SlideShare ist ein Scribd-Unternehmen logo

22742A_02-SAB.pdf

Y
youssefziatielidriss

module 2 la gestion d'objet dans AD DS

Internet
1 von 64
Downloaden Sie, um offline zu lesen
Module 2 La gestion d’objets dans AD DS
Présentation du module • La gestion des comptes d’utilisateur • La gestion des groupes dans AD DS • La gestion des objets ordinateur dans AD DS • L’utilisation de Windows PowerShell pour l’administration AD DS • Implémentation et gestion des unités d’organisation
Leçon 1 : La gestion des comptes d’utilisateurs • La création de comptes d’utilisateur • La configuration des attributs de comptes d’utilisateur • Démonstration : La gestion des comptes d’utilisateurs • La création de profils utilisateur • La gestion des comptes utilisateurs inactifs et désactivés • Modèles de comptes utilisateurs • Démonstration : Utiliser des modèles pour gérer les comptes
Création de comptes d’utilisateurs • Comptes d’utilisateur : • Autoriser ou refuser l’accès pour la connexion aux ordinateurs • Accorder l’accès aux processus et services • Gérer l’accès aux ressources réseau • Les comptes d’utilisateur peuvent être créés en utilisant : • Utilisateurs et ordinateurs Active Directory • Centre d’administration Active Directory • Windows PowerShell • Outil de ligne de commande Directory dsadd • Les considérations relatives à l’attribution de noms aux utilisateurs sont les suivantes : • Nommer les formats (Rigueur sur nomenclature) • Suffixes UPN (SalesManager@fst.com ou fstSalesManager)
Configuration des attributs de compte d’utilisateur Les propriétés de l’utilisateur comprennent les catégories suivantes : • Compte • Organisation • Membre de • Paramètres de mot de passe • Profil • Stratégie • Extensions
Démonstration : La gestion des comptes d’utilisateurs Dans cette démonstration, vous allez apprendre à utiliser le Centre d’administration Active Directory pour : • Créer un nouveau compte utilisateur • Supprimer un compte utilisateur • Déplacer un compte utilisateur • Configurer les attributs de l’utilisateur : • Modifier le département • Modifier l’appartenance à un groupe
Création de profils d’utilisateurs La section Profil de la fenêtre Propriétés de l’utilisateur
La gestion des comptes utilisateurs inactifs et désactivés • Les comptes utilisateur qui seront inactifs pendant un certain temps doivent être désactivés plutôt que supprimés • Pour désactiver un compte dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le compte et cliquez sur Désactiver le compte dans le menu
Modèles de compte d’utilisateur Les modèles utilisateur simplifient la création de nouveaux comptes d’utilisateurs Modèle de compte Nouveau compte d’utilisateur Appartenances à un groupe Chemin d’accès au répertoire de base par défaut Chemin d’accès au profil : Scripts d’ouverture de Session Paramètres du mot de passe Département Gestionnaire
Démonstration : Utiliser des modèles pour gérer les comptes Dans cette démonstration, vous allez apprendre à : • Créer un modèle de compte • Créer un nouvel utilisateur basé sur ce modèle
Leçon 2 : Gérer des groupes dans AD DS • Types de groupe • Étendues de groupe • Implémentation de la gestion de groupe • Gestion de l’appartenance au groupe à l’aide de stratégie de groupe • Groupes par défaut • Identités spéciales • Démonstration : Gestion des groupes dans Windows Server
Types de groupes • Groupes de distribution • Utilisé uniquement avec des applications de messagerie • Sécurité pas activée (pas de SID) • Impossible d’accorder les autorisations • Groupes de sécurité • Principal de sécurité avec un SID • Peut recevoir des autorisations • Peut également être activé pour le courrier électronique Les groupes de sécurité et les groupes de distribution peuvent être convertis en un autre type de groupe
Étendues des groupes • Les groupes locaux peuvent contenir des utilisateurs, des ordinateurs, des groupes globaux, des groupes locaux de domaine et des groupes universels du même domaine, des domaines de la même forêt et un autre domaine approuvé et peuvent recevoir les autorisations d’accès aux ressources uniquement sur l’ordinateur local • Les groupes locaux de domaine ont les mêmes possibilités d’adhésion, mais ils peuvent recevoir l’autorisation d’accès aux ressources de n’importe où dans le domaine • Les groupes universels peuvent contenir des utilisateurs, des ordinateurs, des groupes globaux et d’autres groupes universels du même domaine ou de domaines de la même forêt et peuvent recevoir des autorisations d’accès à n’importe quelle ressource de la forêt • Les groupes globaux ne peuvent contenir que des utilisateurs, des ordinateurs et d’autres groupes globaux du même domaine et peuvent être autorisés à accéder aux ressources du domaine ou de n’importe quel domaine approuvé
Implémentation d’une gestion de groupe Cette meilleure pratique pour l’imbrication de groupes est connue sous le nom de IGDLA I : Identités, utilisateurs ou ordinateurs qui sont membres de G : Groupes globaux, qui recueillent les membres sur la base de leurs rôles, qui sont membres de DL : Groupes de domaine local, qui assurent la gestion tels que l’accès aux ressources qui sont A : Accès affecté à une ressource ACL_Sales_Read (groupe de domaine local) Ventes (groupe global) Auditeurs (groupe global) Par ex : un dossier partagé, l’accès est accordé en ajoutant le groupe de domaine local à l’ACL du dossier, avec une autorisation qui fournit le niveau d’accès approprié
Implémentation d’une gestion de groupe I : Identités, utilisateurs ou ordinateurs qui sont membres de
Implémentation d’une gestion de groupe I : Identités, utilisateurs ou ordinateurs qui sont membres de G : Groupes globaux, qui recueillent les membres sur la base de leurs rôles, qui sont membres de Ventes (groupe global) Auditeurs (groupe global)
Implémentation d’une gestion de groupe I : Identités, utilisateurs ou ordinateurs qui sont membres de G : Groupes globaux, qui recueillent les membres sur la base de leurs rôles, qui sont membres de DL : Groupes de domaine local, qui assurent la gestion tels que l’accès aux ressources qui sont ACL_Sales_Read (groupe de domaine local) Ventes (groupe global) Auditeurs (groupe global)
Implémentation d’une gestion de groupe I : Identités, utilisateurs ou ordinateurs qui sont membres de G : Groupes globaux, qui recueillent les membres sur la base de leurs rôles, qui sont membres de DL : Groupes de domaine local, qui assurent la gestion tels que l’accès aux ressources qui sont A : Accès affecté à une ressource ACL_Sales_Read (groupe de domaine local) Ventes (groupe global) Auditeurs (groupe global)
Implémentation d’une gestion de groupe Cette meilleure pratique pour l’imbrication de groupes est connue sous le nom de IGDLA I : Identités, utilisateurs ou ordinateurs qui sont membres de G : Groupes globaux, qui recueillent les membres sur la base de leurs rôles, qui sont membres de DL : Groupes de domaine local, qui assurent la gestion tels que l’accès aux ressources qui sont A : Accès affecté à une ressource ACL_Sales_Read (groupe de domaine local) Ventes (groupe global) Auditeurs (groupe global)
Gestion de membres de groupes à l’aide de la stratégie de groupe • Les groupes restreints peuvent simplifier la gestion de groupes • Les groupes locaux et AD DS peuvent être gérés
Gestion de membres de groupes à l’aide de la stratégie de groupe Les membres peuvent être ajoutés au groupe et le groupe peut être imbriqué dans d’autres groupes
Groupes par défaut Gérez soigneusement les groupes par défaut qui accordent des privilèges d’administration, car ces groupes : • Ont généralement plus de privilèges que nécessaire pour la plupart des environnements délégués • Offrent souvent une protection à leurs membres Groupe Emplacement Administrateurs de l’entreprise Conteneur Utilisateurs du domaine racine de la forêt Administrateurs du schéma Conteneur Utilisateurs du domaine racine de la forêt Administrateurs Conteneur intégré de chaque domaine Administrateurs du domaine Conteneur Utilisateurs de chaque domaine Opérateurs de serveur Conteneur intégré de chaque domaine Opérateurs de compte Conteneur intégré de chaque domaine Opérateurs de sauvegarde Conteneur intégré de chaque domaine Opérateurs d’impression Conteneur intégré de chaque domaine Éditeurs de certificats Conteneur Utilisateurs de chaque domaine
