active directorysteveostine.free.fr/pdf/10-ad.pdf · 2011. 1. 18. · 22 structure physique sites...
TRANSCRIPT
1
ACTIVE DIRECTORY
2
Active Directory
Qu'est-ce qu'un service d'annuaire?
Un annuaire est une base de données hiérarchique, optimisée pour la lecture, et consultable à travers un réseau.Les données d'un annuaire sont de nature diverses. L'objectif de l'annuaire est de centralisée les données d'une organisation, évitant ainsi la redondance, garantissant la mise à jour des données, et réduisant les coûts d'administration.
Le service d'annuaire devient dès lors la tour de contrôle du système d'exploitation distribué.
3
AD : Qu'est-ce qu'un service d'annuaire?
Le service d'annuaire va donc constituer un moyen d'organiser et de simplifier l'accès aux ressources.
En effet, l'interrogation de l'annuaire pour connaître la localisation d'un objet ne nécessite pas de connaître son chemin exact, on peut effectuer une requête sur une partie des attributs de l'objet pour le retrouver.
l'annuaire est donc à la fois destiné aux administrateurs et aux utilisateurs.
4
AD : Caractéristiques
Caractéristiques
Centralisation des données : les données résident dans une base de données distribuée, accessible aux utilisateurs à travers le réseau.La centralisation des données réduit les coûts d'administration, évite la redondance des données, diminue les coûts de réplication. Améliore l'organisation des données.
5
AD : Caractéristiques
Simplicité administrative : par opposition au modèle de domaine Windows NT4, les domaines Active Directory reposent sur des structures organisationnelles hiérarchiques. Cela facilite la localisation de ressources ainsi que le contrôle des privilèges administratifs.
Intégration du DNS : Active Directory et DNS utilisent la même structure hiérarchique. Les clients Active Directory utilisent DNS pour localiser les ressources, les contrôleurs de domaine.Le service DNS peut utiliser AD pour stocker ses zones.
6
AD : Caractéristiques
Gestion centralisée des clients : Afin de diminuer les coûts d'administration des clients, AD offre des technologies pour la configuration des clients ou la mobilité des utilisateurs.
Administration basée sur des stratégies : Les stratégies dans AD définissent les actions réalisables par les utilisateurs (notamment la délégation), facilitent le déploiement d'applications, les mises à jour...
Réplication des informations : Active Directory utilise la réplication multimaitre pour répliquer les données qu'il stocke. Tolérance de panne, disponibilité
7
AD : Caractéristiques
Sécurité intégrée : basée sur les ACL, permet le contrôle d'accès aux objets, offre des mécanismes d'authentification comme kerberos, ssl/tls
Interopérabilité avec d'autres systèmes d'annuaire, AD repose sur le standard LDAP V3.
8
Structure Logique
Structure logiqueL'organisation des ressources dans AD, se fait à travers une structure logique, reflet du modèle organisationnel de votre environnement. Cette structure logique rend transparent pour les utilisateurs, la structure physique du réseau.
9
Structure Logique
Domaine
OU
OU OU
OU OU OU
Domaine
Domaine Domaine Domaine
Forêt
10
Structure Logique
Domaine : Unité fondamentale de la structure logique, un domaine peut contenir plusieurs millions d'objets. Les objets sont les ressources du réseau. Chaque domaine stocke uniquement les informations sur les objets qu'il contient.
Tous les objets du réseau existent dans un domaine
11
Structure Logique
Un domaine représente une limite administrative de sécurité. Les ACL, permettent de limité l'accès aux objets du domaines aux seuls utilisateurs autorisés.Exemples d'objets : fichiers, dossiers partagés, imprimantes....On parle de limite administrative, car en aucune manière, les stratégies et les paramètres de sécurité, ne peuvent s'étendre au delà du domaine.Un utilisateur d'un domaine A, n'aura pas de droits d'administration dans un domaine B.
12
Structure Logique
Niveau fonctionnel : Windows 2000 mixtePermet la compatibilité entre des contrôleurs de domaine Windows NT4 et windows 2000 2003
Windows 2000 natifPermet d'entrer en interaction avec des contrôleurs de domaine Windows 2000 ou Windows 2003
Windows server 2003 permet uniquement l'interaction entre des contrôleurs de domaine windows 2003.
