420-R43-AS

ADMINISTRATION D'UNE INFRASTRUCTURE RESEAUX

Planification, i!l"#ntation #t aint#nanc#
$%&n# inf'a(t'&ct&'# Acti)# Di'#cto'* Mic'o(oft
+in$o,( S#')#' 2003
1
Planification, i!l"#ntation #t aint#nanc#
$%&n# inf'a(t'&ct&'# Acti)# Di'#cto'* Mic'o(oft
+in$o,( S#')#' 2003
-. INTRODUCTION / 0%INFRASTRUCTURE ACTI1E DIRECTOR2
1.1. PRESENTATON DACTVE DRECTORY
1.1.1. Dfinition dActive Directory
1.1.2. Objets Active Directory
1.1.3. Schma Active Directory
1.1.4. Catalo!e lobal
1.1.". #rotocole $DA#
1.2. STRUCTURE LOGQUE DACTVE DRECTORY
1.2.1. $es Domaines
1.2.2. $es %nits doranisation
1.2.3. $es Arborescences
1.2.4. $es for&ts
1.2.". $es r'les de ma(tres do)ration
1.3. STRUCTURE PHYSQUE DACTVE DRECTORY
1.3.1. Contr'le!rs de domaine
1.3.2. Sites et liens de sites
1.4. METHODES DADMNSTRATON DUN RESEAU WNDOWS 2003
1.4.1. %tilisation dActive Directory )o!r la estion centralise
1.4.2. $es o!tils dadministration dActive Directory
1.4.3. *estion de lenvironnement !tilisate!r
1.4.4. Dlation d! contr'le dadministration
2. IMP0EMENTATION D%UNE STRUCTURE DE FORET ET DE DOMAINE ACTI1E
DIRECTOR2
2.1. NSTALLATON DACTVE DRECTORY
2.1.1. $es )r re+!is )o!r installer Active Directory
2.1.2. $e )rocess!s dinstallation dActive Directory
2.1.3. $es ta)es )ost installation
2.2. MPLEMENTATON DU SYSTEME DNS POUR LA PRSE EN CHARGE DACTVE DRECTORY
2.2.1. $e r'le d! Syst,me D-S dans Active Directory
2.2.2. $es .ones D-S intres / Active Directory
2.2.3. $es enreistrements de resso!rces cres lors de linstallation dActive Directory
2.3. LES DFFERENTS NVEAUX FONCTONNELS
2.3.1. $es nivea!0 fonctionnels de domaine
2.3.2. $a!mentation d!n nivea! fonctionnel de domaine
2.3.3. $es nivea!0 fonctionnels de for&t
2.3.4. $a!mentation d!n nivea! fonctionnel de for&t
2.4. LES RELATONS DAPPROBATON
2.4.1. 1ransitivit de la))robation
2.4.2. Direction de la))robation
2.4.3. $es relations da))robations
2
3. IMP0EMENTATION D'UNE STRUCTURE D'UNITE D'OR3ANISATION
3.1. CREATON ET GESTON D'UNTES D'ORGANSATON
3.1.1. #rsentation de la estion des !nits d2oranisation
3.1.2. 3thodes de cration et de estion des !nits d2oranisation
3.2. DELEGATON DU CONTROLE ADMNSTRATF DES UNTES D'ORGANSATON
3.2.1. Sc!rit des objets
3.2.2. Dlation de contr'le
4. IMP0EMENTATION DE COMPTES D'UTI0ISATEURS, DE 3ROUPES ET D'ORDINATEURS
4.1. MPLEMENTATON DE COMPTES DUTLSATEURS
4.1.1. #rsentation d! nom d!tilisate!r )rinci)al
4.1.2. $e 4o!tae des s!ffi0es %#-
4.2. MPLEMENTATON DE COMPTES DE GROUPE
4.2.1. $e ty)e de ro!)e
4.2.2. $5tend!e de ro!)e
4.2.3. Stratie d!tilisation de ro!)e dans !n domaine
4.3. OUTLS DADMNSTRATON ET TACHES ADMNSTRATVES
4.3.1. $es o!tils dadministration
4. IMP0EMENTATION D'UNE STRATE3IE DE 3ROUPE
5.1. CREATON ET CONFGURATON D'OBJETS STRATEGE DE GROUPE
".1.1. #rsentation d!ne stratie de ro!)e
".1.2. Com)osants d2!n objet Stratie de ro!)e
".1.3. *estion des Straties de ro!)e )ar !n contr'le!r de domaine
".1.4. Dfinition des filtres 637
5.2. CONFGURATON DES FREQUENCES D'ACTUALSATON ET DES PARAMETRES DE STRATEGE DE
GROUPE
".2.1. #lanification de la))lication des straties de ro!)e
".2.2. 8r+!ence dact!alisation des )aram,tres de stratie de ro!)e
".2.3. A))lication des straties de ro!)e lors de conne0ions rsea! lentes
5.3. GESTON DES OBJETS STRATEGE DE GROUPE
".3.1. Co)ie d!ne stratie de ro!)e
".3.2. Sa!vearde et resta!ration d!ne stratie de ro!)e
".3.3. 7m)ortation d!ne stratie de ro!)e
5.4. DELEGATON DU CONTROLE ADMNSTRATF DE LA STRATEGE DE GROUPE
".4.1. Dlation dadministration des straties de ro!)e
".4.2. Dlation dadministration de filtres 637
5. DEP0OIEMENT ET 3ESTION DES 0O3ICIE0S A 0'AIDE D'UNE STRATE3IE DE 3ROUPE
6.1. PRESENTATON DE LA GESTON DU DEPLOEMENT DE LOGCELS
6.2. PRESENTATON DE WNDOWS NSTALLER
6.3. DEPLOEMENT DE LOGCELS
9.3.1. Affectation de loiciels
9.3.2. #!blication de loiciels
9.3.3. %tilisation des modifications de loiciel
9.3.4. Cration de catories de loiciels
9.3.". Association de0tensions de noms de fichiers / des a))lications
9.3.9. 3ise / nivea! de loiciels d)loys
9.3.:. 4ed)loiement de loiciels
9.3.;. S!))ression de loiciels d)loys
3
6. IMP0EMENTATION DE SITES POUR 3ERER 0A REP0ICATION ACTI1E DIRECTOR2.
7.1. FONCTONNEMENT DE LA DUPLCATON
7.2. RESOLUTON DES CONFLTS DE DUPLCATON
7.3. OPTMSATON DE LA DUPLCATON
7.4. TOPOLOGE DE DUPLCATON
:.4.1. #artitions dann!aire
:.4.2. 1o)oloie de d!)lication
:.4.3. *nration de to)oloie de d!)lication a!tomati+!e
7.5. UTLSATON DES STES POUR OPTMSER LA DUPLCATON
:.".1. #rsentation des sites
:.".2. D!)lication intrasite
:.".3. D!)lication intersite
:.".4. -otion de co<t
:.".". Serve!r t&te de )ont
7.6. PROTOCOLES DE DUPLCATON
7. IMP0EMENTATION DU P0ACEMENT DES CONTRO0EURS DE DOMAINE
8.1. LE ROLE DU SERVEUR DE CATALOGUE GLOBAL
;.1.1. Dfinition d! serve!r de catalo!e lobal
;.1.2. $im)ortance d! catalo!e lobal dans le )rocess!s da!thentification
;.1.3. $im)ortance d! catalo!e lobal dans le )rocess!s da!torisation
;.1.4. $a mise en cache de la))artenance a! ro!)e !niversel
8. 3ESTION DES MAITRES D'OPERATIONS
9.1. PRESENTATON DES MATRES DOPERATONS
=.1.1. 4'le d! contr'le!r de schma
=.1.2. 3a(tre dattrib!tion de nom de domaine
=.1.3. 5m!late!r C#D >#DC?
=.1.4. 3a(tre 47D
=.1.". 3a(tre dinfrastr!ct!re
9.2. TRANSFERT ET PRSE DE ROLES DE MATRES DOPERATONS
=.2.1. $a dfaillance de l5m!late!r de C#D
=.2.2. Dfaillance d! ma(tre dinfrastr!ct!re
=.2.3. Dfaillance des a!tres ma(tres do)rations
-0. MAINTENANCE D'ACTI1E DIRECTOR2
10.1. ENTRETEN DE LA BASE DE DONNEES ACTVE DRECTORY
1@.1.1. 8ichiers dActive Directory
1@.1.2. -ettoyae de la mmoire
1@.1.3. 4esta!ration dActive Directory
4
Module 1. Introduction linfrastructure
Active Directory
1.1. Prsentation dActive Directory
Active Directory permet de centraliser, de structurer, dorganiser et de contrler les ressources
rseau dans les environnements Windows 2000/2003. La structure Active Directory permet une
dlgation de ladministration trs fine pouvant tre dfinie par types dobjets.
1.1.1. Dfinition dActive Directory
Active Directory sert dannuaire des objets du rseau, il permet aux utilisateurs de localiser, de
grer et dutiliser facilement les ressources.
l permet de raliser la gestion des objets sans liens avec la disposition relle ou les protocoles
rseaux employs. Active Directory organise lannuaire en sections, ce qui permet de suivre le
dveloppement dune socit allant de quelques objets des millions dobjets.
Combin aux stratgies de groupes, Active directory permet une gestion des postes distants de
faon compltement centralise.
1.1.2. Objets Active Directory
Active Directory stocke des informations sur les objets du rseau. l en existe de plusieurs types :
serveurs
domaines
sites
utilisateurs
ordinateurs
imprimantes
.
Avec chaque objet, sont stockes des informations et des proprits qui permettent
deffectuer par exemple des recherches plus prcises (emplacement dune imprimante).
1.1.3. c!"a Active Directory
Le schma Active Directory stocke la dfinition de tous les objets dActive Directory (ex : nom,
prnom pour lobjet utilisateur).
l ny a quun seul schma pour lensemble de la fort, ce qui permet une homognit de
lensemble des domaines.
Le schma comprend deux types de dfinitions :
0#( cla((#( $%o9:#t( : Dcrit les objets dActive Directory quil est possible de crer.
Chaque classe est un regroupement dattributs.
5
0#( att'i9&t( : ls sont dfinis une seul fois et peuvent tre utiliss dans plusieurs classes (ex :
Description).
Le schma est stock dans la base de donnes dActive Directory ce qui permet des
modifications dynamiques exploitables instantanment.
1.1.#. $atalo%ue %lobal
Le catalogue global contient une partie des attributs les plus utiliss de tous les objets Active
Directory. l contient les informations ncessaires pour dterminer lemplacement de tout objet de
lannuaire.
Le catalogue global permet aux utilisateurs deffectuer 2 tches importantes :
Trouver des informations Active Directory sur toutes les forts, quel que soit lemplacement des
ces donnes.
Utiliser des informations dappartenance des groupes universels pour ouvrir une session sur
le rseau.
Un serveur de catalogue global est un contrleur de domaine qui conserve une copie du
catalogue global et peut ainsi traiter les requtes qui lui sont destines. Le premier contrleur de
domaine est automatiquement le serveur de catalogue global. l est possible de configurer
dautres contrleurs de domaine en serveur de catalogue global afin de rguler le trafic.
$a!thentification do!vert!re de session ne )e!t se faire +!e s!r !n contr'le!r de domaine.
1.1.&. Protocole 'DAP
LDAP (Lightweight Directory Access Protocol) est un protocole du service dannuaire utilis pour
interroger et mettre jour Active Directory.
Chaque objet de lannuaire est identifi par une srie de composants qui constituent son chemin
daccs LDAP au sein dActive Directory (CN=Loc THOBOS, OU=Direction, DC=labo-microsoft,
DC=lan).
DC : Composant de domaine (lan, com, labo-microsoft, .)
OU : Unit dorganisation (contient des objets)
CN : Nom usuel (Nom de lobjet)
Les chemins daccs LDAP comprennent les lments suivants :
0#( no( &ni;&#( : le nom unique identifie le domaine dans lequel est situ lobjet, ainsi que
son chemin daccs complet (ex : CN=Brahim NEDJM, OU=Direction, DC=labomicrosoft,
DC=lan)
0#( no( &ni;&#( '#latif( : partie du nom unique qui permet didentifier lobjet dans son
conteneur (ex : Brahim NEDJM).
1.2. tructure lo%i(ue dActive Directory
La structure logique dActive Directory offre une mthode efficace pour concevoir une hirarchie.
Les composants logiques de la structure dActive Directory sont les suivants :
6
1.2.1. 'es Do"aines
Unit de base de la structure Active Directory, un domaine est un ensemble dordinateurs et/ou
dutilisateurs qui partagent une mme base de donnes dannuaire. Un domaine a un nom
unique sur le rseau.
Dans un environnement Windows 2000/2003, le domaine sert de limite de scurit. Le rle dune
limite de scurit est de restreindre les droits dun administrateur ou de tout autre utilisateur avec
pouvoir uniquement aux ressources de ce domaine et que seuls les utilisateurs explicitement
promus puissent tendre leurs droits dautres domaines.
Dans un domaine Windows 2000/2003, tous les serveurs maintenant le domaine (contrleurs de
domaine) possdent une copie de lannuaire dActive Directory. Chaque contrleur de domaine
est capable de recevoir ou de dupliquer les modifications de lensemble de ses homologues du
domaine.
1.2.2. 'es )nits dor%anisation
Une unit dorganisation est un objet conteneur utilis pour organiser les objets au sein du
domaine. l peut contenir dautres objets comme des comptes dutilisateurs, des groupes, des
ordinateurs, des imprimantes ainsi que dautres units dorganisation.
Les units dorganisation permettent dorganiser de faon logique les objets de lannuaire (ex :
reprsentation physique des objets ou reprsentation logique).
Les units dorganisation permettent aussi de faciliter la dlgation de pouvoir selon
lorganisation des objets.
1.2.3. 'es Arborescences
Le premier domaine install est le domaine racine de la fort. Au fur et mesure que des
domaines lui sont ajouts, cela forme la structure de larborescence ou la structure de la fort,
selon les exigences pour les noms de domaine.
7
Une a'9o'#(c#nc# est un ensemble de domaines partageant un nom commun. Par exemple,
supinfo.lan est le domaine parent du domaine paris.supinfo.lan et du domaine
martinique.supinfo.lan.
La relation dapprobation entre un domaine enfant et son domaine parent est de type
bidirectionnel transitif.
Une relation bidirectionnelle permet deux domaines de sapprouver mutuellement. Ainsi le
domaine A approuve le domaine B et le domaine B approuve le domaine A.
On dispose de trois domaines nomms A, B et C. A approuve B et B approuve C. La relation
dapprobation transitive implique donc que A approuve C.
1.2.#. 'es for*ts
Une fo'<t est un ensemble de domaines (ou darborescences) nayant pas le mme nom
commun mais partageant un schma et un catalogue global commun. Par exemple, une mme
fort peut rassembler deux arborescences diffrentes comme laboms.com et supinfo.lan.
8
Par dfaut, les relations entre les arborescences ou les domaines au sain dune fort sont des
relations dapprobation bidirectionnelles transitives. l est possible de crer manuellement des
relations dapprobation entre deux domaines situs dans deux forts diffrentes. De plus
Windows Server 2003 propose un niveau fonctionnel permettant de dfinir des relations
dapprobations entre diffrentes forts.
1.2.&. 'es r+les de "a,tres do-ration
Avec Windows NT 4.0, les contrleurs de domaine suivent un schma matre/esclave. Ainsi n
distingue les contrleurs de domaine primaires ou PDC (Primary Domain Controler) accessibles
en lecture/criture et les contrleurs de domaine secondaires ou BDC (Backup Domain
Controler).
Dans un domaine Windows 2000/2003, cette notion nexiste plus, on parle de contrleurs de
domaine multi-matres. En effet, les modifications dActive Directory peuvent tre fates sur
nimporte quel contrleur de domaine. Cependant, il existe des exceptions pour lesquelles les
modifications sont ralises sur un contrleur de domaine spcifiques. Ces exceptions sont
nommes rles de matre dopration et sont au nombre de cinq :
Contrleur de schma : Cest le seul contrleur de domaine habilit modifier et mettre jour
le schma.
Matre dattribution des noms de domaine : l permet dajouter ou de supprimer un domaine dans
une fort.
Emulateur PDC : l ajoute la compatibilit avec les BDC sous Windows NT 4.0.
Matre didentificateur relatif ou matre RD : l distribue des plage didentificateurs relatif (RD)
tous les contrleurs de domaine pour viter que deux objets diffrents possdent le mme RD.
Matre dinfrastructure : l permet de mettre jour les ventuelles rfrences dun objet dans les
autres domaines lorsque cet objet est modifi (dplacement, suppression,.).
Les deux premiers rles sont assigns au niveau de la fort et les trois derniers au niveau du
domaine.
Ainsi pour chaque domaine cre dans une fort, il faut dfinir le ou les contrleurs de domaine
qui auront les rles mulateur PDC, matre RD et matre dinfrastructure.
Par dfaut le premier contrleur de domaine dune nouvelle fort cumule les cinq rles.
1.3. tructure P!ysi(ue dActive Directory
Dans Active Directory, la structure logique et la structure physique sont distinctes. La structure
physique permet doptimiser les changes dinformations entre les diffrentes machines en
fonction des dbits assurs par les rseaux qui les connectent.
1.3.1 $ontr+leurs de do"aine
Un contrleur de domaine est un ordinateur excutant Windows 2000 Server ou Windows
2003 Server qui stocke un rpliqua de lannuaire. l assure la propagation des modifications faites
sur lannuaire. l assure lauthentification et louverture des sessions des utilisateurs, ainsi que les
recherches dans lannuaire.
Un domaine peut possder un ou plusieurs contrleurs de domaine. Dans le cas dune socit
constitue de plusieurs entits disperses gographiquement, on aura besoin dun contrleur de
domaine dans chacune de ses entits.
9
1.3.2. Sit#( #t li#n( $# (it#(
Un site est une combinaison dun ou plusieurs sous rseaux connects entre eux par une liaison
haut dbit fiable (liaison LAN). Dfinir des sites permet Active Directory doptimiser la
duplication et lauthentification afin dexploiter au mieux les liaisons les plus rapides.
En effet, les diffrents sites dune entreprise sont souvent relis entres eux par des liaisons bas
dbit et dont la fiabilit est faible (liaisons WAN). La cration de liens de sites permet de prendre
en compte la topologie physique du rseau pour les oprations de rplication. Un lien de site
avec des paramtres spcifiques. Ces paramtres peuvent prendre en compte le cot de la
liaison, la planification ainsi que lintervalle de temps entre deux rplications.
Dans lexemple ci-contre, on dispose de deux site : Paris et Martinique. Ces deux sites sont relis
par une liaison WAN proposant une bande passante de 128kb/s. A lintrieur du site Paris, les
contrleurs de domaine sont interconnects entre eux par le biais dun commutateur gigabit (avec
une bande passante de 1000 Mb/s).
En crant un lien de site, il est possible forcer la rplication entre les deux sites seffectuer
toutes les 90 minutes uniquement entre 20 heures et 6 heures.
La rplication Active Directory peut utiliser deux protocoles diffrents :
P pour les liaisons intra site.
RPC pour les liaisons inter site.
SMTP pour les liaisons inter site.
1
1.#. Mt!odes dad"inistration dun rseau .indo/s
2003
1.#.1 )tilisation dActive Directory -our la %estion centralise
Active Directory permet un seul administrateur de centraliser la gestion et ladministration des
ressources du rseau. Comme il contient des informations sur tous les objets et leurs attributs, la
recherche dinformations se fait sur lensemble de la fort.
Active Directory permet aussi dorganiser les objets de faon hirarchique grce aux conteneurs
comme les units organisationnelles, les domaines ou les sites. l est ainsi possible dappliquer
certains paramtres un ensemble dordinateurs et dutilisateurs.
1.#.2 'es outils dad"inistration dActive Directory
Ladministration du service dannuaire Active Directory se passe par le biais de diffrentes
consoles MMC :
Utilisateurs et ordinateurs Active Directory : Cest le composant le plus utilis pour accder
lannuaire. l permet de grer les comptes dutilisateurs, les comptes dordinateurs, les fichiers et
les imprimantes partags, les units dorganisation .
Sites et Services Active Directory : Ce composant permet de dfinir des sites, des liens de sites
et de paramtrer la rplication Active Directory.
Domaines et approbations Active Directory : Ce composant permet de mettre en place les
relations dapprobations et les suffixes UPN. l propose aussi daugmenter le niveau fonctionnel
dun domaine ou dune fort.
Schma Active Directory : Ce composant permet de visualiser les classes et les attributs de
lannuaire.
Gestion des Stratgies de Groupe : Ce composant permet de centraliser ladministration des
stratgies de groupe dune fort, de vrifier le rsultat dune stratgie de groupe ou bien encore
de comparer les paramtres de deux stratgies de groupe. Ce composant nest pas disponible
sur le CD-ROM de Windows 2003 Server, il doit tre tlcharg sur le site de Microsoft.
ADS Edit : Ce composant permet de visualiser larborescence LDAP relle du service
dannuaire. Elle peut savrer utile pour lire ou modifier certains attributs ou certains objets de
lannuaire. Elle permet aussi dattribuer des permissions sur les objets de lannuaire avec une
granularit plus fine. En outre, elle se rvle quasi indispensable pour dvelopper une application
accdant aux donnes contenues dans lannuaire. Cette console doit tre installe avec les outils
de support situs sur le CD-ROM de Windows 2003 Server.
En complment des divers composants logiciels enfichables numrs ci-dessus, divers outils
sont mis la disposition de ladministrateur pour grer Active Directory :
Lpc.exe : Cet outil permet denvoyer manuellement des requtes LDAP vers nimporte quel
annuaire LDAP (Active Directory, NDS, Open LDAP,.). l peut tre utilis pour vrifier la
connectivit entre une machine et lannuaire ou bien pour lister des informations bien spcifiques
dans une partie de lannuaire. LPC affiche lintgralit des donnes changes entre le poste
client et le service dannuaire. l est disponible avec les outils de support situs sur le CD-ROM
de Windows 2003 Server.
Dsadd, dsmod, dsrm, dsget, dsquery, dsmove : Ces outils en ligne de commande permettent
respectivement dajouter, de modifier, de supprimer, de lister ou de dplacer des objets dans
lannuaire. ls sont utiliss dans des scripts afin dautomatiser certaines tches
administrativement lourdes.
0$if$# = Loutil en ligne de commande LDFDE (LDAP Data nterchange Format
Directory Export) permet dimporter des donnes partir dun fichier texte vers Active
Directory ou bien dexporter des donnes partir dActive Directory vers un fichier texte.
11
C()$# : Loutil en ligne de commande CSVDE est utilis pour importer des comptes
dutilisateurs partir dun fichier texte vers Active Directory.
+S> : WSH pour Windows Scripts Host est un environnement permettant dexcuter des
scripts en VBS ou en JScript.sur une plateforme Windows 9x ou NT.
1.#.3 1estion de lenvironne"ent utilisateur
A laide des stratgies de groupe de Windows 2000/2003, il est possible de restreindre les
actions des utilisateurs directement partir du serveur.
Contrle des actions que peuvent raliser les utilisateurs.
Centralisation de la gestion de linstallation des applications et des services.
Configuration des donnes utilisateur pour suivre les utilisateurs.
1.#.# Dl%ation du contr+le dad"inistration
La hirarchie mise en place au sein dActive Directory permet une dlgation fine toujours base
sur les conteneurs permettant la dlgation sur un ensemble dfini de machines et dutilisateurs.
12
Module 2. I"-l"entation dune structure de
for*t et de do"aine Active Directory
Un domaine dsigne lunit administrative de base dun rseau Windows 2000/2003.
Le premier domaine dune nouvelle fort cr dans Active Directory reprsente le domaine racine
de lensemble de la fort.
La cration dun domaine deffectue laide de la commande dcpromo. Lassistant dinstallation
dActive Directory vous guide alors dans la cration dun nouveau domaine ou dans la cration
dun contrleur de domaine supplmentaire dans un domaine Windows 2000/2003 existant.
2.1. Installation dActive Directory
2.1.1. 'es -r re(uis -our installer Active Directory
Voici la configuration requise pour pouvoir installer Active Directory :
Un ordinateur excutant Windows 2003 Standard Edition, Enterprise Edition ou
Datacenter Edition. Attention, le service dannuaire Active Directory ne peut pas tre
install sur Windows 2003 Server Web Edition.