Identités spéciales • Identités spéciales : • Ce sont des groupes pour lesquels l’adhésion est contrôlée par le système d’exploitation • Elles peuvent être utilisées par le système d’exploitation Windows Server pour fournir un accès aux ressources en fonction du type d’authentification ou de connexion et non en fonction du compte utilisateur • Les principales identités spéciales comprennent : • Ouverture de session anonyme • Utilisateurs authentifiés • Tout le monde • Interactive • Réseau • Propriétaire créateur
Démonstration : Gestion des groupes dans Windows Server Dans cette démonstration, vous allez apprendre à : • Créer un nouveau groupe et ajouter des membres à ce groupe • Ajouter des utilisateurs au groupe • Modifier le type et l’étendue du groupe • Configurer un gestionnaire pour le groupe
Leçon 3 : Gestion des objets ordinateur dans AD DS • Quel est le conteneur Ordinateurs ? • Spécification de l’emplacement des comptes d’ordinateur • Contrôle des autorisations pour créer des comptes d’ordinateur • Jonction d’un ordinateur à un domaine • Comptes d’ordinateur et canaux sécurisés • Réinitialisation du canal sécurisé • Exécution d’une jonction de domaine hors connexion
Quel est le conteneur Ordinateurs ? Le Centre d’administration Active Directory est ouvert au conteneur Adatum (local)Ordinateurs Le nom unique est CN=Ordinateurs, DC=Adatum, DC=com
Spécifier l’emplacement des comptes d’ordinateur • Il est recommandé de créer des unités d’organisation pour les objets ordinateur • Les serveurs sont généralement subdivisés par rôle serveur • Les ordinateurs clients sont généralement subdivisés par région • Diviser les unités d’organisation : • Par administration • Pour faciliter la configuration avec la stratégie de groupe
Contrôler des autorisations pour créer des comptes d’ordinateur Dans la fenêtre Assistant Délégation de contrôle, l’administrateur crée une délégation personnalisée pour les objets ordinateur
La jonction d’un ordinateur à un domaine
Comptes ordinateurs et canaux sécurisés • Les ordinateurs ont des comptes : • SAMAccountName et mot de passe • Utilisés pour créer un canal sécurisé entre l’ordinateur et un contrôleur de domaine • Les scénarios dans lesquels un canal sécurisé peut être rompu : • La réinstallation d’un ordinateur, même avec le même nom, génère un nouveau SID et mot de passe • La restauration d’un ordinateur à partir d’une ancienne sauvegarde ou la restauration d’un ordinateur vers une ancienne capture instantanée • Le désaccord entre l’ordinateur et le domaine sur le mot de passe
Remettre à zéro le canal sécurisé • Ne pas supprimer un ordinateur du domaine avant de le rejoindre ; cela crée un nouveau compte, ce qui entraîne un nouveau SID et la perte des appartenances aux groupes • Options pour réinitialiser le canal sécurisé : • nltest • netdom • Utilisateurs et ordinateurs Active Directory • Centre d’administration Active Directory • Windows PowerShell • dsmod
Exécuter une jonction de domaine hors ligne Utiliser le domaine hors ligne pour joindre des ordinateurs à un domaine lorsqu’ils ne peuvent pas contacter un contrôleur de domaine • Créer un fichier de jonction de domaine en utilisant : • Importer le fichier de jonction de domaine en utilisant : djoin.exe /Provision /Domain <DomainName> /Machine <MachineName> /SaveFile <filepath> djoin.exe /requestODJ /LoadFile <filepath> /WindowsPath <path to the Windows directory of the offline image>
Atelier pratique A : Gestion des objets AD DS • Exercice 1 : Création et gestion des groupes dans AD DS • Exercice 2 : Création et configuration de comptes d’utilisateurs dans AD DS • Exercice 3 : Gestion des objets ordinateur dans AD DS Informations d’ouverture de session Ordinateurs virtuels : 22742A-LON-DC1 22742A-LON-DC2 22742A-LON-CL1 Nom d’utilisateur : AdatumAdministrateur Mot de passe : Pa$$w0rd Durée approximative : 45 minutes
Scénario de l’atelier pratique Vous avez travaillé pour A. Datum Corporation en tant que spécialiste de support technique et êtes allé sur les ordinateurs de bureau pour résoudre les problèmes liés aux applications et au réseau. Vous avez récemment été promu pour rejoindre l’équipe du support de serveur. Une de vos premières missions est de configurer le service d’infrastructure pour une nouvelle filiale. Pour commencer le déploiement de la nouvelle filiale, vous préparez des objets AD DS. Dans le cadre de cette préparation, vous devez créer des utilisateurs et des groupes pour la nouvelle filiale qui abritera le département de recherche. Enfin, vous devez réinitialiser le canal sécurisé pour un compte d’ordinateur qui a perdu la connectivité au domaine dans la filiale.
Récapitulation de l’atelier pratique • Quels types d’objets peuvent être membres des groupes globaux ? • Quels identifiants sont nécessaires pour joindre un ordinateur à un domaine ?
Leçon 4 : Utilisation de Windows PowerShell pour l’administration d’AD DS • Utilisation des applets de commande Windows PowerShell pour gérer des comptes d’utilisateurs • Utilisation des applets de commande Windows PowerShell pour gérer des groupes • Utilisation des applets de commande Windows PowerShell pour gérer des comptes d’ordinateur • Utilisation des applet de commande Windows PowerShell pour gérer des unités d’organisation • Que sont les opérations en bloc ? • Démonstration : Utilisation d’outils graphiques pour effectuer des opérations en bloc Interrogation d’objets avec • Windows PowerShell • Modification d’objets avec Windows PowerShell • Utilisation de fichiers CSV • Démonstration : Exécution d’opérations en bloc avec Windows PowerShell
Utilisation de cmdlets Windows PowerShell pour gérer des comptes d’utilisateurs Applet de commande Description New-ADUser Crée des comptes d’utilisateurs Set-ADUser Modifie les propriétés des comptes d’utilisateurs Remove-ADUser Supprime les comptes d’utilisateurs Set-ADAccountPassword Réinitialise le mot de passe d’un compte d’utilisateur Set- ADAccountExpiration Modifie la date d’expiration d’un compte d’utilisateur Unlock-ADAccount Débloque un compte d’utilisateur après que ce dernier ait été verrouillé suite à un trop grand nombre de tentatives de connexion incorrectes Enable-ADAccount Active un compte d’utilisateur Disable-ADAccount Désactive un compte d’utilisateur New-ADUser "Sten Faerch" –AccountPassword (Read-Host –AsSecureString "Enter password") -Department IT
Utilisation de cmdlets Windows PowerShell pour gérer les groupes Applet de commande Description New-ADGroup Crée de nouveaux groupes Set-ADGroup Modifie les propriétés des groupes Get-ADGroup Affiche les propriétés des groupes Remove-ADGroup Supprime des groupes Add-ADGroupMember Ajoute des membres aux groupes Get-ADGroupMember Affiche l’appartenance des groupes Remove-ADGroupMember Supprime les membres des groupes Add-ADPrincipalGroupMembership Ajoute l’appartenance au groupe à des objets Get-ADPrincipalGroupMembership Affiche l’appartenance au groupe des objets Remove-ADPrincipalGroupMembership Supprime l’appartenance au groupe d’un objet New-ADGroup –Name "CustomerManagement" –Path "ou=managers,dc=adatum,dc=com" –GroupScope Global –GroupCategory Security Add-ADGroupMember –Name “CustomerManagement” –Members "Joe"
Utilisation de cmdlets Windows PowerShell pour gérer les comptes d’ordinateur Applet de commande Description New-ADComputer Crée de nouveaux comptes d’ordinateurs Set-ADComputer Modifie les propriétés des comptes d’ordinateurs Get-ADComputer Modifie les propriétés des comptes d’ordinateurs Remove-ADComputer Supprime les comptes client Test-ComputerSecureChannel Vérifie ou répare la relation d’approbation entre un ordinateur et le domaine Reset- ComputerMachinePassword Réinitialise le mot de passe d’un compte d’ordinateur New-ADComputer –Name “LON-SVR8” -Path "ou=marketing,dc=adatum,dc=com" -Enabled $true Test-ComputerSecureChannel -Repair
Utilisation de cmdlets Windows PowerShell pour gérer les UO Applet de commande Description New-ADOrganizationalUnit Crée des unités d’organisation Set-ADOrganizationalUnit Modifie les propriétés des unités d’organisation Get-ADOrganizationalUnit Affiche les propriétés des unités d’organisation Remove-ADOrganizationalUnit Supprime les unités d’organisation New-ADOrganizationalUnit –Name “Sales” –Path "ou=marketing,dc=adatum,dc=com" –ProtectedFromAccidentalDeletion $true
