Documente Academic
Documente Profesional
Documente Cultură
Prrequis ........................................................................................................................................4
2.2
2.3
6.2
6.3
6.4
6.5
Gestion de l'accs aux ressources dans les services de domaine ADDS ..................................... 12
7.1
7.2
7.3
7.4
7.5
7.6
9.2
10
10.1
Scripts ................................................................................................................................. 17
10.2
10.3
10.4
10.5
10.6
11
11.1
11.2
11.3
11.4
Modles de scurit............................................................................................................. 19
12
12.1
12.2
12.3
13
13.1
13.2
Prrequis
Ce cours est le 3e de la srie TSRIT.
Pour suivre ce cours, louvrage suivant est conseill :
Support de cours - ENI ditions
Titre
Auteur
Philippe Freddi
Collection
Certifications
ISBN
978-2-7460-5811-8
2.1
Rle serveur
2.2
Serveur de plateforme : 1 = install d'un client local ; 2 = TSE/Citrix ; 3 = navigateur web + IIS
Rle de serveur AD : annuaire, centralisation il faut ADDS avant de mettre le reste
(ADDS=AD)
Serveur Core : pas d'interface graphique. - : pas de services de dploiement, pas de TSE /Citrix.
Une fort (au sens Active Directory) est un ensemble de domaines qui s'approuvent mutuellement
(domaine de confiance).
Ne sont quen ligne de commande (pas dinterface graphique du type Windows cest facile).
Objectif : rendre l'administration faisable que par des personnes qualifies
Ils conviennent aux petites agences dont les personnels seraient tents d'utiliser le serveur
comme un simple poste de travail
filtrage des utilisateurs contenus dans l'ADDS, base en lecture seule (pas de piratage = pas
dinsertion de donnes dans la base)
convient pour des agences o la scurit des serveurs est minime.
Ne peut videmment- pas tre le seul contrleur du domaine
2.3
Le gestionnaire de serveur
Active Directory (=AD=ADDS) gre chaque nom d'ordinateur en lui attribuant un SID (un
identifiant unique). Si 2 ordinateurs on le mme nom sur le domaine : l'ancien compte
d'ordinateur est supprim et il faut rparer l'erreur, le sortir du domaine puis le rintgrer
dans le domaine.
On peut dsigner un nom dordinateur ayant droit d'intgrer une machine dans le domaine
(avant mme de lintgrer au domaine, il suffit dajouter un objet Ordinateur ayant le mme
nom que la machine qui sera intgre).
C:\> LDIFDE
Pour extraire des informations utilisateur (mode tableur spar par des ;) : plus facile pour les
exports
C:\> CSVDE
groupes globaux
groupes de domaine local
groupes universels
6.1
2000 mixte
2000
2000 mixte
2000 natif
2003
2000 mixte
2000 natif
2003
2008
2000 natif
2003
2008
2008R2
2000 natif
2003
2008
Systme
dexploitation
Niveau de
fonctionnalit
(NF) disponible
2008R2
Les serveurs (mme 2003) qui fonctionnent en NF 2000 mixte doivent changer de NF avant de passer
2008 !
Avant de changer de NF :
sauvegarder
vrifier sur le site TechNet quelles sont les fonctionnalits disponibles du NF
Si a fonctionne, pourquoi changer ?
Groupes globaux :
10
6.2
A (comptes utilisateurs)
G (Groupes globaux). Ces Groupes globaux peuvent faire partie dautres Groupes globaux si
besoin.
U (Groupes Universels). Si il y a plusieurs forts avec des relations dapprobations) :
gnralement pas le cas
DL (Groupes de Domaine Local)
P (permissions sur les rpertoires partags)
Marche suivre :
1.
2.
3.
4.
A retenir : AG(U)DLP
6.3
6.4
Une OU sert :
11
7.1
Consquence : un utilisateur n'aura pas du tout le mme SID si on le change de domaine !!!