250 Mo despace libre sur une partition ou un volume NTFS
Les paramtres TCP/P configur pour joindre un serveur DNS
Un serveur DNS faisant autorit pour grer les ressources SRV
Des privilges administratifs suffisants pour crer un domaine
Vous pouvez afficher les serveurs DNS faisant autorit pour un domaine donn en tapant la
commande n(loo?&! -t*!#@n( no.$&.$oain#.
2.1.2. 'e -rocessus dinstallation dActive Directory
Lassistant dinstallation ralise diverses tches successives :
Dmarrage du protocole de scurit et dfinition de la scurit
Cration des partitions Active Directory, de la base de donnes et des fichiers journaux
Cration du domaine racine de la fort
Cration du dossier SYSVOL
Configuration de lappartenance au site du contrleur de domaine
Activation de la scurit sur le service dannuaire et sur les dossiers de rplication de
fichiers.
Activation du mot de passe pour le mode de restauration
2.1.3. 'es ta-es -ost installation
Une fois que linstallation dActive Directory termine, il faut vrifier la prsence et le bon
fonctionnement du service dannuaire. Cela passe par plusieurs tapes :
Contrler la cration du dossier SYSVOL et de ses partages
Vrifier la prsence de la base de donne dannuaire et des fichiers journaux
Contrler la structure Active Directory par dfaut
13
Analyser les journaux dvnements
2.2. I"-l"entation du syst2"e D3 -our la -rise en
c!ar%e dActive Directory
Les infrastructures Windows 2000/2003 intgrent le systme DNS (Domain Name Service) et le
service dannuaire Active Directory.
Ces deux lments sont lis: En effet, le systme DNS est un pr requis pour installer Active
Directory. Ces deux composants utilisent la mme structure de noms hirarchique afin de
reprsenter les domaines et les ordinateurs sous forme dobjets Active Directory ou bien sous
forme de domaines DNS et denregistrement de ressources.
2.2.1. 'e r+le du yst2"e D3 dans Active Directory
Le systme DNS fournit les principales fonctions ci-dessous sur un rseau excutant Active
Directory :
R"(ol&tion $# no( = le systme DNS rsout les noms de machines en adresses P.
Par exemple, un ordinateur nomm labo-1 dsirant se connecter un autre ordinateur
nomm labo-2 enverra une requte au serveur DNS qui lui renverra ladresse P de labo-
2. Le systme DNS peut aussi effectuer une rsolution de nom inverse, c'est--dire
fournir le nom dune machine partir de ladresse P qui lui est communique.
Con)#ntion $# $"noination = Active Directory emploie les conventions de
dnomination du systme DNS. Ainsi, microsoft.supinfo.com peut tre un nom de
domaine DNS et/ou un nom de domaine Windows 2000.
0ocali(ation $#( co!o(ant( !A*(i;&#( $%Acti)# Di'#cto'* = Le systme DNS
identifie les contrleurs de domaine par rapport aux services spcifiques quils proposent
comme lauthentification dune connexion ou la recherche dinformations dans Active
Directory.
Lors de louverture dune session, une machine cliente doit sadresser un contrleur de
domaine, seul capable de lauthentifier. Le systme DNS pourra lui fournir lemplacement de lun
de ces contrleurs de domaine.
2.2.2. 'es 4ones D3 int%res Active Directory
Contrairement aux zones DNS classiques qui stockent les enregistrements de ressources dans
des fichiers, les zones DNS intgres Active Directory stockent les enregistrements de
ressources directement dans le service d'annuaire Active Directory.
Seules les zones primaires et les zones de stub peuvent tre intgres Active Directory. De
plus, seuls les contrleurs de domaine jouant aussi le rle de serveur DNS peuvent hberger des
zones intgres Active Directory.
Les zones DNS intgres Active Directory sont intressantes puisqu'elles permettent de
renforcer la scurit du processus de rsolution de noms de diverses manires :
Les zones intgres Active Directory peuvent tre dupliques sur tous les contrleurs
de domaine.
Cela permet d'assurer la tolrance de panne, puisque si un contrleur de domaine
connat une dfaillance, alors la rsolution de noms sera toujours assure.
L'intgration Active Directory scurise les transactions entres les serveurs DNS. En
effet, les zones DNS intgres au service d'annuaire utilisent le mcanisme de rplication
Active Directory qui s'avre plus scuris que les changes AXFR et XFR raliss entre
des serveurs DNS utilisant des zones standard.
14
!es "ones int#gr#es $ %cti&e 'irector( permettent de s#curiser les mises $ )ours
automatiques des ordinateurs clients *seuls les ordinateurs clients #quip#s de +indo,s
2000/XP/2003 peuvent faire des mises jour automatiques). En effet, si les mises jours
automatiques sont actives, seuls les ordinateurs clients membres du domaine peuvent
mettre jour automatiquement leurs enregistrements A et PTR.
2.2.3. 'es enre%istre"ents de ressources cres lors de linstallation
dActive Directory
Lors de linstallation dActive Directory, la structure de la zone DNS de recherche directe est
modifie. Un certain nombre de sous domaines et denregistrements de ressources sont ajouts.
l convient de vrifier la prsence de ces enregistrements la fin du processus dinstallation
Active
Directory.
Les sous domaine Btc!, B&$! et B(it#( contiennent les enregistrements SRV faisant rfrences
tous les contrleurs de domaine de la fort.
Ce sont ces enregistrements qui permettent aux ordinateurs clients de connatre lemplacement
des contrleurs de domaine. De plus ces enregistrements sont aussi utiliss par le processus de
rplications.
Le sous domaine B(t(c permet notamment de trouver les contrleurs de domaine ayant un rle
de matre dopration (exemple : mulateur PDC).
2.3. 'es diffrents niveau5 fonctionnels
Le niveau fonctionnel dun domaine ou dune fort dfinit lensemble des fonctionnalits
supportes par le service dannuaire Active Directory dans ce domaine ou dans cette fort.
2.3.1. 'es niveau5 fonctionnels de do"aine
Le niveau fonctionnel par dfaut dun domaine est Windows 2000 mixte. l existe deux autres
niveaux fonctionnels disponibles sous Windows 2003 Server. Voici leurs caractristiques :
+in$o,( 2000 iCt# = supporte les groupes universels et les imbrications de groupes
+in$o,( 2000 natif = supporte les groupes de conversion et lhistorique SD
+in$o,( S#')#' 2003 = supporte le changement du nom dun contrleur de domaine, la
mise jour du cachet d'ouverture de session, le numro de version des cls Kerberos
KDC et un mot de passe utilisateur sur l'objet netOrgPerson.
15
2.3.2. 'au%"entation dun niveau fonctionnel de do"aine
l est possible daugmenter le niveau fonctionnel dun domaine. Cette opration se ralise dans la
console Domaines et approbations Active Directory (accessible en tapant domain.msc dans la
boite de dialogue excuter) ou bien dans la console Utilisateurs et ordinateurs Active Directory
(accessible en tapant dsa.msc dans la boite de dialogue excuter). Pour raliser cette opration,
vous devez tre membre du groupe administrateurs du domaine.
Avant daugmenter le niveau fonctionnel dun domaine, il est ncessaire de vrifier que les
contrleurs de domaines excutent le systme dexploitation requis. En effet, une fois le niveau
fonctionnel augment, il est impossible de revenir en arrire sans dsinstaller le service
dannuaire sur lensemble des contrleurs de domaine du domaine. Voici les la liste des
systmes dexploitation utilisables pour chaque niveau fonctionnel :
+in$o,( 2000 iCt# = contrleurs de domaine excutant Windows NT 4.0, 2000 Server
ou 2003 Server.
+in$o,( 2000 natif = contrleurs de domaine excutant Windows 2000 Server ou 2003
Server.
+in$o,( S#')#' 2003 = contrleurs de domaine excutant Windows 2003 Server
uniquement.
Ainsi, pour augmenter le niveau fonctionnel dun domaine vers le niveau Windows Server 2000
natif, il faudra imprativement effectuer une mise jour du systme dexploitation de tous
contrleurs de domaine du domaine ou de la fort fonctionnant avec Windows NT 4.0 ou une
version antrieure.
De plus, une fois le niveau fonctionnel du domaine augment, les contrleurs de domaine
excutant des versions antrieures du systme d'exploitation ne peuvent pas tre introduits dans
le domaine. Par exemple, si vous augmentez le niveau fonctionnel du domaine Windows
Server 2003, les contrleurs de domaine excutant Windows 2000 Server ne peuvent pas tre
ajouts ce domaine.
2.3.3. 'es niveau5 fonctionnels de for*t
Le niveau fonctionnel d'une fort active des fonctionnalits spcifiques dans tous les domaines
de cette fort. Voici les trois niveaux fonctionnels disponibles pour une fort ainsi que la liste des
systmes dexploitations utilisables pour chaque niveau :
+in$o,( 2000 Dni)#a& !a' $"fa&tE= contrleurs de domaine excutant Windows NT
4.0, 2000 Server ou 2003 Server.
+in$o,( S#')#' 2003 !'o)i(oi'# = contrleurs de domaine excutant Windows NT 4.0
ou 2003 Server.
+in$o,( S#')#' 2003 = contrleurs de domaine excutant Windows 2003 Server
uniquement.
Les niveaux Windows 2000 et Mode fort provisoire Windows Server 2003 ne proposent aucunes
fonctions spciales au niveau de la fort. En revanche, le niveau Windows Server 2003 met en
place les avantages suivants :
Catalogue global de rglage de la rplication
Objets schma dfunts
Approbation de fort
Rplication de valeur lie
Changement du nom de domaine
16
Algorithmes de rplication avancs
Classes auxiliaires dynamiques
Modification de la classe de l'objet netOrgPerson
Frquence de rplication intrasite de 15 secondes pour les contrleurs de domaine
Windows Server 2003 mis niveau partir de Windows 2000
2.3.#. 'au%"entation dun niveau fonctionnel de for*t
Lorsque tous les domaines dune fort ont le mme niveau fonctionnel, il est possible
daugmenter le niveau fonctionnel de la fort. Seul un membre du groupe administrateurs de
lentreprise peut raliser cette opration.
Une fois le niveau fonctionnel de la fort augment, les contrleurs de domaine excutant des
versions antrieures du systme d'exploitation ne peuvent pas tre introduits dans la fort. Par
exemple, si vous augmentez le niveau fonctionnel de la fort Windows Server 2003, les
contrleurs de domaine excutant Windows 2000 Server ne peuvent pas tre ajouts cette
fort.
Dans le cadre de la migration vers Windows 2003 Server dun domaine exclusivement compos
de machines sous Windows NT 4.0, il est possible dutiliser le niveau Windows 2003 Server
provisoire.
Ce niveau ne prend pas en charge les contrleurs de domaine sous Windows 2000 Server.
2.#. 'es relations da--robation
Les relations dapprobations permettent un utilisateur dun domaine donn daccder aux
ressources de son domaine, mais aussi dautres domaines (les domaines approuvs). Les
relations dapprobations se diffrencient de par leur type (transitif ou non transitif) et de par leur
direction (unidirectionnel entrant, unidirectionnel sortant, bidirectionnel).
2.#.1. 6ransitivit de la--robation
Soient trois domaines distincts relis entres eux par les deux relations suivantes :
Le domaine A approuve directement le domaine B. Ainsi un utilisateur du domaine A peut
accder toutes les ressources du domaine A et du domaine B.
Le domaine B approuve directement le domaine C. Ainsi un utilisateur du domaine B
peut accder toutes les ressources du domaine B et du domaine C.
Si les deux relations dapprobations de A B et de B C sont transitives, alors le domaine A
approuve indirectement le domaine C. Dans ce cas de figure un utilisateur du domaine A peut
accder toutes les ressources du domaine A, du domaine B et du domaine C.
Si les deux relations dapprobations de A B et de B C ne sont pas transitives, alors le
domaine A napprouve pas le domaine C. Dans ce cas de figure, un utilisateur du domaine A ne
peut pas accder aux ressources du domaine C.
17
2.#.2. Direction de la--robation
Lors de la cration dune relation dapprobation manuelle sous Windows Server 2003, trois
directions dapprobation diffrentes sont utilisables.
Si vous avez configur une relation dapprobation unidirectionnelle entrante entre le domaine A et
le domaine B, alors les utilisateurs du domaine A peuvent tre authentifis dans le domaine B.
Si vous avez configur une relation dapprobation unidirectionnelle sortante entre le domaine A et
le domaine B, alors les utilisateurs du domaine B peuvent tre authentifis dans le domaine A.
Si vous avez configur une relation dapprobation bidirectionnelle entre le domaine A et le
domaine B, alors les utilisateurs de chaque domaine peuvent tre authentifis dans les deux
domaines.
2.#.3. 'es relations da--robations
A!!'o9ation 'acin#Fa'9o'#(c#nc#
Lorsquune nouvelle arborescence est cre au sein dune fort, une relation dapprobation
bidirectionnelle transitive lie automatiquement cette nouvelle arborescence au domaine racine de
la fort.
Dans exemple ci-contre, larborescence supinfo.lan est lie laboms.lan, le domaine racine de la
fort, par le biais dune relation racine/arborescence.
18
A!!'o9ation !a'#nt-#nfant
Une approbation parent-enfant est une relation dapprobation bidirectionnelle transitive. Elle est
automatiquement cre lorsquun nouveau domaine est ajout une arborescence.
Dans lexemple ci-contre, on ajoute le sous domaine paris.supinfo.lan lintrieur du domaine
supinfo.lan. Les deux domaines sont automatiquement relis par une relation parent-enfant. Ainsi
les utilisateurs du domaine supinfo.lan peuvent tre authentifis dans le domaine
paris.supinfo.lan et vice-versa.
19
A!!'o9ation 'acco&'ci#
Une approbation raccourcie est une relation dapprobation partiellement transitive. Elle doit tre
dfinie manuellement ainsi que sa direction. Les relations dapprobation raccourcie permettent de
rduire les sauts de lauthentification Kerberos.
En effet, si un utilisateur du domaine martinique.supinfo.lan souhaite sauthentifier dans le
domaine mail.laboms.lan, il doit passer par deux approbations parent/enfant et par une
approbation racine/arborescence. Lapprobation raccourcie permet donc dacclrer
lauthentification inter-domaine.
A!!'o9ation #Ct#'n#
Une approbation externe est une relation dapprobation non transitive. Elle doit tre cre
manuellement et peut avoir une direction unidirectionnelle ou bidirectionnelle.
Lapprobation externe permet de relier des domaines appartenant deux forts distinctes.
2
A!!'o9ation $# $oain#
Une approbation de domaine est une relation dapprobation dont la transitivit et la direction
doivent tre paramtres par ladministrateur.
Lapprobation de domaine permet de relier un domaine sous Active Directory avec un domaine
Kerberos non Microsoft.
A!!'o9ation $# fo'<t
Une approbation de fort permet de relier lintgralit des domaines de deux forts.
Les approbations de fort et leurs directions doivent tre dfinies manuellement. Les deux forts
doivent imprativement utiliser le niveau fonctionnel de fort Windows Server 2003. l ny a pas
de transitivit entre les forts.
21
Module 3. I"-l"entation d7une structure
d7unit d7or%anisation
3.1. $ration et %estion d7units d7or%anisation
3.1.1. Prsentation de la %estion des units d7or%anisation
La cration et la gestion dunits dorganisation passent par quatre phases trs importantes :
0a !lanification = Cest la phase la plus importante car cest ce moment que vous allez
dterminer le systme hirarchique des objets les uns par rapport aux autres. Ce
systme hirarchique sera lpine dorsale de votre systme administratif. Vous devez
prvoir aussi la nomenclature de nom des UO ce niveau.
0# $"!loi##nt = Cest la phase de cration des units dorganisation sur le serveur, elle
comprend aussi la phase de dplacement des objets dans les units dorganisation.
0a aint#nanc# = Cest la phase dexploitation des units dorganisation une fois quelle
seront en production. Cela comprend toutes les modifications lies aux modifications
courantes dorganisation de lentreprise.
0a (&!!'#((ion = Tous les objets dans Active Directory occupent un certain espace sur
le disque ainsi que sur le rseau lors des rplications.
3.1.2. Mt!odes de cration et de %estion des units d7or%anisation
Afin de pouvoir crer vos units dorganisation, quatre mthodes sont votre disposition :
0%o&til Utili(at#&'( #t o'$inat#&'( Acti)# Di'#cto'* = Cet outil graphique est le moyen
le plus rapide pour crer une unit dorganisation. l atteint rapidement ces limites lorsque
lon dsire crer plus dune cinquantaine de compte.
0#( o&til( #n liGn# $# coan$# D$(a$$, $(o$, $''E = Ces outils permettent via
ligne de commande ou via script batch de crer des units dorganisation.
Exemple :
$(a$$ o& Ho&@ SUPINFO T'aininG C#nt#', $c@(&!info, $c@lanH -& A$ini(t'at#&' -!
I
0%o&til 0DIFDE = Cet outil permet de faire de limport et de la modification en masse
partir dun fichier texte. La plupart des moteurs LDAP permettent dexporter vers ce
format.
Exemple :
$n= OU@0a9o-Ci(co,DC@(&!info, DC@lan
cAanG#t*!#= $#l#t#
$n= OU@0a9o-Mic'o(oft, DC@(&!info, DC@lan
cAanG#t*!#= a$$
o9:#ctCla((= o'GaniJationalUnit
0#( (c'i!t( 1KS = Ces scripts permettent de faire de limport dunits dorganisation en
ajoutant des conditions pour la cration de ces UO.
Exemple :
S#t o9:Do @ 3#tO9:#ctDH0DAP=FF$c@(&!info,$c@lanHE
S#t o9:OU @ o9:Do.C'#at#DHO'GaniJationalUnitH, Ho&@Sall# AHE
objOU.SetInfo
22
3.2. Dl%ation du contr+le ad"inistratif des units
d7or%anisation
Active Directory est un systme intgrant la scuris : seuls les comptes ayant reu les
permissions adquates peuvent effectuer des oprations sur ces objets (ajout, modification, .).
Les administrateurs, en charge de cette affectation de permissions peuvent aussi dlguer des
tches dadministration des utilisateurs ou des groupes dutilisateurs.
3.2.1. curit des objets
Dans Active Directory, chaque objet est scuris, ce qui signifie que laccs a chacun deux est
cautionn par lexistence de permissions en ce sens.
A chaque objet est associ un descripteur de scurit unique qui dfinit les autorisations daccs
ncessaires pour lire ou modifier les proprits de cet objet.
En ce qui concerne la restriction daccs aux objets ou leurs proprits, le descripteur contient
la
DACL (Discretionary Access Control List) et en ce qui concerne laudit, le descripteur contient la
SACL (System Access Control List).
Le contrle daccs dans Active Directory repose non seulement sur les descripteurs de scurit
des objets, mais aussi sur les entits de scurit (par exemple un compte dutilisateur ou un
compte de machine), et les identificateurs de scurit (SD, dont le fonctionnement est
globalement identique celui sous NT 4.0 et Windows 2000).
Active Directory tant organis hirarchiquement, il est possible de dfinir des permissions sur un
conteneur et de voir ces permissions hrites ses sous conteneurs et ses objets enfants (si
on le souhaite). Grce cela, ladministrateur naura pas appliquer les mmes permissions
objet par objet, limitant ainsi la charge de travail, et le taux derreurs.
Dans le cas o lon dfinirait des permissions spcifiques pour un objet et que ces dernires
entrent en conflit avec des permissions hrites, ce seront les permissions hrites qui seront
appliques.
Dans certains cas, on ne souhaite pas que des permissions soient hrites, il est alors possible
de bloquer cet hritage. Par dfaut, lors de la cration dun objet, lhritage est activ. Par
consquent, une DACL correspondant aux permissions du conteneur parent est cre pour cet
objet. Lors du blocage de lhritage, on dfinit une nouvelle DACL qui sera soit copie depuis la
DACL du parent, soit vierge.
3.2.2. Dl%ation de contr+le
l est possible de dlguer un certain niveau dadministration dobjets Active Directory nimporte
quel utilisateur, groupe ou unit organisationnelle.
Ainsi, vous pourrez par exemple dlguer certains droits administratifs dune unit
organisationnelle (ex : cration dobjets dans cette UO) un utilisateur.
Lun des principaux avantages quoffre cette fonctionnalit de dlgation de contrle est quil
nest plus ncessaire dattribuer des droits dadministration tendus un utilisateur lorsquil est
ncessaire de permettre un utilisateur deffectuer certaines tches.
Sous NT4, si lon souhaitait quun utilisateur dans un domaine gre les comptes dutilisateurs
pour son groupe, il fallait le mettre dans le groupe des Oprateurs de comptes, qui lui permet de
grer tous les comptes du domaine.
23
Avec Active Directory, il suffira de cliquez avec le bouton droit sur lUO dans laquelle on souhaite
lui dlguer ladministration dune tche et de slectionner Dlguer le contrle.
On pourra dfinir quelques paramtres comme les comptes concerns par cette dlgation et le
type de dlgation, dans notre cas, Crer, supprimer et grer des comptes dutilisateur (On
peut affiner en dlguant des tches personnalises comme par exemple uniquement le droit de
rinitialiser les mots de passe sur les objets de compte dutilisateur de lUO, .).
24
Module #. I"-l"entation de co"-tes
d7utilisateurs8 de %rou-es et d7ordinateurs
Le service dannuaire Active Directory distingue trois types de comptes :
0# co!t# $%&tili(at#&' permet un utilisateur physique douvrir une session unique sur
le domaine et daccder aux ressources partages.
0# co!t# $%o'$inat#&' permet didentifier un ordinateur physique par le biais dun
mcanisme dauthentification. l est possible dactiver laudit de laccs dun compte
dordinateur aux ressources du domaine.
0# co!t# $# G'o&!# permet de simplifier ladministration en regroupant des comptes
dutilisateurs, dordinateurs ou bien dautres comptes de groupes.
#.1. I"-l"entation de co"-tes dutilisateurs
#.1.1. Prsentation du no" dutilisateur -rinci-al
Un nom dutilisateur principal ou UPN (User Principal Name) est un nom douverture de session.
l doit tre unique au sein de la fort. l se dcompose en deux parties spares par le caractre
@ :
Le prfixe UPN
Le suffixe UPN
Par exemple lutilisateur Loc Thobois situ dans le domaine supinfo.com ouvre sa session en
utilisant le nom dutilisateur principal suivant : thoboi_l@supinfo.com o thobois_l reprsente le
prfixe UPN et supinfo.com le suffixe UPN.
Le nom dutilisateur principal nest pas modifi lors du dplacement du compte dutilisateur vers
un autre domaine car ce nom est unique dans la fort. De plus l peut tre utilis en tant
quadresse lectronique car il a le mme format quune adresse de messagerie standard.
Un utilisateur peut toujours ouvrir une session laide du nom douverture de session dutilisateur
pr windows 2000 (dans notre exemple SUPNFO\thoboi_l). En outre, Windows 2003 Server
autorise lassignation de suffixes UPN supplmentaires un compte dutilisateur.
#.1.2. 'e 9outa%e des suffi5es )P3
l est possible dajouter ou de supprimer des suffixes UPN dans la fort grce la console
Domaines et approbations (accessible en tapant domain.msc dans la boite de dialogue excuter)
ou bien par le biais d'un script. Seul un membre du groupe administrateurs de lentreprise est
autoris modifier les suffixes UPN.
La console Domaines et approbations permet aussi dactiver le routage des suffixes UPN. Le
routage des suffixes UPN est un mcanisme fournissant une rsolution de noms UPN inter
forts. Ainsi il est possible de dfinir quels suffixes UPN les utilisateurs de la fort 1 pourront
utiliser pour sauthentifier dans la fort 2. Bien entendu, les relations dapprobations appropries
(approbation de fort) doivent tre dfinies pour permettre le routage des suffixes UPN.
25
#.2. I"-l"entation de co"-tes de %rou-e
Les groupes permettent de simplifier la gestion de laccs des utilisateurs aux ressources du
rseau. Les groupes permettent daffecter en une seule action une ressource un ensemble
dutilisateurs au lieu de rpter laction pour chaque utilisateur. Un utilisateur peut tre membre
de plusieurs groupes.
Les groupes se diffrencient de par leur type et de par leur tendue.
#.2.1. 'e ty-e de %rou-e
l existe deux types de groupes dans Active Directory :
0#( G'o&!#( $# ("c&'it" : permettent daffecter des utilisateurs et des ordinateurs des
ressources.
0#( G'o&!#( $# $i(t'i9&tion : exploitables entre autres via un logiciel de messagerie.
