Вы находитесь на странице: 1из 50

Contrleur de Domaine

CHAPITRE II

Les tapes dinstallation de Windows Server 2003

-1-

Contrleur de Domaine

I. Prsentation
Linstallation de Windows Server 2003 est identique celle de NT4 ou de W2000. Elle peut se raliser soit partir du CD-ROM ou travers le rseau. En plus comme avec W2000 vous pouvez automatiser linstallation via un fichier de rponses permettant de ne pas rpondre aux questions poses. Linstallation la plus simple consiste utiliser le cdrom de Windows 2003 serveur. Il faut alors rgler le BIOS du serveur pour que le dmarrage seffectue dabord sur le cdrom, puis sur le disque systme. Pour des raisons de scurit, il convient aprs linstallation de remettre la squence de boot avec un dmarrage Uniquement sur le disque systme, ainsi quun mot de passe daccs au BIOS.

II. Phases de lInstallation


Choix de la partition et du systme de fichiers Options Rgionales Nom et Organisation N de srie Mode de licence: Par Serveur ou Par priphrique ou par Utilisateur. Nom de lordinateur et mot passe de ladministrateur Date et heure Paramtres rseau: par dfaut seul TCP/IP est propos Groupe
domaine de Travail ou

Si votre serveur dispose dun contrleur SCSI et/ou RAID, vous devrez certainement fournir le pilote de votre matriel ds cette phase dinstallation afin que les disques soient reconnus.

-2-

Contrleur de Domaine Pour cela surveillez bien la ligne en bas dcran et APPUYER SU R F6 lorsquun message vous y invite. Attention, il faut tre rapide ! Dans le cas des contrleurs de disques les plus standard, Windows 2003 serveur dispose dj des pilotes. Dans ce cas, laissez linstallation se poursuivre.

Nous allons procder une installation complte de Windows 2003 serveur. Appuyez sur ENTREE

Acceptez le contrat de licence en appuyant sur F8

Il est indispensable de crer au moins une partition (celle du systme) lors que linstallation. Les autres partitions pourront tre crs en mode graphique aprs linstallation.

-3-

Contrleur de Domaine Loutil de gestion des disques en mode graphique est plus souple dusage et plus complet que celui-ci. Nous ltudierons ultrieurement

Il est indispensable de formater La partition systme en NTFS

2.1

Avantages du systme de fichier NTFS :

Gestion de la scurit des fichiers et dossiers Temps de recherche dun lment parmi N lments, plus court quen FAT Quotas de disque Cryptage des fichiers Limite thorique de 16 Eo (Exaoctets). Aujourdhui la limite se trouve au niveau du matriel/BIOS.

Autre avantage, lorsque la taille du disque augmente, elle ne s'accompagne pas d'une dgradation des performances comme avec les systmes FAT. Le systme de fichier NTFS est particulirement conseill (voir obligatoire) pour : Scuriser des donnes Faire dun serveur un contrleur de dom aine Grer un cryptage des donnes Mettre en place de nom breuses fonctions de Windows 2003 serveur qui exigent NTFS pour fonctionner

Le disque est format

-4-

Contrleur de Domaine

Puis les fichiers y sont copis

Lordinateur redmarre. ATTENTION, si le cdrom dinstallation de Windows 2003 serveur est encore dans le lecteur NE PRESSEZ AUCUNE TOUCHE lors de la squence de boot afin de ne pas dmarrer sur le cdrom. Sinon, vous relanceriez une nouvelle installation !

Linstallation passe maintenant en mode graphique.

-5-

Contrleur de Domaine

Il est possible de personnaliser linstallation, notamment les paramtres rgionaux. Vous pourrez toujours retourner en arrire en utilisant le bouton Prcdent. Ajoutez la langue Franais (France) Si cela nest pas dj fait. Il vous sera toujours possible de modifier ces paramtres aprs linstallation en utilisant Options rgionales qui se trouve dans Panneau de configuration

Compltez cet cran. Il sagit dinformations qui nont pas dincidence sur le fonctionnement du serveur

Indiquez la cl du produit

-6-

Contrleur de Domaine

Windows 2003 Server prend en charge deux modes de licence : Le mode de licence Par serveur, une licence d'accs client est ncessaire pour chaque connexion simultane un serveur. Cela signifie qu' un instant donn, le serveur Windows 2003 ne peut prendre en charge qu'un nombre fixe de connexions. Le mode de licence Par priphrique ou par utilisateur ncessite une licence d'accs client pour chaque ordinateur qui accde un serveur Windows 2003. Avec une licence d'accs client, un ordinateur client peut se connecter un nombre illimit de serveurs Windows 2003

Entrez un nom d'ordinateur, 15 caractres maximum pour viter les soucis.

Il est conseill d'utiliser uniquement les caractres Internet standard dans le nom d'ordinateur. Ce sont les chiffres de 0 9, les lettres majuscules et minuscules de A Z

-7-

Contrleur de Domaine et le trait d'union (-). Mieux vaut donc utiliser SERV-2003 plutt que SERV_2003 !!!

Dans la zone Mot de passe Administrateur, tapez un mot de passe (127 caractres au maximum). Pour une scurit systme maximale, utilisiez un mot de passe dau mois 7 caractres en mlangeant les lettres majuscules et minuscules, les nombres et dautre caractres, tels que *, ? ou @. Pour des raisons de scurit, il est conseill daffecter un mot de passe renforc au compte dadministrateur.

