![Page 1: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/1.jpg)
Les réseaux MicrosoftWindows 2000/2003 Active Directory
IUT1 GRENOBLEDépartement R&T
![Page 2: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/2.jpg)
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
![Page 3: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/3.jpg)
Domaine NT et groupe de travail
L ’appartenance à un Domaine NT nécessite :Un nom de domaine NT Un contrôleur de domaine PDCUn compte ordinateur sur le domaine
L’appartenance à WorkgroupUn nom de groupe de travail
gtr.com
mygroup
![Page 4: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/4.jpg)
Domaine NT et groupe de travail
Insertion dans un domaine
Déclaration d’appartenance à un workgroup
![Page 5: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/5.jpg)
groupes Locaux et Globaux (NT)
Groupe localutilisable sur une station du domainecompte ne pouvant sortir d’un domaineun groupe local peut contenir un ou des groupes globaux
Groupe globalgroupe défini sur le PDC compte utilisable sur tout le domainePour être opérationnel, le groupe global doit être inclus dans des groupes locaux sur chaque machine.
Ex :AdminX inclus dans le groupe global «Administrateurs du domaine»«Administrateurs du domaine» inclus, sur chaque poste, dans le groupe local «Administrateurs»
![Page 6: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/6.jpg)
Le Registre Windows
Le Registre Windows est une base de données
RoleConfiguration de la machine (matériel, système)Configuration globale de chaque logicielConfiguration des logiciels par chaque utilisateurConfiguration des droits
StructureHiérarchiqueContient des clés, sous-clés, rubriques valuéesRuche : branche du Registre stockée dans un fichier
![Page 7: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/7.jpg)
Structure du Registre
Clés racine
Ruche NTuser.dat
![Page 8: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/8.jpg)
Modification du Registre
Quand le Registre est-il modifié ?
Modification de façon transparenteEn utilisant les logiciels
• Installation, …• Mémorise la position de la fenêtre, le dernier fichier ouvert, …
Par les boites de dialogue « Options… »
Modification avec des outils spécifiquesregedit.exe: accès au registre « brut »gpedit.msc: stratégie de groupe local
• Stratégie Ordinateur / Stratégie Utilisateur
Par application de stratégiesDomaine NT: stratégies définies par PoleditDomaine Active Directory: stratégies de groupe
![Page 9: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/9.jpg)
RappelsSystèmes 200xActive DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
![Page 10: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/10.jpg)
Microsoft Windows Servers 2003
Feature Standard Edition
Enterprise Edition
Datacenter Edition
Web Edition
RAM Maximum 32 64 2
SMP 4 8 64 2Internet Connection Firewall8
Terminal Server
Services for UNIX Network Load Balancing
Cluster Service
Virtual Private Network (VPN)
Distributed File System (DFS)
Encrypting File System (EFS)
Group Policy Results
Remote OS Installation Remote Installation Services (RIS)
.NET Framework9 Internet Information Services (IIS) 6.0
ASP.NET10
![Page 11: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/11.jpg)
Windows 2000/XP Pro n’est pas :Contrôleur de domaine
Serveur DNS
Serveur DHCP
Windows 2000/XP Pro peut être :Serveur de fichiers (10 connexions)
Serveur Ftp
Serveur Web (connectivité limitée)
Windows 2000 PRO /XP Pro
![Page 12: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/12.jpg)
Choix d’un mode de licence
Licence par siège1 licence par client
Licence par serveur1 licence par connexion
![Page 13: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/13.jpg)
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
![Page 14: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/14.jpg)
Active Directory
Service d’Annuaire
HiérarchiqueGestion centralisée
Conformité aux standards
Annuaire LDAPAuthentification KerberosService de nom DNS (pour la recherche des serveurs)
![Page 15: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/15.jpg)
Conventions de nommage
Nom complet ou DN (Distinguish Name):cn=Albert Dupont,ou=users,dc=gtr,dc=com
Nom relatifAlbert Dupond
Mapping possible vers adresse mail :[email protected]
Un nom complet =1 identifiant unique sur AD
Convention de nommage LDAPCN: Common NameOU: Organizational Unit DC: Directory Content
![Page 16: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/16.jpg)
