Glossaire Active Directory – Termes et Concepts Fondamentaux

Dans cet article, je vais énumérer et expliquer la terminologie la plus couramment utilisée dans Active Directory et les technologies connexes.

Si vous débutez dans Active Directory, ce sera une excellente ressource pour vous familiariser avec les bases et les concepts fondamentaux d’Active Directory.

J’ai regroupé les termes dans différentes sections pour les rendre plus faciles à comprendre et à référencer. Certains sujets peuvent être très techniques, j’ai fourni une terminologie courte et facile à comprendre. Je fournis ensuite des ressources supplémentaires à la fin de chaque section si vous souhaitez en savoir plus.

Table des matières:

  • Bases d’Active Directory – Commencez ici
  • Services Active Directory
  • DNS Active Directory
  • Réplication Active Directory
  • Sécurité Active Directory (Authentification, Protocoles de sécurité, Autorisations)
  • Consoles de gestion Active Directory
  • DHCP
  • Stratégie de groupe

Bases d’Active Directory

Ce sont des termes de base que vous devriez connaître lorsque vous traiter avec Active Directory.

Active Directory

Active Directory est un service d’annuaire qui centralise la gestion des utilisateurs, ordinateurs et autres objets au sein d’un réseau. Sa fonction principale est d’authentifier et d’autoriser les utilisateurs et les ordinateurs d’un domaine Windows. Par exemple, lorsqu’un utilisateur se connecte à un ordinateur sur le domaine, il vérifie le nom d’utilisateur et le mot de passe qui ont été soumis pour vérifier le compte. S’il s’agit d’un nom d’utilisateur et d’un mot de passe valides, l’utilisateur est authentifié et connecté à l’ordinateur.

Ne vous confondez pas avec les trois termes suivants, ils font tous référence à Active Directory.

  • AD – C’est juste une abréviation pour Active Directory
  • AD DS – C’est un serveur qui exécute le rôle de Services de domaine Active Directory
  • Contrôleur de domaine – C’est aussi un serveur exécutant le rôle de Service de domaine Active Directory. Il est recommandé d’avoir plusieurs contrôleurs de domaine pour des raisons de basculement.

Services Web Active Directory (ADWS)

Ce service a été introduit dans Windows Server 2008 R2. Il est installé automatiquement avec le rôle ADDS ou ADLD et est configuré pour s’exécuter automatiquement. Ce service assure la gestion à distance de tous les services d’annuaire locaux.

Domaine

Le domaine est une structure logique de conteneurs et d’objets dans Active Directory. Un domaine contient les composants suivants :

  • Une structure hiérarchique pour les utilisateurs, groupes, ordinateurs et autres objets
  • Services de sécurité qui fournissent l’authentification et l’autorisation aux ressources du domaine et d’autres domaines
  • Stratégies appliquées aux utilisateurs et aux ordinateurs
  • Un nom DNS permettant d’identifier le domaine. Lorsque vous vous connectez à un ordinateur faisant partie d’un domaine, vous vous connectez au nom de domaine DNS. Mon domaine DNS est ad.activedirectorypro.com , c’est ainsi que mon domaine est identifié.

Arbre de domaine

Lorsque vous ajoutez un domaine enfant à un domaine parent, vous créez ce qu’on appelle une arborescence de domaine. Une arborescence de domaines n’est qu’une série de domaines connectés ensemble de manière hiérarchique, tous utilisant le même espace de noms DNS. Si activedirectorypro.com était d’ajouter un domaine appelé formation, ou des vidéos qu’il serait nommé training.activedirectorypro.com et videos.activedirectorypro.com . Ces domaines font partie de la même arborescence de domaines et une approbation est automatiquement créée entre les domaines parent et enfant.

Niveaux fonctionnels

Les niveaux fonctionnels déterminent les capacités disponibles dans le domaine. Des niveaux fonctionnels plus élevés vous permettent d’utiliser les technologies les plus récentes et les plus avancées de votre domaine Active Directory. Lorsque cela est possible, utilisez les niveaux fonctionnels les plus élevés pour vos contrôleurs de domaine.

Forêt

Une forêt est une collection d’arbres de domaine. L’arborescence du domaine partage un schéma et un conteneur de configuration communs. L’arbre de domaine est connecté ensemble par le biais d’une confiance transitive. Lorsque vous installez Active Directory pour la première fois et créez un domaine, vous créez également une forêt.