Quelles sont les opérations en vrac ? • Une opération en bloc est une action unique qui modifie plusieurs objets • Exemple d’opérations en bloc : • Créer des comptes d’utilisateurs sur la base de données d’une feuille de calcul • Désactiver tous les comptes non utilisés depuis six mois • Renommer le service pour de nombreux utilisateurs • Vous pouvez effectuer des opérations en bloc en utilisant : • Outils graphiques • Outils en ligne de commande • Scripts
Démonstration : L’utilisation d’outils graphiques pour effectuer des opérations en bloc Dans cette démonstration, vous verrez comment utiliser Utilisateurs et ordinateurs Active Directory pour modifier l’attribut Bureau pour les utilisateurs dans l’unité d’organisation Recherche comme une opération en bloc
Interrogation d’objets avec Windows PowerShell Paramètre Description SearchBase Définit le chemin d’accès AD DS pour commencer la recherche SearchScope Définit à quel niveau en dessous de la base de données une recherche doit être effectuée ResultSetSize Définit le nombre d’objets à retourner en réponse à une requête Propriétés Définit les propriétés de l’objet à retourner et afficher Filter Définit un filtre en utilisant la syntaxe PowerShell LDAPFilter Définit un filtre en utilisant la syntaxe de requête LDAP -eq Égal à -gt Supérieur à -ne Différent de -ge Supérieur ou égal à -It Inférieur à -like Utilise des caractères génériques pour les critères spéciaux -Ie Inférieur ou égal à Descriptions des opérateurs
Interrogation d’objets avec Windows PowerShell Afficher toutes les propriétés d’un compte d’utilisateur : Afficher tous les comptes d’utilisateur dans l’unité d’organisation Marketing et tous ses sous-conteneurs : Afficher tous les comptes d’utilisateurs avec une date de dernière connexion postérieure à une date spécifique : Afficher tous les comptes d’utilisateurs dans le service Marketing qui ont une date de dernière connexion postérieure à une date spécifique : Get-ADUser –Name “Administrateur” -Properties * Get-ADUser –Filter * -SearchBase "ou=Marketing,dc=adatum,dc=com" -SearchScope subtree Get-ADUser -Filter {lastlogondate -lt "January 1, 2016"} Get-ADUser -Filter {(lastlogondate -lt "January 1, 2016") -and (department -eq "Marketing")}
Modification des objets avec Windows PowerShell Utilisez la barre verticale ( | ) pour passer une liste d’objets à une applet de commande pour la poursuite du traitement Get-ADUser -Filter {company -notlike "*"} | Set-ADUser -Company "A. Datum" Get-ADUser -Filter {lastlogondate -lt "January 1, 2016"} | Disable-ADAccount Get-Content C:users.txt | Disable-ADAccount
Utilisation de fichiers CSV La première ligne d’un fichier .csv définit les noms des colonnes Une boucle foreach traite le contenu d’un fichier .csv qui a été importé dans une variable FirstName,LastName,Department Greg,Guzik,IT Robin,Young,Research Qiong,Wu,Marketing $users=Import-CSV –LiteralPath “C:users.csv” foreach ($user in $users) { Write-Host "The first name is:" $user.FirstName }
Démonstration : Exécution d’opérations en bloc avec Windows PowerShell Dans cette démonstration, vous allez apprendre à : • Créer un nouveau groupe global dans le département IT • Ajouter tous les utilisateurs du service informatique au groupe • Définir les attributs d’adresse pour tous les utilisateurs du service Recherche • Créer une unité d’organisation • Exécuter un script pour créer de nouveaux utilisateurs à partir d’un fichier .csv • Vérifier que les comptes ont été modifiés et que de nouveaux comptes ont été créés
Leçon 5 : Implémentation et gestion d’OU • Planification d’unités d’organisation • Considérations hiérarchique des unités d’organisation • Considérations pour l’utilisation d’unités d’organisation • Autorisations AD DS • Délégation des autorisations AD DS • Démonstration : Délégation des autorisations administratives sur une UO
Planification d'UO Stratégie hybride Stratégie axée sur l’emplacement Stratégie axée sur l’organisation Stratégie fondée sur les ressources • Non statique • Plus facile de déléguer l’administration • Statique • Déléguer peut s’avérer compliqué • Non statique • Plus facile de classer Stratégie multiclient • Statique • Plus facile de déléguer l’administration • Plus facile d’inclure et de séparer les nouveaux occupants !
Considérations hiérarchiques des UO Aligner la stratégie UO sur les exigences administratives et non sur l’organigramme car les ceux-ci sont plus sujets au changement que votre modèle d’administration informatique L’héritage de comportement AD DS peut simplifier l’administration de stratégie de groupe car il permet de définir des stratégies de groupe sur une UO et de redescendre vers d’autres UO dans la hiérarchie Prévoir d’aménager les changements dans le modèle d’administration informatique
Considérations pour l’utilisation des UO • Les unités d’organisation peuvent être créées en utilisant les outils graphiques AD DS ou des outils en ligne de commande • Les nouvelles unités d’organisation sont par défaut protégées contre toute suppression accidentelle • Quand des objets sont déplacés entre des unités d’organisation : • Les autorisations directement assignées restent en place • Les autorisations héritées changent • Les autorisations appropriées sont nécessaires pour déplacer des objets entre des unités d’organisation
Autorisations AD DS • Les utilisateurs reçoivent leur jeton (liste de SID) lors de la connexion • Les objets ont un descripteur de sécurité, qui décrit : • Qui (SID) a eu ou non l’autorisation d’accès • Les autorisations (lecture, écriture, créer ou supprimer enfant) • Le genre d’objets • Les sous-niveaux • Quand les utilisateurs parcourent la structure Active Directory, leur jeton est comparé au descripteur de sécurité pour évaluer leurs droits d’accès
Déléguer les autorisations AD DS • Les autorisations sur les objets AD DS peuvent être accordées aux utilisateurs ou aux groupes • Les modèles d’autorisation sont généralement basés sur des objets ou des rôles • L’Assistant Délégation de contrôle peut simplifier l’attribution de tâches administratives communes • Les propriétés de sécurité avancées des unités d’organisation permettent d’accorder des autorisations granulaires
Démonstration : Délégation des autorisations administratives sur une UO Dans cette démonstration, vous allez apprendre à : • Créer une unité d’organisation • Utiliser l’Assistant Délégation de contrôle pour assigner une tâche • Utiliser la sécurité avancée des unités d’organisation pour attribuer des autorisations granulaires au groupe Gestionnaires de recherche
Atelier pratique B : Administration AD DS • Exercice 1 : Déléguer l’administration pour les unités d’organisation • Exercice 2 : Création et modification d’objets AD DS dans Windows PowerShell Informations d’ouverture de session Ordinateur virtuel : 22742A-LON-DC1 22742A-LON-DC2 22742A-LON-SVR1 22742A-LON-CL1 Nom d’utilisateur : AdatumAdministrator Mot de passe : Pa$$w0rd Durée approximative : 45 minutes
Scénario de l’atelier pratique Vous avez travaillé pour la Corporation A. Datum en tant que spécialiste de l’assistance de bureau et avoir effectué des tâches de dépannage sur les ordinateurs de bureau pour résoudre les problèmes d’application et réseau. Vous avez récemment accordé une promotion à l’équipe du support de serveur. Une de vos premières missions est de configurer le service d’infrastructure pour une nouvelle filiale. Pour commencer le déploiement de la nouvelle filiale, vous préparez les objets AD DS. Dans le cadre de cette préparation, vous devez créer une UO pour la filiale et déléguer les autorisations nécessaires pour sa gestion. En outre, vous devez évaluer Windows PowerShell pour gérer AD DS plus efficacement.
Récapitulation de l’atelier pratique • Pourquoi les utilisateurs créés par ce script sont activés ? • Quel est le statut des comptes créés par l’applet de commande New-ADUser ?
Récapitulation et points à retenir du module • Problèmes et scénarios du monde réel • Outils • Recommandations • Problèmes courants et conseils de dépannage
22742A_02-SAB.pdf

