Windows 02 AD GPO

Université Pierre et Marie Curie – Sciences et Technologies
UFR 919 d’Ingénierie
Département de Licence (3) – mention : Informatique
Unité d’Enseignement : LI350-2016nov

Initiation à l’Administration de Systèmes
Systèmes "Windows" – Cours 2 : semaine 15
Active Directory (AD) - Group Policy Object (GPO)
Document (3W) Malika Maoui Henda, Bruno Leseur

( auteur originel : Laurent Gydé )
http://www-licence.ufr-info-p6.jussieu.fr/lmd/licence/2016/ue-lmd/admin-2016nov/
http://www-licence.ufr-info-p6.jussieu.fr/lmd/licence/2016/ue/admin-2016nov/
année 2016-2017, semestre 2

2
Active Directory
3
 AD permet de :
 centraliser
 de structurer
 d’organiser et de contrôler les ressources réseau dans
les environnements Windows 2008
 AD est un annuaire des objets du réseau, il
permet aux utilisateurs :
 de localiser, de gérer et d’utiliser facilement les
ressources
Schéma Active Directory
4
 Le schéma Active Directory stocke :

 la définition de tous les objets d’Active Directory (ex :
nom, prénom pour l’objet utilisateur).
 Il n’y a qu’un seul schéma pour l’ensemble de la

forêt, ce qui permet une homogénéité de
l’ensemble des domaines.
Catalogue global
5
 Le catalogue global contient une partie des

attributs les plus utilisés de tous les objets
Active Directory.
 Il contient aussi les informations nécessaires

pour déterminer l’emplacement de tout objet de
l’annuaire.
Catalogue global
6
 Le premier contrôleur de domaine installé au

sein d’une forêt est automatiquement serveur de
catalogue global.
 Il est possible de configurer d’autres

contrôleurs de domaine en tant que serveur de
catalogue global afin de réguler le trafic.
Active directory
7
 Un chef d'orchestre chargé de la

gestion d'un parc Informatique
Active Directory
8
Active Directory – AD
9
 Depuis Windows 2000, Active Directory est l’annuaire

unique sous Windows pour la gestion des :
 Utilisateurs
 Groupes
 Contacts
 Serveurs
 Ordinateurs
 Imprimantes
 Dossiers partagés
 …
9
L’environnement Active Directory
10
 AD s’inscrit dans un environnement de services

systèmes et réseau complet
 TCP/IP
 DHCP
 DNS
 SNTP
 LDAP/LDIF
 Kerberos/X509
 NTFS
 Les services ci-dessus sont :

 Soit indispensables pour installer AD
 Soit dépendants de l’installation de AD
10
11
 TCP/IP
 Support natif de IPv4 et de IPv6
 Ne peut pas être désinstallé
 Il est toujours possible d’ajouter d’autres protocoles
(NetBeui, NWLINK …)
 DHCP (Dynamic Host Configuration Protocol)

 Récupération automatique des configurations réseau
(IPv4 seulement), notamment l’adresse IP et les
informations de résolution de nom
 Configurable à l’intérieur d’Active Directory
11
12
 DNS (Domain Name System)

 Le service de DNS est obligatoire avec Active Directory
 Il est utilisé pour la résolution des noms
 On peut utiliser le DNS de Windows ou un autre DNS
obligatoirement en mode dynamique
 SNTP (Simple Network Time Protocol)

 Permet la synchronisation des horloges des systèmes
(stockage de l’heure UTC, affichée en tenant compte du
fuseau horaire)
 Impératif pour le protocole d’authentification de Windows
(Kerberos)
12
13
 LDAP (Lightweight Directory Access