FQDN – Nom de domaine complet

Le nom de domaine complet est le nom d’hôte + le domaine, par exemple, mon domaine est ad.activedirectorypro.com , un ordinateur dans le domaine avec le nom d’hôte PC1 donc le nom de domaine complet serait pc1.ad.activedirectorypro.com

FSMO

Un contrôleur de domaine a plusieurs fonctions appelées rôles FSMO. Ces rôles sont tous installés sur le premier contrôleur de domaine dans une nouvelle forêt, vous pouvez déplacer des rôles sur plusieurs CDD pour améliorer les performances et le basculement.

  • Maître de schéma – Le maître de schéma est un rôle à l’échelle de la forêt qui gère toutes les modifications apportées au schéma Active Directory.
  • Domain Naming Master – C’est un rôle à l’échelle de la forêt qui est le maître des noms de domaine. Il gère l’espace de noms et ajoute des noms de domaine supprimés.
  • Émulateur PDC – Ce rôle gère les changements de mot de passe, les verrouillages d’utilisateurs, la stratégie de groupe et est le serveur de temps pour les clients.
  • Maître RID – Ce rôle est responsable du traitement des demandes de pool RID de tous les CD du domaine. Lorsque des objets tels que des utilisateurs et des ordinateurs sont créés, un SID unique et un ID relatif (RID) leur sont attribués. Le rôle maître RID garantit que les objets ne reçoivent pas les mêmes SID et RIDs.
  • Maître d’infrastructure – Il s’agit d’un rôle à l’échelle du domaine utilisé pour référencer des objets dans d’autres domaines. Si les utilisateurs du domaine A sont membres d’un groupe de sécurité dans le domaine B, le rôle maître de l’infrastructure est utilisé pour référencer les comptes dans le domaine approprié.

Objets

Lorsque vous travaillez avec Active Directory, vous travaillez principalement avec des objets. Les objets sont définis comme un groupe d’attributs qui représentent une ressource dans le domaine. Ces objets se voient attribuer un identifiant de sécurité unique (SID) qui est utilisé pour accorder ou refuser à l’objet l’accès aux ressources du domaine. Les types d’objets par défaut créés dans un nouveau domaine dans Active Directory sont:

  • Unité organisationnelle (OU) – Une OU est un objet conteneur qui peut contenir différents objets du même domaine. Vous utiliserez les unités d’organisation pour stocker et organiser des comptes d’utilisateurs, des contacts, des ordinateurs et des groupes. Vous lierez également des objets de stratégie de groupe à une unité d’organisation.
  • Utilisateurs – Les comptes d’utilisateurs sont attribués principalement aux utilisateurs pour accéder aux ressources du domaine. Ils peuvent également être utilisés pour exécuter des programmes ou des services système.
  • Ordinateur – Il s’agit simplement d’un ordinateur joint au domaine.
  • Groupes – Il existe deux types d’objets, un groupe de sécurité et un groupe de distribution. Un groupe de sécurité est un regroupement de comptes d’utilisateurs qui peuvent être utilisés pour donner accès à des ressources. Les groupes de distribution sont utilisés pour les listes de distribution d’e-mails.
  • Contacts – Un contact est utilisé à des fins d’e-mail. Vous ne pouvez pas vous connecter au domaine en tant que contact et il ne peut pas être utilisé pour sécuriser les autorisations.
  • Dossier partagé – Lorsque vous publiez un dossier partagé dans Active Directory, il crée un objet. La publication de dossiers partagés dans AD permet aux utilisateurs de trouver plus facilement des fichiers et dossiers partagés dans le domaine.
  • Partager l’imprimante – Tout comme les dossiers partagés, vous pouvez publier des imprimantes sur Active Directory. Cela permet également aux utilisateurs de trouver et d’utiliser plus facilement des imprimantes sur le domaine.

LDAP (Lightweight Directory Access Protocol)

LDAP est un protocole de plate-forme ouverte utilisé pour accéder aux services d’annuaire. LDAP fournit le mécanisme de communication permettant aux applications et autres systèmes d’utiliser l’interaction avec les serveurs d’annuaire. En termes simples, LDAP est un moyen de se connecter et de communiquer avec Active Directory.

Catalogue global (GC)

Le serveur de catalogue global contient une réplique complète de tous les objets et est utilisé pour effectuer des recherches à l’échelle de la forêt. Par défaut, le premier contrôleur de domaine d’un domaine est désigné comme serveur GC, il est recommandé d’avoir au moins un serveur GC pour chaque site afin d’améliorer les performances.

