Articles

Glossaire Active Directory – Termes et concepts fondamentaux

Posted on

Dans ce billet, je vais énumérer et expliquer la terminologie la plus couramment utilisée dans Active Directory et les technologies connexes.

Si vous êtes nouveau dans Active Directory, ce sera une excellente ressource pour vous familiariser avec les bases et les concepts fondamentaux d’Active Directory.

J’ai regroupé les termes dans différentes sections pour faciliter la compréhension et la référence. Certains sujets peuvent être très techniques, j’ai fourni une terminologie courte et facile à comprendre. Je fournis ensuite des ressources supplémentaires à la fin de chaque section si vous souhaitez en savoir plus.

Table des matières :

  • Bases d’Active Directory – Commencez ici
  • Services Active Directory
  • DNS Active Directory
  • Réplication Active Directory
  • Sécurité Active Directory (Authentification, protocoles de sécurité, Permissions)
  • Consoles de gestion Active Directory
  • DHCP
  • Politique de groupe

Bases d’Active Directory

Voici les termes de base avec lesquels vous devez vous familiariser lorsque vous traitez avec Active Directory.

Active Directory

Active Directory est un service d’annuaire qui centralise la gestion des utilisateurs, des ordinateurs et d’autres objets au sein d’un réseau. Sa fonction principale est d’authentifier et d’autoriser les utilisateurs et les ordinateurs dans un domaine Windows. Par exemple, lorsqu’un utilisateur se connecte à un ordinateur du domaine, il vérifie le nom d’utilisateur et le mot de passe qui ont été soumis pour vérifier le compte. S’il s’agit d’un nom d’utilisateur et d’un mot de passe valides, l’utilisateur est authentifié et connecté à l’ordinateur.

Ne vous confondez pas avec les trois termes suivants, ils font tous référence à Active Directory.

  • AD – Il s’agit simplement d’une abréviation pour Active Directory
  • AD DS – Il s’agit d’un serveur qui exécute le rôle de services de domaine Active Directory
  • Contrôleur de domaine – Il s’agit également d’un serveur qui exécute le rôle de services de domaine Active Directory. Il est recommandé d’avoir plusieurs contrôleurs de domaine pour des raisons de basculement.

Services Web d’annuaire actif (ADWS)

Ce service a été introduit dans Windows Server 2008 R2. Il est automatiquement installé avec le rôle ADDS ou ADLDS et est configuré pour s’exécuter automatiquement. Ce service permet de gérer à distance tout service d’annuaire local.

Domaine

Le domaine est une structure logique de conteneurs et d’objets dans Active Directory. Un domaine contient les composants suivants :

  • Une structure hiérarchique pour les utilisateurs, les groupes, les ordinateurs et d’autres objets
  • Des services de sécurité qui fournissent une authentification et une autorisation aux ressources du domaine et d’autres domaines
  • Des politiques qui sont appliquées aux utilisateurs et aux ordinateurs
  • Un nom DNS pour identifier le domaine. Lorsque vous vous connectez à un ordinateur qui fait partie d’un domaine, vous vous connectez au nom de domaine DNS. Mon domaine DNS est ad.activedirectorypro.com, c’est ainsi que mon domaine est identifié.

Arbre de domaine

Lorsque vous ajoutez un domaine enfant à un domaine parent, vous créez ce qu’on appelle un arbre de domaine. Une arborescence de domaines n’est qu’une série de domaines reliés entre eux de manière hiérarchique et utilisant tous le même espace de noms DNS. Si activedirectorypro.com devait ajouter un domaine appelé formation, ou vidéos, il serait nommé training.activedirectorypro.com et videos.activedirectorypro.com. Ces domaines font partie de la même arborescence de domaines et une confiance est automatiquement créée entre le domaine parent et le domaine enfant.

Niveaux fonctionnels

Les niveaux fonctionnels déterminent les capacités disponibles dans le domaine. Des niveaux fonctionnels plus élevés vous permettent d’utiliser les dernières et meilleures technologies dans votre domaine Active Directory. Lorsque cela est possible, utilisez les niveaux fonctionnels les plus élevés pour vos contrôleurs de domaine.

Forêt

Une forêt est une collection d’arbres de domaines. L’arbre de domaine partage un schéma et un conteneur de configuration communs. L’arborescence de domaines est reliée entre elle par une confiance transitive. Lorsque vous installez Active Directory pour la première fois et que vous créez un domaine, vous créez également une forêt.