Le programme d'installation de Windows 2003 cre un compte d'utilisateur sur votre ordinateur appel Administrateur qui dispose de privilges d'administration pour la gestion de la configuration globale de votre ordinateur. Le compte Administrateur est destin la personne qui gre cet ordinateur. Pour des raisons de scurit, il est INDISPENSABLE d'indiquer un m ot de passe pour le compte Administrateur. Si la zone Mot de passe Administrateur est vide, il n'existe pas de mot de passe pour le compte.

Ltape suivante consiste ajuster lheure, la date et le fuseau horaire.

Linstallation se poursuit

-8-

Contrleur de Domaine

Si votre carte rseau nest pas reconnue, linstallation se termine. Vous devez ensuite mettre jour vos priphrique (carte rseau, chipset, etc.). Si le(s) priphrique(s) sont dtect(s) vous pouvez configurer interface rseau tout de suite. Le programme dinstallation nous propose maintenant de personnaliser les paramtres rseau. Le bouton paramtres personnaliss permet de dfinir une adresse ip fixe. Ce qui est indispensable pour un serveur !

Si votre ordinateur dispose de plusieurs interface rseaux, vrifier quelle est celle que vous configurez actuellement. Les mmes types dcrans se succderont pour les autres cartes rseaux si elles sont toutes reconnues lors de linstallation initiale. On choisit ensuite de modifier les proprits du protocole Internet (TCP/IP).

Choisir ladresse IP du serveur, la passerelle. Choisir pour le DNS ladresse du serveur Windows 2003 lui-mme. Dans un second temps, lorsque ce serveur deviendra un contrleur de domaine il disposera forcment du service DNS. Sil sagit de linstallation dun serveur autonome ou dun deuxime serveur il est possible dindiquer

-9-

Contrleur de Domaine ladresse IP dun serveur DNS existant dj sur le rseau.

Garder loption par dfaut le serveur reste dans WORKGROUP

Linstallation se termine. Le programme dinstallation va maintenant redmarrer votre ordinateur.

Au redmarrage, vous devez ouvrir une session pour accder aux rglages du serveur via linterface graphique.

En usage courant, il nest pas utile douvrir une session. Le serveur fonctionne compltement sans cela. Ce nest utile que pour vrifier le bon fonctionnement et faire les rglages des services mis en place.

- 10 -

Contrleur de Domaine

Dailleurs, nous verrons par la suite quil est possible de se connecter au serveur distance sans avoir ouvrir une session localement.

Lors du redmarrage, vous vous retrouvez avec un assistant trs bien fait et assez convivial. Nous allons promouvoir le serveur en contrleur de domaine. Cela se traduit par linstallation dActive Directory et du service DNS Linstallation dActive directory a t grandement amliore par rapport Windows 2000 serveur. Nous pouvons dsormais faire confiance lassistant. Par la suite, nous ne l'utiliserons plus ou trs peu afin de voir dautre mthodes dinstallation des services.

- 11 -

Contrleur de Domaine

CHAPITRE III

Mise en place dun Contrleur de Domaine

- 12 -

Contrleur de Domaine

I. Groupe de Travail ou Domaine :

1.1. Prsentation
Un Domaine permet la centralisation de la scurit et de ddier le rle des ordinateurs utiliss. Les Serveurs ont des fonctionnalits ddies (partages ressources, serveurs de fichiers ) quils mettent disposition du rseau. Les Stations de travail sont clientes du serveur. Elles ont accs aux ressources du serveur par Authentification de lutilisateur (nom et mot de passe) ou de lordinateur Laccs est individualis par lutilisation des listes de contrle daccs (ACL) pour autorisations spcifiques des utilisateurs individuels ou ensemble dutilisateurs

1.2. Groupe de Travail


Dans un groupe de travail, chaque micro est gr individuellement. Bien souvent cest lUtilisateur qui est Administrateur de son poste, il aura aucun droit sur les autres ordinateurs et pas de possibilit daccder aux ressources du rseau Cela convient pour une dizaine de postes. Tous les postes peuvent tre la fois serveur et station de travail Chaque ordinateur possde une Bases de comptes locale appele SAM (Security Account Manager) Le seul avantage du rseau poste poste est la facilit de mise en place.

- 13 -

Contrleur de Domaine

1.3. Domaine
En Domaine la Scurit peut tre centralise (services dannuaire AD Active Directory). En domaine un ordinateur peut tre utilis par plusieurs utilisateurs avec pour chacun un environnement centralis et donnes prives scurises inaccessibles pour les autres utilisateurs. Lorganisation en domaine ncessite quune seule saisie de son nom et mot de passe pour accder aux diffrentes ressources du domaine. Windows 2000/2003 serveur, utilisent un annuaire pour hirarchiser tous les objets du domaine. Tout le fonctionnement de lannuaire est bas sur la rsolution de nom DNS. Il est donc indispensable davoir un serveur DNS Windows 2000 serveur ou Windows 2003 sur le domaine afin dassurer le bon fonctionnement des services du rseau, notamment lauthentification des clients.

II. Outils dAdministration 2.1 Installer les outils par dfaut.

Un groupe Outils dadministration est automatiquement cr avec plusieurs consoles de gestion. Par contre tous les outils ne sont pas installs par dfaut. Certains ne le seront uniquement que si les services correspondants sont installs. Un exemple classique est linstallation de la console DHCP sur un serveur uniquement si le service DHCP est install. Il est possible dinstaller tous les outils qui se trouvent dans le fichier adminpak.msi.

Tous les outils sont disponibles sur le CD-Rom de W2003 Server dans le dossier I386 ou dans le dossier %systemroot%\system32 quand le serveur est install.

