Академический Документы
Профессиональный Документы
Культура Документы
D. Olivier http://www.entraide-info.fr
Administration scurise et efficace dAD ......................................................................................7 2.1 2.2 2.3 Utilisation des composants logiciels enfichables ....................................................................7 Recherche dobjets dans AD ...................................................................................................7 Commandes de type DS ....................................................................................................7
Gestion des objets Utilisateur ....................................................................................................8 3.1 Les commandes dimport/export ...........................................................................................8
Gestion des objets Groupe ........................................................................................................9 4.1 4.2 Convention de nommage + OU groupes : ...............................................................................9 Pratiques recommandes : .................................................................................................. 10
Implmentation dune infrastructure de GPO .............................................................................. 11 6.1 6.2 6.3 6.4 Priorit dapplication des GPO ............................................................................................. 11 Modification des GPO .......................................................................................................... 11 Paramtres pour les GPO ..................................................................................................... 11 Appliquer la configuration Utilisateur des objets Ordinateur............................................. 12
Gestion de ltendue de la stratgie de groupe ........................................................................... 12 7.1 7.2 7.3 7.4 Groupes restreint ................................................................................................................. 12 Scurit ............................................................................................................................... 12 Distribution de logiciel laide de GPO (.msi) ...................................................................... 13 Audit .................................................................................................................................... 13
Administration scurise ............................................................................................................. 13 8.1 8.2 8.3 8.4 Dfinir les droits de dlgation ............................................................................................ 13 MMC pour dlgation de contrle ....................................................................................... 13 Recommandations pour la conception dOU ........................................................................ 13 Audit lors de dlgation (gpedit.msc sur le DC) ................................................................... 14
Amlioration de la scurit .......................................................................................................... 14 9.1 9.2 9.3 Audit de lauthentification .................................................................................................... 14 Paramtrages des audits conseills ..................................................................................... 14 Read-Only Domain Controller (RODC) .................................................................................. 15 D. Olivier http://www.entraide-info.fr 2
10 10.1 10.2 10.3 10.4 10.5 11 11.1 11.2 11.3 11.4 11.5 12 12.1 12.2 13 13.1 13.2 13.3 13.4 13.5 13.6 13.7 14
Configuration du systme DNS ................................................................................................ 16 Rplication dune zone ......................................................................................................... 16 Ce qui se passe sur lordi local ............................................................................................ 18 Configuration du service DNS .............................................................................................. 18 Nettoyage des enregistrements DNS ................................................................................... 19 Fonctionnement correct DNS .............................................................................................. 19 Administration des DC ADDS ................................................................................................... 20 43BPour un RODC ...................................................................................................................... 20 Installation partir dun support (IFM) ................................................................................. 20 Installation minimale de Windows (serveur Core) ................................................................ 21 Gestion des Maitres dOpration (MO)................................................................................. 21 Configuration de la rplication DFSR du dossier SYSVOL .................................................... 22 Rplication AD et gestion des sites ......................................................................................... 22 Annuler la transitivit des sites ............................................................................................ 23 Surveiller la rplication ........................................................................................................ 23 Continuit du service dannuaire ............................................................................................. 24 Analyseur de performances ................................................................................................. 24 Gestionnaire des taches ...................................................................................................... 24 Collecteurs de donnes ....................................................................................................... 25 Observateur dvnements .................................................................................................. 25 Gestion de la base AD.......................................................................................................... 26 Maintenance de la base de donnes .................................................................................... 26 Sauvegarde et restauration des services ADDS et des DC .................................................. 28 Gestion de plusieurs domaines et forts.................................................................................. 29
D. Olivier http://www.entraide-info.fr
1
1.1
Ressource laquelle on demande laccs implique des autorisations, implique des ACL / ACE Le jeton daccs (JA) est compar la liste ACL pour autoriser le niveau daccs demand
Lauthentification est le processus de vrification de lidentit dun utilisateur (Id + password) Ouverture de session locale (ordi local) rare (pas le cas dun domaine) Ouverture de session distante (ordi distant) accs des ressources
Un jeton daccs contient : SID utilisateur, SID groupes dappartenance, privilges (droits utilisateur) Ce jeton daccs est conserv sur lordinateur local de lutilisateur qui sauthentifie
D. Olivier http://www.entraide-info.fr
Un peu de vocabulaire : Les SACL (informations daudit), ACL / DACL (listes dautorisations) et ACE (entres dautorisations) sont appeles Descripteurs de scurit. Ils sont lis la ressource qui est accde (le rpertoire). Le jeton daccs effectue une demande dautorisation la ressource. Le jeton daccs contient les diffrents SID auxquels il appartient (SIDutilisateur, SIDgroupes)
Diffrence entre un poste autonome et un poste dans le domaine : Un poste autonome contient les informations dauthentification dans sa base SAM (seuls des DC nont pas de base SAM). Un poste dans un domaine Active Directory contient les informations dauthentification dans la base ADDS. Cette base est un magasin didentits centralis et approuv par tous les membres du domaine sur le DC.