Moteur de base de données Jet

La base de données Active Directory est basée sur le moteur Jet Blue de Microsoft et utilise le moteur de stockage Extensible (ESE) pour travailler avec les données. La base de données est un fichier unique nommé ntds.dit, par défaut, il est stocké dans le dossier %SYSTEMROOT%\NTDS et chaque contrôleur de domaine.

Corbeille

La corbeille Active Directory permet aux administrateurs de récupérer facilement les éléments supprimés, ce n’est pas activé par défaut. Comment activer la Corbeille guide étape par étape.

Contrôleur de domaine en lecture seule (RODC)

Les serveurs RODC détiennent une copie en lecture seule de la base de données Active Directory et n’autorisent pas les modifications apportées à AD. Son objectif principal est pour les succursales et les sites avec une mauvaise sécurité physique.

Schéma

Le schéma Active Directory définit chaque classe d’objets pouvant être créée et utilisée dans une forêt Active Directory. Il définit également chaque attribut pouvant exister dans un objet. En d’autres termes, il s’agit d’un plan de la façon dont les données peuvent être stockées dans Active Directory. Par exemple, un compte utilisateur est une instance de la classe user, il utilise des attributs pour stocker et fournir des informations sur cet objet. Un compte d’ordinateur est une autre instance d’une classe qui est également définie par ses attributs.

Il existe de nombreuses classes et attributs à moins que votre programmation ou votre dépannage ne pose un problème avancé, il n’est pas nécessaire de tout savoir sur le schéma.

SYSVOL

Le sysvol est un dossier très important qui est partagé sur chaque contrôleur de domaine. L’emplacement par défaut est %SYSTEMROOT%\SYSVOL\sysvol et se compose des éléments suivants:

  • Objets de stratégie de groupe
  • Dossiers
  • Scripts
  • Points de jonction

Pierre tombale

Pierre Tombale est un objet supprimé de AD qui n’a pas été supprimé de la base de données, l’objet reste techniquement dans la base de données pendant un certain temps. Pendant cette période, l’objet peut être restauré.

Attributs de nom d’objet

Voici quelques attributs importants que vous devriez connaître lorsque vous travaillez avec Active Directory.

  • userPrincipalName (UPN) – Il s’agit d’un nom d’ouverture de session courant au format d’une adresse e-mail. Un UPN ressemble à ceci, [email protected] , un UPN peut être utilisé pour se connecter à un domaine Windows.
  • objectGUID – Cet attribut est utilisé pour identifier de manière unique un compte utilisateur. Même si le compte est renommé ou déplacé, le guide d’objet ne change jamais.
  • sAMAccountName – Cet attribut est un utilisateur pour les connexions de compte à un domaine. C’était le principal moyen de se connecter à un domaine pour les anciennes versions de Windows, il peut toujours être utilisé sur les versions modernes de Windows.
  • objectSID – Cet attribut est l’identifiant de sécurité (SID) de l’utilisateur. Le SID est utilisé par le serveur pour identifier un utilisateur et son appartenance à un groupe afin d’autoriser les utilisateurs à accéder aux ressources du domaine.
  • sIDHistory – Cet attribut contient les SID précédents pour l’objet utilisateur. Ceci n’est nécessaire que si un utilisateur a déménagé vers un autre domaine.
  • Nom distinctif relatif (RDN) – Le RDN est le premier composant du nom distinctif. C’est le nom de l’objet dans Active Directory par rapport à son emplacement dans la structure hiérarchique de AD
  • Distinguished Name (DN) – L’attribut DN localise les objets dans le répertoire. Cet attribut est couramment utilisé par les services et les applications pour localiser des objets dans Active Directory. un DN est composé des composants suivants :
    • CN – nom commun
    • OU- unité organisationnelle
    • Composant DC–domaine

Groupes

Les groupes sont utilisés pour collecter les comptes d’utilisateurs, les ordinateurs et les objets de contact dans des unités de gestion. La création de groupes facilite le contrôle des autorisations sur les ressources et l’attribution de ressources telles que les imprimantes et les dossiers. Il existe deux types de groupes

  • Distribution – Les groupes de distribution sont utilisés par les applications de messagerie pour envoyer facilement un e-mail à un groupe d’utilisateurs.
  • Sécurité – Les groupes de sécurité sont un groupe de comptes qui peuvent être utilisés pour attribuer facilement une ressource ou demander des autorisations. Par exemple, si je voulais verrouiller un dossier pour le service RH, je pouvais simplement placer tous les employés dans un groupe de sécurité et appliquer le groupe au dossier au lieu de chaque compte individuel.

