Module 10 : Administration d'Active Directorycsmaniac.free.fr/STRI/cours/L3/Administration%20Syst%E8me/... · Le service d'annuaire Active Directory™ de Microsoft® Windows® 2000

Table des matières

Vue d'ensemble 1

Création et gestion d'objets Active Directory 2

Atelier A : Création d'unités d'organisation et de comptes d'utilisateur 12

Gestion de groupes 20

Atelier B : Création de groupes 31

Contrôle de l'accès aux objets Active Directory 40

Ajout d'attributs d'objet dans le catalogue global 48

Délégation du contrôle administratif des objets Active Directory 50

Atelier C : Examen de la sécurité d'Active Directory et délégation de contrôle 58

Contrôle des acquis 66

Module 10 : Administration d'Active Directory

Module : Administration d'Active Directory 1

Vue d'ensemble

� Création et gestion d'objets Active Directory

� Gestion de groupes

� Contrôle de l'accès aux objets Active Directory

� Ajout d'attributs d'objet dans le catalogue global

� Délégation du contrôle administratif des objets Active Directory

Le service d'annuaire Active Directory™ de Microsoft® Windows® 2000 se compose d'objets qui représentent les ressources du réseau, telles que les utilisateurs, les ordinateurs et les imprimantes. Vous organisez les objets en unités d'organisation. Lorsque vous ajoutez des ressources, telles que des utilisateurs et des ordinateurs à votre réseau, vous créez des objets qui les représentent. Vous utilisez des groupes pour organiser les ressources et gérer l'accès à celles-ci. Vous pouvez ajouter des attributs d'objet dans le catalogue global afin d'augmenter le nombre de critères de recherche pour rechercher des objets dans Active Directory. Vous pouvez également déléguer le contrôle administratif des objets à des utilisateurs particuliers.

Bien que les comptes d'utilisateur et d'ordinateur soient dans l'ensemble les mêmes que ceux de Microsoft Windows NT® version 4.0, les procédures et l'interface que vous utilisez pour les créer sont nouvelles dans Windows 2000.

À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

� créer des unités d'organisation, des comptes d'utilisateur et des comptes d'ordinateur ;

� créer et modifier des groupes ; � expliquer comment contrôler l'accès aux objets dans Active Directory à

l'aide d'autorisations ; � ajouter des attributs d'objet dans le catalogue global ; � déléguer le contrôle administratif des objets Active Directory pour prendre

en charge l'administration décentralisée sécurisée.

Objectif de la diapositive Donner une vue d'ensemble des sujets et des objectifs de ce module.

Introduction Dans ce module, vous allez apprendre à renseigner Active Directory à l'aide d'objets, contrôler l'accès à ces derniers et déléguer leur contrôle dans Active Directory.

2 Module : Administration d'Active Directory

�� Création et gestion d'objets Active Directory

� Création d'unités d'organisation

� Création de comptes d'utilisateur

� Création de comptes d'ordinateur

� Déplacement et recherche d'objets

Créez une hiérarchie d'unités d'organisation dans vos domaines Active Directory pour l'administration et la délégation. À l'intérieur de ces unités d'organisation, vous créez des objets comme des comptes d'utilisateur et des comptes d'ordinateur, tous deux nécessaires pour permettre aux utilisateurs et aux ordinateurs d'accéder au réseau. La structure souple d'un domaine facilite le déplacement d'objets entre unités d'organisation.

Objectif de la diapositive Répertorier les procédures de création et de gestion des objets Active Directory.

Introduction Vous pouvez créer une hiérarchie d'unités d'organisation dans un domaine.


Création d'unités d'organisation

Servicesinformatiques

Servicesinformatiques

Supportclient

Supportclient

DéveloppementDéveloppementSupporttechniqueSupport

technique

Les unités d'organisation sont des objets conteneur. En d'autres termes, ils peuvent contenir d'autres objets, tels que des comptes d'utilisateur, des groupes et des comptes d'ordinateur. Les unités d'organisation peuvent également contenir d'autres unités d'organisation. Les unités d'organisation permettent d'organiser les objets Active Directory qui représentent les ressources de votre réseau. L'utilisation d'unités d'organisation pour contenir et organiser les objets dans Active Directory est semblable à celle de dossiers pour contenir et organiser d'autres dossiers et fichiers.

Les unités d'organisation vous aident à définir des limites d'administration pour votre domaine. Étant donné que les unités d'organisation peuvent contenir d'autres unités d'organisation, vous pouvez étendre une hiérarchie de conteneurs pour modéliser la structure d'organisation ou les besoins d'administration de votre société.

L'installation d'une hiérarchie d'unités d'organisation vous permet également de déléguer le contrôle administratif sur un certain nombre de comptes d'utilisateur, de groupes ou d'autres ressources. Vous pouvez déléguer le contrôle administratif en accordant à d'autres groupes ou utilisateurs des autorisations particulières pour des unités d'organisation et les objets qu'elles contiennent.

Vous devez disposer des autorisations Lire, Lister le contenu et Créer des objets Unité d'organisation sur le conteneur parent (domaine ou unité d'organisation) pour créer des unités d'organisation dans ce conteneur. L'autorisation Lister le contenu n'est pas indispensable, mais sans elle, vous n'êtes pas en mesure d'afficher l'unité d'organisation que vous venez de créer. Par défaut, les membres du groupe Administrateurs peuvent créer des unités d'organisation n'importe où.

Objectif de la diapositive Montrer comment les objets sont organisés par unité d'organisation.

Introduction Les unités d'organisation sont des conteneurs Active Directory (objets qui contiennent d'autres objets).


Pour créer une unité d'organisation, suivez la procédure ci-dessous.

1. À partir du menu Outils d'administration, ouvrez Utilisateurs et ordinateurs Active Directory, puis cliquez avec le bouton droit sur le conteneur (domaine ou unité d'organisation) dans lequel vous souhaitez créer l'unité d'organisation.

2. Pointez sur Nouveau, puis cliquez sur Organizational Unit. 3. Tapez le nom de l'unité d'organisation, puis cliquez sur OK.

Lorsque vous ouvrez Utilisateurs et ordinateurs Active Directory, plusieurs conteneurs par défaut s'affichent juste au-dessous du domaine. Users, Computers et Builtin sont des conteneurs qui ne sont pas des unités d'organisation. Étant donné que vous ne pouvez ni créer d'unités d'organisation dans ces conteneurs ni leur appliquer de stratégie de groupe, vous devez créer différentes unités d'organisation pour contenir vos utilisateurs et vos ordinateurs.

Conseils pédagogiques Ouvrez Utilisateurs et ordinateurs Active Directory. Faites remarquer la différence entre l'icône unité d'organisation et l'icône conteneur.

Remarque


Création de comptes d'utilisateur

Les comptes d'utilisateur permettent d'authentifier l'utilisateur et de lui accorder des autorisations pour qu'il puisse accéder aux ressources du réseau. Vous pouvez utiliser Utilisateurs et ordinateurs Active Directory sur un contrôleur de domaine quelconque disponible pour créer un compte d'utilisateur. Dès que vous avez créé le compte, celui-ci est dupliqué vers tous les autres contrôleurs du domaine.

Emplacement du compte d'utilisateur Lorsque vous créez le compte d'utilisateur, vous devez d'abord sélectionner l'unité d'organisation dans laquelle il sera créé. Vous pouvez créer des comptes d'utilisateur au niveau du domaine. Cependant, cette action limite vos options de délégation et augmente la complexité de gestion du réseau.

Après avoir créé un compte d'utilisateur, vous pouvez le déplacer entre les unités d'organisation du même domaine. Pour le déplacer, ouvrez Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le compte d'utilisateur, cliquez sur Déplacer, puis sélectionnez l'unité d'organisation dans laquelle vous souhaitez le placer.

Objectif de la diapositive Montrer la procédure de création des comptes d'utilisateur.

Introduction Vous pouvez créer des comptes d'utilisateur sur un contrôleur de domaine quelconque.


Création d'un compte d'utilisateur Pour créer un compte d'utilisateur, suivez la procédure ci-dessous.

1. Ouvrez Utilisateurs et ordinateurs Active Directory. 2. Cliquez avec le bouton droit sur l'unité d'organisation dans laquelle vous

souhaitez créer le compte d'utilisateur, pointez sur Nouveau, puis cliquez sur Utilisateur.

3. Dans la boîte de dialogue Nouvel objet - User, vous pouvez affecter plusieurs noms au compte.

• Prénom et Nom sont des attributs du compte d'utilisateur qui peuvent être utilisés dans les opérations de recherche pour trouver le compte d'utilisateur. La valeur que vous affectez à ces deux attributs ne doit pas nécessairement être unique, quel que soit le niveau de la forêt.

• Nom est le nom complet de l'utilisateur, qui est affiché comme nom du compte d'utilisateur dans Active Directory. Ce nom doit être unique au sein du conteneur dans lequel vous créez le compte d'utilisateur.

• Chaque compte d'utilisateur possède un nom principal d'utilisateur (UPN, User Principal Name) qui est composé du nom d'ouverture de session de l'utilisateur et d'un suffixe UPN. Ce dernier (zone de liste déroulante modifiable sans intitulé) affiche par défaut le nom du système DNS (Domain Name System) racine dans l'arborescence de domaines. Vous pouvez toutefois sélectionner un domaine quelconque dans la liste en tant que suffixe UPN.

• Le nom d'ouverture de session de l'utilisateur (avant l'installation de Windows 2000) permet d'ouvrir une session sur des ordinateurs exécutant des versions antérieures de Windows, telles que Windows NT 4.0 ou Windows NT 3.51. Ce nom doit être unique dans le domaine.

4. Après avoir indiqué les noms du compte d'utilisateur, définissez les options de mot de passe.

Chaque compte d'utilisateur que vous créez est associé à un ensemble d'attributs par défaut. Les attributs sont utilisés lors des recherches effectuées dans Active Directory. C'est pourquoi vous devez fournir des définitions d'attribut détaillées pour chaque compte d'utilisateur de domaine que vous créez. Après avoir créé un compte d'utilisateur de domaine, configurez les attributs personnels et les attributs du compte, les options d'ouverture de session et les paramètres de connexion dans les onglets de la boîte de dialogue Propriétés.

Conseil pédagogique Ouvrez la boîte de dialogue Propriétés d'un compte d'utilisateur et affichez les attributs contenus dans chaque onglet.


Copie d'un compte d'utilisateur Vous pouvez copier un compte d'utilisateur de domaine pour en simplifier la procédure de création. Pour créer un compte servant de modèle, créez un compte d'utilisateur, configurez les paramètres souhaités, désactivez le compte, puis copiez-le chaque fois que vous devez créer un compte d'utilisateur.

Pour créer un compte d'utilisateur en en copiant un, suivez la procédure ci-dessous.

1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le compte d'utilisateur que vous souhaitez copier, puis cliquez sur Copier.

2. Dans la boîte de dialogue Copier l'objet - User, tapez le nom d'utilisateur et le nom d'ouverture de session du nouveau compte d'utilisateur, puis cliquez sur Suivant.

3. Tapez et confirmez le mot de passe, définissez en les options (n'oubliez pas de désactiver la case à cocher Le compte est désactivé, le cas échéant), puis cliquez sur Suivant.

4. Vérifiez les informations du nouveau compte d'utilisateur, puis cliquez sur Terminer.

Les propriétés de l'utilisateur qui sont copiées à partir du compte d'utilisateur de domaine vers le nouveau compte sont décrites dans le tableau suivant :

Onglet de la boîte de dialogue Propriétés

Propriétés copiées vers le nouveau compte d'utilisateur de domaine

Adresse Toutes, sauf Adresse.

Compte Toutes, sauf Nom d'ouverture de session, qui est copiée à partir de la boîte de dialogue Copier l'objet - User.

Profil Toutes, sauf Chemin du profil et Dossier de base qui sont modifiées en fonction du nom d'ouverture de session du nouvel utilisateur.

Organisation Toutes, sauf Titre.

Membre de Toutes.

Les droits et autorisations qui sont accordés à un compte d'utilisateur individuel ne sont pas copiés vers le nouveau compte d'utilisateur.