Protocol)
 LDAP est un protocole du service d’annuaire utilisé pour

interroger et mettre à jour Active Directory
 LDAP est un standard d’accès à l’annuaire, AD est

compatible LDAPv3
 LDAP permet des requêtes de gestion de la base de données

d’AD pour des recherches, ajouts, modifications et
suppressions d’objets 13
14
 LDIF (LDAP Directory Interchange Format)
 LDIF permet des importations, exportations et

modifications d’Active Directory par fichiers de textes
 Permet de charger AD à partir d’une base de données

externe ou inversement (exemple, gestions des comptes
utilisateurs à partir de la base de données du personnel)
15
 Kerberos
 Protocole d’authentification par défaut depuis Windows
2000 (remplace LM/NTLM utilisé jusqu’à NT4)
 Compatible Kerberos V5
 Authentification mutuelle du client et du serveur
 Adresse du serveur Kerberos utilisé pour l’ouverture de

session extraite du DNS
15
16
 X.509
 Windows Server propose les services de certificats
compatibles X.509
 Renforcement de la sécurité (authentification, intégrité,

confidentialité, non répudiation)
 Utilisable par les autres services

 Authentification par carte à puce
 Chiffrement de fichiers (EFS)
 Chiffrement des données sur le réseau (IPSEC)
La structure logique Active Directory
17
 Forêt
 C’est un ensemble de domaines n’ayant pas le
même nom commun mais partageant un schéma
et un catalogue global commun
 Exemple : upmc.fr et admp6.lan
 Par défaut, les relations d’approbation entre les

domaines au sein d’une forêt sont
17
La structure logique Active
18
Directory
 Plusieurs arbres constituent une forêt, ils doivent
partager :
 Le schéma (modèle de données d’Active Directory)
 La configuration de la forêt (domaine racine de la forêt)
 Le catalogue global (groupes universels)
 Les racines des arbres sont reliées par des relations

d’approbation
La hiérarchie logique Active Directory
19
 Domaine
 Ensemble de ressources et de services utilisant un même

annuaire pour l’authentification et la gestion des accès
(même notion qu’avec Windows NT4)
 Ensemble d’ordinateurs et /ou d’utilisateurs qui

partagent une même base de données d’annuaire
 Un domaine a un nom unique sur le réseau

La hiérarchie logique Active
20
Directory
 Des domaines différents peuvent se communiquer
des informations de sécurité grâce aux relations
d’approbation
 Dans un domaine Windows Server 2012 , tous les

serveurs du domaine (contrôleurs de domaine)
possèdent une copie de l’annuaire AD
 Chaque contrôleur est capable de recevoir ou de

21
 Arbre
 Les domaines sont organisés selon une

structure d’arbre doté de relations
d’approbations
 On ajoute un domaine dans un arbre en le

désignant comme enfant d’un domaine déjà
configuré
22
Directory
 Unité Organisationnelle (OU)
 L’UO est un objet conteneur utilisé pour organiser

les objets au sein du domaine. Il peut contenir
d’autres objets comme :
 Comptes utilisateurs
 Groupes
 Ordinateurs
 Imprimantes
 Autres UO
 ...
23
Directory
 Les OU permettent :
 d’organiser de façon logique les objets de l’annuaire
 de faciliter la délégation de pouvoir selon

l’organisation des objets
 de contrôler l’environnement des utilisateurs et des

ordinateurs grâce à l’application de stratégie de
groupe (GPO)
24
Directory
 Les OU permettent :
 de configurer certaines propriétés au niveau de
l’UO
 Délégation de l’autorité d’administration
 Application de stratégies de groupes
…
25
25
Rôles de maîtres d’opération
26
 Avec Windows NT 4.0, les contrôleurs de domaine

possédaient un schéma maître/esclave (PDC /
BDC)
 Dans un domaine Windows 2000/2008/2012, cette

notion n’existe plus, on parle de contrôleurs de
domaine multi-maîtres.
 Les modifications d’AD peuvent être faites sur

n’importe quel contrôleur de domaine.
27
 Ces exceptions sont nommées <et sont au nombre

de 5 :
 Contrôleur de schéma : C’est le seul contrôleur de

domaine habilité à modifier et à mettre à jour le
schéma.
 Maître d’attribution des noms de domaine : Il

permet d’ajouter ou de supprimer un domaine dans
une forêt.
28
 Emulateur PDC :
 le processus de verrouillage des comptes utilisateurs
 les changements de mots de passe
 toutes les modifications faites sur des objets de
stratégie de groupe
 Maître d’identificateur relatif ou maître RID: Il