13
Structure Logique
Arborescences :On parle d'arborescence quand on a une organisation hiérarchique de domaines.La structure hiérarchique est basée sur des relations parent/enfant entre les domaines. Les domaines d'une arborescence, partagent un espace de nom contigu. Cet espace de nom est basé sur la norme DNS.L'arborescence que vous voulez créer doit refléter l'organisation de votre entreprise.
14
Structure Logique
Forêts :
Une forêt est un regroupement d'une ou plusieurs arborescences de domaines, totalement indépendantes.
Tous les domaines d'une forêt partagent le même schéma
Tous les domaines d'une forêt partagent un catalogue global commun.
15
Structure Logique
Tous les domaines d'une forêt sont liés par des relations d'approbation transitives et bidirectionnelles.
Les arborescences d'une forêt possèdent des structures de nommage différentes en fonction de leur domaine d'appartenance.
Les domaines d'une forêt fonctionnent indépendamment les uns des autres, mais la forêt autorise la communication sur l'ensemble de l'organisation.
16
Structure Logique
Organizational unit / Unité d'organisation :
Il s'agit d'un objet conteneur qui permet d'organiser les objets de l'annuaire. Les OU permettent de réaliser des tâches administratives comme la gestions des utilisateurs, la délégation...
17
Structure Logique
France USA
Paris Nice N-York Boston
Structure OU basée sur la localisationgéographique
18
Structure Logique
Direction Dével
RH Finance System Appli
Structure OU basée sur l'organisationfonctionnelle de l'entreprise
19
Structure Logique
Computers Ressources
Stations Serveurs Printers Appli
Structure OU basée sur les types d'objet
Users
Users Groupes
20
Structure Logique
France USA
Admin Devel Admin Devel
Structure OU mixte
21
Structure physique
Structure physique
Sites et contrôleurs de domaine constituent les éléments physiques d'Active Directory.
22
Structure physique
Sites
Un site est une combinaison de sous-réseaux IP reliés par une liaison fiable et rapide. En général, un site à les mêmes limites qu'un réseau local.
Les sites ne font pas partie de l'espace de nom d'Active Directory. Un site ne contient que des objets ordinateurs et des connexions.
Un domaine peut s'étendre sur plusieurs sites.
Un site peut contenir plusieurs domaines.
23
Structure physique
Contrôleurs de domaine
Un DC est un ordinateur qui exécute Windows 2003 server et ADUn service KDC (authentification KERBEROS)le stockage des partitions de l'annuaireles partitions de l'annuaire sont les segments logiquement distribués
d'AD et répliqués.
une partition pour le domaine (plusieurs domaines par forêt)une partition pour le schéma (un schema par forêt)une partition pour le conteneur de configuration :(1 par forêt)
24
Structure physique
Un contrôleur de domaine stocke une réplique de l'annuaire du domaine. Un contrôleur de domaine ne peut servir qu'un seul domaine.
Fonctions d'un contrôleur de domaine:Un contrôleur de domaine stocke une réplique des informations d'Active Directory et réplique ses modifications sur les autres contrôleurs de domaine du domaine.
25
Structure physique
Les réplications entre contrôleurs du domaine sont automatiques et s'effectuent à intervalles réguliers, paramétrables et définis par l'administrateur.
Certaines mises à jour sont immédiates comme la désactivation d'un compte.
Active Directory utilise la réplication dite multimaître. Aucun contrôleur de domaine n'est maître. Les contrôleurs de domaine peuvent contenir des informations différentes pendant un temps très court jusqu'au moment de la synchronisation.La mise en place de plusieurs contrôleurs de domaines sur le réseau permet de faire la tolérance aux pannes.
26
Structure physique
Informations répliquées :
Les informations stockées dans l'annuaire (ntds.dit) sont logiquement partitionnées en 4 catégories. Une partition d'annuaire est considérée comme un contexte de nommage.
Partition de schéma : Cette partition définit les objets qui peuvent être créés dans l'annuaire et les attributs dont ils peuvent être dotés. Ce sont des données communes à tous les domaines d'une forêt.
27
Structure physique
La partition de configuration : décrit la structure logique du déploiement, y compris les données telles que la structure du domaine ou la topologie de réplication.
La partition de domaine : décrit tous les objets du domaine.
La partition d'application : stocke les données spécifiques aux applications. Cette partition peut contenir tout type d'objets à l'exception des entités de sécurité (utilisateurs, groupes et ordinateurs).