1.2
Composants dAD
Outils dadministration > Util & ordi AD et Outils dadministration > Modification ADSI
AD est une base de donnes. Elle contient des : Objets : utilisateurs, groupes, ordinateurs Attributs : nom de connexion, SID, mot de passe, appartenance au groupes Valeurs : valeur des attributs
D. Olivier http://www.entraide-info.fr
Cibler les changes Optimiser la rplication pour ne pas perturber les changes normaux
Rappel : le but principal dun domaine est lauthentification Il y a besoin de rsoudre les noms : il faut donc un serveur DNS Lors de lauthentification : Le client trouve le 1er DC disponible + interroge le catalogue global
Le catalogue global contient un rsum de TOUS les objets de la fort Niveau fonctionnel : diffrence selon les versions de lAD (2000 2008R2). On ne peut pas revenir en arrire si on lve le NF Active Directory repose sur DNS pour fonctionner (pour les GPO, pour la rplication ) Il existe des relations dapprobations implicites au sein de la fort entre les domaines
D. Olivier http://www.entraide-info.fr
1.3
2
2.1
Utilisateurs & ordinateurs AD / Sites & services AD / Domaine & Approbations AD / Schma
Il faut les droits dadministrateur de domaine ou une dlgation ( raliser dans scurit de lOU)
Gestion distance : WS2008 : ajouter la fonctionnalit Outils dadministration AD sur le DC Vista, Win7 : tlcharger et installer RSAT + panneau de configuration
Les fonctionnalits avances permettent de voir plus doptions Ajouter un dossier partag : MMC > Ajouter un composant > lien vers une adresse web ajouter un dossier partag
2.2
2.3
Commandes de type DS
Ces commandes utilisent le format LDAP DN (nom unique) :
"cn=Jeff Ford,ou=Employees,ou=User Accounts,dc=contoso,dc=com"
dsquery obtenir le DN (pour lutiliser aprs) dsget obtenir les attributs dsmod modifier les attributs /? dsmovemodifier le conteneur = lOU dsadd crer un objet dsrm supprimer un objet
Attention au nom des attributs. Dfinir ensuite le mot de passe, qui devra tre chang lors de la premire ouverture de session
Suppression : Bonne pratique : dplacer le compte dans une OU particulire + dsactiver le compte. Le supprimer ensuite
Pratique recommande : utiliser des modles dutilisateurs : Dfinir des attributs gnraux au modle dutilisateur Dsactiver de compte de modle Donner un nom spcial au modle dutilisateur Le copier (pour le renommer avec le nom du nouvel utilisateur) puis le modifier si besoin
3.1
Importer les donnes dun fichier (-k permet dignorer les erreurs) :
C:\> csvde [-i <fichier>] [-k]
Les mots de passe ne sont pas imports Inconvnient : Les comptes existants ne sont pas modifis Avantage : format CSV (format souple type fichier excel)
D. Olivier http://www.entraide-info.fr
Avantage : Les comptes existants sont modifis Avantage : On peut dfinir tous les attributs existants Inconvnient : format squentiel
Avantage de la mthode AGuDLP : la modification des relations est souple est facile comprendre Inconvnient de la mthode AGuDLP : la cration de 2 DL par partage est lourde au dbut
4.1
Attention : si on supprime un groupe de scurit, il faut supprimer toutes les rfrences ce groupe dans les autres groupes.
D. Olivier http://www.entraide-info.fr
4.2
Pratiques recommandes :
Ajouter les descriptions, les remarques : peut servir identifier quoi est utilis ce groupe Protger contre les suppressions accidentelles Onglet gr par > dlgation pour les modifications des membres BuiltIn / Users : groupes de lancienne SAM sur le serveur stratgies locales sur le serveur : Ne pas les utiliser ! Utiliser le groupe Utilisateurs Authentifis (enlever le groupe Tout le monde ) pour les partages
A faire : crer le compte PC1 dans une OU puis joindre PC1 au domaine Le conteneur de lobjet est une OU, on peut y appliquer des GPO Lobjet ordinateur est proprement organis
Un utilisateur peut joindre des Ordinateurs au domaine (max 10 ordi par dfaut) : Modifier la valeur de msDS-MachineAccountQuota : mettre 0
Nota : gr par (pour lobjet Ordinateur) na quun but informatif. a naccorde pas de droits (SAM locale ou GPO). sAMAccountName : NomOrdi$ (le $ indique quun canal scuris est utilis) Le mot de passe entre lordinateur et DC est autognr Les connexions de lordinateur au DC sont visibles dans les vnements de session D. Olivier http://www.entraide-info.fr 10
5.1
En cas de problme
Attention : ne pas supprimer lordi puis le recrer ds le 1er problme (rgle de base !)
