Installation du Serveur - Windows Server 2003 1.Boot et Partitions du Disque Dur 1.1.Boot et dmarrage de linstallation Bootez depuis le CD-ROM dinstallation de Windows 2003 Server, vous devez obtenir ceci :

Aprs le Boot vous obtenez :

Appuyez sur Entre pour installer Windows maintenant :

1.2.Partitions du Disque dur Nous allons crer maintenant les partitions pour notre serveur. Pour crer une partition appuyez sur la touche C puis dfinissez la taille. Faites de mme avec lespace restant :

Les informations ci-dessus ne sont que des exemples. 5 Go pour le systme devrait suffire.

2.Installation de Windows 2003 Server 2.1.Copie des fichiers dinstallation. Appuyez sur la touche Entre pour formater le disque systme C: et dmarrer la copie des fichiers :

Nous formaterons le Disque D: qui contiendra les images Ghost aprs linstallation. Une fois la copie des fichiers dinstallation termine, lordinateur doit redmarrer:

2.2.Validation des paramtres Cette fois-ci dmarrer normalement et non sur le CD-ROM dinstallation. Windows reprendra la procdure dinstallation en installant les priphriques:

Vrifiez et validez les paramtres rgionaux:

Rentrez votre nom ainsi que votre organisation, votre cl dinstallation, le mode de licence (licence par serveur, par priphrique ou utilisateur), le nom de lordinateur, votre mot de passe Administrateur, puis rgler la date et lheure:

Il est recommand de suivre les critres de mots de passe scuriss si vous souhaitez implmenter la scurit. Windows dtecte vos priphriques rseau et vous propose de les grer soit avec des paramtres par dfaut (dans le cas ou il y aurait dj un serveur DHCP sur le rseau) ou soit avec des paramtres personnaliss. Dans notre situation, choisissez Paramtres personnaliss:

Dans la liste, slectionnez Protocole Internet (TCP/IP) et cliquez sur Proprits, puis configurez vos paramtre TCP/IP et validez en cliquant sur OK:

On choisira une adresse IP fixe de classe B : 10.8.20.1 avec un masque de sous-rseau : 255.255.0.0 Maintenant on vous demande si vous voulez que cet ordinateur soit membre dun domaine. Comme notre machine sera un Contrleur de Domaine alors il ne sera pas membre dun domaine donc gardez par dfaut Non cet ord et WORKGROUP :

Linstallation se poursuit par la copie des fichiers et se finalise :

Fin de linstallation de Windows 2003 Server.

2.3.Configuration de la 2me partition. Au dbut de linstallation nous avions cr une partition pour stocker les images Ghost, mais nous ne lavions pas encore formate. Vous allez la formater pour pouvoir lutiliser. Allez dans le menu Dmarrer, faites un clic droit sur le Poste de travail, slectionner Grer :

Dans larborescence, slectionnez Gestion des disques :

Vous avez une vue globale sur tous les priphriques de stockage, plus prcisment sur les partitions. Faites un clic droit sur le lecteur D: puis cliquez sur formater. Dfinissez le nom que vous souhaitez donner votre volume, choisissez NTFS comme systme de fichier et laissez le reste par dfaut:

Formatage :

Voila, votre disque pour stocker vos images Ghost est prt. Noubliez pas que les infos ci-dessus ne sont que des exemples.

Configuration du DNS 1.Introduction Le systme DNS (Domain Name System) est un pr requis pour l'installation d'Active Directory. Il permet de rsoudre les noms de machines en adresse IP et inversement. Active Directory utilise les conventions de dnomination de ce systme. Le systme DNS pourra identifier les diffrents contrleurs de domaine par rapport aux services spcifiques quils proposent (exemple: authentification dune connexion, recherche dinformations dans Active Directory). 2.Implmentation du serveur DNS 2.1.Configuration des paramtres TCP/IP Ouvrez les proprits de Connexion au rseau local:

Dans la liste, slectionnez Protocole Internet (TCP/IP)puis cliquez sur Proprits:

Attribuer une adresse IP statique votre serveur ainsi que le masque de sous-rseau et la passerelle par dfaut. Important : Ladresse IP et ladresse du serveur DNS prfr doit tre la mme (Explication : Le serveur DNS se trouve sur lordinateur). Validez.

2.2.Configuration du suffixe DNS principal Ouvrez le panneau de configuration Systme (Windows - pause).

Dans longlet nom de lordinateur, cliquez sur le bouton Modifier.

Dans la fentre, cliquez sur le bouton Autres

Dans la zone de texte suffixe DNS principal pour cet ordinateur, entrez Votre_site.lan

Validez la modification puis redmarrez votre ordinateur. 2.3.Installation du service DNS Dans les outils dadministration, lancez loutil Assistant Configurer votre serveur, Cliquez sur Suivant.

Dans la fentre suivante, cliquez Suivant pour lancer la dtection des paramtres rseau.

Dans la fentre Rle du serveur, slectionnez Serveur DNS. Cliquez ensuite 2 fois sur Suivant.

Insrez votre CD Windows 2003 Server.

Dans la fentre Assistant de configuration dun serveur DNS, cliquez Suivant.

Slectionnez Crer des zones de recherche directe et inverse (pour les grands rseaux), puis Suivant.

Slectionnez Oui, crer une zone de recherche directe maintenant, cliquez Suivant.

Slectionnez Zone principale, puis Suivant.

Donnez comme nom de zone Votre_site.lan puis cliquez Suivant.

Cliquez Suivant pour valider la cration de fichier de zone.

Cliquez Suivant pour valider la mise niveau dynamique.

Cliquez Suivant pour valider la zone de recherche inverse.

Slectionnez Zone principale, puis Suivant.

Entrez lID du rseau (Dans notre cas, les 2 premiers chiffres de ladresse IP rseau). Cliquez Suivant.

Cliquez Suivant pour valider la cration de fichier de zone.

Cliquez Suivant pour valider la mise niveau dynamique.

Cliquez Suivant pour que les requtes ne soient pas rediriges.

Cliquez sur Terminer pour valider la configuration de votre serveur.

Notre serveur DNS est maintenant oprationnel et prt pour linstallation du service dannuaire Active Directory.

Installation dActive Directory 1.Introduction Aprs avoir configur notre serveur DNS, nous allons maintenant effectuer linstallation du service dannuaire Active Directory. Notre ordinateur deviendra le contrleur de domaine principal (PDC-Primary Domain Controller) de la fort.

2.Installation du service dannuaire Active Directory Ouvrez le menu Dmarrer puis slectionnez Excutez(Windows - R) Tapez dcpromo puis validez. Lassistant dinstallation dActive Directory est lanc, cliquez suivant.

Dans la page Type de contrleur de domaine, vrifiez que loption Contrleur de domaine pour un nouveau domaine est slectionne, puis cliquez sur Suivant.

Dans la page Crer un nouveau domaine, vrifiez que loption Domaine dans une nouvelle fort est slectionne, puis cliquez sur Suivant

Dans la zone nom DNS complet pour le nouveau domaine, tapez Votre_site.lan puis Suivant.

Dans la page Nom de domaine NetBIOS, vrifiez que Votre_site apparat.

Validez les pages Dossier de la base de donnes et du journal, Volume systme partag et Diagnostics des inscriptions DNS.

Dans la page Autorisations, slectionnez loption Autorisations compatibles uniquement avec les serveurs Windows 2000 ou Windows Server 2003, cliquez Suivant

Dans la page Mot de passe administrateur de restauration des services dannuaire, entrez et confirmez votre mot de passe. Validez.

Validez le rsum pour dmarrer le processus dinstallation dActive Directory.

Le processus dinstallation est lanc. Une fois linstallation dActive Directory termin, redmarrez votre ordinateur.

Configuration du DHCP 1.Introduction Le serveur DHCP permet dallger la charge administrative. Les ordinateurs du rseau ont toujours une adresse IP correcte et des informations de configuration TCP/IP correctes. Cette technologie permet de limiter les tches administratives raliser sur les clients au niveau de la configuration rseau. Un serveur DHCP permet de grer lallocation dadresses IP automatiques partir dun point centralis. Il affecte un bail DHCP aux clients et gre aussi lattribution et le renouvellement du bail. Le bail contient tous les paramtres rseau appliquer. 2.Implmentation du Serveur DHCP 2.1.Mise en place du service DHCP Pour notre tutorial, ce service est obligatoire. Attention : Pour que linstallation se passe sans problme, il faut que ladresse du serveur soit toujours statique.

Dans la fentre suivante, cliquez Suivant pour lancer la dtection des paramtres rseau. Dans la fentre Rle du serveur, slectionnez Serveur DHCP. Cliquez ensuite 2 fois sur Suivant.

Dans la fentre Assistant Nouvelle tendue, cliquez Suivant.

Dfinissez un nom pour votre tendue DHCP, puis une description pour cette tendue :

Maintenant, il faut dfinir la plage dIP de votre nouvelle tendue. Renseignez la premire adresse IP et la dernire que ltendue prendra en compte. Renseignez aussi le Masque de sous-rseau utiliser, puis cliquez sur Suivant :

Cette fentre vous permet de dfinir des adresses IP ou des plages dadresses IP excluent de cette tendue. Entrez vos exclusion et cliquez sur Suivant :

Ici vous dfinissez la dure du bail avec les valeurs par dfaut, cliquez sur Suivant. Choisissez Oui, je veux configurer ces options maintenant pour configurer les options DHCP, puis Suivant :

Configurer les options DHCP tel que le routeur (Passerelle par dfaut), les noms de domaine, le serveur DNS et le serveur WINS qui seront utilises par les clients DHCP et faites Suivant :

Slectionner Oui, je veux activer cette maintenant, et cliquez sur suivant. Maintenant cliquez sur Terminer pour valider la configuration de votre tendue:

Pour que notre serveur DHCP puisse attribuer un bail DHCP au client, celui doit tre autoris au sein dActive Directory. Allez dans le menu Dmarrer puis dans Outils dadministration. Cliquez sur DHCP :

Faites un clic droit sur le serveur DHCP supinfo-dc.supinfocaraibes.lan et cliquer sur Autoriser:

Faites un clic droit sur le serveur DHCP supinfo-dc.supinfocaraibes.lan et cliquer sur Actualiser :

Voil, notre serveur DHCP en maintenant enfin prt.

Configuration des clients DNS 1.Introduction Nous avons cr le domaine racine. Pour joindre un client au domaine existant, nous allons devoir configurer le DNS dans les paramtres TCP/IP de lordinateur client. 2.Configuration des paramtres clients 2.1.Configuration des paramtres TCP/IP Ouvrez les proprits de Connexion au rseau local

Dans la liste, slectionnez Protocole Internet (TCP/IP) puis cliquez sur Proprits.

