ASR3

Partie 2 – Active Directory

1 Arnaud Clérentin, IUT d ’Amiens, département Informatique, 2010-2011

 Plan

1- Introduction
2- Gestion des utilisateurs
3- Gestions des groupes d’utilisateurs
4- Gestion des machines
5- Publication des imprimantes
6- Publication des répertoires partagés
7- Consultation d’Active Directory
8- Unité d’organisation

2
1 Introduction

L’annuaire Active Directory centralise les
caractéristiques de tous les objets du domaine :
– Utilisateurs
– Groupes d’utilisateurs
– Ordinateurs du domaine
– Imprimantes du domaine
– Répertoires partagés
– ...
→ C’est son rôle premier : Active Directory Domain
Services (ADDS)

Basé sur la technologie LDAP (Lightweight Directory

Access Protocol)
– Norme pour les systèmes d’annuaire
3
 Active Directory (suite)

Plus spécifiquement, Active Directory permet de :
– Gérer les comptes utilisateurs et leur caractéristiques

Login et mot de passe

Emplacement du bureau (numéro, étage, bâtiment)

Adresse mail, numéro de fax

numéro de téléphone de bureau ou personnel

Nom du poisson rouge…
– Gérer les comptes des machines du domaine

Nom

Emplacement (bureau, étage…)

Technicien responsable de la maintenance

Système d’exploitation installé
– Gérer les imprimantes publiques

Caractéristiques (R/V,couleur/NB, agrafe…)

Emplacement (bâtiment, étage…)
– Gérer les dossiers partagés
4 – Etc…
 Intérêts d’Active Directory

Active Directory est plus destiné à être consulté…
– par tout le monde…
– … à partir de n’importe quelle machine

… qu’à être modifié
– par des utilisateurs autorisés (notamment les administrateurs)

→ Permet de répondre à des questions comme :

 Quel est le bureau de Monsieur Gaston ?
 Quel est le numéro de téléphone de M’oiselle Jeanne ?
 Quelles sont les imprimantes couleur recto verso situées au
premier étage du bâtiment B ?

Active Directory peut également être accédé par

d’autres logiciels, notamment Microsoft
– Microsoft Exchange, Lotus Notes, Groupwise…
5
 L’annuaire Active Directory

Chaque contrôleur de domaine contient un
exemplaire d’Active Directory
– Mise à jour entre CD assurée par une replication
toutes les cinq minutes

Domaine

réplication

DC DC

6
Aperçu d’Active
Directory

7
8
 Plan

1- Introduction
2- Gestion des utilisateurs
3- Gestions des groupes d’utilisateurs
4- Gestion des machines
5- Publication des imprimantes
6- Publication des répertoires partagés
7- Consultation d’Active Directory
8- Unité d’organisation

9
2 Gestion des utilisateurs

Active Directory contient la liste des utilisateurs
autorisés à se connecter au domaine…

… et beaucoup de caractéristiques sur ces

utilisateurs !
– Mot de passe
– Plages horaires des connexions autorisées
– Adresse mail et postale
– Numéros de téléphones
– Emplacement du bureau
– Responsable hiérarchique
– …
10
 Création des utilisateurs

11
 Création des utilisateurs

12
 Création des utilisateurs

13
 Création des utilisateurs

14
 Création des utilisateurs

15
 Création des
utilisateurs

16
 Création des
utilisateurs

17
 Création des
utilisateurs

18
 Création des
utilisateurs

19
 Création des
utilisateurs

20
 Création des
utilisateurs

21
22
 Plan

1- Introduction
2- Gestion des utilisateurs
3- Gestions des groupes d’utilisateurs
4- Gestion des machines
5- Publication des imprimantes
6- Publication des répertoires partagés
7- Consultation d’Active Directory
8- Unité d’organisation

23
3 Notion de groupe d’utilisateurs
Il est plus simple d’attribuer des permissions à
un groupe que d’agir isolément sur chaque
utilisateur

Autorisations User 1

Autorisations User 2
Groupe Autorisations

Ressources Autorisations User 3

OUI
NON

24
 Les groupes prédéfinis

Créés à l’installation de Windows Server

L’appartenance à un groupe prédéfini est obligatoire

25
 Les autres groupes

Les administrateurs ou les opérateurs de
compte peuvent créer d’autres groupes
– Pour respecter l’organisation de l’entreprise