Portée du groupe

La portée du groupe identifie si le groupe peut être appliqué dans le domaine ou la forêt. Voici les trois étendues de groupe :

  • Universal – Peut contenir des objets d’autres groupes universels et de n’importe quel domaine de l’arbre ou de la forêt.
  • Global – Peut contenir des objets du domaine et être utilisé dans n’importe quel arbre ou forêt de domaine.
  • Domaine Local – Peut contenir des objets de n’importe quel domaine mais ne peut être appliqué qu’au domaine dans lequel il a été créé.

Ressources :

Comprendre les Pierres tombales, Active Directory et Comment le protéger

Schéma Active Directory

Niveaux fonctionnels de la forêt et du domaine

Active Directory: Concepts Partie 1

Services Active Directory

Active Directory comprend plusieurs autres services qui relèvent des services de domaine Active Directory, ces services incluent:

Services de certificats Active Directory (AD CS)

Il s’agit d’un rôle de serveur qui vous permet de créer une infrastructure à clé publique (PKI) et de fournir des certificats numériques à votre organisation. Les certificats peuvent être utilisés pour chiffrer le trafic réseau, le trafic applicatif et pour authentifier les utilisateurs et les ordinateurs. Lorsque vous voyez https dans une adresse de navigateur, cela signifie qu’il utilise un certificat pour chiffrer la communication entre le client et le serveur.

Services de domaine Active Directory (AD DS)

Voir la description d’Active Directory

Services de fédération Active Directory (AD FS)

Le service de fédération permet l’authentification unique sur des systèmes externes tels que des sites Web et des applications. Office 365 est une utilisation courante pour les services de fédération. Lorsque vous vous connectez à office 365, le nom d’utilisateur et le mot de passe sont redirigés via le serveur de fédération et les informations d’identification sont vérifiées par rapport à votre Active Directory sur site. Cela vous permet donc de fournir une authentification à des systèmes externes en utilisant votre Active Directory local pour authentifier le nom d’utilisateur et le mot de passe.

Active Directory Lightweight Directory Services (AD LDS)

Ce service fournit des services d’annuaire utilisant le protocole LDAP sans qu’il soit nécessaire de déployer des contrôleurs de domaine. Ceci est principalement utilisé pour fournir un service d’annuaire fonctionnel aux applications activées par l’annuaire. Cela ne remplace pas AD DS.

Services de gestion des droits Active Directory (AD RMS)

Ce service fournit des méthodes de protection des informations sur le contenu numérique. Il protège les documents en définissant qui peut ouvrir, modifier, imprimer, transférer ou effectuer d’autres actions sur les documents. Vous pouvez également utiliser des certificats pour chiffrer des documents pour une meilleure sécurité.

DNS Active Directory

Le système de noms de domaine est un service qui fournit une résolution de nom, le plus souvent une résolution de nom d’hôte à adresse IP. Dans cette section, vous découvrirez certains des composants importants du DNS.

Enregistrements de ressources

Un enregistrement de ressources est une entrée dans le système DNS qui permet de localiser les ressources en fonction de l’adresse IP ou d’un nom de domaine. Il existe de nombreux types d’enregistrements de ressources, voici une liste des types d’enregistrements courants :

  • A– mappe un nom d’hôte à une adresse IPv4
  • AAAA – Mappe un nom d’hôte à une adresse IPv6
  • CNAME – Mappe un alias à un nom d’hôte
  • MX – Utilisé pour localiser un serveur de messagerie
  • NS – Spécificités d’un serveur de noms pour un domaine
  • PTR – Mappe une adresse IPv4 à une adresse IPv4 nom d’hôte. L’inverse d’un enregistrement A.
  • SOA – Contient des informations administratives
  • SRV – Utilisé pour localiser les serveurs hébergeant des services spécifiques
  • TXT – Peut contenir diverses données. Souvent utilisé pour vérifier des domaines et des raisons de sécurité.

DNS dynamique (DDNS)

Le DNS dynamique est une méthode permettant aux clients d’enregistrer et de mettre à jour dynamiquement leurs enregistrements de ressources avec un serveur DNS. Cela permet aux clients qui utilisent DHCP de mettre à jour automatiquement leur enregistrement DNS lorsque leur adresse IP change.

Nom d’hôte

Il s’agit le plus souvent de l’enregistrement DNS A, le nom DNS d’un périphérique avec lequel on peut communiquer. Par exemple, un serveur portant le nom de DC1. Si DC1 était enregistré dans DNS, vous vous référeriez à cela comme nom d’hôte.