Attribuer une adresse IP statique votre ordinateur ainsi que le masque de sous-rseau et la passerelle

par dfaut. Important : Dans la zone Serveur DNS prfr, ladresse IP que vous devez entrer doit tre celle du serveur DNS. (Dans notre exemple, celle du contrleur de domaine principal PDC). Validez.

2.2Configuration du suffixe DNS principal Si vous navez pas de suffixe DNS configur sur le client, la rsolution et la mise jour des noms risquent de ne pas fonctionner correctement. En configurant correctement des suffixes DNS sur le client, vous garantissez la russite de la rsolution de noms. Ouvrez le panneau de configuration Systme (Windows - pause)

Dans longlet nom de lordinateur, cliquez sur le bouton Modifier

Dans la fentre, cliquez sur le bouton Autres

Dans la zone de texte suffixe DNS principal pour cet ordinateur, entrez Votre_site.lan

Validez la modification puis redmarrez votre ordinateur.

Configuration du redirecteur DNS 1. Introduction Il est possible de configurer les serveurs DNS pour qu'ils envoient toutes les requtes rcursives une liste slectionne de serveurs quon appelle redirecteurs. Les serveurs de la liste des redirecteurs assurent les recherches rcursives pour rsoudre les requtes reues par un serveur DNS qui ne peut pas y rpondre en s'appuyant sur ses zones locales. Pendant le processus de redirection, un serveur DNS configur pour utiliser des redirecteurs se comporte comme un client DNS vis--vis de ses redirecteurs. 2. Implmentation des redirecteurs DNS 2.1. Redirection sur le domaine parent

Ouvrez loutil dadministration DNS, faites un clic droit sur serveur DNS et slectionnez loption

Proprits

Dans longlet Redirecteurs, cliquez sur le bouton Nouveau Entrez le domaine DNS et ajoutez son adresse IP la liste dadresse IP. Validez.

Voil, votre redirecteur DNS est maintenant configur.

Intgration des clients au domaine 1.Introduction Votre ordinateur client est maintenant configur, nous allons donc procder son intgration au domaine. 2.Intgration du client au domaine Ouvrez le panneau de configuration Systme (Windows - pause).

Dans longlet Nom de lordinateur, cliquez sur le bouton Modifier.

Dans la fentre Modification du nom dordinateur, slectionnez Domaine et entrez le nom de votre domaine. Validez.

Dans la fentre suivante, entrez le nom dutilisateur et le mot de passe du compte qui possde les privilges administratifs. Validez.

Votre ordinateur est maintenant membre du domaine. Validez puis redmarrez

Vous pouvez vrifier lintgration en vous rendant directement sur le serveur. Dans le menu Dmarrer, allez sur Outils dadministration et cliquer sur Ordinateurs et utilisateurs Active Directory. Dveloppez votre domaine et cliquez sur Computers. Le nom dhte de votre ordinateur client apparat.

Dans un environnement de domaine Windows Server 2003, les contrleurs de domaine contiennent une rplique de la base de donnes Active Directory. Ce systme de rplication est dit multimaitre car chaque contrleur de domaine a la possibilit de modifier cette base de donnes et de transmettre ces modifications aux autres contrleurs de domaine afin que tous possdent la mme base de donnes Active Directory. Mais que se passerait-il si deux personnes changent la mme donne au mme moment des endroits diffrents ? Bien sr, Microsoft a implment dans ses systmes un certain nombre de rgles pour viter les conflits de rplication dans Active Directory, mais certaines mises jour sont trop importantes pour tre rsolues avec ces rgles, comme par exemple la modification du schma Active Directory. C' est pourquoi Microsoft a cr depuis Windows 2000 Server les Flexible Single Master Operation (FSMO). Ce sont en fait des rles attribus diffrent serveurs de manire ce que seuls certains serveurs permettent de modifier des aspects interne Active Directory. Dans un domaine Windows 2000 server et Windows Server 2003, il existe 5 rles FSMO. Ces rles n'existaient pas sous Windows NT4 car les domaines NT4 disposaient d'une structure de mise jour hirarchique. Ces 5 rles sont ncessaires au bon fonctionnement de vos domaines/forts. Chacun de ces rles ne peut tre hberg que par des contrleurs de domaine et non par des serveurs membres. Ils ont galement des tendues diffrentes et des domaines de rplication diffrents. On distingue parmi les 5 rles : FSMO Emplacement Rle Matre d'attribution des noms de domaine Unique au sein d'une fort Inscription de domaines dans la fort Contrleur de schma Unique au sein d'une fort Gre la modification du schma Active Directory Matre RID Unique au sein d'un domaine Distribue des plages RID pour les SIDs Matre d'infrastructure Unique au sein d'un domaine Gre le dplacement des objets Emulateur CPD Unique au sein d'un domaine Garantie une compatiblit avec les anciens systmes

1. Matre d'attribution de noms de domaine 1.1 Quel est son rle et quand est-il contact ? Ce matre d'opration, unique dans une fort, se charge de contrler lajout ou la suppression de domaines dans la fort. En effet, lorsque vous ajoutez des contrleurs de domaine dans une fort Active Directory, le matre d'attribution des noms de domaine est le seul contrleur de domaine capable d'ajouter le nouveau domaine. De part cette fonction, il permet d'viter l'insertion de domaine ayant le mme nom dans la fort. Lorsque vous utilisez l'assistant Installation de Active Directory pour crer un domaine enfant, celui-ci va contacter le matre d'attribution de noms de domaine pour demander l'ajout ou la suppression. Si ce matre d'opration est indisponible, la fonctionnalit d'ajout ou de suppression de domaine dans la fort ne sera pas disponible.

Lorsque que vous ajoutez ou supprimez un nouveau domaine, vous ajoutez ou supprimez des partitions logiques dans Active Directory. Ainsi, le matre d'attribution des noms de domaine permet d'ajouter ou de supprimer tous les types de partition, ainsi que la gestion des objets de rfrences croiss. Dans la version Windows Server 2003, le matre d'attribution de nom de domaine prend en charge le renomage des domaines. Note : Les objets de rfrences croiss servent faire le lien entre les diffrentes partitions et le domaine. Ces objets sont stocks dans la partition de configuration.

Pour rappel sur les partitions Active directory, la base de donnes Active Directory est divise de manire logique en plusieurs partitions : du schma, de la configuration, du domaine et dapplication. Chaque partition est rplique sur une tendue spcifique. Dans un domaine, tous les contrleurs de domaine de la mme fort ont au moins deux partitions en commun : la partition de schma et de configuration. De plus, tous les contrleurs de domaine d'un mme domaine partagent une partition de domaine commune. La dernire partition, la partition application, stocke les donnes sur les applications utilises dans Active Directory, comme par exemple, les zones intgres Active Directory d'un serveur DNS. Cette partition est rplique sur des contrleurs de domaine que vous dfinissez.

Nous avons vu que le matre d'attribution des noms de domaine devait tre disponible lors de l'installation d'Active Directory sur un serveur. Cette vrification, effectue via le protocole RPC, est effectue au dbut de l'installation, juste aprs la validation des informations que vous avez entres dans l'assistant d'installation. Vous pouvez voir ci-dessous un extrait du fichier journal dcpromo.log situ dans le rpertoire %systemroot%\Debug. MM/DD HH:MM:SS [INFO] Promotion request for domain controller of new domain MM/DD HH:MM:SS [INFO] DnsDomainName fsmo.test-article.lan MM/DD HH:MM:SS [INFO] Validate supplied paths MM/DD HH:MM:SS [INFO] Validating path C:\WINDOWS\NTDS. MM/DD HH:MM:SS [INFO] Validating path C:\WINDOWS\NTDS. MM/DD HH:MM:SS [INFO] Validating path C:\WINDOWS\SYSVOL. MM/DD HH:MM:SS [INFO] Child domain creation -- check the new domain name is child of parent domain name. MM/DD HH:MM:SS [INFO] Domain Creation -- check that the flat name is unique. MM/DD HH:MM:SS [INFO] Start the worker task 1.2 Problmes Ce matre d'opration doit tre joignable lors de l'ajout ou la suppression d'un domaine d'une fort (en utilisant dcpromo). Lors de la suppression d'un domaine, le matre d'opration est contact dans le cas o vous supprimez le dernier contrleur de domaine du domaine. En effet, si votre domaine contient trois contrleurs et que vous en supprimez un, il n'y aura pas de contact avec le matre d'attribution des noms de domaine. Par contre, si vous supprimez le dernier contrleur de domaine, le matre de d'attribution des noms de domaine sera contact pour effacer le domaine de la fort. Nous avons galement vu que ce matre devait aussi tre disponible lors de la cration de partition, par exemple lorsque vous dsirez que votre zone DNS intgre Active Directory soit stocke dans la partition d'Application. Si le matre d'attribution de nom de domaine n'est pas disponible, vous ne pourrez effectuer aucune action sur les partitions Active Directory. Vous pouvez galement avoir une erreur lorsque vous excutez l'assistant Installation de Active Directory (dcpromo). En effet, le serveur hbergeant le rle de matre d'attribution des noms de domaine doit galement hberger le catalogue global. Si ce n'est pas le cas, dcpromo vous renverra un message d'erreur vous demandant de vous rfrer aux fichiers journaux (Dcpromo.log et Dcpromoui.log situs dans %systemroot%\Debug) et vous obtiendrez le message suivant dans les fichiers de log : MM/DD HH:MM:SS [INFO] Error - The Directory Service failed to create the object CN=new grandchild domain name,CN=Partitions,CN=Configuration,DC=root domain name,DC=com. Please check the event log for possible system errors. (8495) MM/DD HH:MM:SS [INFO] NtdsInstall for new grandchild domain name.root domain name.com returned 8495 MM/DD HH:MM:SS [INFO] DsRolepInstallDs returned 8495 MM/DD HH:MM:SS [ERROR] Failed to install the directory service (8495) Ainsi, tout comme le contrleur de schma, ce matre d'opration n'est requit qu'occasionnellement, ce n'est donc pas un matre critique. Si celui-ci venait ne plus tre joignable, vous ne pourrez simplement pas modifier les domaines de votre fort. 1.3 O l'identifier ? Pour voir le propritaire du rle de matre d'attribution de nom de domaine, il faut vous rendre dans la console MMC "Domaines et approbations Active Directory" partir des Outils d'administration. Pour pouvoir l'identifier, il suffit de faire un clic droit sur "Domaines et approbations Active Directory" puis de slectionner "Matre d'opration" dans le menu droulant.

Il existe galement une mthode en ligne de commande grce la commande dsquery. Cette commande vous permet d'envoyer des requtes Active Directory. La commande pour identifier le matre d'attribution de nom de domaine est la suivante : dsquery server -hasfsmo name.