#.2.2. ':tendue de %rou-e
Les deux types de groupes grent chacun trois niveaux dtendue. Les fonctionnalits des
tendues de groupe peuvent varier selon le niveau fonctionnel du domaine.
Les groupes globaux :
Mode mixte Mode natif
Membres
Comptes dutilisateurs du m-me
domaine
Comptes dutilisateurs et groupes
globau. du m-me domaine
Membres de /roupes locau. du m-me domaine /roupes locau. de domaines
Etendue 0isibles dans leur domaine et dans tous les domaines approu&#s
Autorisations pour 1ous les domaines de la 2or-t
Les groupes locaux de domaine :
Mode mixte Mode natif
Membres
Comptes dutilisateurs et groupes
globau. de tout domaine
Comptes dutilisateurs3 groupes
globau. et groupes uni&ersels dun
domaine quelconque de la 2or-t3 et
groupes locau. de domaine du m-me
domaine
Membres de
4embres daucun groupe /roupes locau. de domaine du m-me
domaine
Etendue 0isibles dans leur propre domaine
Autorisations pour !e domaine dans lequel le groupe local de domaine e.iste
26
Les groupes universels :
Mode mixte Mode natif
Membres 5on utilisables
Comptes dutilisateurs3 groupes
globau. et autres groupes uni&ersels
dun domaine quelconque de la 2or-t.
Membres de
5on utilisables /roupes locau. de domaine et
uni&ersels de tout domaine.
Etendue 0isibles dans tous les domaines de la 2or-t
Autorisations pour 1ous les domaines de la 2or-t
#.2.3. trat%ie dutilisation de %rou-e dans un do"aine
Diverses stratgies sont recommandes afin dattribuer les autorisations sur les ressources du
rseau (fichiers/dossiers/imprimantes partages). La stratgie privilgie au sein dun domaine
est la stratgie C G DL A :
Rassemblez des co!t#( $%&tili(at#&' (C) dans des groupes globaux.
Ajoutez les groupes globaux un G'o&!# local $# $oain# (DL).
Affectez les a&to'i(ation( (A) sur les ressources du domaine sur le groupe local de domaine.
Cette stratie est a!ssi a))ele A * D$ # >)o!r Acco!nts 1lobal ro!) Domain 'ocal ro!)
Permissions?
l existe une volution de cette stratgie qui permet utilisateurs situs dans plusieurs domaines
diffrents daccder une ressource donne. Cette stratgie fait intervenir les groupes dtendue
universelle et est nomme C G U DL A.
#.3. Outils dad"inistration et t;c!es ad"inistratives
#.3.1. 'es outils dad"inistration
Divers outils sont mis disposition de ladministrateur afin de lui faciliter la gestion des comptes
dutilisateurs, dordinateurs et de groupes :
Utili(at#&'( #t o'$inat#&'( Acti)# Di'#cto'* : Console permettant dajouter, modifier et
supprimer des comptes dutilisateurs, dordinateurs et de groupe en mode graphique.
D(a$$, $(o$, $(',L = Commandes permettant respectivement de crer, de modifier
ou de supprimer des objets dans Active Directory.
c()$# : Outil en ligne de commande permettant de crer des objets partir dun fichier
au format csv (champs dlimits par des virgules).
l$if$# : Outil en ligne de commande permettant de crer, modifier, supprimer des objets
partir dun fichier au format ldif (champs dlimits par des sauts de ligne).
+S> : Environnement permettant dexcuter des scripts en VBS ou en JScript
27
Module &. I"-l"entation d7une strat%ie de
%rou-e
&.1. $ration et confi%uration d7objets trat%ie de
%rou-e
&.1.1. Prsentation dune strat%ie de %rou-e
Une stratgie de groupes est un objet Active Directory qui va contenir un ensemble de
paramtres.
Ces paramtres vont permettre dagir sur lenvironnement dun utilisateur ou dun ordinateur :
Les paramtres de stratgies de groupe pour les o'$inat#&'( dfinissent le
comportement du systme dexploitation et dune partie du bureau, la configuration de la
scurit.
Les paramtres de stratgies de groupe pour les &tili(at#&'( dfinissent les options
dapplications affectes et publies, la configuration des applications.
Une stratgie de groupe peut aussi tre appel GPO (Group Policy Object)
Cet objet de stratgie de groupe va ensuite tre lie un conteneur (it#, $oain# ou &nit"
$%o'Gani(ation. Cela va permettre dappliquer les paramtres de stratgie de groupe aux objets
contenu dans ces conteneurs.
&.1.2. $o"-osants d7un objet trat%ie de %rou-e
Un objet de stratgie de groupe se dcompose en deux parties :
Une partie qui sera stocke dans la base Acti)# Di'#cto'*. Cet objet va ensuite tre li
des objets de sites, domaines ou units dorganisation. Cet objet permet aussi de grer
les versions permettant une rplication optimise.
Une partie qui sera stocke dans le rpertoire S2S1O0 sous la forme dun rpertoire
ayant pour nom le SD de lobjet dans la base Active Directory. Ce rpertoire contient
lensemble des fichiers de scripts, de configuration, etc. Le dossier SYSVOL est rpliqu
automatiquement entre tous les contrleurs de domaine.
&.1.3. 1estion des trat%ies de %rou-e -ar un contr+leur de do"aine
La modification des paramtres de stratgie de groupe peut se faire sur nimporte quel contrleur
de domaine, mais pour viter les conflits un contrleur de domaine soccupe de centraliser
lensemble des modifications.
Ce contrleur est par dfaut celui ayant le rle de matre doprations E&lat#&' PDC, mais il
est bien videmment possible de le changer avec les options suivantes :
Le contrleur de domaine avec le jeton de matre doprations pour lmulateur PDC.
Tout contrleur de domaine disponible.
Tout contrleur de domaine excutant Windows Server 2003 ou version ultrieure.
28
Ce contrleur de domaine.
&.1.#. Dfinition des filtres .MI
Pour appliquer une stratgie de groupe, un fois celle-ci lie un conteneur, vous avez la
possibilit de crer un script pour dfinir des conditions dapplications.
Exemple : Vous souhaitez dployer une application sur vos postes clients et cette application
occupe 1 Go sur le disque dur, avec un script WM vous avez la possibilit de filtrer lapplication
de cette stratgie en testant lespace disque libre sur les stations de travail.
&.2. $onfi%uration des fr(uences d7actualisation et des
-ara"2tres de strat%ie de %rou-e
&.2.1. Planification de la--lication des strat%ies de %rou-e
Lorsque lordinateur dmarre :
Les paramtres de la stratgie de groupe dont lobjet ordinateur dpend sont appliqus.
Les scripts de ces stratgies sont lancs de faons synchrones (les uns aprs les
autres).
Lutilisateur ouvre une session :
Les paramtres de la stratgie de groupe dont lobjet utilisateur dpend sont appliqus.
Les scripts de ces stratgies sont lancs de faons asynchrones (tous en mme temps).
&.2.2. <r(uence dactualisation des -ara"2tre de strat%ie de %rou-e
Les stratgies sont ensuite rafrachies toutes les cinq minutes sur les contrleurs de domaine et
toutes les 90 minutes (plus une valeur alatoire en 0 et 30 minutes) pour tout les ordinateurs
membres du domaine.
&.2.3. A--lication des strat%ies de %rou-e lors de conne5ions rseau
lentes
Lors de la dtection dune connexion rseau lente (500kb/s par dfaut, modifiable par une GPO),
lordinateur dtermine sil est ncessaire ou non de mettre jour les stratgies de groupe. Le
comportement en mode connexion lente peut tre dfini laide dune GPO.
&.3. 1estion des objets trat%ie de %rou-e
En standard, Windows 2003 Server noffre que trs peu de fonction pour la gestion avance des
stratgies de groupe, pour combler cela, Microsoft a dvelopp un outil gratuit dadministration
ddi la gestion des GPO.
Vous pouvez trouver cet outil ladresse suivante :
http://www.microsoft.com/downloads/details.aspx?FamilyD=f39e9d60-7e41-4947-82f5-
3330f37adfeb&displaylang=fr
29
&.3.1. $o-ie dune strat%ie de %rou-e
A laide de la console de gestion de stratgie de groupe, il est possible de dupliquer une GPO.
Elle conservera tous ces paramtres mais ne sera li aucun objet (sites, domaines, units
dorganisations).
La possibilit de copier une stratgie est aussi possible entre diffrents domaines
&.3.2. auve%arde et restauration dune strat%ie de %rou-e
Une option de sauvegarde des stratgies de groupe est disponible dans loutil de gestion des
stratgies de groupe.
Cette option va vous permettre de sauvegarder sous un fichier GPT (Group Policy Template).
Vous aurez ensuite la possibilit de restaurer cette stratgie de groupe quand vous le souhaitez.
&.3.3. I"-ortation dune strat%ie de %rou-e
Le principe de limportation est trs proche de la copie de stratgie de groupe avec pour
fonctionnalit supplmentaire de modifier via une table de migration les paramtres (Exemple :
Mettre jour les chemins rseaux des paramtres de la GPO).
&.#. Dl%ation du contr+le ad"inistratif de la strat%ie
de %rou-e
&.#.1. Dl%ation dad"inistration des strat%ies de %rou-e
l y a trois aspects la dlgation dune stratgie de groupe :
Gestion des liaisons un conteneur (Site, Domaine, Unit dorganisation)
Cration dobjets GPO
Modification dobjets GPO
A laide de lassistant dlgation de contrle, il est possible de dlguer la gestion des liaisons
nimporte quelle personne sur un conteneur.
Par dfaut, pour pouvoir crer une GPO, il faut tre membre du groupe :
Admins de domaine
Administrateur de lentreprise
Propritaires crateurs de la stratgie de groupe
Pour pouvoir modifier une GPO, il faut avoir laccs en lecture/criture, puis tre soit le
propritaire de la GPO, soit membre des groupes :
Admins de domaine
Administrateur de lentreprise
&.#.2. Dl%ation dad"inistration de filtres .MI
Vous pouvez dlguer la gestion des scripts WM.
3
Les Scripts WM sont stocks dans le conteneur nomm WMScript dans Active Directory.
La dlgation dadministration sur les scripts WM est dtermine par les autorisations sur ce
rpertoire.
Module =. D-loie"ent et %estion des
lo%iciels l7aide d7une strat%ie de %rou-e
=.1. Prsentation de la %estion du d-loie"ent de
lo%iciels
1. P'"!a'ation : Les fichiers dinstallation au format Windows nstaller doivent tre copis
dans un partage sur un serveur de fichiers sur lequel les utilisateurs concerns auront les
droits de lecture. Ce partage est nomm point de distribution.
2. D"!loi##nt : Une GPO doit tre cre afin que les logiciels sinstallent
automatiquement lors du dmarrage de lordinateur ou louverture de session dun
utilisateur.
3. Maint#nanc# : Le logiciel qui a t dploy peut tre mis jour via le mme procd et
un Service Pack peut tre automatiquement dploy sur lensemble des postes sur
lesquels le logiciel a t install.
4. S&!!'#((ion : Lorsque vous voulez dsinstaller un logiciel distance, il suffit de
supprimer la GPO permettant le dploiement du logiciel et automatiquement le logiciel
sera supprim des machines.
=.2. Prsentation de .indo/s Installer
S#')ic# +in$o,( In(tall#' : service sexcutant sur le client et permettant de raliser
les installations distance de faon compltement automatise. l est capable de
modifier ou de rparer automatiquement les logiciels dfectueux.
Pac?aG# +in$o,( In(tall#' : fichier de type .msi contenant toutes les informations
ncessaires linstallation du logiciel.
=.3. D-loie"ent de lo%iciels
=.3.1. Affectation de lo%iciels >
Laffectation permet de garantir la prsence dun logiciel pour un utilisateur ou une machine.
Dans le cas dune affectation un utilisateur, un raccourci de lapplication va apparatre dans son
menu Dmarrer et les types de fichier de lapplication seront directement enregistrs. Des que
lutilisateur va cliquer sur le raccourci ou sur un fichier de lapplication (ex : un fichier .doc dans le
cas de Word), le logiciel va sinstaller automatiquement.
Dans le cas dune affectation un ordinateur, lapplication va sinstaller des le dmarrage de la
machine. Le logiciel sera alors disponible pour tous les utilisateurs de la machine.
$affectation d!ne a))lication / !n contr'le!r de domaine ne fonctionne )as.
=.3.2. Publication de lo%iciels >
La publication dun logiciel laisse le choix lutilisateur dinstaller ou non lapplication sur sa
machine.
31
Elle ne peut tre mise en oeuvre que pour un utilisateur et pas pour un ordinateur.
Lapplication apparat dans le panneau de configuration Ajout/Suppression de programmes dans
une liste regroupant toutes les applications pouvant tre installes.
Une autre mthode permet dinstaller le logiciel en utilisant lappel de documents. Lorsquune
application est publie dans lActive Directory les types de fichiers quelle prend en charge sont
enregistrs et lorsquun fichier reconnu fait lobjet dune tentative douverture par un utilisateur
ayant lapplication correspondante publie, le programme est install.
=.3.3. )tilisation des "odifications de lo%iciel
Dans certains cas il nest pas ncessaire de dployer une application dans son intgralit, mais
une version personnalise de lapplication. Dans ce cas il est possible de modifier le script
dinstallation pour raliser une installation spcifique laide des fichiers de modification (fichiers
de type .mst).
=.3.#. $ration de cat%ories de lo%iciels
Afin de simplifier linstallation des applications publies il est possible de crer des catgories qui
vont viter de chercher lapplication dans une longue liste.
=.3.&. Association de5tensions de no"s de fic!iers des a--lications
Active Directory maintient une liste des extensions de fichiers et des applications associes. l
nest pas possible de dagir sur cette liste mais il est possible de modifier la priorit des
applications pour chaque extension (ex : Word 2000 ou Word XP pour lextension .doc)
=.3.=. Mise niveau de lo%iciels d-loys
l existe deux types de mises niveau des logiciels dploys :
Mi(# M ni)#a& o9liGatoi'# : Le logiciel est remplac automatiquement au prochain
dmarrage ou la prochaine ouverture de session.
Mi(# M :o&' fac&ltati)# : Lutilisateur est libre de faire la mise jour au moment o il le
souhaite.
=.3.?. 9ed-loie"ent de lo%iciels
Le redploiement de logiciels permet dappliquer un Service Pack ou un correctif sur un logiciel
dj dploy. Une fois que le logiciel est marqu pour tre redploy, il y a trois scnarios
possibles.
0%a!!lication #(t aff#ct"# M &n &tili(at#&' : Les raccourcis et les lments du Registre
sont mis jour la prochaine ouverture de session de lutilisateur.
0%a!!lication #(t aff#ct"# M &n o'$inat#&' : Le Service Pack ou le correctif est install
au prochain dmarrage de lordinateur.
0%a!!lication #(t !&9li"# #t in(tall"# : Les raccourcis et les lments du Registre sont
mis jour la prochaine ouverture de session. Le correctif ou le Service Pack sera
automatiquement install la prochaine utilisation du logiciel.
=.3.@. u--ression de lo%iciels d-loys
32
Lors de la suppression dun logiciel dans lActive Directory, une boite de dialogue souvre et deux
options de suppression vous sont proposes :
D"(in(tallation i"$iat# : Le logiciel est dsinstall au prochain dmarrage de la
machine ou la prochaine ouverture de session de lutilisateur.
A&to'i(#' l%&tili(at#&' M contin&#' M &tili(#' l# loGici#l : Les logiciels ne sont pas
dsinstalls mais ils napparatront plus dans la liste du panneau de configuration
Ajout/Suppression de programmes.
33
Module ?. I"-l"entation de sites -our
%rer la r-lication Active Directory
?.1. <onctionne"ent de la du-lication
Dans un domaine Windows 2003, un ou plusieurs contrleurs de domaine hbergent la base de
donnes Active Directory.
La duplication rpercute les modifications apportes a la base de donnes Active Directory
depuis un contrleur de domaine sur tous les autres contrleurs de domaine du domaine et ce,
de faon transparente pour les administrateurs et les utilisateurs.
Cette duplication est qualifie de multimatres car plusieurs contrleurs de domaine (appels
matres ou rpliquas) ont la capacit de grer ou modifier les mmes informations dActive
Directory.
La duplication peut se produire diffrents moments.
Par exemple, lors de lajout dobjets sur un contrleur de domaine, on peut dire que la copie de la
base de donnes Active Directory quil contient a subit une mise jour dorigine.
Lorsque cette mise jour est duplique sur un autre rpliqua du domaine, on dira alors que ce
dernier a effectu une mise jour duplique.
La mise jour effectue sur le second contrleur peut aussi tre duplique sur un troisime
contrleur de domaine.
$e )rocess!s de d!)lication nintervient +!entre de!0 contr'le!rs de domaine / la fois.
Aprs avoir apport une modification sur un contrleur de domaine, un temps de latence (par
dfaut 5 minutes) est observ avant denvoyer un message de notification au premier partenaire
de rplication.
Chaque partenaire direct supplmentaire est inform 30 secondes (valeur par dfaut) aprs la
rception de la notification. Lorsquun partenaire de rplication est inform dune modification
apporte la base, il rcupre celle ci depuis le contrleur de domaine ayant mis la notification.
Dans certains cas, la notification de changement est immdiate, ainsi que la duplication. Cest le
cas lors de la modification dattributs dobjets considrs comme critiques du point de vue
scurit (par exemple, la dsactivation dun compte). On parle alors de duplication urgente.
1o!tes les he!res >vale!r )ar dfa!t )aramtrable?A si a!c!ne modification na t a))orte / la
base Active DirectoryA !n )rocess!s de d!)lication est lanc. CeciA )o!r sass!rer +!e la co)ie
de la base de donnes Active Directory est identi+!e s!r to!s les contr'le!rs de domaine.
?.2. 9solution des conflits de du-lication
La duplication DActive Directory tant multi matre, des conflits peuvent survenir lors des mises
jour.
Pour minimiser les conflits, les contrleurs de domaines se basent sur les modifications
apportes aux attributs des objets plutt que les objets eux mme. Ainsi, si deux attributs
distincts dun mme objet sont modifis simultanment par deux contrleurs de domaine, il ny
aura pas de conflit.
34
Pour rsoudre certains conflits, Active Directory emploie un cachet unique global qui est envoy
avec les mises jour dorigine (et uniquement celles-ci). Ce cachet contient les composants
suivants (du plus important au moins important):
0# n&"'o $# )#'(ion = la numrotation commence a 1. l est incrment de 1 chaque
mise jour dorigine.
Dat#&' = il sagit de la date et de lheure du dbut de la mise a jour, issue de lhorloge
systme du contrleur de domaine sur lequel a eu lieu la mise a jour dorigine.
S#')#&' 3UID D3lo9all* Uni;&# ID#ntifi#' N I$#ntificat#&' &ni)#'(#l &ni;&#E = il est
dfini par le DSA (Directory System Agent) dorigine qui identifie le contrleur de
domaine sur lequel a eu lieu la mise jour dorigine.
#o!r +!e les date!rs soient j!stesA il est im)ratif +!e to!tes les horloes des contr'le!rs de
domaine soient synchronises. Dans le cas contraire il y a !n ris+!e de )erte de donnes dans
lann!aire o! +!e ce dernier soit endomma.
On dnombre trois types de conflits potentiels :
1al#&' $%att'i9&t = il survient lorsque lattribut dun objet est modifi sur diffrents
contrleurs avec des valeurs diffrentes. On rsout le conflit en gardant lattribut modifi
ayant la plus grande valeur de cachet.
L%a:o&t o& l# $"!lac##nt $%&n o9:#t $an( &n cont#n#&' (&!!'i" = ce conflit
intervient lorsquun objet est ajout dans un conteneur (par exemple un utilisateur dans
lUO ventes) alors que ce conteneur a t supprim sur un autre contrleur de domaine.
La duplication nayant pas eu lieu, cette suppression na pas encore t prise en compte
par tous les contrleurs de domaine. Le conflit est rsolu par la rcupration des objets
orphelins dans le conteneur LostAndFound.
No !a'#nt = ce conflit se produit lorsquun rpliqua tente de dplacer un objet dans un
conteneur dans lequel un autre rpliqua a plac un objet portant le mme nom. Ce conflit
est rsolu par le changement de nom de lobjet ayant le cachet le moins important.
?.3. O-ti"isation de la du-lication
Lors de la duplication, un contrleur de domaine peut recevoir plusieurs fois la mme mise jour,
car cette dernire peut emprunter diffrents chemins. Active Directory emploie le blocage de
propagation pour rduire la quantit de donnes inutiles qui vont transiter dun contrleur de
domaine a un autre.
Ainsi, chaque contrleur de domaine va grer une table de vecteurs contenant entre autre des
USN (Update Sequence Number). Les USN servant a dterminer ce quil est ncessaire de
mettre a jour dans un rpliqua. Lorsquun objet est mis a jour, le contrleur de domaine affecte
lUSN modifi.
7l e0iste !n %S- )o!r cha+!e attrib!t et !n %S- )o!r cha+!e objet.
?.#. 6o-olo%ie de du-lication
?.#.1. Partitions dannuaire
La base de donnes Active Directory se compose logiquement de plusieurs partitions
dannuaire : la partition de schma, la partition de configuration et les partitions de domaine. Une
partition est une unit de duplication indpendante des autres utilisant une procdure de
duplication propre.
35
?.#.1.1. Partition de sc!"a
Elle contient la dfinition de tous les objets et attributs pouvant tre crs dans lannuaire, ainsi
que les rgles de cration et de gestion de ces objets. Ces informations sont dupliques sur tous
les contrleurs de domaine de la fort car il ne peut y avoir quun seul schma pour une fort.
?.#.1.2. Partition de confi%uration
Elle contient toutes les informations lies la structure dActive Directory, avec entre autres les
domaines, domaines enfants, sites, etc.
Ces informations sont, elles aussi, dupliques sur tous les contrleurs de domaine afin de
maintenir lunicit dans la fort.
?.#.1.3. Partitions de do"aine
Une partition de domaine contient les informations lies aux objets dun domaine Active
Directory.
Ces informations sont dupliques sur lensemble des DC du domaine. Par consquent, il peut
exister plusieurs partitions de domaine dans une mme fort.
?.#.2. 6o-olo%ie de du-lication
La topologie de duplication est le chemin que va emprunter le processus de duplication pour
mettre jour les donnes sur les contrleurs de domaine.
Deux contrleurs de domaine impliqus dans la duplication dActive directory sont lis par des
objets de connections, qui sont des chemins de duplication unidirectionnels. On parle aussi de
partenaires de rplication.
Les objets de connexion peuvent tre crs manuellement par un administrateur o
automatiquement, via le KCC.
La gestion des objets de connexion se fait par lintermdiaire de la console Sites et Services
Active Directory.
Lorsque les partenaires de rplications sont directement lis par des objets de connexion, on
parle de partenaires de rplication directs.
Si lon a trois contrleurs de domaine A,B et C et quil existe des objets de connexion entre A-B et
BC, alors A et C sont partenaires de rplication transitifs.
Lutilitaire Rplication Monitor Active Directory permet de visualiser les partenaires de rplication
transitifs.
?.#.3. 1nration de to-olo%ie de du-lication auto"ati(ue
Lorsque lon ajoute un contrleur de domaine un site, Active Directory est capable de lier
automatiquement ce contrleur dautres via des paires dobjets de connexion. Ceci afin de
prendre en compte ce contrleur dans la duplication.
Cest le KCC (Knowledge Consistency Checker vrificateur de cohrence des connaissances)
sexcutant sur chaque contrleur de domaine qui est en charge de cela. Cest donc lui qui
gnre la topologie de duplication pour la fort.
l utilise entre autre les informations sur les diffrents sites (sous-rseau, type de lien et cot de
transmission intersites,.) pour calculer le meilleur chemin entre les contrleurs de domaine de la
fort.
36
Au sein dun mme site, la topologie par dfaut gnre est un anneau a communication
bidirectionnelle (deux objet de connexion unidirectionnels en sens opposs entre toutes les
paires de contrleurs de domaines). Des liens supplmentaires sont tablis lorsque le nombre de
sauts ncessaire pour quune mise a jour dorigine atteigne un rpliqua est suprieur trois.
Si !n )robl,me de comm!nication intersite intervientA le BCC tentera dtablir a!tomati+!ement
!n no!vea! chemin de d!)lication.