FQDN – Fully Qualified Domain Name

Le nom de domaine pleinement qualifié est le nom d’hôte + le domaine, par exemple, mon domaine est ad.activedirectorypro.com, un ordinateur dans le domaine avec le nom d’hôte PC1 donc le FQDN serait pc1.ad.activedirectorypro.com

FSMO

Un contrôleur de domaine a plusieurs fonctions qui sont appelées les rôles FSMO. Ces rôles sont tous installés sur le premier contrôleur de domaine d’une nouvelle forêt, vous pouvez déplacer les rôles sur plusieurs DC pour aider aux performances et au basculement.

  • Maître du schéma – Le maître du schéma est un rôle à l’échelle de la forêt qui gère toutes les modifications du schéma Active Directory.
  • Domain Naming Master – C’est un rôle à l’échelle de la forêt qui est le maître des noms de domaine. Il gère l’espace de noms et l’ajout de suppression de noms de domaine.
  • Émulateur PDC – Ce rôle gère les changements de mot de passe, les verrouillages d’utilisateurs, la politique de groupe et est le serveur de temps pour les clients.
  • Maître RID – Ce rôle est responsable du traitement des demandes de pool RID de tous les DC du domaine. Lorsque des objets tels que des utilisateurs et des ordinateurs sont créés, ils se voient attribuer un SID unique et un ID relatif (RID). Le rôle de maître RID garantit que les objets ne se voient pas attribuer les mêmes SID et RID.
  • Maître de l’infrastructure – Il s’agit d’un rôle à l’échelle du domaine utilisé pour référencer des objets dans d’autres domaines. Si des utilisateurs du domaine A sont membres d’un groupe de sécurité dans le domaine B, le rôle maître d’infrastructure est utilisé pour référencer les comptes dans le bon domaine.

Objets

Lorsque vous travaillez avec Active Directory, vous travaillez principalement avec des objets. Les objets sont définis comme un groupe d’attributs qui représentent une ressource dans le domaine. Ces objets se voient attribuer un identifiant de sécurité unique (SID) qui est utilisé pour accorder ou refuser à l’objet l’accès aux ressources du domaine. Les types d’objets par défaut créés dans un nouveau domaine dans Active Directory sont :

  • Unité organisationnelle (OU) – Une OU est un objet conteneur qui peut contenir différents objets du même domaine. Vous utiliserez les OU pour stocker et organiser, les comptes d’utilisateurs, les contacts, les ordinateurs et les groupes. Vous allez également lier des objets de stratégie de groupe à une OU.
  • Utilisateurs – Les comptes d’utilisateurs sont principalement attribués aux utilisateurs pour avoir accès aux ressources du domaine. Ils peuvent également être utilisés pour exécuter des programmes ou des services système.
  • Ordinateur – Il s’agit tout simplement d’un ordinateur qui est joint au domaine.
  • Groupes – Il existe deux types d’objets, un groupe de sécurité et un groupe de distribution. Un groupe de sécurité est un regroupement de comptes d’utilisateurs qui peut être utilisé pour fournir un accès aux ressources. Les groupes de distribution sont utilisés pour les listes de distribution de courrier électronique.
  • Contacts – Un contact est utilisé à des fins de messagerie. Vous ne pouvez pas vous connecter au domaine en tant que contact et il ne peut pas être utilisé pour sécuriser les autorisations.
  • Dossier partagé – Lorsque vous publiez un dossier partagé dans Active Directory, cela crée un objet. La publication des dossiers partagés dans AD permet aux utilisateurs de trouver plus facilement les fichiers et dossiers partagés au sein du domaine.
  • Partager une imprimante – Tout comme les dossiers partagés, vous pouvez publier des imprimantes dans Active Directory. Cela permet également aux utilisateurs de trouver et d’utiliser plus facilement les imprimantes sur le domaine.

LDAP (Lightweight Directory Access Protocol)

LDAP est un protocole de plate-forme ouverte utilisé pour accéder aux services d’annuaire. LDAP fournit le mécanisme de communication pour les applications et autres systèmes à utiliser interagir avec les serveurs d’annuaire. En termes simples, LDAP est un moyen de se connecter et de communiquer avec Active Directory.

Catalogue global (GC)

Le serveur de catalogue global contient une réplique complète de tous les objets et est utilisé pour effectuer des recherches à l’échelle de la forêt. Par défaut, le premier contrôleur de domaine d’un domaine est désigné comme le serveur GC, il est recommandé d’avoir au moins un serveur GC pour chaque site afin d’améliorer les performances.