Empfohlen

22410B_03--- gestion des objets.ppour active directory ptx
22410B_03--- gestion des objets.ppour active directory ptx22410B_03--- gestion des objets.ppour active directory ptx
22410B_03--- gestion des objets.ppour active directory ptxkhalidkabbad2
 
22410B_03.pptx
22410B_03.pptx22410B_03.pptx
22410B_03.pptxNajahIdrissiMoulayRa
 
Chap 3-Gestion Des Groupes.pdf
Chap 3-Gestion Des Groupes.pdfChap 3-Gestion Des Groupes.pdf
Chap 3-Gestion Des Groupes.pdfMazariSalim
 
Administration unix
Administration unixAdministration unix
Administration unixHICHAM SAAF
 
2194 A 04
2194 A 042194 A 04
2194 A 04marcturzo
 
Users groupstp
Users groupstpUsers groupstp
Users groupstpbngnhn
 
TPPPPPP gestion utilisateurs et groupes.pdf
TPPPPPP gestion utilisateurs et groupes.pdfTPPPPPP gestion utilisateurs et groupes.pdf
TPPPPPP gestion utilisateurs et groupes.pdfsbailaanmydriss
 
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003Souhaib El
 

Empfohlen

22410B_03--- gestion des objets.ppour active directory ptx
22410B_03--- gestion des objets.ppour active directory ptx22410B_03--- gestion des objets.ppour active directory ptx
22410B_03--- gestion des objets.ppour active directory ptxkhalidkabbad2
 
22410B_03.pptx
22410B_03.pptx22410B_03.pptx
22410B_03.pptxNajahIdrissiMoulayRa
 
Chap 3-Gestion Des Groupes.pdf
Chap 3-Gestion Des Groupes.pdfChap 3-Gestion Des Groupes.pdf
Chap 3-Gestion Des Groupes.pdfMazariSalim
 
Administration unix
Administration unixAdministration unix
Administration unixHICHAM SAAF
 
2194 A 04
2194 A 042194 A 04
2194 A 04marcturzo
 
Users groupstp
Users groupstpUsers groupstp
Users groupstpbngnhn
 
TPPPPPP gestion utilisateurs et groupes.pdf
TPPPPPP gestion utilisateurs et groupes.pdfTPPPPPP gestion utilisateurs et groupes.pdf
TPPPPPP gestion utilisateurs et groupes.pdfsbailaanmydriss
 
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003Souhaib El
 
Cours 70 410 - J2
Cours 70 410 - J2Cours 70 410 - J2
Cours 70 410 - J2Mohamed Diallo
 
Administration serveur linux
Administration serveur linuxAdministration serveur linux
Administration serveur linuxSehla Loussaief Zayen
 
Atelier AgoraProject
Atelier AgoraProjectAtelier AgoraProject
Atelier AgoraProjectBibliothèque de l'enssib
 
Admin linux utilisateurs_et_groupes cours 1
Admin linux utilisateurs_et_groupes cours 1Admin linux utilisateurs_et_groupes cours 1
Admin linux utilisateurs_et_groupes cours 1Mehdi Bouihi
 
tn005.ppt
tn005.ppttn005.ppt
tn005.pptmustaphaamlik1
 
Gestion des utilisateurs et groupes / Users & groups management
Gestion des utilisateurs et groupes / Users & groups managementGestion des utilisateurs et groupes / Users & groups management
Gestion des utilisateurs et groupes / Users & groups managementABDELLAH EL MAMOUN
 
22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdsh
22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdsh22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdsh
22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdshkhalidkabbad2
 
22410 b 04
22410 b 0422410 b 04
22410 b 04Hamza Mellouk
 
Arawa workspace osxp
Arawa workspace osxpArawa workspace osxp
Arawa workspace osxpOpen Source Experience
 
Fiche produit LGM - Logiciel de gestion des membres
Fiche produit LGM - Logiciel de gestion des membresFiche produit LGM - Logiciel de gestion des membres
Fiche produit LGM - Logiciel de gestion des membresGestion-Ressources Inc.
 
10 02 authentification PAM
10 02 authentification PAM10 02 authentification PAM
10 02 authentification PAMNoël
 
Drupal en bibliothèque (2009)
Drupal en bibliothèque (2009)Drupal en bibliothèque (2009)
Drupal en bibliothèque (2009)Nicolas Morin
 
1 présentation de l'ad et groupes
1 présentation de l'ad et groupes1 présentation de l'ad et groupes
1 présentation de l'ad et groupesIMADKASMI
 
chap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddhchap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddhHamza546870
 
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheMeetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheAurelien Navarre
 
Webinar : Maîtrise des processus de sécurisation et des droits d'accès
Webinar : Maîtrise des processus de sécurisation et des droits d'accèsWebinar : Maîtrise des processus de sécurisation et des droits d'accès
Webinar : Maîtrise des processus de sécurisation et des droits d'accèsJulien ΞSPITΛLLIER
 
CMS et Wordpress
CMS et WordpressCMS et Wordpress
CMS et WordpressClément Dussarps
 
Présentation LINAGORA - LinShare au @S2LQ
Présentation LINAGORA - LinShare au @S2LQPrésentation LINAGORA - LinShare au @S2LQ
Présentation LINAGORA - LinShare au @S2LQMichel-Marie Maudet
 
UTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdf
UTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdfUTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdf
UTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdfImnaTech
 
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...AZUG FR
 

Weitere ähnliche Inhalte

Ähnlich wie 22742A_02-SAB.pdf

Admin linux utilisateurs_et_groupes cours 1
Admin linux utilisateurs_et_groupes cours 1Admin linux utilisateurs_et_groupes cours 1
Admin linux utilisateurs_et_groupes cours 1Mehdi Bouihi
 
Gestion des utilisateurs et groupes / Users & groups management
Gestion des utilisateurs et groupes / Users & groups managementGestion des utilisateurs et groupes / Users & groups management
Gestion des utilisateurs et groupes / Users & groups managementABDELLAH EL MAMOUN
 
22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdsh
22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdsh22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdsh
22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdshkhalidkabbad2
 
Fiche produit LGM - Logiciel de gestion des membres
Fiche produit LGM - Logiciel de gestion des membresFiche produit LGM - Logiciel de gestion des membres
Fiche produit LGM - Logiciel de gestion des membresGestion-Ressources Inc.
 
