active directory n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Active Directory PowerPoint Presentation
Download Presentation
Active Directory

Loading in 2 Seconds...

play fullscreen
1 / 69

Active Directory - PowerPoint PPT Presentation


  • 114 Views
  • Uploaded on

Active Directory. Concepts et évolutions apportées par Windows Server 2003 Conception de l'espace de noms Active Directory Planification des services Les stratégies de groupes. Conception d'une architecture Active Directory pour Windows Server 2003. Annuaire et Schéma.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Active Directory' - odeda


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2
Concepts et évolutions apportées par Windows Server 2003
  • Conception de l'espace de noms Active Directory
  • Planification des services
  • Les stratégies de groupes
annuaire et sch ma
Annuaire et Schéma
  • Un annuaire est un emplacement de stockage utilisé comme référentiel
  • L’annuaire aura un taux de lectures/écritures très élevé.
  • Un annuaire est un espace de stockage hiérarchique (non relationnel)
  • Tout élément de l’annuaire est un objet doté d’attributs
    • Ex : l’objet de type Utilisateur possède un attribut Numéro de téléphone
  • Les définitions des classes d’objets et des attributs sont accessibles via le schéma
annuaire active directory
Annuaire «Active Directory»
  • Stockage (distribué) de données identifiant les ressources présentes dans le système informatique
    • Ex : utilisateur, ordinateur, groupe, domaine, application, imprimante, stratégie…
  • Protocoles pour accéder et manipuler les données :
    • Domain Name System (DNS)
    • Lightweight Directory Access Protocol (LDAP)
  • Utilisation :
    • Source d’information globale pour l’entreprise
slide6

Bénéfices d’Active Directory

  • Administrabilité
    • Intégration des stratégies de configuration des postes et des utilisateurs, délégation d’administration, automatisation via scripting (WSH).
  • Modularité
    • Hiérarchie de domaines et d’OU.
  • Scalabilité
    • Réduction du nombre de domaines.
  • Interopérabilité
    • Utilisation des standards DNS, LDAP, KERBEROS.
  • Extensibilité
    • Richesse et modification du schéma.
active directory vs base sam
SAM de MS Windows NT

contient :

Comptes utilisateurs

Groupes globaux

Groupes locaux

Comptes spéciaux

Stratégies de comptes

Stratégies d'audit

Stratégies des droits utilisateur

40 Mo maxi recommandé

Active Directory vs base SAM
  • Active Directory
  • la même chose, plus :
  • Contacts
  • Groupes de distribution
  • Groupes Universels
  • Groupes locaux de domaine
  • Unité d’organisation (OU)
  • Dossiers publiés
  • Imprimantes publiées
  • Stratégie de groupe (GPO)
  • Eléments de configuration de services (DNS, RPC, DFS)
  • Accès par des protocoles standard (LDAP, DNS)
  • Peut contenir des millions d'objets
sch ma active directory
Schéma «Active Directory»
  • Utilisation
    • Extensibilité (dynamiquement éditable)
      • Ajout de nouvelles classes d’objets
      • Ajout de nouveaux attributs à des classes d’objets existantes
    • Interopérabilité
    • Désactivation avec possibilité de réutiliser la classe ou les attributs désactivés
    • Utilisation de la classe inetOrgPerson pour l’ouverture de session des utilisateurs (meilleure interopérabilité avec les autres annuaires)
extension du sch ma
Extension du schéma
  • Nécessaire pour certains applicatifs
    • Exchange 2000, Exchange 2003
    • ISA Server 2000 Edition Entreprise, ISA Server 2006
    • SMS 2003
  • Nécessaire pour certains composants de Windows 2003 R2
    • Service de réplication de fichiers (DFS)
    • Publication des imprimantes via les GPO avec la console Print Management Console
    • Intégration des services d’identité pour UNIX
architecture logique arbres for ts domaines
Architecture logiqueArbres, forêts, domaines
  • Arbre
    • Ensemble de domaines situés sous une racine unique, formant un espace de noms contigus.
  • Forêt
    • Ensemble d’arbres ne formant pas un espace de noms forcément contigus.