7.2
12
7.3
Autorisations DACL
Audit SACL
Chaque ligne d'une ACL correspond une ACE (entre de contrle daccs)
G_Marketing
G_ITAdmins
G_BranchManagers
G_Investments
Si on modifier lhritage. Copie = copie les droits des parents ; Supprimer = enlve tous les droits
hrits
Les refus hrits d'un rpertoire parents ne priment pas sur les autorisations explicites
Remplacer toutes les autorisations (case cocher) :
Remplace les autorisations des rpertoires enfants par celles du rpertoire actuel
13
7.4
Partition diffrente
Copie
hrite
hrite
Dplacement
Conserve
hrite
Le dplacement de fichiers sur une mme partition est d'ailleurs plus rapide, non ? ;)
7.5
Les partages
Le filtrage se fait au plus prs de la ressource :
7.6
Pour UN SEUL utilisateur (le fichier le plus rcent crase le plus ancien)
On peut rendre un partage indisponible hors connexion partir du serveur
14
C:\Windows\System32\delegwiz.inf
8.1
utilisateurs et ordinateurs AD
Slectionner l'OU
Nouvelle fentre partir d'ici
Nouvelle vue de la liste des tches
Approbations ADDS
15
Fichiers ADM :
si un magasin central existe et que l'OS client est > XP rechercher un magasin central
sinon utilise les modles d'administration locaux
9.1
lies un domaine
lies des OU
Attention : ne gre pas les groupes des OU mais seulement les ordinateurs et utilisateurs prsents
Sur l'OU, bloquer l'hritage permet de ne pas faire s'appliquer les GPO des niveaux suprieurs
Sur la GPO applique : forcer la GPO la fait s'appliquer aux objets enfants, mme en bloquant
l'hritage
9.2
Mettre en pause une GPO Etat GPO > Dsactiv | Que la partie ordi | Que la partie utilisateur
16
GPOordi libre (sapplique avant) GPOde l'utilisateur (sapplique avant) partie ordinateur de GPOordi libre
Filtrage WMI :
Rcupration des infos de GPO (il faut que la session soit active). penser gpupdate /force
Dlgations :
Attention, selon l'objet slectionn, les possibilits ne sont pas les mmes
10
10.1
Scripts
Modification de la GPO dans gpmc.msc
Ordinateur > Paramtres Windows > Scripts (ne s'applique qu'aux ordinateurs de l'OU)
10.2
Redirection de dossiers
On peut rediriger certains dossiers cibls vers un lecteur rseau) : AppData, Bureau, Docs
10.3
17
10.4
Installation de logiciels
10.5
10.6
GPO rcupre et/ou traite : Il y a une autre GPO qui va l'encontre, paramtre(s) non pris
en charge, etc.
GPO non traite : Objet non concern, filtrage de scurit, WMI, etc.
11
11.1
11.2
Modifications ADSI > Nouveau (Domaine) > System > Password Setting Configuration >
Nouveau Rentrer les paramtres (attention, la dure est exprime en JJ:HH:mm:ss)
2. Lier la stratgie un groupe
Utilisateurs et Ordinateurs AD > (affichage avanc) System > Password Setting Container >
Proprits > Scurit > Choisir les groupes concerns
18
11.3
Dans GPO > Ordinateur > Paramtres Windows > Groupes restreints ; chercher un groupe
dans BuiltIn, ajouter le groupe du domaine cibl
Stratgie de restriction logicielle :
1. Ajouter une stratgie (nouvelle stratgie de scurit logicielle ; niveau de scurit :
o tout autoriser sauf
o tout refuser sauf (non recommand)
2. Dfinir les exceptions selon : rgle de certificat, rgle de hachage, chemin d'accs
11.4
Modles de scurit
Des modles existent, mais ils sont surtout utiles pour UN rle particulier rare
Cration assiste de modle tester avant !
12
12.1
12. 1. 1
327B
19
12.2
Exemple : tracer des utilisateurs qui suppriment des fichiers dans un rpertoire partag
12.3
C'est le client qui doit aller chercher les mises jour. Il faut donc raliser une GPO si besoin
wuauclt.exe force la recherche des mises jour Windows sur le serveur WSUS
20
13
13.1
13.2
sur les dossiers (un quota sur l'ensemble des donnes contenues)
automatique (un quota gal par sous-dossier)
Rapport sur l'utilisation du disque
Rseaux de stockage
Rseaux NAS : disque dur avec partage de ressources intgr Pas cher
Rseaux SAN : rseau ddi de stockage. Possibilits leves, trs cher (plusieurs dizaines de
milliers d' minimum)
21