Moteur de base de données Jet

La base de données Active Directory est basée sur le moteur Jet Blue de Microsoft et utilise le moteur de stockage extensible (ESE) pour travailler avec les données. La base de données est un fichier unique nommé ntds.dit, par défaut il est stocké dans le dossier %SYSTEMROOT%\NTDS et chaque contrôleur de domaine.

Corbeille

La corbeille Active Directory permet aux administrateurs de récupérer facilement les éléments supprimés, ceci n’est pas activé par défaut. Comment activer la corbeille guide étape par étape.

Contrôleur de domaine en lecture seule (RODC)

Les serveurs RODC détiennent une copie en lecture seule de la base de données Active Directory et n’autorisent pas les modifications de l’AD. Son objectif principal est destiné aux succursales et aux sites dont la sécurité physique est faible.

Schéma

Le schéma Active Directory définit chaque classe d’objets qui peut être créée et utilisée dans une forêt Active Directory. Il définit également chaque attribut qui peut exister dans un objet. En d’autres termes, il s’agit d’un plan détaillé de la manière dont les données peuvent être stockées dans Active Directory. Par exemple, un compte utilisateur est une instance de la classe utilisateur, il utilise des attributs pour stocker et fournir des informations sur cet objet. Un compte d’ordinateur est une autre instance d’une classe qui est également définie par ses attributs.

Il existe de nombreuses classes et attributs, à moins que votre programmation ou le dépannage d’un problème avancé, il n’est pas nécessaire de tout savoir sur le schéma.

SYSVOL

Le sysvol est un dossier très important qui est partagé sur chaque contrôleur de domaine. L’emplacement par défaut est %SYSTEMROOT%\SYSVOL\sysvol et se compose des éléments suivants :

  • Objets de stratégie de groupe
  • Dossiers
  • Scripts
  • Points de jonction

Tombstone

Tombstone est un objet supprimé d’AD qui n’a pas été supprimé de la base de données, l’objet reste techniquement dans la base de données pendant un certain temps. Pendant cette période de temps, l’objet peut être restauré.

Attributs du nom de l’objet

Voici quelques attributs importants que vous devez connaître lorsque vous travaillez avec Active Directory.

  • userPrincipalName (UPN) – Il s’agit d’un nom de connexion commun qui est au format d’une adresse électronique. Un UPN ressemble à ceci, [email protected], un UPN peut être utilisé pour se connecter à un domaine windows.
  • objectGUID – Cet attribut est utilisé pour identifier de manière unique un compte utilisateur. Même si le compte est renommé ou déplacé, l’objectGUID ne change jamais.
  • sAmAccountName – Cet attribut est utilisateur pour les connexions de compte à un domaine. C’était le principal moyen de se connecter à un domaine pour les anciennes versions de Windows, il peut encore être utilisé sur les versions modernes de Windows.
  • objectSID – Cet attribut est l’identifiant de sécurité (SID) de l’utilisateur. Le SID est utilisé par le serveur pour identifier un utilisateur et son appartenance à un groupe pour autoriser les utilisateurs à accéder aux ressources du domaine.
  • sIDHistory – Cet attribut contient les SID précédents pour l’objet utilisateur. Il n’est nécessaire que si un utilisateur a déménagé dans un autre domaine.
  • Nom distingué relatif (RDN) – Le RDN est le premier composant du nom distingué. C’est le nom de l’objet dans Active Directory par rapport à son emplacement dans la structure hiérarchique d’AD
  • Nom distingué (DN) – L’attribut DN localise les objets dans l’annuaire. Cet attribut est couramment utilisé par les services et les applications pour localiser les objets dans Active Directory. un DN est composé des éléments suivants :
    • CN – nom commun
    • OU – unité d’organisation
    • DC – composant de domaine

Groupes

Les groupes sont utilisés pour rassembler les comptes d’utilisateurs, les objets ordinateur et contact en unités de gestion. La création de groupes facilite le contrôle des autorisations sur les ressources et l’attribution de ressources telles que les imprimantes et les dossiers. Il existe deux types de groupes

  • Distribution – Les groupes de distribution sont utilisés par les applications de messagerie pour envoyer facilement un courriel à un groupe d’utilisateurs.
  • Sécurité – Les groupes de sécurité sont un groupe de comptes qui peuvent être utilisés pour affecter facilement à une ressource ou demander des autorisations. Par exemple, si je voulais verrouiller un dossier pour le département RH, je pourrais simplement mettre tous les employés dans un groupe de sécurité et appliquer le groupe au dossier au lieu de chaque compte individuel.

