Directory
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Directory as PDF for free.
More details
- Words: 1,644
- Pages: 111
ACTIVE DIRECTORY LES SERVISES
Définition du terme DHCP
Fonctionnement du protocole DHCP
Installation du dhcp
configuration
Déclaration de l'étendue
Console DHCP: Pool d'adresses
Volet des
étendues
Baux DHCP
Présentation de DNS Le Fichier de zone Le fichier de zone est le fichier qui stocke la correspondance Nom/Adresses IP(et vice versa) des machines appartenant au réseau de la zone correspondante. type de recherche Zone de recherche directe zone de recherche inverse Sous Windows 2000, il existe 3 types de zones Zone principale standard Zone secondaire standard Zone intégrée Active directory
Processus de transfert de zontransfert de zone Les transferts de zones sont toujours lancés sur le serveur secondaire d'une zone et envoyés aux serveurs maîtres configurés qui jouent le rôle de source pour la zone Comme le montre le graphique qui suit, les transferts de zones entre les serveurs sont réalisés selon un processus bien précis. Ce processus peut varier selon qu'une zone a été antérieurement répliquée ou qu'une réplication initiale d'une nouvelle zone est
Installation d'un serveur DNS sous Windows 2000 Serveur Deux possibilités pour cette fonctionnalité. La première, si vous êtes en cours d'installation d'un Windows 2000 Serveur, par l'intermédiaire de la configuration du serveur que vous pouvez trouver dans bouton Démarrer -> Programmes -> Outils d'administration -> Configurer votre serveur.
Configuration d'un DNS sous Windows 2000 Serveur
Intégration des espaces de noms DNS et Active Directory
Les infrastructures Windows 2000/2003 intègrent le système DNS (Domain Name Service) et le service d’annuaire Active Directory.
Le rôle du Système DNS dans Active Directory Le système DNS fournit les principales fonctions ci-dessous sur un réseau exécutant Active Directory :
•
Résolution de noms
•
Localisation des composants physiques d’Active Directory
Les zones DNS intégrées à Active Directory sont intéressantes puisqu'elles permettent de renforcer la sécurité du processus de résolution de noms de diverses manières : Les zones intégrées à Active Directory peuvent être dupliquées sur tous les contrôleurs de domaine.
Cela permet d'assurer la tolérance de panne, puisque si un contrôleur de domaine connaît une défaillance, alors la résolution de noms sera toujours assurée. L'intégration à Active Directory sécurise les transactions entres les serveurs DNS. En effet, les zones DNS intégrées au service d'annuaire utilisent le mécanisme de réplication des serveurs DNS utilisant des zones standard.
l’Infrastructure Active Directory l’Infrastructure Active Directory
Définition d’Active Directory Objets Active Directory
Schéma Active Directory
Le schéma Active Directory stocke la définition de tous les objets d’Active Directory (ex : nom, prénom pour l’objet utilisateur). Le schéma comprend deux types de définitions : • Les classes d’objets : Décrit les objets d’Active Directory qu’il est possible de créer. Chaque classe est un regroupement d’attributs. • Les attributs : Ils sont définis une seul fois et peuvent être utilisés dans plusieurs
Catalogue global GC
Trouver des informations Active Directory sur toutes la forêt, quel que soit l’emplacement des ces données. Utiliser des informations d’appartenance à des groupes universels pour ouvrir une session sur le réseau. L’importance du catalogue global dans le processus d’authentification
Protocole LDAP (Lightweight Directory Access Protocol) Chaque objet de l’annuaire est identifié par une série de composants qui constituent son chemin d’accès LDAP au sein d’Active Directory (CN=Loïc THOBOIS, OU=Direction, DC=labo-microsoft, DC=lan). DC : Composant de domaine (lan, com, labo-microsoft, …) OU : Unité d’organisation (contient des objets) CN : Nom usuel ou nom commun(Nom de l’objet)
Structure logique d’Active Directory
La structure logique d’Active Directory offre une méthode efficace pour concevoir une hiérarchie. Les Domaines Les Unités d’organisation Les Arborescences Le premier domaine installé est le domaine racine de la forêt. Au fur et à mesure que des domaines lui sont ajoutés, cela forme la structure de l’arborescence ou la structure de la forêt, selon les exigences pour les noms de domaine.