Structure logique d’Active Directory
domaine
domaine domaine
domaine
domaine
UO
UO UOArborescence
FORET
gtr.com
france.gtr.comquebec.gtr.com
domainemaboite.fr
ventes.maboite.fr
prod.maboite.fr
Approbations bidirectionnelles transitives
Domaine NT
Approbations UNIdirectionnelle non transitive
![Page 17: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/17.jpg)
Glossaire
Objet : représente une ressource du réseau (ex: ordinateur, compte utilisateur, groupe de sécurité)
Unité organisationnelle (OU) : conteneur regroupant des objets
Domaine : ensemble de poste présentant une unité dans la gestion de la sécurité
Arbre : groupement de domaines AD qui partagent des espaces de noms contigus (par exemple : iut.com, gtr.iut.com, geii.iut.com)
Forêt : groupement d’arbres AD qui ont des noms disjoints (par exemple : labo.com, microsoft.com)
![Page 18: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/18.jpg)
Création d’un utilisateur
![Page 19: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/19.jpg)
Création d’un compte d’ordinateur
![Page 20: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/20.jpg)
Choix de l’arborescence
Arbre par services ou par localisation
dc=fr
dc=entreprise
ou=ventes
cn=dupont
cn=durand
ou=R&D ou=gestion
dc=fr
dc=entreprise
ou=Nantes
cn=dupont
cn=durand
ou=Paris
ou=Lyon
![Page 21: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/21.jpg)
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
![Page 22: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/22.jpg)
Différents groupes
Groupe de sécurité : permettent de gérer les autorisations d'accès à une ressource Ils permettent aussi de gérer des listes de distributions de messagerie.
Groupes de distribution : servent à des fonctions non liées à la sécurité comme l'envoi de messagesOn ne peut pas gérer d'autorisations avec ces groupes
![Page 23: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/23.jpg)
Les groupes locaux
Groupes locaux prédéfinisAdministrateursOpérateurs de sauvegardeInvités : Accès limité au ressourcesUtilisateurs avec pouvoir : Peuvent créer et modifier des comptes locaux sur l'ordinateur, partager des ressources ou installer des pilotes de périphériques.DuplicateursUtilisateurs
![Page 24: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/24.jpg)
Entités de sécurité intégréeTout le monde :tous les utilisateurs qui accèdent à l’ordinateur
Utilisateur authentifié :Inclut tous les utilisateurs avec un compte utilisateur sur l’ordinateur ou sur le domaine (utilisé pour éviter les accès anonymes à des ressources)
Créateur propriétaire :Inclut le compte utilisateur pour l’utilisateur qui a créé ou pris possession d’une ressource
Réseau :Inclut tout utilisateur avec une connexion courante depuis un autre ordinateur du réseau vers une ressource partagée de l’ordinateur
Utilisateur Anonyme : Tout utilisateur que Windows n’a pas authentifié
Accès Distant :Tout utilisateur employant une connexion d’accès réseau à distance.
![Page 25: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/25.jpg)
Les groupes non locaux
Groupe de domaine local
Groupe global
Groupe universel
![Page 26: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/26.jpg)
Groupe global : groupes globaux sous Windows NT4
U GG On insère un utilisateur dans un groupe global
GG GDL On peut ajouter un groupe global à un groupe de domaine local
GG GU On peut ajouter un groupe global à un groupe universel
Groupe de domaine local : ≃groupes locaux sous Windows NT4Permettent d'accorder des autorisations sur les ressources du domaine
U GDL
GG GDL GDL autre groupe
GU GDL
Groupe de domaine universellePermettent d'accorder des autorisations sur des domaines connexesMembres d’un domaine quelconque de la forêtPeuvent accéder au ressources d’un domaine quelconque
Étendue des groupes
![Page 27: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/27.jpg)
Procédure de création des groupes
Création des utilisateursAffectation à un groupe globalInsertion d’un groupe global dans un groupe de domaine local.Affectation des permissions sur les ressources au groupe de domaine local
![Page 28: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/28.jpg)
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
![Page 29: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/29.jpg)
Le rôle des stratégies de groupe
Les stratégies de groupe permettent :De paramétrer le Registre en fonctionde la machine et de l’utilisateur