?.&. )tilisation des sites -our o-ti"iser la du-lication
?.&.1. Prsentation des sites
Un site est reprsent par un ou plusieurs sous rseaux. Par consquent, les sites sappuient sur
la structure physique dun rseau, notamment au niveau des interconnexions de rseaux locaux
et tendus.
Un site est automatiquement mis en place lorsque lon installe le premier contrleur de domaine
dans un domaine. l est nomm Premier-Site-par-dfaut.
Ainsi, mme si lon a un rseau non segment en sous rseaux, on aura quand mme un site.
Dans le cas dune entreprise ayant son sige dans une ville et une succursale dans une autre
ville, si elle dispose de un ou plusieurs sous rseaux par ville, elle pourra crer un site regroupant
les sous rseaux de la premire ville et un autre pour les sous rseaux de lautre ville.
Un site est constitu dobjets serveur qui correspondent des contrleurs de domaine. Les objets
serveurs sont crs lorsquun serveur sous Windows 2000/2003 est promu en tant que contrleur
de domaine. ls contiennent entre autres des objets connexion ncessaire la duplication.
%n site )e!t contenir des contr'le!rs de domaine de nim)orte +!el domaine d!ne for&t.
Pour crer un site, il faut utiliser loutil dadministration Sites et services Active Directory situe
dans les outils dadministration. On peut y dfinir des sous rseaux (reprsents par des objets
sous-rseau) en prcisant ladresse du sous rseau, le masque de sous rseau ainsi que le site
correspondant.
La mise en place de sites permet :
Loptimisation du trafic de duplication entre les sites.
La localisant les ressources du rseau (ex : un utilisateur qui ouvre une session le feras
sur un contrleur de domaine situ sur le mme site que lui).
En somme lintrt des sites dans un rseau peut tre de contrler le volume de donnes lis au
fonctionnement dActive Directory (trafic de duplication et de connexion). Ceci permet de limiter
lengorgement des liens entre les sous rseaux, en gnral, une ligne spcialise, voir mme un
simple modem 56K.
?.&.2. Du-lication intrasite
Elle se produit entre les contrleurs de domaine situs sur un mme site. Les donnes lies ce
type de duplication ne sont pas compresses par dfaut car on considre que les connexions
rseau des machines dun mme site sont rapides et fiables. Cela limite le temps processeur
utilis par les contrleurs de domaine pour la compression.
?.&.3. Du-lication intersite
37
Elle permet diffrents sites de rcuprer les modifications apportes Active Directory depuis
un contrleur de domaine situ sur un site, et ce, en empruntant des chemins considrs comme
non fiables et avec une faible bande passante.
f faudra crer des liens de site pour lesquels il faudra dfinir manuellement un certain nombre de
paramtres pour dterminer le moment auquel la duplication intervient et la frquence laquelle
les contrleurs de domaine vrifieront si des modifications ont t apportes Active Directory.
Le trafic li la duplication intersite est compress avec un ratio denviron 80% pour transiter
efficacement par des liaisons faible dbit. Linconvnient est la charge CPU supplmentaire sur
les contrleurs de domaine.
$a d!)lication intersite tant )roramme man!ellementA le syst,me de notification des
modifications nest em)loy +!e )o!r le trafic intrasite.
?.&.#. 3otion de coAt
Lors de la mise en place des liens de sites, on peut dfinir un certain nombre de proprits, et
notamment le cot.
Le cot dun lien de site est un nombre qui reprsente lefficacit, la vitesse, la fiabilit (relatifs)
dun chemin, un peu limage des routeurs.
Le trafic de duplication empruntera toujours le chemin (un chemin peut tre compos dun ou
plusieurs liens de sites) dont le cot total sera le plus faible.
Par exemple, si nous avons trois sites A, B, C et quil existe des liens intersites A-B (cot 100), B-
C (cot 10), C-A (cot 10), le trafic de duplication entre A et B empruntera le chemin AC puis CB,
pour un cot total de 20 au lieu de A-B pour un cot de 100.
$e co<t )ar dfa!t d!n lien intersite est de 1@@.
?.&.&. erveur t*te de -ont
Dans la duplication intersites, un ou plusieurs serveurs sur chaque site peuvent servir de ponts
entre les sites par lesquels le trafic de duplication va se propager. On les nomme les serveurs
ttes de pont.
Par consquent, les duplications intersites passent uniquement par des ttes de ponts.
Dans chaque site, un contrleur de domaine est automatiquement dsign comme serveur tte
de pont par lSTG (nterSite Topology Generator), charg de mettre en oeuvre la duplication
intersite (cest un contrleur de domaine de la fort).
Lorsquun serveur tte de pont reoit une mise jour depuis un autre site, il la communiquera
aux contrleurs de domaine de son site suivant la procdure classique de duplication intrasite.
l est possible de dfinir manuellement des serveurs ttes de pont plutt que de laisser lSTG
choisir.
Le serveur STG peut tre dtermin en allant dans loutil dadministration Sites et services Active
Directory situ dans les outils dadministration.
?.=. Protocoles de du-lication
Les ordinateurs emploient des protocoles de duplication pour transmettre leurs mises jour
dActive Directory.
Le protocole RPC est employ lors de la duplication intrasite. Ce dernier assure une connexion
fiable et a grande vitesse.
Dans le cas de la duplication intersites, il est possible de paramtrer le protocole employ,
savoir RPC sur P ou SMTP (Simple Mail Transfer Protocol).
En gnral, on utilisera RPC sur P pour la duplication intersite.
38
$e )rotocole S31# ne )e!t &tre !tilis +!avec des contr'le!rs de domaine se tro!vant dans des
domaines et des sites diffrents.
Module @. I"-l"entation du -lace"ent des
contr+leurs de do"aine
@.1. 'e r+le du serveur de catalo%ue %lobal
@.1.1. Dfinition du serveur de catalo%ue %lobal
Le catalogue global ou GC (Global Catalogue) permet aux utilisateurs deffectuer 2 tches
importantes :
Trouver des informations Active Directory sur toutes les forts, quel que soit lemplacement des
ces donnes.
Utiliser des informations dappartenance des groupes universels pour ouvrir une session sur le
rseau.
Un serveur de catalogue global est un contrleur de domaine qui conserve une copie du
catalogue global et peut ainsi traiter les requtes qui lui sont destines. Le premier contrleur de
domaine est automatiquement le serveur de catalogue global.
l est possible de configurer dautres contrleurs de domaine en serveur de catalogue global afin
de rguler le trafic.
@.1.2. 'i"-ortance du catalo%ue %lobal dans le -rocessus
daut!entification
Voici les tapes importantes qui sont ralises lorsquun utilisateur sauthentifie sur le domaine :
1. 0%&tili(at#&' #nt'# $#( info'ation( $%i$#ntification (son identifiant, son mot de passe
ainsi que le domaine sur lequel il souhaite ouvrir une session) sur un ordinateur membre
du domaine afin douvrir une session.
2. Ces informations didentification sont c'*!t"#( !a' l# c#nt'# $# $i(t'i9&tion $# cl#f( ou
KDC (pour Key distribution Center), puis #n)o*"#( M l%&n $#( cont'Ol#&'( $# $oain#
du domaine de lordinateur client.
3. 0# cont'Ol#&' $# $oain# co!a'# l#( info'ation( didentification cryptes du client
avec celles se trouvant sur Active Directory (les informations stockes dans le service
dannuaire Active Directory qui sont cryptes nativement). Si les informations concordent
alors le processus continue, sinon il est interrompu.
4. Le contrleur de domaine c'"# #n(&it# la li(t# $# to&( l#( G'o&!#( $ont l%&tili(at#&'
#(t #9'#. Pour cela, le contrleur de domaine interroge un serveur de catalogue
global.
5. Le contrleur de domaine fournit ensuite au client &n tic?#t $%acco'$ o& T3T DTic?#t
3'antinG Tic?#tE. Le TGT contient les identificateurs de scurit ou SD (Security
dentifier) des groupes dont lutilisateur est membre (Un TGT expire au bout de 8 heures
ou bien quand lutilisateur ferme sa session).
6. Une fois que lordinateur client a reu le TGT, l%&tili(at#&' #(t a&tA#ntifi" et peut tenter
de charger sont profil et daccder aux ressources du rseau.
39
Si le serve!r de catalo!e lobal nest )as joinableA le )rocess!s da!thentification est mis en
chec. Cn effetA le contr'le!r de domaine ne )e!t )as obtenir les S7D des ro!)es dont
l!tilisate!r est membre lorsque le serveur de catalogue global est indisponible. Dans ce cas le
contrleur de domaine nmet pas de TGT et lutilisateur ne peut pas ouvrir sa session.
7.-.3. 0%i!o'tanc# $& cataloG&# Glo9al $an( l# !'oc#((&( $%a&to'i(ation
Voici les tapes importantes qui sont ralises lorsquun utilisateur authentifi essaye daccder
une ressource sur le domaine :
1. 0# cli#nt #((a*# $%acc"$#' M &n# '#((o&'c# situe le rseau (ex. : serveur de fichier).
2. 0# cli#nt &tili(# l# T3T qui lui a t remis lors du processus dauthentification pour
accder au service daccord de ticket ou TGS (Ticket Granting Service) situ sur le
contrleur de domaine.
3. 0# T3S "#t &n tic?#t $# (#((ion pour le serveur sur lequel se trouve la ressource
quil envoie au client. Le ticket de session contient les identificateurs SD des groupes
auxquels lutilisateur appartient.
4. 0# cli#nt #n)oi# (on Tic?#t $# (#((ion a& (#')#&' $# ficAi#'.
5. 0%a&to'it" $# ("c&'it" local# o& 0SA (pour Local Security Authority) du serveur de
fichier utilise les informations du ticket de session pour c'"#' &n :#ton $%accP(.
6. Lautorit 0SA contact# #n(&it# l# cont'Ol#&' $# $oain# et lui envoie les SDs de
tous les groupes figurant dans la liste DACL (Discretionary ACcess List) de la ressource.
Le contrleur de domaine doit ensuite joindre &n (#')#&' $# cataloG&# Glo9al afin de
connatre les identificateurs de scurit (ou SDs) des groupes de la liste DACL dont
lutilisateur est membre.
7. Enfin, lautorit LSA compare les identificateurs SD du jeton daccs avec les SD des
groupes dont lutilisateur est membre et qui figurent dans la liste DACL. Si les groupes
auxquels lutilisateur appartient sont autoriss accder la ressource alors lutilisateur
peut accder la ressource sinon, laccs est refus.
Si le serve!r de catalo!e lobal est indis)onibleA alors le )rocess!s da!torisation ne )e!t )as
se )o!rs!ivre et l!tilisate!r ne )e!t )as accder / la resso!rce.
7.-.4. 0a i(# #n cacA# $# l%a!!a't#nanc# a& G'o&!# &ni)#'(#l
La fonction de mise en cache de lappartenance au groupe universelle est disponible uniquement
sur les contrleurs de domaine excutant Windows 2003 server. La mise en cache de
lappartenance au groupe universel consiste stocker sur un contrleur de domaine les rsultats
des requtes effectues auprs dun serveur de catalogue global.
La mise en cache de lappartenance au groupe universel est principalement utilise lorsque deux
sites sont relis entre eux par une liaison WAN (Wide Area Network) possdant une faible bande
passante (par exemple une connexion RNS 128Kb/s). En effet, dans ce cas de figure la
connexion WAN impose diverses restrictions au niveau de limplmentation du rseau :
l est obligatoire de placer un contrleur de domaine dans le site distant sinon la connexion
ralentira les ouvertures de session.
l nest pas possible dhberger le catalogue global sur le site distant car la rplication entre les
serveurs de catalogue global entrane un trafic rseau trop important.
Malgr le fait quun contrleur de domaine soit disponible en local dans le site distant, le trafic
entre les deux site reste lev puisque pour chaque ouverture de session ou bien chaque accs
une ressource partage, le contrleur de domaine accs un serveur de catalogue global situ
dans la maison mre. Une solution ce problme est donc limplmentation de la mise en cache
de lappartenance au groupe universel.
4
Le schma ci-dessous illustre lutilisation classique de la mise en cache de lappartenance au
groupe universel :
Lorsquun utilisateur du site Martinique tente douvrir sa session pour la premire fois, il contacte
le contrleur de domaine qui va lui-mme contacter le serveur de catalogue global (GS sur le
schma) afin de rcuprer les SDs des groupes dont lutilisateur est membre. Le contrleur de
domaine va ensuite mettre en cache les informations quil a reues du serveur de catalogue
global pendant une dure de 8 heures (dure par dfaut). La mme opration (mise en cache)
est effectue lors du premier accs de lutilisateur une ressource partage.
Si lutilisateur se logge de manire rcurrente sur le domaine ou bien si il accde
rgulirement des partages rseaux, le contrleur de domaine du site Martinique utilise les
informations situes dans son cache. Cela offre trois grands avantages :
Les authentifications des utilisateurs et les accs aux ressources du rseau sont moins
dpendantes de la liaison WAN.
Le trafic dauthentification et dautorisation au niveau de la liaison WAN utilise peu de bande
passante.
La rsolution de lappartenance au groupe universel est plus rapide puisque le contrleur de
domaine possde les informations ncessaires en local.
41
Module B. 1estion des "a,tres d7o-rations
B.1. Prsentation des "a,tres do-rations
Les modifications dActive Directory peuvent tre faites sur nimporte quel contrleur de domaine.
l y a toutefois 5 exceptions pour lesquelles les modifications sont faites sur un et un seul
contrleur de domaine particulier : les 5 rles des matres doprations.
Voici les cinq rles des matres doprations :
Contrleur de schma
Matre dattribution des noms de domaine
Emulateur CPD
Matre didentificateur relatif
Matre dinfrastructure.
Les deux premiers sont assigns au niveau de la fort, les trois derniers au niveau du domaine.
Ce qui implique sil y a plusieurs domaines dans une fort, autant de matres doprations pour
les trois derniers rles, que de domaines.
Par dfaut le premier contrleur de domaine dune nouvelle fort contient les cinq rles.
B.1.1. 9+le du contr+leur de sc!"a
l est le seul dans une fort pouvoir modifier le schma. l duplique les modifications aux autres
contrleurs de domaine dans la fort lorsquil y a eut une modification du schma. Le fait davoir
un seul ordinateur qui gre le schma vite tout risque de conflits.
Un seul groupe peut faire des modifications sur le schma : le groupe dadministration du
schma.
B.1.2. Ma,tre dattribution de no" de do"aine
Seul le contrleur de domaine ayant ce rle, est habilit ajouter un domaine dans une fort. Si
le matre dopration dattribution de nom de domaine nest pas disponible, il est impossible
dajouter ou de supprimer un domaine la fort.
Du fait de son rle, le matre dattribution de nom de domaine est aussi un serveur de catalogue
global.
En effet pour viter tous problmes, celui-ci doit connatre tous les noms des objets prsents
dans la fort.
B.1.3. :"ulateur $PD CPD$D
Ce rle a t cr principalement dans un souci de permettre une compatibilit avec les versions
antrieures de Windows 2000.
Rle propre aux versions antrieures Windows 2000 :
42
l permet la prise en charge des BDC Windows NT4.
l a la gestion des modifications des mots de passes pour des clients antrieurs
Windows 2000.
Autres Rles :
Authentification de secours: Lorsque vous avez modifi votre mot de passe sur votre
ordinateur, et que vous vous connectez peu de temps aprs sur une autre machine, il se
peut que la rplication du changement de votre mot de passe nait pas encore t
effectue. Dans ce cas, le DC qui vrifie votre mot de passe va demander lmulateur
CPD si votre mot de passe na pas t chang avant de vous refuser laccs.
Synchroniser lheure de tous les DC en fonction de son horloge.
Elimine les risques dcrasement dobjets GPO : par dfaut la modification de GPO se
fait sur ce DC.
B.1.#. Ma,tre 9ID
Un SD est compos de deux blocs : un identificateur de domaine et un RD (dentificateur unique
dans le domaine).
Pour quil ne puisse y avoir deux DC qui assigne le mme SD deux objets diffrents, le matre
RD distribue une plage de RD chacun des DC. Lorsque la plage de RD a t utilise, le DC
demande une nouvelle plage de RD au matre RD.
Le matre RD aussi la charge des dplacements inter-domaines, pour viter la duplication de
lobjet.
B.1.&. Ma,tre dinfrastructure
Le matre dinfrastructure sert mettre jour, dans son domaine, les rfrences des objets
situs dans dautres domaines. Si des modifications dun objet du domaine surviennent
(dplacement intra et extra domaine), alors si cet objet est li un ou plusieurs objets dautres
domaines, le matre dinfrastructure est responsable de la mise jour vers les autres domaines.
La mise jour se fait par le biais dune rplication.
Un Matre dinfrastructure ne peut tre aussi un serveur de catalogue global.
B.2. 6ransfert et -rise de r+les de "a,tres do-rations
Si le serveur dfaillant sera rapidement remis en marche, ne transfrez pas le rle de matre
dopration.
On ne transfre le rle de matre dopration que lorsque le serveur ne pourra pas tre remis en
marche ou dans des dlais longs. (La limite en temps est vague car elle dpend de
lenvironnement de votre rseau, cela peut tre une journe comme une semaine).
B.2.1. 'a dfaillance de l:"ulateur de $PD
La dfaillance est la plus handicapante :
Les ordinateurs clients excutant une version antrieure Windows 2000 ne pourront
plus sauthentifier.
Perte de la diminution de latence pour la mise jour des mots de passe.
Eventuelle perte de synchronisation horaire entre les contrleurs.
B.2.2. Dfaillance du "a,tre dinfrastructure
43
Limite le dplacement des objets dans Active Directory
B.2.3. Dfaillance des autres "a,tres do-rations
Ces dfaillances sont les moins gnantes. l est prfrable de restaurer une sauvegarde de ces
matres doprations plutt que de les transfrer, le transfert de ces matres doprations peut
entraner des erreurs dans les donnes.
La prise du rle de ces matres doprations ne doit tre envisage quen dernier recours.
44
Module 10. Maintenance d7Active Directory
10.1. :ntretien de la base de donnes Active Directory
La sauvegarde dActive Directory doit tre effectue rgulirement. La sauvegarde de lEtat du
Systme sur un DC sauvegarde la base de donne AD (ainsi que le dossier sysvol, le Registre,
les fichiers de dmarrage du systme, linscription des classes et les certificats).
La dfragmentation dActive Directory doit tre effectue de temps en temps, pour viter que la
base de donnes AD ne prenne trop despace disque. (Lutilitaire NTDSUTL permet de
dfragmenter la base de donnes).
Lors de la dfragmentation la base de donnes AD est dplace, loriginal peut tre conserv en
tant que backup.
Le dplacement de la base de donnes AD peut tre ncessaire lors dun manque despace
disque.
10.1.1. <ic!iers dActive Directory
Nt$(.$it : Base de donnes contenant les objets dActive Directory.
E$9I.loG : Journal des modifications sur la base de donnes
E$9.cA? : Fichier de contrle, permet de ne pas perdre dinformations ou de corrompre
la base de donnes lors dun sinistre.
R#(I.loG : ces fichiers ne sont l que pour rserver de lespace disque pour le fichier de
journal.
$e mote!r de la base de donne Active Directory est nomm CSC >C0tensive Storae Cnine?
-0.-.2. N#tto*aG# $# la "oi'#
Un processus sexcute toutes les douze heures pour supprimer les objets obsoltes dActive
Directory et dfragmenter la mmoire utilise par Active Directory. Lors de la suppression dun
objet Active Directory, il est plac dans le conteneur Deleted Objects et lorsquil aura dpass sa
dure de vie dsactive (par dfaut 60 jours), le processus de nettoyage de la mmoire le
supprimera.
-0.-.3. R#(ta&'ation $%Acti)# Di'#cto'*
l existe trois types de restauration :
Force (authoritative)
Normale ou Non Force (non authoritative)
Principale
Une restauration force est utile dans le cas ou vous avez effac des objets dans Active
Directory par erreur, et que la rplication a t effectue entre les diffrents contrleurs de
domaines. Les objets effacs vont tre restaurs et rpliqus aux autres DC.
45
Une restauration non force, est une restauration dite 'normale toutes les modifications faites
depuis la sauvegarde vont tre rcupres lors de la prochaine rplication entre les DCs.
La restauration principale doit tre utilise uniquement lorsque l#( $onn"#( cont#n&#( $an(
to&( l#( cont'Ol#&'( $# $oain# $& $oain# (ont !#'$&#(. Une restauration principale
reconstruit le premier contrleur de domaine partir de la version sauvegarde. Utilisez ensuite
la restauration normale sur les autres contrleurs de domaine. Ce mode doit tre utilis lorsquil
nexiste aucune autre manire de reconstruire le domaine. En effet, toutes les modifications
postrieures la sauvegarde sont perdues.
46
0AKORATOIRES
47
Mo$&l# 2 = I!l"#ntation $%&n# (t'&ct&'# $# fo'<t #t $#
$oain# Acti)# Di'#cto'*
At#li#' A = I!l"#ntation $%Acti)# Di'#cto'*
O9:#ctif(
la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
crer un domaine racine de la fort ;
vrifier les niveaux fonctionnels de la fort et du domaine ;
augmenter le niveau fonctionnel dun domaine et dune fort ;
crer et vrifier des approbations de fort.
Sc"na'io
Vous tes un ingnieur systme de la socit Northwind Traders. Suite une srie de fusions
avec plusieurs socits de plus petite taille, Northwind Traders a dcid de consolider son
infrastructure Active Directory. Les organisations individuelles doivent grer leur structure Active
Directory, et tre cependant en mesure de communiquer avec toutes les filiales. Vous allez
fournir linfrastructure ncessaire la prise en charge de ces objectifs grce plusieurs forts et
approbations, le cas chant, entre elles.
EC#'cic# - = C'"ation $%&n $oain# 'acin# $# la fo'<t Acti)#
Di'#cto'*
Dans cet exercice, vous allez crer le domaine racine de la fort.
Sc"na'io
Vous crez une fort Active Directory qui va ventuellement tre fusionne dans un
environnement administratif polyvalent.. Le domaine racine de la fort doit tre cr. Votre
instructeur va vous attribuer lun des noms de domaine de la liste ci-dessous.
48
No $# l%o'$inat#&' Doain# 'acin# $# la fo'<t
Vancouver Nwtraders1.msft
Denver Nwtraders2.msft
Perth Nwtraders3.msft
Brisbane Nwtraders4.msft
Lisbon Nwtraders5.msft
Bonn Nwtraders6.msft
Lima Nwtraders7.msft
Santiago Nwtraders8.msft
Bangalore Nwtraders9.msft
Singapore Nwtraders10.msft
Casablanca Nwtraders11.msft
Tunis Nwtraders12.msft
Acapulco Nwtraders13.msft
Miami Nwtraders14.msft
Auckland Nwtraders15.msft
Suva Nwtraders16.msft
Stockholm Nwtraders17.msft
Moscow Nwtraders18.msft
Caracas Nwtraders19.msft
Montevideo Nwtraders20.msft
Manila Nwtraders21.msft
Tokyo Nwtraders22.msft
Khartoum Nwtraders23.msft
Nairobi Nwtraders24.msft
TQcA#( In(t'&ction( (!"cifi;&#(
1. Cr#er un domaine racine de
la 2or-t.
a. 6eporte"7&ous au tableau pour &os attributions de domaine.
b. 8u&re" une session sur &otre ser&eur en tant quAdministrateur
a&ec le mot de passe P@ssw0rd si &ous ne la&e" pas encore 2ait.
Vous devez installer le systme DNS en utilisant lAssistant
Installation de Active Directory. Le service de rsolution DNS du
contrleur de domaine racine doit pointer sur London.
2. Suivez les instructions ci-
dessous pour installer Active
Directory.
.1 Cliquez sur D"a''#', sur EC"c&t#', puis tapez $c!'oo et
cliquez sur OR.
.2 Dans la page A((i(tant In(tallation $# Acti)# Di'#cto'*,
cliquez sur S&i)ant.
.3 Dans la page Co!ati9ilit" $& (*(tP# $'#C!loitation,
cliquez sur S&i)ant.
.4 Terminez l'excution de l'Assistant nstallation de Active
Directory en utilisant les informations contenues dans le
tableau ci-dessous. l'invite, insrez le CD-ROM Windows
Server 2003, Enterprise Edition dans le lecteur de CD-ROM
49
ou de DVD-ROM.