FORET

DOM2.COM

DOM1.COM

ARBRE

ARBRE

notion de for t
Notion de Forêt
  • Une forêt est un ensemble de domaines Active Directory qui partagent :
    • Des informations de configuration,
    • Une description logique et physique.
  • Porte le nom du premier domaine installé.
  • Les domaines forment une ou plusieurs arborescences
caract ristiques d une for t
Caractéristiques d’une forêt
  • Dans une forêt, les domaines partagent
    • Un même schéma,
    • Une même partition de configuration,
    • Un même catalogue global.
  • Dans une forêt, les domaines
    • Sont liés entre eux par des relations d'approbation
      • Bidirectionnelles,
      • Transitives.
notion de domaine
Notion de Domaine
  • Frontière de réplication et d’administration.
  • L’annuaire associé à chaque domaine est disponible sur un ou plusieurs contrôleurs de domaines (DC).
  • Il est possible de créer des arborescences de domaines.
  • A chaque domaine est associé un nom :
    • Ex : europe.contoso.com.
  • Le domaine n’est pas une frontière de sécurité
notion d unit s organisationnelles ou

OU

OU

Notion d’Unités Organisationnelles (OU)
  • Conteneurs d’objets de type utilisateurs, groupes, ordinateurs, OU… au sein d’un domaine.
  • Utilisation :
        • Organisation des données,
        • Délégation des droits d’administration,
        • Application des stratégies de groupe.
espace de nommage hi rarchique
Espace de nommage hiérarchique
  • L’espace de nommage (zone dans laquelle un nom peut être résolu) de l’Active Directory repose sur DNS pour la localisation des services et la résolution des noms.
cohabitation niveaux de fonctionnalit s
CohabitationNiveaux de fonctionnalités
  • Windows Server 2003 a plusieurs niveaux fonctionnels
    • Pour les domaines et les forêts,
    • Similaires aux modes mixte/natif de Windows 2000.
  • Augmenter les niveaux fonctionnels
    • Domaine : possible par domaine
    • Forêt : pour l’ensemble de la forêt (impacte tous les domaines),
    • Irréversible,
    • Apporte de nouvelles fonctionnalités.
r le des serveurs
Rôle des serveurs
  • Un serveur Windows NT peut être :
    • Contrôleur Principal de Domaine (PDC)
    • Contrôleur Secondaire de Domaine (BDC)
    • Serveur Membre
  • Un Serveur Windows 2000 / 2003 peut être :
    • Contrôleur de Domaine (DC)
    • Serveur Membre
    • Possibilité de passer d’un rôle à l’autre (dcpromo.exe)
r les fsmo
Rôles FSMO

Flexible Single Master Operations

  • Réplication multi maîtres
    • Tous les DC sont en écriture
    • Plus de notion PDC/BDC
  • les rôles FSMO :
    • Contrôleur de schéma
    • Maîtres d’attribution de noms de domaine
    • Maître RID (Relative Identifier)
    • Maître d’Infrastructure
    • Émulateur PDC

Un seul dans toute la forêt

Un par domaine

installation d un dc
Installation d’un DC
  • Promotion possible à n’importe quel moment via DCpromo
  • Avec Windows 2000, lors de l’installation d’un contrôleur de domaine, une réplication complète de l’annuaire est effectuée via le réseau :
    • Augmentation des coûts de communication,
    • Mise en place de procédures d’expédition des contrôleurs pré installés.
  • Avec Windows Server 2003, DCPROMO est capable d’installer Active Directory à partir d’une sauvegarde de l’annuaire :
    • Seul le delta est répliqué via le réseau.
global catalog gc
Global Catalog (GC)
  • Le Global Catalog : contient une copie en lecture seule de tous les objets de tous les domaines mais avec un nombre réduit d’attributs.
    • Permet de localiser n’importe quel objet de façon rapide sans connaître son emplacement dans l’arborescence
    • Un changement de schéma pouvait entraîner un re-calcul du contenu du GC
      • Plus avec Windows Server 2003
relations d approbation
Relations d’approbation
  • Les relations d’approbation entre domaines Windows 2000/2003 utilisent Kerberos :
    • Implicites, transitives et bidirectionnelles.