2. Contrleur de schma 2.1. Rle Le schma Active Directory contient les dfinitions des types d'objets qui peuvent tre crs et stocks dans Active Directory. Les types d'objet contiennent des attributs spcifiques et des informations qui s'y rapportent. Toutes ces informations sont stockes au sein d'Active Directory sous forme d'objet. Le contrleur de schma intervient dans le cas d'un mise jour, d'une modification de ces objets. C'est donc le seul contrleur de domaine apte modifier le schma Active Directory. De ce fait, chaque fort ne possde qu'un seul contrleur de schma pour viter les conflits de mise jour simultane du schma. Lorsque vous crez un objet dans Active Directory, le contrleur de domaine sur lequel vous crez l'objet va interroger le schma pour rcuprer la liste des attributs et la classe d'objet correspondant l'objet que vous souhaitez crer. Heureusement, le contrleur de domaine possdant le rle de contrleur de schma n'est pas le seul disposer du schma Active Directory. En effet, les autres contrleurs de domaine disposent aussi d'une copie du schma Active Directory dans leur partition de schma, par contre, cette copie est en lecture seule. De ce fait, la cration d'objets dans Active Directory sera toujours possible, puisque les classes d'objets sont disponible. Un contrleur de schma rempli 4 fonctions au sein d'une fort Active Directory : Il contrle les mises jour d'origine apports au schma. Il contient la liste des classes d'objets et des attributs utiliss pour la cration d'objet dans Active Directory. Il rplique les mises jour apports au schma sur les tous autres contrleur de domaine de la fort via la partition de schma. Il autorise uniquement les administrateurs du schma modifier le schma. Vous trouverez ici les attributs activs par dfaut dans le schma Windows 2000. 2.2. Si le contrleur de schma n'est pas disponible Nous avons vu que le contrleur de schma grait toute la partie schma d'Active Directory. Si celui-ci n'est plus joignable, les modifications sur le schma ne pourrons tre appliques. Ce qui veut dire que la partition de schma de chaque contrleur de domaine de la fort ne sera plus jour. Le schma stockant les classes d'objets et les attributs, vous ne pourrez pas installer une application devant modifier certains attributs si le contrleur de schma est indisponible. C'est le cas de Microsoft Exchange. En effet, lors de l'installation, Microsoft Exchange va rajouter des attributs dans certaines classes, mail par exemple pour la classe user. 2.3. Modifier le schma Le schma stockant toutes les classes d'objet Active Directory, celui-ci est protg contre la modification deux niveaux : accs la console et permission de modification. En effet, pour pouvoir modifier le schma, il faut tre membre du groupe administrateur du schma, et avoir accs la console Schma Active Directory.

Pour pouvoir accder la console Schma Active Directory, il faut dans un premier temps enregistrer une DLL. Pour cela, il vous faut ouvrir une invite de commande et taper la commande : regsvr32 schmmgmt.dll. Si la commande russi vous obtiendrez la boite de dialogue ci-contre vous indiquant que l'enregistrement a russi.

Une fois la DLL enregistre, le composant enfichable Schma Active Directory et vous permettra de visualiser et de modifier le schma Active Directory dans une console MMC.

2.4. Catalogue global Active Directory vous permet de partager des ressources entre vos domaines et vos forts. Grce au catalogue global, vous pourrez facilement faire des recherches sur les ressources contenues dans ces domaines/forts. Par exemple, si vous recherchez toutes les imprimantes d'une fort, la requte va tre transmise au serveur de catalogue global afin que celui-ci fasse une recherche dans le catalogue global. Une fois la recherche effectue, la rponse est renvoye. Ainsi, sans catalogue global, la recherche aurait t faite dans tous les domaines de la fort. Ainsi, le catalogue global est en fait un rassemblement de certains attributs d'objets crs dans Active Directory. Pour obtenir cette liste d'information, le catalogue global va stocker certains attributs spcifi dans le schma. Cette fonctionnalit est modifiable, c'est dire que vous allez pouvoir spcifier dans le schma quels sont les attributs qui seront rpliqus dans le catalogue global. Cette manipulation va s'effectuer dans la console Schma Active Directory. Pour ce faire, il vous faut utiliser la console Schma Active Directory, dans la partie Attributs. Il vous suffit ensuite de faire un clic droit sur l'attribut que vous voulez ajouter au catalogue global et de choisir Proprits. Dans la fentre de proprits, cochez la case "Rpliquer cette attribut dans le catalogue global".

Vous trouverez ici les attributs activs par dfaut dans le schma et le catalogue global de Windows 2000 Server 2.5. O l'identifier ?

Pour pouvoir identifier le matre de schma, vous disposez de deux possibilits : soit par la console de Schma Active Directory, soit en ligne de commande. Pour la mthode graphique, il faut passer la console Schma Active Directory (voir 3.2). Une fois dans cette console, faites un clic droit sur Schma Active Directory et slectionnez Matre d'oprations.

Il existe galement un mthode en ligne de commande grce la commande dsquery. Cette commande vous permet d'envoyer des requtes Active Directory. La commande pour identifier le matre d'attribution de nom de domaine est la suivante : dsquery server -hasfsmo schema.

3. Le maitre RID 3.1 Le SID Ds qu'un contrleur de domaine cre une entit de scurit (un objet tel qu'un utilisateur, un groupe, un ordinateur), il attribut cet objet un identificateur de scurit unique, le SID (Security IDentifier). ce SID est compos de deux blocs : un SID de domaine (identique pour tous les objets du domaine), et un identifiant relatif (RID), qui est unique pour chaque SID d'objet cr dans le domaine.

Composition du SID d'un utilisateur C'est le SID qui permet d'identifier les diffrents utilisateurs et objets, et donc par consquent de leur appliquer les permissions NTFS, se qui explique que deux utilisateurs peuvent avoir le mme nom d'utilisateur sans qu'il y ai de conflits. Un SID tant unique, il est alors impossible de recrer un compte utilisateur supprim en le nommant par le mme nom que le compte prcdant car les permissions NTFS se basent sur le SID et non pas le nom affich. NB : Le compte Administrateur possde un SID se terminant toujours par 500, le renommer devient donc inutile des fins scuritaire, une attaque se fera toujours par une recherche invers du SID vers le nom d'utilisateur. 3.2 Le GUID Attention, il ne faut pas confondre le SID (Secure IDentifier) et le GUID, Global Unique IDentifier ou identificateur globalement unique! Ils sont tout deux uniques au sein de la fort, mais contrairement au SID, le GUID ne changera jamais. En effet, un objet peut tre identifi de plusieurs faons : Son DN (Distinguish name) : cn=Loc, OU=Labo-Microsoft, dc=supinfo,dc=lan Son SID : ci-dessus Son GUID Le DN peut tre trs long, et peut changer trs frquemment, lors du dplacement de l'objet inter et intra domaine, de la modification de son RDN (nom relatif), lors du renomage d'une unit d'organisation et d'un domaine (possible en niveau fonctionnel de fort Windows 2003 server). Le SID est passible de changements galement lors du dplacement de l'objet d'un domaine un autre. Il peut donc tre utile de disposer de moyens de retrouver les objets d'une autre manire que par leurs SID ou DN qui sont modifiables afin de pouvoir rcuprer des objets mme si son DN exact est inconnu. Afin de simplifier le processus de recherche, Active Directory permet des requtes par attributs. Lors de la cration d'un objet, celui-ci se voit attribuer un GUID, un nombre cod sur 128 bits enregistr dans l'attribut objectGUID. Cet attribut est obligatoire pour chaque objet, il ne peut tre ni modifier, ni supprim. Ce nombre unique dans la fort est gnr par un algorithme qui garantit son unicit, et il est assign chaque objet lors de sa cration. Cet algorithme utilise l'heure de cration de l'objet ainsi que d'autres informations alatoires afin de crer un GUID unique.

Le GUID est utilis par les applications afin de pouvoir accder ces objets, quelque soit leurs DN ou SID. Par exemple, pour enregistrer une rfrence un objet Active directory dans une base de donne, c'est l'attribut objectGUID qui doit tre utilis car il ne serra jamais modifi.

3.3 Rle du maitre RID Le contrleur de domaine possdant le rle de matre RID, ou matre des identificateurs relatifs se charge d'allouer des blocs d'identificateurs relatifs chaque contrleur de domaine du domaine. Chaque contrleur de domaine possde donc un pool de RID unique attribuer aux nouveau objets crs. Lorsqu'un contrleur de domaine puis son pool d'identificateurs relatif, il contacte de matre RID par un driv du protocole RPC qui lui alloue une nouvelle plage d'identificateurs. Si le matre RID ne peut tre joint, la cration d'un objet est impossible sur un contrleur de domaine dont la rserve d'identificateurs relatifs est puise. L'utilitaire dcdiag situ dans le dossier \Support\Tools du cd-rom de Windows 2003 server permet d'afficher la rserve d'identifiants relatifs du contrleur de domaine.

rsultat de la commande dcdiag /test:ridmanager /v

Par dfaut, les plages alloues contiennent 500 RID, mais se nombre peut tre modifi grce une cl dans la base de registre du contrleur de domaine ayant le rle de Matre RID : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\RID Block Size

On ne peut pas spcifier un nombre plus petit que 500, dans ce cas, c'est la valeur par dfaut qui sera utilis, on peut par contre spcifier un nombre plus lev, sans limite de taille. Il n'est pas ncessaire d'effectuer cette modification sur les autres contrleurs de domaine du domaine, mais il est conseill de le faire, en effet lors d' un ventuel transfert de rle un autre contrleur, la taille du pool restera cohrente. Un contrleur de domaine sous Windows 2000 pr SP4 demande un nouveau pool d'identifiant relatif lorsqu'il ne lui reste que 20% de sa plage de RID distribuer. Sous Windows 2000 SP4 et suprieur, la demande est effectue lorsque 50% de la plage de RID est utilis. Cette modification permet une tolrance de panne du matre RID plus lev. N.B : Le nombre de RID total d'un domaine n'est pas infini, on peut crer environ 2^30 (1 073 741 824) entits de scurit par domaine!! Il n'est pas conseill de mettre une valeur trop lev, car il faut savoir que si un contrleur de domaine est rtrograd, son pool de RID est perdu, il ne sera pas rutilis, il en va de mme lors d'une restauration, un contrleur de domaine ayant subit une restauration se verra attribuer un nouveau pool afin d'viter de distribuer des RID dj utiliss. Une fois tous les RIDs utiliss, il devient impossible de crer des nouveaux objets dans le domaine. Le dplacement des objets d'un domaine un autre doit s'effectuer OBLIGATOIREMENT sur le matre RID, dans le cas contraire, un message d'erreur "Movetree failed" apparatra. En effet, lors d'un dplacement, le matre RID supprime l'objet du domaine d'origine afin d'viter une duplication. Si on dplace l'objet sans qu'il soit supprim, cet objet pourra tre dplac nouveau vers un autre domaine ce qui entranerai des doublons. 3.4 Ou l'identifier?

- Par l'interface graphique : ouvrir la console MMC Utilisateurs et ordinateurs Active Directory, cliquer droit sur le nom du domaine et slectionner Matres d'oprations.