28
Structure physique
Un contrôleur de domaine stocke et réplique :
les données et partitions de schéma de la forêtles données de la partition de domaine pour le domaine concerné.
29
Structure physique
Un catalogue global stocke et réplique :
Les données et partitions de schéma de la forêtLes données de la partition de configuration de tous les domaines
d'une forêt
30
Structure physiqueLe catalogue global:
C'est le dépôt central des informations relatives aux objets d'une arborescence ou d'une forêt. Par défaut un catalogue global est créé sur le premier contrôleur de domaine d'une forêt. Ce contrôleur de domaine est serveur de catalogue global.
Il permet à un utilisateur d'ouvrir une session sur le réseau en fournissant au contrôleur de domaine concerné des informations d'appartenance à des groupes universels lors du processus d'ouverture de session.
Il permet de retrouver des informations d'annuaire quelque soit le domaine de la forêt contenant les véritablement les données.
31
Rôles de Maître d'opérations
Rôles de Maître d'opérations
Il s'agit de rôles spéciaux attribués à un ou plusieurs contrôleurs de domaine. Ces rôles sont connus sous la dénomination FSMO pour Flexible Single Master Operations .
Les contrôleurs de domaine qui détiennent ces rôles effectuent une réplication à maître unique.
32
Rôles de Maître d'opérations
Cette opération de réplication s'oppose à la réplication de la base Active Directory qui s'effectue en mode multimaître.
Dans le mode réplication à maître unique, des opérations définies ne peuvent pas se produire en même temps à plusieurs endroits du réseau.
Au sein d'une forêt on peut distinguer cinq rôles, attribués à au moins un contrôleur de domaine.
33
Rôles de Maître d'opérations
Rôles uniques au sein d'une forêt :
Contrôleur de schéma : Le contrôleur de domaine qui détient ce rôle contrôle toutes les mises à jour du schéma.
Maître d'attribution des noms de domaine :le contrôleur de domaine qui détient ce rôle contrôle l'ajout ou la suppression des domaines dans la forêt.
34
Rôles de Maître d'opérations
Rôles uniques dans un domaine :
Maître RID :le maître RID alloue des ID relatifs à chacun des contrôleurs de domaine du domaine.Quand un utilisateur est créé par un contrôleur de domaine, il utilise le SID du domaine auquel il ajoute un ID relatif qui est donc distribué par le Maître RID.
35
Rôles de Maître d'opérations
Émulateur PDC: Si le domaine contient des contrôleurs de domaine secondaire Windows NT4, l'émulateur PDC joue le rôle de contrôleur de domaine Principal.
Maître d'infrastructure :Le maître d'infrastructure est responsable de la mise à jour des références groupe-utilisateur, après un renommage ou un déplacement par exemple d'un membre d'un groupe.
36
Rôles de Maître d'opérations
Attribuez les rôles à chaquecontrôleur de domaine de laforêt.
A
B C
D
E
F
37
Relations d'approbation
Relations d'approbation
Ce mécanisme de relation d'approbation permet aux processus d'authentification de chaque domaine d'assurer aussi l'authentification pour tous les autres domaines.
ATTENTION: l'authentification est différent du contrôle d'accès.
38
Relations d'approbation
Relation d'approbation Transitives et non transitives
Dans windows NT les relations d'approbation sont explicites à sens unique ou bidirectionnelles et non transitives.
À partir de windows 2000 les relations deviennent bidirectionnelles, transitives et automatiques entre domaines de la même forêt.
39
Relations d'approbation
utilisateur authentifié de Aaccède aux ressources de C
utilisateur authentifié de Caccède aux ressources de B
A
CB
40
Relations d'approbation
Il y a approbation complète entre tous les domaines. Des Relations d'approbation non transitives peuvent être créées entre Domaines mais de façon explicite.
Les Relations d'approbation sous W2K réduisent le temps de gestion en diminuant leur nombre et du fait qu'elles sont automatiques.
voici un schéma équivalent, de relations d'approbation dans un modèle NT
41
Relations d'approbation
A
B
C D
E
42
Relations d'approbation
Types de Relations d'approbation.
Arbre-Racine: établie lors de l'ajout d'un nouvel arbre à une forêt.créée automatiquemententre les racines de deux arbres d'une même forêtelle est transitive et bidirectionnelle.