Windows NT 4.0

Windows 2000/2003

partitionnement applicatif 1 2
Partitionnement Applicatif (1/2)
  • Plusieurs partitions de la base AD existent dès l’installation :
    • La partition de Schéma (1/forêt)
    • La partition de Configuration (1/forêt)
    • La partition de Domaine (1/Domaine)
partitionnement applicatif 2 2
Partitionnement Applicatif (2/2)
  • Avec Windows 2003, toute donnée stockée dans l’annuaire est répliquée par défaut vers tous les contrôleurs du domaine (NamingContext Domain) ou de la forêt (NC Configuration et Schema).
  • Données de DOM1
  • Données appli1
  • Données appli2
  • Données de DOM2
  • Données Appli2

DOM1

Forêt

DOM2

  • Données de DOM1
  • Données appli1
  • Données de DOM2
  • Données Appli1
  • Données
  • de DOM1
architecture physique

Site1

Site 2

Architecture physique
  • Contrôleur de domaine AD
    • Un DC appartient à un seul site AD et assure les services d’annuaire et d’authentification pour les clients de ce site.
    • Il réplique les informations de l’annuaire avec les autres DC
  • Site AD
    • Ensemble de sous réseaux IP
    • Permet à la réplication Active Directory de s’appuyer sur la topologie du réseau
r plication 1 3
Réplication (1/3)
  • Réplication intra site
    • Automatique
    • Basée sur la notification
    • Temps de réplication optimisé
  • Réplication inter site
    • Automatique ou manuelle
    • Planifiée
    • Utilisation de bande passante optimisée
    • Mode redondant de réplication pour les architectures filiales
  • Optimisation de la réplication des groupes avec un nombre de membres importants
    • Tous les contrôleurs de la forêt doivent être en version Windows Server 2003.
r plication 2 3
Réplication (2/3)
  • Réplication inter sites
    • Tolérant à la panne et simple à maintenir
    • En 2000, problème d'évolutivité pour un nombre important de sites (scénario "filiales")
    • Avec 2003, l’algorithme a été re- développé
    • Evolutivité testée jusqu’à 5000 sites
    • Possibilité de mise en œuvre un mode redondant
r plication 3 3
Réplication (3/3)
  • Le Serveur “Tête de pont” est le contrôleur de domaine chargé de la réplication avec les autres sites
    • On peut choisir une liste de serveurs “tête de pont préférés”
  • En Windows Server 2003, possibilité d’avoir plusieurs serveurs tête de pont du même domaine sur un même site(Windows)
    • Outil de Load Balancing des connexions (ADLB.exe)
slide28
Concepts et évolutions apportées par Windows Server 2003
  • Conception de l'espace de noms Active Directory
  • Planification des services
  • Les stratégies de groupes
  • Conclusion / Q&A
d finition de l espace de noms active directory
Définition de l'espace de noms Active Directory
  • Doit déboucher sur des livrables :
    • Espace de noms des domaines AD et DNS
    • Topologie d'OU
    • Topologie de sites
  • Choix de l’entreprise, donc le consensus est nécessaire
espace de noms des domaines questions pos es
Espace de noms des domainesQuestions posées
  • Combien de forêts ?
  • Combien de domaines dans chaque forêt ?
  • Comment agencer ces domaines ?
  • Comment ces domaines s'appelleront-ils ?
espace de noms des domaines combien de for ts
Espace de noms des domainesCombien de forêts ?
  • Au départ : une forêt
  • Une forêt de plus ? Il faut argumenter !
    • Nécessité de préserver des schémas distincts
    • Refus de dévoiler ma topologie de domaines
    • Désaccord sur la composition des groupes sensibles
      • Administrateurs de Schéma
      • Administrateurs de l'Entreprise
    • Souhait de conserver la maîtrise des approbations
    • Frontière de sécurité
espace de noms des domaines combien de for ts contraintes
Espace de noms des domainesCombien de forêts ? Contraintes…
  • Un domaine ne peut pas changer de forêt
  • Déplacement d'objets :
    • On sait migrer des objets d'un domaine vers un autre,
    • Mais ce n'est pas toujours une opération anodine !
  • On ne sait pas interroger le Catalogue Global d'une autre forêt ...
espace de noms des domaines combien de domaines
Espace de noms des domainesCombien de domaines ?
  • Au départ : un domaine
  • Un domaine de plus ? Il faut argumenter !
    • Délégation ne suffit pas
    • Nécessité de mettre en œuvre des stratégies spécifiques de :
      • Gestion des mots de passe,
      • Verrouillage des comptes,
      • Gestion des tickets Kerberos.
    • Soucis d'optimiser la réplication
    • Restructuration prévue, mais plus tard.
espace de noms des domaines
Espace de noms des domaines