distribue des plages d’identificateurs relatifs (RID)
à tous les contrôleurs de domaine afin de générer
les identificateurs de sécurité (SID)…
29
 Maître d’infrastructure : Il permet de mettre à

jour les éventuelles références d’un objet dans les
autres domaines lorsque cet objet est modifié
(déplacement, suppression,…)
 Les deux premiers rôles sont assignés au niveau

de la forêt et les trois derniers au niveau du
domaine.
 Par défaut le premier contrôleur de domaine

d’une nouvelle forêt cumule les 5 rôles.
Structure Physique
30
 Contrôleurs de domaine
 Un contrôleur de domaine est un ordinateur exécutant
Windows Server 2000 / 2008 / 2012 qui stocke un réplica
de l’annuaire
 Il assure l’authentification et l’ouverture des sessions des

utilisateurs, ainsi que les recherches dans l’annuaire
 Un domaine peut posséder un ou plusieurs contrôleurs de

domaine.
Méthodes d’administration
31
 Utilisation d’Active Directory pour la gestion

centralisée
 Active Directory permet à un seul administrateur de
centraliser la gestion et l’administration des
ressources du réseau.
 Active Directory permet aussi d’organiser les objets

de façon hiérarchique grâce aux conteneurs comme
les unités organisationnelles, les domaines ou les
sites.
Les outils d’administration d’Active
Directory
32
 L’administration du service d’annuaire Active

Directory se passe par le biais de différentes
consoles MMC :
Composants Active Directory
33
 Utilisateurs et ordinateurs Active Directory: est

le composant le plus utilisé pour accéder à
l’annuaire.
 Il permet de gérer les comptes d’utilisateurs, les
comptes d’ordinateurs, les fichiers et les
imprimantes partagés, les unités d’organisation …
34
 Sites et Services Active Directory : Ce composant

permet de définir des sites, des liens de sites et de
paramétrer la réplication Active Directory.
35
 Domaines et approbations Active Directory

 Ce composant permet de mettre en place les relations
d’approbations et les suffixes UPN.
 Il propose aussi d’augmenter le niveau fonctionnel d’un
domaine ou d’une forêt.
36
 Schéma Active Directory : Ce composant permet

de visualiser les classes et les attributs de
l’annuaire.
 Pour pouvoir accéder à la console Schéma Active
Directory, il faut dans un premier temps enregistrer
une DLL. Pour cela, il vous faut ouvrir une invite
de commande et taper la commande :
regsvr32 schmmgmt.dll
37
38
 Gestion des Stratégies de Groupe :
 Ce composant permet de centraliser l’administration

des stratégies de groupe d’une forêt
 de vérifier le résultat d’une stratégie de groupe
 de comparer les paramètres de deux stratégies de

groupe
39
40
 ADSI Edit : permet de visualiser l’arborescence

LDAP réelle du service d’annuaire.
 Elle peut s’avérer utile pour lire ou modifier
certains attributs ou certains objets de l’annuaire.
La hiérarchie Active Directory
41
 Exemple de démarrage d’une forêt Active
Directory
li350.local
li350-s01.li350.local
Utilisateurs
ens01.li350.local
ens01-s01.ens01.li350.local Ressources
41
Les pré requis pour installer Active
Directory
42
 Un ordinateur exécutant Windows 2012 Standard

Edition, Enterprise Edition ou Datacenter Edition.
 Attention, le service d’annuaire Active Directory ne
peut pas être installé sur Windows 2012 Server
Web Edition.
 4 Go d’espace libre sur une partition ou un volume
NTFS
 Les paramètres TCP/IP configurés pour joindre un
serveur DNS.
 Des privilèges administratifs suffisants pour créer
un domaine.
Installation ou suppression de Active Directory
43
sur un serveur Windows 2000 et +
 Outil de gestion du serveur ou Dcpromo.exe
 Permet d’installer ou de supprimer Active Directory
 Si la machine est le dernier contrôleur du domaine,

le domaine disparaît et le serveur devient alors un
serveur autonome
 Installation d’AD sur li350-s01.li350.local
44
44
Ajouter le rôle AD Domain
45
Services
Installation d’Active Directory
46
 La première étape consiste à exécuter la

commande dcpromo.
47
 Cocher la case "Utiliser les options avancées"

de manière à avoir un maximum d'options...
48
 un nouveau domaine dans une nouvelle forêt