Remarque


Création de comptes d'ordinateur

Les comptes d'ordinateur sont similaires aux comptes d'utilisateur, car ils peuvent être utilisés pour authentifier et analyser l'ordinateur et pour accorder des autorisations d'accès aux ressources du réseau. Les ordinateurs clients qui exécutent Windows 2000 ou Windows NT 4.0 doivent disposer d'un compte d'ordinateur valide pour intégrer le domaine.

Vous pouvez utiliser Utilisateurs et ordinateurs Active Directory sur un contrôleur de domaine quelconque disponible pour créer un compte d'ordinateur. Dès que vous avez créé le compte, celui-ci est dupliqué par Active Directory vers tous les autres contrôleurs du domaine.

Lorsque vous créez le compte d'ordinateur, vous devez d'abord sélectionner le conteneur dans lequel il va être créé. Vous pouvez créer des comptes d'ordinateur au niveau du domaine. Cependant, cette action limite vos options de délégation et augmente la complexité de gestion du réseau.

Pour créer un compte d'ordinateur, suivez la procédure ci-dessous.

1. Ouvrez Utilisateurs et ordinateurs Active Directory. 2. Cliquez avec le bouton droit sur l'unité d'organisation dans laquelle vous

souhaitez créer le compte d'utilisateur, pointez sur Nouveau, puis cliquez sur Computer.

3. Tapez le nom de l'ordinateur. Il doit être unique au sein de la forêt.

Objectif de la diapositive Montrer la procédure de création des comptes d'ordinateur.

Introduction Les comptes d'ordinateur permettent d'authentifier et d'analyser l'ordinateur.


4. Pour améliorer la sécurité, modifiez la sélection dans la zone L'utilisateur ou le groupe suivant peut joindre cet ordinateur à un domaine. Vous pouvez spécifier tout utilisateur ou groupe en tant que compte ayant l'autorisation de connecter l'ordinateur au domaine. La personne qui connecte l'ordinateur au domaine doit entrer un nom d'utilisateur et un mot de passe correspondant à ceux spécifiés dans cette zone.

5. Cliquez sur OK.

Chaque compte d'ordinateur que vous créez est associé à un ensemble d'attributs par défaut. Les attributs sont utilisés lors des recherches effectuées dans Active Directory. C'est pourquoi vous devez fournir des définitions d'attribut détaillées pour chaque compte d'ordinateur que vous créez.


Déplacement et recherche d'objets

� Déplacement d'objets� Les autorisations d'un objet se déplacent avec

celui-ci

� Les autorisations héritées ne se déplacent pas

� Vous pouvez déplacer plusieurs objets

� Recherche d'objets� Les administrateurs peuvent utiliser l'option

Rechercher d'Utilisateurs et ordinateurs Active Directory pour rechercher des objets

� Les utilisateurs utilisent l'option Rechercher du menu Démarrer de l'Explorateur Windows et du dossier Favoris réseau

Dans Active Directory, vous pouvez facilement déplacer des objets dans le domaine et rechercher des ressources sur l'ensemble du réseau, quel que soit l'emplacement physique de l'objet.

Déplacement d'objets Dans Active Directory, vous pouvez déplacer des objets entre les unités d'organisation lorsque des fonctions d'administration ou d'organisation changent, par exemple, lorsqu'un employé passe d'un service à un autre.

Les conditions ci-dessous s'appliquent lorsque vous déplacez des objets entre des unités d'organisation.

� Les autorisations qui sont accordées directement aux objets restent inchangées.

� Les objets héritent des autorisations de la nouvelle unité d'organisation. Les autorisations héritées de l'unité d'organisation précédente n'ont plus aucune incidence sur les objets.

� Vous pouvez déplacer plusieurs objets simultanément.

Pour déplacer un objet, cliquez avec le bouton droit dessus dans Utilisateurs et ordinateurs Active Directory, puis cliquez sur Déplacer. Dans la boîte de dialogue Déplacer, développez l'arborescence du domaine, cliquez sur le conteneur vers lequel vous souhaitez déplacer l'objet, puis cliquez sur OK.

Objectif de la diapositive Présenter les sujets relatifs au déplacement et à la recherche d'objets dans Active Directory.

Introduction Il est facile de déplacer des objets entre les unités d'organisation.


Recherche d'objets La boîte de dialogue Rechercher permet aux administrateurs de rechercher dans Active Directory différents types d'objets. Dans le menu Action d'Utilisateurs et Ordinateurs Active Directory, cliquez sur Rechercher pour ouvrir la boîte de dialogue Rechercher Utilisateurs, contacts et groupes.

Les critères de recherche disponibles varient en fonction du type d'objet que vous avez sélectionné dans la liste Rechercher.

Une fois une recherche aboutie, les résultats s'affichent. Vous pouvez ensuite réaliser des fonctions d'administration sur les objets répertoriés. Les fonctions disponibles dépendent du type d'objet que vous avez recherché. Si, par exemple, vous avez recherché des comptes d'ordinateur, vous pouvez supprimer le compte d'ordinateur, le désactiver ou le réinitialiser, le déplacer vers une autre unité d'organisation ou en modifier les attributs.

Les utilisateurs peuvent cliquer dans le menu Démarrer sur Rechercher pour rechercher des objets dans Active Directory. Pour ce faire, ils peuvent également utiliser les commandes Rechercher de l'Explorateur Windows et du dossier Favoris réseau.

Conseil pédagogique Montrez les différentes méthodes de recherche d'objets dans la boîte de dialogue Rechercher.


Atelier A : Création d'unités d'organisation et de comptes d'utilisateur

Objectifs À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :

� planifier une structure d'unités d'organisation ; � créer des unités d'organisation ; � déplacer des objets Active Directory ; � créer des comptes d'utilisateur ; � déterminer les conventions de dénomination requises pour les comptes

d'utilisateur.

Conditions préalables Avant de poursuivre, vous devez maîtriser parfaitement la notion d'unité d'organisation.

Mise en place de l'atelier Pour réaliser cet atelier, vous devez disposer d'un ordinateur exécutant Windows 2000 Advanced Server, configuré en tant que contrôleur d'un domaine enfant de nwtraders.msft.

Durée approximative de cet atelier : 20 minutes

Objectif de la diapositive Présenter l'atelier.

Introduction Dans cet atelier, vous allez créer des unités d'organisation et des comptes d'utilisateur, et configurer leurs attributs.


Exercice 1 Planification de la structure d'une unité d'organisation

Scénario Le siège social de Northwind Traders est prêt à déployer Windows 2000. Tous les ordinateurs et utilisateurs de ce site vont faire partie du même domaine. Northwind Traders compte actuellement 1 000 utilisateurs, qui travaillent dans les services Sales, Administration et Production. La direction s'attend à une croissance modérée pour les cinq prochaines années, avec un nombre total d'employés qui ne devrait pas augmenter de plus de 100%.

Les administrateurs réseau à plein temps de Northwind Traders centralisent la majeure partie de l'administration de Windows 2000. Toutefois, un administrateur de chacun des trois services doit s'occuper de l'administration quotidienne des utilisateurs et des groupes. Ces administrateurs sont chargés de certaines tâches administratives, notamment de l'ajout et de la suppression de comptes d'utilisateur, et parfois de la modification de mots de passe.

La plupart des ordinateurs de Northwind Traders disposent de la même configuration et exécutent les mêmes applications d'entreprise. Cependant, les serveurs de base de données exécutent des applications différentes. Seuls deux administrateurs réseau en chef doivent disposer d'un contrôle administratif total sur ces serveurs. En outre, Northwind Traders dispose de quatre contrôleurs de domaine.

Quelles unités d'organisation devez-vous ajouter à la structure Active Directory par défaut ? Quels objets allez-vous placer dans ces unités d'organisation ? Les réponses peuvent varier. Il est essentiel de préserver la simplicité de la structure tout en atteignant l'ensemble des objectifs d'administration. Chez Northwind Traders, les comptes d'utilisateur de chacun des trois services sont contrôlés par des administrateurs différents. Chaque service dispose de sa propre unité d'organisation. Les serveurs membres ne sont pas administrés comme les ordinateurs clients et doivent être placés dans leur propre unité d'organisation. Placez tous les contrôleurs de domaine dans l'unité d'organisation Domain Controllers existante. Laissez tous les ordinateurs clients dans le conteneur Computers existant.


Exercice 2 Organisation d'un domaine Windows 2000

Scénario Pour atteindre les objectifs indiqués dans l'exercice 1, vous allez créer une structure d'unités d'organisation. Vous allez implémenter la structure étudiée dans l'exercice précédent.

Objectif Dans cet exercice, vous allez créer une partie de la structure d'organisation du domaine Northwind Traders, puis déplacer des objets entre les unités d'organisation.

Tâche Détails

1. Créez des unités d'organisation dans le domaine domaine.nwtraders.msft, portant les noms suivants : • Salesx

• Administrationx

• Productionx

• Serverx (où x est égal à 1 si votre numéro de stagiaire est impair ou à 2 s'il est pair)

a. Ouvrez une session sur le domaine en tant qu'Administrateur avec le mot de passe password

b. À partir du menu Outils d'administration, ouvrez Utilisateurs et ordinateurs Active Directory.

c. Dans l'arborescence de la console, développez si nécessaire domaine.nwtraders.msft (où domaine représente le nom du domaine qui vous a été affecté), puis cliquez sur domaine.nwtraders.msft.

Quelles sont les unités d'organisation et les conteneurs par défaut de votre domaine ?


Tâche Détails

1. (suite) d. Cliquez avec le bouton droit sur domaine.nwtraders.msft, pointez sur Nouveau, puis cliquez sur Organizational Unit.

La boîte de dialogue Créer un nouvel objet - Organizational Unit s'affiche.

Remarquez que le nom de la nouvelle unité d'organisation constitue la seule information requise. La boîte de dialogue indique que votre domaine correspond à l'emplacement où l'objet sera créé.

e. Dans la zone Nom, tapez Salesx (où x est égal à 1 si votre numéro de stagiaire est impair ou à 2 s'il est pair), puis cliquez sur OK.

f. Répétez les étapes d et e pour créer les unités d'organisation Administrationx, Productionx et Serversx.

2. Créez trois comptes d'utilisateur dans l'unité d'organisation Salesx. • Comptes d'utilisateur :

1-3

• Prénom : OUserx

• Nom : Ordinateurx

• Nom d'ouverture de session de l'utilisateur :

Ordinateurx@domaine. nwtraders.msft

a. Dans l'arborescence de la console d'Utilisateurs et ordinateurs Active Directory, cliquez sur Salesx.

b. Cliquez avec le bouton droit sur Salesx, pointez sur Nouveau, puis cliquez sur User.

Remarquez que la boîte de dialogue Nouvel Objet - User indique que le nouveau compte d'utilisateur est en cours de

création à l'emplacement domaine.nwtraders.msft/Salesx.

c. Créez un compte d'utilisateur en indiquant les informations suivantes : • Prénom : OUser1

• Nom : Ordinateur1 (où Ordinateur représente le nom de l'ordinateur qui vous a été affecté)

• Nom d'ouverture de session de l'utilisateur : [email protected]

d. Cliquez deux fois sur Suivant, puis cliquez sur Terminer.

e. Répétez les étapes a à d pour créer deux comptes d'utilisateur supplémentaires. Incrémentez la valeur des zones Prénom, Nom et Nom d'ouverture de session de l'utilisateur pour chaque nouvel utilisateur.


Tâche Détails

3. Déplacez les comptes d'utilisateur OUser1 et OUser3 entre les unités d'organisation Salesx et Administrationx, puis vérifiez l'opération.

Les comptes d'utilisateur OUser1 et OUser3 seront transférés du service Sales au service Administration. Au cours de cette procédure, vous allez déplacer les objets utilisateur des comptes d'utilisateur OUser1 et OUser3 pour qu'ils reflètent le transfert.

a. Dans l'unité d'organisation Salesx, sélectionnez les comptes d'utilisateur OUser1 et OUser3, cliquez avec le bouton droit sur le nom sélectionné, puis cliquez sur Déplacer.

b. Dans la boîte de dialogue Déplacer, développez votre domaine si nécessaire, cliquez sur Administrationx, puis sur OK.

Remarquez que les comptes d'utilisateur que vous avez déplacés ne s'affichent plus dans l'unité d'organisation Salesx.

c. Pour vérifier que les comptes d'utilisateur ont été déplacés vers l'emplacement approprié, dans

l'arborescence de la console, cliquez sur Administrationx. Les objets utilisateur des comptes d'utilisateur OUser1 et OUser3 s'affichent dans l'unité d'organisation Administrationx.

d. Laissez Utilisateurs et ordinateurs Active Directory ouvert.


