Bienvenue Sponsor Officiel. Quest ce que TechNet ? Un site Web très orienté technique –

Bienvenue

Sponsor Officiel

Qu’est ce que TechNet ?• Un site Web très orienté technique

– http://www.microsoft.com/france/technet/default.mspx

• Une newsletter personnalisable– http://www.microsoft.com/france/technet/presentation/flash/default.mspx

• Des séminaires techniques toute l’année, partout en France– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx

• Des Webcasts accessibles à tout instant– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx

• Un abonnement– http://www.microsoft.com/france/technet/presentation/cd/default.mspx

http://www.microsoft.com/france/technet/default.mspx

http://www.microsoft.com/france/technet/presentation/flash/default.mspx

http://www.microsoft.com/france/technet/seminaires/seminaires.mspx

http://www.microsoft.com/france/technet/seminaires/webcasts.mspx

http://www.microsoft.com/france/technet/presentation/cd/default.mspx

Conception d'une architecture Active Directory

pour Windows Server 2003 Animateur

Logistique

Pause en milieu de session

Vos questions sont les bienvenues.N’hésitez pas !

Feuille d’évaluation à remettre remplie en fin de session

Cédérom

Commodités Merci d’éteindre vos téléphones

Agenda

• Concepts et évolutions apportées par Windows Server 2003

• Conception de l'espace de noms Active Directory

• Planification des services• Les stratégies de groupes• Conclusion / Q&A

Annuaire et Schéma

• Un annuaire est un emplacement de stockage utilisé comme référentiel

• L’annuaire aura un taux de lectures/écritures très élevé.

• Un annuaire est un espace de stockage hiérarchique (non relationnel)

• Tout élément de l’annuaire est un objet doté d’attributs– Ex : l’objet de type Utilisateur possède un attribut Numéro de

téléphone

• Les définitions des classes d’objets et des attributs sont accessibles via le schéma

• Stockage (distribué) de données identifiant les ressources présentes dans le système informatique – Ex : utilisateur, ordinateur, groupe, domaine, application,

imprimante, stratégie…

• Protocoles pour accéder et manipuler les données :– Domain Name System (DNS)– Lightweight Directory Access Protocol (LDAP)

• Utilisation :– Source d’information globale pour l’entreprise– Objet utilisateur défini à partir de la classe d’objets

InetOrgPerson (Informational RFC 2798).

Annuaire «Active Directory»

• Administrabilité– Intégration des stratégies de configuration des postes

et des utilisateurs, délégation d’administration, automatisation via scripting (WSH).

• Modularité– Hiérarchie de domaines et d’OU.

• Scalabilité– Réduction du nombre de domaines.

• Interopérabilité– Utilisation des standards DNS, LDAP, KERBEROS.

• Extensibilité– Richesse et modification du schéma.

Bénéfices d’Active Directory

Active Directory vs base SAM

SAM de MS Windows NTcontient :

• Comptes utilisateurs• Groupes globaux• Groupes locaux• Comptes spéciaux• Stratégies de comptes• Stratégies d'audit• Stratégies des droits

utilisateur• 40 Mo maxi recommandé

Active Directoryla même chose, plus :

• Contacts• Groupes de distribution• Groupes Universels• Groupes locaux de domaine• Unité d’organisation (OU)• Dossiers publiés• Imprimantes publiées• Stratégie de groupe (GPO)• Eléments de configuration de

services (DNS, RPC, DFS)• Accès par des protocoles

standard (LDAP, DNS)• Peut contenir des millions

d'objets

Schéma «Active Directory»

purgedelete

activate

deactivate

Active Defunct Tomb-stone

Purged

• Utilisation– Extensibilité (dynamiquement éditable)

• Ajout de nouvelles classes d’objets

• Ajout de nouveaux attributs à des classes d’objets existantes

– Interopérabilité– Pas de suppression possible sous Windows 2000– Désactivation avec possibilité de réutiliser la classe ou

les attributs désactivés– Utilisation de la classe inetOrgPerson pour l’ouverture

de session des utilisateurs (meilleure interopérabilité avec les autres annuaires)