49
 le compte administrateur local deviendra

administrateur du domaine une fois le service
d'annuaire Active Directory installé
50
 Il faut ensuite définir le nom DNS du domaine

 il n'est pas recommandé d'utiliser un domaine DNS à seul
niveau comme LI350. Mieux vaut utiliser un nom de domaine
à deux niveaux ou plus
51
 Une petite fenêtre apparaît ensuite pendant que

l'installeur explore le réseau pour savoir si le nom
NetBIOS existe déjà.
52
 Etant donné que l'on crée une nouvelle forêt,

l'administrateur doit choisir le niveau fonctionnel
de cette dernière.
53
 La page de l'assistant nous propose d'installer les

rôles suivants :
 Serveur DNS
 Serveur de catalogue global
 Contrôleur de domaine
en lecture seul
54
 Dans mon exemple la case catalogue global est

obligatoirement cochée étant donné qu'il s'agit du
premier DC de la forêt
 Pour la même raison il est impossible de cocher la
case "contrôleur de domaine en lecture seule"
55
 La page de l'assistant est dédiée au choix de

l'emplacement de la base de données, du journal
des transactions et du partage SYSVOL
56
 Une page nous propose d'entrer le mot de passe du

compte de restauration.
57
 La dernière page de l'assistant récapitule toutes les

options sélectionnées. Il ne reste plus qu'à cliquer
sur le bouton "Suivant" pour lancer l'installation.
58
 Dans tous les cas, le redémarrage reste

obligatoire pour que l'annuaire soit fonctionnel.
59
Directory
li350.local
Utilisateurs
ens01.li350.local
ens01-s01.ens01.li350.local Ressources
59
60
Directory – Ajout d’une station
li350.local
Utilisateurs
ens01.li350.local
ens01-s01.ens01.li350.local
station.ens01.li350.local Ressources
60
 Ajout d’une station dans ens01.li350.local
61
61
 Ajout d’une station dans ens01.li350.local (2/9)
62
62
63
63
64
64
65
65
66
66
67
67
68
68
69
69
Approbation Active Directory :
Outil
70
 Notion de mode
 Natif (serveurs et stations uniquement Windows 2008 et
ultérieurs)
 La sécurité est maximale
 Mixte (serveurs ou clients antérieurs à Windows 2008)
 Les fonctionnalités de gestion des groupes sont réduites
Gestion des serveurs et services
71
Ajout d'un nouveau site
Déplacement d'un site

Gestion des serveurs et services
72
 Les ordinateurs sont affectés à un site

en fonction de leur adresse IP
L’organisation physique du réseau dans
Active Directory
 L’utilitaire Sites et Services Active Directory
73
73
Active Directory
74
74
Active Directory
75
75
Base de comptes locale
76
 N’existe pas sur les contrôleurs de domaine

 La base de compte locale est supprimée lors de l’ajout du
rôle Active Directory
 Utilisable sur les serveurs et les stations de travail
 Ne permet qu’un accès aux ressources locales
 Les groupes locaux peuvent contenir des objets

(utilisateurs et groupes) issus d’AD
 Administration par la console de gestion de l’ordinateur