Exercice 3 Gestion de comptes d'utilisateur

Scénario Trois employés rejoignent Northwind Traders ; vous devez donc créer des comptes d'utilisateur. Lors de la création de ces comptes, vous remarquez que deux des trois nouveaux embauchés portent le même nom.

Objectif Dans cet exercice, vous allez utiliser Utilisateurs et ordinateurs Active Directory pour créer des comptes d'utilisateur. Vous allez également étudier les règles de création des comptes d'utilisateur.

Tâche Détails

1. Créez un compte d'utilisateur dans l'unité d'organisation Productionx en indiquant les propriétés suivantes : • Prénom : James

• Nom : Smithx


[email protected]

a. Créez un compte d'utilisateur dans l'unité d'organisation Productionx en indiquant les informations suivantes : • Prénom : James

• Nom : Smithx


b. Cliquez deux fois sur Suivant, puis cliquez sur Terminer.

2. Créez un compte dans l'unité d'organisation Productionx qui duplique celui que vous avez créé dans la tâche 1, puis notez les résultats. Utilisez les propriétés uniques suivantes : • Prénom : James

• Nom : Smithy (où y est égal à 3 si votre numéro de stagiaire est impair ou à 4 s'il est pair)


[email protected]

a. Créez un compte d'utilisateur dans l'unité d'organisation Productionx en indiquant les informations suivantes : • Prénom : James

• Nom : Smithx


b. Cliquez sur Suivant.


Tâche Détails

Que se passe-t-il lorsque vous cliquez sur Suivant ? Pourquoi ?

2. (suite) c. Cliquez sur OK pour fermer le message.

d. Remplacez le nom d'ouverture de session de l'utilisateur par Jsmithy (où y est égal à 3 si votre numéro de stagiaire est impair ou à 4 s'il est pair).

Remarquez que le nom d'ouverture de session avant l'installation de Windows 2000 change lorsque vous modifiez le nom

d'ouverture de session de l'utilisateur.

e. Remplacez le nom d'ouverture de session avant l'installation de Windows 2000 par jsmithx, cliquez deux fois sur Suivant, puis cliquez sur Terminer.

Que se passe-t-il lorsque vous cliquez sur Terminer ? Pourquoi ?

2. (suite) f. Cliquez sur OK pour fermer le message, puis cliquez deux fois sur Précédent.

g. Vérifiez que le nom d'ouverture de session avant l'installation de Windows 2000 est jsmithy.

h. Remplacez le nom par James P. Smithy, cliquez deux fois sur Suivant, puis cliquez sur Terminer.


Tâche Détails

Que se passe-t-il lorsque vous cliquez sur Terminer ? Pourquoi ?

2. (suite) i. Fermez toutes les fenêtres, puis la session.


�� Gestion de groupes

� Types de groupes

� Étendues de groupe

� Création de groupes

� Modification de groupes

� Gestion de groupes locaux

Les groupes facilitent l'administration en vous permettant d'accorder des autorisations une seule fois à un groupe, plutôt que plusieurs fois à des utilisateurs individuels. Avant d'utiliser efficacement des groupes, vous devez comprendre leur fonction et les types de groupes que vous pouvez créer.

Active Directory prend en charge différents types de groupes. Par ailleurs, il offre des options pour l'étendue d'un groupe, c'est-à-dire que le groupe peut s'étendre sur plusieurs domaines ou être limité à un seul.

Il existe deux types de groupes dans Active Directory : les groupes de sécurité et les groupes de distribution. Chacun d'eux prend en charge l'une des trois étendues de groupe suivantes : domaine local, globale ou universelle.

Le choix du type et de l'étendue de groupe est limité par le mode de domaine.

Objectif de la diapositive Répertorier les sujets relatifs aux groupes Active Directory.

Introduction Active Directory prend en charge différents types de groupes, avec des options pour les étendues de groupe.


Types de groupes

� Objectifs des types de groupes

� Groupes de sécuritéPermettent d'accorder ou de refuser des droits et des autorisations

� Groupes de distributionPermettent d'envoyer du courrierélectronique

� Sélection d'un type de groupe

� Utilisez des groupes de distribution, sauf si vous avez besoin de fonctionnalités pour assurer la sécurité

� Les groupes de distribution optimisent les performances à l'ouverture de session

Active Directory fournit deux types de groupes distincts : les groupes de sécurité et les groupes de distribution.

Objectifs des types de groupes Les groupes de sécurité permettent d'accorder ou de refuser des droits et des autorisations à des groupes d'utilisateurs et d'ordinateurs. Ils peuvent également être utilisés pour envoyer du courrier électronique. Lorsqu'un message électronique est envoyé à un groupe de sécurité, tous ses membres le reçoivent.

Les groupes de distribution permettent d'envoyer du courrier électronique à l'aide d'applications de messagerie électronique, telles que Microsoft Exchange Server. Les groupes de distribution ne peuvent pas être utilisés pour la sécurité.

Sélection d'un type de groupe Bien que vous puissiez envoyer du courrier électronique à des groupes de sécurité, vous devez créer un groupe de distribution et non un groupe de sécurité, si vous n'envisagez pas d'utiliser un groupe particulier pour la sécurité. Au cours de la procédure d'ouverture de session, Windows 2000 crée un jeton d'accès qui contient la liste des groupes de sécurité dont l'utilisateur fait partie. L'utilisation de groupes de distribution au lieu de groupes de sécurité optimise les performances à l'ouverture de session en réduisant la taille du jeton d'accès.

Objectif de la diapositive Répertorier les différences entre les groupes de sécurité et les groupes de distribution.

Introduction Vous pouvez créer deux types de groupes dans Active Directory.


Étendues de groupe

Groupes universelsGroupes universelsGroupes universels

� Membres d'un domaine quelconque de la forêt

� Permettent d'accéder aux ressources d'un domaine quelconque


� Permettent d'accéder aux ressources d'un domaine quelconque

Groupes de domaine localGroupes de domaine localGroupes de domaine local


� Permettent d'accéder aux ressources d'un domaine


� Permettent d'accéder aux ressources d'un domaine

Groupes globauxGroupesGroupes globauxglobaux

� Membres de leur propre domaine uniquement

� Permettent d'accéder aux ressources d'undomaine quelconque

� Membres de leur propre domaine uniquement

� Permettent d'accéder aux ressources d'undomaine quelconque

Les groupes de sécurité et de distribution sont pourvus d'un attribut d'étendue. L'étendue d'un groupe détermine les personnes qui peuvent être membres du groupe et l'endroit où vous pouvez utiliser ce groupe sur le réseau.

Trois étendues de groupe sont disponibles pour les groupes Active Directory : domaine local, globale et universelle.

Groupes de domaine local Dans un domaine en mode natif, les groupes de domaine local peuvent contenir des comptes d'utilisateur, des groupes globaux et des groupes universels d'un domaine quelconque de la forêt, ainsi que des groupes de domaine local du même domaine. Dans un domaine en mode mixte, ils peuvent contenir des comptes d'utilisateur et des groupes globaux d'un domaine quelconque.

Vous ne pouvez accorder d'autorisations aux groupes de domaine local que pour les objets du domaine dans lequel le groupe de domaine local existe.

Groupes globaux Dans un domaine en mode natif, les groupes globaux peuvent contenir des comptes d'utilisateur et des groupes globaux du domaine dans lequel le groupe existe. Dans un domaine en mode mixte, ils ne peuvent contenir que des comptes d'utilisateur du domaine dans lequel le groupe existe.

Vous pouvez accorder des autorisations à des groupes globaux pour tous les domaines de la forêt, quel que soit l'emplacement du groupe global.

Objectif de la diapositive Montrer les différentes étendues de groupe dans Active Directory.

Introduction Les groupes de sécurité et de distribution disposent de trois étendues possibles, en fonction du mode de domaine.

Points clés L'appartenance à un groupe global est limitée à son domaine, mais peut bénéficier d'autorisations dans toute la forêt. L'appartenance à un groupe de domaine local peut couvrir toute la forêt, mais les membres d'un tel groupe ne peuvent bénéficier d'autorisations que dans leur propre domaine.


Groupes universels Les groupes universels peuvent contenir des comptes d'utilisateur, des groupes globaux et d'autres groupes universels d'un domaine Windows 2000 quelconque de la forêt. Le domaine doit fonctionner en mode natif pour créer des groupes de sécurité disposant d'une étendue universelle.

Vous pouvez accorder des autorisations à des groupes universels pour tous les domaines de la forêt, quel que soit l'emplacement du groupe universel.

Le tableau suivant récapitule les règles d'appartenance aux groupes de sécurité :

Étendue du groupe

Peut contenir en mode mixte

Peut contenir en mode natif

Peut être membre de

Peut bénéficier d'autorisations pour

Domaine local Des comptes d'utilisateur et des groupes globaux d'un domaine quelconque

Des comptes d'utilisateur, des groupes globaux et des groupes universels d'un domaine quelconque de la forêt, et des groupes de domaine local du même domaine

Groupes de domaine local du même domaine

Le domaine dans lequel le groupe de domaine local existe

Globale Des comptes d'utilisateur du même domaine

Des comptes d'utilisateur et des groupes globaux du même domaine

Groupes universels et de domaine local d'un domaine quelconque, et de groupes globaux du même domaine

Tous les domaines de la forêt

Universelle Non disponible Des comptes d'utilisateur, des groupes globaux et d'autres groupes universels d'un domaine quelconque de la forêt

Groupes de domaine local et de groupes universels d'un domaine quelconque

Tous les domaines de la forêt


Éléments à prendre en considération pour l'utilisation des groupes universels Une liste des membres des groupes universels est tenue dans le catalogue global. Celui-ci contient également les groupes globaux et les groupes de domaine local, mais non la liste de leurs membres. Chaque modification apportée à la liste des membres d'un groupe universel est dupliquée vers tous les serveurs du catalogue global. En réduisant l'utilisation des groupes universels, vous pourrez diminuer la taille du catalogue global, et par conséquent le trafic généré sur le réseau à la suite de la duplication du catalogue global.

Pensez à limiter l'appartenance aux groupes universels à d'autres groupes plutôt qu'à des comptes d'utilisateur. Cette procédure vous permet de paramétrer les comptes d'utilisateur qui sont membres du groupe universel en modifiant la liste des membres des groupes qui sont membres du groupe universel. Comme cette procédure n'a pas d'incidence directe sur l'appartenance du groupe universel, aucun trafic lié à la duplication n'est généré.

La limitation de l'utilisation des groupes universels peut également vous aider à réduire la taille des jetons d'accès lorsque les ressources se trouvent dans différents domaines. Si vous utilisez des groupes globaux et des groupes de domaine local, les jetons d'accès contiennent ceux qui peuvent être appliqués au domaine dans lequel la ressource existe. Si vous utilisez des groupes universels, les jetons d'accès contiennent une liste de tous les groupes universels dont l'utilisateur fait partie, même si ces groupes ne sont pas utilisés dans ce domaine.

Point clé Limitez l'utilisation des groupes universels aux groupes qui sont largement utilisés dans votre entreprise et qui subissent très peu de modifications d'appartenance.


Création de groupes

� Stratégie de planificationde groupe

Affecter des utilisateurs à des groupes globaux

Affecter des groupes globaux à des groupes de domaine local

puis accorder des autorisations

AAA GGG

DLDLDL

PPPGGG

AAA GGG DLDLDL PPP

� Création d'un groupedans Active Directory

La création de groupes réduit la charge de travail administratif : les comptes qui requièrent un accès similaire aux ressources du réseau sont regroupés dans un objet unique auquel vous pouvez accorder des droits et des autorisations.

Stratégie de planification de groupe Lors de l'utilisation de groupes globaux et de groupes de domaine local, il est recommandé d'opter pour la stratégie suivante : placez les comptes d'utilisateur (A) dans les groupes globaux (G), puis placez les groupes globaux dans les groupes de domaine local (DL) et accordez aux groupes de domaine local des autorisations (P) sur les ressources. Cette stratégie (A G DL P) offre une grande souplesse tout en simplifiant l'octroi d'autorisations d'accès aux ressources du réseau.