Extension du schéma

• Nécessaire pour certains applicatifs– Exchange 2000, Exchange 2003– ISA Server 2000 Edition Entreprise– SMS 2003 – …

• Nécessaire pour certains composants de Windows 2003 R2– Service de réplication de fichiers (DFS) – Publication des imprimantes via les GPO avec la

console Print Management Console– Intégration des services d’identité pour UNIX

Architecture logique

Arbres, forêts, domaines

DOM2.COMDOM2.COM

ARBREARBRE

DOM1.COMDOM1.COM

ARBREARBRE

FORETFORET

• Arbre– Ensemble de domaines situés sous une racine

unique, formant un espace de noms contigus.

• Forêt– Ensemble d’arbres ne formant pas un espace de

noms forcément contigus.

Notion de Forêt

• Une forêt est un ensemble de domaines Active Directory qui partagent :– Des informations de configuration,– Une description logique et physique.

• Porte le nom du premier domaine installé.• Les domaines forment une ou plusieurs

arborescences– Pas d’héritage entre domaines (arborescence =

nommage uniquement)

• Dans une forêt, les domaines partagent– Un même schéma,– Une même partition de configuration,– Un même catalogue global.

• Dans une forêt, les domaines– Sont liés entre eux par des relations d'approbation

• Bidirectionnelles,

• Transitives.

Caractéristiques d’une forêt

Notion de Domaine

• Frontière de réplication et d’administration.• L’annuaire associé à chaque domaine est

disponible sur un ou plusieurs contrôleurs de domaines (DC).

• Il est possible de créer des arborescences de domaines.

• A chaque domaine est associé un nom :– Ex : europe.contoso.com.

• Le domaine n’est pas une frontière de sécurité

Notion d’Unités Organisationnelles (OU)

• Conteneurs d’objets de type utilisateurs, groupes, ordinateurs, OU… au sein d’un domaine.

• Utilisation :– Organisation des données,

– Délégation des droits d’administration,

– Application des stratégies de groupe.OUOU

OUOU

• L’espace de nommage (zone dans laquelle un nom peut être résolu) de l’Active Directory repose sur DNS pour la localisation des services et la résolution des noms.

Enterprise and Support Training M

A Domain Tree

TrustTrust

Shared Active Directory

TrustTrust TrustTrustcorp.com

sales.corp.com accounting.corp.com

Espace de nommage hiérarchique

CohabitationNiveaux de fonctionnalités• Windows Server 2003 a plusieurs niveaux fonctionnels

– Pour les domaines et les forêts,– Similaires aux modes mixte/natif de Windows 2000.

• Augmenter les niveaux fonctionnels – Domaine : possible par domaine– Forêt : pour l’ensemble de la forêt (impacte tous les domaines),– Irréversible,– Apporte de nouvelles fonctionnalités.

Niveau de fonctionnalité

Fonctionnalités activées Types de DC supportés

Windows 2000 mixte

• Installation depuis un support• Mise en cache des groupes Universels• Partitions applicatives

Windows NT4

Windows 2000

Windows 2003

Windows 2000 natif

Ensemble des fonctionnalités du mode Windows 2000 mixte, plus • Imbrication des groupes• Groupe de type Universel• SIDHistory

Windows 2000

Windows 2003

Windows 2003 Intérimaire

Identiques au mode natif de Windows 2000 Windows NT4

Windows 2003

Windows 2003 Ensemble des fonctionnalités du mode Windows 2000 natif, plus• Mise à jour de l’attribut logon timestamp• Version de KDC Kerberos• Mot de passe utilisateur ds INetOrgPerson

Windows 2003

Windows 2003 & Active Directory Niveau de fonctionnalité pour les domaines

Niveau de fonctionnalité

Fonctionnalités activées Types de DC supportés

Windows 2000 • Installation depuis un support• Mise en cache des groupes Universels• Partitions applicatives

Windows NT4

Windows 2000

Windows 2003

Windows 2003 Intérimaire

Ensemble des fonctionnalités du mode Windows 2000, plus• Réplication LVR (Linked Value Record)• Amélioration ISTG (Inter Site Topology Generator)