Zones

Une zone est utilisée pour héberger les enregistrements DNS d’un domaine particulier. Le type de zone le plus important et le plus couramment utilisé est les zones intégrées Active Directory. Il y a plusieurs autres zones que vous devriez connaître, je couvre les autres zones de mon article, les zones Windows DNZ expliquées.

Vieillissement et balayage DNS

Il s’agit d’une fonctionnalité qui peut être activée pour aider à automatiser le nettoyage des enregistrements DNS périmés. J’ai créé un article séparé qui explique plus et fournit des instructions étape par étape pour configurer le vieillissement et le balayage DNS.

Enregistrements SRV Utilisés par Active Directory

Dans un domaine Windows, les enregistrements SRV sont utilisés par les clients pour localiser les contrôleurs de domaine pour Active Directory. Lorsque vous installez le service AD DS, le processus crée automatiquement les enregistrements SRV pour Active Directory.

  • Active Directory crée ses enregistrements SRV dans les dossiers suivants, où Nom_domAine est le nom de votre domaine :
    • Zones de recherche avancée/Nom_domAine/_msdcs/dc/_sites/Nom-de-premier-site par défaut/_tcp Zones de recherche avancée/Nom_domAine/_msdcs/dc/_tcp

Voici une capture d’écran de mon DNS :

Rewarders

Les rewarders DNS sont des serveurs qui résolvent des noms d’hôte que votre serveur DNS interne ne peut pas résoudre, principalement des domaines externes tels que la navigation sur Internet. Vous pouvez configurer pour transférer les requêtes DNS vers n’importe quel serveur de votre choix, souvent lorsqu’un FAI est utilisé.

Astuces racine

Le serveur d’astuces racine est une autre méthode pour résoudre les noms d’hôte que votre serveur interne ne peut pas résoudre. La différence est que ces serveurs servent de zone DNS racine pour Internet. Ils sont gérés par plusieurs grands organisés pour la sécurité et la redondance. Vous pouvez utiliser des astuces root ou des transferts pour résoudre les noms externes.

Ressources:

Liste complète des types d’enregistrements de ressources DNS

Comment vérifier que les enregistrements DNS SRV ont été créés pour un contrôleur de domaine

Conseils Root vs Forwarders

Meilleures pratiques DNS

Réplication Active Directory

La réplication est le processus qui garantit que les modifications apportées à un contrôleur de domaine sont répliquées vers d’autres contrôleurs de domaine du domaine.

Objets de connexion

Les spécificités de l’objet de connexion que les contrôleurs de domaine répliquent entre eux, leur fréquence et leurs contextes de nommage.

KCC

Le vérificateur de cohérence des connaissances (KCC) est un processus qui s’exécute sur tous les contrôleurs de domaine et génère une topologie de réplication basée sur les sites, les sous-réseaux et les objets de lien de site.

Sous-réseaux

Un sous-réseau est une partie logique d’un réseau IP. Les sous-réseaux sont utilisés pour regrouper des périphériques dans un réseau spécifique, souvent par emplacement, bâtiment ou étage. Si vous disposez d’un environnement multisite, Active Directory doit connaître vos sous-réseaux afin qu’il puisse identifier correctement les ressources les plus efficaces. Si ces informations ne sont pas fournies, les clients peuvent s’authentifier et utiliser le mauvais contrôleur de domaine.

Site

Un site est une collection de sous-réseaux. Les sites Active Directory aident à définir le flux de réplication et l’emplacement des ressources pour les clients tels qu’un contrôleur de domaine.

Lien du site

Les liens du site vous permettent de configurer quels sites sont connectés les uns aux autres.

Pont de lien de site

Un pont de lien de site est une connexion logique entre les sites. C’est une méthode pour représenter logiquement la connectivité transitive entre les sites.

Topologie du site

La topologie du site est une carte qui définit la connectivité réseau pour la réplication et l’emplacement des ressources dans la forêt Active Directory. La topologie de site cohérente de plusieurs composants, y compris les sites, les sous-réseaux, les liens de site, les ponts de liens de site et les objets de connexion.

Réplication intra-site

Il s’agit d’une réplication qui se produit entre les contrôleurs de domaine du même site.

Réplication inter-sites

Dans un environnement comportant plusieurs sites, une modification d’un site doit être répliquée sur l’autre site. C’est ce qu’on appelle la réplication inter-sites.