- 14 -

Contrleur de Domaine

III. Installation de lActive Directory 3.1. Introduction :


Active Directory Service est le service LDAP implant par Windows 2003 Server pour la gestion d'annuaires. Il est utilis pour toutes les tches d'administration demandant une forte implantation rseau et en particulier pour la cration de domaines. De base, Active Directory n'est pas install sous Windows 2003. Au cours de son installation, un domaine devra tre dfini. La machine d'installation pourra prendre diffrents rles:

premier contrleur d'un nouveau domaine dans une nouvelle fort, premier contrleur d'un domaine enfant d'un domaine existant, premier contrleur d'un nouveau domaine dans une fort existante, contrleur supplmentaire au sein d'un domaine existant.

Deux mthodes sont possibles pour installer Active Directory:

Utiliser l'utilitaire "Grer votre serveur" qui simplifie l'installation sans poser les questions les plus pointues. Il installe et configure a minima AD, DNS et DHCP pour un nouveau domaine dans une nouvelle fort. Utiliser l'assistant "dcpromo" (lanc en ligne de commande) qui permet de contrler tous les aspects de l'installation.

3.2. Utilisation de l'utilitaire dcpromo


A. Quelques dfinitions importantes :
Contrleur de domaine

Dans une fort Active Directory, serveur contenant une copie inscriptible de la base de donnes Active Directory, participant la rplication Active Directory et contrlant l'accs aux ressources rseau. Les administrateurs peuvent grer les comptes d'utilisateurs, l'accs rseau, les ressources partages, la topologie du site et les autres objets d'annuaire partir de n'importe quel contrleur de domaine de la fort. Contrleur de domaine supplmentaire

Tout contrleur de domaine install sur un domaine existant. Tous les contrleurs de domaine participent de manire gale la rplication Active Directory mais, par dfaut, le premier contrleur de domaine install sur un domaine se voit attribuer la proprit des oprations matre unique.

- 15 -

Contrleur de Domaine

Domaine enfant

Pour DNS et Active Directory, domaine de l'arborescence de l'espace de noms situ immdiatement sous un autre nom de domaine (le domaine parent). Par exemple, exemple. societe.dl est un domaine enfant du domaine parent societe.dl. On parle aussi de sous-domaine. Arborescence de domaine

Dans DNS, structure de l'arborescence hirarchique inverse utilise pour indexer les noms de domaines. Dans leur but et leur concept, les arborescences de domaines sont identiques aux arborescences de rpertoires utilises par les systmes de fichiers des ordinateurs pour le stockage sur les disques. Par exemple, lorsque de nombreux fichiers sont stocks sur un disque, les rpertoires peuvent tre utiliss pour organiser les fichiers de faon logique. Lorsqu'une arborescence de domaine comprend plusieurs branches, chaque branche peut organiser en ensembles logiques des noms de domaines utiliss dans l'espace de noms. Dans Active Directory, structure hirarchique d'un ou plusieurs domaines lis par des relations d'approbations bidirectionnelles et transitives formant un espace de noms contigu. Plusieurs arborescences de domaine peuvent appartenir la mme fort. Fort

Un ou plusieurs domaines Active Directory qui partagent les mmes dfinitions de classe et d'attribut (schma), les mmes informations relatives au site et la rplication (configuration), et les mmes fonctionnalits de recherche dans la fort (catalogue global). Les domaines d'une mme fort sont lis par des relations bidirectionnelles et transitives.

B. Installation d'un nouveau domaine dans une nouvelle fort

Dbut de l'installation Directory Service

d'Active

- 16 -

Contrleur de Domaine

Choix du type de contrleur de domaine: un nouveau contrleur ou un contrleur supplmentaire. Ici, un contrleur de domaine pour un nouveau domaine

Choix du type de domaine cr : - Nouveau domaine nouvelle fort. dans une

- Nouveau domaine enfant dans une arborescence de domaines existante dans une fort existante. - Nouveau domaine dans une nouvelle arborescence de domaine au sein d'une fort existante Ici, un nouveau domaine dans une nouvelle fort

Choix du nom du domaine cr (nom complet)

- 17 -

Contrleur de Domaine

Choix du nom du domaine NetBIOS pour compatibilit avec les versions antrieures de Windows

Emplacements de stockage des informations ADS

- 18 -

Contrleur de Domaine

Alerte relative pour ce domaine

l'absence

d'un

serveur

DNS

compatible

Installation de la machine en serveur DNS.

Toujours pour compatibilit avec les anciennes versions de Windows

Dfinition du mot de passe administrateur pour le redmarrage en mode restauration ADS

- 19 -

Contrleur de Domaine

Rsum de l'installation demande

Dbut de l'installation

Installation en cours

- 20 -

Contrleur de Domaine Dbut d'installation du service DNS

Fin d'installation de DNS

Fin d'installation Directory

d'Active

Redmarrage de la machine

- 21 -

Contrleur de Domaine

Aprs redmarrage, Active Directory est en fonctionnement pour la gestion du domaine societe.dl Le service DNS est lui aussi en fonctionnement, mais il n'est pas configur.