L'exemple ci-dessous illustre la stratégie A G DL P.

Votre réseau est doté de plusieurs groupes globaux qui requièrent les mêmes autorisations d'accès aux ressources du réseau dans un domaine particulier. Si vous placez dans un même groupe de domaine local tous les groupes globaux qui requièrent la même autorisation d'accès, vous pouvez alors accorder les autorisations appropriées pour chaque ressource à ce groupe de domaine local unique, et les comptes d'utilisateur des groupes globaux disposent des autorisations appropriées. Si les autorisations requises sont modifiées sur les ressources, il vous suffit de modifier l'appartenance du groupe de domaine local. De même, si vous avez accordé une autorisation directement aux groupes globaux, vous devez modifier manuellement les autorisations individuelles sur toutes les ressources du réseau.

Objectif de la diapositive Montrer la procédure de création de groupes.

Introduction Vous pouvez simplifier l'octroi de droits et d'autorisations en regroupant des comptes d'utilisateur dans des groupes.


Création d'un groupe dans Active Directory Pour créer un groupe, ouvrez Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l'unité d'organisation ou le conteneur approprié, pointez sur Nouveau, puis cliquez sur Group. Le tableau suivant décrit les options que vous devez renseigner dans la boîte de dialogue Nouvel objet - Group :

Option Description

Nom de groupe Nom du nouveau groupe. Ce nom doit être unique au sein du conteneur dans lequel vous créez le groupe.

Nom de groupe (avant l'installation de Windows 2000)

Nom du groupe utilisé par les ordinateurs clients exécutant des versions de Windows antérieures à Windows 2000. Ce nom doit être unique dans le domaine.

Étendue du groupe Étendue du groupe. Activez la case d'option Domaine local, Globale ou Universelle.

Type de groupe Type de groupe. Activez la case d'option Sécurité ou Distribution.

Après avoir créé un groupe, ajoutez des membres. Les membres des groupes peuvent être des comptes d'utilisateur, d'autres groupes et des ordinateurs.

Ajoutez un ordinateur à un groupe pour permettre à cet ordinateur d'accéder à une ressource partagée.

Pour ajouter des membres à un groupe, suivez la procédure ci-dessous.

1. Ouvrez Utilisateurs et ordinateurs Active Directory. 2. Cliquez avec le bouton droit sur le groupe auquel vous souhaitez ajouter des

membres, cliquez sur Propriétés, sur l'onglet Membres, puis sur Ajouter. 3. Dans la liste Regarder dans, sélectionnez un domaine à partir duquel vous

souhaitez afficher des comptes d'utilisateur et des groupes d'utilisateurs. Vous pouvez également sélectionner Tout le répertoire pour afficher des comptes d'utilisateur et des groupes d'utilisateurs à partir d'un emplacement quelconque d'Active Directory.

4. Sélectionnez le compte d'utilisateur ou le groupe d'utilisateurs que vous souhaitez ajouter, puis cliquez sur Ajouter. Répétez cette procédure pour tous les autres comptes d'utilisateur ou groupes d'utilisateurs à ajouter.

5. Cliquez sur OK pour ajouter les membres.

Vous pouvez également ajouter un compte d'utilisateur ou un groupe d'utilisateurs à un groupe en utilisant l'onglet Membre de de la boîte de dialogue Propriétés de ce compte d'utilisateur ou de ce groupe. Utilisez cette méthode pour ajouter rapidement le même utilisateur ou groupe à plusieurs groupes.

Remarque

Conseil


Modification de groupes

� Modification du type de groupe� Transformer le groupe de sécurité en groupe de

distribution et inversement� Disponible en mode natif

� Modification de l'étendue de groupe� Transformer un groupe local ou de domaine local en

groupe universel� Disponible en mode natif

� Suppression d'un groupe� Supprimer le groupe sans en supprimer les objets

membres� Impossible de restaurer un groupe et ses autorisations

Vous pouvez non seulement modifier l'appartenance à un groupe et les autorisations accordées à celui-ci, mais également son type et son étendue. Il vous est également possible de supprimer des groupes lorsqu'ils ne sont plus nécessaires.

Modification du type de groupe Lorsque le domaine est en mode natif, le type d'un groupe peut être modifié à tout moment. Ainsi, un groupe de sécurité peut être transformé en groupe de distribution et inversement. Vous ne pouvez pas modifier le type d'un groupe lorsque le domaine est en mode mixte. Modifiez le type du groupe dans l'onglet Général de la boîte de dialogue Propriétés du groupe.

Modification de l'étendue de groupe À mesure que votre réseau change, vous pouvez avoir besoin de modifier l'étendue d'un groupe. Par exemple, vous pouvez être amené à remplacer un groupe de domaine local par un groupe universel si vous devez accorder des autorisations pour permettre aux utilisateurs d'accéder à des ressources d'autres domaines. La modification de l'étendue d'un groupe n'est possible qu'en mode natif.

Objectif de la diapositive Répertorier les sujets relatifs à la modification du type et de l'étendue de groupe et à la suppression des groupes.

Introduction Vous pouvez modifier le type et l'étendue d'un groupe lorsque le domaine fonctionne en mode natif.


Modifiez l'étendue d'un groupe dans l'onglet Général de la boîte de dialogue Propriétés du groupe.

Vous pouvez effectuer les modifications ci-dessous.

� Transformation d'un groupe global en groupe universel. Vous pouvez opérer cette modification uniquement si le groupe global que vous souhaitez convertir n'est pas membre d'un autre groupe global.

� Transformation d'un groupe de domaine local en groupe universel. Vous pouvez opérer cette modification uniquement si le groupe de domaine local que vous souhaitez convertir ne contient pas un autre groupe de domaine local.

Windows 2000 ne vous permet pas de modifier l'étendue d'un groupe universel, car l'appartenance à tous les autres groupes et l'étendue de tous les autres groupes sont plus restrictives que celles des groupes universels.

Suppression d'un groupe Lorsque vous supprimez un groupe, vous ne supprimez que le groupe et les autorisations et droits qui lui sont associés. La suppression d'un groupe n'a pas pour effet de supprimer les comptes d'utilisateur qui sont membres du groupe.

Chaque groupe que vous créez possède un identificateur unique, non réutilisable, appelé identificateur de sécurité (SID, Security Identifier). Windows 2000 utilise cet identificateur pour identifier le groupe et les autorisations qui lui sont accordées. Lorsque vous supprimez un groupe, Windows 2000 ne réutilise pas cet identificateur pour ce groupe, même si vous créez un groupe portant le même nom. Par conséquent, vous ne pouvez pas restaurer l'accès aux ressources en recréant le groupe.

Pour supprimer un groupe, ouvrez Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le groupe, puis cliquez sur Supprimer.

Important


Gestion de groupes locaux

Vous ne pouvez créer de groupes locaux que sur des serveurs membres et sur des ordinateurs exécutant Windows 2000 Professionnel. Les utilisateurs individuels créent des groupes locaux pour permettre l'accès aux ressources sur l'ordinateur local lorsqu'aucun groupe de domaine local n'est créé à cet effet. Vous pouvez utiliser des groupes locaux pour accorder des autorisations aux seules ressources de l'ordinateur local.

Création de groupes locaux Les règles d'appartenance énumérées ci-dessous s'appliquent aux groupes locaux.

� Les groupes locaux peuvent contenir des comptes d'utilisateur locaux provenant de l'ordinateur sur lequel vous créez les groupes locaux, ainsi que des groupes globaux et universels d'un domaine quelconque.

� Les groupes locaux ne peuvent pas être membres d'un autre groupe.

Pour créer un groupe local, suivez la procédure ci-dessous.

1. Ouvrez Gestion de l'ordinateur, puis développez Outils système. 2. Développez Utilisateurs et groupes locaux. 3. Cliquez avec le bouton droit sur Groupes, puis cliquez sur Nouveau

groupe. 4. Tapez le nom du nouveau groupe. 5. Cliquez sur Ajouter pour ajouter des membres à ce groupe. 6. Cliquez sur Créer, puis sur Fermer.

Objectif de la diapositive Montrer la procédure de création des groupes locaux.

Introduction Les groupes locaux vous permettent de gérer l'accès aux ressources d'un ordinateur local.


Groupes locaux intégrés Tous les serveurs membres, les serveurs autonomes et les ordinateurs qui exécutent Windows 2000 Professionnel disposent de groupes locaux intégrés. Les groupes locaux intégrés disposent de droits leur permettant d'effectuer des tâches système sur un ordinateur unique, telles que la sauvegarde et la restauration de fichiers, la modification de l'heure du système et l'administration des ressources système.

Le tableau ci-dessous décrit les possibilités dont disposent les membres des groupes locaux intégrés les plus utilisés. Sauf mention contraire, ces groupes ne comportent aucun membre à l'origine.

Groupe local Description

Administrateurs Ses membres peuvent effectuer toutes les tâches administratives sur l'ordinateur.

Par défaut, le compte Administrateur intégré de l'ordinateur en est membre. Lorsqu'un serveur membre ou un ordinateur exécutant Windows 2000 Professionnel intègre un domaine, Windows 2000 ajoute le groupe Admins du domaine au groupe local Administrateurs.

Opérateurs de sauvegarde

Ses membres peuvent utiliser l'utilitaire Sauvegarde Windows 2000 pour sauvegarder et restaurer les fichiers de l'ordinateur.

Invités Ses membres ne peuvent effectuer que les tâches pour lesquelles l'administrateur leur a accordé des droits spécifiques.Par ailleurs, ils ne peuvent accéder qu'aux ressources pour lesquelles l'administrateur leur a accordé des autorisations. Ses membres ne peuvent pas apporter de modifications permanentes à leur environnement de bureau.

Par défaut, le compte Invité intégré de l'ordinateur en est membre. Lorsqu'un serveur membre ou un ordinateur exécutant Windows 2000 Professionnel intègre un domaine, Windows 2000 ajoute le groupe Invités du domaine au groupe local Invités.

Utilisateurs avec pouvoir

Ses membres peuvent créer et modifier les comptes d'utilisateur locaux de l'ordinateur et partager des ressources. Ce groupe permet à l'utilisateur d'effectuer des tâches administratives système sans pour autant avoir un contrôle complet sur le système.

Duplicateurs Prend en charge la duplication des fichiers dans un domaine.

Utilisateurs Ses membres ne peuvent effectuer que les tâches pour lesquelles l'administrateur leur a accordé des droits spécifiques.Par ailleurs, ils ne peuvent accéder qu'aux ressources pour lesquelles l'administrateur leur a affecté des autorisations.

Par défaut, Windows 2000 ajoute des comptes d'utilisateur locaux au groupe Utilisateurs. Lorsqu'un serveur membre ou un ordinateur exécutant Windows 2000 Professionnel intègre un domaine, Windows 2000 ajoute le groupe Utilisa. du domaine au groupe local Utilisateurs.


Atelier B : Création de groupes


� planifier des groupes pour un domaine ; � créer des groupes dans un domaine ; � ajouter des membres à des groupes.

Conditions préalables Avant de poursuivre, vous devez disposer de connaissances dans les domaines suivants :

� mode d'utilisation d'Utilisateurs et ordinateurs Active Directory ; � mode d'utilisation des groupes dans Windows 2000.

Mise en place de l'atelier Pour réaliser cet atelier, vous devez disposer des éléments suivants :

� un ordinateur exécutant Windows 2000 Advanced Server, configuré en tant que contrôleur d'un domaine enfant de nwtraders.msft ;

� le domaine fonctionnant en mode natif.



Introduction Dans cet atelier, vous allez créer des groupes de sécurité.

Conseils pédagogiques Cet atelier comporte quatre diapositives : deux diapositives présentent les graphiques imprimés pour cet atelier, et la diapositive standard de présentation de l'atelier figure une nouvelle fois après ces diapositives de présentation des graphiques.


Exercice 1 Planification de groupes

Scénario Northwind Traders possède trois domaines, le domaine racine étant situé sur l'ordinateur London, les deux autres domaines étant situés sur les ordinateurs North America et Europe. Les responsables des trois domaines doivent pouvoir accéder à la base de données Inventory du serveur London pour effectuer leurs tâches.

Objectifs Dans cet exercice, vous allez déterminer les éléments suivants : � les groupes nécessaires ; � l'appartenance à chaque groupe (il peut s'agir de comptes d'utilisateur ou d'autres groupes) ; � le type et l'étendue de chaque groupe.