76
Utilisateurs et groupes Active Directory
77
 Base de comptes dupliquée sur l’ensemble des

contrôleurs AD
 Utilisable par toutes les ressources et services du

domaine
 Administration par la console Utilisateurs et

Ordinateurs Active Directory
77
Utilisateurs et groupes
78
 La ligne de commande pour la gestion des comptes

sous Windows Server 2012
 Net user
 Net group
 Permet la gestion des comptes pour la machine

locale et le domaine local
 Ne permet pas de gérer les comptes d’autres

machines ou domaines
78
79
 La commande net user – Exemples

 Afficher la liste de tous les comptes d'utilisateurs pour
l'ordinateur local :
 net user
 Afficher des informations sur le compte d'utilisateur robertf :

 net user robertf
 Ajouter un compte d'utilisateur pour Suzanne Duprez et

l'autoriser à ouvrir une session entre 08:00 et 17:00, du lundi au
vendredi (pas d'espace dans la désignation des heures) avec le
mot de passe obligatoire (suzanned) et le nom complet de
l'utilisateur, tapez :
 netuser suzanned /add /passwordreq:yes /times:lundi-vendredi,8:00-
17:00 /fullname:"Suzanne Duprez" 79
80
 La commande net user - Exemples
 Pourdéfinir l'heure de connexion de johnsw (08:00 à 17:00)

dans la plage 24 heures, tapez :
net user johnsw /time:M-F,08:00-17:00
 Pourdéfinir l'heure de connexion de johnsw (08:00 à 17:00)

dans la plage 12 heures, tapez :
 net user johnsw /time:M-F,8am-5pm
 Pourautoriser marysl à se connecter entre 04:00 et 17:00 le

lundi, entre 13:00 et 15:00 le mardi et entre 08:00 et 17:00 du
mercredi au vendredi, tapez :
 net user marysl /time:L,4:00-17:00;Ma,13:00-15:00;Me-V,8:00-17:00
80
81
 La commande net group - Exemples

 Afficher la liste de tous les groupes figurant sur le serveur local :
 net group
 Ajouter le groupe Cadres à la base de données des comptes

d'utilisateur locale :
 net group Cadres /add
 Ajouter le groupe Cadres à la base de données du domaine :

 net group Cadres /add /domain
 Ajouterles comptes d'utilisateur existants alainbo, fabriced et

isabelb au groupe Cadres sur l'ordinateur local :
 net group Cadres alainbo fabriced isabelb /add
81
82
 La commande net group - Exemples
 Ajouter les comptes d'utilisateur existants alainbo, fabriced

et isabelb au groupe Cadres dans la base de données du
domaine :
 net group Cadres alainbo fabriced isabelb /add /domain
 Afficher les utilisateurs du groupe Cadres :

 net group Cadres
 Ajouter un commentaire à l'enregistrement du groupe

Cadres :
 net group Cadres /comment:"La direction"
82
83
 La ligne de commande sous Windows Server 2012 pour

active directory
 Dsadd Ajoute des objets à l’annuaire
 Dsmod Modifie des attributs spécifiques d’un objet existant
dans l’annuaire
 Dsmove Déplace un objet vers un conteneur
 Dsquery Recherche des objets dans l’annuaire correspondant
à des critères de recherche spécifiés
 Dsget Affiche les propriétés des objets dans l’annuaire
 Dsrm Supprime un objet et/ou toute la sous-arborescence
d’un objet dans l’annuaire
 Possibilité d’agir en local (par défaut) ou sur un domaine
spécifié
 Permet d’agir sur tous les attributs AD
83
84
 La commande dsadd user :
Dsadd user NUUtilisateur [-samid NomSAM] [-upn NPU] [-

fn Prénom] [-mi Initiale][-ln Nom][-display
NomAffiché][-empid IDEmployé][-pwd {Mot_de_passe |
*}][-desc Description] [-memberof Groupe;…][-office
Bureau][-tel NuméroTéléphone][-email
CourrierElectronique][-fax NuméroTélécopie][-iptel
NuméroTéléphoneIP][-webpg PageWeb][-title Titre][-
dept Département][-company Société][-mgr Directeur]
[-hmdir RépertoireBase][-hmdrv LettreLecteur:][-
profile CheminProfil][-loscr CheminScript][-
mustchpwd {yes|no}][-canchpwd {yes|no}] ………………
…………[{-s Serveur | -d Domaine}]
84
Les stratégies de groupes
85
 Une stratégie de groupes est un objet Active