Windows NT4

Windows 2003

Windows 2003 Ensemble des fonctionnalités du mode Windows 2003 Intérimaire, plus• Classes Auxiliaires dynamiques• Modification de la classe User en INetOrgPerson• Dé/réactivation au sein du schéma• Changement des noms de domaines• Relations d’approbation inter forêts

Windows 2003

Windows 2003 & Active Directory Niveau de fonctionnalité pour la forêt

• Un serveur Windows NT peut être :– Contrôleur Principal de Domaine (PDC)– Contrôleur Secondaire de Domaine (BDC)– Serveur Membre

• Un Serveur Windows 2000 / 2003 peut être :– Contrôleur de Domaine (DC)– Serveur Membre– Possibilité de passer d’un rôle à l’autre (dcpromo.exe)

Rôle des serveurs

• Réplication multi maîtres– Tous les DC sont en écriture– Plus de notion PDC/BDC

• les rôles FSMO :– Contrôleur de schéma– Maîtres d’attribution de noms de domaine– Maître RID (Relative Identifier) – Maître d’Infrastructure– Émulateur PDC

Un seul dans toute la forêt

Rôles FSMO

Un par domaine

Flexible Single Master Operations

Installation d’un DC

• Promotion possible à n’importe quel moment via DCpromo

• Avec Windows 2000, lors de l’installation d’un contrôleur de domaine, une réplication complète de l’annuaire est effectuée via le réseau :– Augmentation des coûts de communication,– Mise en place de procédures d’expédition des contrôleurs

pré installés.

• Avec Windows Server 2003, DCPROMO est capable d’installer Active Directory à partir d’une sauvegarde de l’annuaire :– Seul le delta est répliqué via le réseau.

Global Catalog (GC)

• Le Global Catalog : contient une copie en lecture seule de tous les objets de tous les domaines mais avec un nombre réduit d’attributs.– Permet de localiser n’importe quel objet de façon rapide sans

connaître son emplacement dans l’arborescence– Un changement de schéma pouvait entraîner un re-calcul du

contenu du GC• Plus avec Windows Server 2003

– Nécessaire pour ouvrir la session en mode natif (appartenance aux groupes «Universels»)

• Dans Windows Server 2003, l’appartenance aux groupes universels peut être mise en cache : nouvelle fonction qui supprime la nécessité d’un global catalog par site

• Attention : cette fonction ne sert que pour les groupes universels : le global catalog reste utile pour certaines applications.

Ouverture de session sans Global Catalog

• Avec Windows 2000, en mode natif, le Global Catalog est contacté par le contrôleur de domaine lors de l’ouverture de session pour récupérer la liste des groupes Universels :– GC dans chaque site ou mode mixte ou mode natif sans

utilisation de groupes universels.

• Avec Windows Server 2003, l’appartenance aux groupes globaux est mise en cache au niveau des contrôleurs :– Propriété de chaque site,– Mise en cache initiale lors de la première ouverture de

session puis de façon périodique.

Windows NT 4.0Windows NT 4.0 Windows Windows 2000/20032000/2003

Relations d’approbation

• Les relations d’approbation entre domaines Windows 2000/2003 utilisent Kerberos :– Implicites, transitives et bidirectionnelles.

Relations d’approbation multi forets• Avec Windows 2000, les relations d’approbation

externes à la forêt doivent être gérées comme des relations NT4.0

• Relations d’approbation inter forêt :– Transitivité par défaut entre tous les domaines des 2 forêts – Pas de transitivité entre forêts – Kerberos

Forest-trust A-B Forest trust B-C

Forêt A Forêt B Forêt C

Partitionnement Applicatif (1/2)

• Plusieurs partitions de la base AD existent dès l’installation :– La partition de Schéma (1/forêt)– La partition de Configuration (1/forêt)– La partition de Domaine (1/Domaine)