- En ligne de commande : taper dsquery server -hasfsmo rid

4. Matre d'infrastructure 4.1 Les objets fantmes Dans Active Directory, certains types de groupes peuvent contenir des comptes d'utilisateurs des domaines approuvs. Afin d'tre sur de l'authenticit des noms dans le groupe d'appartenance, les GUID des utilisateurs sont utiliss (en effet, le GUID est unique dans la fort). Lorsque l'on affiche tous les membres d'un groupe comprenant des utilisateurs de domaines approuvs, Active Directory doit pouvoir afficher le nom actuel de l'utilisateur de manire prcise, sans pour cela avoir contacter le contrleur de domaine du domaine approuv ou un serveur de catalogue global. Active Directory utilise donc des objets fantmes pour les rfrences aux utilisateurs des diffrents domaines. Cet objet fantme est un objet spcial qui ne peut tre vu d'aucune faon par les outils d'exploration LDAP. Ces enregistrements fantmes contiennent une quantit minimale d'informations qui permet un contrleur de domaine de se rfrer l'emplacement dans lequel l'objet original existe. Cet objet fantme contient les informations suivantes de l'objet auquel il fait rfrence: - le nom unique, - le SID - le GUID. Lors de l'ajout d'un membre d'un domaine diffrent dans un groupe, le contrleur de domaine local qui contient le groupe cre cet objet fantme pour l'utilisateur tranger. Si le nom de cet utilisateur est modifi, ou bien lors d'une suppression, l'objet fantme doit tre mis jour ou supprim du groupe sur tous les contrleurs de domaine du domaine contenant cette rfrence. C'est le rle du matre d'infrastructure. 4.2 Rle du matre d'infrastructure Si un objet auquel un objet fantme fait rfrence a t modifi ou supprim, l'objet fantme doit tre modifi ou supprim du domaine le contenant. Le contrleur de domaine possdant le rle de matre d'infrastructure est charg de ces oprations au sein du domaine dans lequel il opre. Le matre d'infrastructure compare rgulirement les informations des objets fantmes prsent dans sa base de donne avec la dernire version du rpliquas des objets sur un serveur de catalogue global. Si les SID ou les distinguished name ne correspondent pas avec ceux des objets fantmes, alors le matre d'infrastructure met jour les objets fantmes qu'il contient. Plus en dtail, si le matre d'infrastructure dtecte que l'objet original auquel rfre un objet fantme chang ou a t supprim , il cre un objet infrastructure-Update dans le conteneur CN=Infrastructure,DC=DomainName,DC= , cet objet est ensuite rpliqu aux autres contrleurs de domaine except les serveurs de catalogue global.

Si l'objet original t renomm, la valeur de l'attribut DNReferenceUpdate de l'objet infrastructure-Update contient le nouveau nom. Si l'objet original t supprim, le nom unique de l'objet (DN) est modifi de manire ce que (esc)DEL:GUID apparaisse dans le nom original. Les contrleurs de domaines utilisent les informations contenues dans l'objet infrastructure-Update afin de mettre jour en consquence leur copie locale de l'objet fantme. Lors d'une suppression, les contrleurs de domaine suppriment l'objet fantme ainsi que tous les attributs correspondants cette rfrence (par exemple l'attribut member dans un groupe). Une fois les mises jour des objets fantmes effectues, l'objet infrastructure-Update est lui mme supprim. Sous Windows 2000 L'intervalle d'actualisation peut tre personnalis en changeant une cl dans la base de registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Days per database phantom scann. Par dfaut cette valeur est de 2 jours. source : http://support.microsoft.com/default.aspx?scid=kb;en-us;248047 N.B : Le matre d'infrastructure ne peut pas tre serveur de catalogue global! En effet, comme le serveur de catalogue global contient un rpliqut partiel de chaque objet contenu dans Active Directory, aucun objet fantme n'est cr sur ce contrleur de domaine. Le matre d'infrastructure ne stocke donc pas les versions fantmes des objets trangers car il possde dj une copie de ces objets dans le catalogue. Si le matre d'infrastructure est plac sur un serveur de catalogue vous pourrez voir dans l'observateur d'vnement une erreur avec un event ID 1419 Il existe seulement deux exceptions cette rgle : dans le cadre d'une fort contenant un seul domaine, il n'y a pas d'objets fantmes (car pas d'objets trangers venant d'autres domaines), donc le matre d'infrastructure n'est pas utile, il peut donc tre plac sur n'importe quel contrleur de domaine. Dans une fort multi-domaine, ou chaque contrleur de domaine est galement serveur de catalogue global, il n'y a galement pas d'objets fantmes. Le matre d'infrastructure n'est donc pas utile, il reste dans un tat dormant et peut tre plac sur n'importe quel contrleur de domaine.

Si le matre d'infrastructure n'est pas joignable, il n'est pas possible de dplacer des objets. 4.3 Ou l'identifier? - Par l'interface graphique : ouvrir la console MMC Utilisateurs et ordinateurs Active Directory, cliquer droit sur le nom du domaine et slectionner Matres d'oprations.

- En ligne de commande : taper dsquery server -hasfsmo infr

5. Le matre d'mulateur du contrleur de domaine ( PDC Emulator) 5.1. Son Rle ? Lors de l'installation d'un nouveau domaine, le premier contrleur de domaine endosse le rle d'mulateur PDC(Primary Domain Controller). Ce rle est particulirement important au bon fonctionnement de chaque domaine de la fort. Attention, il ne peut exister qu'un mulateur PDC au sein d'un domaine. Le matre d'mulateur PDC assure 4 fonctions au sein d'un domaine Active Directory : Il permet la compatibilit avec des contrleurs de domaine du type Windows NT et rplique les mises jour destination des contrleurs secondaire de domaine NT (Backup Domain Controller). La gestion du verrouillage des comptes utilisateurs et du changement des mots de passe. Les mcanismes de synchronisation horaire sur tous les contrleurs de domaine du domaine, ils sont par exemple ncessaires aux horodatage insrs dans les paquets dauthentification Kerberos v.5. Il est utilis pour raliser les modifications des stratgies de groupe du domaine (Groupe Policy Object) afin d'interdire toute possibilit dcrasement et de conflit. Nous dvelopperons en dtail chacune de ces fonctionnalits. 5.2. Verrouillage des comptes utilisateurs. Les contrleurs de domaines primaire (Primary Domain Controller) fonctionnant sous Windows NT Server 4.0 et les matres d'oprations d'mulateur PDC excutant Windows 2000/3 Serveur reoivent des rplications dites "urgente" relatives au verrouillage de comptes utilisateurs. Cela n'a rien de surprenant puisque sous Windows NT seul la machine PDC dispose de droit en lecture et criture sur la base de donne des comptes utilisateurs SAM (Security Accounts Manager). Le verrouillage de comptes utilisateurs peut tre ralis manuellement l'aide de la console Utilisateurs et Ordinateurs Active directory, ou bien automatiquement via une stratgie de verrouillage de comptes. Petit rappel sur l'utilit d'une rplication urgente: Dans les cas lists ci-dessous touchant la scurit du service dannuaire Active directory, la convergence des contrleurs du domaine doit tre la plus rapide possible. verrouillage de comptes d'utilisateurs modification de la stratgie de verrouillage des comptes modification de la stratgie de mot de passe du domaine modification du mot de passe d'un contrleur de domaine modification des mots de passe des approbations de domaine modification de la machine ayant le rle de matre d'opration RID. Ces vnements sont donc traits rapidement en contournant les rplications bases sur les notifications. En fait il sagit de demandes de rplications notifies mais envoyes immdiatement sans tenir compte des dlais fixs par l'administrateur. Ainsi la priode de rplication vers les autres contrleurs de domaine Active Directory qui par dfaut est de 15 secondes sous Windows 2003 et de 5 minutes sous Windows 2000 serveur est ignore. Par soucis de rapidit, les rplications urgentes sappuient sur le protocole RCP/IP. Voici le cycle de rplication de l'information de verrouillage d'un compte utilisateur:

Dans cette exemple, le domaine Supinfo.com est scind en trois sites: Strasbourg, Paris et Nantes. L'mulateur PDC se trouve sur le site de Paris. tape 1: Sur le Site de Strasbourg, un administrateur verrouille le compte d'utilisateur Toto partir du contrleur de domaine nomm STBG . Suite cette action, le matre doprations PDC fait lobjet dune rplication urgente. tape 2: Le ou les contrleurs de domaine du mme domaine situs sur le mme site que le matre doprations PDC font lobjet dune rplication urgente. tape 3: Le ou les contrleurs de domaine du mme domaine situs sur le mme site que le contrleur de domaine qui a provoqu le blocage de comptes font lobjet dune rplication urgente. tape 4: Enfin, le ou les contrleurs de domaine du mme domaine qui sont situs sur des sites configurs pour permettre le passage des notifications sur modification (et donc les rplications urgentes) avec le site qui contient l'mulateur PDC ou le site sur lequel le compte utilisateur a fait lobjet du verrouillage. A ce propos, quand le contrleur de domaine local dtecte une demande dauthentification avec un mauvais mot de passe, la demande dauthentification est ritre vers le contrleur de domaine possdant le rle de matre mulateur PDC. De ce fait, cest gnralement sur ce contrleur particulier que le compte sera verrouill. 5.3. Changement des mots de passe. La latence des systmes de rplication utilise par les systmes distribus peut provoquer lapparition dinformations contradictoires qui nuisent la scurit. Ainsi pour solutionner cet inconvnient le systme de rplication de lannuaire Active Directory ralise les modifications des mots de passe de manire spcifique en privilgiant en tout premier lieu la machine matre dopration PDC du domaine.

Une opration de changement de mot de passe prfre donc l'mulateur PDC sans aucune considration de disponibilit par rapport aux liens de sites. Comme cela est dj le cas sous Windows NT 4.0, si le contrleur utilis par le client ne dispose pas de la bonne version du mot de passe, le contrleur contactera le contrleur de domaine possdant le rle de matre doprations PDC. Comme il sagit de la machine qui fait office de contrleur privilgi pour ce genre doprations, lutilisateur est alors contrl comme il se doit. Synchronisation urgente du mot de passe Lorsquun contrleur de domaine Windows Server 2003 ou Windows 2000 Server SP4 possdant le rle de matre doprations PDC Emulator reoit une demande de vrification de mot de passe pour le compte dun autre contrleur, le contrleur d'mulation PDC ralise une synchronisation urgente du mot de passe du compte utilisateur vers le contrleur ayant transmis la demande. Changement de mots de passe lorsque l'mulateur PDC est indisponible. Lorsque le domaine atteint un niveau fonctionnel Windows 2000 natif ou Windows 2003 et quil nest donc plus possible de supporter les anciens contrleurs secondaire NT 4, alors si l'mulateur PDC du domaine est indisponible, les ordinateurs Windows 2000/XP professionnel et Windows Serveur 2000/3 pourront slectionner un contrleur local leur site. De cette manire, les sites distants ne sont plus totalement dpendants du site qui possde l'mulateur PDC. Le mot de passe modifi sera ensuite rpliqu en respectant la topologie de rplication et l'mulateur PDC sera mis a jour lorsquil sera de nouveau disponible. La solution : Le client Active directory. Pour raliser une opration de changement de mot de passe, les postes fonctionnant sous Windows 9x et Windows NT nont par dfaut aucune autre possibilit que de solliciter la machine d'mulation PDC. Bien quil soit plus judicieux dinvestir dans la mise jour de leurs systme, le client Active Directory (Directory Service Client Pack) permettra ces anciens postes de travail de supporter le protocole dauthentification NTLMv.2 (NT Lan Manager) et de contacter tout contrleur de domaine Windows serveur 2000/3 . Le client Active Directory est disponible ici : http://www.microsoft.com/downloads/details.aspx?FamilyID=7c219dcc-ec00-4c98-ba61-fd98467952a8&displaylang=fr Comment optimiser le trafic intersites? Si certaines des connexions rseau intersites sont lentes, il pourra tre intressant de chercher limiter ou supprimer la diffusion de certains flux.