Directory qui va contenir un ensemble de
paramètres.
86
 Ces paramètres vont permettre d’agir sur

l’environnement d’un utilisateur ou d’un ordinateur
en déployant une configuration qui ne sera pas
modifiable
 Une stratégie de groupe peut aussi être appelée GPO

(Group Policy Object)
87
 Cet objet de stratégie de groupe va ensuite être lié à un

conteneur site, un domaine ou une unité
d’organisation.
 Cela va permettre d’appliquer les paramètres de

stratégie de groupe aux objets contenu dans ces
conteneurs.
88
 Une stratégie de groupe peut aussi être appelée GPO
(Group Policy Object)
 Cet objet de stratégie de groupe va ensuite être lié

 à un conteneur site
 un domaine
 une unité d’organisation.
 Cela va permettre d’appliquer les paramètres de

stratégie de groupe aux objets contenu dans ces
conteneurs.
89
 Applicables à différents conteneurs

 Domaines
 Sites
 Unités Organisationnelles (OU)
 A la machine locale
 Pour les utilisateurs et les ordinateurs

(priorité aux stratégies définies sur les ordinateurs en cas de conflit)
 Héritables dans la hiérarchie des conteneurs AD

89
90
 Modèles d’administration
 Accès au bureau
 Barre des tâches
 Panneau de configuration
 Windows update
 Planification
 Sécurité
 Mots de passe
 Audits de sécurité
 Installation automatique de logiciels

90
91
 Scripts (en plus de celui associé au profil)

 Ouverture/Fermeture de session
 Démarrage/Arrêt de l’ordinateur local
 Service d’installation à distance

 Uniquement avec les packages d’installation MSI
 Paramétrage de l’explorateur internet

 Redirection de dossiers
 Mes documents
 Bureau
 … 91
 Mise en place d’une

stratégie de groupe sur
les objets d’une Unité
Organisationnelle
(OU)
92
92
 Configuration de scripts d’ouverture de session 2/5
93
93
94
94
95
95
96
96
Autres paramètres de stratégie
97
 Il y en a plus de 500…
 Attention aux héritages de stratégie entre Unités
d'Organisation
 Une stratégie de haut niveau peut empêcher
l'application d'une autre stratégie
 Voir les stratégies comme un arbre ou chaque
nœud (modification de stratégie) comporte 500
paramètres!
 Faire simple…
98
 Scripts
 Démarrage
 Arrêt
 Stratégie de comptes
 Stratégie de mot de passe
 Conserver l'historique des mots de passe
 Durée de vie maximale du mot de passe
 Durée de vie minimale du mot de passe
 Les mots de passe doivent respecter des exigences de complexité
 Longueur minimale du mot de passe
 Stocker le mot de passe en utilisant le cryptage réversible pour tous les
utilisateurs du domaine
99
 Stratégie de verrouillage du compte

 Durée de verrouillage des comptes
 Délai de réinitialisation du compteur de verrouillages du
compte
 Seuil de verrouillage du compte

100
Stratégie locales
 Stratégie d'audit
 Auditer la gestion des comptes
 Auditer l'accès au service d'annuaire
 Auditer les événements de connexion
 Auditer les événements système
 Auditer les modifications de stratégie
 Auditer l'utilisation des privilèges
101

Attribution des droits utilisateur
 Accéder à cet ordinateur depuis le réseau
 Agir en tant que partie du système d'exploitation
 Ajouter des stations de travail au domaine
 Arrêter le système
 Augmenter la priorité de planification
 Augmenter les quotas
102

Attribution des droits utilisateur
 Charger et décharger des pilotes de périphériques
 Créer des objets globaux
 Créer des objets partagés permanents
 Créer un fichier d'échange
 Forcer l'arrêt à partir d'un système distant
 Générer des audits de sécurité
 Gérer le journal d'audit et de sécurité
103
 Attribution des droits utilisateur (suite)
 Modifier les valeurs d'environnement de microprogrammation
 Modifier l'heure système
 Ouvrir une session en tant que service
 Ouvrir une session localement
 Prendre possession des fichiers ou d'autres objets
 Refuser l'accès à cet ordinateur à partir du réseau
 Refuser les ouvertures de session locales
 Refuser l'ouverture de session en tant que service
 Refuser l'ouverture de session en tant que tâche
 Remplacer un jeton niveau de processus
 Restaurer des fichiers et des répertoires
 Retirer l'ordinateur de la station d'accueil
104
105
106
107
Au cœur de AD
108
 Journalisation (résiste aux coupures secteurs)