• Avantage de AD 2003 : Possibilité de créer de nouvelles partitions pour des besoins applicatifs.– Réplication sur des DC choisis dans la forêt sans lien avec

la notion de domaine– Localisables par DNS (enregistrements SRV)– Non répliquées sur le Catalogue Global– Ne peuvent contenir des principaux de sécurité

Données de DOM1Données de DOM1Données appli1Données appli1Données appli2Données appli2

Données de DOM1Données de DOM1Données appli1Données appli1

Données de DOM2Données de DOM2Données Appli2Données Appli2

Données de DOM2Données de DOM2Données Appli1Données Appli1DonnéesDonnées

de DOM1de DOM1

ForêtForêt

DOM1DOM1

DOM2DOM2

Partitionnement Applicatif (2/2)

DC W2K3

DC W2K3

DC W2K3

DC W2K3

DC W2K3

• Avec Windows 2000, toute donnée stockée dans l’annuaire est répliquée par défaut vers tous les contrôleurs du domaine (Naming Context Domain) ou de la forêt (NC Configuration et Schema).

Architecture physique• Contrôleur de domaine AD

– Un DC appartient à un seul site AD et assure les services d’annuaire et d’authentification pour les clients de ce site.

– Il réplique les informations de l’annuaire avec les autres DC

• Site AD– Ensemble de sous réseaux IP– Permet à la réplication Active Directory de s’appuyer

sur la topologie du réseau

Site 1

Site 2

DC W2K3

DC W2K3

DC W2K3

DC W2K3

DC W2K3

DC W2K3

DC W2K3

Réplication (1/3)

• Réplication intra site– Automatique (topologie générée par KCC)– Basée sur la notification– Temps de réplication optimisé

• Réplication inter site– Automatique ou manuelle– Planifiée– Utilisation de bande passante optimisée– Mode redondant de réplication pour les architectures filiales

• Optimisation de la réplication des groupes avec un nombre de membres importants– Tous les contrôleurs de la forêt doivent être en version Windows

Server 2003.

Réplication (2/3)

• Réplication inter sites– L’administrateur crée les objets représentant le réseau (sites

et liens de sites)– Le KCC génère automatiquement la topologie de réplication– Tolérant à la panne et simple à maintenir– En 2000, problème d'évolutivité pour un nombre important de

sites (scénario "filiales")– Avec 2003, l’algorithme (KCC et ISTG) a été re- développé,

utilisation d’un nouvel algorithme fonction (d*s) au lieu de (d*s2)

– Evolutivité testée jusqu’à 5000 sites– Possibilité de mise en œuvre un mode redondant

• Le Serveur “Tête de pont” est le contrôleur de domaine chargé de la réplication avec les autres sites – On peut choisir une liste de serveurs “tête de pont

préférés”

• En Windows Server 2003, possibilité d’avoir plusieurs serveurs tête de pont du même domaine sur un même site (Windows)– Outil de Load Balancing des connexions (ADLB.exe)

Réplication (3/3)

Mode « Branch Office »

• Utilisation : Repadmin

…./siteoptions +IS_REDUNDANT_SERVER_TOPOLOGY_ENABLED +IS_TOPL_DETECT_STALE_DISABLED

• Nécessite une forêt en mode Windows 2003 Intérim ou Windows 2003

• Mettre en place la topologie dans les 2 sens entrant et sortant

Vue d’ensemble des consoles d’administration

Demonstration

Agenda




Définition de l'espace de noms Active Directory

• Ne pas hésiter à viser les topologies idéales• Doit déboucher sur des livrables :

– Espace de noms des domaines AD et DNS– Topologie d'OU– Topologie de sites

• Choix de l’entreprise, donc le consensus est nécessaire

• Combien de forêts ?• Combien de domaines dans chaque forêt ?• Comment agencer ces domaines ?• Comment ces domaines s'appelleront-ils ?

Espace de noms des domainesQuestions posées

• Au départ : une forêt• Une forêt de plus ? Il faut argumenter !

– Nécessité de préserver des schémas distincts– Refus de dévoiler ma topologie de domaines– Désaccord sur la composition des groupes sensibles

• Administrateurs de Schéma• Administrateurs de l'Entreprise

– Souhait de conserver la maîtrise des approbations– Frontière de sécurité

Espace de noms des domainesCombien de forêts ?