Les contrleurs de domaine Windows Serveur 2003 supporte un nouveau paramtre de stratgie qui vous permet de dsactiver lusage de l'mulateur PDC lorsque la vrification de mot de passe et en chec via le contrleur de domaine local. Vous trouverez ce paramtre lemplacement suivant : Configuration ordinateur/ Modle dadministration/ Systme/ ouverture de session rseau / puis slectionn llment de stratgie appel "contacter le contrleur de domaine principal lors de lchec de louverture de session."

Ce paramtre de stratgie empchera les contrles de mots de passe des contrleurs de site vers le contrleur d'mulation PDC. Lorsque le paramtre Contacter le contrleur de domaine principal lors de lchec de louverture de session est dsactiv, le changement de mot de passe ralis sur le contrleur de domaine local un site sera rpliqu normalement de manire non urgente. Pour toutes informations complmentaires sur le fonctionnement des rplications active directory je vous invite lire larticle de Yoann LEONG-SHE traitant du sujet : http://www.laboratoire-microsoft.org/articles/win/Replication-AD/ 5.4. Gestion des stratgies de groupe. La console de gestion des stratgies de groupe utilise le contrleur de domaine jouant le rle de matre dopration d'mulateur PDC de chaque domaine comme contrleur de domaine par dfaut pour toutes les oprations de cration et de modification des stratgies de groupe. Afin d'viter les conflits de rplication, il est donc recommand de choisir un contrleur parmi ceux dont vous disposez comme favori des oprations qui concernent ladministration des stratgies de groupe. Car si par exemple deux administrateurs modifient pendant le mme cycle de rplication un mme

objet stratgie de groupe sur des contrleurs de domaine diffrents alors les modifications apportes par lun des deux administrateurs risquent dtre perdues.

Par dfaut le contrleur de domaine jouant le rle dmulateur PDC est utilis pour raliser les modification des GPO, mais il est tous fait possible de contrler la faon dont la console diteur dobjets de stratgie de groupe slectionne un contrleur de domaine pour ouvrir ou modifier un objet du type stratgie de groupe gr au sein dactive directory. Par exemple, pour dterminer quel contrleur de domaine paramtre une nouvelle stratgie de groupe lusage des administrateurs et dfinisse le paramtre suivant : Configuration utilisateur / Modles dadministration / Systmes /stratgie de groupe / Slection du contrle de domaine de la stratgie de groupe et activer loption. Puis slectionnez parmi les trois choix proposs celui qui conviendra aux mieux a vos besoins. Utiliser le contrle principal de domaine : Il sagit de loption par dfaut. Ce choix indique que le composant diteur dobjet stratgie de groupe lit et crit les modifications sur le contrleur de domaine dsign en tant que matre dopration dmulation PDC pour le domaine dans lequel lopration est ralise. Hriter des composants Active directory : Ce choix indique que le composant diteur dobjet stratgie de groupe lit et crit les modifications dans le contrleur de domaine utilis par la console MMC utilisateur et ordinateurs Active Directory ou Site et service Active Directory . Utilise tout contrleur de domaine possible: Ce choix indique au composant diteur dobjet stratgie de groupe quil peut utiliser tous contrleur de domaine disponible.

Il s'agit de l'option la plus alatoire, puisqu'en thorie, plusieurs administrateurs diffrents peuvent modifier le mme objet Stratgie de groupe simultanment, avec des rsultats indtermins. D'un autre ct, si cette option est utilise, il est probable qu'un contrleur de domaine soit slectionn sur le site local. Si un seul administrateur peut se charger de la Stratgie de groupe d'un vaste domaine de plusieurs sites, le gain en performances peut tre intressant. Si vous dsactivez ce paramtre ou si vous ne le configurez pas, lditeur dobjet stratgie de groupe utilise le contrleur de domaine dsign ayant le rle d'mulateur PDC. Il est galement possible de modifier ce paramtre dans le menu affichage de la stratgie de groupe grce lentre appele Option du contrleur de domaine

Ces trois options correspondent en tout point aux trois paramtres de la stratgie Slection du contrleur de domaine de la stratgie de groupe . 5.5. Mcanisme horaire Il est crucial de disposer au sein de la foret d'une heure correcte et unique fournit par une mme source de temps. Le systme de synchronisation horaire est implment sur les contrleurs de domaines jouant le rle de matre doprations d'mulateur PDC. Cette tche est raliser par l'intermdiaire du service W32Time l'aide du protocole SNTP (Simple Network Time Protocol) conformment la RFC 1769. Ce service permet: la synchronisation de toutes les horloges des systmes d'exploitation clients avec celles des contrleurs du domaine, le bon fonctionnement du protocole d'authentification Kerberos v.5. la synchronisation de l'heure facilite galement l'analyse des journaux d'vnements. Pour rappel, Kerberos est un protocole d'authentification rseau dvelopp par le MIT (Massachusetts Institute of Technology). Il authentifie l'identit des utilisateurs qui tentent de se connecter au rseau et

crypte leurs communications par une technique base sur une cl secrte. Il est relativement robuste notamment grce ces fonctionnalits danti-relay intgres au protocole. Kerberos ncessite lhorodatage des paquets dauthentifications. De ce fait, le systme de synchronisation horaire doit tre fonctionnel au niveau de la fort. La rfrence globale est dfinie au niveau du domaine racine de la foret, puis transmise vers les autres domaines de la fort en traversant les diffrentes arborescences. Dans une fort Windows 2000/3 Server, l'heure est synchronise de la manire suivante en 4 tapes: tape 1: Le matre d'mulateur PDC du domaine racine de la fort est la source de temps qui fait autorit pour l'organisation. tape 2: Tous les matres des oprations PDC des autres domaines de la fort respectent la hirarchie de domaines lors de la slection d'un mulateur PDC avec lequel synchroniser l'heure.

tape 3: Tous les contrleurs de domaine synchronisent leur heure avec le matre des oprations de l'mulateur PDC dans leur domaine en tant que partenaires de service de temps entrant. tape 4: Tous les serveurs membres et les ordinateurs clients utilisent le contrleur de domaine d'authentification comme leur partenaire pour la synchronisation du temps.

Pour s'assurer que l'heure est exacte, l'mulateur PDC du domaine racine de la fort peut tre synchronis avec un serveur de temps SNTP (Simple Network Time Protocol) externe. Toutefois, cette opration peut exiger l'ouverture de ports du pare-feu. Comment synchroniser les horloges systme des ordinateurs Windows 9x ? Si votre rseau comprend des ordinateurs Microsoft Windows 95 ou Microsoft Windows 98, les horloges de ces ordinateurs doivent tre synchronises en insrant la commande suivante dans un script d'ouverture de session o est un contrleur de domaine du rseau : net time \\ /set /yes L'excution de cette commande permet d'empcher que les horloges de ces ordinateurs prsentent une diffrence de temps par rapport d'autres ordinateurs du domaine. 5.6. Comment l'mulateur PDC est-il localis par les clients? Un enregistrement de ressource DNS est crer par le serveur ayant le rle d'mulateur PDC, il est du type SRV et est situ dans la zone de recherche directe emplacement suivant: _ldap._tcp.pdc._msdcs.Nomdedomaine. Il permet donc aux diffrentes ressources de localiser le serveur dmulation PDC.

5.7. Comment l'identifier? Pour localiser le contrleur de domaine qui excute ce rle, rendez vous dans la console MMC (Microsoft Management Console) Utilisateurs et ordinateurs Active Directory faite un clic droit puis Matres doprations. Et slectionner longlet CDP ( Controleur de Domaine Principal).

5.8. Positionnement de l'mulateur PDC. Qu'arrive t-il quand le matre d'opration d'mulation PDC nest plus disponible au sein dun domaine ? Il est frquent que de petits ennuis apparaissent. En effet, ce contrleur de domaine agit en tant que contrleur de domaine principal pour prendre en charge les anciens contrleurs secondaires NT encore disponible lorsque le domaine fonctionne en mode domaine Windows 2003 prliminaire ou Windows 2000 mixte. Les recommandations ci-dessous vous permettront de faire les bon choix pour garantir une grande disponibilit du contrleur matre dmulateur PDC : Utilisez un contrleur de domaine trs disponible, surtout si le niveau fonctionnel du domaine est Windows 2003 prliminaire ou 2000 mixte. Car tous les contrleurs de domaine accdent rgulirement cette machine pour les modifications de mot de passe, la gestion du mauvais mot de passe, la synchronisation horaire entre contrleurs des diffrents domaines de la fort et, bien sur la prise en charge des synchronisations des anciens contrleurs secondaires de domaine. Mettez en place une analyse des performances et surveillez lusage des ressources matrielles telle que le processeur et la mmoire, puis augmentez les ressources si cela se justifie. Parfois, il peut tre plus rentable de faire voluer les systmes d 'exploitation client de Windows 9x vers Windows 2000/XP professionnel ou de supprimer les anciens contrleur de domaine NT que dinvestir dans le matriel affect au matre dmulation PDC. Sur un contrleur matre dopration d'mulation PDC faite en sorte dviter de cumuler ce rle avec celui de catalogue global. Faites en sorte que ce contrleur soit moins slectionn par les ordinateurs clients en rduisant la priorit et le poids de lenregistrement de service (SRV). Cette opration vous permettra de favoriser lauthentification vers les autres contrleurs de domaine du site.