43
Relations d'approbation
Relation d'approbation de raccourci
entre deux domaines quelconques de la même forêt.manuellement dans chaque directionDoit être transitive.
A
CB
D E
Racco
urci
44
Relations d'approbation
Parent-enfant: établie pour un nouveau domaine dans un arbrecréée automatiquemententre deux domaines dans le même arbre et dans le même espace de noms.le domaine parent est toujours approuvé par le domaine enfantelle est transitive et bidirectionnelle.
La nature transitive et bidirectionnelle des RA permet la réplication de l'information de l'annuaire global dans toute la hiérarchie.
45
Relations d'approbation
Relation d'approbation externe
créée entre deux domaines de forêts différentes.Sens unique.installée dans chaque directionnon transitive.
46
Relations d'approbation
Relation d'approbation de royaume kerberos non windowsInteropérabilité
employée par KRB v5Sens unique par défautnon transitive par défautKRB unix vers KRB windows : KRB unix fait confiance aux
principaux de sécurité du domaine W2K
47
Relations d'approbation
KRB win vers KRB unixmise en correspondance de comptes dans AD employée pour
mettre en correspondance une identité étrangère de KRB dans un royaume d'aprobation non windows avec une identité locale de compte dans un domaine W2K
cette identité est exigée parce que les tickets KRB unix ne contiennent pas toutes les données d'autorisation nécessaires pour windows.
48
Nommage des objets
Nommage des objets
AD est un annuaire compatible avec la norme LDAP X500. Depuis la version windows 2003 la classe inetorgperson a été incluse.Les noms des objets respectent le standard des noms LDAP RFC 1779 et 2247
49
Nommage des objets
Le nom unique (Distiguished Name)
Le chemin d'accès complet à un objet est appelé DN
Le nom de l'objet sans son chemin d'accès est le Relative Distiguished Name.
Le DN est non ambigu et unique.
ex : cn= bob dylan, ou= user, dc= domain, dc=com
50
Nommage des objets
deux objets peuvent avoir le même RDN mais pas le même DN
cn = common name = de la classe userou = nom d'OU= de la classe organizationalUnitdc = composant de domaine = de la classe domain.
51
Nommage des objets
Identité de classe
un objet est connu dans et par AD par son identité.
un objet peut être déplacé ou renommé, son DN changera mais pas son identifiant.
Chaque objet possède donc un identifiant unique global: GUID
le GUID est un nombre de 128 bits assigné par le DSA (directory service agent) lors de la création de l'objet.Le GUID ne change jamais. Il est utilisé en interne pour identifier l'objet.
52
Nommage des objets
Nom de connexion
un nom unique de connexion est exigé pour accéder à un domaine.
un utilisateur a deux types de noms de connexion
un nom de compte SAM pour la compatibilité avce NT
Un nom principal d'utilisateur (UPN) = nom_abrégé @ nom_dns
54
Les objets Active Directory
Les objets Active Directory
Un objet peut être vu comme un jeu d'attributs, doté d'un nom unique, et qui représente une ressource du réseau.Certains objets conteneurs, peuvent contenir d'autres objets.
55
Les objets Active Directory
Schéma Active Directory :
Le schéma d'un annuaire, contient la définition des objets de l'annuaire. Par exemple un objet Utilisateur, doit contenir un nom qui a pour caractéristique d'être une chaîne de caractères, il peut avoir un numéro de téléphone qui sera un attribut numérique...
Ces ensembles du schéma qui décrivent les objets sont les classes. Un objet n'est rien d'autres qu'une instance d'une classe du schéma.
56
Les objets Active Directory
Les comptes utilisateurs :
Un compte utilisateur est un enregistrement qui réuni les informations définissant un utilisateur, comme son nom et son mot de passe.
L'authentification d'un domaine Windows 2003 se base sur les comptes utilisateurs centralisés dans Active Directory
57
Les objets Active Directory
À travers un processus d'ouverture de session unique un utilisateur du domaine accède aux ressources du domaine sans avoir à se ré-authentifier.
Sous windows 2003 server trois types de comptes utilisateurs sont disponibles : Locaux, de domaine et prédéfinis.
58
Les objets Active Directory
Comptes utilisateurs locaux :
Ce type de compte permet à un utilisateur d'ouvrir une session sur un ordinateur où le compte est défini et d'accéder aux ressources de cette machine.
Ces comptes sont stockés dans la base SAM de l'ordinateur.