3.3. Ouverture de Session dun utilisateur :

Lorsquun utilisateur dmarre sa station de travail, celui est invit sauthentifier auprs du serveur et renseignant :
1) Son nom utilisateur, qui est le compte qui aura t cr au pralable sur le serveur. 2) Son mot de passe. Cette information est vitale car cest grce celle-ci que lon prouve

bien tre la personne que lon prtant tre. Dou lintrt de ne pas la communiquer outrance, sous peine de se faire voler son identit.
3) Le domaine, cette information reprsente lentit logique laquelle on souhaite se

rattacher. Il est possible de choisir entre le domaine auquel on est attach ou localement en utilisant les comptes locaux. Il est souvent ncessaire dutiliser la combinaison des touches CTRL+ALT+SUPPR pour faire apparatre cette bannire de login. A partir du moment o lauthentification a t valide, toutes les oprations effectues ainsi que les droits accords lutilisateur se feront par rapport ce compte.

IV. Comptes utilisateurs


Un compte utilisateur est un enregistrement dans une base de donnes qui dfinit un utilisateur auprs de Windows 2003. Cet enregistrement comporte le nom de l'utilisateur sous ses diffrentes formes, son mot de passe, les groupes dont il est membre et d'autres informations comme ses droits et autorisations. Un compte utilisateur permet d'ouvrir une session dans un domaine ou sur l'ordinateur sur lequel l'utilisateur travaille.

A. Utilisateurs de domaines
Avec un compte d'utilisateur de domaine, l'utilisateur peut ouvrir une session pour accder aux ressources autorises du rseau. L'utilisateur fournit son nom de compte et son mot de passe, Windows 2003 authentifie l'utilisateur et lui renvoie un jeton d'accs qui contient les lments relatifs l'utilisateur et ses paramtres de scurit. Ce jeton d'accs permet l'utilisateur d'accder aux diffrents ordinateurs sur lesquels se situent les ressources auxquelles il peut parvenir.

- 22 -

Contrleur de Domaine Le compte utilisateur est stock dans la base de donnes d'Active Directory, l'Annuaire, prsente sur les contrleurs de domaine. La duplication des comptes sur les diffrents contrleurs est effectue automatiquement, mais peut prendre plusieurs minutes. Une remise jour de la liste des comptes sur chaque contrleur de domaine est effectue toutes les cinq minutes.

B. Utilisateurs locaux
Un compte d'utilisateur local (c'est--dire un utilisateur qui travaille directement sur la machine sans passer par le rseau) permet d'ouvrir une session uniquement sur l'ordinateur qui contient le compte de l'utilisateur cr. Le compte est contenu dans une base de donnes locale et n'est pas duplique sur d'autres ordinateurs. Pour crer un compte dutilisateur local sur une station, n'utilisez pas la console "Utilisateurs et mots de passe" dans le panneau de configuration, mais la console "Gestion de lordinateur", puis "Utilisateurs et groupes locaux". (Sur une station ou un serveur autonome).

4.1. Cration dun compte dutilisateur sur un ordinateur local


Se fait en utilisant la console Gestion de lordinateur et lextension Utilisateurs et groupes locaux

Cration dun compte utilisateur

- 23 -

Contrleur de Domaine

Cration dun compte utilisateur

Nom dutilisateur (Obligatoire): nom saisi par lutilisateur pour entrer en session. (< 20 caractres). Nom dtaill : C'est le nom complet de l'utilisateur. (utilis des fins administratives) Description: indique la fonction de lutilisateur, sa situation gographique Mot de passe et confirmer le mot de passe : A la cration du compte, ladministrateur peut dfinir un mot de passe quil devra communiquer lutilisateur. Ils nest jamais visible mme par un administrateur. Options de mot de passe: prcisent comment le mot de passe de l'utilisateur doit tre chang. L'utilisateur doit changer le mot de passe la prochaine ouverture de session Concerne la majorit des utilisateurs. Lorsque le compte est cr par l'administrateur, ce dernier force le mot de passe d'ouverture de session.

Obliger l'utilisateur le changer immdiatement garantit que l'administrateur n'en aura plus connaissance et ne pourra pas utiliser l'identit de l'utilisateur. (rgles sur mot de passe)

L'utilisateur ne peut pas changer le mot de passe (compte sensible) Utilis pour les comptes partags par plusieurs utilisateurs. Garantir qu'un utilisateur ne peut pas changer le mot de passe, c'est s'assurer que les autres auront toujours accs ce compte.

Le mot de passe n'expire jamais Option outrepasse les paramtres de la Stratgie de Compte. (par dfaut les mots de passe expirent aprs 42 jours, option dfinie dans la stratgie de scurit locale ou du domaine). Utilis pour certains comptes qui ne sont pas souvent utiliss. (compte systme ou compte de secours pour l'administrateur). Lorsque le compte a expir lutilisateur est invit le changer lors de louverture de session. - 24 -

Contrleur de Domaine Le compte est dsactiv Permet d'interdire l'accs aux ressources pour un compte particulier. Les comptes des utilisateurs momentanment absents doivent tre dsactivs. Un compte dsactiv est marqu par une croix rouge sur son icne.

4.2. Gestion et Configuration des Comptes Utilisateurs dans un Domaine


Tout utilisateur souhaitant se connecter sur le rseau et avoir accs ses ressources doit avoir un compte dutilisateur de domaine. Rappels : lorsquun utilisateur se connecte au domaine, les informations douverture de session sont envoyes un contrleur de domaine pour quelles soient compares avec celles contenues dans la base dannuaire Active Directory. Ds lidentification valide lutilisateur pourra accder toutes les ressources correspondantes ses permissions.