Que pouvez-vous faire pour garantir que les responsables ont l'accès requis et que l'administration est réduite au strict minimum ? Dans chaque domaine, créer un groupe global et lui ajouter des comptes d'utilisateur pour les responsables de ce domaine. Créer un groupe de domaine local dans le domaine dans lequel est située la base de données, puis ajouter les groupes globaux de chaque domaine au groupe de domaine local. Accorder ensuite au groupe de domaine local des autorisations d'accès à la base de données Inventory.

Les besoins de l'entreprise ont changé et vous voulez désormais accorder à tous les responsables une autorisation d'accès aux bases de données Inventory sur les ordinateurs Europe et North America, outre l'ordinateur London.

Quelles modifications devez-vous apporter en supposant que vous souhaitiez utiliser le plus petit nombre possible de groupes ? Créer un groupe universel dans le domaine racine de l'ordinateur London, lui ajouter les groupes globaux de chaque domaine, puis accorder au groupe universel les autorisations d'accès à chaque base de données Inventory.


Supposons que vous disposiez d'un serveur de catalogue global dans chacun des trois domaines et que votre objectif soit de fournir l'accès nécessaire tout en réduisant au minimum le trafic lié à la duplication. Quelles modifications devez-vous apporter ? Créer des groupes de domaine local dans les domaines North America et Europe, ajouter les trois groupes globaux aux deux groupes de domaine local, puis accorder à ces derniers des autorisations d'accès à la base de données Inventory.


Exercice 2 Création d'un groupe global et ajout de membres

Scénario Northwind Traders s'agrandit et, pour simplifier l'administration, vous souhaitez implémenter l'utilisation de groupes globaux. Vous êtes chargé par Northwind Traders de créer un groupe global contenant des responsables particuliers.

Objectif Dans cet exercice, vous allez créer un groupe global, puis lui ajouter des membres.

Tâche Détails

1. Créez un groupe global dans un domaine. • Unité d'organisation :

Administrationx

• Nom de groupe : Managersx



c. Développez votre domaine si nécessaire, puis cliquez sur Administrationx (où x est égal à 1 si votre numéro de stagiaire est impair ou à 2 s'il est pair).

d. Cliquez avec le bouton droit sur Administrationx, pointez sur Nouveau, puis cliquez sur Group.

La boîte de dialogue Nouvel objet - Group s'affiche. Remarquez les différents types et étendues de groupes disponibles.

e. Dans la zone Nom de groupe, tapez Managersx

f. Vérifiez que l'étendue du groupe est globale et qu'il s'agit d'un groupe de sécurité, puis cliquez sur OK.

Windows 2000 crée le groupe et l'affiche dans le volet de détails.


Tâche Détails

2. Ajoutez les membres suivants au groupe global que vous avez créé dans la tâche 1 : • Membres : OUser1

Ordinateur1 (où Ordinateur représente le nom de l'ordinateur qui vous a été affecté)

• OUser3 Ordinateur3

a. Dans le volet de détails, cliquez avec le bouton droit sur Managersx, puis cliquez sur Propriétés.

La boîte de dialogue Propriétés de Managersx affiche les propriétés du groupe.

b. Cliquez sur l'onglet Membres pour afficher les membres du groupe. La boîte de dialogue Propriétés de Managersx affiche une liste des membres du groupe. Le groupe ne comprend actuellement

aucun membre.

c. Pour ajouter un membre au groupe, cliquez sur Ajouter.

d. Dans la boîte de dialogue Sélectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes, vérifiez que votre domaine est bien affiché dans la zone Regarder dans.

e. Dans la liste des utilisateurs, contacts, ordinateurs et groupes, cliquez sur OUser1 Ordinateur1 (où Ordinateur représente le nom de l'ordinateur qui vous a été affecté), puis cliquez sur Ajouter.

f. Dans la liste, cliquez sur OUser3 Ordinateur3, sur Ajouter, puis sur OK.

OUser1 Ordinateur1 et OUser3 Ordinateur3 sont désormais membres du groupe global Managersx.

g. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Managersx.

h. Laissez Utilisateurs et ordinateurs Active Directory ouvert.


Exercice 3 Création d'un groupe de domaine local et ajout de membres

Scénario Northwind Traders s'agrandit et vous souhaitez en simplifier l'administration. Vous avez attribué des responsables aux groupes globaux et souhaitez accorder l'accès aux ressources de vos domaines à tous les responsables de Northwind Traders.

Objectif Dans cet exercice, vous allez créer un groupe de domaine local et rendre certains groupes globaux membres de ce groupe de domaine local.

Tâche Détails

1. Créez un groupe de domaine local dans votre domaine. • Unité d'organisation :

Administrationx

• Groupe : Inventoryx

a. Dans l'arborescence de la console, cliquez avec le bouton droit sur Administrationx, pointez sur Nouveau, puis cliquez sur Group.

b. Dans la boîte de dialogue Nouvel objet - Group, dans la zone Nom de groupe, tapez Inventoryx

c. Sous Étendue du groupe, cliquez sur Domaine local. Sous Type de groupe, vérifiez que l'option Sécurité est sélectionnée, puis cliquez sur OK.

Windows 2000 crée le groupe de domaine local, puis l'affiche dans le volet de détails.

2. Ajoutez des membres à un groupe de domaine local de votre domaine. • Groupe de domaine

local : Inventoryx

• Membres : Tous les groupes Managersx

a. Dans le volet de détails, cliquez avec le bouton droit sur Inventoryx, puis cliquez sur Propriétés.

La boîte de dialogue Propriétés de Inventoryx affiche les propriétés du groupe.

b. Dans l'onglet Membres, cliquez sur Ajouter.

c. Dans la zone Regarder dans de la boîte de dialogue Sélectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes, cliquez sur Tout le répertoire.

La boîte de dialogue Sélectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes affiche les comptes d'utilisateur et

les groupes de tous les domaines.

d. Cliquez sur le titre Nom. Utilisateurs et ordinateurs Active Directory trie toutes les entrées de la liste par ordre alphabétique et par nom.

Remarque : Il se peut que tous les groupes Managersx ne soient pas visibles en raison des retards de duplication. Sélectionnez les groupes disponibles.


Tâche Détails

2. (suite) e. Dans la liste, sous le titre Nom, cliquez sur la première entrée correspondant à Managersx, appuyez sur MAJ, puis cliquez sur la dernière entrée correspondant à Managersx.

f. Cliquez sur Ajouter, puis sur OK. Tous les groupes Managersx sont désormais membres du groupe de domaine local Inventoryx.

g. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Inventoryx.

h. Laissez Utilisateurs et ordinateurs Active Directory ouvert.


Exercice 4 Création d'un groupe universel et ajout de membres

Scénario Chez Northwind Traders, vous avez ajouté des groupes globaux aux groupes locaux afin d'accorder l'accès aux ressources du réseau. Vous souhaitez toujours établir des points d'administration uniques pour les ressources à l'échelle de la forêt.

Objectif Dans cet exercice, vous allez créer un groupe universel. Vous effectuerez ensuite des tests pour déterminer les membres que vous pouvez ajouter à ce groupe.

Tâche Détails

1. Créez un groupe universel. • Unité d'organisation :

Administrationx

• Groupe universel : Universalx

a. Dans l'arborescence de la console, cliquez avec le bouton droit sur Administrationx, pointez sur Nouveau, puis cliquez sur Groupe.

b. Dans la boîte de dialogue Nouvel objet - Groupe, dans la zone Nom de groupe, tapez Universalx

c. Sous Étendue du groupe, cliquez sur Universel. Sous Type de groupe, vérifiez que l'option Sécurité est sélectionnée, puis cliquez sur OK.

Windows 2000 crée le groupe universel et l'affiche dans le volet de détails.

2. Ajoutez des membres à un groupe universel et notez les résultats. • Groupe universel :

Universalx

• Membres : Groupe global : Groupe local Managersx : Groupe global Inventoryx : autre-domaine\ Managersx

a. Dans le volet de détails, cliquez avec le bouton droit sur Universalx, puis cliquez sur Propriétés.

b. Dans l'onglet Membres, cliquez sur Ajouter.

c. Dans la boîte de dialogue Sélectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes, vérifiez que votre domaine figure bien dans la zone Regarder dans.

d. Dans la liste, cliquez sur Managersx, puis sur Ajouter.

e. Cliquez deux fois sur OK.

Êtes-vous parvenu à ajouter le groupe global Managersx au groupe universel ? Pourquoi ?


Tâche Détails

2. (suite) f. Essayez de répéter les étapes a à e afin d'ajouter le groupe de domaine local Inventoryx au groupe universel.

Êtes-vous parvenu à ajouter le groupe de domaine local Inventoryx au groupe universel ? Pourquoi ?

2. (suite) g. Essayez de répéter les étapes a à e pour ajouter le groupe global Managersx d'un autre domaine au groupe universel. Vérifiez que vous avez sélectionné le domaine d'un autre stagiaire dans la zone Regarder dans.

Êtes-vous parvenu à ajouter le groupe global Managersx d'un autre domaine au groupe universel ? Pourquoi ?

2. (suite) h. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Universalx.

i. Fermez Utilisateurs et ordinateurs Active Directory, puis la session.


�� Contrôle de l'accès aux objets Active Directory

� Autorisations Active Directory

� Utilisation de l'héritage des autorisations

� Octroi d'autorisations Active Directory

� Modification de la propriété des objets

Tous les objets Active Directory disposent d'un descripteur de sécurité qui définit les personnes autorisées à accéder à l'objet, et le type d'accès accordé. Windows 2000 utilise ces descripteurs pour contrôler l'accès aux objets.

Pour alléger la charge de travail administratif, vous pouvez regrouper des objets ayant des exigences identiques en matière de sécurité dans une unité d'organisation. Vous pouvez ensuite accorder des autorisations d'accès à l'ensemble de l'unité d'organisation et à tous les objets qu'elle contient.

Objectif de la diapositive Répertorier les sujets liés à l'utilisation d'autorisations en tant que méthode de contrôle d'accès aux objets Active Directory.

Introduction Le descripteur de sécurité d'un objet définit les utilisateurs qui sont autorisés à accéder à cet objet.


Autorisations Active Directory

� Contrôle de l'accès par des autorisations

� Chaque objet comporte une liste DACL

� Le type d'objet détermine les autorisations disponibles

� Autorisations multiples

� Octroi et refus d'autorisations

� Autorisations standard et spéciales

Contrôle totalLireÉcrireCréer tous les objets enfantsSupprimer tous les objets enfants

Les autorisations Active Directory garantissent la sécurité des ressources en vous permettant de contrôler les personnes autorisées à accéder aux objets individuels ou aux attributs des objets, ainsi que le type d'accès que vous accordez. Vous pouvez utiliser des autorisations pour affecter des privilèges administratifs (pour une unité d'organisation, une hiérarchie d'unités d'organisation ou un objet unique) à un utilisateur ou à un groupe particulier.

Contrôle de l'accès par des autorisations Un administrateur ou le propriétaire de l'objet doit accorder des autorisations à l'objet pour que les utilisateurs puissent y accéder. Windows 2000 stocke une liste d'autorisations d'accès utilisateur, appelée liste DACL (Discretionary Access Control List), pour tous les objets Active Directory. La liste DACL d'un objet répertorie le nom des personnes qui peuvent accéder à l'objet et les actions particulières que chaque utilisateur peut accomplir sur l'objet.

Pour afficher les autorisations sur un objet Active Directory, vous devez sélectionner l'option Fonctionnalités avancées du menu Affichage d'Utilisateurs et ordinateurs Active Directory. La sélection de cette option vous permet d'afficher l'onglet Sécurité dans la boîte de dialogue Propriétés d'un objet.

Le type d'objet détermine les autorisations que vous pouvez sélectionner. Les autorisations varient pour les différents types d'objets. Vous pouvez, par exemple, accorder l'autorisation Réinitialiser le mot de passe pour un objet utilisateur, mais pas pour un objet imprimante.

Objectif de la diapositive Répertorier les sujets liés à l'utilisation des autorisations.

Introduction Contrôlez l'accès aux ressources du réseau en octroyant des autorisations.


Autorisations multiples Un utilisateur peut être membre de plusieurs groupes, chacun étant doté d'autorisations différentes qui fournissent différents niveaux d'accès aux objets. Si vous accordez une autorisation à un utilisateur pour accéder à un objet, et que cet utilisateur est membre d'un groupe auquel vous avez accordé une autre autorisation, les autorisations effectivement utilisables par cet utilisateur résultent de la combinaison de ses propres autorisations et de celles du groupe. Par exemple, si un utilisateur dispose de l'autorisation Lire et qu'il est membre d'un groupe pourvu de l'autorisation Écrire, l'utilisateur disposera en réalité des deux autorisations, Lire et Écrire.

Octroi et refus d'autorisations Vous pouvez accorder ou refuser des autorisations. Les autorisations refusées sont prioritaires sur toutes les autres autorisations que vous accordez pour les comptes d'utilisateur et les groupes. Si vous refusez à un utilisateur l'autorisation d'accéder à un objet, ce refus sera effectif, même si vous accordez cette autorisation à un groupe dont l'utilisateur est membre. Les autorisations ne doivent être refusées que lorsqu'il est nécessaire qu'un utilisateur spécifique ne bénéficie pas d'une autorisation déjà accordée à un groupe dont il est membre.

Veillez à ce qu'au moins un utilisateur dispose de l'autorisation Contrôle total sur tous les objets. Dans le cas contraire, certains objets peuvent être inaccessibles, même à un administrateur utilisant Utilisateurs et ordinateurs Active Directory.

Autorisations standard et spéciales Vous pouvez définir des autorisations standard et spéciales sur des objets. Les autorisations standard sont les plus fréquemment accordées, et sont composées d'autorisations spéciales. Les autorisations spéciales vous permettent de contrôler plus précisément les autorisations d'accès aux objets.

Par exemple, l'autorisation standard Écrire est composée des autorisations Écrire toutes les propriétés, S'ajouter/Se supprimer en tant que membre, et Lire.

Le tableau suivant énumère les autorisations standard disponibles pour la plupart des objets (certains types d'objets disposent d'autorisations supplémentaires) et le type d'accès permis par chaque autorisation :

Autorisation sur l'objet Possibilités offertes à l'utilisateur

Contrôle total Modifier les autorisations et prendre possession, et également réaliser les tâches permises par toutes les autres autorisations standard.

Lire Afficher les objets et leurs attributs, le propriétaire de l'objet et les autorisations Active Directory.

Écrire Modifier les attributs d'objet.

Créer tous les objets enfants

Ajouter tout type d'objet enfant à une unité d'organisation.

Supprimer tous les objets enfants

Supprimer d'une unité d'organisation tout type d'objet enfant.

Attention


Utilisation de l'héritage des autorisations

� Applicationd'autorisations àdes objets enfants

� Interdiction del'héritage desautorisations

L'héritage des autorisations dans Active Directory réduit le nombre d'autorisations accordées pour des objets.

Application d'autorisations à des objets enfants Lorsque vous accordez des autorisations, vous pouvez choisir de les appliquer à des objets enfants, ce qui les propage à tous les objets enfants d'un objet donné. Pour indiquer que les autorisations sont héritées, les cases à cocher correspondantes sont grisées dans l'interface utilisateur.

Vous pouvez, par exemple, accorder à un groupe l'autorisation Contrôle total pour une unité d'organisation contenant des imprimantes, puis appliquer cette autorisation à tous les objets enfants. Ainsi, tous les membres du groupe peuvent administrer l'ensemble des imprimantes de l'unité d'organisation.

Objectif de la diapositive Présenter la procédure d'application des autorisations et de l'interdiction de l'héritage des autorisations.

Introduction Vous pouvez utiliser l'héritage des autorisations pour alléger votre charge de travail.


Interdiction de l'héritage des autorisations Vous pouvez empêcher l'héritage des autorisations pour qu'un objet enfant n'hérite d'aucune autorisation de son objet parent. Le cas échéant, seules les autorisations que vous accordez explicitement à l'objet s'appliquent.

Pour empêcher l'héritage des autorisations, utilisez l'onglet Sécurité de la boîte de dialogue Propriétés d'un objet.

Lorsque vous empêchez l'héritage des autorisations, Windows 2000 vous permet d'effectuer les actions ci-dessous.

� Copier les autorisations précédemment héritées sur cet objet. Les nouvelles autorisations explicites pour l'objet constituent une copie de celles héritées de son objet parent. Vous pouvez ensuite modifier les autorisations, en fonction de vos besoins.

� Supprimer les autorisations précédemment hérités sur cet'objet. La suppression de ces autorisations va entraîner la suppression de toutes les autorisations pour l'objet. Vous pouvez ensuite accorder toute nouvelle autorisation pour l'objet, en fonction de vos besoins.

Module 5 : Administration d'Active Directory 45

Octroi d'autorisations Active Directory

Windows 2000 détermine dans quelle mesure un utilisateur est autorisé à utiliser un objet en vérifiant dans la liste DACL les autorisations qui lui ont été accordées pour cet objet. Lorsque vous accordez ou refusez de façon explicite des autorisations sur un objet, ces paramètres remplacent les autorisations héritées d'un objet parent.

Pour ajouter ou modifier des autorisations pour un objet, suivez la procédure ci-dessous.

1. Dans le menu Affichage d'Utilisateurs et ordinateurs Active Directory, cliquez sur Fonctionnalités avancées.

2. Cliquez avec le bouton droit sur l'objet, cliquez sur Propriétés, puis dans la boîte de dialogue Propriétés, cliquez sur l'onglet Sécurité.

3. Exécutez l'une des procédures ci-dessous, voire les deux.

• Pour ajouter une autorisation, cliquez sur Ajouter, sur le compte d'utilisateur ou le groupe auquel vous souhaitez accorder des autorisations, sur Ajouter, puis sur OK.

• Pour modifier une autorisation, cliquez sur le compte d'utilisateur ou le groupe.

4. Dans la zone Autorisations, activez la case à cocher Autoriser ou Refuser pour chaque autorisation à ajouter ou refuser.

Les autorisations standard sont suffisantes pour la plupart des tâches administratives. Vous pouvez toutefois être amené à afficher les autorisations spéciales qui composent une autorisation standard.

Objectif de la diapositive Décrire comment accorder des autorisations.

Introduction Windows 2000 vérifie les autorisations avant de permettre l'accès à un objet.


Pour afficher des autorisations spéciales, suivez la procédure ci-dessous.

1. Dans l'onglet Sécurité de la boîte de dialogue Propriétés de l'objet, cliquez sur Avancé.

2. Dans l'onglet Autorisations de la boîte de dialogue Paramètres du contrôle d'accès, cliquez sur l'entrée à afficher, puis sur Afficher/Modifier.

3. Pour afficher les autorisations pour des attributs particuliers, cliquez sur l'onglet Propriétés.

Limitez l'octroi d'autorisations pour des attributs particuliers d'objet, car elles compliquent l'administration du système. Des erreurs peuvent se produire, telles que le non-affichage d'objets dans Active Directory, empêchant ainsi les utilisateurs d'effectuer leurs tâches.

Pour modifier l'héritage des autorisations, suivez la procédure ci-dessous.

1. Dans l'onglet Sécurité de la boîte de dialogue Propriétés de l'objet, cliquez sur Avancé.

2. Dans l'onglet Autorisations de la boîte de dialogue Paramètres du contrôle d'accès, cliquez sur l'entrée à afficher, puis sur Afficher/Modifier.

3. Dans la zone Appliquer à, sélectionnez l'option souhaitée.

Attention


Modification de la propriété des objets � Le propriétaire contrôle les autorisations accordées pour

un objet� La propriété d'un objet change lorsque :

� Le propriétaire ou l'utilisateur disposant de l'autorisation Contrôle total accorde l'autorisation Modifier le propriétaire à un utilisateur qui prend possesion de l'objet

� Un membre du groupe Administrateurs prend possession d'un objet

Chaque objet a un propriétaire. La personne qui crée l'objet en devient automatiquement le propriétaire. Le propriétaire contrôle les autorisations accordées pour un objet, et les bénéficiaires de celles-ci.

En tant qu'administrateur, vous pouvez prendre possession d'un objet quelconque, puis modifier les autorisations qui s'y rapportent. Si un membre du groupe Administrateurs crée un objet ou en prend possession, c'est le groupe Administrateurs qui en devient propriétaire, et non le membre individuel du groupe.

La propriété d'un objet change dans les cas présentés ci-dessous.

� Le propriétaire actuel, ou tout utilisateur disposant de l'autorisation Contrôle total, accorde l'autorisation Modifier le propriétaire à un autre utilisateur qui prend possession de l'objet. Si, par exemple, un employé qui est propriétaire d'un objet quitte la société, vous pouvez laisser un autre utilisateur prendre possession de cet objet, en lui réaffectant de ce fait la responsabilité de l'objet.

� Un membre du groupe Administrateurs prend possession d'un objet quelconque.

Bien que les membres du groupe Administrateurs puissent prendre possession d'un objet, ils ne peuvent pas transférer sa propriété. Cette restriction a pour but de garantir la responsabilité.

Pour prendre possession d'un objet, suivez la procédure ci-dessous.

1. Dans l'onglet Sécurité de la boîte de dialogue Propriétés d'un objet, cliquez sur Avancé.

2. Cliquez sur l'onglet Propriétaire, puis sur votre compte d'utilisateur. 3. Cliquez sur OK, puis de nouveau sur OK pour prendre possession de

l'objet.

Objectif de la diapositive Répertorier les sujets liés à la modification de la propriété d'un objet.

Introduction Chaque objet a un propriétaire. Il s'agit, en règle générale, de la personne qui l'a créé.

Remarque


Ajout d'attributs d'objet dans le catalogue global

Chaque objet et un sous-ensemble de ses attributs sont dupliqués vers le catalogue global en vue d'effectuer des recherches à l'échelle de la forêt. Vous pouvez ajouter des attributs dans le catalogue global afin d'augmenter le nombre de critères de recherche des objets.

Instructions à suivre pour l'ajout d'attributs Comme le catalogue global est dupliqué sur tous les serveurs de catalogue global de la forêt, vous ne devez pas ajouter chaque attribut dans le catalogue global. Les attributs que vous choisissez d'y ajouter doivent répondre aux critères répertoriés ci-dessous.

� Unique. Les informations doivent être relativement propres à l'objet afin d'être utiles pour une recherche. Par exemple, le nom de famille d'un employé ou son numéro d'identification constituent des éléments de recherche utiles.

� Disponible. Les informations doivent être facilement accessibles. Par exemple, le nom de famille d'un utilisateur peut être facilement disponible alors qu'un identificateur de sécurité SID ne l'est pas.

� Statique. Publiez des informations qui changent rarement ou jamais. Par exemple, la date de naissance d'un employé est une information statique.

� De petite taille. Le volume des informations doit être raisonnable afin de minimiser l'impact sur le trafic généré par la duplication.

Objectif de la diapositive Décrire la procédure pour ajouter des attributs dans le catalogue global.

Introduction Vous pouvez ajouter des attributs à la duplication du catalogue global.


Activation de Schéma Active Directory Vous pouvez utiliser Schéma Active Directory de la console MMC pour définir d'autres attributs à inclure dans le catalogue global. Vous devez activer la bibliothèque de liaisons dynamiques (DLL, Dynamic Link Library) du schéma pour pouvoir ajouter Schéma Active Directory à la console MMC.

Pour activer la bibliothèque DLL du schéma, à l'invite, tapez regsvr32 %systemroot%\system32\schmmgmt.dll Lorsque le message indiquant la réussite de DLL Register Service s'affiche, fermez l'invite. Schéma Active Directory est maintenant disponible pour la console MMC.

Ajout d'attributs Schéma Active Directory répertorie tous les attributs d'objet dans Active Directory. Pour ajouter un attribut dans le catalogue global, suivez la procédure ci-dessous.

1. Ouvrez Schéma Active Directory sur le maître d'opérations du schéma. 2. Dans l'arborescence de la console, développez Attributs. 3. Dans le volet de détails, cliquez avec le bouton droit sur l'attribut que vous

souhaitez ajouter dans le catalogue global, puis cliquez sur Propriétés. 4. Sélectionnez Répliquer cet attribut dans le catalogue global. 5. Cliquez sur OK.