Dans ette pa!e de "#Assistant Pro$de% omme suit
&'pe de ontr("eur de domaine 0#ri2ie" que l9option )ontr("eur de domaine
pour un nou*eau domaine est s#lectionn#e.
)r$er un nou*eau domaine 0#ri2ie" que l9option Domaine dans une
nou*e""e for+t est s#lectionn#e.
,ou*eau nom de domaine 1ape" nwtradersx.msft
,om de domaine ,et-IOS 0#ri2ie" que ,.&/ADE/Sx s9a22iche.
Dossiers de "a base de donn$es et du
journa"
Conser&e" la &aleur par d#2aut.
0o"ume s'st1me parta!$ Conser&e" la &aleur par d#2aut.
Dia!nostis des insriptions D,S Conser&e" la &aleur par d#2aut.
Autorisations Conser&e" la &aleur par d#2aut.
Mot de passe administrateur
de restauration des ser*ies
d#annuaire
4ot de passe du mode 6estauration :
P@ssw0rd
Con2irmer le mot de passe : P@ssw0rd
/$sum$ Clique" sur Sui*ant.
.5 'ans la bo;te de dialogue Ins$re% un dis2ue3 clique" sur
O3.
.6 'ans la bo;te de dialogue 4i5iers n$essaires3 tape"
)67i89: ou ins$rer *otre )D;/OM de .indows <008
et clique" sur O3.
.7 'ans la page 4in de "#Assistant Insta""ation de Ati*e
Diretor'3 clique" sur &erminer.
.8 !orsque &ous -tes in&it# $ red#marrer l9ordinateur3 clique"
sur /ed$marrer maintenant.
8. Cr#er deu. comptes dutilisateurs $
des 2ins de conne.ion.
Cr#e" Nom_rdinateurUser pour chaque ordinateur de la
2or-t.
=. 0#ri2ier la cr#ation de la nou&elle
2or-t.
5
EC#'cic# 2 = A&G#ntation $& ni)#a& fonctionn#l $& $oain# #t
$# la fo'<t
Dans cet exercice, vous allez augmenter les niveaux fonctionnels du domaine et de la fort vers
Windows Server 2003.
Sc"na'io
Northwind Traders prpare son environnement dapprobations entre forts, que lquipe
informatique va implmenter ultrieurement. Avant dimplmenter des approbations entre forts,
le niveau fonctionnel des domaines et des forts doit tre augment afin de prendre en charge la
fonctionnalit dapprobation de fort.
TQcA#( In(t'&ction( (!"cifi;&#(
1. %ugmenter le ni&eau 2onctionnel du
domaine.
8u&re" une session en tant que
,wtraders!<Nom_rdinateurUser *o= ! est le num#ro du
domaine que &otre instructeur &ous a attribu#> a&ec le mot de
passe P@ssw0rd.
<. %ugmenter le ni&eau 2onctionnel de la
2or-t.
0ous de&e" augmenter le ni&eau en utilisant uniquement
un membre de la 2or-t.
EC#'cic# 3= C'"ation $%&n# a!!'o9ation $# fo'<t
Dans cet exercice, vous allez crer une approbation de fort bidirectionnelle avec la fort
nwtraders.msft.
Sc"na'io
Le conglomrat Northwind Traders se dveloppe rapidement. Vous devez prendre en charge
laugmentation des conditions requises en matire de connectivit entre les diffrentes
organisations. Pour satisfaire ces conditions, vous allez crer lapprobation requise avec laquelle
activer les communications et laccs aux ressources entre votre fort et la fort de la socit.
TQcA#( In(t'&ction( (!"cifi;&#(
1. Con2igurer la redirection '5?. @22ectue" cette tAche sur le contrBleur du domaine racine
de la 2or-t.
<. Cr#er une approbation entre la 2or-t de
la classe et la &Btre3 puis &#ri2ier que
lapprobation a #t# cr##e.
51
Mo$&l# 3 = I!l"#ntation $# la (t'&ct&'# $%&n# &nit"
$%o'Gani(ation
EC#'cic# -= C'"ation $%&nit"( $%o'Gani(ation
Objectif
Dans cette application pratique, vous allez crer des units dorganisation dans le domaine
hberg par votre ordinateur de stagiaire, laide de loutil de ligne de commande Ldifde.
Scnario
Northwind Traders possde plusieurs succursales. La vtre contient trois services : nformatique,
Ventes (Sales) et Ressources humaines (HR, D!man 4eso!rces). En tant quadministrateur du
rseau de votre bureau, vous devez crer trois units dorganisation pour ces services.
A!!lication !'ati;&#= Po&' c'"#' $#( &nit"( $%o'Gani(ation M l%ai$# $# l%o&til
$# liGn# $# coan$# 0$if$#
1. Ouvrez une session sous le nom N,t'a$#'(0\-omEOrdinate!rU(#' avec le mot de
passe PS((,0'$.
2. Utilisez le Bloc-notes pour crer un fichier dentre pour les units dorganisation
reprsentes dans lillustration suivante.
EC#!l# $# ficAi#' Kloc-not#( !o&' l%#C#!l# D(a!l#.tCtE.
$n= OU@1anco&)#',DC@n,t'a$#'(-,DC@(ft
cAanG#t*!#= a$$
o9:#ctCla((= o'GaniJationalUnit
$n= OU@IT,OU@1anco&)#',DC@n,t'a$#'(-,DC@(ft
cAanG#t*!#= a$$
0otre &ille
C1 ?%!@? 6D
52
o9:#ctCla((= o'GaniJationalUnit
$n= OU@Sal#(,OU@1anco&)#',DC@n,t'a$#'(-,DC@(ft
cAanG#t*!#= a$$
o9:#ctCla((= o'GaniJationalUnit
$n= OU@>R,OU@1anco&)#',DC@n,t'a$#'(-,DC@(ft
cAanG#t*!#= a$$
o9:#ctCla((= o'GaniJationalUnit
3. Crez les nouvelles units dorganisation laide de loutil de ligne de commande Ldifde.
Exercice 2: Dlgation des tches dadministration dune unit
dorganisation
Objectif
Dans cette application pratique, vous allez dlguer des tches dadministration courantes
dunits dorganisation dans le domaine hberg par votre ordinateur de stagiaire.
Scnario
Vous tes ladministrateur du rseau pour Northwind Traders. Compte tenu de la taille de votre
socit, vous navez pas le temps dexcuter les tches dadministration de routine pour chaque
unit dorganisation. Vous souhaitez dlguer le contrle des units dorganisation au personnel
du Support technique et aux responsables de chaque service.
A!!lication !'ati;&#= D"l"G&#' l#( tQcA#( $%a$ini(t'ation co&'ant#( !o&' l#( &nit"(
$%o'Gani(ation $& $oain# A"9#'G" !a' )ot'# o'$inat#&' $#
(taGiai'#
1. Ouvrez une session sous le nom N,t'a$#'(0\-omEOrdinate!rU(#' avec le mot de
passe PS((,0'$.
2. Cliquez sur D"a''#', pointez sur O&til( $%a$ini(t'ation, cliquez avec le bouton droit
sur Utili(at#&'( #t o'$inat#&'( Acti)# Di'#cto'*, puis cliquez sur EC"c&t#' #n tant
;&#.
3. Dans la bote de dialogue EC"c&t#' #n tant ;&#, cliquez sur 0%&tili(at#&' (&i)ant, tapez
votreEdomaineTA$ini(t'at#&' comme nom dutilisateur, puis le mot de passe
PS((,0'$ et cliquez sur OR.
4. Crez pour le domaine un groupe de scurit local appel D0 -omEOrdinate!rA$in(
dans lunit dorganisation -omEOrdinate!r dans votre domaine (-omEOrdinate!r tant
le nom de lordinateur sur lequel vous travaillez).
5. Ajoutez le groupe global Nwtraders\G -omEOrdinate!rAdmins comme membre du
groupe local de domaine DL -omEOrdinate!rAdmins.
6. Dlguez le droit de crer, supprimer et grer des comptes dutilisateurs dans lunit
dorganisation -omEOrdinate!r au groupe DL -omEOrdinate!rAdmins.
7. Vrifiez que le contrle a t dlgu pour ces tches en visualisant les autorisations
affectes au groupe local de domaine pour lunit dorganisation -omEOrdinate!r.
53
EC#'cic# 3 = Planification $%&n# (t'&ct&'# $%&nit" $%o'Gani(ation
Objectif
Dans cette application pratique, vous allez travailler avec votre partenaire sur la planification
dune structure dunit dorganisation pour Northwind Traders.
Scnario
Northwind Traders se prpare installer Windows Server 2003 sur ses sites de Sacramento,
(Californie) et Portland (Oregon). Lquipe de conception dActive Directory utilisera un domaine
racine vide, nwtraders0.msft, et un sous-domaine, corp0.nwtraders0.msft, 0 tant un numro que
votre instructeur vous affectera.
Tous les comptes dutilisateurs et dordinateurs sont dans le domaine corp0. Northwind Traders a
1500 utilisateurs rpartis dans six services sur ces deux sites.
Portland compte 600 utilisateurs dans les services suivants :
Comptabilit (Accounting)
nformatique
Achats (Purchasing)
Livraison (Shipping)
Sacramento compte 900 utilisateurs dans les services suivants :
Comptabilit
Ressouces humaines
nformatique
Achats
Ventes
Dans chaque service, un administrateur local gre les comptes dutilisateurs et les paramtres de
stratgie de groupe. Le service nformatique souhaite dlguer le droit de grer tous les
utilisateurs dun service spcifique, ou dun service situ un emplacement spcifique.
Procdure
Travaillez avec votre partenaire pour planifier une structure dunit dorganisation. Utilisez un
graphique pour documenter votre plan de structure dunit dorganisation.
0a '"!on(# (&i)ant# #(t &n# (ol&tion !o((i9l# M l%#C#'cic# $# l%a!!lication !'ati;&# =
Doain# Co'!
Acco&ntinG
o Po'tlan$
o Sac'a#nto
>R
IT
o Po'tlan$
54
o Sac'a#nto
P&'cAa(inG
o Po'tlan$
o Sac'a#nto
Sal#(
SAi!!inG
At#li#' A = I!l"#ntation $# la (t'&ct&'# $%&n# &nit"
$%o'Gani(ation
Objectifs
la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
crer une unit dorganisation ;
dlguer le contrle dune unit dorganisation.
Scnario
Northwind Traders embauche du personnel comptable et de recherche
(Research) dans tous ses sites. De nouvelles units dorganisation doivent tre cres sur
chaque site pour les services correspondants. Chaque service possde un administrateur local
qui gre les comptes dutilisateurs.
Vous devez crer une unit dorganisation Accounting et une autre nomme
Research dans lunit dorganisation -omEOrdinate!r, dans votre domaine.
Vous devez, en outre, crer un groupe local de domaine DL AccountingAdmins et DL
ResearchAdmins, puis dlguer des autorisations chaque groupe afin de grer lunit
dorganisation approprie. Vous crerez les nouveaux groupes locaux de domaine dans lunit
dorganisation -omEOrdinate!r\T, dans votre domaine.
EC#'cic# - = C'"ation $%&nit"( $%o'Gani(ation
Vous allez utiliser dans cet exercice loutil de ligne de commande Dsadd pour crer les units
dorganisation dans votre domaine.
TQcA#( In(t'&ction( (!"cifi;&#(
1. Etiliser loutil de ligne de
commande 'sadd pour cr#er les unit#s
dorganisation %ccounting et
6esearch dans lunit# dorganisation
Nom_rdinateur3 dans &otre domaine.
8u&re" une session sous le nom
,wtraders!<Nom_rdinateurUser a&ec le mot de passe
P@ssw0rd.
EC#'cic# 2 = D"l"Gation $& cont'Ol# a$ini(t'atif
Dans cet exercice, vous allez utiliser la console Utilisateurs et ordinateurs Active Directory pour
crer des groupes, ajouter des groupes globaux partir du domaine nwtraders.msft aux groupes
que vous crez, puis dlguer le contrle de chaque unit dorganisation au groupe appropri.
Pour terminer, vous vrifierez la dlgation du contrle.
TQcA#( In(t'&ction( (!"cifi;&#(
55
1. Cr#er les groupes locau. de
domaine sui&ants dans lunit#
dorganisation
Nom_rdinateur<C1 :
'! %ccounting%dmins
'! 6esearch%dmins
a. 8u&rir une session sous le nom ,wtraders!<Nom_rdinateurUser
a&ec le mot de passe P@ssw0rd.
b. Etiliser Ex$uter en tant 2ue pour d#marrer la console Etilisateurs
et 8rdinateurs %cti&e 'irector( sous votre_domaine<Administrateur
a&ec le mot de passe P@ssw0rd.
<. %)outer le groupe global
/ Nom_rdinateur%dmins
$ partir du domaine
5,traders.ms2t au. groupes
locau. de domaine
'! %ccounting%dmins
et '! 6esearch%dmins dans &otre
domaine.
8. Etiliser l%ssistant '#l#gation de
ContrBle pour d#l#guer le droit de
cr#er3 supprimer et g#rer des
comptes dutilisateurs dans les
unit#s dorganisation
%ccounting et 6esearch au.
les groupes locau. de domaine
appropri#s que &ous a&e" cr##s.
EC#'cic# 3 = 1"'ification $# la $"l"Gation $& cont'Ol#
Vous allez vrifier dans cet exercice les autorisations affectes aux groupes DL
AccountingAdmins et DL ResearchAdmins dans les units dorganisation Accounting et
Research.
TQcA#( In(t'&ction( (!"cifi;&#(
1. %cti&er la &ue 4ontions
a*an$es dans Etilisateurs
et ordinateurs %cti&e 'irector(.
a. 8u&rir une session sous le nom ,wtraders!<Nom_rdinateurUser
a&ec le mot de passe P@ssw0rd.
b. Etiliser Ex$uter en tant 2ue pour d#marrer la console Etilisateurs
et ordinateurs %cti&e 'irector( sous votre_domaine<Administrateur
a&ec le mot de passe P@ssw0rd.
<. 0isualiser les autorisations
a22ect#es au. groupes locau. de
domaine '! %ccounting%dmins et
'! 6esearch%dmins dans &otre
domaine pour les unit#s
dorganisation %ccounting et
6esearch.
Fuelles autorisations sont a22ect#es au groupe '! %ccounting%dmins G H quels ob)ets les autorisations
sappliquent7elles G
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
Fuelles autorisations sont a22ect#es au groupe '! 6esearch%dmins G H quels ob)ets les autorisations
sappliquent7elles G
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
56
Mo$&l# 4 = I!l"#ntation $# co!t#( $%&tili(at#&'(, $#
G'o&!#( #t $%o'$inat#&'(
EC#'cic# - = C'"ation $# co!t#( $%&tili(at#&'(
Objectifs
Dans cette application pratique, vous allez crer et excuter un fichier de script qui contient des
commandes pour crer un compte dutilisateur, puis vous vrifierez que le compte dutilisateur a
t cr
Scnario
La socit Northwind Traders a engag un nouveau commercial, Suzanne
Duprez. Vous devez lui crer un nom douverture de session utilisateur. La norme actuelle chez
Northwind Traders consiste utiliser le prnom de lutilisateur et les trois premires lettres de son
nom de famille. Vous utiliserez un environnement dexcution de scripts Windows pour crer ce
compte dutilisateur dans lunit dorganisation FotreEOrdinate!r\Sales.
A!!lication !'ati;&# =
Po&' c'"#' l# co!t# $%&tili(at#&', !'oc"$#J co# (&it =
1. Ouvrez une session en tant que N,t'a$#'(0\-omEOrdinate!rU(#' avec le mot de passe
PS((,0'$.
2. Utilisez le Bloc-notes pour crer un fichier de script qui contient des commandes pour
crer le nouveau compte dutilisateur.
a. Ouvrez le Bloc-notes.
b. Tapez le script pour crer le compte dutilisateur.
c. Dans le menu FicAi#', cliquez sur En'#Gi(t'#' (o&(.
d. Dans la zone No $# ficAi#', tapez c'#at#&(#'(.)9(
e. Dans la zone T*!#( $# ficAi#'(, slectionnez To&( l#( ficAi#'(.
f. Cliquez sur En'#Gi(t'#'.
3. Excutez le fichier de script.
a. Cliquez sur D"a''#', cliquez avec le bouton droit sur In)it# $# coan$#(,
puis cliquez sur EC"c&t#' #n tant ;&#.
b. Dans la bote de dialogue EC"c&t#' #n tant ;&#, cliquez sur 0%&tili(at#&'
(&i)ant, tapez FotreEDomaineTA$ini(t'at#&' comme nom dutilisateur avec le
mot de passe PS((,0'$, puis cliquez sur OR.
c. Changez le rpertoire pour le dossier dans lequel vous avez enregistr le fichier
createusers.vbs.
d. linvite de commandes, tapez ,(c'i!t.#C# c'#at#&(#'(.)9(.
4. Utilisez la console Utilisateurs et ordinateurs Active Directory pour vrifier que lutilisateur
a t cr.
a. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
b. Dans larborescence de la console, cliquez sur Sal#(.
c. Dans le volet dinformations, observez les comptes dutilisateurs rpertoris.
57
1oici &n #C#!l# $# ficAi#' $# '"!on(#.
S#t o9:OU @
3#tO9:#ctDH0DAP=FFOU@Sal#(,OU@1anco&)#',$c@n,t'a$#'(-,$c@(ftH
E
S#t o9:U(#' @ o9:OU.C'#at#DHU(#'H, Hcn@S&Jann#D&!HE
o9:U(#'.P&t H(AMAcco&ntNa#H, HS&Jann#D&!H
o9:U(#'.S#tInfo
o9:U(#'.Acco&ntDi(a9l#$ @ FA0SE
o9:U(#'.CAanG#Pa((,o'$ HH, HPS((,0'$H
o9:U(#'.P&t H&(#'P'inci!alNa#H, HS&Jann#D&!Sn,t'a$#'(-.(ftH
o9:U(#'.S#tInfo
EC#'cic# 2= C'"ation $# (&ffiC#( UPN
Objectifs
Dans cette application pratique, vous allez crer un suffixe de nom pour un domaine de second
niveau, puis vous activerez le routage du suffixe de nom entre deux forts.
Scnario
La socit Northwind Traders possde une fort de plusieurs domaines.
La socit a choisi un nouveau nom de domaine, qui sera utilis pour le nom du site Web et de
ladresse lectronique de la socit. Vous devez ajouter le nouveau suffixe puis activer le
routage.
A!!lication !'ati;&# = C'"#' &n (&ffiC# $# no #t acti)#' l# 'o&taG# $& (&ffiC#
1. Crez un nouveau suffixe de nom pour un domaine de second niveau nomm
FotreE#rnom.msft.
a. Ouvrez une session en tant que N,t'a$#'(0\-omEOrdinate!rU(#' avec le mot
de passe PS((,0'$.
b. Utilisez EC"c&t#' #n tant ;&# pour dmarrer la console Domaines et
approbations Active en tant que FotreEDomaine\A$ini(t'at#&' avec le mot de
passe PS((,0'$.
c. Dans larborescence de la console, cliquez avec le bouton droit sur Doain#( #t
a!!'o9ation( Acti)# Di'#cto'*, puis cliquez sur P'o!'i"t"(.
d. Sous longlet S&ffiC#( UPN, tapez le suffixe UPN FotreE#rnom.msft, cliquez
sur A:o&t#', puis sur OR.
2. Activez le routage des nouveaux suffixes de noms que vous avez crs dans la fort
nwtraders.msft.
a. Dans larborescence de la console, cliquez avec le bouton droit sur Doain#( #t
a!!'o9ation( Acti)# Di'#cto'*, puis cliquez sur S# conn#ct#' a& cont'Ol#&'
$# $oain#.
b. Dans la bote de dialogue S# conn#ct#' a& cont'Ol#&' $# $oain#, dans la
zone Doain#, tapez n,t'a$#'(.(ft.
c. Cliquez sur OR, puis sur O&i.
d. Dans larborescence de la console, cliquez avec le bouton droit sur
n,t'a$#'(.(ft, puis cliquez sur P'o!'i"t"(.
58
e. Sous longlet A!!'o9ation(, sous Doain#( ;&i a!!'o&)#nt c# $oain#
Da!!'o9ation( #nt'ant#(E, cliquez sur n,t'a$#'(5.(ft, sur P'o!'i"t"(, puis
sur longlet Ro&taG# $#( (&ffiC#( $# no(.
f. Dans la bote de dialogue Acti)# Di'#cto'*, tapez le nom dutilisateur
A$ini(t'at#&' et le mot de passe PS((,0'$, puis cliquez sur OR.
g. Sous longlet Ro&taG# $#( (&ffiC#( $# no(, sous S&ffiC#( $# no( $an( la
fo'<t n,t'a$#'(0, cliquez sur FotreE#rnom.(ft, sur Acti)#', puis cliquez
deux fois sur OR.
EC#'cic# 3= D"!lac##nt $%o9:#t(
Objectifs
Dans cette application pratique, vous allez effectuer les tches suivantes :
utiliser Ldp.exe pour examiner lidentificateur SD, lhistorique SD et lidentificateur GUD
dun objet utilisateur ;
dplacer un objet utilisateur vers une autre unit dorganisation du mme domaine ;
utiliser Ldp.exe pour afficher les modifications apportes lidentificateur SD,
lhistorique SD et lidentificateur GUD de lobjet utilisateur.
Scnario
Votre organisation compte 2000 utilisateurs. Suzanne Duprez, une utilisatrice de votre domaine,
occupe un nouveau poste au sein de la socit. Vous devez dplacer son objet compte utilisateur
pour quil corresponde son nouveau rle.
Alication rati!ue : D$p"aer un ompte d>uti"isateur et affi5er "es modifiations
ons$uti*es au d$p"aement
1. Ouvrez une session en tant que N,t'a$#'(0\-omEOrdinate!rU(#' avec le mot de passe
PS((,0'$.
2. Utilisez Ldp.exe pour examiner lidentificateur SD, lhistorique SD et lidentificateur
GUD de lobjet utilisateur de Suzanne Duprez dans lunit dorganisation
FotreEOrdinate!r\Sales situe dans le domaine hberg par votre ordinateur stagiaire.
a. Cliquez sur D"a''#', sur In)it# $# coan$#(, tapez l$! et appuyez sur
ENTRE.
b. Dans la bote de dialogue 0$!, dans le menu Conn#ction, cliquez sur Conn#ct.
c. Dans la bote de dialogue Conn#ction, dans la zone S#')#', tapez le nom de
votre serveur, puis cliquez sur OR.
d. Dans la bote de dialogue 0$a!, dans le menu Conn#ction, cliquez sur Kin$.
e. Dans la bote de dialogue Kin$, tapez le nom dutilisateur A$ini(t'at#&', le
mot de passe PS((,0'$ et le nom du domaine hberg par votre serveur, puis
cliquez sur OR.
f. Dans le menu 1i#,, cliquez sur T'##.
g. Dans la bote de dialogue T'## 1i#,, dans la liste Ka(#DN, slectionnez votre
nom de domaine, puis cliquez sur OR.
h. Dans larborescence de la console, dveloppez votre domaine, doublecliquez sur
FotreEOrdinate!r, sur lobjet de lunit dorganisation Sales, puis sur lobjet
utilisateur de Suzanne Duprez.
i. Dans le volet dinformations, affichez les proprits de lobjet.
i. Quel est lattribut objectGUD de ce compte ?
_______________________________________________________
59
ii. Quel est lattribut objectSid de ce compte ?
_______________________________________________________
iii. .iste7t7il une entr#e ?C'Distor( pour ce compte dutilisateur G ?i oui3 quels
sont les identi2icateurs ?C' r#pertori#s G
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
3. Dplacez lobjet utilisateur de Suzanne Duprez dans lunit dorganisation
FotreEOrdinate!r\HR de votre domaine.
a. Utilisez EC"c&t#' #n tant ;&# pour dmarrer la console Utilisateurs et
ordinateurs Active Directory en tant que FotreEDomaine\A$ini(t'at#&' avec le
mot de passe PS((,0'$.
b. Dans le volet dinformations, faites glissez lobjet utilisateur S&Jann#D&! de
lunit dorganisation FotreEOrdinate!r\Sales vers lunit dorganisation
FotreEOrdinate!r\HR.
4. Utilisez Ldp.exe pour afficher les modifications apportes lidentificateur SD,
lhistorique SD et lidentificateur GUD de lobjet utilisateur de Suzanne Duprez.
a. Dans larborescence de la console, double-cliquez sur >R, puis sur lobjet
utilisateur de Suzanne Duprez.
b. Dans le volet dinformations, affichez les proprits de lobjet. Des modifications
ont-elles t apportes lidentificateur SD, lhistorique SD ou
lidentificateur GUD de ce compte ? Si oui, lesquelles ?