Etendue du groupe

L’étendue du groupe identifie si le groupe peut être appliqué dans le domaine ou la forêt. Voici les trois portées de groupe :

  • Universel – Peut contenir des objets d’autres groupes universels et de n’importe quel domaine de l’arborescence ou de la forêt.
  • Global – Peut contenir des objets du domaine et être utilisé dans n’importe quelle arborescence ou forêt du domaine.
  • Domaine local – Peut contenir des objets de n’importe quel domaine mais ne peut être appliqué qu’au domaine dans lequel il a été créé.

Ressources:

Comprendre les pierres tombales, Active Directory et comment le protéger

Schéma Active Directory

Niveaux fonctionnels de forêt et de domaine

Active Directory : Concepts Partie 1

Services Active Directory

Active Directory comprend plusieurs autres services qui relèvent des services de domaine Active Directory, ces services comprennent :

Services de certificats Active Directory (AD CS)

C’est un rôle de serveur qui vous permet de construire une infrastructure à clé publique (PKI) et de fournir des certificats numériques à votre organisation. Les certificats peuvent être utilisés pour chiffrer le trafic réseau, le trafic des applications et utilisés pour authentifier les utilisateurs et les ordinateurs. Lorsque vous voyez https dans l’adresse d’un navigateur, cela signifie qu’il utilise un certificat pour chiffrer la communication entre le client et le serveur.

Services de domaine Active Directory (AD DS)

Voir la description d’Active Directory

Services de fédération Active Directory (AD FS)

Le service de fédération permet l’authentification unique à des systèmes externes tels que des sites Web et des applications. Office 365 est une utilisation courante des services de fédération. Lorsque vous vous connectez à office 365, le nom d’utilisateur et le mot de passe sont redirigés par le serveur de fédération et les informations d’identification sont vérifiées par rapport à votre Active Directory sur site. Cela vous permet donc de fournir une authentification aux systèmes externes en utilisant votre Active Directory local pour authentifier le nom d’utilisateur et le mot de passe.

Active Directory Lightweight Directory Services (AD LDS)

Ce service fournit des services d’annuaire en utilisant le protocole LDAP sans avoir besoin de déployer des contrôleurs de domaine. Il est principalement utilisé pour fournir un service d’annuaire de manière fonctionnelle aux applications activées par l’annuaire. Cela ne remplace pas AD DS.

Services de gestion des droits Active Directory (AD RMS)

Ce service fournit des méthodes pour protéger les informations sur le contenu numérique. Il protège les documents en définissant qui peut ouvrir, modifier, imprimer, transférer ou effectuer d’autres actions sur les documents. Vous pouvez également utiliser des certificats pour crypter les documents pour une meilleure sécurité.

Active Directory DNS

Le système de noms de domaine est un service qui fournit la résolution de noms, le plus souvent la résolution de nom d’hôte en adresse IP. Dans cette section, vous découvrirez certains des composants importants du DNS.

Enregistrements de ressources

Un enregistrement de ressources est une entrée dans le système DNS qui aide à localiser les ressources en fonction de l’IP ou d’un nom de domaine. Il existe de nombreux types d’enregistrements de ressources, vous trouverez ci-dessous une liste des types d’enregistrements courants :

  • A – fait correspondre un nom d’hôte à une adresse IPv4
  • AAAA – fait correspondre un nom d’hôte à une adresse IPv6
  • NAME – fait correspondre un alias à un nom d’hôte
  • MX – utilisé pour localiser un serveur de messagerie
  • NS – spécifie un serveur de noms pour un domaine
  • PTR – fait correspondre une adresse IPv4 à un nom d’hôte. L’inverse d’un enregistrement A.
  • SOA – Contient des informations administratives
  • SRV – Utilisé pour localiser les serveurs qui hébergent des services spécifiques
  • TXT – Peut contenir diverses données. Souvent utilisé pour vérifier les domaines et pour des raisons de sécurité.

Dynamic DNS (DDNS)

Dynamic DNS est une méthode permettant aux clients d’enregistrer et de mettre à jour dynamiquement leurs enregistrements de ressources auprès d’un serveur DNS. Cela permet aux clients qui utilisent DHCP de mettre à jour automatiquement leur enregistrement DNS lorsque leur adresse IP change.