�� Délégation du contrôle administratif des objets Active Directory

� Utilisation de l'Assistant Délégation de contrôle

� Création d'outils d'administration personnalisés

� Création de listes des tâches

La structure d'Active Directory se prête à une gestion plus efficace par le biais de la délégation du contrôle administratif sur les objets. L'Assistant Délégation de contrôle et les consoles personnalisées de la console MMC vous permettent d'accorder à des utilisateurs particuliers des droits pour réaliser diverses tâches d'administration et de gestion. Cette procédure permet de réduire votre charge de travail et reflète la hiérarchie de votre entreprise en attribuant aux personnes appropriées la responsabilité sur les ressources du réseau.

Objectif de la diapositive Répertorier les sujets relatifs à la délégation du contrôle administratif des objets Active Directory.

Introduction Vous pouvez gérer votre réseau de façon plus efficace en déléguant le contrôle administratif.


Utilisation de l'Assistant Délégation de contrôle

� Un administrateur peut déléguer le contrôle :

� En accordant des autorisations dans une unité d'organisation spécifique

� En accordant des autorisations pour modifier les autorisations sur un objet

� Simplicité du suivi des autorisations déléguées au niveau de l'unité d'organisation

� Utilisation de l'Assistant Délégation de contrôle pour accorder des autorisations au niveau de l'unité d'organisation

Vous pouvez déléguer le contrôle administratif sur les objets en accordant des autorisations pour ceux-ci. Des utilisateurs ou des groupes d'utilisateurs sont ainsi en mesure d'administrer les objets.

Un administrateur peut déléguer les types de contrôles suivants :

� autorisations de créer ou de modifier des objets dans une unité d'organisation particulière ;

� autorisations de modifier des autorisations particulières pour les attributs d'un objet, comme l'octroi de l'autorisation de réinitialiser les mots de passe d'un compte d'utilisateur.

Le suivi des autorisations au niveau des unités d'organisation est plus facile que celui des autorisations sur des objets ou des attributs d'objet. Accorder des autorisations au niveau des unités d'organisation vous permet de déléguer le contrôle administratif pour les objets contenus dans les unités d'organisation.

Il vous est possible, par exemple, de déléguer le contrôle administratif en accordant au responsable concerné l'autorisation Contrôle total pour une unité d'organisation. Ainsi, vous pouvez décentraliser les opérations et les problèmes d'administration. Cette procédure permet de réduire le temps consacré au travail administratif et les coûts associés par une distribution du contrôle administratif plus près de son point de service.

L'Assistant Délégation de contrôle vous permet d'accorder des autorisations au niveau de l'unité d'organisation. Pour définir des autorisations plus spécialisées, vous devez accorder manuellement des autorisations au niveau de l'objet.

Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l'unité d'organisation pour laquelle vous souhaitez déléguer le contrôle, puis cliquez sur Délégation de contrôle pour démarrer l'Assistant.

Objectif de la diapositive Répertorier les sujets relatifs à l'utilisation de l'Assistant Délégation de contrôle.

Introduction Les autorisations sur les objets permettent aux utilisateurs et aux groupes d'administrer les objets.

Conseil pédagogique Exécutez l'Assistant Délégation de contrôle, puis présentez les différentes options.


Le tableau suivant décrit les options de l'Assistant Délégation de contrôle :

Option Description

Utilisateurs ou groupes Comptes d'utilisateur ou groupes d'utilisateurs auxquels vous souhaitez déléguer le contrôle.

Tâches à déléguer Liste de tâches courantes ou possibilité de personnaliser une tâche. Lorsque vous sélectionnez une tâche courante, l'Assistant récapitule vos sélections pour terminer la procédure de délégation. Lorsque vous choisissez de personnaliser une tâche, l'Assistant vous propose de choisir entre Type d'objet Active Directory et Autorisations.

Type d'objet Active Directory

Soit tous les objets, soit certains types d'objets uniquement au sein de l'unité d'organisation spécifiée.

Autorisations Autorisations à accorder à l'objet ou aux objets.


Création d'outils d'administration personnalisés

� Création de consoles personnalisées

� Ouvrez la console MMC

� Ajoutez des composants logiciels enfichables et des extensions

� Enregistrez

� Sélection des modes console

� Le mode Auteur permet l'accès à toutes les fonctionnalités

� Les modes Utilisateur limitent les modifications que peut apporter l'utilisateur à la console

Une des nouvelles fonctionnalités de Windows 2000 est la possibilité de créer des outils d'administration personnalisés à l'aide de la console MMC. Après avoir délégué le contrôle administratif d'une partie d'Active Directory, vous pouvez créer votre propre ensemble d'outils d'administration, puis les distribuer aux administrateurs délégués. Enregistrés en tant que fichiers .msc dans le dossier Mes documents, ces outils d'administration personnalisés peuvent être envoyés par courrier électronique, stockés dans un dossier partagé ou publiés sur le Web. Ils peuvent également être affectés à des utilisateurs, des groupes ou des ordinateurs avec des paramètres de stratégie de groupe.

Création de consoles personnalisées Vous pouvez créer des consoles MMC personnalisées pour répondre à vos besoins administratifs en regroupant des composants logiciels enfichables que vous utilisez pour réaliser des tâches administratives courantes dans une même console. Après avoir ajouté les extensions et les composants logiciels enfichables souhaités, donnez un nom à la console, puis enregistrez-la.

Pour ouvrir la console MMC avec une console vide, cliquez sur Démarrer, puis sur Exécuter, tapez mmc dans la zone Ouvrir, puis cliquez sur OK.

Objectif de la diapositive Répertorier les sujets relatifs à la création d'outils d'administration personnalisés avec la console MMC.

Introduction Vous pouvez créer des outils d'administration personnalisés avec la console MMC.

Conseils pédagogiques Montrez comment ajouter à la console MMC les composants logiciels enfichables Défragmenteur de disque et Utilisateurs et ordinateurs Active Directory. Montrez ensuite comment enregistrer la console MMC personnalisée, puis comment y accéder.


Le tableau suivant indique à quel moment les commandes du menu Console de la console MMC peuvent être utilisées :

Commande À utiliser si

Nouveau Vous souhaitez créer une console MMC personnalisée.

Ouvrir Vous souhaitez utiliser une console MMC enregistrée.

Enregistrer ou Enregistrer sous

Vous souhaitez utiliser la console MMC personnalisée ultérieurement.

Ajouter/Supprimer un composant logiciel enfichable

Vous souhaitez ajouter un ou plusieurs composants logiciels enfichables et leurs extensions associées à une console MMC ou les supprimer de celle-ci.

Options Vous souhaitez configurer le mode console et créer une console MMC personnalisée.

Sélection des modes console Lorsque vous créez une console MMC, vous pouvez définir le mode dans lequel elle s'ouvrira en cliquant sur Console, puis en sélectionnant Options. Les modes disponibles sont le mode Auteur et le mode Utilisateur.

Mode Auteur Lorsque vous enregistrez une console MMC en mode Auteur, vous autorisez l'accès total à toutes les fonctionnalités de la console MMC, y compris la modification de cette dernière. Par défaut, toutes les nouvelles consoles MMC sont enregistrées en mode Auteur. Vous pouvez utiliser ce mode pour réaliser les actions suivantes :

� ajouter ou supprimer des composants logiciels enfichables ; � créer des fenêtres ; � afficher toutes les parties de l'arborescence de la console ; � enregistrer des consoles MMC.

Points clés Vous pouvez créer des consoles MMC personnalisées pour vous-même ou d'autres administrateurs en ajoutant des composants logiciels enfichables et en sélectionnant le mode console approprié.


Mode Utilisateur Si vous envisagez de distribuer une console MMC à d'autres administrateurs, enregistrez-la en mode Utilisateur. Lorsque vous définissez une console MMC en mode Utilisateur, les utilisateurs ne peuvent pas lui ajouter de composants logiciels enfichables, en supprimer, ni enregistrer la console MMC. Il existe trois types de modes Utilisateur, qui autorisent des fonctionnalités et des niveaux d'accès différents. Le tableau suivant décrit les circonstances dans lesquelles chaque mode Utilisateur peut être utilisé :

Mode À utiliser si

Accès total Vous souhaitez autoriser les utilisateurs à naviguer entre différents composants logiciels enfichables, ouvrir de nouvelles fenêtres et accéder à toutes les parties de l'arborescence de la console.

Accès limité, fenêtre multiple

Vous ne voulez pas accorder aux utilisateurs le droit d'ouvrir de nouvelles fenêtres ou d'accéder à une partie de l'arborescence de la console. Vous souhaitez permettre aux utilisateurs d'afficher plusieurs fenêtres dans la console.

Accès limité, fenêtre unique

Vous ne voulez pas accorder aux utilisateurs le droit d'ouvrir de nouvelles fenêtres ou d'accéder à une partie de l'arborescence de la console. Vous souhaitez permettre aux utilisateurs d'afficher une seule fenêtre dans la console.


Création de listes des tâches

Une liste des tâches est un outil d'administration que vous créez à l'intention des administrateurs débutants ou des utilisateurs dont l'administration réseau ne constitue pas l'activité principale. Une liste des tâches est une interface simplifiée qui contient une ou plusieurs tâches. Chaque tâche est un raccourci vers une tâche ou une commande d'administration particulière.

Les avantages liés à créer une liste des tâches sont énumérés ci-dessous.

� Vous pouvez définir de façon précise que la tâche doit correspondre à la tâche administrative dont un utilisateur est chargé.

� Elle permet de masquer la complexité de la console MMC. Étant donné que la liste des tâches fournit un raccourci vers chaque tâche, les utilisateurs ne sont pas tenus de naviguer dans une console MMC pour effectuer une ou deux tâches.

Pour pouvoir utiliser une liste des tâches, l'utilisateur doit disposer des autorisations appropriées pour réaliser la tâche pour laquelle la liste a été conçue.

Objectif de la diapositive Décrire la procédure de création de listes des tâches.

Introduction Utilisez les listes des tâches pour offrir des outils aux administrateurs débutants ou aux utilisateurs dont l'administration réseau ne constitue pas l'activité principale.

Conseils pédagogiques Exécutez mmc, puis ajoutez un composant logiciel enfichable. Enregistrez la console. Cliquez avec le bouton droit sur le composant logiciel enfichable dans l'arborescence de la console, puis cliquez sur Nouvelle vue de la liste des tâches. Exécutez l'Assistant Nouvelle vue de la liste des tâches, puis affichez les différentes options proposées aux stagiaires. La diapositive affiche une vue de la liste des tâches.


La création d'une liste des tâches constitue une personnalisation supplémentaire de la console MMC. Pour créer une liste des tâches, suivez la procédure ci-dessous.

1. Créez une console MMC, puis ajoutez le composant logiciel enfichable requis.

2. Créez une liste des tâches à l'aide de l'Assistant Nouvelle vue de la liste des tâches. Pour ouvrir l'Assistant, cliquez avec le bouton droit sur l'élément de l'arborescence de la console auquel la tâche s'applique, puis cliquez sur Nouvelle vue de la liste des tâches. L'Assistant vous guide tout au long de la procédure de définition de l'aspect, du nom et de la description d'une liste des tâches, ainsi que de l'élément de l'arborescence de la console auquel elle s'applique. Le tableau suivant décrit les options importantes de la page Affichage de la liste des tâches de l'Assistant.

Option Description

Style pour le volet des informations

Mode d'affichage des éléments dans le volet de détails. Vous pouvez sélectionner une liste verticale pourvue d'icônes de tâche à sa droite, une liste horizontale pourvue d'icônes de tâche en dessous ou vous pouvez ne sélectionner aucune liste (icônes uniquement). Si vous sélectionnez une liste verticale ou horizontale, vous pouvez également en sélectionner la taille (petite, moyenne ou grande).

Style pour les descriptions de tâche

Mode d'affichage des descriptions de chaque tâche. Vous pouvez sélectionner Texte pour afficher un texte descriptif en regard de chaque icône, ou Info-bulle pour afficher la description sous forme contextuelle.

Cible de la liste des tâches

Spécifiez si la vue de la liste des tâches s'applique uniquement à l'Élément d'arborescence sélectionné ou à Tous les éléments de l'arborescence qui sont du même type que l'élément d'arborescence sélectionné.

3. Activez la case à cocher Exécuter l'Assistant Nouvelle tâche, puis cliquez sur Terminer. L'Assistant Nouvelle tâche s'ouvre immédiatement.