A. Compte dutilisateur de domaine


Dans le but de crer de nouveaux utilisateurs, vous devez prendre en compte les trois points suivants : Respecter les conventions de dnominations de comptes utilisateurs Planifier la configuration des mots de passe Dfinir les options de comptes Comme pour la base locale il existe plusieurs comptes et groupes prdfinis dans la base Active Directory. Parmi ces utilisateurs on retrouve bien videmment Administrateur et Invit.

B. Conventions de noms
Noms d'utilisateurs uniques : Il peut exister 2 noms relatifs dans un mme domaine, mais pas dans une mme UO. Par contre, il ne peut pas y avoir 2 noms uniques dans un mme annuaire.

Noms uniques et noms uniques relatifs.

- 25 -

Contrleur de Domaine La longueur maximale du nom est de 20 caractres en majuscules ou minuscules. La casse n'est pas prise en compte. Certains caractres sont interdits / \ [ ] : ; , + * , < >

C. Mot de passe
Il faut systmatiquement attribuer un mot de passe l'administrateur. Il faut dterminer si ce sont les administrateurs ou les utilisateurs qui grent les mots de passe. En gnral, ce sont ces derniers qui grent leur mot de passe, mais l'administrateur peut les obliger en changer de manire rgulire. Les mots de passe doivent tre difficiles deviner pour un intrus ventuel. La longueur des mots de passe peut atteindre 128 caractres, une longueur de 5 caractres minimum est recommande.

Exemple de paramtres possibles : Les mots de passe doivent comporter au moins 6 caractres Le nom de lutilisateur ou mme une partie de ce nom, ne doit pas apparatre dans le mot de passe. Les mots de passe doivent employer trois des quatre types de caractres disponibles : minuscules, majuscules, chiffres et symboles. Pour appliquer ces rgles il faut activer la stratgie Le mot de passe doit respecter des exigences de complexit. 4.2.1. Cration dun compte utilisateur de domaine La cration de compte dun domaine se ralise partir de la console Utilisateurs et Ordinateurs Active Directory. Un utilisateur peut tre cr dans nimporte quel conteneur. Il suffit de slectionner lOU ou le conteneur systme cible et partir du menu contextuel valider Action Nouveau Utilisateur.

Cration compte utilisateur de domaine

- 26 -

Contrleur de Domaine Nota : On peut remarquer la cration de lUser krbtg qui est un compte ne pouvant tre activ. Il est utilis par le protocole dauthentification Kerberos qui utilise sont mot de passe pour des fonctions de cryptage. (Ncessite dactiver Fonctionnalits avances du menu Affichage)

Cration compte utilisateur de domaine 2

Prnom, Initiales, Nom : champs permettant de renseigner les prnoms, initiales et nom de famille de lutilisateur. Nom complet : nom complet de l'utilisateur, Il est obligatoire et Unique dans le conteneur (U.O) ou l'on cre le compte. Ne doit pas dpasser 64 caractres. Si les champs prcdents ont t renseigns, il contient par dfaut les champs PRENOM + INITIALES + NOM. Il peut tre modifi de faon indpendante des noms prcdents. Nom d'ouverture de session de l'utilisateur : UPN (User Principal Name) : Zone de gauche dans laquelle on renseigne le nom d'ouverture de session de l'utilisateur et une zone indiquant le nom de domaine dans lequel on cre l'utilisateur. Les deux runis constituent le nom principal d'utilisateur, permettant d'ouvrir une session avec ce nom (ex :maurice@afpa.fr). Obligatoire et unique dans la fort. Nom d'ouverture de session de l'utilisateur (avant l'installation de Windows 2000) : nom que devra saisir un utilisateur voulant ouvrir une session d'une station NT4 par exemple. Il doit tre unique dans le domaine.

Cration d'un utilisateur de domaine 3

Mot de passe et Confirmer le mot de passe : Ladministrateur peut donner un mot de passe lutilisateur

- 27 -

Contrleur de Domaine L'utilisateur doit changer le mot de passe la prochaine ouverture de session: Concerne la majorit des utilisateurs. Lorsque le compte est cr par l'administrateur, ce dernier force le mot de passe d'ouverture de session. Cela oblige l'utilisateur le changer immdiatement. Cela garantit que l'administrateur n'en aura plus connaissance et ne pourra pas utiliser l'identit de l'utilisateur. L'utilisateur ne peut pas changer le mot de passe (compte sensible ..) : Utilis pour les comptes partags par plusieurs utilisateurs. Cela garanti qu'un utilisateur ne peut pas changer le mot de passe, et c'est s'assurer que les autres auront toujours accs ce compte. Le mot de passe n'expire jamais : Option qui outrepasse les paramtres de la Stratgie de Compte. Utilis pour certains comptes qui ne sont pas souvent utiliss. (compte systme ou compte de secours pour l'administrateur). Le compte est dsactiv : Permet d'interdire l'accs aux ressources pour un compte particulier. Les comptes des utilisateurs momentanment absents doivent tre dsactivs

Il est possible dutiliser la cration en ligne de commande dun compte utilisateur. Pour cela entrez la commande : User cn=utilisateur, ou=unit_organisationelle, dc=domaine. 4.2.2. Proprits dun compte utilisateur Slectionnez lutilisateur puis Action Proprits (menu contextuel)