Nom d’hôte

Il s’agit le plus souvent de l’enregistrement A du DNS, le nom DNS d’un périphérique avec lequel on peut communiquer. Par exemple, un serveur portant le nom de DC1. Si DC1 était enregistré dans le DNS, vous vous y réfèreriez en tant que nom d’hôte.

Zones

Une zone est utilisée pour héberger les enregistrements DNS d’un domaine particulier. Le type de zone le plus important et le plus utilisé est celui des zones intégrées à Active Directory. Il y a plusieurs autres zones avec lesquelles vous devriez être familier, je couvre les autres zones dans mon article, Windows DNZ Zones Explained.

DNS Aging and Scavenging

C’est une fonctionnalité qui peut être activée pour aider à automatiser le nettoyage des enregistrements DNS périmés. J’ai créé un post séparé qui explique plus et fournit des instructions étape par étape pour configurer le vieillissement et le balayage des DNS.

Les enregistrements SRV utilisés par Active Directory

Dans un domaine Windows, les enregistrements SRV sont utilisés par les clients pour localiser les contrôleurs de domaine pour Active Directory. Lorsque vous installez le service AD DS, le processus crée automatiquement les enregistrements SRV pour Active Directory.

  • Active Directory crée ses enregistrements SRV dans les dossiers suivants, où Domain_Name est le nom de votre domaine :
    • Forward Lookup Zones/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Forward Lookup Zones/Domain_Name/_msdcs/dc/_tcp

Voici une capture d’écran de mon DNS :

Les forwarders

Les forwarders DNS sont des serveurs qui résolvent les noms d’hôtes que votre serveur DNS interne ne peut pas résoudre, principalement des domaines externes comme la navigation sur Internet. Vous pouvez le configurer pour transférer les demandes DNS à n’importe quel serveur de votre choix, souvent un FAI est utilisé.

Root Hints

Le serveur root hint est une autre méthode pour résoudre les noms d’hôtes que votre serveur interne ne peut pas résoudre. La différence est que ces serveurs servent de zone DNS racine pour l’internet. Ils sont gérés par plusieurs grandes organisations pour la sécurité et la redondance. Vous pouvez utiliser soit les indices de la racine, soit les forward pour résoudre les noms externes.

Ressources :

Liste complète des types d’enregistrements de ressources DNS

Comment vérifier que les enregistrements DNS SRV ont été créés pour un contrôleur de domaine

Root Hints vs Forwarders

Bonnes pratiques DNS

Réplication Active Directory

La réplication est le processus qui garantit que les modifications apportées à un contrôleur de domaine sont répliquées sur les autres contrôleurs de domaine du domaine.

Objets de connexion

L’objet de connexion spécifie quels contrôleurs de domaine se répliquent entre eux, à quelle fréquence et leurs contextes de dénomination.

KCC

Le vérificateur de cohérence des connaissances (KCC) est un processus qui s’exécute sur tous les contrôleurs de domaine et génère une topologie de réplication basée sur les sites, les sous-réseaux et les objets de lien de site.

Sous-réseaux

Un sous-réseau est une partie logique d’un réseau IP. Les sous-réseaux sont utilisés pour regrouper les périphériques dans un réseau spécifique, souvent par emplacement, bâtiment ou étage. Si vous avez un environnement multisite, Active Directory doit connaître vos sous-réseaux afin de pouvoir identifier correctement les ressources les plus efficaces. Si ces informations ne sont pas fournies, les clients peuvent s’authentifier et utiliser le mauvais contrôleur de domaine.

Site

Un site est une collection de sous-réseaux. Les sites Active Directory permettent de définir le flux de réplication et l’emplacement des ressources pour les clients tels qu’un contrôleur de domaine.

Lien de site

Les liens de site vous permettent de configurer quels sites sont connectés les uns aux autres.

Pont de lien de site

Un pont de lien de site est une connexion logique entre les sites. C’est une méthode pour représenter logiquement la connectivité transitive entre les sites.

Topologie du site

La topologie du site est une carte qui définit la connectivité du réseau pour la réplication et l’emplacement des ressources dans la forêt Active Directory. La topologie du site est constituée de plusieurs composants, notamment les sites, les sous-réseaux, les liens de site, les ponts de liens de site et les objets de connexion.

Réplication intra-site

Il s’agit de la réplication qui se produit entre les contrôleurs de domaine d’un même site.

Réplication inter-sites

Dans un environnement avec plusieurs sites, une modification sur un site doit être répliquée sur l’autre site. C’est ce qu’on appelle la réplication inter-sites.