• Un domaine ne peut pas changer de forêt• Déplacement d'objets :

– On sait migrer des objets d'un domaine vers un autre,

– Mais ce n'est pas toujours une opération anodine !

• On ne sait pas interroger le Catalogue Global d'une autre forêt ...

• ... A moins de passer par un Méta Annuaire ?

Espace de noms des domainesCombien de forêts ? Contraintes…

• Au départ : un domaine• Un domaine de plus ? Il faut argumenter !

– Délégation ne suffit pas– Nécessité de mettre en œuvre des stratégies

spécifiques de :• Gestion des mots de passe,• Verrouillage des comptes,• Gestion des tickets Kerberos.

– Soucis d'optimiser la réplication– Restructuration prévue, mais plus tard.

Espace de noms des domainesCombien de domaines ?

• Le premier domaine créé devient la racine de la forêt.

• Il donne son nom à la forêt.• Il héberge deux groupes sensibles :

– Admins de l'entreprise,– Admins du Schéma.

• Choix d'un domaine Racine :– A choisir parmi les domaines définis précédemment,– Ou à créer pour les besoins de la cause.

Espace de noms des domaines

Définition de la racine de la forêt

• Tout domaine AD est repéré par un nom DNS.• Domaines AD vs Domaines DNS

– Domaine AD Organisation logique des objets AD,– Domaine DNS Localiser des hôtes et des services.

• Nom du domaine racine :– Détermine l'espace de nom de tout l'arbre,– Ne peut pas être modifié de façon simple,– Doit permettre d'intégrer de façon harmonieuse

toutes les entités présentes et à venir de l'arbre.

Espace de noms des domainesNommage des domaines

• Affecter un nom à chaque domaine, en partant de la racine de chaque arbre.

• Ne pas s'écarter des "standards"– RFC 1123 : A Z ; 0 9 ; -– Eviter Unicode,– Utiliser des noms DNS enregistrés

• Draft ".local" a été abandonné.

• Préférer les noms courts

Espace de noms des domainesRègles de nommage

• Quel nom pour la Racine ?– Tfc.fr ?– Vieuxchaudron.fr ?

• Eviter les recouvrements :– En choisissant des noms différents,– En choisissant un sous domaine du domaine

public Pas de Proxy Proxy

Noms identiques Sync DNS pub et DNS privé Sync srvs pub sur réseau privé

Fichier PAC

Noms différents ou sous-domaine

OK Liste d'exclusions

Espace de noms des domainesEspaces de noms privés et publics

Topologie d'OU

• Les OU peuvent servir à :– Organiser les objets,– Ne pas tout montrer à tout le monde,– Définir des périmètres de délégation,– Définir des périmètres d'application pour les

GPO.

• Une OU contient des objets et pas des références à des objets.

• Une OU n'est pas un « Security Principal »

OUOU

OUOU OUOU

Rôles des unités organisationnelles

Topologie d'OU

• Hiérarchie définie en fonction :– Des emplacements,– De l'organisation,– Des postes.

• Hiérarchie hybride définie en fonction :– Des emplacements, puis de l'organisation,– De l'organisation, puis des emplacements.

Consignes de conception

• Les OU sont faites pour faciliter la vie des administrateurs, pas celle des utilisateurs.

• Penser en termes d'organisation administrative :– Qui gère quoi ?– Qui décide de qui gère quoi ?

• Préférer les arbres larges plutôt que profonds.• Affiner la topologie plus tard reste possible :

– Facile à créer, déplacer, supprimer, renommer,– Point délicat : évaluer les conséquences sur la délégation

et l'application des stratégies de groupes (GPOs).

Topologie d'OU

• Qu'est-ce qu'un site ?– Ensemble de machines "bien communicantes« ,– Défini comme un agrégat de subnets IP,– Suppose un subnetting géographique.