10 02 authentification PAM
10 02 authentification PAM10 02 authentification PAM
10 02 authentification PAMNoël
 
Drupal en bibliothèque (2009)
Drupal en bibliothèque (2009)Drupal en bibliothèque (2009)
Drupal en bibliothèque (2009)Nicolas Morin
 
1 présentation de l'ad et groupes
1 présentation de l'ad et groupes1 présentation de l'ad et groupes
1 présentation de l'ad et groupesIMADKASMI
 
chap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddhchap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddhHamza546870
 
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheMeetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheAurelien Navarre
 
Webinar : Maîtrise des processus de sécurisation et des droits d'accès
Webinar : Maîtrise des processus de sécurisation et des droits d'accèsWebinar : Maîtrise des processus de sécurisation et des droits d'accès
Webinar : Maîtrise des processus de sécurisation et des droits d'accèsJulien ΞSPITΛLLIER
 
Présentation LINAGORA - LinShare au @S2LQ
Présentation LINAGORA - LinShare au @S2LQPrésentation LINAGORA - LinShare au @S2LQ
Présentation LINAGORA - LinShare au @S2LQMichel-Marie Maudet
 
UTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdf
UTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdfUTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdf
UTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdfImnaTech
 
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...AZUG FR
 

Ähnlich wie 22742A_02-SAB.pdf (20)

Cours 70 410 - J2
Cours 70 410 - J2Cours 70 410 - J2
Cours 70 410 - J2
 
Administration serveur linux
Administration serveur linuxAdministration serveur linux
Administration serveur linux
 
Atelier AgoraProject
Atelier AgoraProjectAtelier AgoraProject
Atelier AgoraProject
 
Admin linux utilisateurs_et_groupes cours 1
Admin linux utilisateurs_et_groupes cours 1Admin linux utilisateurs_et_groupes cours 1
Admin linux utilisateurs_et_groupes cours 1
 
tn005.ppt
tn005.ppttn005.ppt
tn005.ppt
 
Gestion des utilisateurs et groupes / Users & groups management
Gestion des utilisateurs et groupes / Users & groups managementGestion des utilisateurs et groupes / Users & groups management
Gestion des utilisateurs et groupes / Users & groups management
 
22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdsh
22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdsh22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdsh
22410B_04.pptx bdsbsdhbsbdhjbhjdsbhbhbdsh
 
22410 b 04
22410 b 0422410 b 04
22410 b 04
 
Arawa workspace osxp
Arawa workspace osxpArawa workspace osxp
Arawa workspace osxp
 
Fiche produit LGM - Logiciel de gestion des membres
Fiche produit LGM - Logiciel de gestion des membresFiche produit LGM - Logiciel de gestion des membres
Fiche produit LGM - Logiciel de gestion des membres
 
10 02 authentification PAM
10 02 authentification PAM10 02 authentification PAM
10 02 authentification PAM
 
Drupal en bibliothèque (2009)
Drupal en bibliothèque (2009)Drupal en bibliothèque (2009)
Drupal en bibliothèque (2009)
 
1 présentation de l'ad et groupes
1 présentation de l'ad et groupes1 présentation de l'ad et groupes
1 présentation de l'ad et groupes
 
chap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddhchap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddh
 
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheMeetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
 
Webinar : Maîtrise des processus de sécurisation et des droits d'accès
Webinar : Maîtrise des processus de sécurisation et des droits d'accèsWebinar : Maîtrise des processus de sécurisation et des droits d'accès
Webinar : Maîtrise des processus de sécurisation et des droits d'accès
 
CMS et Wordpress
CMS et WordpressCMS et Wordpress
CMS et Wordpress
 
Présentation LINAGORA - LinShare au @S2LQ
Présentation LINAGORA - LinShare au @S2LQPrésentation LINAGORA - LinShare au @S2LQ
Présentation LINAGORA - LinShare au @S2LQ
 
UTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdf
UTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdfUTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdf
UTLISATEUR DU DOMAINE ET GERER LES GROUPES.pdf
 