Ressources :

Comment fonctionne la réplication Active Directory

Concepts de réplication Active Directory

Sécurité Active Directory (authentification, protocoles de sécurité, permissions)

Kerberos

Kerberos est un protocole de sécurité qui permet de manière sécurisée aux utilisateurs de prouver leur identité pour accéder aux ressources du domaine.

Centre de distribution de clés (KDC)

Le KDC est un service qui s’exécute sur les contrôleurs de domaine et fournit des tickets de session utilisés dans le protocole d’authentification Kerberos.

Noms principaux de service (SPN)

Le SPN est un identifiant unique d’une instance de service.

NTLM

NTLM est un ensemble de protocoles de sécurité utilisés pour authentifier, fournir l’intégrité et la confidentialité aux utilisateurs. Kerberos est le protocole d’authentification préféré et est utilisé dans les versions modernes de Windows, NTLM est toujours disponible pour les clients plus anciens et les systèmes sur un groupe de travail.

Les permissionsNTFS

Les permissionsNTFS vous permettent de définir qui est autorisé à accéder à un fichier ou à un dossier. Vous trouverez ci-dessous une liste des permissions de base que vous pouvez définir :

  • Contrôle total – Cela donne aux utilisateurs les droits d’ajouter, de modifier, de déplacer et de supprimer des fichiers et des dossiers.
  • Modifier – Donne aux utilisateurs la vue et les droits de modification
  • Lire & Exécuter – Donne aux utilisateurs la vue et les droits d’exécution
  • Lire – prêt seulement. droits
  • Écrire – droit sur un fichier et d’ajouter de nouveaux dossiers

Les autorisations partagées

Les autorisations partagées définissent le niveau d’accès aux ressources partagées telles qu’un dossier. Il existe trois permissions partagées de base :

  • Lecture – Donne aux utilisateurs des droits de visualisation sur le dossier et les sous-dossiers
  • Modification – Donne aux utilisateurs des droits de lecture et de modification
  • Contrôle total – Donne aux utilisateurs des droits de modification, de changement et de lecture.

Liste de contrôle d’accès discrétionnaire (DACL)

Une DACL identifie quel compte permet ou refuse l’accès à un objet tel qu’un fichier ou un dossier.

Entrées de contrôle d’accès (ACE)

La DACL contient des ACE, l’ACE définit quel compte et quel niveau d’accès doit être accordé à la ressource. Si aucune ACE n’est présente, le système refuse tout accès à l’objet.

Liste de contrôle d’accès du système (SACL)

La SACL permet aux admins de consigner les tentatives d’accès à un objet de sécurité.

Politique de mot de passe à grain fin

Fonctionnalité de Windows 2008 et plus qui vous permet de définir différentes politiques de mot de passe et de verrouillage de compte pour différents comptes. En général, tous les comptes devraient avoir la même politique, mais vous pouvez avoir un compte de service ou un compte très spécifique qui nécessite une politique différente. Par exemple, notre compte wifi invité était constamment verrouillé en raison de mauvaises tentatives de mot de passe. J’ai utilisé une politique de mot de passe accordé fin pour définir un verrouillage de compte plus élevé que le reste du domaine.

Ressources :

Kerberos pour l’administrateur occupé

Synthèse technique de l’authentification Windows

Différences entre les permissions Share et NTFS

Listes de contrôle d’accès

Consoles de gestion Active Directory

Cette section comprend les consoles de gestion que vous devrez utiliser pour gérer les différentes technologies Active Directory. Vous devrez installer les outils d’administration de serveur à distance (RSAT) pour accéder à ces consoles de gestion.

Utilisateurs et ordinateurs Active Directory (ADUC)

C’est la console la plus couramment utilisée pour gérer les utilisateurs, les ordinateurs, les groupes et les contacts.

Courtourci : dsa.msc

Centre d’administration Active Directory (ADAC)

À partir de Server 2008 R2, Microsoft introduit l’ADAC pour gérer leurs objets de service d’annuaire. Cette console peut être utilisée pour créer et gérer des comptes d’utilisateurs, des comptes d’ordinateurs, des groupes et des unités d’organisation. Elle offre les mêmes fonctionnalités que l’outil Active Directory Users and Computers. En raison de l’interface compliquée, je préfère ADUC à cette console.

Domaines et trusts Active Directory

Cette console est utilisée pour élever le mode domaine ou le niveau fonctionnel d’un domaine ou d’une forêt. Elle est également utilisée pour gérer les relations de confiance.