Définition de la racine de la forêt

  • Le premier domaine créé devient la racine de la forêt.
  • Il donne son nom à la forêt.
  • Il héberge deux groupes sensibles :
    • Admins de l'entreprise,
    • Admins du Schéma.
  • Choix d'un domaine Racine :
    • A choisir parmi les domaines définis précédemment,
    • Ou à créer pour les besoins de la cause.
espace de noms des domaines1
Espace de noms des domaines

Nommage des domaines

  • Tout domaine AD est repéré par un nom DNS.
  • Domaines AD vs Domaines DNS
    • Domaine AD  Organisation logique des objets AD,
    • Domaine DNS Localiser des hôtes et des services.
  • Nom du domaine racine :
    • Détermine l'espace de nom de tout l'arbre,
    • Ne peut pas être modifié de façon simple,
    • Doit permettre d'intégrer de façon harmonieuse toutes les entités présentes et à venir de l'arbre.
espace de noms des domaines2
Espace de noms des domaines

Règles denommage

  • Affecter un nom à chaque domaine, en partant de la racine de chaque arbre.
  • Ne pas s'écarter des "standards"
    • RFC 1123 : A  Z ; 0  9 ; -
    • Eviter Unicode,
    • Utiliser des noms DNS enregistrés
      • ".local" a été abandonné.
  • Préférer les noms courts
espace de noms des domaines3
Espace de noms des domaines

Espaces de noms privés et publics

  • Quel nom pour la Racine ?
    • afpi.fr ?
    • Assosiationdeformationprofessionnel.fr ?
  • Eviter les recouvrements :
    • En choisissant des noms différents,
    • En choisissant un sous domaine du domaine public
topologie d ou

OU

OU

OU

Topologie d'OU

Rôles des unités organisationnelles

  • Les OU peuvent servir à :
    • Organiser les objets,
    • Ne pas tout montrer à tout le monde,
    • Définir des périmètres de délégation,
    • Définir des périmètres d'application pour les GPO.
  • Une OU contient des objets et pas des références à des objets.
topologie d ou1
Topologie d'OU

Consignes de conception

  • Hiérarchie définie en fonction :
    • Des emplacements,
    • De l'organisation,
    • Des postes.
  • Hiérarchie hybride définie en fonction :
    • Des emplacements, puis de l'organisation,
    • De l'organisation, puis des emplacements.
topologie d ou2
Topologie d'OU
  • Les OU sont faites pour faciliter la vie des administrateurs, pas celle des utilisateurs.
  • Penser en termes d'organisation administrative :
    • Qui gère quoi ?
    • Qui décide de qui gère quoi ?
  • Préférer les arbres larges plutôt que profonds.
  • Affiner la topologie plus tard reste possible :
    • Facile à créer, déplacer, supprimer, renommer,
    • Point délicat : évaluer les conséquences de l'application des stratégies de groupes (GPOs).
topologie d ou3
Topologie d'OU

Notion de site Active Directory

  • Qu'est-ce qu'un site ?
    • Ensemble de machines "communicantes« ,
    • Défini comme un agrégat de subnets IP,
    • Suppose un subnetting géographique.
  • Qui utilise les sites ?
    • Station  localiser un DC proche.
    • Utilisateur  localiser une imprimante proche.
topologie d ou4
Topologie d'OU

Définition d’une topologie de réplication

Qui réplique avec qui ?