Les relations d’approbation
Les relations d’approbations permettent à un utilisateur d’un domaine donné d’accéder aux ressources de son domaine, maisaussi d’autres domaines (les domaines approuvés). Lesrelations d’approbations se différencient de par leur type(transitif ou non transitif) et de par leur direction (unidirectionnel entrant, unidirectionnel
La relation d’approbation bidirectionnel
Transitivité de l’approbation On dispose de trois domaines nommés A, B et C. A approuve B et B approuve C. La relation d’approbation transitive implique donc que A approuve C. Si les deux relations d’approbations de A à B et de B à C sont transitives, alors le domaine A approuve indirectement le domaine C. Dans ce cas de figure un utilisateur du domaine A peut accéder à toutes les ressources du domaine A, du domaine B et du domaine C.
Les forêts
Par défaut, les relations entre les arborescences ou les domaines au sein d’une forêt sont des relations d’approbation bidirectionnelles
Les rôles de maîtres d’opération les modifications d’Active Directory peuvent être faîtes sur n’importe quel contrôleur de domaine. Cependant, il existe des exceptions pour lesquelles les modifications sont réalisées sur un contrôleur de domaine spécifiques. Ces exceptions sont nommées rôles de maître d’opération et sont au nombre de cinq
Contrôleur de schéma C’est le seul contrôleur de domaine habilité à modifier et à mettre à jour le schéma. Il duplique les modifications aux autres contrôleurs de domaine
Maître d’attribution des noms de domaine Il permet d’ajouter ou de supprimer un domaine dans une forêt.
Émulateur PDC
Ce rôle a été créé principalement dans un souci de permettre une compatibilité avec les versions antérieures de Windows 2000. Il ajoute la compatibilité avec les. Il gère également le processus de verrouillage des comptes utilisateurs, les changements de mots de passe et toutes les modifications faites sur des objets de stratégie de groupe.
Maître d’identificateur relatif ou maître RID Il distribue des plages d’identificateurs relatifs (RID) à tous les contrôleurs de domaine afin de générer les identificateurs de sécurité (SID). Pour qu’il ne puisse y avoir deux DC qui assignent le même SID à deux objets différents, le maître RID distribue une plage de RID à chacun des DC. Lorsque la plage de RID a été utilisée, le DC demande une nouvelle plage de RID au maître RID.
Maître d’infrastructure Il permet de mettre à jour les éventuelles références d’un objet dans les autres domaines lorsque cet objet est modifié (déplacement, suppression,…). Par défaut le premier contrôleur de domaine d’une nouvelle forêt cumule les cinq rôles.
Structure Physique d’Active Directory permet d’optimiser les échanges d’informations entre les différents contrôleurs de domaine et ce en fonction des débits assurés par les réseaux qui les connectent
Contrôleurs de domaine Server qui stocke un répliqua de l’annuaire Il assure la propagation des modifications faites sur l’annuaire. Il assure l’authentification et l’ouverture des sessions des utilisateurs, ainsi que les recherches dans l’annuaire.
Sites et liens de sites Un site est une combinaison d’un ou plusieurs sous réseaux connectés entre eux par une liaison
Protocoles de réplication Les ordinateurs emploient des protocoles de réplication pour transmettre leurs mises à jour d’Active Directory. Le protocole RPC (encore appelé RPC sur IP) est employé lors de la duplication intrasite. Ce dernier assure une connexion fiable et à grande vitesse. Dans le cas de la duplication intersites, il est possible de paramétrer le protocole employé, à savoir RPC ou SMTP (Simple Mail Transfer Protocol).En général, on utilisera RPC pour la réplication intersite
La réplication Active Directory peut utiliser deux protocoles différents : RPC (Remote Procedure Call) pour les liaisons intra-site et intersites (ce protocole est aussi appelé RPC sur IP) est un protocole permettant de faire des appels de procédures sur un ordinateur distant à l'aide d'un serveur d'application. Ce protocole est utilisé dans le modèle client-serveur et permet de gérer les différents messages entre ces entités.