Ces comptes ne sont pas répliqués vers les contrôleurs de domaine.
Ces comptes n'auront pas d'accès aux ressources du domaine.
59
Les objets Active Directory
Comptes utilisateurs du domaine :
Ce type de compte permet à un utilisateur d'ouvrir une session sur un domaine et d'accéder aux ressources de ce domaine.
À l'ouverture de session, un jeton d'accès est généré permettant d'identifier l'utilisateur et les groupes auquel il appartient avec les SID.
60
Les objets Active Directory
Ces comptes sont stockés dans Active Directory et sont répliqués sur tous les contrôleurs de domaine.
Un compte utilisateur du domaine peut donc être authentifié depuis n'importe quel contrôleur du domaine.
61
Les objets Active Directory
Les comptes utilisateurs prédéfinis :
Les comptes prédéfinis sont des comptes créés automatiquement, comme les comptes administrateur et invité.
Ils ont générés lors de l'installation du système, à la création d'un domaine, ou encore, lors de l'installation d'un service.
62
Les objets Active Directory
Les profils utilisateur :
Un profil utilisateur est une arborescence de répertoires et un ensemble de données stockant l'environnement de travail d'un utilisateur.
Un profil va contenir les préférences et les options de configuration d'un utilisateur.
63
Les objets Active Directory
Voici une liste non exhaustive de répertoires et de paramètres stockés par le profil :
- Mes documents : documents de l'utilisateur
- Paramètres de l'explorateur windows
- Mes images et Ma musique
- Les favoris Internet explorers
64
Les objets Active Directory
- Les lecteurs réseau
- Le contenu du bureau
- Paramètres des applications.
65
Les objets Active Directory
Le profil est stocké traditionnellement dans « c:\Documents and settings\Nom_Utilisateur »
Ce dossier contient un fichier nommé ntuser.dat qui est une ruche du registre, chargé dans en tant que clé sous HKU.
Lors de la connexion de l'utilisateur cette clé est activée dans HKCU.
66
Les objets Active Directory
Les types de profils utilisateur :
On distingue quatre types de profils utilisateur :
- local
- Itinérant
- obligatoire
- temporaire
67
Les objets Active Directory
Profils utilisateur locaux :
Ce type de profil est stocké sur un ordinateur local, et n'est disponible que sur cet ordinateur.
Il est stocké dans le répertoire « c:\ Documents and Settings\Nom_utilisateur »
L'utilisateur peut modifier son profil. Par exemple en modifiant ses paramètres du bureau, ajouter un fichier à son répertoire Mes Documents.
68
Les objets Active Directory
Les profils itinérants :
Un profil itinérant, à la différence d'un profil local, est stocké sur un serveur et téléchargé par le client lors de l'ouverture de session.
L'avantage de ce type de profil provient du fait, qu'il est disponible depuis n'importe quel ordinateur du domaine.
69
Les objets Active Directory
Les changements apportés à un profil itinérant lors d'une session, seront sauvegardés lors de la fermeture de session de l'utilisateur, et disponibles lors de la prochaine session quelque soit la station de travail.
Seules les modifications sont synchronisées et téléchargées.
70
Les objets Active Directory
Les profils utilisateur obligatoires :
Un profil obligatoire est un profil itinérant en lecture seule.
Toute modification apportée au profil durant une session n'est pas conservée.
C'est le paramétrage qui est en lecture seule, pas l'écriture dans les dossiers ou les fichiers.
Pour rendre un profil itinérant obligatoire il faut renommer la ruche ntuser.dat en ntuser.man
71
Les objets Active Directory
Profils utilisateur temporaires :
Un profil temporaire est créé chaque fois que le chargement du profil utilisateur est impossible.
Il est supprimé à la fin de la session.
Les changements apportés aux paramètres du bureau ainsi que les fichiers et répertoires créés sont perdus.
72
Les objets Active Directory
Les groupes
Un groupe est un ensemble de comptes utilisateurs auxquels sont assignés droits et permissions.
Un utilisateur peut faire partie de plusieurs de plusieurs groupes.
Un groupe peut héberger d'autres groupes.
73
Les objets Active Directory
Types de groupes :
Il existe deux types de groupes
Les groupes de sécurité, qui permettent d'assigner des autorisations d'accès aux ressources.
Les groupes de distribution, qui n'ont aucune fonction de sécurité, mais sont utiliser par des applications comme exchange pour gérer des listes de diffusion.
