DNS. 1

Mise en place d’un serveur DNS. 3

Promouvoir en contrôleur de domaine. 4

Optimisation du DNS. 4

Serveur de catalogue global. 5

Création de comptes d'utilisateur à l'aide d'une importation en bloc. 7

Publication des partages et des imprimantes. 8

Les groupes. 8

Les unités organisationnel (OU). 10

Stratégies de groupe (GPO) 13

Bloquer l’héritage. 15

Ne pas passer outre . 17

Création et délégation des GPO.. 18

Pour pouvoir créer une GPO : 18

Lier une GPO à un objet : 19

Modifier une GPO : 20

Filtre . 21

Scripte dans une GPO. 22

Déploiement des applications. 22

DNS

 

 

 

Résolution de noms d’hôtes

 

v     Enregistrement SRV è enregistre également les services (ad)

v     Les enregistrements SRV permettent aux ordinateurs de déterminer l’emplacement des contrôleurs de domaine.

v     Les informations des enregistrements SRV  mappent les noms d’ordi DNS sur les services.

v     Windows 2000 utilise les enregistrements SRV pour déterminer l’emplacement d’un :

 

Ø      Contrôleur de domaine dans un domaine ou une forêt spécifique.

Ø      Contrôleur de domaine sur le même site que l’ordinateur client.

Ø      Contrôleur de domaine configuré en tant que serveur de catalogue global

Ø      Ordinateur configuré en tan que serveur KDC Kerberos.

 

Pour forcer l’enregistrement au près du DNS è ipconfig/registerdns

 

 

Zone de recherche directe è Résout les noms en IP.

        

         Nwtraders.msft       Lima                     192.168.1.6         A

        

Zone de recherché inverse è Résout les IP en noms.

         192.168.1.x           192.168.1.45                   Fab.nwtraders.msft PTR

 

 

                                                                                               Pointeur.

 

A l’ouverture de session c’est le DNS qui est contacté en premier et il redirige vers le contrôleur de domaine.

 

 

 

 

 

 

 

DNS en général.

 

Quand vous créer une :

                          Zone principale standard è fichier se trouve sur le disque

 

(nom de la zone .dns) lire et écrire les PC peuvent s’enregistrer et résoudre.

 

 

                              Zone principale secondaire è fichier se trouve sur le disque

 

(nom de la zone.dns) lire les PC ne  peuvent que résoudre (pas d’enregistrement )

Les zones secondaires sont la pour assurer une tolérance de panne.

 

                              Zone intégrée à l’active directory è Créer la même zone en lecture et écriture dans l’active directory, mais pour cela les serveur doivent être des contrôleurs de domaines, dans ce cas là les zones secondaires n’existent pas la tolérance de panne est assurée entre les différant contrôleur de domaines.

 

Configuration requise par le système DNS pour la prise en charge de l’active directory.

 

Ø      Prise en charge des enregistrements SRV (obligatoire)

 

Ø      Prise en charge du protocole de mise à jour dynamique (conseillée).

 

Ø      Prise en charge des transferts de zone incrémentiels (conseillée).

Mise en place d’un serveur DNS.

 

  1. Modifier le suffixe DNS principal du serveur dans ID réseau.
  2. Ajout-sup de programmes pour installer le service DNS.
  3. Créer une zone DNS de recherche direct.        Santiagodom.Nwtraders.msft
  4. Créer une zone de recherche inversée.            192.168.1
  5. Paramètres TCP/IP indiquer son n° DNS.
  6. Configurer la zone de recherche direct et inversée .(Pour la prise en charge de la mise à jour dynamique).
  7. Inscrire les enregistrements DNS de votre ordinateur Ipconfig/registerdns.
  8. F5 rafraîchir.
  9. Tester le fonctionnement du DNS : nslookup santiago.santiagodom.nwtraders.msft

                                                  Nslookup 192.168.1.8

 

Promouvoir en contrôleur de domaine.

 

Vérifier les dossier dans la zone DNS qui correspond aux enregistrements SRV.