• Qui utilise les sites ?– Station localiser un DC proche.– KCC limiter le trafic de réplication sur liaisons

lentes.– Client DFS localiser un répliqua proche.– Utilisateur localiser une imprimante proche.

Notion de site Active Directory

Topologie d'OU

Qui réplique avec qui ?• Tout automatique : le KCC est livré à lui-même.• Semi-automatique :

Fournir quelques indices au KCC :– Créer manuellement quelques connexions,– Ajouter des liens de site,– Désigner des têtes de pont.

• Tout manuel :– Créer toutes les connexions manuellement,– Inhiber le KCC : Q242780.

Définition d’une topologie de réplication

Topologie d'OU

Intra-site Inter-site Compression Non Oui ( par défaut) Mode de réplication Notifier/Tirer Tiré schedulé Fréquence 5min (par défaut) 3h (par défaut) Transport RPC RPC ou SMTP Connexions Entre tout DC Entre Têtes de pont

La réplication Intra site passe à 15 s de fréquence en mode de domaine Windows 2003

Réplication inter sites et intra sites

Topologie d'OU

• Dans le cas de Windows 2003, sur chaque site, prévoir :– Un Global Catalog Server

• De préférence tête de pont,• Ne doit pas être Infrastructure Master.

– Du DNS qui marche !

• Eviter de créer des sites sans DC.• Toute correction reste possible :

– Créer/Supprimer des sous réseaux,– Ajouter/Supprimer des sites et des liens de site,– Affecter des serveurs à des sites,

Surveiller le journal "Active Directory" !

Quelques règles simples

Topologie d'OU

Agenda




Planifier les services

• Active Directory a besoin de DNS pour :– Résoudre des noms d'hôtes,– Localiser des services :

• Serveurs ldap (DC),• Serveur de Catalogue Global.

• Pour supporter Active Directory :– Le Primaire et les Secondaires doivent gérer les

enregistrements de services SRV• BIND 4.9.6

– Le Primaire devrait savoir gérer les mises à jour dynamiques

• BIND 8.2.1

DNS et Active Directory

Planifier les services

• Pour que les clients Windows 2000 résolvent les noms des clients pré-Windows 2000 :– Activer le forwarding WINS pour la zone AD,– ou Activer le mandatement DHCP pour que les

clients pré-Windows 2000 s'enregistrent dans DNS.

• Pour que les clients pré-Windows 2000 résolvent les noms des clients Windows 2000 :– Leur attribuer l'adresse du serveur DNS via DHCP.

Planifier DHCP et WINS

Agenda




Concepts et Fonctionnement

LocalLocal

SiteSite

DomainDomain

22

33

11

OUOU 44

• Le positionnement de la machine ou de l’utilisateur dans Active Directory détermine les stratégies de groupe (GPO) qui seront appliquées

• Les GPO sont appliquées au logon(utilisateur) ou au redémarrage (station) et rafraîchies régulièrement.

OU’s

A1 A2

Application des stratégiesGPO’s

A4A5

A1

A2

A3

ADomaine

Les GPOs sont par domaineLes GPOs sont par domaine Plusieurs GPO peuvent être Plusieurs GPO peuvent être

associées avec un unique associées avec un unique SDOUSDOU

Site

Les Sites sont composés de Les Sites sont composés de un ou plusieurs sous réseaux un ou plusieurs sous réseaux IP et peuvent englober IP et peuvent englober plusieurs domainesplusieurs domaines

B

GPO’sB1

B2

Domaine

OU’s

B1 B2

B3

Les GPO ne sont pas héritées entre

domaines Tout SDOU peut être associé Tout SDOU peut être associé à toute GPO, y compris entre à toute GPO, y compris entre domaines (lenteur)domaines (lenteur)

Plusieurs SDOU peuvent Plusieurs SDOU peuvent utiliser une unique GPOutiliser une unique GPO

L’application d’une GPO peut L’application d’une GPO peut être filtré au moyen de être filtré au moyen de groupes de sécurité (ACLs)groupes de sécurité (ACLs)

• Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines.

• Les GPOs sont par domaine.• Plusieurs GPO peuvent être

associées avec un unique SDOU.