Groupe comptabilité

Groupe commercial

…

Un utilisateur peut appartenir à plusieurs

groupes

26
 Création d’un groupe

Groupe visible
Liste de
dans les
diffusion
domaines
courrier
approuvés
électronique

27
 Création d’un
groupe

28
 Création d’un
groupe

29
 Création d’un
groupe

30
 Création d’un
groupe

31
 Création des
utilisateurs

32
Création des
utilisateurs

33
 Copie d’un compte utilisateur

Copier un compte d'utilisateur « modèle »

simplifie le processus de création des comptes
d'utilisateurs

Compte Compte
d'utilisateur Copie
Copie d'utilisateur
de domaine de domaine
(Utilisateur1) (Utilisateur2)

Utilisateur1
Utilisateur1 Utilisateur2
Utilisateur2
34
 Plan

1- Introduction
2- Gestion des utilisateurs
3- Gestions des groupes d’utilisateurs
4- Gestion des machines
5- Publication des imprimantes
6- Publication des répertoires partagés
7- Consultation d’Active Directory
8- Unité d’organisation

35
4 Gestion des machines

L’ajout d’une machine dans un domaine
implique la création d’un compte ordinateur
dans Active Directory

On peut ainsi définir toutes ses caractéristiques

– Système d’exploitation installé
– Technicien responsable
– Rôle (serveur de données, serveur web…)
– Emplacement

36
Création
d ’un
compte
machine

37
Création d ’un
compte
machine

38
 Consultation
des propriétés
d ’une machine
du domaine

(suite à un double-
click sur le nom de
la machine)

39
 Consultation des
propriétés d ’une
machine du
domaine
(suite à un double-
click sur le nom de la
machine)

40
 Plan

1- Introduction
2- Gestion des utilisateurs
3- Gestions des groupes d’utilisateurs
4- Gestion des machines
5- Publication des imprimantes
6- Publication des répertoires partagés
7- Consultation d’Active Directory
8- Unité d’organisation

41
 Publication d’imprimantes dans AD
5
Porter à la connaissance de tous certaines
imprimantes réseau avec leurs caractéristiques

42
 Plan

1- Introduction
2- Gestion des utilisateurs
3- Gestions des groupes d’utilisateurs
4- Gestion des machines
5- Publication des imprimantes
6- Publication des répertoires partagés
7- Consultation d’Active Directory
8- Unité d’organisation

43
6 Publication de répertoires partagés
Partager un répertoire : le rendre visible et accessible à
travers le réseau
Applications
Applications Données
Données

Utilisateur

Serveur
hébergeant
le dossier
partagé
mp3

Un dossier partagé est symbolisé par une de ces icônes

44
 Publication de répertoires partagés

But : porter à la connaissance de tous des répertoires
publics « importants »

Intérêt : retrouver facilement des répertoires partagés,
même si l’emplacement physique a changé.

Serveur1
Active Directory
Publication
Publication vers
vers
Dossier1
Dossier1 Active
Active Directory
Directory lié
Pub
s sier1
Do ier2
s
Serveur2 Dos

Dossier2 Publication
Publication vers
vers
Dossier2
Active
Active Directory
Directory

45
 Publication de répertoires partagés

46
Publication
de
répertoires
partagés

47
Publication de
répertoires partagés

48
 Plan

1- Introduction
2- Gestion des utilisateurs
3- Gestions des groupes d’utilisateurs
4- Gestion des machines
5- Publication des imprimantes
6- Publication des répertoires partagés
7- Consultation d’Active Directory
8- Unité d’organisation

49
7 Consultation d’Active Directory

Active Directory est consultable
– via le réseau
– par n’importe quel utilisateur

Comment ? Deux techniques :

– Onglet « Rechercher » du menu « Démarrer »
– Clic sur l’icône d’Active Directory

50
 Consultation d’Active Directory

L ’utilisatrice Jeanne veut connaître l’emplacement du

bureau de Monsieur Gaston

51
 Consultation d’Active Directory

52
 Plan

1- Introduction
2- Gestion des utilisateurs
3- Gestions des groupes d’utilisateurs
4- Gestion des machines
5- Publication des imprimantes
6- Publication des répertoires partagés
7- Consultation d’Active Directory
8- Unité d’organisation

53
8 Unité d’organisation (UO)

Sous ensemble d’un domaine
– Sur lequel on peut réaliser une configuration différente
du reste du domaine

Configuration de sécurité
– P. ex. paramétrage du mot de passe

Configuration autre
– P. ex. configuration des écrans de veille ou des quotas disque