(Les dossiers suivants s'affichent sous votre nom de domaine :_msdcs, _sites, _tcp et _udp .

 

          Si problème : net stop netlogon

                              net start netlogon

 

Vérifier si le dossier Sysvol est Créer et partagé.

                              Exécuter : %systemroot%\sysvol

 

Vérifier la base de donnée et les fichiers journaux correspondant sont créer

                              Exécuter : %systemroot%\NTDS

 

Optimisation du DNS.

 

Convertir les zones de recherche direct et inversées en zone intégrée à l’AD

Convertir le domaine du mode mixte en mode natif.


 

Serveur de catalogue global.

 

Le serveur de catalogue global est nécessaire sauf si il y a qu’un seul domaine.

La base de donnée de l’active directory est composée de 3 partitions.

                                                                     

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


v     Le premier contrôleur de domaine que vous créez dans Active Directory devient automatiquement le serveur de catalogue global, par la suite on peut rajouter d’autres contrôleurs de catalogue global dans site et service AD ntds settings

 

v     Il est conseillé d’avoir un seul serveur de catalogue global par site.

v     Et il doit être sur le serveur d’attribution de noms.

 

 

La Réplication :

 

Pour la réplication on à le choix entre deux protocoles :

                             RPC è pour réplication intrasite.

                             SMTP èpour réplication intersites compression des données.

 

Création d’un suffixe de nom principal.

 

MMC : domaine et approbation AuD è Properties.

Création de comptes d'utilisateur à l'aide d'une importation en bloc

 

Deux utilitaires :

 

CSVDE : permet de créer des objets à partir d’un fichier au format CSV (champ délimité par des virgules)

 

Pour importer un fichier ouvrir une invite de commande et taper : csvde –i –f nom_du_fichier.

 

LDIFDE : permet de créer ,modifier, supprime des objets à partir d’un fichier au format LDIF ( champs délimité par des sauts de lignes).

 

Pour importer un fichier ouvrir une invite de commande et taper : ldifde –i –f nom_du_fichier.

 

-I indique que c’est une importation (import) et –f indique le nom du fichier (file).

 

Dans ces fichiers on trouvera un certain nombre d’info :

 

Ø      Le chemin de l’Ou du compte.

Ø      Le type d’objets.

Ø      Le nom d’ouverture de session pre-Win 2k.

Ø      Le nom principal de l’utilisateur.

Ø      Si le compte est actif ou non (code 512= actif, 514 = désactivé.)

 

DN : Nom absolument unique de l’objet (ex : « CN=axel,OU=recherche,DC=labo-microsoft,DC=lan" )
distinguishedName : Nom unique de l’objet = Même information que dans le DN
ObjectClass : Identifie le type d’objet à importer dans l’active Directory.
UserPrincipalName : Le nom LDAP complet, c'est-à-dire login@domain
SamAccountName : Le login
DisplayName : Nom d’usage
UserAccountControl : Compte activé (512) ou verrouillé (514.)

Exemple d’objet :

CN=Axel,OU=Recherche,DC=labo-microsoft,DC=lan",Axel,axel@labo-microsoft.lan,555-4523

Publication des partages et des imprimantes.

 

Pour pouvoir retrouver des objets quelque soit leur emplacement.

 

Une imprimante sur une station Win 2000 est par défaut publiée (listée dans AD).

Pour afficher l’imprimante publiée, dans MMC user & ordi de l’AD è affichage groupe et ordi en tan que container.

 

Si imprimante sur autre station que Win 2000 Pour la publier il faut donner le chemin UNC ( universal name convention) \\nom du serveur\nom du partage.

 

Pour publier un dossier partagé il faut donner la encore le chemin \\blabla\blabla.

 

 

 

Les groupes.

 

 

 

Userè Groupe globalèGroupe universelèGroupe domaine local.        