A&c&n# o$ification n%a "t" a!!o't"# M l%i$#ntificat#&' SID, M l%Ai(to'i;&#
SID o& M l%i$#ntificat#&' 3UID $& co!t# $%&tili(at#&' (&it# M c#
$"!lac##nt.
EC#'cic# 4= Planification $%&n# (t'at"Gi# $# co!t#
Objectifs
Dans cette application pratique, vous allez effectuer les tches suivantes :
dterminer la stratgie dattribution de nom de compte ;
dterminer la stratgie de mot de passe ;
dterminer la stratgie dauthentification, dautorisation et dadministration ;
dterminer la stratgie de groupe pour votre fort.
Scnario
Votre socit se trouve dans un environnement dentreprise hautement concurrentiel. Le maintien
de la scurit des informations et des secrets commerciaux est vital. Votre organisation compte
1000 utilisateurs dans une fort Active Directory. La fort se compose dun domaine racine vide
nomm nwtraders.msft, dun domaine enfant nomm corp.nwtraders.msft qui contient tous vos
groupes de comptes et dutilisateurs. Tous les contrleurs de domaines de votre fort excutent
Windows Server 2003. Le domaine racine contient uniquement des comptes administrateur que
vous utilisez pour effectuer des tches dadministration lchelle de la fort.
Alication rati!ue : P"anifier une strat$!ie de ompte
1. Quelle stratgie dattribution de nom de compte allez-vous utiliser dans le
domaine corp ?
0#( '"!on(#( )a'i#nt. Un# (t'at"Gi# $%att'i9&tion $# no !o((i9l# con(i(t#
M &tili(#' l# !'"no #t l%initial# $& no $# faill# $# l%&tili(at#&'. En ca( $#
6
conflit( $# no(, '"(ol)#J-l#( #n &tili(ant a& oin( $#&C ca'actP'#( $&
no $# faill# $# l%&tili(at#&' !o&' c'"#' &n no $%&tili(at#&' &ni;&#.
2. Quels paramtres de stratgie de mot de passe allez-vous utiliser pour le
domaine corp ?
1o( !a'aPt'#( $# (t'at"Gi# incl&'ont a& ini& l#( "l"#nt( (&i)ant( =
Con(#')#' l%Ai(to'i;&# $#( 24 ot( $# !a((# ot( $# !a((# "o'i("(
D&'"# $# )i# aCial# $& ot $# !a((" 42 :o&'(
D&'"# $# )i# inial# $& ot $# !a((# 2 :o&'(
0onG&#&' inial# $& ot $# !a((# 7 ca'actP'#(
0# ot $# !a((# $oit '#(!#ct#' $#( #CiG#nc#( $# co!l#Cit" Acti)"
En'#Gi(t'#' l#( ot( $# !a((# #n &tili(ant &n c'*!taG# '")#'(i9l#
D"(acti)"
3. Quels paramtres de stratgie de mot de passe allez-vous utiliser pour le
domaine racine ?
1o( !a'aPt'#( $# (t'at"Gi# incl&'ont a& ini& l#( "l"#nt( (&i)ant( =
Con(#')#' l%Ai(to'i;&# $#( 24 ot( $# !a((# ot( $# !a((# "o'i("(
D&'"# $# )i# aCial# $& ot $# !a((# 30 :o&'(
D&'"# $# )i# inial# $& ot $# !a((# 6 :o&'(
0onG&#&' inial# $& ot $# !a((# -4 ca'actP'#(
0# ot $# !a((# $oit '#(!#ct#' $#( #CiG#nc#( $# co!l#Cit" Acti)"
En'#Gi(t'#' l#( ot( $# !a((# #n &tili(ant &n c'*!taG# '")#'(i9l#
D"(acti)"
4. Que comprendra votre stratgie dauthentification, dautorisation et
dadministration ?
1ot'# (t'at"Gi# $#)'a (# confo'#' a&C in$ication( (&i)ant#( =
D"fini((#J &n# (t'at"Gi# $# )#''o&illaG# $# co!t# ;&i )#''o&ill# l#(
co!t#( $%&tili(at#&'( !#n$ant 30 in&t#( a!'P( (#!t t#ntati)#(
$%o&)#'t&'# $# (#((ion inf'&ct&#&(#(.
ECiG#J ;&# l#( a$ini(t'at#&'( o&)'#nt &n# (#((ion M l%ai$# $%&n co!t#
$%&tili(at#&' no'al #t ;&%il( #ff#ct&#nt to&t#( l#( tQcA#( $%a$ini(t'ation
M l%ai$# $# la coan$# '&na(.
ECiG#J &n# a&tA#ntification !a' ca't# M !&c# !o&' to&t accP( $i(tant M
)ot'# '"(#a&.
R#no#J #t $"(acti)#J l# co!t# A$ini(t'at#&' $an( cAa;&# $oain#.
I!l"#nt#J &n o$Pl# $# ("c&'it" 9a(" (&' l# 'Ol# lo'( $# la !lanification
$#( G'o&!#(.
5. Que comprendra votre stratgie de groupe ?
1ot'# (t'at"Gi# $#)'a (# confo'#' a&C in$ication( (&i)ant#( =
Aff#ct#J l#( &tili(at#&'( a&C '#(!on(a9ilit"( !'of#((ionn#ll#( co&n#(
a&C G'o&!#( Glo9a&C.
C'"#J &n G'o&!# local $# $oain# !o&' l#( '#((o&'c#( !a'taG"#(.
A:o&t#J a&C G'o&!#( loca&C $# $oain# $#( G'o&!#( Glo9a&C ;&i #CiG#nt
&n accP( a&C '#((o&'c#(.
N%&tili(#J !a( $#( G'o&!#( &ni)#'(#l( DM l%#Cc#!tion $#( G'o&!#(
A$ini(t'at#&'( $# l%#nt'#!'i(# #t A$ini(t'at#&'( $& (cA"a $an( l#
$oain# 'acin#E ca' to&( l#( co!t#( $%&tili(at#&'(, co!t#( $# G'o&!#(
#t '#((o&'c#( non a$ini(t'atif( (#'ont (it&"( $an( l# $oain# co'!.
61
EC#'cic# 4= Planification $%&n# (t'at"Gi# $%a&$it
Objectifs
Dans cette application pratique, vous allez dterminer les stratgies daudit activer pour Active
Directory.
Scnario
Vous devez planifier une stratgie daudit pour Northwind Traders, qui compte
1000 utilisateurs dans une fort Active Directory. Votre fort se compose dun domaine racine
vide nomm nwtraders.msft et dun domaine enfant nomm
corp.nwtraders.msft qui contient tous vos groupes de comptes et dutilisateurs.
Alication rati!ue : P"anifier une strat$!ie d>audit
Pour quels vnements allez-vous activer laudit ?
0#( '"!on(#( )a'i#nt. 0a (t'at"Gi# '#coan$"# con(i(t# M acti)#' l%a&$it $#( (&ccP(
!o&' l# (*(tP#, la o$ification $# (t'at"Gi# #t la G#(tion $#( co!t#(. Ell# con(i(t# a&((i
M acti)#' l%a&$it $#( "cA#c( !o&' l#( ")"n##nt( (*(tP#. Il n%#(t !a( '#coan$"
$%acti)#' l%a&$it $#( "cA#c( !o&' $%a&t'#( ")"n##nt( M oin( ;&# )o&( a&$iti#J
(!"cifi;&##nt #n )&# $# $"t#ct#' $#( int'&(ion(.
At#li#' A = I!l"#ntation $%&n# (t'at"Gi# $# co!t# #t
$%a&$it
Objectifs
la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
planifier une stratgie pour des comptes dutilisateurs, de groupes et dordinateurs ;
planifier une stratgie daudit Active Directory ;
crer plusieurs comptes dutilisateurs et dordinateurs ;
implmenter des suffixes UPN ;
dplacer des objets lintrieur dun domaine et entre domaines dune fort.
Scnario
La socit Northwind Traders implmente Windows Server 2003 sur son rseau. Elle prvoie
dutiliser une fort avec deux domaines, savoir un domaine racine vide et un domaine
dentreprise. Le domaine dentreprise contiendra les comptes dutilisateurs, de groupes et
dordinateurs.
Exercice " : Planification dune stratgie de comte et daudit
62
Dans cet exercice, vous allez planifier une stratgie dattribution de nom de compte pour la
nouvelle fort de Northwind Traders. Utilisez les instructions fournies par lquipe dingnierie et
de conception.
Scnario
La nouvelle fort se composera dun domaine racine vide nomm nwtraders.msft et dun domaine
enfant nomm corp.nwtraders.msft qui contiendra tous vos comptes dutilisateurs. La socit
possde des bureaux dans sept villes.
Votre stratgie de compte et daudit devra tenir compte des conditions suivantes :
La stratgie dattribution de nom des comptes dutilisateurs doit permettre aux employs
qui ne connaissent que le prnom et le nom de famille dun autre utilisateur de
dterminer facilement ladresse lectronique de celui-ci.
La stratgie dattribution de nom des comptes dordinateurs doit permettre aux employs
didentifier facilement lemplacement et le rle dun ordinateur.
Tous les employs doivent possder une adresse lectronique de type
-omE%tilisate!r @nwtraders.msft .
La stratgie daudit doit tre capable de dtecter les tentatives de modification et les
modifications non autorises dActive Directory.

TQcA#(
1. Jlani2ier une strat#gie dattribution de nom de compte dutilisateur pour la 2or-t n,traders.ms2t.
'e quoi se composeront les noms de compte dutilisateur G
_______________________________________________________________________________
Fuelle strat#gie alle"7&ous utiliser pour r#soudre des con2lits de noms de comptes dutilisateurs G
_________________________________________________________________
Fualle"7&ous utiliser comme su22i.e EJ5 pour les comptes dutilisateurs G
_____________________________________________________________________________
2. Jlani2ier une strat#gie dattribution de nom de compte dordinateur pour la 2or-t n,traders.ms2t.
Fuelle con&ention dattribution de nom alle"7&ous utiliser pour les comptes de ser&eurs G
_____________________________________________________________________________
Fuelle con&ention dattribution de nom alle"7&ous utiliser pour les ordinateurs clients G
_____________________________________________________________________________
8. Jlani2ier une strat#gie de mot de passe pour la 2or-t n,traders.ms2t.
Fuels paramKtres de strat#gie de mot de passe alle"7&ous appliquer au domaine n,traders.ms2t G
_____________________________________________________________________________
Fuels paramKtres de strat#gie de mot de passe alle"7&ous appliquer au domaine corp.n,traders.ms2t G
_____________________________________________________________________________
63
=. Jlani2ier une strat#gie daudit pour la 2or-t n,traders.ms2t.
Fuels paramKtres daudit des succKs alle"7&ous inclure $ &otre plan G
_____________________________________________________________________________
Fuels paramKtres daudit des #checs alle"7&ous inclure $ &otre plan G
_____________________________________________________________________________
EC#'cic# 2 = C'"ation $# co!t#( M l%ai$# $# l%o&til C()$#
Dans cet exercice, vous allez utiliser loutil de ligne de commande Csvde pour importer plusieurs
comptes dans Active Directory partir dun fichier dimportation .csv cr pour vous laide de
Microsoft Excel.
Scnario
En tant quadministrateur chez Northwind Traders, vous recevez quotidiennement des requtes
pour de nouveaux comptes dutilisateurs. Un membre de lquipe entre les requtes dans une
feuille de calcul, qui est enregistre dans un format valeurs spares par des virgules,
galement appel format .csv (Comma Separated Value). Au dbut de chaque journe de travail,
vous tes charg dimporter ce fichier dans Active Directory pour crer les comptes dutilisateurs.
TQcA#( In(t'&ction( (!"cifi;&#(
1. Etiliser loutil de ligne de commande
Cs&de pour importer le 2ichier .cs& dans
%cti&e 'irector(.
!e nom du 2ichier .cs& est le m-me que celui du
domaine h#berg# par &otre ordinateur. Ce 2ichier se trou&e
dans le dossier Ldossier
dinstallationM48C<2194<!ab2iles<!ab4 sur &otre ordinateur.
<. Etiliser la console Etilisateurs et
ordinateurs %cti&e 'irector( pour
d#terminer les unit#s dorganisation3
utilisateurs et groupes nou&ellement
cr##s.
Fuelles sont les unit#s dorganisation nou&ellement cr##es G
_____________________________________________________________________________
Jarmi les nou&elles unit#s dorganisation3 lesquelles contiennent des comptes dutilisateurs et de groupes G
_____________________________________________________________________________
EC#'cic# 3 = C'"ation $%&n (&ffiC# UPN
Dans cet exercice, vous allez crer un suffixe UPN, puis rsoudre un conflit de routage de suffixe
UPN entre deux forts.
Scnario
64
Des utilisateurs de votre domaine ont demand pouvoir ouvrir une session sur leur domaine
laide dun suffixe compos uniquement du nom de la ville dans laquelle ils se trouvent. Vous
allez crer ce suffixe UPN dans votre fort pour votre ville.
TQcA#( In(t'&ction( (!"cifi;&#(
1. Cr#er un nou&eau su22i.e EJ5 dans
&otre 2or-t nomm# Votre_Ville.
a. 8u&re" une session en tant que
nwtraders!7Nom_rdinateurUser a&ec le mot de passe
P@ssw0rd.
b. Etilise" Ex$uter en tant 2ue pour d#marrer la console
'omaines et approbations %cti&e en tant que
Votre_Domaine<Administrateur a&ec le mot de passe
P@ssw0rd.
<. %cti&er le routage du nou&eau su22i.e
EJ5 &ers la 2or-t n,traders.ms2t.
Fuel est l#tat du su22i.e EJ5 Votre_Ville aprKs la&oir acti&# G
_____________________________________________________________________________
Fue pou&e"7&ous 2aire pour r#soudre ce con2lit de routage du su22i.e EJ5 G
_____________________________________________________________________________
EC#'cic# 4 = D"!lac##nt $%&n G'o&!# $%&tili(at#&'(
Dans cet exercice, vous allez accorder des autorisations de groupes globaux un dossier
partag sur votre serveur. Vous allez ensuite dplacer le groupe et ses membres vers une unit
dorganisation situe dans lautre domaine de votre fort. Enfin, vous allez vrifier que le groupe
dplac possde encore les autorisations sur le dossier partag sur votre serveur.
Scnario
Suite une rcente rorganisation chez Northwind Traders, un groupe dutilisateurs est mut sur
un autre site. Ce dplacement affecte galement Active Directory car le groupe et ses comptes
dutilisateurs doivent tre dplacs vers un autre emplacement de la fort. l faudra compter
plusieurs mois pour que les serveurs qui contiennent les donnes des utilisateurs puissent tre
dplacs. Vous devez vous assurer que les utilisateurs peuvent toujours accder leurs fichiers
aprs le dplacement de leurs comptes.
TQcA#( In(t'&ction( (!"cifi;&#(
1. Cr#er et partager un dossier
sur &otre ser&eur nomm# C1%dmin3 puis
accorder au groupe global / C1 %dmins
des autorisations 51N?
ContrBle total sur le dossier et des
autorisations ContrBle total sur le
a. 8u&re" une session en tant que
nwtraders!7Nom_rdinateurUser a&ec le mot de passe
P@ssw0rd.
b. Etilise" la commande Ex$uter en tant 2ue pour d#marrer la
console /estion de lordinateur en tant que
Votre_Domaine<Administrateur a&ec le mot de passe
65
partage. P@ssw0rd.
<. Etiliser !dp.e.e pour e.aminer
lidenti2icateur ?C'3 lhistorique ?C' et
lidenti2icateur /EC' de lob)et groupe
global / C1 %dmins situ# dans lunit#
dorganisation %dmin<C1
/roups du domaine h#berg#
par &otre ordinateur stagiaire.
Fuels sont les #l#ments r#pertori#s pour les entr#es ob)ect/EC'3 ob)ect?C' et sC'Distor( du groupe global /
C1 %dmins G
8. Cnstaller loutil de migration
%cti&e 'irector( sur &otre ordinateur.
a. Etilise" la commande Ex$uter en tant 2ue pour d#marrer
une in&ite de commandes en tant que
Votre_Domaine7Administrateur a&ec le mot de passe
P@ssw0rd.
b. H lin&ite de commandes3 d#marre" linstallation en tapant
77?ondon7OS7ADM&7ADM@0001.MSI puis appu(e" sur
@516O@ pour d#marrer linstallation.
=. Etiliser loutil de migration %cti&e
'irector( pour d#placer le groupe global
/ C1 %dmins et ses membres
dans lunit# dorganisation C1 1est<C1
1est 4o&e situ#e dans lautre domaine
de &otre 2or-t.
Etilise" la commande Ex$uter en tant 2ue pour
ou&rir loutil de migration %cti&e 'irector( en tant que
nwtraders!<Administrator a&ec le mot de passe P@ssw0rd.
/emar2ue 6 la bo;te de dialogue %&anc#e de la 4igration peut
indiquer la pr#sence derreurs. Ces erreurs ont #t# g#n#r#es
lorsque &ous a&e" renomm# les utilisateurs et le groupe a&ec
le.tension d#plac#e. Cgnore" ces messages derreur.
A. Etiliser !dp.e.e pour e.aminer
lidenti2icateur ?C'3 lhistorique ?C' et
lidenti2icateur /EC' de lob)et groupe
global / C1 %dmins de lunit#
dorganisation C1 1est<C1 1est 4o&e
situ#e dans le domaine de d#placement.
/emar2ue 6 le groupe / C1 %dmins peut a&oir #t# renomm# /
C1 %dminsd#plac#s dans le cadre du processus de d#placement.
%prKs a&oir r#pondu $ la question ci7dessous3 dans le
menu )onnexion3 clique" sur Buitter.
Fuels sont les #l#ments r#pertori#s pour les entr#es ob)ect/EC'3 ob)ect?C' et sC'Distor( du groupe global /
C1 %dmins G
_____________________________________________________________________________
!une des entr#es ob)ect/EC'3 8b)ect?C' ou sC'Distor( a7t7elle #t# modi2i#e suite au d#placement G
_____________________________________________________________________________
:. Etiliser l@.plorateur +indo,s pour
a22icher les autorisations a22ect#es au
dossier C1%dmin que &ous a&e" cr## et
partag# $ l#tape 1.
@st7ce que le groupe auquel &ous a&e" accord# les autorisations pour ce dossier $ l#tape 1 possKde tou)ours
des autorisations ContrBle total sur le dossier G @.plique" pourquoi.
_____________________________________________________________________________
66
Mo$&l# 4 = I!l"#ntation $%&n# (t'at"Gi# $# G'o&!#
EC#'cic# -= C'"ation #t confiG&'ation $%o9:#t( St'at"Gi# $#
G'o&!#
Objectifs
Dans cette application pratique, vous allez installer la console Gestion de stratgie de groupe,
puis crer et configurer des objets Stratgie de groupe pour votre domaine.
Scnario
En tant quingnieur systme chez Northwind Traders, vous tes responsable de
limplmentation de la stratgie de groupe de lorganisation. Vous allez installer la console
Gestion de stratgie de groupe et crer des objets Stratgie de groupe pour faire appliquer
lenvironnement de Bureau. Vous allez supprimer loption de menu EC"c&t#' pour tous les
utilisateurs, puis supprimer la commande Arrter du menu. Vous pourrez galement appliquer
cette stratgie aux seuls ordinateurs dont le lecteur C contient au moins 10 Mo despace disque
disponible et qui sont configurs avec le systme de fichiers NTFS.
Alication rati!ue : #nstallation de la console $estion de stratgie de groue
Insta""er "a onso"e Cestion de strat$!ie de !roupe
1. Ouvrez une session dans votre domaine en tant que -omEOrdinate!rU(#'
(-omEOrdinate!r dsignant le nom de lordinateur sur lequel vous travaillez) avec le mot
de passe PS((,0'$.
2. Cliquez sur D"a''#', cliquez avec le bouton droit sur In)it# $# coan$#, puis sur
EC"c&t#' #n tant ;&#.
3. Dans la bote de dialogue EC"c&t#' #n tant ;&#, cliquez sur 0%&tili(at#&' (&i)ant, tapez
N,t'a$#'(0TA$ini(t'at#&' comme nom dutilisateur, le mot de passe PS((,0'$ et
cliquez sur OR.
4. linvite de commands, tapez TT0ONDONTSETUPT3PMC.MSI et appuyez sur ENTRE.
5. Dans la bote de dialogue T"l"cAa'G##nt $# ficAi#', cliquez sur O&)'i'.
6. Dans la page A((i(tant In(tallation $& loGici#l U Con(ol# $# G#(tion $# la (t'at"Gi#
$# G'o&!# Mic'o(oft V, cliquez sur S&i)ant.
7. Dans la page Cont'at $# lic#nc#, cliquez sur W%acc#!t#, puis sur S&i)ant.
8. Dans la page Fin $# l%#C"c&tion $# l%A((i(tant In(tallation $& loGici#l U Con(ol# $#
G#(tion $# la (t'at"Gi# $# G'o&!# Mic'o(oft V, cliquez sur T#'in#'.
9. Fermez linvite de commande.
67
Alication rati!ue : %ration et configuration dobjets Stratgie de groue
)r$er et onfi!urer des objets Strat$!ie de !roupe
1. Cliquez sur D"a''#', pointez sur O&til( $%a$ini(t'ation, cliquez avec le bouton droit
sur 3#(tion $# (t'at"Gi# $# G'o&!#, puis cliquez sur EC"c&t#' #n tant ;&#.
2. Dans la bote de dialogue EC"c&t#' #n tant ;&#, cliquez sur 0%&tili(at#&' (&i)ant, tapez
FotreEDomaineTA$ini(t'at#&' comme nom dutilisateur, le mot de passe PS((,0'$ et
cliquez sur OR.
3. Dveloppez successivement Fo'<t, Doain#(, votre domaine, O9:#t( $# (t'at"Gi# $#
G'o&!#, cliquez avec le bouton droit sur O9:#t( $# (t'at"Gi# $# G'o&!#, puis cliquez sur
No&)#a&.
4. Donnez le nom de 3POB!'ati;&# votre objet Stratgie de groupe, puis cliquez sur OR.
5. Cliquez avec le bouton droit sur le nom de votre domaine, cliquez sur 0i#' &n o9:#t
St'at"Gi# $# G'o&!# #Ci(tant, cliquez sur 3POB!'ati;&#, puis cliquez sur OR.
6. Cliquez avec le bouton droit sur 3POB!'ati;&#, puis cliquez sur Mo$ifi#'.
7. Dans lditeur dobjets de stratgie de groupe, dveloppez successivement
ConfiG&'ation &tili(at#&', Mo$Pl#( $%a$ini(t'ation, puis cliquez sur M#n& D"a''#'
#t Ka''# $# tQcA#(.
8. Dans le volet de dtails, double-cliquez sur S&!!'i#' l# #n& EC"c&t#' $& #n&
D"a''#', cliquez sur Acti)", puis sur OR.
9. Dans le volet de dtails, double-cliquez sur S&!!'i#' #t #!<cA#' l%accP( M la
coan$# A''<t#', cliquez sur Acti)", puis sur OR.
1. Fermez lditeur dobjets de stratgie de groupe.
11. Dans la console Gestion de stratgie de groupe, dveloppez et cliquez avec le bouton
droit sur Filt'#( +MI, puis cliquez sur No&)#a&.
12. Donnez le nom de Filt'#B!'ati;&# au filtre WM, cliquez sur A:o&t#', entrez la requte
approprie pour extraire les informations requises, cliquez sur OR, puis cliquez sur
En'#Gi(t'#'.
13. Dans larborescence de la console, dans la liste sous O9:#t( $# (t'at"Gi# $# G'o&!#,
cliquez sur 3POB!'ati;&#.
14. Dans le volet de dtails, slectionnez Filt'#B!'ati;&# dans la zone C#t o9:#t St'at"Gi#
$# G'o&!# #(t li" a& filt'# +MI (&i)ant.