6. Transfert de rle. Dans certains scnarios, il est intressant de dplacer les diffrents rles de matre d'opration vers un autre contrleur de domaine qui serait plus disponible ou mieux positionn au sein de votre rseau. Cette opration est appele transfert de rle. Voici en dtail, les procdures de transfert de rle possibles. Mais avant de commencer, il est important d'identifier les serveurs qui dtiennent les rles FSMO, voici quelques utilitaires en ligne de commande permettant de mener bien cette tache. Utilisation de DCDIAG (Ne fonctionne que sur un contrleur de domaine) Cliquez sur Dmarrer, sur Excuter, tapez cmd dans la zone Ouvrir, puis appuyez sur ENTRE. Tapez DCdiag /test:Knowsofroleholders /v et appuyez sur ENTRE. :

Utilisation de l'outil NTDSUTIL Cliquez sur Dmarrer, sur Excuter, tapez cmd dans la zone Ouvrir, puis appuyez sur ENTRE. Tapez ntdsutil et appuyez sur ENTRE. Tapez domain management et appuyez sur ENTRE. Tapez connections et appuyez sur ENTRE. Tapez connect to server nom_serveur, o nom_serveur est le nom du contrleur de domaine afficher, puis appuyez sur ENTRE. Tapez quit et appuyez sur ENTRE. Tapez select operation target et appuyez sur ENTRE. Tapez list roles for connected server et appuyez sur ENTRE

6.1.Comment transfrer le rle de contrleur de schma ? Cliquez sur Dmarrer, cliquez sur Excuter, tapez regsvr32 schmmgmt.dll. dans la zone Ouvrir, puis cliquez deux fois sur OK. Cliquez sur Dmarrer, cliquez sur Excuter, tapez mmc dans la zone Ouvrir, puis cliquez sur OK. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Cliquez sur Ajouter. Cliquez sur Schma Active Directory, cliquez sur Ajouter, cliquez sur Fermer, puis cliquez sur OK. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schma Active Directory, puis cliquez sur Changer le contrleur de domaine. Cliquez sur Spcifier un nom, tapez le nom du contrleur de domaine qui va tre le nouveau dtenteur du rle, puis cliquez sur OK.

Cliquez avec le bouton droit sur Schma Active Directory, puis cliquez sur Matre d'oprations... Cliquez sur Modifier, puis cliquez sur OUI.

6.2.Comment transfrer le rle Matre d'attribution de noms de domaine ? Cliquez sur Dmarrer, slectionnez Outils d'administration, puis cliquez sur Domaines et approbations Active Directory. Si vous n'tes pas sur le contrleur de domaine qui accueillera le rle Matre d'attribution de noms de domaine, faites un clique droit sur Domaines et approbations Active Directory, puis cliquez sur Se connecter au contrleur de domaine, dans la zone Entrez le nom d'un autre contrleur de domaine, tapez le nom du contrleur de domaine qui va dtenir le nouveau rle, puis cliquez sur OK ou dans la liste Ou slectionner un contrleur de domaine disponible, cliquez sur le contrleur de domaine qui va tre le nouveau dtenteur du rle, puis cliquez sur OK.

Dans l'arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Matre d'oprations... Cliquez sur Modifier.

Cliquez sur OK pour confirmer que vous voulez transfrer le rle, puis cliquez sur Fermer.

6.3.Comment transfrer les rles Matre RID, mulateur PDC et Contrleur d'infrastructure ? Cliquez sur Dmarrer, slectionnez Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Si vous n'tes pas sur le contrleur de domaine qui accueillera l'un de ces trois rle, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrleur de domaine, dans la zone Entrez le nom d'un autre contrleur de domaine, tapez le nom du contrleur de domaine qui va dtenir le nouveau rle, puis cliquez sur OK ou bien dans la liste Ou slectionner un contrleur de domaine disponible, cliquez sur le contrleur de domaine qui va tre le nouveau dtenteur du rle, puis cliquez sur OK.

Dans l'arborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, pointez sur Toutes les tches, puis cliquez sur Matre d'oprations...

Cliquez sur l'onglet appropri pour le rle que vous voulez transfrer (RID, CDP ou Infrastructure), puis cliquez sur Modifier

Cliquez sur OK pour confirmer que vous voulez transfrer le rle, puis cliquez sur Fermer. 6.4.Comment transfrer les rles FSMO en ligne de commande l'aide de l'utilitaire Ntdsutil? Cliquez sur Dmarrer, sur Excuter, tapez cmd dans la zone Ouvrir, puis appuyez sur ENTRE. Tapez ntdsutil et appuyez sur ENTRE. Tapez roles et appuyez sur ENTRE. Tapez connection et appuyez sur ENTRE. Tapez connect to server nom_serveur, o nom_serveur est le nom du contrleur de domaine o sera assign ce rle, puis appuyez sur ENTRE. Tapez quit et appuyez sur ENTRE. Selon le rle a transfrer, tapez transfer infrastructure master, transfer PDC, transfer RID master, transfer domain naming master ou transfer infrastructure master et appuyez sur ENTRE.

7. Prise de rle des Matres d'opration La prise de rle des matres d'oprations ne doit tre faite que si le vous ne pouvez pas les transfrer. En effet la prise de rle est une opration qui ne doit tre effectu seulement si l'ancien matre ne sera jamais rallum ou disponible sur le rseau. Afin de pouvoir prendre le rle d'un matre, vous devrez excuter la commande en tant membre du groupe Admin du domaine ou bien Administrateurs de l'entreprise. Pour des raisons de scurits, nous vous recommandons de la lancer avec l'option "Excuter en tant que ...". Enfin, avant d'excuter la commande sur le serveur qui prendra le rle, vous pouvez utiliser la commande repadmin pour vrifier que le nouveau matre a reu des mises jour de l'ancien propritaire du rle, et ensuite retirez l'ancien matre du rseau. Les procdures suivantes sont excuter sur les nouveaux serveurs auxquels vous voulez donner le rle : 7.1. Le matre RID Une fois que vous aurez vrifi les tapes ci-dessus, vous pourrez prendre le rle de matre RID en excutant la procdure suivante : Ouvrez une Invite de commande en tapant cmd dans une bote de dialogue Excuter (Touche Windows + R). Tapez ntdsutil. Dans l'invite de commande ntdsutil, tapez : roles. Dans l'invite de commande fsmo maintenance, tapez : connections. Dans l'invite de commande server connections, tapez : connect to server nom_du_server_qui_sera_maitreRID. Une fois la commande excute, vous serez connect au serveur vers lequel vous souhaiter donner le rle. Tapez quit pour retourner l'invite fsmo maintenance. Dans l'invite de commande fsmo maintenance, tapez : seize RID master.

7.2. L'mulateur PDC Une fois que vous aurez vrifi les tapes ci-dessus, vous pourrez prendre le rle de l'mulateur PDC en excutant la procdure suivante : Ouvrez une Invite de commande en tapant cmd dans une bote de dialogue Excuter (Touche Windows + R). Tapez ntdsutil. Dans l'invite de commande ntdsutil, tapez : roles.

Dans l'invite de commande fsmo maintenance, tapez : connections. Dans l'invite de commande server connections, tapez : connect to server nom_du_server_qui_sera_maitrePDC. Une fois la commande excute, vous serez connect au serveur vers lequel vous souhaiter donner le rle. Tapez quit pour retourner l'invite fsmo maintenance. Dans l'invite de commande fsmo maintenance, tapez : seize PDC. Lorsque vous aurez valid la commande, un boite de dialogue vous demandera si vous confirmez la cessation du rle de matre d'infrastructure au profit du serveur cible. Cliquez sur Oui si vous voulez donner le rle.

7.3. Le matre d'infrastructure Une fois que vous aurez vrifi les tapes ci-dessus, vous pourrez prendre le rle du matre d'infrastructure en excutant la procdure suivante : Ouvrez une Invite de commande en tapant cmd dans une bote de dialogue Excuter (Touche Windows + R). Tapez ntdsutil. Dans l'invite de commande ntdsutil, tapez : roles. Dans l'invite de commande fsmo maintenance, tapez : connections. Dans l'invite de commande server connections, tapez : connect to server nom_du_server_qui_sera_maitreINFRASTRUCTURE. Une fois la commande excute, vous serez connect au serveur vers lequel vous souhaiter donner le rle. Tapez quit pour retourner l'invite fsmo maintenance. Dans l'invite de commande fsmo maintenance, tapez : seize infrastructure master. Lorsque vous aurez valid la commande, un boite de dialogue vous demandera si vous confirmez la cessation du rle de matre d'infrastructure au profit du serveur cible. Cliquez sur Oui si vous voulez donner le rle.

7.4. Le matre d'attribution des noms de domaine Une fois que vous aurez vrifi les tapes ci-dessus, vous pourrez prendre le rle du matre d'attribution des noms de domaine en excutant la procdure suivante : Ouvrez une Invite de commande en tapant cmd dans une bote de dialogue Excuter (Touche Windows + R). Tapez ntdsutil. Dans l'invite de commande ntdsutil, tapez : roles. Dans l'invite de commande fsmo maintenance, tapez : connections. Dans l'invite de commande server connections, tapez : connect to server nom_du_server_qui_sera_maitreATTRIBUTION_NOM_DOMAINE. Une fois la commande excute, vous serez connect au serveur vers lequel vous souhaiter donner le rle. Tapez quit pour retourner l'invite fsmo maintenance. Dans l'invite de commande fsmo maintenance, tapez : seize domain naming master. Lorsque vous aurez valid la commande, un boite de dialogue vous demandera si vous confirmez la cessation du rle de matre d'attribution des noms de domaine au profit du serveur cible. Cliquez sur Oui si vous voulez donner le rle.

7.5. Le matre de schma Une fois que vous aurez vrifi les tapes ci-dessus, vous pourrez prendre le rle du matre de schma en excutant la procdure suivante : Ouvrez une Invite de commande en tapant cmd dans une bote de dialogue Excuter (Touche Windows + R). Tapez ntdsutil.

Dans l'invite de commande ntdsutil, tapez : roles. Dans l'invite de commande fsmo maintenance, tapez : connections. Dans l'invite de commande server connections, tapez : connect to server nom_du_server_qui_sera_maitreSCHEMA. Une fois la commande excute, vous serez connect au serveur vers lequel vous souhaiter donner le rle. Tapez quit pour retourner l'invite fsmo maintenance. Dans l'invite de commande fsmo maintenance, tapez : seize schema master. Lorsque vous aurez valid la commande, un boite de dialogue vous demandera si vous confirmez la cessation du rle de matre de schma au profit du serveur cible. Cliquez sur Oui si vous voulez donner le rle.

Conclusion Vous avez pu voir tout au long de cet article l'importance des matres d'opration au sein d'Active Directory. En effet, ces matres d'opration ou FSMO sont vitaux pour effectuer certaines oprations sur vos diffrents domaines ou forts. Il est donc trs utile de savoir identifier les serveurs possdant un rle de matre d'opration. En guise de conclusion, nous vous rcapitulerons les outils utiles pour pouvoir les trouver : La console Active directory : Utilisateurs et ordinateurs Active Directory. Grce cette console, vous pourrez identifier le matre RID, le matre d'infrastructure et l'mulateur PDC

La console Active directory : Domaines et approbations Active Directory. Grce cette console, vous pourrez identifier le matre d'attribution des noms de domaine.