C:\> netdom reset NomOrdi /domain :NomDom /UserO :AdmLocal C:\> nltest /sc_reset:NomDom
Ensuite, rinitialiser le compte de lobjet Ordinateur Si on supprime un compte ordinateur, on perd le SID et les relations dans les groupes
6.1
6.2
6.3
Fichiers .ADMX et .ADML : Pour Office2007, il faut modifier le registre. Fichiers de paramtrages. Stocks dans %systemroot%\policydefinition (local) par dfaut Stocks dans %systemroot%\SYSVOL\contoso.com\policies\policydefinition\ (magasin central) \\contoso.com\policies\policydefinition\ permet dy accder par le rseau lorsque les fichiers sont dans le magasin central
6.4
Vrifier (sur le DC) le rsultat de la stratgie de groupe : Simuler lapplication des GPO
7
7.1
Ordinateur / Utilisateur > Prfrences > Paramtres Du Panneau De Configuration > Utilisateurs & Groupes Locaux
7.2
Scurit
Crer des modles de scurit :
(Modles de scurit)
Comparer les modles de scurit (les tester puis import/export vers les GPO) :
D. Olivier http://www.entraide-info.fr
12
7.3
7.4
Audit
Dfinir des audits par le biais de GPO :
8
8.1
Administration scurise
Dfinir les droits de dlgation
Mthode : Sur lOU clic droit dlgation de contrle Sur lOU proprits > scurit > avanc
8.2
8.3
8.4
C:\> auditpol /?
Accs DS :
Attention, il faut utiliser le guillemet apostrophe (ALT+0146) pour faire le symbole 3. Aller voir dans observateur dvnements
Amlioration de la scurit
La GPO DefaultDomainPolicy ne doit servir que pour dfinir les stratgies de mots de passe (et seulement a). Stratgie de mots de passe affins :
Outils dadministration > ADSIEdit > System > PSO Outils dadministration > U&OAD > password > attributs tendus > AppliesTo
9.1
Audit de lauthentification
Ouverture de session locale : Cre un vnement de connexion au compte dans lordi local : base SAM (ou dans ADDS si lordi est intgr un domaine)
Ouverture dun partage RSO : Cre un vnement de connexion sur la machine jointe
9.2
D. Olivier http://www.entraide-info.fr
14
9.3
Usage pour les succursales (o le serveur nest pas protg dans un local accs scuris) Le RODC possde un groupe administrateurs locaux ADLDS Prrequis : le niveau fonctionnel doit tre WS2003 Si il a des DC < WS2008, il faut excuter
C:\> adprep /rodcprep
Il faut au moins DC 2008 qui communique avec le RODC (pour la rplication). Crer un compte sur le RODC :
Utilisateurs & Ordinateurs Active Directory > contoso.com > Domain Controllers
+ Ajoute les groupes spciaux dans Users Gestion en ligne de commande de lADLDS du RODC :
C:\> dsmgmt
La base ADLDS sur le RODC est un genre de base SAM pour grer les groupes locaux
D. Olivier http://www.entraide-info.fr
15
10
Tout repose sur DNS dans ADDS. FQDN (Fully Qualified Domain Name) : Nom hte + suffixe DNS Exemple : technet.microsoft.com
Une zone est dfinie par domaine. Cette zone a le mme nom que le domaine : Exemple : zone aareon.com pour le domaine aareon.com Cette zone contient les noms et adresses IP des membres du domaine (PC1, DC, SRVFIC )
Un DNS qui hberge une zone fait autorit sur la zone ( attention la rsolution de type NetBIOS) Exemple denregistrement de ressource sur un serveur DNS : Enregistrement de type A : PC1.domaine.local (FQDN) 192.168.0.101 (adresse IPv4)
10.1
D. Olivier http://www.entraide-info.fr
16
Zone base de fichiers (standard) : donnes copis de la zone principale (RW1) vers la zone secondaire zone secondaire (RO2) :
1 2
D. Olivier http://www.entraide-info.fr
17
10.2
Si le cache na pas donn la rponse, le client interroge le serveur DNS : Celui-ci interroge les informations de sa zone ainsi que les informations qui sont contenues dans son cache.