SMTP (Simple Mail Transfer Protocol) pour les liaisons inter site SMTP utiliser entre deux sites pour répliquer la partition de configuration, la partition de schéma et les partitions de domaines partielles stockées sur les serveurs de catalogue global
Le pré requis pour installer Active Directory
la configuration requise pour pouvoir installer Active Directory : Un ordinateur exécutant Windows 2000 Standard Edition, Enterprise Edition ou Datacenter Edition 250 Mo d’espace libre sur une partition ou un volume NTFS Les paramètres TCP/IP configuré pour joindre un serveur DNS Un serveur DNS faisant autorité pour gérer les ressources SRV
Le processus d’installation d’Active Directory
Début de l'installation d'Active Directory Service
Choix du type de contrôleur
Choix du type d'arborescence créée
création d'une nouvelle forêt
Choix du nom du domaine créé
Choix du nom du domaine NetBIOS
le chemin de la base de données
Emplacements de stockage des informations
Sysvol (System Volume) est un répertoire partagé qui stocke la copie serveur des fichiers publics d'un domaine qui sont partagés pour un accès et une réplication dans tout le domaine. Sur un contrôleur de domaine, le dossier Sysvol comprend les éléments suivants : •Partages Ouverture de session réseau. Ceux-ci hébergent généralement les scripts d'ouverture de session et les objets Stratégie pour les ordinateurs clients du réseau. •Scripts d'ouverture de session pour les domaines où l'administrateur utilise Utilisateurs et ordinateurs Active Directory.•Stratégie de groupe Windows.
Alerte relative à l'absence d'un serveur DNS pour ce domaine
Demande de l'installation du service DNS
Toujours pour compatibilité avec les anciennes versions de Windows
Définition du mot de passe administrateur
Résumé de l'installation demandée
Début de l'installation
Installation en cours
Fin d'installation
Utilisation de la commande « net share » Pour vérifier la mise en place des partages nécessaires à la réplication entre contrôleurs de domaines
Comptes utilisateurs Utilisateurs de domaines Utilisateurs locaux
Outils Gestion de l’ordinateur pour la création des comptes d’utilisateurs et de groupes locaux
.
Utilisateurs prédéfinis -administrateur -Invité
Configuration d'un compte utilisateur Compte d’utilisateur de domaine Conventions de noms
Options de compte Heure de disponibilité 1-Expiration de compte
Options de compte
.
Profils
Profil par défaut et Profil Utilisateur
Profils d'utilisateurs Configuration d'un profil d'utilisateur
Création d'un profil personnalisé
Dossier de base
Définition du terme DHCP
Fonctionnement du protocole DHCP
Installation du dhcp
configuration
Déclaration de l'étendue
Console DHCP: Pool d'adresses
Volet des
étendues
Baux DHCP
Présentation de DNS Le Fichier de zone Le fichier de zone est le fichier qui stocke la correspondance Nom/Adresses IP(et vice versa) des machines appartenant au réseau de la zone correspondante. type de recherche Zone de recherche directe zone de recherche inverse Sous Windows 2000, il existe 3 types de zones Zone principale standard Zone secondaire standard Zone intégrée Active directory
Processus de transfert de zontransfert de zone Les transferts de zones sont toujours lancés sur le serveur secondaire d'une zone et envoyés aux serveurs maîtres configurés qui jouent le rôle de source pour la zone Comme le montre le graphique qui suit, les transferts de zones entre les serveurs sont réalisés selon un processus bien précis. Ce processus peut varier selon qu'une zone a été antérieurement répliquée ou qu'une réplication initiale d'une nouvelle zone est
Installation d'un serveur DNS sous Windows 2000 Serveur Deux possibilités pour cette fonctionnalité. La première, si vous êtes en cours d'installation d'un Windows 2000 Serveur, par l'intermédiaire de la configuration du serveur que vous pouvez trouver dans bouton Démarrer -> Programmes -> Outils d'administration -> Configurer votre serveur.
Configuration d'un DNS sous Windows 2000 Serveur
Intégration des espaces de noms DNS et Active Directory
Les infrastructures Windows 2000/2003 intègrent le système DNS (Domain Name Service) et le service d’annuaire Active Directory.
Le rôle du Système DNS dans Active Directory Le système DNS fournit les principales fonctions ci-dessous sur un réseau exécutant Active Directory :
•
Résolution de noms
•
Localisation des composants physiques d’Active Directory
Les zones DNS intégrées à Active Directory sont intéressantes puisqu'elles permettent de renforcer la sécurité du processus de résolution de noms de diverses manières : Les zones intégrées à Active Directory peuvent être dupliquées sur tous les contrôleurs de domaine.