15. Dans la bote de dialogue 3#(tion $#( (t'at"Gi#( $# G'o&!#, cliquez sur O&i.
16. Fermez la console Gestion de stratgie de groupe.
EC#'cic# 2= ConfiG&'ation $#( f'";&#nc#( $%act&ali(ation $# la
(t'at"Gi# $# G'o&!# #t $#( !a'aPt'#( $# (t'at"Gi# $# G'o&!#
Objectifs
Dans cette application pratique, vous allez configurer lintervalle dactualisation de la stratgie de
groupe pour des ordinateurs clients, puis configurer les paramtres de stratgie de groupe pour
la synchronisation des fichiers hors connexion.
Scnario
Northwind Traders repose largement sur la stratgie de groupe pour grer les ordinateurs clients
et conserver sa flexibilit lorganisation. En raison du nombre lev dobjets Stratgie de
groupe que vous devez modifier quotidiennement, vous souhaitez diminuer le trafic rseau en
rduisant de 180 minutes lintervalle dactualisation des ordinateurs clients et en utilisant un
dcalage alatoire de 60 minutes.
Les membres de votre organisation voyagent frquemment et utilisent des connexions lentes
daccs distance. ls se rendent galement souvent dans des agences lointaines raccordes au
68
rseau dentreprise via des connexions haut dbit. ls ont besoin davoir accs des fichiers
habituellement disponibles uniquement via une connexion rseau un serveur de fichiers. Ces
fichiers doivent tre jour ds que lutilisateur se connecte au rseau dentreprise.
Vous devez configurer la disponibilit et la synchronisation des fichiers hors connexion dans la
stratgie de groupe des utilisateurs qui ont besoin de cette fonctionnalit.
Alication rati!ue )onfi!urer "es param1tres de strat$!ie de !roupe
1. Ouvrez la console Gestion de stratgie de groupe en tant que
FotreEDomaineTA$ini(t'at#&' laide de la commande EC"c&t#' #n tant ;&#.
2. Dveloppez successivement Fo'<t, Doain#(, votre domaine, O9:#t( $# (t'at"Gi# $#
G'o&!#, cliquez sur O9:#t( $# (t'at"Gi# $# G'o&!#, cliquez avec le bouton droit sur
3POB!'ati;&#, puis cliquez sur Mo$ifi#'.
3. Dans lditeur dobjets de stratgie de groupe, sous ConfiG&'ation o'$inat#&',
dveloppez successivement Mo$Pl#( $%a$ini(t'ation, S*(tP#, puis cliquez sur
St'at"Gi# $# G'o&!#.
4. Double-cliquez sur Int#')all# $%act&ali(ation $# la (t'at"Gi# $# G'o&!# !o&' l#(
o'$inat#&'(, cliquez sur Acti)", entrez lintervalle de temps appropri, puis cliquez sur
OR.
5. Dans lditeur dobjets de stratgie de groupe, sous ConfiG&'ation &tili(at#&',
dveloppez successivement Mo$Pl#( $%a$ini(t'ation, R"(#a&, puis cliquez sur
ficAi#'( Ao'( conn#Cion.
6. Double-cliquez sur S*ncA'oni(#' to&( l#( ficAi#'( Ao'( conn#Cion M l%o&)#'t&'# $#
(#((ion, cliquez sur Acti)", puis sur OR.
7. Fermez lditeur dobjets de stratgie de groupe, puis fermez la console Gestion de
stratgie de groupe.
EC#'cic# 3= 3#(tion $#( o9:#t( St'at"Gi# $# G'o&!#
Objectifs
Dans cette application pratique, vous allez copier un objet Stratgie de groupe, crer une
sauvegarde de cet objet, supprimer la copie sauvegarde, puis la restaurer.
Scnario
Vous tes responsable de limplmentation des normes de Bureau de lentreprise laide de la
stratgie de groupe de votre domaine. Bien que la plupart des groupes du domaine puissent
utiliser la mme configuration de Bureau dentreprise, certains services ncessitent une
configuration lgrement diffrente. Vous allez crer un objet Stratgie de groupe de base, le
copier dans les diffrentes applications, puis en modifier les paramtres.
Parce que vous voulez tre certain que la sauvegarde et la restauration des objets Stratgie de
groupe fonctionnent correctement, vous souhaitez tester les fonctionnalits de restauration et
simuler le plan dimplmentation dans votre environnement de test.
Alication rati!ue : %oie dun objet Stratgie de groue
)opier un objet Strat$!ie de !roupe
1. Ouvrez la console Gestion de stratgie de groupe en tant que
FotreEDomaineTA$ini(t'at#&' laide de la commande EC"c&t#' #n tant ;&#.
69
2. Dans votre domaine, dveloppez O9:#t( $# (t'at"Gi# $# G'o&!#, cliquez avec le bouton
droit sur 3POB!'ati;&#, cliquez sur Co!i#', cliquez avec le bouton droit sur O9:#t( $#
(t'at"Gi# $# G'o&!#, puis cliquez sur Coll#'.
3. Dans la bote de dialogue Co!i#' l%o9:#t 3PO, cliquez sur OR.
4. Une fois le processus de copie termin, cliquez sur OR.
Alication rati!ue : Sau&egarde dun objet Stratgie de groue
Sau*e!arder un objet Strat$!ie de !roupe
1. Dans la console Gestion de stratgie de groupe, cliquez avec le bouton droit sur Co!i#
$# 3POB!'ati;&#, puis cliquez sur Sa&)#Ga'$#'.
2. Dans la bote de dialogue Sa&)#Ga'$# $# l%o9:#t 3PO, tapez C=T dans la zone
E!lac##nt, puis cliquez sur Sa&)#Ga'$#'.
3. Une fois lopration termine, cliquez sur OR.
Alication rati!ue : 'estauration dun objet Stratgie de groue
Supprimer et restaurer un objet Strat$!ie de !roupe
1. Dans la console Gestion de stratgie de groupe, cliquez avec le bouton droit sur Co!i#
$# 3POB!'ati;&#, cliquez sur S&!!'i#', puis sur OR.
2. Cliquez avec le bouton droit sur O9:#t( $# (t'at"Gi# $# G'o&!#, puis cliquez sur 3"'#'
l#( (a&)#Ga'$#(.
3. Dans la bote de dialogue 3#(tion $#( (a&)#Ga'$#(, slectionnez Co!i# $#
3POB!'ati;&#, puis cliquez sur R#(ta&'#'.
4. Lorsque vous tes invit restaurer la sauvegarde, cliquez sur OR.
5. Dans la bote de dialogue R#(ta&'#', cliquez sur OR une fois la sauvegarde restaure.
6. Dans la bote de dialogue 3#(tion $#( (a&)#Ga'$#(, cliquez sur F#'#'.
7. Vrifiez que lobjet Stratgie de groupe a bien t restaur.
8. Fermez la console Gestion de stratgie de groupe.
EC#'cic# 4= 1"'ification #t '"(ol&tion $#( !'o9lP#( li"( M la
(t'at"Gi# $# G'o&!#
Objectifs
Dans cette application pratique, vous allez vrifier les paramtres de stratgie de groupe laide
de lAssistant Modlisation de stratgie de groupe.
Scnario
Vous souhaitez vrifier que les paramtres de stratgie de groupe que vous prvoyez de
dployer chez Northwind Traders (y compris les paramtres utilisateur et ordinateur de votre
domaine) seront appliqus et fiables. Vous dcidez dutiliser la console Gestion de stratgie de
groupe pour vrifier les paramtres.
Alication rati!ue 0$rifier "es param1tres uti"isateur et ordinateur pour *otre domaine
7
1. Ouvrez la console Gestion de stratgie de groupe en tant que
FotreEDomaineTA$ini(t'at#&' laide de la commande EC"c&t#' #n tant ;&#.
2. Cliquez avec le bouton droit sur Mo$"li(ation $# (t'at"Gi# $# G'o&!#, puis cliquez sur
Assistant Modlisation de stratgie de groupe.
3. Dans la page A((i(tant Mo$"li(ation $# (t'at"Gi# $# G'o&!#, cliquez sur S&i)ant.
4. Dans la page S"l#ction $& cont'Ol#&' $# $oain#, cliquez sur S&i)ant.
5. Dans la page S"l#ction $%o'$inat#&'( #t $%&tili(at#&'(, dans les sections Info'ation(
(&' l%&tili(at#&' et Info'ation( (&' l%o'$inat#&', cliquez sur Pa'co&'i', slectionnez
votre domaine pour chaque section, puis cliquez sur S&i)ant.
6. Dans chacune des pages suivantes de lAssistant, cliquez sur S&i)ant pour accepter les
valeurs par dfaut.
7. Dans la page Fin $# l%A((i(tant Mo$"li(ation $# (t'at"Gi# $# G'o&!#, cliquez sur
T#'in#'.
8. Si une bote de dialogue Int#'n#t EC!lo'#' saffiche, cliquez sur A:o&t#', dans la bote
de dialogue Sit#( a!!'o&)"(, cliquez sur A:o&t#', puis cliquez sur F#'#'.
9. Affichez le rapport dans le volet de dtails, puis fermez la console Gestion de stratgie
de groupe.
EC#'cic# 4= D"l"Gation $& cont'Ol# a$ini(t'atif $# la (t'at"Gi#
$# G'o&!#
Objectifs
Dans cette application pratique, vous allez ajouter le compte de ladministrateur adjoint au groupe
Propritaires crateurs de la stratgie de groupe, puis lui dlguer la capacit de grer les
liaisons de stratgie de groupe.
Scnario
Vous avez dcid de dlguer un administrateur adjoint ladministration de la stratgie de
groupe pour les units dorganisation Accounting, Accounts Payable (crances) et Accounts
Receivable (dettes). Cette personne sera responsable de la cration et de la suppression de
liaisons dobjets Stratgie de groupe, de la cration de nouveaux objets Stratgie de groupe et de
la modification des objets Stratgie de groupe existants. Elle grera galement les autres objets
des units dorganisation.
Alication rati!ue : D$"$!uer D un uti"isateur "e ontr("e administratif de "a strat$!ie de
!roupe
1. Ouvrez la console Gestion de stratgie de groupe en tant que
FotreEDomaineTA$ini(t'at#&' laide de la commande EC"c&t#' #n tant ;&#.
2. Dveloppez successivement Fo'<t, Doain#(, FotreEDomaineA O9:#t( $# (t'at"Gi# $#
G'o&!#, puis cliquez sur 3POB!'ati;&#.
3. Sous longlet D"l"Gation, ajoutez N,t'a$#'(0T-omEOrdinate!rU(#' la liste avec les
autorisations Mo$ifi#' l#( !a'aPt'#(, (&!!'i#' o$ifi#' la ("c&'it", puis cliquez sur
OR.
4. Dans la console Gestion de stratgie de groupe, cliquez sur FotreEDomaine, puis dans le
volet de dtails, cliquez sur la liaison 3POB!'ati;&#.
5. Dans le volet de dtails, sous longlet D"l"Gation, cliquez sur A:o&t#'.
6. Dans la bote de dialogue S"l#ctionn#J Utili(at#&', O'$inat#&' o& 3'o&!#, dans la
zone Ent'#J l# no $# l%o9:#t M ("l#ctionn#', entrez
N,t'a$#'(0T-omEOrdinate!rU(#', cliquez sur 1"'ifi#' l#( no(, puis sur OR.
7. Dans la bote de dialogue A:o&t#' &n &tili(at#&' o& &n G'o&!#, dans la zone
A&to'i(ation(, slectionnez lautorisation approprie, puis cliquez sur OR.
71
8. Fermez la console Gestion de stratgie de groupe.
EC#'cic# 5= I!l"#ntation $%&n# (t'at"Gi# $# G'o&!#
Emlacement de fichier
Pour commencer la prsentation 7m)lmentation d!ne stratie de ro!)e, ouvrez la page Web
sur le CD-ROM des stagiaires, cliquez sur M&lti"$ia, puis sur le titre de la prsentation.
Nouvrez pas cette prsentation avant dy tre invit par linstructeur.
Objectif
Dans cette application pratique, vous allez dterminer les effets de lapplication de certains
paramtres de stratgie de groupe et de lhritage des objets Stratgie de groupe.
#nstructions
La prsentation 7m)lmentation d!ne stratie de ro!)e inclut des exercices de type QCM et
glisser-dplacer destins tester vos connaissances. Lisez les instructions et commencez la
prsentation sous longlet Eff#t( $#( !a'aPt'#( St'at"Gi# $# G'o&!#.
At#li#' A = I!l"#ntation $%&n# (t'at"Gi# $# G'o&!#
Objectifs
la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
crer et configurer des objets Stratgie de groupe ;
lier des objets Stratgie de groupe ;
vrifier les paramtres de stratgie de groupe.
Exercice " : %ration et configuration dobjets Stratgie de
groue
Dans cet exercice, vous allez crer une unit dorganisation pour le service Comptabilit et
sparer les units dorganisation pour les groupes Crances et Dettes au sein du service
Comptabilit. Vous allez ensuite crer et configurer des objets Stratgie de groupe pour les
groupes Crances et Dettes.
Vous allez effectuer ces tches sur votre domaine de la fort.
Scnario
Northwind Traders souhaite un contrle strict des stratgies utilises par le service Comptabilit.
Vous devez vous assurer que ce service utilise certains paramtres globaux de lobjet Stratgie
de groupe de lentreprise. Vous allez crer un objet Stratgie de groupe standard Accounting
pour supprimer la commande EC"c&t#' du menu D"a''#' et supprimer la commande A''<t#'
des utilisateurs et ordinateurs. Les rgles de lentreprise exigent que les mots de passe soient
rinitialiss tous les 30 jours et quils comportent au moins huit caractres. Chaque mot de passe
72
doit rpondre ces exigences. Northwind Traders souhaite galement implmenter un historique
des mots de passe, afin que les employs ne puissent pas rutiliser les dix derniers mots de
passe.
Le service Comptabilit souhaite une station de travail pour tous les utilisateurs de chaque
dpartement de lorganisation. Le groupe Crances a besoin de dsactiver la fonctionnalit
A:o&t#' o& (&!!'i#' $#( !'oG'a#( du Panneau de configuration. Le groupe Dettes
dispose dun environnement informatique ouvert qui ncessite que les utilisateurs ouvrent parfois
une session sur dautres ordinateurs. Pour cette raison, Northwind Traders souhaite dsactiver la
fonctionnalit de verrouillage des ordinateurs.
TQcA#( In(t'&ction( (!"cifi;&#(
1. Cr#er la structure $ trois unit#s
dorganisation.
a. 8u&re" une session en tant que
5wtraders!7Nom_rdinateurUser *Nom_rdinateur
d#signant le nom de lordinateur sur lequel &ous
tra&aille"> a&ec le mot de passe P@ssw0rd3 si &ous n-tes pas
d#)$ connect#.
b. Etilise" la commande Ex$uter en tant 2ue pour ou&rir la
console Etilisateurs et ordinateurs %cti&e 'irector(. Etilise"
Votre_Domaine7Administrateur comme nom dutilisateur et
le mot de passe P@ssw0rd3 puis cr#e" les unit#s
dorganisation sui&antes :
%ccounting
%ccounts 6ecei&able
%ccounts Ja(able
<. Cr#er lob)et ?trat#gie de groupe
%ccounting et &#ri2ier que les paramKtres
cl#s sont propag#s $
lensemble des utilisateurs dans
%ccounting.
a. Cr#e" un nou&el ob)et ?trat#gie de groupe.
b. !ie" lob)et ?trat#gie de groupe $ lunit# dorganisation
%ccounting.
. Con2igure" les paramKtres de strat#gie de groupe sui&ants :
Supprimer "e menu Ex$uter du menu D$marrer
Supprimer et emp+5er ">a1s D "a ommande Arr+ter
App"i2u$
8. Copier lob)et ?trat#gie de groupe
%ccounting et lui donner le nom de
%ccounts 6ecei&able.
a. Copie" lob)et ?trat#gie de groupe %ccounting.
b. 'onne" le nom de %ccounts 6ecei&able $ la copie.
=. Con2igurer lob)et ?trat#gie de groupe
%ccounts 6ecei&able.
4odi2ie" lob)et ?trat#gie de groupe %ccounts
6ecei&able pour d#2inir les strat#gies sur la &aleur
sui&ante :
Supprimer ">app"iation Ajouter ou supprimer des
pro!rammes
A. Copier lob)et ?trat#gie de groupe
%ccounting et lui donne" le nom de
%ccounts Ja(able.
a. Copie" lob)et ?trat#gie de groupe %ccounting.
b. 'onne" le nom de %ccounts Ja(able $ la copie.
:. Con2igure" lob)et ?trat#gie de groupe
%ccounts Ja(able.
4odi2ie" lob)et ?trat#gie de groupe %ccounts
Ja(able pour d#2inir les strat#gies sur la &aleur sui&ante :
D$sati*er "e *erroui""a!e de ">ordinateur *le
chemin daccKs $ cette option est Con2iguration
utilisateur<4odKles dadministration<?(stKme<8ptions
CtrlP%ltP?uppr>.
73
EC#'cic# 2 = 0iai(on $%o9:#t( St'at"Gi# $# G'o&!#
Dans cet exercice, vous allez lier des objets Stratgie de groupe lunit dorganisation
approprie.
Une fois les objets lis, vous pourrez appliquer des stratgies au niveau ordinateur ou utilisateur.
TQcA#( In(t'&ction( (!"cifi;&#(
!ier les ob)ets ?trat#gie de
groupe %ccounts 6ecei&able et
%ccounts Ja(able $ lunit#
dorganisation appropri#e.
'ans la console /estion de strat#gie de groupe3 lie"
les unit#s dorganisation sui&antes $ lob)et ?trat#gie de
groupe appropri# :
%ccounts 6ecei&able
%ccounts Ja(able
EC#'cic# 3 = 1"'ification $#( !a'aPt'#( $# (t'at"Gi# $# G'o&!#
Dans cet exercice, vous allez utiliser lAssistant Modlisation de stratgie de groupe pour
vrifier les paramtres de stratgie de groupe que vous avez configurs dans les exercices
prcdents.
TQcA#( In(t'&ction( (!"cifi;&#(
1. Etiliser l%ssistant 4od#lisation de
strat#gie de groupe pour &#ri2ier les
ob)ets ?trat#gie de groupe %ccounting.
a. 'ans la console /estion de strat#gie de groupe3 ou&re"
l%ssistant 4od#lisation de strat#gie de groupe.
b. %ccepte" les &aleurs par d#2aut pour chaque unit#
dorganisation %ccounting.
<. Jasser en re&ue les r#sultats de
l%ssistant 4od#lisation de strat#gie de
groupe pour &#ri2ier les paramKtres de
strat#gie de groupe.
a. %22iche" les trois r#sultats de mod#lisation que &ous a&e"
cr##s $ l#tape pr#c#dente.
b. Jasse" les paramKtres en re&ue pour &ous assurer de leur
homog#n#it#
74
Mo$&l# 5 = D"!loi##nt #t G#(tion $#( loGici#l( M l%ai$#
$%&n# (t'at"Gi# $# G'o&!#
EC#'cic# -= D"!loi##nt $# loGici#l(
Objectifs
Dans cette application pratique, vous allez crer un objet Stratgie de groupe laide dun
package .msi pour publier une application.
Scnario
Northwind Traders veut sassurer que tout le personnel informatique peut grer le dploiement de
logiciels dans toute lorganisation. Avant que lquipe informatique ne dploie des logiciels dans
toute lorganisation, vous devez garantir un environnement scuris. Vous utiliserez le package
des outils de support de Windows comme application de test. Vous devez dployer correctement
cette application dans lenvironnement de test avant de la diffuser dans lenvironnement de
production.
Alication rati!ue : D$p"oiement de "o!iie"s
1. Ouvrez une session sous N,t'a$#'(0\-omEOrdinate!rU(#' (-omEOrdinate!r tant le
nom de lordinateur sur lequel vous travaillez).
2. Cliquez sur D"a''#', pointez sur O&til( $%a$ini(t'ation, cliquez avec le bouton droit
sur 3#(tion $#( (t'at"Gi#( $# G'o&!#, puis cliquez sur EC"c&t#' #n tant ;&#.
3. Dans la bote de dialogue EC"c&t#' #n tant ;&#, cliquez sur 0%&tili(at#&' (&i)ant, tapez
votreEdomaineTA$ini(t'at#&' comme nom dutilisateur, avec pour mot de passe
PS((,0'$ et cliquez ensuite sur OR.
4. Dans Gestion des stratgies de groupe, dveloppez Fo'<t, puis Doain#(, dveloppez
votreEdomaine, puis dveloppez et cliquez ensuite sur O9:#t( $# (t'at"Gi# $# G'o&!#.
5. Cliquez avec le bouton droit sur O9:#t( $# (t'at"Gi# $# G'o&!#, cliquez sur No&)#a&,
tapez P'actic# Soft,a'# D#!lo*#nt puis cliquez sur OR.
6. Cliquez avec le bouton droit sur P'actic# Soft,a'# D#!lo*#nt, puis cliquez sur E$it#'.
7. Dans lditeur des objets de stratgie de groupe, sous ConfiG&'ation &tili(at#&',
dveloppez Pa'aPt'#( $& loGici#l, puis cliquez sur In(tallation loGici#ll#.
8. Cliquez avec le bouton droit sur In(tallation loGici#ll#, pointez sur No&)#a&, puis
cliquez sur Pac?aG#.
9. Dans la bote de dialogue O&)'i', naviguez jusqu \\London\Labfiles\ Lab6\COSMO1,
cliquez sur COSMO-.MSI, puis cliquez sur O&)'i'.
1. Dans la bote de dialogue D"!loi##nt $& loGici#l, cliquez sur OR.
11. Fermez lditeur des objets de stratgie de groupe.
12. Dans Gestion des stratgies de groupe, dveloppez lunit dorganisation
-omEOrdinate!r, cliquez avec le bouton droit sur lunit dorganisation R#cA#'cA#,
cliquez sur 0in? an ECi(tinG 3PO, puis sur P'actic# Soft,a'# D#!lo*#nt, puis
cliquez sur OR.
13. Fermez Gestion des stratgies de groupe.
75
EC#'cic# 2= ConfiG&'ation $& $"!loi##nt $#( loGici#l(
Objectifs
Dans cette application pratique, vous allez crer une catgorie de logiciels, puis affecter un objet
Stratgie de groupe de logiciels cette catgorie.
Scnario
Northwind Traders dploie un grand nombre dapplications spcifiques au groupe Comptabilit.
Vous avez dcid de crer une catgorie de logiciel appele Accounting (Comptabilit), afin que
le personnel comptable puisse trouver rapidement les applications dont il a besoin. Comme tout
le personnel comptable na pas besoin de toutes les applications comptables, vous avez dcid
de publier les applications plutt que de les affecter.
Alication rati!ue : )onfi!uration du d$p"oiement des "o!iie"s
1. Ouvrez une session en tant que N,t'a$#'(0T-omEOrdinate!rU(#'. 2. Ouvrez 3#(tion
$#( (t'at"Gi#( $# G'o&!# sous FotreEDomaineTA$ini(t'at#&' laide de EC"c&t#'
#n tant ;&#.
2. Dans Gestion des stratgies de groupe, ditez lobjet Stratgie de groupe P'actic#
Soft,a'# D#!lo*#nt pour crer une catgorie de logiciels appele Comptabilit.
3. Slectionnez la catgorie Comptabilit pour le logiciel COSMO1 que vous avez publi
dans lobjet Stratgie de groupe P'actic# Soft,a'# D#!lo*#nt.
EC#'cic# 3= Maint#nanc# $#( loGici#l( $"!lo*"(
Objectifs
Dans cette application pratique, vous allez mettre niveau le logiciel dploy puis le supprimer.
Scnario
Vous testez la maintenance dun logiciel dploy antrieurement. Vous devez dterminer les
tapes ncessaires au dploiement de la mise niveau dune application.
Alication rati!ue : Maintenane des "o!iie"s d$p"o'$s
1. Ouvrez une session sous FotreEDomaineTA$ini(t'at#&'.
2. Ouvrez 3#(tion $#( (t'at"Gi#( $# G'o&!# sous FotreEDomaineTA$ini(t'at#&'
laide de EC"c&t#' #n tant ;&#.
3. Dans Gestion des stratgies de groupe, ditez lobjet Stratgie de groupe P'actic#
Soft,a'# D#!lo*#nt pour crer un nouveau package dinstallation logicielle pour
TT0on$onT0a9fil#(T0a95TCOSMO2TCOSMO2.MSI.
4. Dfinissez les proprits du package Cosmo 2 pour mettre niveau le package Cosmo
1.
5. Supprimez le logiciel dploy Cosmo 1 parce que sa dure dvaluation est parvenue
expiration.