• Plusieurs SDOU peuvent utiliser une GPO unique.

• Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur).

• L’application d’une GPO peut être filtrée au moyen de groupes de sécurité (ACLs).

Mise en oeuvre des stratégies de groupe• La plupart des GPO ont 3 états

– Activé – Désactivé – Non configuré

• Les GPOs ont 2 “noeuds” de configuration (sections)– Utilisateur – MachinePS: Les paramètres “Machines” priment sur ceux “Utilisateur”

• Pour recevoir une GPO, le compte machine ou utilisateur :– Doit être dans le S-D-OU qui a un lien vers la GPO,– Doit avoir la permission “Lire et appliquer les stratégies de

groupe (Read and Apply Group Policy)” sur la GPO.• Prise en charge par les systèmes Windows 2000,

Windows 2003 et Windows XP

Traitements des stratégies de groupes (1/2)

• L’ordre d’application va dicter la résolution des conflits de paramétrage– Conflits possibles entre les paramétrages Activé et Désactivé– Pas de conflit avec le paramétrage Non configuré– La dernière GPO traitée impose ses paramètres en cas de

conflits

• L’ordre de traitement des GPO peut être modifié en : – Bloquant l’héritage des GPOs, – Cochant la case “Ne pas passer outre”,– Évitant de modifier l’ordre de traitement par défaut.

Traitements des stratégies de groupes (2/2)

• Filtrer l’étendue d’une stratégie de groupe– Permission par défaut sur les GPOs – Utilisateurs authentifiés

• Read and Apply Group Policy

– Supprimer Utilisateurs authentifiés– Créer des groupes de sécurité basés sur les paramétrages de

l’objet stratégie de groupe– Accorder des permissions aux groupes adéquats

• Filtrage de sécurité vs. OUs– Les deux approches permettent de contrôler l’étendue d’application

d’une GPO– Ne pas mixer les deux approches

Déploiement d’applications

• Publication (optionnelle)– Application «proposée» à l’utilisateur, disponible dans

Ajout/Suppression de Programmes,– Installation automatique si nécessaire.

• Assignation (obligatoire)– Création des icônes et raccourcis, – Installation à la première invocation.

Déléguer l’administration

• Déléguer l’administration des stratégies de groupe– Liaisons SDOU– Modification GPO– Création GPO

Les extensions apportées par Windows 2003• Nouveaux outils

– GPUpdate– GPResult– Jeux résultant de stratégie (RSoP)

• Mode journalisation uniquement

– Centre d’aide et de support• Informations système détaillées - Stratégie • Rapport sur les paramètres appliqués

• Également disponible sous Windows XP

Vue d’ensemble des stratégie de groupe

Demonstration

Les apports de Windows Server 2003

• Alternative au filtrage par les permissions,• Application du GPO basée sur :

– Le système d’exploitation,– Des pré requis matériels,– Les logiciels installés,– Toute information fournie par WMI.

• Utilise WQL (WMI Query Language).

Filtres WMI

Filtres WMI

• Clients– Windows XP Pro et au-delà.

• L’annuaire Active Directory doit être configuré (modification de schéma) pour être conforme avec Windows Server 2003– MAJ du schéma pour la forêt : ADPrep.exe /ForestPrep,– MAJ de la configuration du domaine : ADprep.exe

/DomainPrep,– Les DCs peuvent encore être sous Windows 2000.

Compatibilité

Filtres WMI

Demonstration


• Réduit– Le nb d’outils,– La complexité.

• Améliore– La clarté,– La flexibilité.

Console de gestion des stratégies de groupe


• La mise en oeuvre des stratégies de groupe peut être complexe– Stratégie par défaut assez simple,

– Le blocage d’héritage, “Ne pas passer outre”, le filtrage par permissions, le filtrage WMI, la délégation de droits peuvent rendre les stratégies de groupe difficiles à gérer.

