez lditeur de gestion des stratgies de groupe.
Par dfaut, lintervalle de rafrachissement est de 5 minutes pour les contrleurs de domaine et de 90 minutes plus un intervalle alatoire allant jusqu 30 minutes pour les autres ordinateurs.
Seule les stratgies de scurit sont rafrachies toutes les 16 heures, soit 960 minutes plus un intervalle alatoire allant jusqu 30 minutes.
Vous pouvez modifier ces valeurs en utilisant les paramtres Intervalle dactualisation de la stratgie de groupe pour les ordinateurs ou Intervalle dactualisation de la stratgie de groupe pour les contrleurs de domaine dans Configuration ordinateur - Modles dadministration - Systme - Stratgie de groupe.
2- Paramtres du logiciel
Sous ce nud, vous pouvez installer, modifier ou supprimer des logiciels en tant que package Windows Installer (*.MSI). Le logiciel peut tre install au dmarrage de lordinateur, lors de la connexion de lutilisateur ou lorsque lutilisateur clique sur le lien dans le menu Dmarrer. Il peut galement tre dsinstall lorsque lordinateur est en dehors de ltendue de gestion. Les mises niveau et les modifications peuvent tre associes lapplication.
Configuration ordinateur: On trouve les paramtres comme Scripts, Imprimantes dployes, Paramtres de scurit, Stratgies de comptes, Stratgies locales, Configuration utilisateur: On trouve les paramtres comme Services dinstallation Windows, Scripts, Paramtres de scurit, Stratgies de cl publique, Stratgie de restriction logicielle, Redirection de dossiers etc.
Stratgies locales
1- Prsentation
Windows Server 2008 permet de crer plusieurs stratgies locales soit :
base sur lordinateur, la stratgie est identique aux autres versions de Windows. Vous pouvez configurer la partie utilisateur et ordinateur.
base sur le groupe Administrateurs local, vous ne pouvez configurer que la partie utilisateur.
base sur les Non-administrateurs, soit un utilisateur qui nest pas membre du groupe Administrateurs. Vous ne pouvez configurer que la partie utilisateur.
Dans un domaine, par dfaut, en plus des stratgies locales, le traitement inclut galement les stratgies de domaine. Vous pouvez dsactiver le traitement des stratgies locales en modifiant le paramtre Dsactiver le traitement des objets de stratgie de groupe locaux dans Configuration ordinateur - Modles dadministration Systme - Stratgie de groupe.
Spcifique lutilisateur connect, vous ne pouvez configurer que la partie utilisateur, elle porte le nom de lutilisateur.
Stratgies locales
2- Cration de la console MMC pour grer les stratgies locales
Connectez-vous en tant quadministrateur. Cliquez sur Dmarrer et tapez MMC dans la zone Rechercher. Dans la console, cliquez sur le menu Fichier puis sur Ajouter/Supprimer un composant logiciel enfichable. Dans la liste des composants logiciels enfichables disponibles, slectionnez diteur dobjets de stratgie de groupe puis cliquez sur Ajouter. Dans la bote de dialogue Slectionner un objet de stratgie de groupe, si vous cliquez sur Terminer, vous ajoutez lobjet de stratgie locale. Si vous dsirez ajouter un autre objet, cliquez sur Parcourir. Dans la bote de dialogue Rechercher un objet Stratgie de groupe, onglet Ordinateurs, vous pouvez slectionner Cet ordinateur ou Un autre ordinateur et dans longlet Utilisateurs, vous pouvez slectionner un groupe ou un utilisateur spcifique. Une fois votre slection faite, cliquez sur OK puis sur Terminer. Cliquez sur OK. Noubliez pas de sauvegarder votre console.
Au pralable, assurez-vous quil existe une relation dapprobation entre la fort et vous-mme.
Cliquez avec le bouton droit de la souris sur Gestion de stratgie de groupe puis cliquez sur Ajouter une fort.
Dans la bote de dialogue Ajouter une fort, tapez le nom complet du domaine que vous voulez grer puis cliquez sur OK. Un message derreur apparat si le domaine ne peut tre contact ou si vous ntes pas approuv
configuration utilisateurs.
Onglet Paramtres Longlet Paramtres affiche les paramtres qui sont dfinis pour la stratgie ainsi que leur valeur actuelle. Onglet Dlgation Longlet Dlgation permet de dfinir des autorisations DACLs pour un groupe ou un utilisateur sur un objet stratgie de groupe.