Ressources :

Comment fonctionne la réplication Active Directory

Concepts de réplication Active Directory

Sécurité Active Directory (Authentification, Protocoles de sécurité, Autorisations)

Kerberos

Kerberos est un protocole de sécurité qui permet en toute sécurité aux utilisateurs de prouver leur identité pour accéder aux ressources du domaine.

Centre de distribution de clés (KDC)

KDC est un service qui s’exécute sur les contrôleurs de domaine et fournit des tickets de session utilisés dans le protocole d’authentification Kerberos.

Noms principaux de service (SPN)

SPN est un identifiant unique d’une instance de service.

NTLM

NTLM est un ensemble de protocoles de sécurité utilisés pour authentifier, assurer l’intégrité et la confidentialité des utilisateurs. Kerberos est le protocole d’authentification préféré et est utilisé dans les versions modernes de Windows, NTLM est toujours disponible pour les anciens clients et systèmes d’un groupe de travail.

Autorisations NTFS

Les autorisations NTFS vous permettent de définir qui est autorisé à accéder à un fichier ou un dossier. Vous trouverez ci-dessous une liste des autorisations de base que vous pouvez définir:

  • Contrôle total – Cela donne aux utilisateurs les droits d’ajouter, de modifier, de déplacer et de supprimer des fichiers et des dossiers.
  • Modifier – Donne aux utilisateurs une vue et des droits à modifier
  • Lire &Exécuter – Donne aux utilisateurs des droits de vue et d’exécution
  • Des droits en lecture uniquement
  • Écrire sur un fichier et ajouter de nouveaux dossiers

Autorisations de partage

Les autorisations de partage définissent le niveau d’accès aux ressources partagées telles qu’un dossier. Il existe trois autorisations partagées de base:

  • Read – Donne aux utilisateurs des droits d’affichage sur le dossier et les sous-dossiers
  • Change – Donne aux utilisateurs des droits de lecture et de modification
  • Un contrôle total – Donne aux utilisateurs des droits de modification, de modification et de lecture.

Liste de contrôle d’accès discrétionnaire (DACL)

Une DACL identifie le compte qui autorise ou refuse l’accès à un objet tel qu’un fichier ou un dossier.

Entrées de contrôle d’accès (ACE)

DACL contient des ACEs, l’ACE définit quel compte et quel niveau d’accès doit être accordé à la ressource. Si aucun ACE n’est présent, le système refuse tout accès à l’objet.

Liste de contrôle d’accès au système (SACL)

La SACL permet aux administrateurs de consigner les tentatives d’accès à un objet de sécurité.

Stratégie de mot de passe à grain fin

Une fonctionnalité de Windows 2008 et versions ultérieures qui vous permet de définir différentes stratégies de mot de passe et de verrouillage de compte pour différents comptes. En règle générale, tous les comptes doivent avoir la même politique, mais vous pouvez avoir un compte de service ou un compte très spécifique qui nécessite une politique différente. Par exemple, notre compte wifi invité était bloqué en raison de mauvaises tentatives de mot de passe. J’ai utilisé une politique de mot de passe accordé une amende pour définir un verrouillage de compte plus élevé que le reste du domaine.

Ressources :

Kerberos pour l’administrateur occupé

Aperçu technique de l’authentification Windows

Différences Entre les autorisations Share et NTFS

Listes de contrôle d’accès

Consoles de gestion Active Directory

Cette section comprend les consoles de gestion que vous devrez utiliser pour gérer les différentes technologies Active Directory. Vous devrez installer les Outils d’administration du serveur distant (RSAT) pour accéder à ces consoles de gestion.

Utilisateurs et ordinateurs Active Directory (ADUC)

C’est la console la plus couramment utilisée pour gérer les utilisateurs, les ordinateurs, les groupes et les contacts.

Raccourci : dsa.msc

Centre administratif Active Directory (ADAC)

À partir du serveur 2008 R2 Microsoft introduit l’ADAC pour gérer leurs objets de service d’annuaire. Cette console peut être utilisée pour créer et gérer des comptes d’utilisateurs, des comptes d’ordinateurs, des groupes et des unités organisationnelles. Il fournit les mêmes fonctionnalités que l’outil Utilisateurs et ordinateurs Active Directory. En raison de l’interface compliquée, je préfère ADUC à cette console.

Domaines et approbations Active Directory

Cette console est utilisée pour augmenter le mode de domaine ou le niveau fonctionnel d’un domaine ou d’une forêt. Il est également utilisé pour gérer les relations de confiance.