Recourci : domain.msc

Sites et services Active Directory

C’est la console principale pour gérer la réplication. Cette console est utilisée pour gérer les objets de topologie de site, les objets de connexion, planifier la réplication, forcer manuellement la réplication, activer le catalogue global et activer la mise en cache universelle des groupes.

Recourci : dssite.msc

ADSI Edit

L’éditeur d’interfaces de service Active Directory est un outil d’interface graphique qui peut être utilisé pour gérer les objets dans Active Directory. Cet outil permet d’accéder aux données des objets qui ne sont pas disponibles dans Active Directory Users and Computers.

Courci : adsiedit.msc

Gestion DFS

Cette console est utilisée pour gérer les espaces de noms DFS et la réplication DFS.

Circuit : dfsmgmt.msc

DHCP

Cette console est utilisée pour créer des scopes DCHP, visualiser les informations de bail et tout ce qui concerne le DHCP.

Courci : dhcpmgmt.msc

DNS

Cette console est utilisée pour créer des zones DNS, des enregistrements de ressources et gérer tout ce qui concerne le DNS.

Courci : dnsmgmt.msc

Gestion des politiques de groupe

Courci : gpmc.msc

PowerShell

Bien que ce ne soit pas une console de gestion, c’est l’outil le plus puissant pour automatiser les tâches administratives. PowerShell peut accélérer de nombreuses tâches de routine que les outils de gestion de l’interface graphique ne peuvent pas faire.

Ressources :

Protocole de contrôle dynamique des hôtes (DHCP)

Le protocole de configuration dynamique des hôtes est un service qui fournit un contrôle centralisé de l’adresse IP. Lorsque votre ordinateur se connecte à un réseau filaire ou sans fil, un serveur DHCP est contacté pour trouver et vous attribuer une adresse IP disponible.

Scope

Un scope DHCP est une collection de paramètres d’adresse IP qui sont configurés pour être utilisés par des périphériques tels qu’un ordinateur. Vous pouvez créer plusieurs scopes pour différents types de périphériques et sous-réseaux. Par exemple, j’ai un scope pour les ordinateurs et différents scopes pour les téléphones IP. Lorsque vous configurez un scope, vous devez configurer les éléments suivants :
  • Nom de l’étendue – Il s’agit du nom de l’étendue. Donnez-lui un nom descriptif pour qu’il soit facile d’identifier les appareils auxquels il est destiné.
  • Gamme d’adresses IP – Il s’agit de la gamme d’adresses IP que vous souhaitez que les périphériques utilisent. Par exemple 10.2.2.0/24
  • Exclusions d’adresses IP – Vous pouvez spécifier d’exclure l’adresse IP de la portée. Ceci est utile si vous avez des périphériques sur le sous-réseau qui ont besoin d’une IP statique comme un routeur ou un serveur.
  • Durée du bail – Le bail spécifie combien de temps un client a une adresse IP avant de la rendre au pool.
  • Options DHCP – Il existe un certain nombre d’options différentes que vous pouvez inclure lorsque DHCP attribue une adresse IP. Plus d’informations à ce sujet ci-dessous

Options DHCP

Il existe de nombreuses options DHCP, ci-dessous les options les plus couramment utilisées dans un domaine Windows.

  • 003 routeur – La passerelle par défaut du sous-réseau
  • 005 serveur DNS – L’adresse IP du serveur DNS que les clients doivent utiliser pour la résolution de noms.
  • 015 Nom de domaine DNS – Le suffixe DNS que le client doit utiliser, souvent le même que le nom de domaine.

Filtrage DHCP

Le filtrage DHCP peut être utilisé pour refuser ou autoriser des périphériques en fonction de leur adresse MAC. Par exemple, je l’utilise pour bloquer les appareils mobiles de se connecter à notre wifi sécurisé.

Superscopes

Un superscope est une collection de scopes DHCP individuels. Cela peut être utilisé lorsque vous voulez joindre à des scopes ensemble. Honnêtement, je ne l’ai jamais utilisé.

Split Scopes

C’est une méthode pour fournir une tolérance aux pannes pour un scope DHCP. L’utilisation du basculement DHCP n’est pas la méthode préférée pour la tolérance aux pannes.

DHCP Failover

Le DHCP failover était une nouvelle fonctionnalité à partir de la version 2012 du serveur. Elle permet à deux serveurs DHCP de partager les informations de bail fournissant une haute disponibilité pour les services DCHP. Si un serveur devient indisponible, l’autre serveur prend le relais.