  • Tout automatique
  • Semi-automatique :
    • Créer manuellement quelques connexions,
    • Ajouter des liens de site,
    • Désigner des têtes de pont.
  • Tout manuel :
    • Créer toutes les connexions manuellement,
topologie d ou5
Topologie d'OU

Réplication inter sites et intra sites

La réplication Intra site passe à 15 s de fréquence en mode de domaine Windows 2003

topologie d ou6
Topologie d'OU

Quelques règles simples

  • Dans le cas de Windows 2003, sur chaque site, prévoir :
    • Un Global Catalog Server
      • De préférence tête de pont,
    • Du DNS qui marche !
  • Eviter de créer des sites sans DC.
  • Toute correction reste possible :
    • Créer/Supprimer des sous réseaux,
    • Ajouter/Supprimer des sites et des liens de site,
    • Affecter des serveurs à des sites,

Surveiller le journal "Active Directory" !

slide45
Concepts et évolutions apportées par Windows Server 2003
  • Conception de l'espace de noms Active Directory
  • Planification des services
  • Les stratégies de groupes
  • Conclusion / Q&A
planifier les services
Planifier les services

DNS et Active Directory

  • Active Directory a besoin de DNS pour :
    • Résoudre des noms d'hôtes,
    • Localiser des services :
      • Serveurs ldap (DC),
      • Serveur de Catalogue Global.
    • supporter Active Directory
planifier les services1
Planifier les services

Planifier DHCP et WINS

  • Pour que les clients Windows 2000 résolvent les noms des clients pré-Windows 2000 :
    • Activer le forwarding WINS pour la zone AD,
    • ou Activer le DHCP pour que les clients pré-Windows 2000 s'enregistrent dans DNS.
  • Pour que les clients pré-Windows 2000 résolvent les noms des clients Windows 2000 :
    • Leur attribuer l'adresse du serveur DNS via DHCP.
agenda
Agenda
  • Concepts et évolutions apportées par Windows Server 2003
  • Conception de l'espace de noms Active Directory
  • Planification des services
  • Les stratégies de groupes
  • Conclusion / Q&A
concepts et fonctionnement

1

Local

Site

2

Domain

3

OU

4

Concepts et Fonctionnement
  • Le positionnement de la machine ou de l’utilisateur dans Active Directory détermine les stratégies de groupe (GPO) qui seront appliquées
  • Les GPO sont appliquées au logon(utilisateur) ou au redémarrage (station) et rafraîchies régulièrement.
application des strat gies

GPO’s

A1

Domaine

A

A2

A3

Site

A1

A2

A4

A5

OU’s

Les GPO ne sont pas héritées entre domaines

GPO’s

B

Domaine

B1

Lent

B1

B2

B2

OU’s

B3

Application des stratégies
  • Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines
  • Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines.
  • Les GPOs sont par domaine.
  • Plusieurs GPO peuvent être associées avec un unique OU.
  • Plusieurs OU peuvent utiliser une GPO unique.
  • Tout OU peut être associé à toute GPO, y compris entre domaines (lenteur).
  • L’application d’une GPO peut être filtrée au moyen de groupes de sécurité (ACLs).
  • Les GPOs sont par domaine
  • Plusieurs GPO peuvent être associées avec un unique SDOU
  • Plusieurs SDOU peuvent utiliser une unique GPO
  • Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur)
  • L’application d’une GPO peut être filtré au moyen de groupes de sécurité (ACLs)
mise en oeuvre des strat gies de groupe
Mise en oeuvre des stratégies de groupe
  • La plupart des GPO ont 3 états
    • Activé
    • Désactivé
    • Non configuré
  • Les GPOs ont 2 “noeuds” de configuration (sections)
    • Utilisateur
    • Machine