          New sur 2000

 

Groupe global è Fonction des utilisateurs. (Visa)

 

Groupe local è Ressources. (terroriste)

 

 

 


Provenance

Du contenu

Destination

Du contenu

Groupe global

 

Même domaine

N’importe

Quel domaine

Groupe universel

 

N’importe

Quel domaine

N’importe

Quel domaine

Groupe local

 

N’importe

Quel domaine

Même domaine


 

 

Les unités organisationnel (OU).

 

Sur 2000 plus besoin de créer plusieurs domaines pour séparer l’administration, il suffit de créer différentes OU  qui contienne les machines, les utilisateurs etc.. et de déléguer le contrôle.

Attention pour enlever une délégation de contrôle faire MMC affichage fonctions avancées

Ceci rajoute un onglet sécurité dans propriété de l’OU

 

Consoles personalisée

 

 

Création d'une console d'administration MMC personnalisée

Présentation de la création d'une console d'administration sous Windows 2000
Par Brahim NEDJIMI & Loïc THOBOIS (Laboratoire Technologies Microsoft)

Introduction et concepts
Cas Pratique : Création d'une console
Création de la structure initiale de la console
Personnalisation de la console d'administration
Insertion des boutons de commandes
Verrouillage de la console

Introduction et concepts

Windows 2000 (toutes versions) intègre désormais un nouveau modèle d'outils d'administration nommé MMC (Microsoft.Managment Console)

A l'aide des MMC il est désormais possible de créer soit-même sa propre console d'administration. Il suffit pour cela d'y intégrer les modules (snap-in) que vous utilisez couramment. Cela permet aussi de mettre à disposition des administrateurs subalternes des outils d'administration personnalisés.

Ainsi un administrateur ayant pour unique fonction la maintenance des comptes du domaine ne pourra supprimer un utilisateur ou un groupe par erreur puisque l'option de suppression n'apparaîtra pas dans sa console.

Composants logiciels enfichables de base

Cas Pratique : Création d'une console d'administration personnalisée

Nous allons créer une console d'administration des utilisateurs d'une U.O. (Unité Organisationnelle) spécifique appelée Direction dont le but sera de gérer les comptes existant. (afficher les propriétés du compte, réinitialiser les mots de passe, désactiver les comptes, ... mais pas la suppression de comptes)

Création de la structure initiale de la console

Allez dans le menu Démarrer / Exécuter (ÿ-R).

Tapez mmc.

On se retrouve alors devant la fenêtre ci-contre:

Dans le menu console, selectionnez Ajouter/Supprimer un composant logiciel enfichable.

Cliquez ensuite sur Ajouter et sélectionnez le composant Utilisateurs et ordinateurs  Active Directory (Notez que l''interface de cette fenêtre est trompeuse: si vous double-cliquez sur un composant ou si vous cliquez sur Ajouter, le composant est ajouté à la liste sans aucune confirmation).

Personnalisation de la console d'administration

Afin que cette console ne permette de gérer que les utilisateurs de l'UO Direction, nous allons redéfinir le point d'origine de notre console d'administration. Il faut pour cela faire un clic droit sur l'U.O. Direction puis cliquer sur Nouvelle fenêtre à partir d'ici.

Faites ensuite un clic droit sur Direction, puis cliquez sur Nouvelle vue de la liste de tâches. Cliquez sur Suivant

 

Dans la fenêtre de l'assistant, sélectionnez Moyen dans la liste Taille de liste et cliquez sur Suivant.

Dans la fenêtre Cible de la liste des tâches, sélectionnez Élément de l'arborescence sélectionnée, puis cliquez sur Suivant.

La fenêtre Nom et Description, vous pouvez modifier le nom et la description de votre console. Dans notre cas, nous mettrons dans la zone Nom "Direction Management" et dans la zone Description "Gestion des utilisateurs du département Direction". Cliquez ensuite sur Suivant.

Dans la page Fin de l'Assistant Nouvelle vue de la liste des tâches cochez l'option Exécuter l'Assistant Nouvelle tâche, puis cliquez sur Terminer.

Insertion des boutons de commande

Vous vous retrouvez dans l'Assistant Nouvelle Tâche. Cliquez sur Suivant à l'écran de bienvenue.