• Plusieurs outils– Utilisateurs et Ordinateurs Active Directory (Dsa.msc),

– Sites et Services Active Directory (Dssite.msc),

– etc…

Tâches et outils


• La console de gestion des stratégies de groupe– Consolide des fonctions de différents outils,

– Fournit une vision claire de l’organisation des stratégies de groupe,

– Permet de clarifier les relations entre GPOs et SDOUs,

– Regroupe les tâches possibles concernant les stratégies de groupe de façon logique.

• La console de gestion des stratégies de groupe introduit les services suivants : – Sauvegarde / Restauration,

– copie, import.

Consolidation

Mise en oeuvre des stratégies de groupes

• Domaine de préparation– Permet le test des stratégies de groupe

– Copie des GPOs entre domaines d’une même forêt

– Sauvegarde et import entre domaines de forêts différentes

– L’import nécessite que la GPO cible existe déjà

• Tables de migration– Mise en correspondance des valeurs “hard codées” (chemins

d’accès, identités de sécurité) du domaine de préparation avec celles du domaine de production

– Ex : modification des chemins d’accès pour le déploiement d’applications

Préparation


• Windows XP– Journalisation des stratégies,– Rapport sur les paramètres issus de l’application des stratégies

sur un poste.

• Windows Server 2003– Planification des stratégies,– Rapport sur l’application des stratégies suivant le positionnement

de l’objet utilisateur et ordinateur dans Active Directory.– Nécessite un DC sous Windows Serveur 2003.– Permet de définir de nombreux scénarios :

• Appartenance à un groupe de sécurité, positionnement des objets machine et utilisateur dans des OUs, application de filtres WMI.

Planification des stratégies

Utiliser la console de gestion des stratégies de groupe

Demonstration


• Interfaces de scripting de la console de gestion des stratégies de groupe– Automatise des tâches de gestion des stratégies,– Permet la création d’outils de gestion,– Ne permet pas d’automatiser des modification des

GPOs.

Utilisation de scripts

Administration par script des stratégies

Demonstration

Planifier les stratégies de groupe

• Limiter le nombre de stratégies de groupe traitées lors de la connexion d’un utilisateur,

• Isoler les paramétrages dans différentes GPOs,

• Désactiver les “noeuds” non utilisés (utilisateur/ordinateur),

• Limiter les conflits de paramétrages (utilisateur/ordinateur),

• Utiliser la console de gestion des stratégies de groupe.

Bonnes pratiques

Mise en oeuvre des stratégies de groupes

• Éviter les liens de GPOs entre domaines,• Lier les GPOs à des OUs, non à des sites,• Limiter les moyens de contrôle de l’étendue d’une

GPO – OU, filtrage par permission, filtre WMI

• Pour le filtrage par permission, utiliser l’approche de tout interdire par défaut,

• Ne pas trop modifier l’héritage des GPOs.

Bonnes pratiques

Conclusion

• Les choix lors de la conception d’un annuaire Active Directory sont fondamentaux

• Windows Server 2003 apporte plus de souplesse :– Pour le déploiement,– Pour l’administration.

• Les stratégies de groupe sont un moyen puissant de contrôler un environnement Windows.

• Windows Server 2003 ne modifie pas fondamentalement les stratégies de groupe, mais apporte : – Les filtres WMI,– La console de gestion des stratégies de groupe.

Se former…

• Tous les cours sur Windows 2000 Server / Windows Server 2003, et les centres de formation dans votre région sont sur :http://www.microsoft.com/france/formation

• Livres Microsoft Press sur Windows 2000 Server et Windows Server 2003 :http://www.microsoft.com/france/mspress

• Newsgroups :

http://www.microsoft.com/france/communautes/webnews/France/default.mspx?dg=microsoft.public.fr.windows.server&lang=fr&cr=FR&r=4ebff0f5-0e74-499d-874f-a7197b08b375

http://www.microsoft.com/france/mspress




Questions / Réponses

Votre potentiel, notre passion…

A bientôtet merci d’être venus...

© 2003 Microsoft France© 2003 Microsoft FranceMarketing TechniqueMarketing Technique

Documents

Bienvenue Sponsor Officiel. Quest ce que TechNet ? Un site Web très orienté technique –