PS: Les paramètres “Machines” priment sur ceux “Utilisateur”

  • Pour recevoir une GPO, le compte machine ou utilisateur :
    • Doit être dans le S-D-OU qui a un lien vers la GPO,
    • Doit avoir la permission “Lire et appliquer les stratégies de groupe (Read and Apply Group Policy)” sur la GPO.
  • Prise en charge par les systèmes Windows 2000, Windows 2003 et Windows XP
traitements des strat gies de groupes 1 2
Traitements des stratégies de groupes (1/2)
  • L’ordre d’application va dicter la résolution des conflits de paramétrage
    • Conflits possibles entre les paramétrages Activé et Désactivé
    • Pas de conflit avec le paramétrage Non configuré
    • La dernière GPO traitée impose ses paramètres en cas de conflits
traitements des strat gies de groupes 2 2
Traitements des stratégies de groupes (2/2)
  • Filtrer l’étendue d’une stratégie de groupe
    • Permission par défaut sur les GPOs – Utilisateurs authentifiés
      • Read and Apply Group Policy
    • Supprimer Utilisateurs authentifiés
    • Créer des groupes de sécurité basés sur les paramétrages de l’objet stratégie de groupe
    • Accorder des permissions aux groupes adéquats
  • Filtrage de sécurité vs. OUs
    • Les deux approches permettent de contrôler l’étendue d’application d’une GPO
    • Ne pas mixer les deux approches
d ploiement d applications
Déploiement d’applications
  • Publication (optionnelle)
    • Application «proposée» à l’utilisateur, disponible dans Ajout/Suppression de Programmes,
    • Installation automatique si nécessaire.
  • Assignation (obligatoire)
    • Création des icônes et raccourcis,
    • Installation à la première invocation.
d l guer l administration
Déléguer l’administration
  • Déléguer l’administration des stratégies de groupe
    • Liaisons SDOU
    • Modification GPO
    • Création GPO
les extensions apport es par windows 2003
Les extensions apportées par Windows 2003
  • Nouveaux outils
    • GPUpdate
    • GPResult
    • Jeux résultant de stratégie (RSoP)
      • Mode journalisation uniquement
    • Centre d’aide et de support
      • Informations système détaillées - Stratégie
      • Rapport sur les paramètres appliqués
  • Également disponible sous Windows XP
les apports de windows server 2003
Les apports de Windows Server 2003

Filtres WMI

  • Alternative au filtrage par les permissions,
  • Application du GPO basée sur :
    • Le système d’exploitation,
    • Des pré requis matériels,
    • Les logiciels installés,
    • Toute information fournie par WMI.
  • Utilise WQL (WMI Query Language).
filtres wmi
Filtres WMI

Compatibilité

  • Clients
    • Windows XP Pro et au-delà.
  • L’annuaire Active Directory doit être configuré (modification de schéma) pour être conforme avec Windows Server 2003
    • MAJ du schéma pour la forêt : ADPrep.exe /ForestPrep,
    • MAJ de la configuration du domaine : ADprep.exe /DomainPrep,
    • Les DCs peuvent encore être sous Windows 2000.
les apports de windows server 20031
Les apports de Windows Server 2003

Console de gestion des stratégies de groupe

  • Réduit
    • Le nb d’outils,
    • La complexité.
  • Améliore
    • La clarté,
    • La flexibilité.
console de gestion des strat gies de groupe
Console de gestion des stratégies de groupe

Tâches et outils

  • La mise en oeuvre des stratégies de groupe peut être complexe
    • Stratégie par défaut assez simple,
    • Le blocage d’héritage, “Ne pas passer outre”, le filtrage par permissions, le filtrage WMI, la délégation de droits peuvent rendre les stratégies de groupe difficiles à gérer.
  • Plusieurs outils
    • Utilisateurs et Ordinateurs Active Directory (Dsa.msc),
    • Sites et Services Active Directory (Dssite.msc),
    • etc…
console de gestion des strat gies de groupe1
Console de gestion des stratégies de groupe