Proprits compte de domaine

- 28 -

Contrleur de Domaine Proprits personnelles sont les attributs des utilisateurs. (@dresse, n tlphone, e_mail ). Ces Informations sont stockes dans la Base dannuaire. Elles permettent de localiser un utilisateur dans AD. Environnement, Sessions, Contrles Distance, profiles de services Terminal Server sont utilises pour le service Terminal Server. Certificats publis: gre les certificats de lutilisateur Membre de: Groupe auquel appartient lutilisateur. Appel entrant: Paramtrage de lutilisateur daccs distant. Objet: Informations sur les dates de cration, modification de lobjet et affichage du N USN. Scurit: droits daccs sur lobjet utilisateur. Gnral: infos gnrales de type nom, prnom. Adresse, Tlphone, Organisations: Infos de types gnrales sur lutilisateur

- 29 -

Contrleur de Domaine

Enregistrer le mot de passe en utilisant un cryptage rversible: permet un utilisateur de MAC douvrir une session. Une carte puce est ncessaire pour ouvrir une session interactive. Le compte est approuv pour la dlgation: Permet un service excut au moyen de ce compte d'effectuer des oprations au nom d'autres comptes d'utilisateurs du rseau. Le compte est sensible et ne peut tre dlgu: sil nest pas souhaitable dutiliser la dlgation pour ce compte pour des raisons de scurit. Utiliser les types de cryptage DES pour ce compte. La pr authentification Kerberos nest pas ncessaire: dans le cas de certaines implmentations diffrentes de Kerberos.

- 30 -

Contrleur de Domaine 4.2.3. Rechercher des personnes ou ordinateurs ou objets dans Active Directory A laide des renseignements que vous venez de rentrer dans la saisie du compte utilisateur par exemple, vous pouvez retrouver un utilisateur dans tout Active Directory. Et de deux faons. Menu Action Rechercher de la console Utilisateurs et ordinateurs Active Directory. Validez le menu Action rechercher ou utiliser les requtes enregistres dans la rubrique Requtes sauvegardes. Soit partir des fonctions classiques du menu Dmarrer Rechercher en indiquant de raliser cette recherche dans Active Directory. Ds le contact tablit avec la personne recherche ou lobjet de nombreuses actions peuvent tre entreprises tels : envoi dun message lectronique, ouvrir sa page Internet .

Rechercher personne (objet) dans Active Directory 1

Rechercher personne (objet) dans Active Directory 2

rechercher personne (objet) dans Active Directory 3

- 31 -

Contrleur de Domaine

rechercher personne (objet) dans Active Directory - 4

Cette recherche peut tre ralise en mode commande en tapant la commande en ligne DSQUERY. 4.2.4. Options de compte Vous pouvez attribuer certaines options au compte de chaque utilisateur.

A. Heure de disponibilit ou restrictions dhoraires


Vous pouvez restreindre les heures d'accs de l'ordinateur de manire ce que des intrus ne puissent utiliser l'ordinateur pendant l'absence de l'utilisateur autoris. Cest utilis pour la scurit. Il vous suffit de dfinitif des heures douverture de session (Horaire daccs)

Horaires daccs

- 32 -

Contrleur de Domaine

B. Ordinateurs autoriss
Vous pouvez autoriser la connexion au rseau certains utilisateurs qu' partir d'un seul ou de plusieurs ordinateurs. Cette fonction ncessite que le protocole NetBIOS sur TCP/IP soit activ. (Onglet Proprits avances de TCP/IP). C'est ce protocole qui permet d'identifier les ordinateurs par leurs noms. Par dfaut, les utilisateurs peuvent travailler en rseau partir de n'importe quel ordinateur du domaine.

Restrictions stations daccs

C. Expiration de compte
Si votre entreprise embauche des employs temporaires, ajoutez l'option "Date d'expiration de compte". A la fin de leur contrat, leur compte est automatiquement dsactiv.

Date dexpiration de compte

- 33 -

Contrleur de Domaine

D. Copie dun compte utilisateur


Cest utile si vous avez de nombreux utilisateurs identiques crer. Vous devez choisir un compte modle puis partir du menu Action Copier (ou menu contextuel). Avec une copie les lments suivants sont conservs. Restrictions horaires, Majorit des Options de comptes sur le mot de passe Restriction daccs Date expiration Appartenance aux groups Options de profil et de dossier de base ( condition que la variable %username% soit utilise la place du nom dusers).

Copier un compte utilisateur

V. Profils 5.1. Profil par dfaut et Profil Utilisateur


Un profil utilisateur est un ensemble de dossiers et de donnes qui reprsentent : l'environnement du bureau les paramtres d'un utilisateur ses donnes personnelles ses connexions rseau la liste des programmes qui apparaissent dans le menu "Dmarrer"

- 34 -

Contrleur de Domaine Le profil utilisateur permet chaque utilisateur l'ouverture de chaque session de retrouver un environnement de travail identique. Lorsquun utilisateur se connecte lenvironnement de travail se compose de paramtres spcifiques lutilisateur et de paramtres spcifiques la machine. Tous les paramtres utilisateurs sont dsigns sous le nom profil utilisateur Dossiers personnels et donnes du Registre, lexception des paramtres du bureau pour All Users, les paramtres machine rsident dans le Registre local.