Cela permet d'assurer la tolérance de panne, puisque si un contrôleur de domaine connaît une défaillance, alors la résolution de noms sera toujours assurée. L'intégration à Active Directory sécurise les transactions entres les serveurs DNS. En effet, les zones DNS intégrées au service d'annuaire utilisent le mécanisme de réplication des serveurs DNS utilisant des zones standard.
l’Infrastructure Active Directory l’Infrastructure Active Directory
Définition d’Active Directory Objets Active Directory
Schéma Active Directory
Le schéma Active Directory stocke la définition de tous les objets d’Active Directory (ex : nom, prénom pour l’objet utilisateur). Le schéma comprend deux types de définitions : • Les classes d’objets : Décrit les objets d’Active Directory qu’il est possible de créer. Chaque classe est un regroupement d’attributs. • Les attributs : Ils sont définis une seul fois et peuvent être utilisés dans plusieurs
Catalogue global GC
Trouver des informations Active Directory sur toutes la forêt, quel que soit l’emplacement des ces données. Utiliser des informations d’appartenance à des groupes universels pour ouvrir une session sur le réseau. L’importance du catalogue global dans le processus d’authentification
Protocole LDAP (Lightweight Directory Access Protocol) Chaque objet de l’annuaire est identifié par une série de composants qui constituent son chemin d’accès LDAP au sein d’Active Directory (CN=Loïc THOBOIS, OU=Direction, DC=labo-microsoft, DC=lan). DC : Composant de domaine (lan, com, labo-microsoft, …) OU : Unité d’organisation (contient des objets) CN : Nom usuel ou nom commun(Nom de l’objet)
Structure logique d’Active Directory
La structure logique d’Active Directory offre une méthode efficace pour concevoir une hiérarchie. Les Domaines Les Unités d’organisation Les Arborescences Le premier domaine installé est le domaine racine de la forêt. Au fur et à mesure que des domaines lui sont ajoutés, cela forme la structure de l’arborescence ou la structure de la forêt, selon les exigences pour les noms de domaine.
Les relations d’approbation
Les relations d’approbations permettent à un utilisateur d’un domaine donné d’accéder aux ressources de son domaine, maisaussi d’autres domaines (les domaines approuvés). Lesrelations d’approbations se différencient de par leur type(transitif ou non transitif) et de par leur direction (unidirectionnel entrant, unidirectionnel
La relation d’approbation bidirectionnel
Transitivité de l’approbation On dispose de trois domaines nommés A, B et C. A approuve B et B approuve C. La relation d’approbation transitive implique donc que A approuve C. Si les deux relations d’approbations de A à B et de B à C sont transitives, alors le domaine A approuve indirectement le domaine C. Dans ce cas de figure un utilisateur du domaine A peut accéder à toutes les ressources du domaine A, du domaine B et du domaine C.
Les forêts
Par défaut, les relations entre les arborescences ou les domaines au sein d’une forêt sont des relations d’approbation bidirectionnelles
Les rôles de maîtres d’opération les modifications d’Active Directory peuvent être faîtes sur n’importe quel contrôleur de domaine. Cependant, il existe des exceptions pour lesquelles les modifications sont réalisées sur un contrôleur de domaine spécifiques. Ces exceptions sont nommées rôles de maître d’opération et sont au nombre de cinq
Contrôleur de schéma C’est le seul contrôleur de domaine habilité à modifier et à mettre à jour le schéma. Il duplique les modifications aux autres contrôleurs de domaine
Maître d’attribution des noms de domaine Il permet d’ajouter ou de supprimer un domaine dans une forêt.
Émulateur PDC
Ce rôle a été créé principalement dans un souci de permettre une compatibilité avec les versions antérieures de Windows 2000. Il ajoute la compatibilité avec les. Il gère également le processus de verrouillage des comptes utilisateurs, les changements de mots de passe et toutes les modifications faites sur des objets de stratégie de groupe.
Maître d’identificateur relatif ou maître RID Il distribue des plages d’identificateurs relatifs (RID) à tous les contrôleurs de domaine afin de générer les identificateurs de sécurité (SID). Pour qu’il ne puisse y avoir deux DC qui assignent le même SID à deux objets différents, le maître RID distribue une plage de RID à chacun des DC. Lorsque la plage de RID a été utilisée, le DC demande une nouvelle plage de RID au maître RID.