La console Active directory : Schma Active Directory. Grce cette console, vous pourrez identifier le matre de schma.

L'outil en ligne de commande Netdom. C'est un outil obtenir avec les outils de support sur le CD de Windows Server 2003.

L'outil Moniteur de rplication. C'est un outil obtenir avec les outils de support sur le CD de Windows Server 2003. Cette fentre se situe dans l'onglet FSMO des Proprits de votre serveur.

1. Prsentation des groupes 1.1 Dfinition Les groupes dans Active Directory vous permettront de regrouper tout type dobjet (compte utilisateur, compte ordinateur, groupe) dans une seule et unique entit dans le but de simplifier le travail dadministration dans une fort Active Directory. De plus, on verra que les groupes se caractrisent par leur tendue qui permettra de limiter leur application dans la fort. Mais aussi par leur type, on pourra leur assigner des autorisations de scurit si leur type l'autorise. Un groupe sous Active Directory pourra tre user pour ces diffrentes applications : Lors dun partage dune ressource quelconque (Imprimantes, dossier, serveur dapplication) Lors de la cration dune stratgie de groupe Lors de lenvoi de mails groups On notera que la notion de groupe diffre entre un groupe local d'un ordinateur et un groupe dans une fort Active Directory. Pour entamer, prenons par exemple un utilisateur qui souhaite accder un partage dans un domaine 2003 Server.

Les diffrentes notions de ACE et SID seront traits plus loin dans l'article. De plus, certaines notions ont t modifies afin de les vulgariser On remarque de suite que le contrleur de domaine est celui qui est le centre de toutes les transactions

mais aussi qu'il permet l'utilisateur d'unifier son authentification une unique fois. De plus, il possde un jeton unique qui numre une fois pour toutes son appartenance un certain nombre de groupes. Ci-dessous, le cas o il n'y a pas de domaine mais plusieurs serveurs de fichiers...

On note ici dj plusieurs failles de scurit, d'abord l'utilisateur doit s'identifier chaque fois qu'il souhaite accder diffrentes ressources. De plus, il ne possde jamais le mme SID utilisateur sur les diffrentes ressources auxquelles il accde. On constate aussi les difficults d'administrer un rseau sans domaine : l'administrateur devra attribuer sur chaque machine et chaque serveur un accs pour le mme utilisateur ainsi que son appartenance un ou plusieurs groupes. Le but de ces deux schmas est de vous montrer que la notion de groupe sera beaucoup plus tendue dans un domaine et qu'il ne sera pas seulement appliqu un seul objet mais un ensemble d'objets. 1.2 Les contrles daccs Avant dentamer les diffrentes caractristiques dun groupe dans Active Directory, il faut discerner les notions quenglobent les contrles daccs. Les contrles daccs vont permettre ladministrateur de savoir dune part si un utilisateur ou un groupe aura ou non laccs une ressource et dune autre les types de droit que cette entit aura sur lobjet.

SID (Security IDentifier) : chaque objet entit de scurit (utilisateur, groupe et ordinateur) aura un identificateur de scurit qui sera unique dans une fort Active Directory. Cet identificateur est automatiquement cr lors de la cration de lentit de scurit. Ce numro unique est compos du SID du domaine + d'un RID dfini par la matre RID du domaine. ACE (Access Control Entrie) : un ACE est un couple : un SID et une permission DACL (Discretionary Access Control List) : cest une liste dACE pour un objet. Tout objet dans Active Directory possde une DACL. Cest grce celle-ci quon autorise ou non une entit de scurit. Toute entit de scurit non list dans cette DACL aura de suite un accs refus.

SACL (System Access Control Lists): cette liste dACE est particulire et trs peu utilis. Elle permet dauditer un certain nombre dvnements (scurit, rseau) sur lobjet dune ou plusieurs entits. On pourra ainsi dterminer les violations daccs ainsi que son tendu qu'on souhaite auditer.

2. Prsentation avance 2.1 Les droits utilisateurs Microsoft considre l'entit groupe comme un utilisateur qui possde des autorisations d'excution de tche sur une machine ou sur un domaine. Chaque membre de ce groupe hritera des droits utilisateurs attribus au groupe. Il existe deux types de droits utilisateurs: Droit de connexion : ce type de droit va permettre d'autoriser un utilisateur se connecter sur une machine et comment l'effectuer. Accder cet ordinateur depuis le rseau : Ce droit de connexion est ncessaire pour se connecter sur l'ordinateur via le rseau. Ce droit d'utilisateur est requis, par exemple, pour les utilisateurs qui souhaite accder un partage de fichier, un partage d'imprimante ou au service HTTP Permettre l'ouverture d'une session locale : Tout groupe ou utilisateur souhaitant ouvrir une session sur un ordinateur devra possder ce droit utilisateur Privilges : ce type de droit va permettre de donner des privilges d'utilisation machine l'utilisateur Ajouter des stations de travail au domaine : Ce privilge permet au utilisateur de pouvoir ajouter jusqu'a 10 ordinateurs un domaine (bien sr si le droit utilisateur est configur sur un contrleur de domaine) Sauvegarder des fichiers et des rpertoires : Les utilisateurs pourront sauvegarder les dossiers et fichiers en outrepassant les autorisations (NTFS). Ils pourront aussi se rendre propritaire des donnes et ainsi modifier les autorisations. ( utiliser avec parcimonie) Arrter le systme : Les utilisateurs pourront ainsi teindre le poste local Vous trouverez ici la liste non exhaustive des droits utilisateurs Pour modifier l'attribution des droits utilisateurs, vous devez effectuer les changements dans les consoles Paramtre de scurit du contrleur de domaine par dfaut et Paramtre de scurit du domaine par dfaut . Vous pouvez grce ces deux consoles ajouter ou supprimer des droits utilisateurs nimporte quel groupe, mme ceux que vous avez crs sur le domaine. 2.2 Les type de groupe On entame avec le chapitre "Type de groupe", les concepts ajouts au groupe dans Active Directory... Dans Active Directory, lors de la cration d'un groupe vous pouvez spcifier le type de groupe. Ce type limitera ou non les actions dans le domaine. Il existe deux types de groupe: Groupe de distribution Il sagit dune implmentation pour les serveurs de mail (par exemple : Microsoft Exchange Server) pour pouvoir envoyer des mails un groupe dutilisateur. Il est limit cette tche et ne permettent aucune autre action.

Particularit avec Microsoft Exchange 2003 (et version suprieur): Vous avez la possibilit de crer un groupe de distribution dynamique fonds sur une requte LDAP (par exemple: "Tous les employs qui travaillent au sige social"). Attention: comme ce groupe est dynamique, chaque envoie de message au groupe dynamique , le serveur de catalogue global (contrleur de domaine) devra excuter la requte LDAP (augmentation de la charge du serveur consquente). Groupe de scurit Les groupes de scurit permettent deux types de droits qui doivent se corrler entre eux. Assigner des droits utilisateurs (voir ci-dessus) Assigner des autorisations sur des ressources Permet aussi l'envoie de mail au groupe (comme les groupes de distribution) La correspondance entre les droits utilisateurs et les autorisations sur les ressources est ici trs importante. Exemple : Si on donne un droit dutilisateur Ouvrir une session localement un groupe utilisateur 'g_secretaire' et que lon donne comme autorisation de ressources ce groupe des objets de type Serveur, le groupe ainsi cre sera trs dangereux pour tout le parc informatique car vous donnez la possibilit un groupe de personne ayant des connaissances informatiques trop restreinte. Microsoft, pour simplifier ladministration dun domaine, a cr des groupes de scurit par dfaut qui regroupe plusieurs droits utilisateurs (cf. groupe par dfaut). 2.3 Les tendues de groupe Ltendue dun groupe va permettre de limiter laccs des ressources de la fort On pourra par exemple dcider quun certain nombre dadministrateurs pourront avoir accs toutes les ressources de la fort (Groupe Universel) et que dautres administrateurs aient un accs un domaine bien spcifique (Domaine Local). Il existe trois types dtendue de groupe : Domaine Local Globale Universelle Le comportement de ces groupes volue en fonction du niveau fonctionnel de la fort Active Directory. On peut gnraliser par le fait qu'en mode mixte (compactibilit avec NT4) les possibilits sont beaucoup plus restreintes qu'en mode natif. Gnralement en mode mixte les possibilits dajout dobjet sont plus restreintes. 2.3.1 tendu Domaine local Ce type dtendu sera trs efficace si on ne souhaite pas que le groupe que vous crez se propage dans toute la fort mais vous pourrez ajouter comme membre n'importe quel objet de la fort. Mode Natif Mode Mixte

Membres

Dans tous les autres domaines de la fort: comptes utilisateurs, groupes globaux et groupes universels Du mme domaine: comptes utilisateurs, groupes locaux, groupes globaux et groupes universelles

Dans tous les autres domaines de la fort : comptes utilisateurs, groupes globaux Du mme domaine : comptes utilisateurs, groupes globaux

Membres de De tous les autres domaines de la fort : aucun Du mme domaine : groupes locaux De tous les autres domaines de la fort : aucun Du mme domaine : aucun

Visibilit/ Attribution d'autorisation

Dans tous les autres domaines de la fort : aucun Du mme domaine : visibilit et attribution d'autorisation possible

Exemple d'utilisation: vous tes dans une fort microsoft.com . Vous souhaitez partager un dossier sur un domaine enfant east.microsoft.com. Vous dsirez administrer facilement les utilisateurs pour ce partage spcifique sans ajouter nominativement des autorisations sur chaque utilisateur, mais aussi, viter que le groupe ainsi cr puissent tre visible dans dautres domaines (par exemple : domaine west.microsoft.com). Crez un groupe avec une tendue de domaine local. Ce groupe pourra tre ainsi utilis pour assigner des autorisations sur les ressources seulement sur les ressources o est prsent le groupe. Schma des membres d'une tendue

2.3.2 tendue Globale On utilisera les groupes de type global dans le but de simplifier ladministration de lannuaire Active Directory. Et on sen servira surtout pour donner une image complte des services dans chaque domaine (Comptabilit, Consultant, ). Mode Natif Mode Mixte

Membres Dans tous les autres domaines de la fort : aucun Du mme domaine : comptes utilisateurs et groupes globaux

Dans tous les autres domaines de la fort: aucun Du mme domaine: comptes utilisateurs

Membres de De tous les autres domaines de la fort: De tous les autres domaines de la

groupes locaux Du mme domaine: groupes locaux

fort: aucun Du mme domaine: groupes locaux

Visibilit/ Attribution d'autorisation

Dans tous les autres domaines de la fort: visibilit et attribution d'autorisation possible Du mme domaine: visibilit et attribution d'autorisation possible