Raccourci: domaine.msc

Sites et services Active Directory

C’est la console principale pour gérer la réplication. Cette console est utilisée pour gérer les objets de topologie de site, les objets de connexion, planifier la réplication, forcer manuellement la réplication, activer le catalogue global et activer la mise en cache de groupe universelle.

Raccourci : dssite.msc

ADSI Edit

Active Directory Service Interfaces Editor est un outil graphique qui peut être utilisé pour gérer les objets dans Active Directory. Cet outil permet d’accéder aux données d’objets qui ne sont pas disponibles dans les utilisateurs et les ordinateurs Active Directory.
Raccourci : adsiedit.msc

Gestion DFS

Cette console est utilisée pour gérer les espaces de noms DFS et la réplication DFS.

Raccourci : dfsmgmt.msc

DHCP

Cette console est utilisée pour créer des étendues DCHP, afficher les informations de location et tout ce qui est DHCP.

Raccourci: dhcpmgmt.msc

DNS

Cette console est utilisée pour créer des zones DNS, des enregistrements de ressources et gérer tout ce qui concerne le DNS.

Raccourci : dnsmgmt.msc

Gestion des stratégies de groupe

Raccourci : gpmc.msc

PowerShell

Bien qu’il ne s’agisse pas d’une console de gestion, c’est l’outil le plus puissant pour automatiser les tâches administratives. PowerShell peut accélérer de nombreuses tâches de routine que les outils de gestion de l’interface graphique ne peuvent pas effectuer.

Ressources:

Protocole DHCP (Dynamic Host Control Protocol)

Le protocole de configuration d’hôte dynamique est un service qui fournit un contrôle centralisé de l’adresse IP. Lorsque votre ordinateur se connecte à un réseau filaire ou sans fil, un serveur DHCP est contacté pour trouver et vous attribuer une adresse IP disponible.

Portée

Une portée DHCP est un ensemble de paramètres d’adresse IP configurés pour les périphériques tels qu’un ordinateur à utiliser. Vous pouvez créer plusieurs étendues pour différents types de périphériques et sous-réseaux. Par exemple, j’ai une portée pour les ordinateurs et différentes portées pour les téléphones IP. Lorsque vous configurez une portée, vous devez configurer les éléments suivants :
  • Nom de la portée – C’est le nom de la portée. Donnez-lui un nom descriptif pour qu’il soit facile d’identifier les appareils pour lesquels il s’agit.
  • Plage d’adresses IP – C’est la plage d’adresses IP que vous souhaitez que les périphériques utilisent. Par exemple 10.2.2.0/24
  • Exclusions d’adresses IP – Vous pouvez spécifier d’exclure l’adresse IP de la portée. Ceci est utile si vous avez des périphériques sur le sous-réseau qui ont besoin d’une adresse IP statique comme un routeur ou un serveur.
  • Durée du bail – Le bail spécifie combien de temps un client dispose d’une adresse IP avant de la renvoyer au pool.
  • Options DHCP – Il existe un certain nombre d’options différentes que vous pouvez inclure lorsque DHCP attribue une adresse IP. Plus à ce sujet ci-dessous

Options DHCP

Il existe de nombreuses options DCHP, ci-dessous les options les plus couramment utilisées dans un domaine Windows.

  • 003 routeur – La passerelle par défaut du sous-réseau
  • 005 Serveur DNS – L’adresse IP des clients du serveur DNS doit être utilisée pour la résolution des noms.
  • 015 Nom de domaine DNS – Le suffixe DNS que le client doit utiliser, souvent le même que le nom de domaine.

Filtrage DHCP

Le filtrage DHCP peut être utilisé pour refuser ou autoriser des périphériques en fonction de leur adresse MAC. Par exemple, je l’utilise pour empêcher les appareils mobiles de se connecter à notre wifi sécurisé.

Superscopes

Un superscope est un ensemble de portées DHCP individuelles. Cela peut être utilisé lorsque vous souhaitez joindre des portées ensemble. Honnêtement, je n’ai jamais utilisé ça.

Scopes divisées

Il s’agit d’une méthode permettant de fournir une tolérance aux pannes pour une portée DHCP. L’utilisation du basculement DHCP n’est pas la méthode préférée pour la tolérance aux pannes.

Basculement DHCP

Le basculement DCHP était une nouvelle fonctionnalité à partir de la version serveur 2012. Il permet à deux serveurs DHCP de partager des informations de location offrant une haute disponibilité pour les services DCHP. Si un serveur devient indisponible, l’autre serveur prend le relais.