Cocher l'option Commande de menu puis cliquez sur Suivant.

Veillez à ce que le champs Source de la commande contienne bien Liste du volet d'informations, puis dans la liste Commandes disponibles, sélectionnez Copier.... Cliquez ensuite sur Suivant.

Dans la page Nom et description vous pouvez modifier le nom de la tâche et ou la description, puis cliquez sur Suivant.

Choisissez une icône explicite pour l'action Copier, puis cliquez sur Suivant.

  Dans fenêtre Fin de l'assistant Nouvelle tâche, cochez Exécuter cet Assistant à nouveau puis cliquez sur Terminer.

Répétez toute la procédure d'ajout de commande des menus pour ajouter les commandes Désactiver le compte, Réinitialiser le mot de passe, Renommer et Propriétés. A la fin, n'oubliez pas de décocher la case Exécuter cet Assistant à nouveau pour ne pas boucler sur l'assistant.

Verrouillage de la console

Dans le menu Affichage, sélectionnez Personnaliser.

Décochez toutes les cases puis cliquez sur OK.

Allez ensuite dans le menu Console et sélectionnez Options.

Vous pouvez modifier le nom de la console, par exemple en Direction Management et changer l'icône de la console en cliquant sur Changer d'icône... (vous trouverez pas mal d'icônes dans la DLL Shell32.dll se trouvant dans : %SystemRoot%\system32\shell32.dll).

Dans la liste Mode de console, sélectionnez Mode utilisateur - accès limité, fenêtre unique.

Décochez Activer les menus contextuels pour les listes des tâches de cette console et Autoriser l'utilisateur à personnaliser les vues et cochez  l'option Ne pas enregistrer les modifications apportées a cette console. Cliquez ensuite sur OK.

Allez dans le menu Fenêtre et sélectionnez 1 Racine de la console Utilisateurs et ordinateurs Active Directory. Fermez cette fenêtre.

Afin de faciliter l'accès à cette nouvelle console d'administration, vous pouvez l'enregistrer dans le dossier C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Outils d'administration sous le nom Direction Management.

La console d'administration est alors prête à être utilisée. On y sélectionne un compte puis on clique sur la commande que l'on veut lui appliquer.

 

 

 

Stratégies de groupe (GPO)

 

Une GPO est un ensemble de paramètres appliqués aux Pc et aux utilisateurs.

Une GPO peut s’appliquer au niveau : Site, Domaine, OU.

 

 

Héritage.

 

Par défaut l’héritage se fait du parent vers l’enfant.

Il n’y a pas d’héritage entre  Site et Site ni entre Domaine et Domaine.

Par contre il y a héritage entre OU.

 

 

 

 

 

 

 

 


Il peut y avoir un site et plusieurs domaines ou un domaine et plusieurs sites.

 

Le site constitue la structure physique (le câblage.)

 

Le domaine constitue la structure logique.

 

 

En cas de conflit de paramètres de stratégie :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


En cas de conflit entre GPO du même groupe :

 


C’est la GPO la plus haute dans la liste qui prime.

 


Zone de Texte: GPO 10
	
GPO 11

GPO 12

 


                                              

 

 

 

 

                                                   

 

 

 

 


Bloquer l’héritage

 

 


                                                                                            

 

 

 

 

 

 

 

 

 

 

Ne pas passer outre .

 

On peut forcer GPO par GPO (désactiver le blocage)

C’est à dire que même si au niveau d’un groupe, l’héritage est bloqué en cochant la case ne pas passer outre cela force le groupe a hériter.

 

 

 

 

 

 

 


Forcer est prioritaire sur le blocage !!!!!!!!!!

 

Création et délégation des GPO

 

 

Pour pouvoir créer une GPO :

 

Nouveau

A)    è Doit être admin de l’objet (conteneur)

B)         l’user fait partie du groupe Propriétaire créateur de la GPO

 

 

Lier une GPO à un objet :

 

Ajouter

Déléguer l’administration :Gérer les liens de la GPO

Lire et écrire gp options.