Consolidation

  • La console de gestion des stratégies de groupe
    • Consolide des fonctions de différents outils,
    • Fournit une vision claire de l’organisation des stratégies de groupe,
    • Permet de clarifier les relations entre GPOs et SDOUs,
    • Regroupe les tâches possibles concernant les stratégies de groupe de façon logique.
  • La console de gestion des stratégies de groupe introduit les services suivants :
    • Sauvegarde / Restauration,
    • copie, import.
mise en oeuvre des strat gies de groupes
Mise en oeuvre des stratégies de groupes

Préparation

  • Domaine de préparation
    • Permet le test des stratégies de groupe
    • Copie des GPOs entre domaines d’une même forêt
    • Sauvegarde et import entre domaines de forêts différentes
    • L’import nécessite que la GPO cible existe déjà
  • Tables de migration
    • Mise en correspondance des valeurs “hard codées” (chemins d’accès, identités de sécurité) du domaine de préparation avec celles du domaine de production
    • Ex : modification des chemins d’accès pour le déploiement d’applications
les apports de windows server 20032
Les apports de Windows Server 2003

Planification des stratégies

  • Windows XP
    • Journalisation des stratégies,
    • Rapport sur les paramètres issus de l’application des stratégies sur un poste.
  • Windows Server 2003
    • Planification des stratégies,
    • Rapport sur l’application des stratégies suivant le positionnement de l’objet utilisateur et ordinateur dans Active Directory.
    • Nécessite un DC sous Windows Serveur 2003.
    • Permet de définir de nombreux scénarios :
      • Appartenance à un groupe de sécurité, positionnement des objets machine et utilisateur dans des OUs, application de filtres WMI.
les apports de windows server 20033
Les apports de Windows Server 2003

Utilisation de scripts

  • Interfaces de scripting de la console de gestion des stratégies de groupe
    • Automatise des tâches de gestion des stratégies,
    • Permet la création d’outils de gestion,
    • Ne permet pas d’automatiser des modification des GPOs.
planifier les strat gies de groupe
Planifier les stratégies de groupe

Bonnes pratiques

  • Limiter le nombre de stratégies de groupe traitées lors de la connexion d’un utilisateur,
  • Isoler les paramétrages dans différentes GPOs,
  • Désactiver les “noeuds” non utilisés (utilisateur/ordinateur),
  • Limiter les conflits de paramétrages (utilisateur/ordinateur),
  • Utiliser la console de gestion des stratégies de groupe.
mise en oeuvre des strat gies de groupes1
Mise en oeuvre des stratégies de groupes

Bonnes pratiques

  • Éviter les liens de GPOs entre domaines,
  • Lier les GPOs à des OUs, non à des sites,
  • Limiter les moyens de contrôle de l’étendue d’une GPO
    • OU, filtrage par permission, filtre WMI
  • Pour le filtrage par permission, utiliser l’approche de tout interdire par défaut,
  • Ne pas trop modifier l’héritage des GPOs.
conclusion
Conclusion
  • Les choix lors de la conception d’un annuaire Active Directory sont fondamentaux
  • Windows Server 2003 apporte plus de souplesse :
    • Pour le déploiement,
    • Pour l’administration.
  • Les stratégies de groupe sont un moyen puissant de contrôler un environnement Windows.
  • Windows Server 2003 ne modifie pas fondamentalement les stratégies de groupe, mais apporte :
    • Les filtres WMI,
    • La console de gestion des stratégies de groupe.
slide69
TP
  • Mise en œuvre de l’architecture de votre réseau
  • Création / Test de stratégie « simple »
  • Mise en œuvre de profils itinérants
  • Utilisation de GPMC
  • Utilisation de Adminpak
  • Création de package MSI et installation planifiée
  • NTDSUTIL
  • Sauvegarde, réstauration AD