5.2. Profils d'utilisateurs itinrants


Si un utilisateur travaille sur plusieurs ordinateurs, il risque d'avoir des profils diffrents sur chaque machine. Pour qu'il puisse retrouver un environnement identique, son profil va tre stock sur un serveur. Lorsque le profil itinrant existe sur le serveur, au moment de la connexion de l'utilisateur, son profil est transmis du serveur vers l'ordinateur sur lequel la session a t ouverte. L'utilisateur retrouve ainsi tous ses paramtres de travail et en particulier son "Bureau" habituel. Le fichier qui contient le profil itinrant est nomm Roaming User Profil, RUP. A la premire session ouverte sur un ordinateur par un utilisateur itinrant, le fichier RUP est copi sur l'ordinateur ainsi que les donnes contenues dans le profil de l'utilisateur. A l'ouverture des sessions suivantes, le contenu du profil local est compar au contenu du profil sur le serveur. La mise jour est effectue automatiquement. A chaque fermeture de session, les modifications apportes au profil local sont envoyes au profil contenu sur le serveur. 5.2.1. Profils obligatoires Si vous avez cr des profils d'utilisateurs itinrants et que vous souhaitez qu'ils ne soient pas modifis, vous les positionnez en mode lecture seule. De cette manire, les utilisateurs travaillent dans l'environnement qui leur a t assign. Le fichier Ntuser.dat contient les paramtres d'environnement de l'utilisateur. Si l'accs de ce fichier sur le serveur est en lecture seule, l'utilisateur recharge toujours le mme environnement et le fichier sur le serveur ne peut tre modifi, mme si l'utilisateur a opr des modifications en cours de session. Cette opration seffectue en renommant le fichier NtUser.dat en NtUser.man. 5.2.2. Configuration d'un profil d'utilisateur itinrant Les fichiers RUP peuvent tre placs soit sur le serveur contrleur de domaine, soit si la charge de ce serveur est importante, sur un autre serveur membre. Les fichiers RUP sont positionner dans un dossier partag \\serveur\partage. Il est conseill de nommer le partage "profils". Dans l'onglet "Profil" de la bote de dialogue "Proprits" du compte utilisateur, indiquez le chemin, suivi du nom de l'utilisateur \\serveur\profils\NomUtilisateur ou encore \\serveur\profils|%uservame%. %username% sera remplac par le nom de l'utilisateur. Ce travail se fait de prfrence sur le serveur en ouvrant la console "Utilisateurs et ordinateurs Active Directory" dans "Outils d'administration".

- 35 -

Contrleur de Domaine

Sur la station, la premire connexion de l'utilisateur, s'il est reconnu par la station, le profil par dfaut est copi dans le profil utilisateur. Au moment de la dconnexion, le profil de l'utilisateur est recopi sur le serveur dans le chemin indiqu.

- 36 -

Contrleur de Domaine

5.3. Dossier de base


En plus du dossier "Mes Documents", il est possible sous Windows 2003 de crer un dossier de base pour chaque utilisateur. Cest le rpertoire par dfaut local (utilisateur sdentaire) ou distant (utilisateur itinrant ou nomade ) sur un rpertoire partag du serveur rseau o le SE va placer lutilisateur louverture de session Le dossier de base peut se situer soit sur l'ordinateur de travail, soit dans un partage sur un serveur. Le dossier de base peut tre une racine DFS. De cette faon les utilisateurs itinrants peuvent accder leurs donnes partir de plusieurs ordinateurs. Les utilisateurs peuvent sen servir pour stocker, ou rcuprer des dossiers personnels De nombreuses applications utilisent ce dossier comme destination par dfaut des oprations Enregistrer ou Enregistrer sous , ce qui fait que les donnes sont faciles retrouver. Par dfaut ils seront placs dans ce dossier de Base louverture dune Invite de commande . Cette mthode de travail facilite par ailleurs les sauvegardes. Pour utiliser un dossier de base, il faut : Crer un dossier partag sur le serveur. Les dossiers de base de chaque utilisateur y seront stocks. Donner l'autorisation "Contrle total" aux groupes "Users" sur ce partage. Sur le serveur, indiquez le chemin du dossier de base dans l'onglet "Profil" des "Proprits" du compte de chaque utilisateur. Profil Dossier de Base Connecter lettre de lecteur entrez un chemin daccs rseau vers un rpertoire partag sur le serveur La connexion au rpertoire de base sera restaure automatiquement chaque ouverture de session

Exemple: (lecteur Z: chemin: \\AA\Users\%UserName%) La variable denvironnement \%UserName% prend le nom de lutilisateur courant

Cration du dossier de base d'un utilisateur.

- 37 -

Contrleur de Domaine

VI. Gestion des droits utilisateurs (GPO) : 6.1. Intrt :


Le but est de pouvoir grer les droits des utilisateurs lorsqu'ils se connectent au contrleur de domaine. Dans Active Directory, il est possible d'utiliser des stratgies de groupe (GPO) que l'on dfini au niveau des units organisationnelles (OU).

6.2. Exemple concret :


En utilisant les units Organisationnelles cres prcdemment, nous allons dfinir des stratgies de groupes (GPO)

- 38 -

Contrleur de Domaine

On slection proprits dunits organisationnelles que nous crions

Cration d'une nouvelle stratgie de groupe : (on clique sur Nouveau)

- 39 -

Contrleur de Domaine

Cration de la strategie de groupe GPO-test :

- 40 -

Contrleur de Domaine

Modification de la stratgie

6.3. Exemples des droits quon peut dfinir sur un GPO


Sur la stratgie de groupe on trouve deux types des droits quon peut attribuer un GPO soit les droits relatifs des comptes utilisateurs contenir dans une unit dorganisation ou bien des droits quon peut dfinir a des groupes des machines dun domaine. 6.3.1. Restreindre l'accs aux lecteurs du poste de travail :

Dans cet exemple nous allons restreindre aux utilisateurs concerns par cette stratgie l'accs aux lecteurs du poste de travail.