Ressources :

Paramètres DHCP

Politique de groupe

La politique de groupe vous permet de gérer de manière centralisée les paramètres des utilisateurs et des ordinateurs. Vous pouvez utiliser la politique de groupe pour définir les politiques de mot de passe, les politiques d’audit, l’écran de verrouillage, les lecteurs mappés, le déploiement de logiciels, le lecteur unique, les paramètres d’office 365 et bien plus encore.

Objets de stratégie de groupe (GPO)

Les GPO sont une collection de paramètres de stratégie que vous utilisez pour appliquer aux ordinateurs ou aux utilisateurs.

Fréquence de rafraîchissement des stratégies de groupe

Les postes de travail clients et les serveurs membres rafraîchissent leurs stratégies toutes les 90 minutes. Pour éviter de submerger les contrôleurs de domaine leur est ajouté un intervalle de décalage aléatoire pour chaque machine. Cela empêche toutes les machines de demander des mises à jour des stratégies de groupe au DC en même temps et de potentiellement le faire planter.

Traitement des stratégies

Les stratégies de groupe s’appliquent dans l’ordre suivant

  • Local
  • Site
  • Domaine
  • Unité organisationnelle (OU)

Bloquer l’héritage

Par défaut, les objets de stratégie de groupe sont hérités. Pour modifier ce comportement, vous pouvez utiliser l’option de blocage de l’héritage à un niveau OU.

No Override

Si vous voulez appliquer les politiques et empêcher qu’elles soient bloquées, utilisez l’option no override.

Paramètres utilisateur

Dans une GPO, il y a des paramètres utilisateur et des paramètres ordinateur. Les paramètres utilisateur ne s’appliquent qu’aux objets utilisateur. Si vous configurez les paramètres utilisateur dans la GPO, la GPO doit être appliquée aux objets utilisateur.

Paramètres de l’ordinateur

Les paramètres de l’ordinateur dans une GPO sont des paramètres qui peuvent être appliqués à un ordinateur. Si vous configurez les paramètres de l’ordinateur, la GPO doit être appliquée aux objets ordinateur.

Resultant Set of Policy (RsoP)

Resultant Set of Policy est un outil Microsoft intégré à Windows 7 et aux versions ultérieures. Il fournit aux administrateurs un rapport sur les paramètres de stratégie de groupe qui sont appliqués aux utilisateurs et aux ordinateurs. Il peut également être utilisé pour simuler des paramètres à des fins de planification.

J’ai un tutoriel complet dans mon article Comment utiliser RSoP pour vérifier et dépanner les paramètres de stratégie de groupe.

Préférences de stratégie de groupe

Les préférences de stratégie de groupe sont principalement utilisées pour configurer des paramètres qui peuvent être modifiés ultérieurement au niveau du client. Les préférences ont également la possibilité d’effectuer un ciblage avancé comme l’application à un certain OU, à une version de Windows, aux utilisateurs d’un groupe, etc. Les préférences sont généralement utilisées pour configurer les éléments suivants :

  • Mappages de lecteurs
  • Paramètres de registre
  • Installation d’imprimantes
  • Planification de tâches
  • Définir les autorisations de fichiers et de dossiers
  • Définir les paramètres d’alimentation

Modèles

Vous pouvez installer des modèles de stratégie de groupe supplémentaires pour étendre les GPO par défaut fournies par Microsoft. Certains modèles communs utilisés sont Office 365, Chrome, Firefox et ceux fournis par des applications tierces. Les modèles sont des fichiers basés sur xml généralement dans un format ADM ou une extension de fichier ADMX.

Ressources :

Architecture de la politique de groupe

Vue d’ensemble de la politique de groupe

J’ai raté quelque chose ? Vous avez quelque chose à partager ? Faites-le moi savoir dans les commentaires ci-dessous.

Outil recommandé : SolarWinds Server & Application Monitor

Cet utilitaire a été conçu pour surveiller Active Directory et d’autres services critiques comme DNS & DHCP. Il repérera rapidement les problèmes de contrôleur de domaine, empêchera les échecs de réplication, suivra les tentatives de connexion échouées et bien plus encore.

Ce que j’aime le plus de SAM, c’est son tableau de bord facile à utiliser et ses fonctions d’alerte. Il a également la capacité de surveiller les machines virtuelles et le stockage.

Téléchargez votre essai gratuit ici

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *