Utilisateurs et Ordinateurs

Microsoft Active Directory

SUPINFO Official Document

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs et Ordinateurs

Objectifs
A l’issue de ce cours, vous aurez acquis les connaissances
et compétences suivantes :

– Appréhender la gestion des utilisateurs d’un annuaire Active

Directory.
– Appliquer les bonnes pratiques de sécurisation des comptes.
– Comprendre l’importance d’un compte d’ordinateur.

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs et Ordinateurs

Plan de la présentation
– Utilisateurs

– Utilisateurs spéciaux

– Sécurité

– Ordinateurs

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs et Ordinateurs

UTILISATEURS

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs

Types
• Utilisateurs locaux :
– Accès aux ressources locales de l’ordinateur
– Base de données Security Account Manager (SAM)
– Pas de réplication
• Utilisateurs du domaine :
– Comptes centralisés
– Accès aux ressources réseaux
– Haute disponibilité du compte

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs

Création
• Console Utilisateurs et Ordinateurs
• Administrative Center
• Powershell
• CSVDE.exe
– Pas de gestion des mots de passe
• LDIFDE.exe
– Pas de gestion des mots de passe
• Dsadd.exe

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs

Création : Powershell
• Commande classique :
New-ADUser –SamAccountName ‘Name’ –Name ‘Name’[…] –Path
‘Path’ –AccountPassword (ConvertTo-secureString –AsPlainText ‘Password’)
– Enabled $true

• Import avec un fichier CSV :

Import-CSV fichier.csv | foreach {New-ADUser –SamAccountName
$_.SamAccount Name […] –Path $_.Path –AccountPassword (ConvertTo-
secureString –AsPlainText $_.Password) –Enabled $true}

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs

Modèle
• Compte Utilisateur désactivé.
• Propriétés copiées pour un autre utilisateur.
• Possibilité de choisir les attributs qui seront copiés.
– Adresse
– Compte
– Profil
– Organisation
– Membre de

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs

Attributs : Noms
– Nom d’ouverture de session (pre-Windows 2000): SAMAccountName
• Unique dans le domaine
• Limité à 20 caractères
– Nom d’ouverture de session: userPrincipalName(UPN)
• Nom + @ + domaine
• Unique dans la forêt
– Nom ou nom complet: cn (common name)
• Unique dans une unité d’organisation
– Nom affiché: displayName
• Exchange global address list(GAL)

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs

Attribut : SID
• Numéro unique attribué à un
utilisateur.
• Utilisé par les ressources
pour vérifier les droits.

• Récréer un utilisateur avec le

même nom que celui qui a
été supprimé, ne redonne
pas les droits.
© SUPINFO International University – http://www.supinfo.com
 Utilisateurs

Attributs
• Logon Hours
• Log On To
• User must change password at next logon
• User cannot change password
• Password never expires
• Account is disabled
• Store password by using reversible encryption
• Account expires
© SUPINFO International University – http://www.supinfo.com
 Pause Questions/Réponses

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs et Ordinateurs

Exercices
• Démonstration :
– Créer un utilisateur
– Créer un modèle d’utilisateur et déployer un utilisateur à
partir de ce modèle
– Créer un utilisateur avec Powershell
– Présenter les différents attributs des utilisateurs

 Pratique Partie 2.2

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs et Ordinateurs

UTILISATEURS SPÉCIAUX

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs spéciaux

Comptes par défaut

• Administrateur :
– Compte qui a le contrôle total sur le domaine.
– Ne peut pas être supprimé

• Compte Invité :
– Permet un accès temporaire
– Ne peut pas être supprimé
– Désactivé par défaut

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs spéciaux

Comptes de service managés

• Compte qui va être attribué à un service :
– Pool d’application IIS
– Exchange
– SharePoint

• Gestion automatique du mot de passe :

– Actualisation manuelle
– Actualisation automatique tout les 30 jours

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs spéciaux

Comptes de service managés

• Créer un compte de service
New-ADServiceAccount –SAMAccountName ‘Name’ –Path
‘Path’

• Installer un compte de service sur un serveur

Install-ADServiceAccount –Identity ‘Name’

• Associer le service au compte

© SUPINFO International University – http://www.supinfo.com

 Pause Questions/Réponses

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs et Ordinateurs

SÉCURITÉ

© SUPINFO International University – http://www.supinfo.com

 Sécurité

BP : Comptes par défaut

• Administrateur :
– Renommer
– Mot de passe complexe connu que par quelques personnes
– Ne pas l’utiliser pour les tâches d’administration courantes

• Invité
– Renommer
– Mot de passe complexe

© SUPINFO International University – http://www.supinfo.com

 Sécurité

Moindre privilège
• Les utilisateurs se connectent avec le compte qui a le
moins de privilèges possibles.
• Un compte doit avoir juste les droits suffisants pour
les tâches courantes.
• Avoir 2 comptes :
– Un compte standard
– Un compte administrateur
• Utiliser la commande Run As

© SUPINFO International University – http://www.supinfo.com

 Pause Questions/Réponses

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs et Ordinateurs

ORDINATEURS

© SUPINFO International University – http://www.supinfo.com

 Ordinateurs

Comptes
• Sans Active directory :
– Pas de compte ordinateur
– Autorité d’authentification

• Avec Active Directory

– AD est l’autorité d’authentification
– Relation de confiance avec le domaine

© SUPINFO International University – http://www.supinfo.com

 Ordinateurs

Attributs
• Description
• Localisation : recherche d’imprimante
• Géré par : par défaut le premier utilisateur de
l’ordinateur
• Membre de : déploiement d’application, filtrage

© SUPINFO International University – http://www.supinfo.com

 Ordinateurs

Comptes Ordinateurs
• Un compte ordinateur :
– SAMAccountName (Nom d’utilisateur)
– Mot de passe

• Cette entité permet de créer une relation de

confiance et un canal sécurisé entre l’ordinateur et le
contrôleur de domaine.

© SUPINFO International University – http://www.supinfo.com

 Ordinateurs

Ajout au domaine
• A partir de l’ordinateur : changer le domaine ou le
groupe de travail.

• Prérequis :
– Être administrateur local de l’ordinateur
– Avoir la permission dans Active Directory

© SUPINFO International University – http://www.supinfo.com

 Ordinateurs

Sécuriser l’ajout au domaine

• Pré créer les ordinateurs dans l’OU.
• Restreindre les permissions des utilisateurs par
rapport à l’ajout d’ordinateur dans le domaine (par
défaut 10)
• Déléguer les permissions de créer les ordinateurs
seulement aux groupes appropriés.

© SUPINFO International University – http://www.supinfo.com

 Ordinateurs

Container
• Par défaut un ordinateur est ajouté dans un
container.

• B.P : Changer le container par défaut par une OU.

• Organiser les ordinateurs pour une gestion plus facile

© SUPINFO International University – http://www.supinfo.com

 Ordinateurs

Canal sécurisé
• Scénarii avec un canal sécurisé rompu :
– Réinstallation d’un ordinateur. Réintégration et régénération d’un SID.
– Restauration de l’ordinateur avec une sauvegarde ou snapshot.
– Problème entre le mot de passe de l’ordinateur et celui du domaine
• Réparation :
– Console Utilisateurs et Ordinateurs (Reset et rejoindre
l’ordinateur au domaine)
– Powershell :
Test-ComputerSecureChannel -Repair

© SUPINFO International University – http://www.supinfo.com

 Ordinateurs

Offline Domain Join

• Possibilité d’intégrer un ordinateur au domaine sans
communication avec le contrôleur de domaine.

• La relation de confiance entre l’ordinateur et le

domaine se fera dès que la connexion pourra être
établie.

© SUPINFO International University – http://www.supinfo.com

 Pause Questions/Réponses

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs et Ordinateurs

Exercices
• Démonstration :
– Ajouter un ordinateur au domaine
– Pré créer un compte d’ordinateur
– Changer le container par défaut

 Pratique Partie 2.3

© SUPINFO International University – http://www.supinfo.com

 Utilisateurs et Ordinateurs

Fin du module

Merci de votre attention

© SUPINFO International University – http://www.supinfo.com