De personnaliser les niveaux de sécurités conformément au schéma organisationnel de l’entreprise et conformément à l’organisation technique du parc informatique
De gérer les paramètres utilisateurs :scripts de connexion, redirection des dossiers, profils, …
![Page 30: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/30.jpg)
Ordre d’application des stratégies
Des stratégies peuvent être attachées à chaque niveaux de l’arborescence ADLes stratégies sont appliquées dans l’ordre descendant
Site
domaine
OU
OU
OU
1
2
3
4
a
b
c
d
![Page 31: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/31.jpg)
Ordre d’application des stratégies
On distingue les stratégies de groupe locales les stratégies de groupe non locales
Ordre d’application1. Locale (propre à la machine)2. Site3. Domaine4. Unité(s) Organisationnelle(s)
![Page 32: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/32.jpg)
Mécanisme d’héritage des stratégies
Une stratégie s’applique à tous les niveaux inférieurs
Résolution de conflitsEn cas de stratégies non compatibles entre niveau hiérarchiques :La stratégie enfant s’applique
Modification de l’héritageNe pas passer outreMode de rappel de boucle
![Page 33: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/33.jpg)
Applications des règles de stratégie
Démarrage de l’ordinateurApplications des paramètres ordinateurScripts de démarrage
Connexion de l’utilisateurApplications des paramètres utilisateurScripts d’ouverture de session
Actualisation périodique des stratégies de groupe
Toutes les 5 mn sur les contrôleurs de domaineToutes les 90 minutes sur les stations
![Page 34: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/34.jpg)
Création d’une stratégie
![Page 35: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/35.jpg)
Modification du registre par les GPO
Stratégies de groupes
Règles
Non configuré= Ne rien faire
Activé ou Désactivé
= Ecrire dans la base de registre
![Page 36: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/36.jpg)
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
![Page 37: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/37.jpg)
PermissionsNTFS
Permissions et autorisations
Accès aux fichiers
par le réseauAccès aux fichiers sur le disque dur
L’accès à une ressource par le réseau dépend de ces deux barrières de sécurité
Autorisationssur les partages
![Page 38: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/38.jpg)
Accès par le WEB(Si IIS est installé)
Accès au DISQUE(Permissions NTFS)
Accès par le réseau(Autorisations sur les
partages)
Attributs
Chiffrement et
compression
Propriétés d’un fichier ou d’un répertoire
![Page 39: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/39.jpg)
La sécurité NTFS
Liste de contrôle d’accès
Autorisations associées
Gestion élaborées des ACLS
![Page 40: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/40.jpg)
La sécurité NTFS
Utilisateur, groupe ouEntité de sécurité intégrée
Modification des autorisations
Portée
Mécanismes d’héritage et de mise à jour des enfants
Calculateur des autorisations effectives
![Page 41: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/41.jpg)
Autorisation sur les partages
Nom de partage
Utilisateurs ou groupes
Autorisations
![Page 42: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/42.jpg)
RappelsSystèmes 2000Active DirectoryGroupes dans Active DirectoryStratégies de groupesSécurité de l’accès au ressourcesQuelques utilitaires
![Page 43: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/43.jpg)
Gpedit.msc
![Page 44: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/44.jpg)
Microsoft Management Console
![Page 45: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/45.jpg)
Quelques commandes utiles
netstat ex : netstat –an –p TCP
nbtstat ex : nbtstat –n
ipconfigex :
• ipconfig /all• ipconfig /release *local*• ipconfig /renew *local*
![Page 46: Les réseaux Microsoft Windows 2000/2003 Active Directory IUT1 GRENOBLE Département R&T](https://reader035.vdocuments.pub/reader035/viewer/2022062621/551d9d91497959293b8c7cb8/html5/thumbnails/46.jpg)
Scripts netsh
Scripts à insérer dans un fichier .cmd
Exemple :Modifier l’adresse IP à l’aide d’un script sur un poste XP(On suppose que l’interface Ethernet du PC a été renommée « eth0 » au préalable )
netsh interface ip set address name="eth0" source=static addr=10.0.0.1 mask=255.0.0.0
netsh interface ip set address name="eth0" gateway=10.0.0.254 gwmetric=0
netsh interface ip set dns name="eth0" source=static addr=nonenetsh interface ip set wins name="eth0" source=static addr=none