74
Les objets Active Directory
Étendues des groupes :
- Groupes Globaux : servent à organiser les utilisateurs.- les membres de ce groupe proviennent du domaine.- un groupe global permet d'accéder à des ressources de la forêt.
- Groupe de domaine local : servent à assigner des permissions
- Les membres de ce groupe peuvent provenir de n'importe quel domaine de la forêt.- ce type de groupe est utilisé pour assigner des permissions uniquement sur les ressources du domaine
75
Les objets Active Directory
- Les groupes universels :
- permet d'assigner des autorisations d'accès à des ressources réparties dans plusieurs domaines de la forêt.
- les membres de ce groupe proviennent de la forêt.
- Uniquement disponible en mode natif.
76
Les objets Active Directory
- Les groupes locaux : un groupe local est défini sur un ordinateur.
- Il faut bien distinguer la notion de groupe local avec celle de groupe de domaine local.
- l'utilisation de ces groupes doit être réservée à des ordinateurs isolés.
- dans un contexte de domaine, ces groupes empêchent la centralisation de l'administration des groupes et de l'accès aux ressources.
77
Les objets Active Directory
Les groupes par défaut :
Les quatre catégories de groupe par défaut :
- Les groupes du dossier Builtin
- Les groupes du dossier Users
- Les groupes d'identités spéciales
- Les groupes locaux par défaut
78
Les objets Active Directory
Groupes du dossier Builtin :
Ces groupes ont une étendue de domaine local.
Ils servent à assigner des responsabilités à des utilisateurs du domaine.
Exemples : Administrateurs, Users, Opérateurs de serveur, Opérateurs de sauvegarde....
79
Les objets Active Directory
Groupes du dossier Users :
Ces groupes permettent de définir un jeu de paramètres par défaut pour des utilisateurs qui possèdent des responsabilités administratives.
Groupes d'étendue de domaine local : Éditeurs de certificats, DnsAdmin...
Groupes d'étendue global : Admins du domaine, Invités du domaine, Ordinateurs du domaine.
80
Les objets Active Directory
Groupes d'identités spéciales :
Vous ne pouvez pas modifier les appartenances à ces groupes.
L'étendue de groupe ne s'applique pas au groupe d'identités spéciales.
Le système base l'appartenance à ces groupes non pas sur des utilisateurs, mais sur la manière d'accéder à l'ordinateur.
81
Les objets Active Directory
Par exemple :
Ouverture de session anonyme : tout utilisateur ouvrant une session anonyme
Tout le monde : Les membres sont les utilisateurs authentifiés et les invités du domaine.
Utilisateurs authentifiés : Tout utilisateur dont l'identité a été authentifiée lors de l'ouverture de session.
82
Les objets Active Directory
Groupes locaux prédéfinis :
Vous retrouvez ce type de comptes sur les serveurs autonomes, les serveurs membres et les stations de travail.
Ces groupes donnent aux utilisateurs membres des droits pour effectuer des tâches système sur une machine.
Exemples : Administrateurs, Opérateurs de sauvegarde, Invités, Utilisateurs, Utilisateurs avec pouvoir...
83
Les objets Active Directory
Les stratégies de groupe :
On peut définir une stratégie de groupe, comme un ensemble de paramètres de configuration applicables aux utilisateurs et aux ordinateurs.
Il est possible d'établir des stratégies de groupe pour les ordinateurs, les sites, les domaines, et les unités d'organisation.
L'expression « stratégie de groupe » peut vous faire penser qu'on peut établir des stratégies pour les groupes d'utilisateurs précédemment vus. CE N'EST PAS LE CAS !!!
84
Les objets Active Directory
Les types de stratégies de groupe (Group Policy Object GPO)
GPO local : - Ce type de GPO est hébergé par un ordinateur local, qu'il
appartiennent ou pas à un domaine.
- Ce type de GPO n'affecte que l'ordinateur qui l'héberge.
- Les paramètres d'un GPO local peuvent être outrepassés par un GPO non local si l'ordinateur appartient à un domaine.
- Le GPO local est stocké dans %systemroot%\system32\GroupPolicy
85
Les objets Active Directory
GPO non local
Ce type de GPO est créé dans Active Directory et associé à un Site, un domaine ou une unité d'organisation.
Applicable à des utilisateurs ou ordinateurs.