Maître d’infrastructure Il permet de mettre à jour les éventuelles références d’un objet dans les autres domaines lorsque cet objet est modifié (déplacement, suppression,…). Par défaut le premier contrôleur de domaine d’une nouvelle forêt cumule les cinq rôles.
Structure Physique d’Active Directory permet d’optimiser les échanges d’informations entre les différents contrôleurs de domaine et ce en fonction des débits assurés par les réseaux qui les connectent
Contrôleurs de domaine Server qui stocke un répliqua de l’annuaire Il assure la propagation des modifications faites sur l’annuaire. Il assure l’authentification et l’ouverture des sessions des utilisateurs, ainsi que les recherches dans l’annuaire.
Sites et liens de sites Un site est une combinaison d’un ou plusieurs sous réseaux connectés entre eux par une liaison
Protocoles de réplication Les ordinateurs emploient des protocoles de réplication pour transmettre leurs mises à jour d’Active Directory. Le protocole RPC (encore appelé RPC sur IP) est employé lors de la duplication intrasite. Ce dernier assure une connexion fiable et à grande vitesse. Dans le cas de la duplication intersites, il est possible de paramétrer le protocole employé, à savoir RPC ou SMTP (Simple Mail Transfer Protocol).En général, on utilisera RPC pour la réplication intersite
La réplication Active Directory peut utiliser deux protocoles différents : RPC (Remote Procedure Call) pour les liaisons intra-site et intersites (ce protocole est aussi appelé RPC sur IP) est un protocole permettant de faire des appels de procédures sur un ordinateur distant à l'aide d'un serveur d'application. Ce protocole est utilisé dans le modèle client-serveur et permet de gérer les différents messages entre ces entités.
SMTP (Simple Mail Transfer Protocol) pour les liaisons inter site SMTP utiliser entre deux sites pour répliquer la partition de configuration, la partition de schéma et les partitions de domaines partielles stockées sur les serveurs de catalogue global
Le pré requis pour installer Active Directory
la configuration requise pour pouvoir installer Active Directory : Un ordinateur exécutant Windows 2000 Standard Edition, Enterprise Edition ou Datacenter Edition 250 Mo d’espace libre sur une partition ou un volume NTFS Les paramètres TCP/IP configuré pour joindre un serveur DNS Un serveur DNS faisant autorité pour gérer les ressources SRV
Le processus d’installation d’Active Directory
Début de l'installation d'Active Directory Service
Choix du type de contrôleur
Choix du type d'arborescence créée
création d'une nouvelle forêt
Choix du nom du domaine créé
Choix du nom du domaine NetBIOS
le chemin de la base de données
Emplacements de stockage des informations
Sysvol (System Volume) est un répertoire partagé qui stocke la copie serveur des fichiers publics d'un domaine qui sont partagés pour un accès et une réplication dans tout le domaine. Sur un contrôleur de domaine, le dossier Sysvol comprend les éléments suivants : •Partages Ouverture de session réseau. Ceux-ci hébergent généralement les scripts d'ouverture de session et les objets Stratégie pour les ordinateurs clients du réseau. •Scripts d'ouverture de session pour les domaines où l'administrateur utilise Utilisateurs et ordinateurs Active Directory.•Stratégie de groupe Windows.
Alerte relative à l'absence d'un serveur DNS pour ce domaine
Demande de l'installation du service DNS
Toujours pour compatibilité avec les anciennes versions de Windows
Définition du mot de passe administrateur
Résumé de l'installation demandée
Début de l'installation
Installation en cours
Fin d'installation
Utilisation de la commande « net share » Pour vérifier la mise en place des partages nécessaires à la réplication entre contrôleurs de domaines
Comptes utilisateurs Utilisateurs de domaines Utilisateurs locaux
Outils Gestion de l’ordinateur pour la création des comptes d’utilisateurs et de groupes locaux
.
Utilisateurs prédéfinis -administrateur -Invité
Configuration d'un compte utilisateur Compte d’utilisateur de domaine Conventions de noms
Options de compte Heure de disponibilité 1-Expiration de compte
Options de compte
.
Profils
Profil par défaut et Profil Utilisateur
Profils d'utilisateurs Configuration d'un profil d'utilisateur
Création d'un profil personnalisé
Dossier de base
Related Documents
Directory
April 2020 31
Directory
May 2020 27
Directory
April 2020 24
Directory
November 2019 34
Directory
June 2020 17
Directory
April 2020 26More Documents from ""