Schma des membres d'une tendue

2.3.3 tendue Universelle On utilisera les groupes avec une tendue universelle dans le but de renforcer les groupes globaux (exemple : rassembler tous les groupes Utilisa. du domaine , dans un groupe universel Utilisateurs de lentreprise ). Un groupe universel ne doit en aucun cas avoir des modifications frquentes car il na pas t cre dans ce but l. Car tout changement sur un groupe universel sensuit dune synchronisation des objets Active Directory sur tous les contrleurs de domaine (augmentation consquente du trafic rseau). A noter que ce type d'tendu n'existe pas en mode mixte. Mode Natif Mode

Mixte

Membres Dans tous les autres domaines de la fort: comptes utilisateurs, groupes globaux et groupes universels Du mme domaine: comptes utilisateurs, groupes globaux et groupes universelles

Membres de De tous les autres domaines de la fort: groupes locaux et groupes universelles Du mme domaine: groupes locaux et groupes universelles

Visibilit/ Attribution d'autorisation

Dans tous les autres domaines de la fort: visibilit et attribution d'autorisation possible

Du mme domaine: visibilit et attribution d'autorisation possible Schma des membres d'une tendue

3. Bien utiliser les groupes dans Active Directory 3.1 Stratgie d'utilisation des groupes Pour une bonne gestion des autorisations sur des objets Active Directory, il faut utiliser bon escient les groupes. Ceci dans le but de dissocier et de prvenir tous problmes futures, il faut acqurir l'habitude suivante: un objet ou entit d'objet dans un domaine doit possder un groupe local pour attribuer les autorisations sur cet objet ou entit. Par exemple: je possde une imprimante qui se nomme 'printercouloir' et je veux associer un nombre d'utilisateur restreint et spcifique cette imprimante. Il faut alors crer un groupe 'dl_printercouloir' (groupe de scurit avec une tendue locale). Ajouter les membres celle-ci et attribuer les autorisations pour l'imprimante au nouveau groupe ainsi cr. Appliquer cette stratgie peut tre fastidieux au dbut mais le gain en maintenance sera consquent. Par exemple, un an plus tard, une nouvelle imprimante 'printercouloir2' est ajoute et vous souhaitez que seuls les utilisateurs qui avaient dj accs l'imprimante 'printercouloir' y aient accs. Trs simplement, vous n'aurez donner que des autorisations au groupe 'dl_printercouloir'. Si vous aviez donn des autorisations nominativement auparavant, il aurait fallu reprendre chaque membre un par un et donnez des autorisations chacun. Ci-dessus a t explicit une partie de la stratgie A G DL P (Account, Global group, Domain Local group, Permission) et A G U DL P (Account, Global group, Universal group, Domain Local group, Permission). AGDLP Ce type de stratgie est trs efficace seulement dans un domaine restreint (pas de notion de fort).

Les tches suivre: Ajoutez les utilisateurs dans des groupes de scurit avec une tendue globale. Ajoutez les groupes globaux un groupe de scurit avec une tendue locale qui sera rserve aux permissions de l'objet ou d'une entite d'objet. Ajoutez les autorisations pour le ou les objets au groupe domaine local prcdemment cr. AGUDLP Voici la mthode retenir si vous possdez une fort Active Directory:

Les tches suivre: Ajoutez les utilisateurs dans des groupes de scurit avec une tendue globale dans chaque domaine o se situe l'utilisateur. Ajoutez les groupes globaux un groupe de scurit avec une tendue universelle (ceci pour limiter le traffic lors de la rplication de la fort Active Directory si vous effectuez des modifications de permission) Ajoutez le ou les groupes universels un groupe de scurit avec une tendue locale qui sera rserve aux permissions de l'objet ou d'une entite d'objet. Ajoutez les permissions pour le ou les objets au groupe local prcdemment cr. 3.2 Convention de nommage Pour faciliter ladministration des groupes dans votre fort Active Directory, nhsitez pas user dune convention de nommage propre ou non votre entreprise. On pourra utiliser par exemple la convention suivante : Groupe de scurit : Groupes locaux : dl_finance Groupes Globaux : g_finance Groupes Universels : u_finance On remarquera que cette convention est limite car on ne peut identifier sil sagit dun groupe de distribution ou de scurit. Pour tre complet, on pourra utiliser la convention suivante pour les groupes de distribution et garder la convention ci-dessus pour les groupes de scurit: Groupe de distribution : Groupes locaux : d_dl_finance Groupes Globaux : d_g_finance Groupes Universels : d_u_finance

4. Groupe par dfaut Pour simplifier et raccourcir le temps dintgration dun domaine Active Directory, Microsoft donne doffice des groupes par dfaut qui sont avec ou sans membres et avec un certain nombre de droits utilisateurs. Les listes des groupes par dfaut ci-dessous sont exhaustives (liste complet en annexe, lien ci dessous), vous y trouverez le nom, le SID par dfaut (identifiant unique), un bref descriptif, les droits par dfaut et les membres par dfaut. 4.1 Les groupes BUILTIN

Les groupes prsents dans BUILTIN possdent des droits utilisateurs seulement sur les contrleurs de domaine du domaine. Donc ils ne pourront effectuer aucune action sur les autres ordinateurs (exemple: ne pourront pas ouvrir une session locale sur un ordinateur). Si l'utilisateur 'Administrateur' possde des droits sur les contrleurs de domaine et sur le domaine, c'est parce qu'il est membre du groupe 'Administrateurs' du container BUILTIN et membre du groupe 'Administrateur du domaine' du container USERS. On peut comparer les groupes du container BUILTIN aux groupes locaux "classique". Tableau exhaustif des groupes du container BUILTIN (voir annexe pour le tableau complet): Nom Descriptif Droit(s) par dfaut Membre par dfaut

Administrateurs (SID : S-1-5-32-544)

Le groupe Administrateurs possde la majorit des droits sur les contrleurs de domaine. A utiliser avec beaucoup de parcimonie.

Accder cet ordinateur partir du rseau, Changer les quotas de mmoire d'un processus, Sauvegarder des fichiers et des rpertoires, Outrepasser le contrle de parcours... (cf. annexe)

Administrateur (U), Administrateur de lentreprise (G), Admins du domaine (G).

Oprateurs de compte (SID : S-1-5-32-548)

Ce groupe permet de manager tous les objets (Ajout, Modification, Suppression) dans la fort. Leurs limites se situe quils ne peuvent accder au conteneur Domain Controllers et ne peuvent modifier le groupe Administrateurs et Admins du domaine

Permettre l'ouverture d'une session locale, Arrter le systme.

Aucun.

Oprateurs de configuration rseau (SID : S-1-5-32-556)

Les membres de ce groupe peuvent sauvegarder et restaurer les fichiers des contrleurs de domaine et ceci en outrepassant les droits NTFS.

Aucun. Aucun.

Oprateurs de sauvegarde (SID : S-1-5-32-551)

Les membres de ce groupe peuvent sauvegarder et restaurer les fichiers des contrleurs de domaine et ceci en outrepassant les droits NTFS.

Sauvegarder des fichiers et des rpertoires, Permettre l'ouverture d'une session locale, Restaurer des fichiers et des rpertoires, Arrter le systme.

Aucun.

Oprateurs de serveur (SID : S-1-5-32-549)

Les membres de ce groupe ne possdent que des droits simples sur les contrleurs de domaine. Ouverture de session, Sauvegarde et Restauration de fichiers, formatage de disque, cration et suppression de ressources partages.

Sauvegarder des fichiers et des rpertoires, Modifier l'heure du systme, Forcer l'arrt partir d'un systme distant, Permettre l'ouverture d'une session locale, Restaurer des fichiers et des rpertoires, Arrter le systme.

Aucun.

Oprateurs d'impression (SID : S-1-5-32-550)

Les membres de ce groupe auront leur charges toute la gestion des imprimantes sur un contrleur de domaine (installation de pilote, cration de partage imprimantes, gestion des spool, objet imprimantes dans le domaine)

Permettre l'ouverture d'une session locale, Arrter le systme.

Aucun.

Vous trouverez ici le tableau complet des groupes du container BUILTIN 4.2 Les groupes USERS

La porte des groupes prsents dans le conteneur USERS sapplique tous les objets du domaine sauf les contrleurs de domaine. Un certain nombre de groupe permettent de lister les membres prsent dans le domaine (exemple: groupe 'ordinateur du domaine' liste tous les ordinateurs du domaine). Il existe des groupes qui sont prsents seulement sur le domaine root (domaine qui ne possde pas de parents). Tableau exhaustif des groupes du container USERS:

Nom Descriptif Droit(s) par dfaut Membre par dfaut Administrateurs de lentreprise (SID : S-1-5-y-519)

Les membres de ce groupe ont un contrle total sur toute la fort Active Directory (donc sur tous les objets de tous les domaines). Il est dconseill

Accder cet ordinateur partir du rseau, Changer les quotas de mmoire d'un processus, Sauvegarder des

Administrateur (U) (SID: S-1-5-x-500).

dajouter un membre ce groupe. Il vaut mieux utiliser des groupes pour la fort avec des droits plus restreints. Ce groupe nexiste que sur un contrleur de domaine racine.

fichiers et des rpertoires, Outrepasser le contrle de parcours...

Admins du domaine (SID : S-1-5-x-512)

Les membres de ce groupe ont un contrle total sur les ordinateurs et les serveurs du domaine.

Accder cet ordinateur partir du rseau, Changer les quotas de mmoire d'un processus, Sauvegarder des fichiers et des rpertoires, Outrepasser le contrle de parcours... (cf. annexe)

Administrateur (U) (SID: S-1-5-x-500).

Contrleurs du domaine (SID : S-1-5-x-516)

Ce groupe regroupe tous les contrleurs de domaine prsent dans le domaine. Aucun.

Liste de tous les contrleurs de domaine du domaine.

Ordinateurs du domaine (SID : S-1-5-x-515)

Ce groupe contient la liste de tous les ordinateurs du domaine Aucun.

Liste de tous les ordinateurs du domaine.

Propritaires crateurs de la stratgie de groupe (SID : S-1-5-x-520)

Les membres de ce groupe peuvent modifier les Stratgies de groupe du domaine.

Aucun. Administrateur (U) (SID: S-1-5-x-500).

Utilisa. du domaine (SID : S-1-5-x-513)

Ce groupe contient la liste de tous les utilisateurs du domaine. Aucun

Liste de tous les utilisateurs du domaine.

4.3 Les groupes systmes Un certain nombre de groupes spciaux existe. Ils ne sont pas list dans Active Directory. Mais on peut leur attribuer des autorisations ces groupes lors d'un partage d'une ressource. Les membres de ce groupe sont dynamiques donc on ne peut les lister. Nom Descriptif Droit(s) par dfaut Tout le monde (ne possde pas de SID)

Liste tous les utilisateurs actifs sauf ceux du groupe Anonymous logon.

Accder cet ordinateur partir du rseau, Outrepas