Lors de l'installation d'un contrôleur de domaine deux GPO non locaux sont créés :
86
Les objets Active Directory
Default Domain Policy : Ce GPO est lié au domaine, affecte tous les utilisateurs et ordinateurs du domaine (contrôleurs de domaine inclus).
Default Domain Controllers Policy : Ce GPO est lié à l'OU Domain Controllers, affectant uniquement les contrôleurs de domaine.
87
Les objets Active Directory
Les GPO non locaux sont stockés dans le dossier %systemroot%\Domain\Policies\GUID GPO\Adm
Un GPO lié à un site, affecte tous les ordinateurs du site, et peut donc s'appliquer sur plusieurs domaines d'une forêt.
88
Les objets Active Directory
Paramètres des stratégies de groupe :
Les paramètres de stratégie de groupe se trouvent dans le GPO.
On les distingue en deux types :
- les paramètres de configuration Ordinateur
- les paramètres de Configuration Utilisateur
89
Les objets Active Directory
Paramètres du logiciel :
Ce noeud présent dans la configuration utilisateur et ordinateur, permet de spécifier la manière d'installer des applications.
Deux méthodes : Assignation et Publication
La publication n'est pas possible pour un ordinateur.
90
Les objets Active Directory
Paramètres Windows :
Ce noeud permet de spécifier des scripts de démarrage ou de fermeture/arrêt.
Il offre aussi la possibilité gérer la sécurité.
Pour un utilisateur ce noeud permet de rediriger les dossiers.
91
Les objets Active Directory
Modèles d'administration :
Ce noeud offre une multitude de paramètres, plus de 500, basés sur le registre.
Un paramètre de ce noeud peut prendre différents états :
Activé : le registre reflète l'activation du paramètre
Non configuré : le registre n'est pas affecté par ce paramètre du GPO
Désactivé : le registre montre que ce paramètre n'est pas activé.
92
Les objets Active Directory
Stratégie de groupe, démarrage et ouverture de session :
1 Le réseau démarre
2 L'ordinateur obtient une liste ordonnée de GPO, cette liste dépend de l'appartenance ou non à un domaine.
3 les paramètres de configuration de l'ordinateur sont traités dans l'ordre suivant :
GPO localGPO de siteGPO du DomaineGPO d'OU
93
Les objets Active Directory
4 les scripts de démarrage s'exécutent.
5 l'utilisateur appuie sur Ctrl+alt+suppr pour ouvrir une session
6 Son profil est chargé
7 Une liste ordonnée de GPO est récupérée pour l'utilisateur, en fonction de l'appartenance à un domaine, à l'emplacement de l'utilisateur dans Active Directory.
94
Les objets Active Directory
8 Les paramètres de configuration de l'utilisateur sont traités dans l'ordre suivant :
- GPO local- GPO de site- GPO du domaine- GPO d'OU
9 les scripts de configuration utilisateurs s'exécutent
10 l'interface utilisateur est opérationnelle et conforme au paramétrage du GPO.
95
Les objets Active Directory
Héritage des stratégies de groupes :
Les stratégies de groupes sont transmises de conteneurs parents aux conteneurs enfants.
Les stratégies de groupes ne s'héritent pas entre domaines.
Si un paramètre de GPO est configuré pour une OU parent, et que le même paramètre est configuré pour l'OU enfant, c'est se dernier paramètre qui est appliqué
96
Les objets Active Directory
Les paramètres s'appliquent tant qu'ils sont compatibles.
En cas d'incompatibilité entre le paramètre de l'OU parent et enfant, c'est le paramètre de l'OU enfant qui est activé.
97
Les objets Active Directory
Aucun remplacement :
Si un GPO est défini avec l'option aucun remplacement, aucun de ses paramètres ne sera écrasé par les paramètres des GPO enfant.
Le paramètre le plus haut dans la hiérarchie est donc prioritaire.
98
Les objets Active Directory
Bloquer l'héritage :
Le blocage de l'héritage est appliqué au site, au domaine, à l'OU, mais pas au GPO.
Le blocage de l'héritage, arrête tout paramètre provenant d'un emplacement plus haut de la hiérarchie.
99
Les objets Active Directory
France USA
Admin Devt Admin Devel
Site
domaine.comaucun remplacement
bloquer l'héritage
1
23
4
5
76
OU Devt 1,2,3,4,5OU Devel 6,7