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
 

22742A_02-SAB.pdf

  • 1. Module 2 La gestion d’objets dans AD DS
  • 2. Présentation du module • La gestion des comptes d’utilisateur • La gestion des groupes dans AD DS • La gestion des objets ordinateur dans AD DS • L’utilisation de Windows PowerShell pour l’administration AD DS • Implémentation et gestion des unités d’organisation
  • 3. Leçon 1 : La gestion des comptes d’utilisateurs • La création de comptes d’utilisateur • La configuration des attributs de comptes d’utilisateur • Démonstration : La gestion des comptes d’utilisateurs • La création de profils utilisateur • La gestion des comptes utilisateurs inactifs et désactivés • Modèles de comptes utilisateurs • Démonstration : Utiliser des modèles pour gérer les comptes
  • 4. Création de comptes d’utilisateurs • Comptes d’utilisateur : • Autoriser ou refuser l’accès pour la connexion aux ordinateurs • Accorder l’accès aux processus et services • Gérer l’accès aux ressources réseau • Les comptes d’utilisateur peuvent être créés en utilisant : • Utilisateurs et ordinateurs Active Directory • Centre d’administration Active Directory • Windows PowerShell • Outil de ligne de commande Directory dsadd • Les considérations relatives à l’attribution de noms aux utilisateurs sont les suivantes : • Nommer les formats (Rigueur sur nomenclature) • Suffixes UPN (SalesManager@fst.com ou fstSalesManager)
  • 5. Configuration des attributs de compte d’utilisateur Les propriétés de l’utilisateur comprennent les catégories suivantes : • Compte • Organisation • Membre de • Paramètres de mot de passe • Profil • Stratégie • Extensions
  • 6. Démonstration : La gestion des comptes d’utilisateurs Dans cette démonstration, vous allez apprendre à utiliser le Centre d’administration Active Directory pour : • Créer un nouveau compte utilisateur • Supprimer un compte utilisateur • Déplacer un compte utilisateur • Configurer les attributs de l’utilisateur : • Modifier le département • Modifier l’appartenance à un groupe
  • 7.
  • 8. Création de profils d’utilisateurs La section Profil de la fenêtre Propriétés de l’utilisateur
  • 9. La gestion des comptes utilisateurs inactifs et désactivés • Les comptes utilisateur qui seront inactifs pendant un certain temps doivent être désactivés plutôt que supprimés • Pour désactiver un compte dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le compte et cliquez sur Désactiver le compte dans le menu
  • 10. Modèles de compte d’utilisateur Les modèles utilisateur simplifient la création de nouveaux comptes d’utilisateurs Modèle de compte Nouveau compte d’utilisateur Appartenances à un groupe Chemin d’accès au répertoire de base par défaut Chemin d’accès au profil : Scripts d’ouverture de Session Paramètres du mot de passe Département Gestionnaire
  • 11. Démonstration : Utiliser des modèles pour gérer les comptes Dans cette démonstration, vous allez apprendre à : • Créer un modèle de compte • Créer un nouvel utilisateur basé sur ce modèle
  • 12.
  • 13. Leçon 2 : Gérer des groupes dans AD DS • Types de groupe • Étendues de groupe • Implémentation de la gestion de groupe • Gestion de l’appartenance au groupe à l’aide de stratégie de groupe • Groupes par défaut • Identités spéciales • Démonstration : Gestion des groupes dans Windows Server
  • 14. Types de groupes • Groupes de distribution • Utilisé uniquement avec des applications de messagerie • Sécurité pas activée (pas de SID) • Impossible d’accorder les autorisations • Groupes de sécurité • Principal de sécurité avec un SID • Peut recevoir des autorisations • Peut également être activé pour le courrier électronique Les groupes de sécurité et les groupes de distribution peuvent être convertis en un autre type de groupe
  • 15. Étendues des groupes • Les groupes locaux peuvent contenir des utilisateurs, des ordinateurs, des groupes globaux, des groupes locaux de domaine et des groupes universels du même domaine, des domaines de la même forêt et un autre domaine approuvé et peuvent recevoir les autorisations d’accès aux ressources uniquement sur l’ordinateur local • Les groupes locaux de domaine ont les mêmes possibilités d’adhésion, mais ils peuvent recevoir l’autorisation d’accès aux ressources de n’importe où dans le domaine • Les groupes universels peuvent contenir des utilisateurs, des ordinateurs, des groupes globaux et d’autres groupes universels du même domaine ou de domaines de la même forêt et peuvent recevoir des autorisations d’accès à n’importe quelle ressource de la forêt • Les groupes globaux ne peuvent contenir que des utilisateurs, des ordinateurs et d’autres groupes globaux du même domaine et peuvent être autorisés à accéder aux ressources du domaine ou de n’importe quel domaine approuvé
  • 16. Implémentation d’une gestion de groupe Cette meilleure pratique pour l’imbrication de groupes est connue sous le nom de IGDLA I : Identités, utilisateurs ou ordinateurs qui sont membres de G : Groupes globaux, qui recueillent les membres sur la base de leurs rôles, qui sont membres de DL : Groupes de domaine local, qui assurent la gestion tels que l’accès aux ressources qui sont A : Accès affecté à une ressource ACL_Sales_Read (groupe de domaine local) Ventes (groupe global) Auditeurs (groupe global) Par ex : un dossier partagé, l’accès est accordé en ajoutant le groupe de domaine local à l’ACL du dossier, avec une autorisation qui fournit le niveau d’accès approprié
  • 17. Implémentation d’une gestion de groupe I : Identités, utilisateurs ou ordinateurs qui sont membres de
  • 18. Implémentation d’une gestion de groupe I : Identités, utilisateurs ou ordinateurs qui sont membres de G : Groupes globaux, qui recueillent les membres sur la base de leurs rôles, qui sont membres de Ventes (groupe global) Auditeurs (groupe global)
  • 19. Implémentation d’une gestion de groupe I : Identités, utilisateurs ou ordinateurs qui sont membres de G : Groupes globaux, qui recueillent les membres sur la base de leurs rôles, qui sont membres de DL : Groupes de domaine local, qui assurent la gestion tels que l’accès aux ressources qui sont ACL_Sales_Read (groupe de domaine local) Ventes (groupe global) Auditeurs (groupe global)
  • 20. Implémentation d’une gestion de groupe I : Identités, utilisateurs ou ordinateurs qui sont membres de G : Groupes globaux, qui recueillent les membres sur la base de leurs rôles, qui sont membres de DL : Groupes de domaine local, qui assurent la gestion tels que l’accès aux ressources qui sont A : Accès affecté à une ressource ACL_Sales_Read (groupe de domaine local) Ventes (groupe global) Auditeurs (groupe global)
  • 21. Implémentation d’une gestion de groupe Cette meilleure pratique pour l’imbrication de groupes est connue sous le nom de IGDLA I : Identités, utilisateurs ou ordinateurs qui sont membres de G : Groupes globaux, qui recueillent les membres sur la base de leurs rôles, qui sont membres de DL : Groupes de domaine local, qui assurent la gestion tels que l’accès aux ressources qui sont A : Accès affecté à une ressource ACL_Sales_Read (groupe de domaine local) Ventes (groupe global) Auditeurs (groupe global)
  • 22. Gestion de membres de groupes à l’aide de la stratégie de groupe • Les groupes restreints peuvent simplifier la gestion de groupes • Les groupes locaux et AD DS peuvent être gérés
  • 23. Gestion de membres de groupes à l’aide de la stratégie de groupe Les membres peuvent être ajoutés au groupe et le groupe peut être imbriqué dans d’autres groupes
  • 24. Groupes par défaut Gérez soigneusement les groupes par défaut qui accordent des privilèges d’administration, car ces groupes : • Ont généralement plus de privilèges que nécessaire pour la plupart des environnements délégués • Offrent souvent une protection à leurs membres Groupe Emplacement Administrateurs de l’entreprise Conteneur Utilisateurs du domaine racine de la forêt Administrateurs du schéma Conteneur Utilisateurs du domaine racine de la forêt Administrateurs Conteneur intégré de chaque domaine Administrateurs du domaine Conteneur Utilisateurs de chaque domaine Opérateurs de serveur Conteneur intégré de chaque domaine Opérateurs de compte Conteneur intégré de chaque domaine Opérateurs de sauvegarde Conteneur intégré de chaque domaine Opérateurs d’impression Conteneur intégré de chaque domaine Éditeurs de certificats Conteneur Utilisateurs de chaque domaine