Via l’utilisation de stratégies de groupe
– Sur lequelle on peut déléguer des compétences
d’administration

P. ex. administration des imprimantes d’une UO

Permet de scinder un domaine suivant

l’organisation de l’entreprise

UO Comptabilité

UO Commercial…
54
 Unité d’organisation
En anglais : organizational unit (OU)

Icône
d’une UO

Liste des objets

pouvant être inclus
dans une UO

55
 Unité d’organisation (exemple)

Exemple de « règles » sur l’UO Rédaction :

• Les mots de passe des utilisateurs doivent comporter au moins 8
caractères
• Impossibilité de changer les fonds d’écran des machines
56
57
 ASR3

Partie 3

Partie 3 – Les stratégies de groupe

58 Arnaud Clérentin, IUT d ’Amiens, département Informatique, 2010-2011

 Stratégie de groupe : définition

Ensemble de paramètres de configuration des
utilisateurs et des ordinateurs
– Stratégie de sécurité (mot de passe, audit…)
– Configuration Windows (bureau, écran de veille, menus…)
– Restriction concernant l’utilisation de certains logiciels
(MSN Messenger…)
– Configuration système (scripts de démarrage ou d’arrêt,
mise en place de quotas…)

On peut appliquer des stratégies de groupe à :

– Un domaine
– Une unité d’organisation
– Mais surtout pas à des groupes d’utilisateurs !!!
59
 Vocabulaire : GPO et GPM

GPO : objet qui contient une stratégie de groupe

– Group policy object

GPM : utilitaire permettant de gérer les GPO et

de les appliquer sur le domaine ou une UO
– Group policy manager

60
 L’outil GPM Résume les paramètres
Ex : GPO configurés dans ce GPO
Sur quoi on (les autres paramètres
« GPO_Redac »
applique les GPO seront hérités du GPO du
appliqué à l’UO domaine)
(domaine + UO) « Redaction »

61
 Types de stratégie de groupe

Deux types :
– Locale : propre à la machine sur laquelle elle est
définie

Toute machine Windows Server possède un GPO local

– Non locale : contenue sur un contrôleur de domaine et

valable sur le domaine ou sur une UO

Deux catégories :
– GPO pour les machines : activée à la mise sous tension
– GPO pour les utilisateurs : activée à l’ouverture de session

– Les GPO non locaux sont prioritaires par rapport aux

GPO locaux

62
 Sur quoi peut-on agir ?
Sur tout !!!

Paramètres
concernant les
ordinateurs

Paramètres
concernant les
utilisateurs

63
 Stratégies de groupes –
Modification d’une valeur

64
 Stratégies de groupe pour les machines (extrait)
Programmes lancés
au démarrage ou à
l’arrêt de la machine

Stratégie du mot
de passe

Stratégie des
audits

Stratégie des
privilèges →
délégation
d’autorité
administrative

65
 Stratégies de compte
Caractéristiques du mot de passe

En cas de plusieurs mots de passe successifs erronés

66
 Les mots de passe

Attention aux mots de passe :
– trop simples

Prénom

Noms communs

Nom du chien ou du poisson rouge

toto, titi, azerty, 1234

Plaque d’immatriculation….
– jamais changés
– mal cachés

Il existe des programmes de recherche de mots de
passe
– Qui peuvent tester jusqu’à 1.200.000 mots/s

Il suffit de trouver un seul mot de passe pour entrer

dans un système !
67
 Stratégies de groupes – Stratégies
d’audit (Machine)

68
 Stratégies de groupes (machines) –
Modèles d’administration

69
 Stratégies de groupes pour l’utilisateur

Programmes lancés
automatiquement à
l’ouverture ou à la
fermeture d’une
session

70
 Stratégies de groupes – Paramètres Windows

71
 Stratégies de groupes – Paramètres
Windows

 On peut modifier la valeur par défaut des dossiers

Windows
 Par exemple, on peut les placer sur un serveur de
données accessible via le réseau.
72
 Stratégies de groupe (utilisateur)

73
 Stratégies de groupe (utilisateur)

74
 Stratégies de groupes – Paramètres
Windows (Utilisateur)

75
 Stratégies de groupes – Priorités
La stratégie de groupe du
domaine est appliquée
en premier

Les stratégies des UO

sont appliqués les unes
après les autres

« Le dernier qui parle a raison »

76
 Stratégies de groupes – Filtrage

FILTRAGE
Pour refuser que la
GPO s'applique à
l'utilisateur lagaffe

77