                       Lire et écrire gp link.

Modifier une GPO :

 

Modifier

Etre propriétaire (lire et écrire sur la GPO.)

 

 

Filtre .

(pour appliquer une GPO à un ensemble de user ou PC  sauf a un)

 

 

 


GPO   è

 

 

 

 

 

 

 

 

 

 

 

 Ne pas oublier  secedit refreshpolicy.

 

SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE

SECEDIT /REFRESHPOLICY USER_POLICY /ENFORCE

 

 

 

Scripte dans une GPO.

 

Possibilité d’ajouter des scripts directement dans la GPO Pour par exemple :

 

Au démarrage et à l’arrêt du PC            A l’ouverture et à la fermeture de session.

 

Attention !!! les scriptes doivent se trouver dans des répertoires particuliers cliquer sur « afficher les fichiers »

Les scripts doivent être en *.BAT ou *.VBS

 

Les scriptes de démarrages sont par défaut synchrone ( 1 après l’autre) et configurés pour tourner au max. 10 minutes.

 

On peut changer ces paramètres par défaut dans les GPO :

·        Exécuter les scripts de démarrage de manière asynchrone.

·        Délai d’attente maximal pour le script.

 

 

 

Déploiement des applications.

 

Besoin de package *.MSI

 

Deux options pour le déploiement :

 

Attribuer = si besoin nécessaire de l’application. Applicable au pc et user

         L’application sera dans le menu démarrer

 

         Publier  = besoin (optionnel)     Applicable au user

                          User devra aller chercher dans +/- prog

 

Possibilité de faire un fichier réponse *.MST disponible dans le ressourses-kit Microsoft .

 

Pour pouvoir déployer des applications.

 

 

Duplication de l’ Active directory.

 

Duplication intrasite (à l’interieur d’un site)

 

v     Aucun contrôle DS et TPS

v     Non compressé

v     Utilise des liaisons rapide fiable

 

 

Dupilication inter site (entre sites)

 

v     Contrôler dans le temp

v     Compressé

v     Utilise des liaisons à faibles bande passante non fiable

 

 

Deux protocoles de duplication :

 

              RPC (intersite ou intrasite)

              SMTP (intersite)

 

 

Site

       Sous réseau

 

Lien è relier des sites

 

Tête de pont : DC qui fait l’entrée et la sortie du site

 

Pont : pour relier des sites

 

 

! Il est recommandé de faire un serveur de catalogue global par site

 

 

Maîtres d’opérations. (fsmo)

 

 

v     Schéma.

v     Maître de nomage du domaine.

(doit etre serveur de catalogue global)

 

v     Emulateur CPD.

v     Maître RID.

v     Maître infrastructure.

 

* CPD contrôleur principal de domaine.

 

 

Emulateur CPD.

 

v     mise a jour de NT vers 2000.

v     Changer de mot de passe pour les stations non-2000.

v     Référence pour la synchronisation de l’heure.

v     Diminue le temps d’attente en cas de changement du mot de passe ; le mot de passe et transmit Immédiatement à l’émulateur CPD et c’est celui-ci qui seras consulté par les autres DC pour savoir si un changement de mot de passe a été effectué.

v     Par défaut création des GPO sur l’émulateur CPD.

 

 

Maître RID.

 

 

 

v     Distributeur de block d’adresses SID à chaque contrôleur de domaine  du domaine pour que chaque DC puisse créer des objets avec des numéros de sécurités SID uniques.

 

 

Maître d’infrastructure.

 

 

v     Contrôle les modifications dans l’infrastructure ( modifications déplacement de groupe, de nom d’OU etc ).Dans tout les domaines de la même foret.

 

 

Pour visualiser le maître de schéma :

 

Cmd è G:\WINNT\system32>regsvr32 schmmgmt.dll     (Eni Page 213)

 

MMC è Shema d’AD  è Maître d’opération è qui est qui ?

 

Pour visualiser le maître d’attribution de nom de domaine :

 

MMC è domaine et approbation de l’AD  è Maître d’opération.