4. Dans la page Type de commande, sélectionnez le type de commande que vous souhaitez utiliser pour la nouvelle tâche.

• Commande de menu. Lorsque vous sélectionnez Commande de menu, l'Assistant affiche la liste des commandes disponibles pour ce type d'élément que vous pouvez sélectionner pour la tâche.

• Commande d'environnement. Sélectionnez Commande d'environnement pour exécuter un script, démarrer un programme ou ouvrir une page Web. Lorsque vous sélectionnez Commande d'environnement, vous devez indiquer la ligne de commande et les paramètres de la commande.

• Navigation. Utilisez Navigation pour exécuter une tâche à partir de l'onglet Favoris de la console. Lorsque vous sélectionnez Navigation, l'Assistant affiche la liste des tâches disponibles dans l'onglet Favoris.

5. Indiquez le nom de la tâche, puis sélectionnez une icône pour la représenter. 6. Cliquez sur Terminer.


Atelier C : Examen de la sécurité d'Active Directory et délégation de contrôle


� afficher des autorisations sur les objets Active Directory ; � déléguer le contrôle d'une unité d'organisation.

Conditions préalables Avant de poursuivre, vous devez :

� maîtriser les autorisations Active Directory ; � être en mesure de créer des utilisateurs.

Mise en place de l'atelier Pour réaliser cet atelier, vous devez disposer de l'élément suivant :

• un ordinateur exécutant Microsoft Windows 2000 Server configuré en tant que contrôleur d'un domaine enfant de nwtraders.msft.



Introduction Dans cet atelier, vous allez examiner les autorisations par défaut, puis déléguer à un utilisateur le contrôle sur un objet.


Exercice 1 Étude des autorisations Active Directory

Scénario Northwind Traders se développe, et vous vous apprêtez à modifier la sécurité dans Active Directory. Avant d'apporter toute modification à la sécurité, vous souhaitez vérifier la sécurité par défaut de Windows 2000 pour n'effectuer aucune modification inutile.

Objectif Dans cet exercice, vous allez étudier les paramètres de sécurité par défaut appliqués aux composants Active Directory.

Tâche Détails

Important : Dans cet atelier, ne modifiez aucun paramètre de sécurité dans Active Directory à moins que vous n'y soyez invité. La modification de ces paramètres peut entraîner une perte d'accès à certaines parties d'Active Directory.

1. Accordez le droit Ouvrir une session localement au groupe local Utilisateurs en utilisant le fichier de commandes Lrights.bat. Chemin d'accès : C:\MOC\Win1642b\ Labfiles


b. Cliquez sur Démarrer, puis sur Exécuter et dans la zone Ouvrir, tapez cmd puis cliquez sur OK.

c. À l'invite, tapez : cd C:\MOC\Win1642b\labfiles puis lrights.bat appuyez ensuite sur ENTRÉE.

Ainsi, le droit Ouvrir une session localement sera accordé au groupe local Utilisateurs pour les ordinateurs qui appartiennent

à l'unité d'organisation Domain Controllers.

d. Fermez l'invite.

2. Créez les objets suivants dans Active Directory : • Unité d'organisation :

Securityx • Utilisateurs :

Prénom : Assistantx (où x est égal à 1 si votre numéro de stagiaire est impair ou à 2 s'il est pair)Nom : Ordinateur (où Ordinateur représente le nom de l'ordinateur qui vous a été affecté) Nom d'ouverture de session de l'utilisateur :

[email protected]

(où domaine représente le nom du domaine qui vous a été affecté)

a. À partir du menu Outils d'administration, ouvrez Utilisateurs et ordinateurs Active Directory.

b. Développez domaine.nwtraders.msft si nécessaire (où domaine représente le nom de domaine qui vous est affecté).

c. Cliquez avec le bouton droit sur domaine.nwtraders.msft, pointez sur Nouveau, puis cliquez sur Organizational Unit.

d. Dans la zone Nom, tapez Securityx (où x est égal à 1 si votre numéro de stagiaire est impair ou à 2 s'il est pair), puis cliquez sur OK.

e. Créez un compte d'utilisateur dans l'unité d'organisation Securityx en indiquant les informations suivantes : • Prénom : Assistantx • Nom : Ordinateur (où Ordinateur représente le nom d'ordinateur

qui vous a été affecté) • Nom d'ouverture de session de l'utilisateur :

[email protected] • Mot de passe : password


Tâche Détails

2. (suite) • Mot de passe : password

Prénom : Secretaryx Nom : Ordinateur Nom d'ouverture de session de l'utilisateur :

[email protected]

Mot de passe : password

f. Créez un second compte d'utilisateur dans l'unité d'organisation Securityx en indiquant les informations suivantes : • Prénom : Secretaryx • Nom : Ordinateur • Nom d'ouverture de session de l'utilisateur :

[email protected] • Mot de passe : password

3. Affichez les autorisations par défaut d'Active Directory pour l'unité d'organisation que vous avez créée dans la tâche 1. Notez les résultats.

a. Dans le menu Affichage, cliquez sur Fonctionnalités avancées.

b. Dans l'arborescence de la console, cliquez avec le bouton droit sur Securityx, puis cliquez sur Propriétés.

c. Cliquez sur l'onglet Sécurité.

d. Dans le tableau ci-dessous, énumérez les groupes qui disposent d'autorisations pour l'unité d'organisation Securityx et les autorisations accordées à chaque groupe. Si un compte dispose d'autorisations spéciales, enregistrez-les simplement dans le tableau. Vous devrez faire référence à ces autorisations dans le prochain exercice.

Groupe Autorisation


Tâche Détails

Pourquoi, pour certains groupes, toutes les cases à cocher correspondant aux autorisations sont-elles désactivées ?

Certaines des autorisations par défaut sont-elles héritées du domaine, celui-ci constituant l'objet parent ? Comment pouvez-vous l'indiquer ?

4. Affichez les autorisations spéciales accordées au groupe Opérateurs de compte pour l'unité d'organisation Securityx. Notez les résultats.

a. Dans la boîte de dialogue Propriétés de Securityx, dans l'onglet Sécurité, cliquez sur l'option Avancé.

b. Dans la zone Liste des autorisations de la boîte de dialogue Paramètres du contrôle d'accès pour Securityx, cliquez sur chaque entrée Opérateurs de compte, puis sur Afficher/Modifier.

Quelles autorisations sur les objets sont accordées au groupe Opérateurs de compte? Quelles opérations les membres de ce groupe sont-ils à même d'effectuer dans cette unité d'organisation ?


Tâche Détails

Certains objets de cette unité d'organisation héritent-ils des autorisations qui sont accordées au groupe Opérateurs de compte? Pourquoi ?

4. (suite) c. Fermez toutes les boîtes de dialogue, puis la session.


Exercice 2 Délégation de contrôle

Scénario Vous êtes le responsable informatique de Northwind Traders. L'entreprise se développe et il devient de plus en plus difficile d'effectuer les tâches quotidiennes d'ajout d'utilisateurs et de gestion des unités d'organisation. Vous devez transférer certaines de ces tâches administratives en déléguant à un utilisateur le contrôle d'une unité d'organisation.

Objectif Dans cet exercice, vous allez déléguer le contrôle sur les objets d'une unité d'organisation. Consultez le tableau que vous avez complété dans l'exercice précédent pour répondre aux questions suivantes :

Tâche Détails

1. Testez les autorisations actuelles. Notez les résultats. • Ouvrir une session en tant

que : Assistantx

• Changer l'horaire d'accès pour : Secretaryx Assistantx

a. Ouvrez une session sur le domaine en tant qu'Assistantx avec le mot de passe password


c. Dans l'arborescence de la console, développez votre domaine si nécessaire, puis cliquez sur Securityx.

Quels objets utilisateur s'affichent dans l'unité d'organisation Securityx ?

Quelles autorisations vous permettent d'afficher ces objets ? (Conseil : consultez les réponses que vous avez fournies dans l'exercice précédent).


Tâche Détails

1. (suite) d. Essayez de modifier l'horaire d'accès du compte d'utilisateur Secretaryx.

Y êtes-vous parvenu ? Pourquoi ?

1. (suite) e. Essayez de modifier Horaire d'accès du compte d'utilisateur Assistantx.


1. (suite) f. Fermez Utilisateurs et ordinateurs Active Directory, puis la session.

2. Utilisez l'Assistant Délégation de contrôle pour accorder les autorisations Active Directory de création, suppression et gestion des comptes d'utilisateur : • Déléguez le contrôle de

l'unité d'organisation : Securityx

• au compte d'utilisateur : Assistantx Ordinateur



c. Dans l'arborescence de la console, développez votre domaine si nécessaire.

d. Cliquez avec le bouton droit sur Securityx, puis cliquez sur Délégation de contrôle.

e. Dans l'Assistant Délégation de contrôle, cliquez sur Suivant.

f. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter.

g. Dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes, cliquez sur Assistantx Ordinateur, sur Ajouter, sur OK, puis sur Suivant.

La page Tâches à déléguer s'affiche. Si vous souhaitez déléguer le contrôle uniquement pour certains types de tâches, comme la

gestion des files d'attente d'impression, vous pouvez sélectionner une ou plusieurs tâches prédéfinies.

h. Cliquez sur Crée, supprime et gère les comptes d'utilisateurs, puis sur Suivant.

i. Dans la page Fin de l'Assistant Délégation de contrôle, cliquez sur Terminer.

j. Fermez toutes les fenêtres, puis la session.


Tâche Détails

3. Testez les autorisations déléguées. • Essayez de modifier

l'horaire d'accès des comptes de l'unité d'organisation Securityx

a. Ouvrez une session en tant qu'Assistantx avec le mot de passe password


c. Dans l'arborescence de la console, développez votre domaine, puis cliquez sur Securityx.

d. Essayez de modifier l'horaire d'accès des deux comptes d'utilisateur de l'unité d'organisation Securityx.


3. (suite) e. Essayez de modifier l'horaire d'accès d'un compte d'utilisateur présent dans le conteneur Users.


3. (suite) f. Fermez Utilisateurs et ordinateurs Active Directory, puis la session.


Contrôle des acquis

� Création et gestion d'objets Active Directory

� Gestion de groupes

� Contrôle de l'accès aux objets Active Directory

� Ajout d'attributs d'objet dans le catalogue global

� Délégation du contrôle administratif des objets Active Directory

1. Pour quelle stratégie devez-vous opter lorsque vous utilisez des groupes de domaine local et des groupes globaux ?

2. Quel élément détermine si les utilisateurs peuvent rechercher un objet en utilisant le catalogue global ?

3. Si vous déplacez un objet d'une unité d'organisation vers une autre, quelles sont les conséquences sur les autorisations accordées pour cet objet ?

Objectif de la diapositive Revenir sur les objectifs du module en révisant les points clés.

Introduction Les questions du contrôle des acquis concernent certains des concepts clés traités dans ce module.

Module 5 : Administration d'Active Directory 67

4. Vous souhaitez déléguer à un utilisateur particulier le contrôle administratif de tous les comptes d'ordinateur d'une unité d'organisation. Quelle est la méthode la plus simple pour accorder les autorisations nécessaires ?

5. Vous disposez de l'autorisation Lire pour l'unité d'organisation Sales. Pouvez-vous créer d'autres unités d'organisation dans cette unité Sales ?

6. Contoso, Ltd. a embauché deux représentants, James K. Smith et James P. Smith. La société dispose d'un seul domaine appelé contoso.msft et les comptes d'utilisateur des deux nouveaux employés doivent être créés dans l'unité d'organisation Sales. La stratégie de la société en matière de dénomination de comptes indique que les noms des comptes d'utilisateur sont formés à l'aide de la première lettre du prénom de l'employé suivie des huit premiers caractères de son nom. La deuxième lettre du prénom d'un employé peut être utilisée si nécessaire pour respecter la règle d'unicité des noms d'utilisateur. Notez dans l'espace ci-dessous, pour ces deux employés, le prénom, le nom, le nom complet, le nom principal d'utilisateur et le nom d'ouverture de session avant l'installation de Windows 2000.

Documents

Module 10 : Administration d'Active Directorycsmaniac.free.fr/STRI/cours/L3/Administration%20Syst%E8me/... · Le service d'annuaire Active Directory™ de Microsoft® Windows® 2000