Si il y a un problme de rsolution de nom, vrifier les paramtres DNS : Vider le cache de rsolution DNS (de lordinateur local donc) :
C:\> ipconfig /flushdns
10.3
D. Olivier http://www.entraide-info.fr
18
Le service netlogon : Il vrifie les demandes douverture de session et enregistre, authentifie et localise les contrleurs de domaine. Il gre aussi la rplication de la base ADDS Il dfinit qui est responsable de quoi : LDAP, FTP, KERBEROS, Catalogue Global
Pour mettre jour ces informations de netlogon, il faut arrter puis redmarrer le service :
C:\> netlogon stop C:\> netlogon start
10.4
10.5
Renregistrer ses informations sur le serveur DNS ( faire lors des modifications rseau) :
C:\> ipconfig /registerdns
D. Olivier http://www.entraide-info.fr
19
11
Installer le service ADDS en utilisant un fichier de rponses (obligatoire pour les serveurs CORE) :
C:\> dcpromo /unattend:"chemin"
Nota : le fichier rponses peut tre cr lors du dcpromo (sur la page de rsum, exporter les paramtres)
11.1
43B
Pour un RODC
crer un compte de contrleur RODC (ex : mise en cache des MDP) dlgation de linstallation du RODC (crer un administrateur local RODC) association du DC au compte RODC :
11.2
D. Olivier http://www.entraide-info.fr
20
11.3
Le bureau distance permet une administration graphique distance. Installer ou dsinstaller le rle ADDS :
C:\> dcpromo
11.4
Nota : depuis la console MMC on ne peut faire que du TRANSFERT de zone. Conseils dattribution des rles de MO : Rle Infra et rle CG sur des DC diffrents Placer tous les MO fort sur le mme DC Placer le rle RID + le rle mulateur PDC sur le mme DC Prvoir un plan de basculement en cas de panne Envisager de configurer le Catalogue Global sur tous les DC (au minimum un CG par site)
D. Olivier http://www.entraide-info.fr
21
11.5
12
Sites et services Active Directory > Sites > Inter-site Transports > IP
4. Lier les serveurs aux sites Conseil : rplication toutes les 15 minutes + dfinir des serveurs tte de pont IP radical : a rpond ou a plante
On peut dfinir des liens inter-sites IP et des liens inter-sites SMTP : IP : connexion permanente SMTP : connexion la demande des serveurs
Les DC inscrivent les enregistrements SRV (emplacements de services) dans le service DNS puis sont privilgis par les clients de leur site Active Directory Le Catalogue Global est souvent utilis (par les serveurs Exchange notamment) D. Olivier http://www.entraide-info.fr 22
Sites &Services Active Directory > Se placer sur le serveur > NTDS Settings >> proprits > cocher catalogue global
Ou alors :
Utilisateurs et Ordinateurs Active Directory > OU Domain Controllers > Slectionner le serveur >> proprits > bouton Paramtres NTDS > cocher catalogue global
12.1
Pour dsactiver la transitivit des sites (dconseill). Il faut ensuite recrer les ponts en dfinissant des liens spcifiques entre contrleurs de domaine :
Sites et services Active Directory > Sites > Inter-site Transports > IP ou SMTP >> proprits > dcocher relier tous les liens de sites
12.2
Surveiller la rplication
Afficher les partenaires de rplication et les dates de dernires rplications des partitions ADDS :
C:\> repadmin /showrepl
D. Olivier http://www.entraide-info.fr
23
13
13.1
Performance > Outil danalyse > Analyseur de performances >> proprits > Onglet Donnes > bouton Ajouter
13.2
D. Olivier http://www.entraide-info.fr
24
13.3
Collecteurs de donnes
Outils dadministration > Analyseur de performances
Slectionner des donnes collecter :
Performance > Ensemble de collecteurs de donnes > Systme > en slectionner un. Partie droite>> proprits, slectionner les donnes collecter (faire du tri)
Dfinir aussi les conditions darrt (par dfaut, collecte pendant 5 minutes).