  • 25. Identités spéciales • Identités spéciales : • Ce sont des groupes pour lesquels l’adhésion est contrôlée par le système d’exploitation • Elles peuvent être utilisées par le système d’exploitation Windows Server pour fournir un accès aux ressources en fonction du type d’authentification ou de connexion et non en fonction du compte utilisateur • Les principales identités spéciales comprennent : • Ouverture de session anonyme • Utilisateurs authentifiés • Tout le monde • Interactive • Réseau • Propriétaire créateur
  • 26. Démonstration : Gestion des groupes dans Windows Server Dans cette démonstration, vous allez apprendre à : • Créer un nouveau groupe et ajouter des membres à ce groupe • Ajouter des utilisateurs au groupe • Modifier le type et l’étendue du groupe • Configurer un gestionnaire pour le groupe
  • 27.
  • 28. Leçon 3 : Gestion des objets ordinateur dans AD DS • Quel est le conteneur Ordinateurs ? • Spécification de l’emplacement des comptes d’ordinateur • Contrôle des autorisations pour créer des comptes d’ordinateur • Jonction d’un ordinateur à un domaine • Comptes d’ordinateur et canaux sécurisés • Réinitialisation du canal sécurisé • Exécution d’une jonction de domaine hors connexion
  • 29. Quel est le conteneur Ordinateurs ? Le Centre d’administration Active Directory est ouvert au conteneur Adatum (local)Ordinateurs Le nom unique est CN=Ordinateurs, DC=Adatum, DC=com
  • 30. Spécifier l’emplacement des comptes d’ordinateur • Il est recommandé de créer des unités d’organisation pour les objets ordinateur • Les serveurs sont généralement subdivisés par rôle serveur • Les ordinateurs clients sont généralement subdivisés par région • Diviser les unités d’organisation : • Par administration • Pour faciliter la configuration avec la stratégie de groupe
  • 31. Contrôler des autorisations pour créer des comptes d’ordinateur Dans la fenêtre Assistant Délégation de contrôle, l’administrateur crée une délégation personnalisée pour les objets ordinateur
  • 32. La jonction d’un ordinateur à un domaine
  • 33. Comptes ordinateurs et canaux sécurisés • Les ordinateurs ont des comptes : • SAMAccountName et mot de passe • Utilisés pour créer un canal sécurisé entre l’ordinateur et un contrôleur de domaine • Les scénarios dans lesquels un canal sécurisé peut être rompu : • La réinstallation d’un ordinateur, même avec le même nom, génère un nouveau SID et mot de passe • La restauration d’un ordinateur à partir d’une ancienne sauvegarde ou la restauration d’un ordinateur vers une ancienne capture instantanée • Le désaccord entre l’ordinateur et le domaine sur le mot de passe
  • 34. Remettre à zéro le canal sécurisé • Ne pas supprimer un ordinateur du domaine avant de le rejoindre ; cela crée un nouveau compte, ce qui entraîne un nouveau SID et la perte des appartenances aux groupes • Options pour réinitialiser le canal sécurisé : • nltest • netdom • Utilisateurs et ordinateurs Active Directory • Centre d’administration Active Directory • Windows PowerShell • dsmod
  • 35. Exécuter une jonction de domaine hors ligne Utiliser le domaine hors ligne pour joindre des ordinateurs à un domaine lorsqu’ils ne peuvent pas contacter un contrôleur de domaine • Créer un fichier de jonction de domaine en utilisant : • Importer le fichier de jonction de domaine en utilisant : djoin.exe /Provision /Domain <DomainName> /Machine <MachineName> /SaveFile <filepath> djoin.exe /requestODJ /LoadFile <filepath> /WindowsPath <path to the Windows directory of the offline image>
  • 36. Atelier pratique A : Gestion des objets AD DS • Exercice 1 : Création et gestion des groupes dans AD DS • Exercice 2 : Création et configuration de comptes d’utilisateurs dans AD DS • Exercice 3 : Gestion des objets ordinateur dans AD DS Informations d’ouverture de session Ordinateurs virtuels : 22742A-LON-DC1 22742A-LON-DC2 22742A-LON-CL1 Nom d’utilisateur : AdatumAdministrateur Mot de passe : Pa$$w0rd Durée approximative : 45 minutes
  • 37. Scénario de l’atelier pratique Vous avez travaillé pour A. Datum Corporation en tant que spécialiste de support technique et êtes allé sur les ordinateurs de bureau pour résoudre les problèmes liés aux applications et au réseau. Vous avez récemment été promu pour rejoindre l’équipe du support de serveur. Une de vos premières missions est de configurer le service d’infrastructure pour une nouvelle filiale. Pour commencer le déploiement de la nouvelle filiale, vous préparez des objets AD DS. Dans le cadre de cette préparation, vous devez créer des utilisateurs et des groupes pour la nouvelle filiale qui abritera le département de recherche. Enfin, vous devez réinitialiser le canal sécurisé pour un compte d’ordinateur qui a perdu la connectivité au domaine dans la filiale.
  • 38. Récapitulation de l’atelier pratique • Quels types d’objets peuvent être membres des groupes globaux ? • Quels identifiants sont nécessaires pour joindre un ordinateur à un domaine ?
  • 39. Leçon 4 : Utilisation de Windows PowerShell pour l’administration d’AD DS • Utilisation des applets de commande Windows PowerShell pour gérer des comptes d’utilisateurs • Utilisation des applets de commande Windows PowerShell pour gérer des groupes • Utilisation des applets de commande Windows PowerShell pour gérer des comptes d’ordinateur • Utilisation des applet de commande Windows PowerShell pour gérer des unités d’organisation • Que sont les opérations en bloc ? • Démonstration : Utilisation d’outils graphiques pour effectuer des opérations en bloc Interrogation d’objets avec • Windows PowerShell • Modification d’objets avec Windows PowerShell • Utilisation de fichiers CSV • Démonstration : Exécution d’opérations en bloc avec Windows PowerShell
  • 40. Utilisation de cmdlets Windows PowerShell pour gérer des comptes d’utilisateurs Applet de commande Description New-ADUser Crée des comptes d’utilisateurs Set-ADUser Modifie les propriétés des comptes d’utilisateurs Remove-ADUser Supprime les comptes d’utilisateurs Set-ADAccountPassword Réinitialise le mot de passe d’un compte d’utilisateur Set- ADAccountExpiration Modifie la date d’expiration d’un compte d’utilisateur Unlock-ADAccount Débloque un compte d’utilisateur après que ce dernier ait été verrouillé suite à un trop grand nombre de tentatives de connexion incorrectes Enable-ADAccount Active un compte d’utilisateur Disable-ADAccount Désactive un compte d’utilisateur New-ADUser "Sten Faerch" –AccountPassword (Read-Host –AsSecureString "Enter password") -Department IT
  • 41. Utilisation de cmdlets Windows PowerShell pour gérer les groupes Applet de commande Description New-ADGroup Crée de nouveaux groupes Set-ADGroup Modifie les propriétés des groupes Get-ADGroup Affiche les propriétés des groupes Remove-ADGroup Supprime des groupes Add-ADGroupMember Ajoute des membres aux groupes Get-ADGroupMember Affiche l’appartenance des groupes Remove-ADGroupMember Supprime les membres des groupes Add-ADPrincipalGroupMembership Ajoute l’appartenance au groupe à des objets Get-ADPrincipalGroupMembership Affiche l’appartenance au groupe des objets Remove-ADPrincipalGroupMembership Supprime l’appartenance au groupe d’un objet New-ADGroup –Name "CustomerManagement" –Path "ou=managers,dc=adatum,dc=com" –GroupScope Global –GroupCategory Security Add-ADGroupMember –Name “CustomerManagement” –Members "Joe"
  • 42. Utilisation de cmdlets Windows PowerShell pour gérer les comptes d’ordinateur Applet de commande Description New-ADComputer Crée de nouveaux comptes d’ordinateurs Set-ADComputer Modifie les propriétés des comptes d’ordinateurs Get-ADComputer Modifie les propriétés des comptes d’ordinateurs Remove-ADComputer Supprime les comptes client Test-ComputerSecureChannel Vérifie ou répare la relation d’approbation entre un ordinateur et le domaine Reset- ComputerMachinePassword Réinitialise le mot de passe d’un compte d’ordinateur New-ADComputer –Name “LON-SVR8” -Path "ou=marketing,dc=adatum,dc=com" -Enabled $true Test-ComputerSecureChannel -Repair
  • 43. Utilisation de cmdlets Windows PowerShell pour gérer les UO Applet de commande Description New-ADOrganizationalUnit Crée des unités d’organisation Set-ADOrganizationalUnit Modifie les propriétés des unités d’organisation Get-ADOrganizationalUnit Affiche les propriétés des unités d’organisation Remove-ADOrganizationalUnit Supprime les unités d’organisation New-ADOrganizationalUnit –Name “Sales” –Path "ou=marketing,dc=adatum,dc=com" –ProtectedFromAccidentalDeletion $true