 La base de données reste toujours à jour
 La base de données de Active Directory est stockée
dans
c:\winnt\ntds\Ntds.dit
 Les journaux sont dans les .log (format propriétaire)
 Principe de la journalisation
 Ecriture du fichier log
 Ecriture en mémoire
 Confirmation de la transaction

Windows 02 AD GPO

Transféré par

Droits d'auteur :

Formats disponibles

Windows 02 AD GPO

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Windows 02 AD GPO

Transféré par

Droits d'auteur :

Formats disponibles

Université Pierre et Marie Curie – Sciences et Technologies

UFR 919 d’Ingénierie

Département de Licence (3) – mention : Informatique

Unité d’Enseignement : LI350-2016nov

Systèmes "Windows" – Cours 2 : semaine 15

Active Directory (AD) - Group Policy Object (GPO)

Document (3W) Malika Maoui Henda, Bruno Leseur

année 2016-2017, semestre 2

 Le schéma Active Directory stocke :

 Il n’y a qu’un seul schéma pour l’ensemble de la

 Le catalogue global contient une partie des

 Il contient aussi les informations nécessaires

 Le premier contrôleur de domaine installé au

 Il est possible de configurer d’autres

 Un chef d'orchestre chargé de la

 Depuis Windows 2000, Active Directory est l’annuaire

 AD s’inscrit dans un environnement de services

 Les services ci-dessus sont :

 DHCP (Dynamic Host Configuration Protocol)

 DNS (Domain Name System)

 SNTP (Simple Network Time Protocol)

 LDAP (Lightweight Directory Access

 LDAP est un protocole du service d’annuaire utilisé pour

 LDAP est un standard d’accès à l’annuaire, AD est

 LDAP permet des requêtes de gestion de la base de données

 LDIF (LDAP Directory Interchange Format)

 LDIF permet des importations, exportations et

 Permet de charger AD à partir d’une base de données

 Authentification mutuelle du client et du serveur

 Adresse du serveur Kerberos utilisé pour l’ouverture de

 Renforcement de la sécurité (authentification, intégrité,

 Utilisable par les autres services

 Exemple : upmc.fr et admp6.lan

 Par défaut, les relations d’approbation entre les

 Le schéma (modèle de données d’Active Directory)

 La configuration de la forêt (domaine racine de la forêt)

 Le catalogue global (groupes universels)

 Les racines des arbres sont reliées par des relations

 Ensemble de ressources et de services utilisant un même

 Ensemble d’ordinateurs et /ou d’utilisateurs qui

 Un domaine a un nom unique sur le réseau

 Dans un domaine Windows Server 2012 , tous les

 Chaque contrôleur est capable de recevoir ou de

 Les domaines sont organisés selon une

 On ajoute un domaine dans un arbre en le

 L’UO est un objet conteneur utilisé pour organiser

 d’organiser de façon logique les objets de l’annuaire

 de faciliter la délégation de pouvoir selon

 de contrôler l’environnement des utilisateurs et des

 Avec Windows NT 4.0, les contrôleurs de domaine

 Dans un domaine Windows 2000/2008/2012, cette

 Les modifications d’AD peuvent être faites sur

 Ces exceptions sont nommées <et sont au nombre

 Contrôleur de schéma : C’est le seul contrôleur de

 Maître d’attribution des noms de domaine : Il

 Maître d’identificateur relatif ou maître RID: Il

 Maître d’infrastructure : Il permet de mettre à

 Les deux premiers rôles sont assignés au niveau

 Par défaut le premier contrôleur de domaine

 Il assure l’authentification et l’ouverture des sessions des