13.4
Observateur dvnements
Outils dadministration > Observateur dvnements
Les journaux des applications et des services reportent les vnements lis aux rles du serveur. Conseil : Clic droit sur le journal souhait > Filtrer la vue Fonctionnement des abonnements (rcuprer des vnements dautres postes WS2008) : 1. Sur chaque machine mettrice source dvnements :
C:\> winrm quickconfig
3. Crer labonnement :
Outils dadministration > Observateur dvnements > Abonnements >> Crer un abonnement
Slectionner lordinateur cible (dans le mme domaine) Slectionner les vnements rcuprer Sidentifier 4. Lire les vnements transmis :
Outils dadministration > Observateur dvnements > Journaux Windows > Evnements transfrs
D. Olivier http://www.entraide-info.fr
25
13.5
Gestion de la base AD
C:\Windows\System32\NTDS\ntds.dit : fichier de la base de donnes ADDS. Contient toutes les partitions et les objets ADDS du contrleur de domaine EDB*.log : journaux des transactions EDB.chk : fichier de vrification EDB*.jrs : fichiers pour assurer de lespace pour la base ADDS, sinon erreur
13.6
Attention : pour dplacer les fichiers journaux ou la base on ne fait pas de copier/coller des fichiers ! Il faut utiliser la commande :
C:\> ntdsutil > files
La dfragmentation lorsque la base est en ligne ne libre pas despace disque. Il faut excuter une dfragmentation hors ligne pour librer de lespace. Tombstone lifetime : dure pendant laquelle un objet supprim est gard avant dtre supprim dfinitivement. Par dfaut, cette dure est de 180 jours. Pour nettoyer les objets supprims :
C:\> ntdsutil > mediadata cleanup
Pour effectuer une dfragmentation hors ligne, il faut arrter les services de domaine AD :
Gestionnaire de serveur > Roles > Services de domaine Active Directory. Partie droite, Arrter le service systme Service de domaine Active Directory
Lorsque le serveur nest plus catalogue global, il rcupre beaucoup despace disque.
13.6.1
Les snapshots
Un snapshot est une sauvegarde de lannuaire. Son unique but est de voir les attributs des objets tels quils taient au moment du snapshot. Cependant, il nest pas possible de restaurer un annuaire ADDS partir dun snapshot. 1. Crer un snapshot : D. Olivier http://www.entraide-info.fr 26
C:\> ntdsutil> snapshot > activate instance ntds > create > list all
2. Monter un snapshot :
C:\> ntdsutil > snapshot > activate instance ntds > list all > mount XX
Mounted as C:\$SNAP_201305040042_VOLUMEC$\
4. Ouvrir la console Utilisateurs et Ordinateurs Active Directory et se connecter sur le serveur au port dfini :
Nota : les outils LDP et ADSEDIT sont aussi disponibles 5. Dmonter le snapshot :
C:\> ntdsutil > snapshot > activate instance ntds > list mounted > unmount XX
6. Supprimer le snapshot :
C:\> ntdsutil > snapshot > activate instance ntds > list all > delete XX
Nota : ide de script .bat executer chaque semaine (pour des besoins ventuels de restauration) :
@echo off ntdsutil snapshot "activate instance ntds" create quit quit
D. Olivier http://www.entraide-info.fr
27
13.7
Restauration : A un autre emplacement, pour tester lintgrit de la sauvegarde Complte du serveur, dans le cas dun serveur HS par exemple
Une restauration normale (ne faisant pas autorit) est utile lorsquun serveur crashe : Le serveur de remplacement rcupre la restauration La rplication met jour partir de lUSN de restauration
Une restauration faisant autorit est utile lors dune mauvaise manipulation de lannuaire : La partie restaurer (OU, objet) est rcupre sur la sauvegarde avec un numro dUSN trs lev
C:\> ntdsutil > autoritative restore > restore subtree:"OU=vente,OU=orleans,DC=domaine,DC=local"
D. Olivier http://www.entraide-info.fr
28
USN : Update Sequence Number. Cest en quelque sorte un numro de version de lobjet Au dmarrage du serveur (celui qui remplace le DC crash), il est possible dappuyer sur la touche [F8] pour rentrer dans le Mode restauration des services dannuaire . A partir de l, il est possible dutiliser la commande wbadmin pour restaurer lannuaire ADDS. Pour restaurer un annuaire distance :
C:\> bcdedit /set safeboot dsrepair C:\> shutdown t 0 r [attendre le redmarrage puis]
Restaurer :
C:\> wbadmin start systemstaterecovery
14
Il est possible de faire de lauthentification slective, cest--dire de slectionner les serveurs qui sont concerns par la relation dapprobation.
Utilisateurs & Ordinateurs Active Directory > slectionner le serveur > proprits > scurit > liste dans les ACL > autorisation dauthentifier
D. Olivier http://www.entraide-info.fr
29