  • 44. Quelles sont les opérations en vrac ? • Une opération en bloc est une action unique qui modifie plusieurs objets • Exemple d’opérations en bloc : • Créer des comptes d’utilisateurs sur la base de données d’une feuille de calcul • Désactiver tous les comptes non utilisés depuis six mois • Renommer le service pour de nombreux utilisateurs • Vous pouvez effectuer des opérations en bloc en utilisant : • Outils graphiques • Outils en ligne de commande • Scripts
  • 45. Démonstration : L’utilisation d’outils graphiques pour effectuer des opérations en bloc Dans cette démonstration, vous verrez comment utiliser Utilisateurs et ordinateurs Active Directory pour modifier l’attribut Bureau pour les utilisateurs dans l’unité d’organisation Recherche comme une opération en bloc
  • 46. Interrogation d’objets avec Windows PowerShell Paramètre Description SearchBase Définit le chemin d’accès AD DS pour commencer la recherche SearchScope Définit à quel niveau en dessous de la base de données une recherche doit être effectuée ResultSetSize Définit le nombre d’objets à retourner en réponse à une requête Propriétés Définit les propriétés de l’objet à retourner et afficher Filter Définit un filtre en utilisant la syntaxe PowerShell LDAPFilter Définit un filtre en utilisant la syntaxe de requête LDAP -eq Égal à -gt Supérieur à -ne Différent de -ge Supérieur ou égal à -It Inférieur à -like Utilise des caractères génériques pour les critères spéciaux -Ie Inférieur ou égal à Descriptions des opérateurs
  • 47. Interrogation d’objets avec Windows PowerShell Afficher toutes les propriétés d’un compte d’utilisateur : Afficher tous les comptes d’utilisateur dans l’unité d’organisation Marketing et tous ses sous-conteneurs : Afficher tous les comptes d’utilisateurs avec une date de dernière connexion postérieure à une date spécifique : Afficher tous les comptes d’utilisateurs dans le service Marketing qui ont une date de dernière connexion postérieure à une date spécifique : Get-ADUser –Name “Administrateur” -Properties * Get-ADUser –Filter * -SearchBase "ou=Marketing,dc=adatum,dc=com" -SearchScope subtree Get-ADUser -Filter {lastlogondate -lt "January 1, 2016"} Get-ADUser -Filter {(lastlogondate -lt "January 1, 2016") -and (department -eq "Marketing")}
  • 48. Modification des objets avec Windows PowerShell Utilisez la barre verticale ( | ) pour passer une liste d’objets à une applet de commande pour la poursuite du traitement Get-ADUser -Filter {company -notlike "*"} | Set-ADUser -Company "A. Datum" Get-ADUser -Filter {lastlogondate -lt "January 1, 2016"} | Disable-ADAccount Get-Content C:users.txt | Disable-ADAccount
  • 49. Utilisation de fichiers CSV La première ligne d’un fichier .csv définit les noms des colonnes Une boucle foreach traite le contenu d’un fichier .csv qui a été importé dans une variable FirstName,LastName,Department Greg,Guzik,IT Robin,Young,Research Qiong,Wu,Marketing $users=Import-CSV –LiteralPath “C:users.csv” foreach ($user in $users) { Write-Host "The first name is:" $user.FirstName }
  • 50. Démonstration : Exécution d’opérations en bloc avec Windows PowerShell Dans cette démonstration, vous allez apprendre à : • Créer un nouveau groupe global dans le département IT • Ajouter tous les utilisateurs du service informatique au groupe • Définir les attributs d’adresse pour tous les utilisateurs du service Recherche • Créer une unité d’organisation • Exécuter un script pour créer de nouveaux utilisateurs à partir d’un fichier .csv • Vérifier que les comptes ont été modifiés et que de nouveaux comptes ont été créés
  • 51.
  • 52. Leçon 5 : Implémentation et gestion d’OU • Planification d’unités d’organisation • Considérations hiérarchique des unités d’organisation • Considérations pour l’utilisation d’unités d’organisation • Autorisations AD DS • Délégation des autorisations AD DS • Démonstration : Délégation des autorisations administratives sur une UO
  • 53. Planification d'UO Stratégie hybride Stratégie axée sur l’emplacement Stratégie axée sur l’organisation Stratégie fondée sur les ressources • Non statique • Plus facile de déléguer l’administration • Statique • Déléguer peut s’avérer compliqué • Non statique • Plus facile de classer Stratégie multiclient • Statique • Plus facile de déléguer l’administration • Plus facile d’inclure et de séparer les nouveaux occupants !
  • 54. Considérations hiérarchiques des UO Aligner la stratégie UO sur les exigences administratives et non sur l’organigramme car les ceux-ci sont plus sujets au changement que votre modèle d’administration informatique L’héritage de comportement AD DS peut simplifier l’administration de stratégie de groupe car il permet de définir des stratégies de groupe sur une UO et de redescendre vers d’autres UO dans la hiérarchie Prévoir d’aménager les changements dans le modèle d’administration informatique
  • 55. Considérations pour l’utilisation des UO • Les unités d’organisation peuvent être créées en utilisant les outils graphiques AD DS ou des outils en ligne de commande • Les nouvelles unités d’organisation sont par défaut protégées contre toute suppression accidentelle • Quand des objets sont déplacés entre des unités d’organisation : • Les autorisations directement assignées restent en place • Les autorisations héritées changent • Les autorisations appropriées sont nécessaires pour déplacer des objets entre des unités d’organisation
  • 56. Autorisations AD DS • Les utilisateurs reçoivent leur jeton (liste de SID) lors de la connexion • Les objets ont un descripteur de sécurité, qui décrit : • Qui (SID) a eu ou non l’autorisation d’accès • Les autorisations (lecture, écriture, créer ou supprimer enfant) • Le genre d’objets • Les sous-niveaux • Quand les utilisateurs parcourent la structure Active Directory, leur jeton est comparé au descripteur de sécurité pour évaluer leurs droits d’accès
  • 57. Déléguer les autorisations AD DS • Les autorisations sur les objets AD DS peuvent être accordées aux utilisateurs ou aux groupes • Les modèles d’autorisation sont généralement basés sur des objets ou des rôles • L’Assistant Délégation de contrôle peut simplifier l’attribution de tâches administratives communes • Les propriétés de sécurité avancées des unités d’organisation permettent d’accorder des autorisations granulaires
  • 58. Démonstration : Délégation des autorisations administratives sur une UO Dans cette démonstration, vous allez apprendre à : • Créer une unité d’organisation • Utiliser l’Assistant Délégation de contrôle pour assigner une tâche • Utiliser la sécurité avancée des unités d’organisation pour attribuer des autorisations granulaires au groupe Gestionnaires de recherche
  • 59.
  • 60. Atelier pratique B : Administration AD DS • Exercice 1 : Déléguer l’administration pour les unités d’organisation • Exercice 2 : Création et modification d’objets AD DS dans Windows PowerShell Informations d’ouverture de session Ordinateur virtuel : 22742A-LON-DC1 22742A-LON-DC2 22742A-LON-SVR1 22742A-LON-CL1 Nom d’utilisateur : AdatumAdministrator Mot de passe : Pa$$w0rd Durée approximative : 45 minutes
  • 61. Scénario de l’atelier pratique Vous avez travaillé pour la Corporation A. Datum en tant que spécialiste de l’assistance de bureau et avoir effectué des tâches de dépannage sur les ordinateurs de bureau pour résoudre les problèmes d’application et réseau. Vous avez récemment accordé une promotion à l’équipe du support de serveur. Une de vos premières missions est de configurer le service d’infrastructure pour une nouvelle filiale. Pour commencer le déploiement de la nouvelle filiale, vous préparez les objets AD DS. Dans le cadre de cette préparation, vous devez créer une UO pour la filiale et déléguer les autorisations nécessaires pour sa gestion. En outre, vous devez évaluer Windows PowerShell pour gérer AD DS plus efficacement.
  • 62. Récapitulation de l’atelier pratique • Pourquoi les utilisateurs créés par ce script sont activés ? • Quel est le statut des comptes créés par l’applet de commande New-ADUser ?
  • 63. Récapitulation et points à retenir du module • Problèmes et scénarios du monde réel • Outils • Recommandations • Problèmes courants et conseils de dépannage