Ressources :

Paramètres DHCP

Stratégie de groupe

La stratégie de groupe vous permet de gérer de manière centralisée les paramètres de l’utilisateur et de l’ordinateur. Vous pouvez utiliser la stratégie de groupe pour définir des stratégies de mot de passe, des stratégies d’audit, un écran de verrouillage, des lecteurs de carte, un logiciel de déploiement, un lecteur, les paramètres Office 365 et bien plus encore.

Objets de stratégie de groupe (GPO)

Les GPO sont un ensemble de paramètres de stratégie que vous utilisez pour appliquer aux ordinateurs ou aux utilisateurs.

Fréquence d’actualisation des stratégies de groupe

Les postes de travail clients et les serveurs membres actualisent leurs stratégies toutes les 90 minutes. Pour éviter d’accabler les contrôleurs de domaine, un intervalle de décalage aléatoire est ajouté à chaque machine. Cela empêche toutes les machines de demander des mises à niveau de stratégie de groupe à partir du CC en même temps et de le planter potentiellement.

Traitement des stratégies

Les stratégies de groupe s’appliquent dans l’ordre suivant

  • Local
  • Site
  • Domaine
  • Unité organisationnelle (OU)

Héritage de bloc

Par défaut, les objets de stratégie de groupe sont hérités. Pour modifier ce comportement, vous pouvez utiliser l’option d’héritage de bloc au niveau de l’unité d’organisation.

No Override

Si vous souhaitez appliquer des stratégies et empêcher leur blocage, utilisez l’option no override.

Paramètres utilisateur

Dans un GPO, il existe des paramètres utilisateur et ordinateur. Les paramètres utilisateur s’appliquent uniquement aux objets utilisateur. Si vous configurez les paramètres utilisateur dans le GPO, le GPO doit être appliqué aux objets utilisateur.

Paramètres de l’ordinateur

Les paramètres de l’ordinateur dans un GPO sont des paramètres qui peuvent être appliqués à un ordinateur. Si vous configurez les paramètres de l’ordinateur, le GPO doit être appliqué aux objets informatiques.

Resultant Set of Policy (RsoP)

Resultant Set of Policy est un outil Microsoft intégré à Windows 7 et aux versions ultérieures. Il fournit aux administrateurs un rapport sur les paramètres de stratégie de groupe appliqués aux utilisateurs et aux ordinateurs. Il peut également être utilisé pour simuler des paramètres à des fins de planification.

J’ai un tutoriel complet dans mon article Comment utiliser RSoP pour vérifier et dépanner les paramètres de stratégie de groupe.

Préférences de stratégie de groupe

Les préférences de stratégie de groupe sont principalement utilisées pour configurer des paramètres qui peuvent être modifiés ultérieurement au niveau du client. Les préférences ont également la possibilité d’effectuer un ciblage avancé, comme l’application à une certaine unité d’organisation, à une version Windows, aux utilisateurs d’un groupe, etc. Les préférences sont couramment utilisées pour configurer les éléments suivants :

  • Mappages de disques
  • Paramètres de registre
  • Installer des imprimantes
  • Planifier des tâches
  • Définir les autorisations de fichiers et de dossiers
  • Définir les paramètres d’alimentation

Modèles

Vous pouvez installer des modèles de stratégie de groupe supplémentaires pour étendre les GPO par défaut fournis par Microsoft. Certains modèles couramment utilisés sont Office 365, Chrome, Firefox et ceux fournis par des applications tierces. Les modèles sont des fichiers basés sur XML généralement au format ADM ou une extension de fichier ADMX.

Ressources:

Architecture de stratégie de groupe

Aperçu de la Stratégie de groupe

Ai-je manqué quelque chose ? Vous avez quelque chose à partager ? Faites-le moi savoir dans les commentaires ci-dessous.

Outil recommandé: SolarWinds Server &Moniteur d’application

Cet utilitaire a été conçu pour surveiller Active Directory et d’autres services critiques comme DNS & DHCP. Il détectera rapidement les problèmes de contrôleur de domaine, empêchera les échecs de réplication, suivra les tentatives de connexion échouées et bien plus encore.

Ce que j’aime le plus chez SAM, c’est son tableau de bord et ses fonctionnalités d’alerte faciles à utiliser. Il a également la possibilité de surveiller les machines virtuelles et le stockage.

Téléchargez Votre Essai Gratuit Ici



Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.