Allez dans : Configuration utilisateur, modle d'administration, composants Windows puis explorateur Windows :

- 41 -

Contrleur de Domaine

Slectionner : Dans poste de travail, masquez ces lecteurs spcifis :

- 42 -

Contrleur de Domaine

6.3.2. Cration d'une restriction qui empche l'accs uniquement la disquette :

- 43 -

Contrleur de Domaine

6.3.3. Actualisation de la base dannuaire active directory Pour la prise en compte des stratgie, il faut excuter la commande gpupdate dans la commande excuter pour prendre en comte les derniers modification

6.3.4. Arrire-plan standard de bureau par configuration GPO

- 44 -

Contrleur de Domaine En peut appliqu une image standard en arrire plan de bureau des groupes des ordinateurs de domaine par quelque configuration sur stratgie de groupe comme illustre dans lexemple suivent :

On choisit la configuration utilisateur dans la stratgie de groupe puis modles dadministration bureau active desktop

Dons la liste des droits on choisit le droit papier peint Active Desktop et on dfinie les paramtres dans la fentre que se produis

6.3.5. Excution des programmes a louverture de session :

- 45 -

Contrleur de Domaine Lexemple suivent montre comment excuter des programmes a louverture de session sur un ordinateur membre de domaine

Allez dans : Configuration utilisateur, modle d'administration, systme puis ouverture/fermeture de session :

La proprit du droit excuter ces programmes a louverture de session utilisateur permet de dfinir les programme a excuter en clique sur le bouton afficher

- 46 -

Contrleur de Domaine

Saisir le nom de lexcution sil sagit dun composant Windows sinon il faut donner le chemin complet

6.4. Scripts douverture/fermeture de session


Les scripts douverture/fermeture de session permet dexcuter des tches sur lordinateur a louverture ou la fermeture de session utilisateur.

- 47 -

Contrleur de Domaine Windows Server 2003 cherche les scripts douverture/fermeture de session toujours au mme endroit : dans le dossier %systemroot%\SYSVOL\sysvol\domaine\scripts du contrleur utilis pour lauthentification. Il est caractris par : Cest un fichier de commandes excut louverture ou la fermeture de session de type Windows script ou Java script .vbs ou de type fichier de commande .bat, .cmd ou .exe Il est facultatif, stock sur le contrleur de domaine, tlcharg et excut louverture ou la fermeture de session par lutilisateur. Aspect procdure: possibilits de tests, dtablissement de connexions rseau, de lancement dapplications, rglage de lhorloge du systme, dfinir les chemins des lecteurs du rseau..

Pour dfinir un script douverture ou de fermeture de session entrez son nom dans Nom du script Ne donnez que le nom du script sans le chemin.

- 48 -

Contrleur de Domaine

6.4.1. Principales variables d'environnement utilisables dans un script


%HOMEDRIVE% %HOMEPATH% %HOMESHARE% %OS% %PROCESSOR_ ARCHITECTURE% %USERDOMAIN% %USERNAME%

Lecteur du rpertoire de base (disque local ou unit rseau) Rpertoire de base. Nom de partage contenant le rpertoire de base. Systme d'exploitation Type de processeur (par exemple x86) Domaine contenant le compte de l'utilisateur. Nom de l'utilisateur

6.4.2. Exemples de Script.

A. Script simple qui affiche des informations a lutilisateur


Rem "Fichier de dmo pour cours Windows 2003" @echo off if %Username% == Administrateur goto Admin Goto end :Admin @echo off @Echo Vous tes l'utilisateur (connect) ayant le compte utilisateur: %USERNAME% @Echo L'ordinateur sur lequel est excut ce script de connexion porte le nom de: %computername% @Echo Le nom du systme d'exploitation install sur l'ordinateur sur lequel vous excutez le script d'ouverture de session est: %OS% NET view pause Net ver pause calcl.exe echo on :end

B. Script qui supprimer tous les icons du bureau


Set objShell1 = CreateObject("WScript.Shell") Set objFSO1 = CreateObject("Scripting.FileSystemObject") DesktopPath1 = objShell1.SpecialFolders("Desktop") objFSO1.DeleteFile DesktopPath1 & "\*" objFSO1.DeleteFolder DesktopPath1 & "\*"

- 49 -

Contrleur de Domaine

C. Script qui cre quelques raccourcis spcifiques sur le bureau


Set WshShell = CreateObject("WScript.Shell") strDesktopPath = WshShell.SpecialFolders("Desktop") Set objShortcutLnk = WshShell.CreateShortcut(strDesktopPath & "\mm.lnk") Set objShortcutLnk2 = WshShell.CreateShortcut(strDesktopPath & "\kjk.lnk") Set objShortcutLnk3 = WshShell.CreateShortcut(strDesktopPath & "\blocnote.lnk") Set objShortcutLnk4 = WshShell.CreateShortcut(strDesktopPath & "\IDMAN.lnk") objShortcutLnk.TargetPath = "y:" objShortcutLnk2.TargetPath = "Z:" objShortcutLnk3.TargetPath = "notepad" objShortcutLnk4.TargetPath = "C:\\Program files\Internet Download Manager\IDMan.exe" objShortcutLnk.Save objShortcutLnk2.Save objShortcutLnk3.Save objShortcutLnk4.Save

D. Script de mappage des lecteurs rseau

Set oNet = CreateObject("Wscript.Network") oNet.MapNetworkDrive "Z:", "\\serv-a5bf7f06c3\kjk" Set oNet = CreateObject("Wscript.Network") oNet.MapNetworkDrive "Y:", "\\serv-a5bf7f06c3\mm" WSCript.Quit

- 50 -

Оценить