Si le nud Objets de stratgie de groupe nest pas dvelopp, cliquez sur les Cliquez avec le bouton droit de la souris sur la stratgie dsire puis cliquez sur Dans la bote de dialogue Sauvegarde de lobjet GPO, spcifiez un Dans la bote de dialogue Sauvegarder, lisez ltat puis cliquez sur OK. emplacement et ventuellement une description puis cliquez sur Sauvegarder. Sauvegarder. nuds pour dvelopper larborescence.
Le bouton Supprimer enlve la sauvegarde de la stratgie slectionne. La sauvegarde est supprime du disque. Le bouton Afficher les paramtres ouvre une page HTML dans laquelle les
Le nom des champs SQL est remplac par les proprits de la classe WMI et le nom de la table par le nom de la classe. Toute la difficult consiste connatre les classes WMI utilisables. Pour cela, vous pouvez utiliser PowerShell WMI Explorer, un explorateur WMI crit en PowerShell tlchargeable sur le site WEB http://thepowershellguy.com ou scriptomatic, un des nombreux utilitaires disponibles sur le site de Microsoft.
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des Si le nud Objets GPO Starter nest pas dvelopp, cliquez sur les nuds pour Dans la fentre principale, cliquez sur le bouton Crer le dossier des objets GPO Starter. Un dossier nomm StarterGPOs est cr dans le rpertoire %systemroot%\SYSVOL\domain.
dvelopper larborescence.
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des stratgies de groupe. Si le nud Objets de stratgie de groupe nest pas dvelopp, cliquez sur les nuds pour dvelopper larborescence. Cliquez avec le bouton droit de la souris sur Objets de stratgie de groupe puis cliquez sur Sauvegarder tout pour sauvegarder toutes les stratgies existantes ou cliquez avec le bouton droit de la souris sur le nom dune stratgie se trouvant sous le nud Objets de stratgie de groupe puis cliquez sur Sauvegarder pour la sauvegarde. Dans la bote de dialogue Sauvegarde de lobjet GPO, slectionnez un emplacement et ajoutez ventuellement une description avant de cliquer sur Sauvegarder. Ensuite la sauvegarde commence. Dans la bote de dialogue Sauvegarder, prenez le temps de lire le rsultat de la sauvegarde avant de cliquer sur OK.
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des stratgies de groupe. Si le nud Objets de stratgie de groupe nest pas dvelopp, cliquez sur les nuds pour dvelopper larborescence. Cliquez avec le bouton droit de la souris sur le nud Objets de stratgie de groupe puis cliquez sur Grer les sauvegardes. Sur la fentre Gestion des sauvegardes, si lemplacement nest pas le bon, modifiez-le, ventuellement naffichez que la dernire version des objets GPO puis slectionnez le nom dune sauvegarde avant de cliquer sur Restaurer. Une bote de dialogue souvre vous demandant de confirmer que vous voulez bien effectuer la restauration de la sauvegarde slectionne, cliquez sur OK. La restauration dmarre. Dans la bote de dialogue Restaurer, prenez quelques instants pour lire le rsultat de la restauration puis cliquez sur OK.
Connectez-vous en tant quadministrateur et ouvrez la console Gestion des Si le nud Objets de stratgie de groupe nest pas dvelopp, cliquez sur les
Cliquez avec le bouton droit de la souris sur la stratgie de groupe sous le nud
Objets de stratgie de groupe puis cliquez sur Restaurer partir dune Lassistant Restauration dobjet de stratgie de groupe souvre, cliquez sur Sur la page Emplacement de sauvegarde, si lemplacement nest pas le bon, modifiez avant de cliquer sur Suivant. Suivant. sauvegarde.
LAssistant Modlisation de stratgie de groupe permet de modliser et simuler plusieurs scnarios concernant les stratgies de groupe, par exemple que se passe-t-il si lutilisateur dispose dune connexion lente ou si lutilisateur se connecte sur tel ordinateur, etc.
Cet outil affiche le rsultat de la stratgie de groupe pour un utilisateur donn sur un ordinateur donn pour autant que lordinateur soit accessible et que lutilisateur se soit dj connect. Il sert galement dpanner des problmes qui peuvent survenir sur la non-application dune stratgie.