76
Exercice (: 'solution des robl)mes lis au dloiement de
logiciels
Objectifs
Dans cette application pratique, vous allez crer un fichier journal Windows
nstaller.
Scnario
Northwind Traders est confront des problmes avec une application critique dploye laide
de la stratgie de groupe. Votre responsable vous a demand de dterminer la cause des
problmes.
Alication rati!ue : )r$er un fi5ier journa" .indows Insta""er
1. Ouvrez une session en tant que N,t'a$#'(0T-omEOrdinate!rU(#'.
2. Ouvrez 3#(tion $#( (t'at"Gi#( $# G'o&!# sous FotreEDomaineTA$ini(t'at#&'
laide de EC"c&t#' #n tant ;&#.
3. Dans Gestion des stratgies de groupe, ditez lobjet Stratgie de groupe P'actic#
Soft,a'# D#!lo*#nt pour crer un fichier journal Windows nstaller pour cet objet
Stratgie de groupe.
EC#'cic# 4= Planification $%&n# (t'at"Gi# $# $"!loi##nt $#
loGici#l(
Objectifs
Dans cette application pratique, vous allez dterminer un plan de dploiement dune application
pour tous les utilisateurs et un plan de publication dune application.
Scnario
Votre organisation vient de dvelopper rcemment son march dans le secteur graphique. Elle a
acquis plusieurs applications graphiques et une licence de site pour lApplication 1. Vous devez
planifier une stratgie de dploiement de logiciels afin de dployer les applications vers tous les
utilisateurs.
Alication rati!ue : P"anifier une strat$!ie de d$p"oiement des "o!iie"s
1. Quallez-vous inclure dans votre plan ?
0#( '"!on(#( )a'i#nt. 1ot'# !lan !#&t incl&'# =
Aff#ctation $# l%A!!lication - M &n o9:#t St'at"Gi# $# G'o&!# a& ni)#a& $&
$oain#.
Po&' l# !oint $# $i(t'i9&tion $# loGici#l(, aff#ctation $#( a&to'i(ation( 0i'# a&C
&tili(at#&'( a&tA#ntifi"(, #t Cont'Ol# total a&C a$ini(t'at#&'( $& $oain#.
A!!lication $#( <#( a&to'i(ation( a& $o((i#' NTFS.
77
A!!lication M l%o9:#t St'at"Gi# $# G'o&!# afin $%a&tA#ntifi#' l#( &tili(at#&'( #t l#&'
aff#ct#' l%o9:#t St'at"Gi# $# G'o&!#.
2. Une autre socit de graphisme, Fabrikam, nc., vous a confi des fins de tests dans
votre entreprise des copies dvaluation de sa suite graphique, dans lespoir que vous
achterez une licence de site. Afin dviter toute intrusion vis vis vos utilisateurs,
comment envisagez-vous de publier lapplication ?
0#( '"!on(#( )a'i#nt. 1ot'# !lan !#&t incl&'# =
C'"ation $%&n !oint $# $i(t'i9&tion $# loGici#l( !o&' l# (toc?aG# $# to&t#( l#(
a!!lication( $%")al&ation.
C'"ation $#( o9:#t( St'at"Gi# $# G'o&!# $an( &n# &nit" $%o'Gani(ation $"$i"# afin
$# l#( '#G'o&!#' #n(#9l#. Co# )o&( $#)'#J !#&t-<t'# (&!!'i#'
&lt"'i#&'##nt l# loGici#l, &tili(#' l%o!tion D"(in(tall#' (i c#t o9:#t St'at"Gi# $#
G'o&!# n%#(t !l&( a!!lica9l#.
At#li#' A = D"!loi##nt #t G#(tion $#( loGici#l( M l%ai$#
$%&n# (t'at"Gi# $# G'o&!#
Objectifs
la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
affecter des logiciels des utilisateurs laide de la stratgie de groupe ;
publier des logiciels des utilisateurs laide de la stratgie de groupe ;
supprimer des logiciels dploys laide de la stratgie de groupe ;
mettre niveau des logiciels dploys laide de la stratgie de groupe.
EC#'cic# - = Aff#ctation $# loGici#l
Dans cet exercice, vous prparerez votre contrleur de domaine hberger le logiciel que vous
installerez au moyen dune stratgie de groupe. Vous utiliserez votre contrleur de domaine
attitr pour crer les objets Stratgie de groupe requis pour la prise en charge de linstallation du
logiciel.
Scnario
Northwind Traders a dcid dutiliser linstallation logicielle pour dployer lapplication Cosmo 1
quelle vient dacqurir. Votre tche consiste comparer les deux mthodes disponibles pour
linstallation de lapplication : affectation de logiciel et publication de logiciel.
TQcA#( In(t'&ction( (!"cifi;&#(
1. Cr#er un ob)et ?trat#gie de groupe pour
a22ecter le pacQage dinstallation du
logiciel Cosmo 1 $ lunit#
dorganisation ?ales de &otre domaine
a. 8u&re" une session sous le nom
,wtraders!<Nom_rdinateurUser a&ec le mot de passe
P@ssw0rd.
b. Etilise" Ex$uter en tant 2ue pour d#marrer la gestion de la
strat#gie de groupe sous &otre_Domaine<Administrateur a&ec
le mot de passe
P@ssw0rd.
. Cr#e" lob)et ?trat#gie de groupe ?ab Software Dep"o'ment
et relie"7le $ lunit# dorganisation D6 sous lunit# dorganisation
Nom_rdinateur dans Votre_Domaine.
d. Etilise" le pacQage Cosmo1.msi situ# sur
78
<<!85'85<!ab2iles<!ab6<C8?481.
<. %ccorder $ ?u"anne 'upre" le droit
dou&rir une session localement.
a. Etilise" Ex$uter en tant 2ue pour d#marrer la strat#gie de
s#curit# du contrBleur de domaine sous
Votre_Domaine<Administrateur a&ec le mot de passe
P@ssw0rd.
b. %ccorde" $ ?u"anne 'upre" le droit dou&rir une session
localement.
. @.#cute" !pupdate sous &otre_Domaine7Administrateur.
EC#'cic# 2 = 1"'ification $# l%aff#ctation $& loGici#l
Dans cet exercice, vous devez vrifier que laffectation de logiciel sest droule normalement.
Vous ouvrirez une session en tant quutilisateur test et vrifierez si le logiciel attribu lexercice
prcdent est install.
TQcA#( In(t'&ction( (!"cifi;&#(
1. Nermer la session3 puis ou&rir une
nou&elle session en tant que su"annedup $
partir de &otre domaine
Nerme" &otre session3 puis ou&re"7en une sous le nom
?u"anne 'upre" $ partir de &otre domaine en utilisant le mot
de passe P@ssw0rd.
Cosmo 1 appara;t7il dans le menu &ous "es pro!rammes G @.plique" pourquoi.
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
<. 8u&rir le pacQage de logiciels $ partir de
l#l#ment du menu &ous
"es pro!rammes que &ous a&e" cr## pour
lui.
Fue se passe7t7il lorsque &ous tente" dou&rir le logiciel G
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
EC#'cic# 3 = S&!!'#((ion $%&n loGici#l aff#ct"
Dans cet exercice, vous supprimerez le logiciel affect dans lexercice prcdent. Vous avez
men bien le dploiement du logiciel en affectant un package des utilisateurs. Vous pouvez
dsormais valuer loption de publication laide de ce mme package. Vous devez supprimer le
logiciel pour pouvoir crer un package en vue de publier lapplication.
TQcA#( In(t'&ction( (!"cifi;&#(
?upprimer lapplication Cosmo 1 a. 8u&re" une session sous le nom ,wtraders!<Nom_
rdinateurUser a&ec le mot de passe P@ssw0rd.
b. Etilise" la commande Ex$uter en tant 2ue pour d#marrer la
console /estion des strat#gies de groupe en tant que
Votre_Domaine<Administrateur a&ec le mot de passe
P@ssw0rd.
. Nerme" &otre session3 puis ou&re"7en une sous le nom ?u"anne
'upre" $ partir de &otre domaine en utilisant le mot de passe
P@ssw0rd.
d. 0#ri2ie" que lapplication a #t# supprim#e imm#diatement pour
les utilisateurs et les ordinateurs.
79
EC#'cic# 4 = P&9lication $# loGici#l
Dans cet exercice, vous modifierez une stratgie de groupe pour publier une application. Vous
publierez un logiciel dans le but de mieux apprhender les diffrences entre la publication et
laffectation dun logiciel.
TQcA#( In(t'&ction( (!"cifi;&#(
1. 8u&rir /estion des strat#gies de groupe. a. Etilise" @.#cute" en tant que.
b. !orsque &ous ( sere" in&it#3 ou&re" une session a&ec le mot de
passe P@ssw0rd
<. 5a&iguer )usqu$ &otre strat#gie de
d#ploiement de logiciel et #dition de
la strat#gie.
8. Cr#er un pacQage dinstallation
logicielle pour la publication du pacQage
Cosmo 1.
'ans le point de distribution de logiciel de linstructeur
o= se trou&e le pacQage3 clique" sur )osmo1.msi.
EC#'cic# 4 = 1"'ification $# la !&9lication $& loGici#l
Dans cet exercice, vous vrifierez que le logiciel publi dans lexercice prcdent est install et
fonctionne normalement. Vous ouvrirez une session en tant quutilisateur test et vrifierez les
paramtres de publication du logiciel dfinis lexercice 4.
TQcA#( In(t'&ction( (!"cifi;&#(
1. 8u&rir une session sous le nom ?u"anne
'upre" $ partir de &otre domaine.
Etilise" le mot de passe P@ssw0rd.
<. Cnstaller le logiciel publi#. 'ans le Janneau de con2iguration3 utilise" Ajouter ou
supprimer des pro!rammes.
8. 0#ri2ier que le logiciel publi# a #t#
install#
'ans le menu &ous "es pro!rammes3 &#ri2ie"
linstallation de Cosmo 1.
=. 8u&rir une session sous
Votre_Domaine"#omputerName$ser.
!application est7elle install#e pour cet utilisateur G @.plique" pourquoi.
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
Cosmo 1 est7il list# dans Ajouter ou supprimer des pro!rammes G Jourquoi *pas> G
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
8
EC#'cic# 5 = Mi(# M ni)#a& $%&n loGici#l $"!lo*"
Dans cet exercice, vous mettrez niveau le logiciel dploy en modifiant la stratgie de groupe.
Northwind Traders a acquis une mise niveau pour lapplication Cosmo. Tous les ordinateurs
doivent tre mis niveau vers la dernire version de ce logiciel. Vous tes responsable de la
stratgie de groupe en termes de rponse aux besoins de lentreprise. Lorsque vous utiliserez la
stratgie de groupe, vous remarquerez quil nest pas ncessaire de mettre manuellement
niveau chaque utilisateur ou ordinateur. La direction aimerait que vous pilotiez la mise niveau
du logiciel afin de sassurer que vous pouvez rsoudre tout problme survenant durant le
processus avant de dployer le logiciel dans toute lorganisation.
TQcA#( In(t'&ction( (!"cifi;&#(
1. 4ettre $ ni&eau de Cosmo 1. a. Etilise" Ex$uter en tant 2ue pour ou&rir /estion des
strat#gies de groupe.
b. @dite" la strat#gie de d#ploiement de logiciel pour cr#er un
pacQage de mise $ ni&eau.
<. 0#ri2ier la mise $ ni&eau de Cosmo 1. a. 0#ri2ie" que lapplication e.istante est supprim#e a&ant
dinstaller la nou&elle application.
b. 0#ri2ie" que Cosmo 2 a remplac# Cosmo 1.
81
Mo$&l# 6 = I!l"#ntation $# (it#( !o&' G"'#' la
'"!lication Acti)# Di'#cto'*
EC#'cic# - = P'"(#ntation $# la '"!lication Acti)# Di'#cto'*
Objectifs
Dans cette application pratique, vous allez analyser la configuration de la rplication Active
Directory.
#nstructions
Vous travaillerez avec votre partenaire.
Scnario
Northwind Traders rencontre des problmes de conflits de rplication.
Vous devez trouver ce qui provoque les conflits de rplication et comment les rsoudre.
Alication rati!ue : Ana"'ser "a r$p"iation Ati*e Diretor'
1. Ouvrez une session en tant que N,t'a$#'(0\-omEOrdinate!r)ser (o -omEOrdinate!r
est le nom de lordinateur avec lequel vous travaillez) avec le mot de passe PS((,0'$.
2. Cliquez sur D"a''#', pointez sur O&til( $%a$ini(t'ation, cliquez avec le bouton droit
sur Sit#( #t (#')ic#( Acti)# Di'#cto'*, puis cliquez sur EC"c&t#' #n tant ;&#.
3. Dans la bote de dialogue EC"c&t#' #n tant ;&#, cliquez sur 0%&tili(at#&' (&i)ant, tapez
FotreEDomaineTA$ini(t'at#&' comme nom dutilisateur, le mot de passe PS((,0'$ et
cliquez sur OR.
4. Dveloppez Sit#(, puis Premier-Site-par-defaut, puis S#')#'(, puis -omEOrdinate!r,
cliquez sur NTDS S#ttinG(, cliquez avec le bouton droit sur NTDS S#ttinG(, puis cliquez
sur P'o!'i"t"(.
5. Dans la bote de dialogue P'o!'i"t"( $# NTDS S#ttinG(, dans longlet Conn#Cion(,
notez les partenaires de rplication de votre ordinateur, puis cliquez sur Ann&l#'.
6. Dans le volet de dtails, cliquez avec le bouton droit sur lobjet de connexion list, puis
cliquez sur P'o!'i"t"(.
7. Dans la bote de dialogue P'o!'i"t"( $# XG"n"'" a&toati;&##ntY, cliquez sur
T'an(!o't, notez les transports disponibles, puis cliquez sur RPC.
8. Cliquez sur Mo$ifi#' la !lanification, notez la planification des horaires de rplication,
puis cliquez sur Ann&l#' deux fois.
EC#'cic#2 = C'"ation #t confiG&'ation $# (it#(
Objectifs
Dans cette application pratique, vous allez crer des objets sous-rseau et site P dans Active
Directory et associer les sous-rseaux avec les sites. Ensuite, vous dplacerez des objets
serveur dans le site cr, vous crerez des liens P entre les sites et vous configurerez les
valeurs de la rplication : cot, planification et intervalle des liens.
82
#nstructions
Vous travaillerez par quipes de deux organises par domaine. La configuration de votre
domaine possde deux contrleurs de domaine dans #remierGSiteG)ardefa!t.
Scnario
Northwind Traders est rparti gographiquement avec de nombreux liens de rseau tendu
(WAN, 6ide Area -etHorI) qui relient ces rgions. La bande passante des liens du rseau WAN
est de faible capacit. Pour optimiser la rplication et minimiser lutilisation de la bande passante
des liens WAN, vous devez configurer Active Directory pour autoriser la cration de topologie en
fonction des connexions LAN (Local Area Network) et WAN.
Les objets sous-rseau et site P dActive Directory sont configurs en fonction du rseau
physique de Northwind Traders. Les sites du rseau dentreprise ont dj t configurs.
Alication rati!ue : %ration dun objet sous*rseau et site
)r$er un objet site et sous;r$seau
1. Ouvrez une session en tant quutilisateur N,t'a$#'(0\-omEOrdinate!rU(#' avec le mot
de passe PS((,0'$.
2. Cliquez sur D"a''#', pointez sur O&til( $%a$ini(t'ation, cliquez avec le bouton droit
sur Sit#( #t (#')ic#( Acti)# Di'#cto'*, puis cliquez sur EC"c&t#' #n tant ;&#.
3. Dans la bote de dialogue EC"c&t#' #n tant ;&#, cliquez sur 0%&tili(at#&' (&i)ant, tapez
N,t'a$#'(0TA$ini(t'at#&' comme nom dutilisateur, puis le mot de passe PS((,0'$
#t cliquez sur OR.
4. Dveloppez Sit#(, puis crez un objet site.
a. Crez un site nomm -omEOrdinate!rSit# (o -omEOrdinate!r est le nom
dhte de votre ordinateur).
b. Reliez-le au lien DEFAULTPSTELNK.
5. Crez un objet sous-rseau P, puis associez-le un site.
a. Crez un nouvel objet sous-rseau avec lD rseau 10.10.n.0 (o n est votre
numro de stagiaire) et le masque de sous-rseau 255.255.255.0.
b. Associez lobjet sous-rseau votre site -omEOrdinate!rSit#.
6. Actualisez Sites et services Active Directory et vrifiez que la rplication a eu lieu et que
vous pouvez voir le sous-rseau cr par votre partenaire.
Alication rati!ue : %ration et configuration des liens entre sites
)r$er des "iens de sites IP entre *otre site et e"ui de *otre partenaire
1. Crez un lien de sites P appel FotreEOrdinate!rGOrdinate!rE#artenaire.
2. Ajoutez les sites FotreEOrdinate!rSit# et Ordinate!rE#artenaireSit# au nouveau
lien de sites.
3. Configurez les proprits du lien FotreEOrdinate!rG Ordinate!rE#artenaireSite en
dfinissant le cot de la rplication 50, une frquence de 15 minutes et une
planification quotidienne qui exclut toute rplication entre 6h00 et 8h00 du matin.
4. Dplacez FotreEOrdinate!r dans le site que vous avez cr.
R#a';&# = Lintervalle de rplication entre les sites est dfini sur 15 minutes, mais vous pouvez
dclencher la rplication manuellement pour que les mises jour se produisent quand elles sont
ncessaires.
83
EC#'cic# 3 = A!!lication !'ati;&# = 0anc##nt an&#l $%&n#
'"!lication
Objectifs
Dans cette application pratique, vous verrez les objets de connexion en cours, vous supprimerez
un objet de connexion gnr automatiquement, puis vous actualiserez la topologie de
rplication. Vous vrifierez galement si Active Directory a recr lobjet de connexion.
#nstructions
Vous travaillerez par quipes de deux organises par domaine.
Scnario
Le groupe de test de Northwind Traders excute de nombreux tests de vrification dans Active
Directory. Si un objet de connexion est supprim, vous devez assurer la rgnration rapide de la
topologie de rplication. Pour vrifier quun objet de connexion peut tre rgnr, actualisez
manuellement la topologie de rplication aprs la suppression dun objet de connexion.
Alication rati!ue : +ancement manuel dune rlication
?aner une r$p"iation manue""ement
1. Ouvrez une session en tant que N,t'a$#'(0\-omEOrdinate!rU(#', avec le mot de
passe PS((,0'$.
a. Dmarrez Sites et services Active Directory en tant que
N,t'a$#'(0TA$ini(t'at#&' en utilisant EC"c&t#' #n tant ;&#.
b. Connectez-vous votre -omEOrdinate!r en cliquant du bouton droit sur Sit#( #t
(#')ic#( Acti)# Di'#cto'* dans larborescence de la console, puis cliquez sur
S# conn#ct#' a& cont'Ol#&' $# $oain#.
2. Affichez les objets de connexion en cours.
3. Dveloppez -omEOrdinate!rSit#, recherchez les paramtres NTDS de votre serveur,
puis analysez les proprits des objets de connexion.
Do les objets de connexion seront-ils rpliqus et quel transport de rplication
utiliseront-ils ? 0%o9:#t $# conn#Cion (!"cifi# ;&# la '"!lication !a'ti'a $#
OrdinateurEPartenaireSit# #t &tili(#'a l# t'an(!o't RPC.
4. Supprimez un objet de connexion gnr automatiquement.
a. Accdez aux paramtres NTDS de votre ordinateur.
b. Dans le volet de dtails, supprimez lobjet de connexion.
5. Actualisez la topologie de rplication.
a. Dveloppez FotreEOrdinate!rSit#, puis dans larborescence de la console,
slectionnez votre serveur.
b. Dans le volet de dtails, cliquez avec le bouton droit sur NTDS S#ttinG(, puis
dans le menu To&t#( l#( tQcA#(, cliquez sur 1"'ification $# la to!oloGi# $#
'"!lication.
84
Alication rati!ue : ,rification de la recration de lobjet de connexion
0$rifier 2ue ">objet de onnexion 2ue *ous a*e% supprim$ a $t$ rer$$
1. Dans larborescence de la console, cliquez avec le bouton droit sur Sit#( #t
(#')ic#( Acti)# Di'#cto'*, puis cliquez sur Act&ali(#'.
2. Dveloppez -omEOrdinate!rSit#, naviguez jusquaux paramtres NTDS de
votre serveur, puis vrifiez dans le volet de dtails que lobjet de connexion a t cr
automatiquement.
EC#'cic# 4 = R"(ol&tion $#( "cA#c( $# '"!lication
Objectifs
Dans cette application pratique, vous allez utiliser les outils de ligne de commande Repadmin et
Dcdiag pour analyser ltat de la rplication dans votre site et pour diagnostiquer le
fonctionnement de votre contrleur de domaine.
Scnario
Utilisez Repadmin.exe et Dcdiag.exe pour dclencher la rplication, puis analysez larchitecture
de rplication. Ces outils fournissent des informations fondamentales dtailles pour faciliter la
comprhension de ce qui ralentit ou interromps la rplication.
Alication rati!ue : -tilisation de 'eadmin.exe our la rsolution des robl)mes
D$panna!e des $5es de "a r$p"iation Ati*e Diretor' D ">aide de /epadmin.exe
1. Ouvrez linvite de commande en tant que FotreEDomaineTA$ini(t'at#&' laide de
EC"c&t#' #n tant ;&#.
2. linvite, tapez R#!a$in FZ et appuyez sur ENTRE.
3. Lisez les informations de lcran daide pour vous familiariser avec cette commande.
4. Excutez '#!a$in F'#!l(&a'* et analysez le rsultat. Notez ltat de la rplication
et le nombre derreurs.
5. Excutez '#!a$in F(Ao,conn FotreEordinate!r et analysez le rsultat. Notez les
informations sur les donnes de rplication reues du site de votre partenaire. Notez
galement la syntaxe des noms uniques obligatoires pour Repadmin.
6. Excutez la commande une deuxime fois avec Ordinate!rE#artenaire et analysez le
rsultat.
7. Excutez '#!a$in F'#!licat# FotreEOrdinate!r Ordinate!rE#artenaire
CN@ConfiG&'ation,DC@n,t'a$#'(0,DC@(ft Ffo'c#
Vrifiez que le rsultat affiche une rplication russie de la partition de configuration dans
votre serveur depuis celui de votre partenaire.
8. Excutez '#!a$in F(Ao,'#!l F)#'9o(# et analysez le rsultat. Notez quelle spcifie
des numros USN utiliss pendant la rplication, les identificateurs GUD de votre
serveur, les voisins entrants et le nom DNS utilis pour rparer le serveur de votre
partenaire.
85
Alication rati!ue : -tilisation de Dcdiag.exe our rsoudre les checs de la
rlication
/$soudre "es $5es de "a r$p"iation Ati*e Diretor' D ">aide de Ddia!.exe
1. Excutez $c$iaG FZ et analysez la structure de la commande pour comprendre les
options disponibles.
2. Excutez $c$iaG et analysez le rsultat. Notez que les tests sexcutent sur les partitions
locales pour vrifier leur intgrit.
3. Excutez $c$iaG F#. Excutez cette commande avec $c$iaG F# F) afin de documenter le
rsultat de tous les diagnostics.
EC#'cic# 4 = Planification $%&n (it#
Objectifs
Dans cette application pratique, vous allez dterminer la planification des liens de sites, la dure
du nouveau lien de sites et la configuration des ponts de liens de sites et des serveurs de tte de
pont privilgis.
Scnario
Votre organisation a enregistr des bnfices record lanne dernire. Pour continuer sur cette
lance, il a t dcid de dvelopper ses activits New Delhi. Votre organisation a la
configuration suivante :
Une liaison rseau de 384 kilobits par seconde (Kbits/s) entre le site existant Hyderabad
et New Delhi. Des rapports historiques indiquent quil y a parfois des problmes de
connexion intermittents sur cette liaison. En dautres termes, cette liaison nest pas fiable.
Une scurit physique adquate existe dans le nouveau bureau central de New Delhi.
Environ 3000 utilisateurs travaillent New Delhi en deux roulements de 6 22 heures, et
il est prvu que ce nombre triple dans les cinq ans.
l y aura trois contrleurs de domaine (DC, Domain Controller) dans le site de New Delhi
avec les configurations matrielles suivantes :
DC1 : Processeur 2 gigahertz (GHz) avec 1 gigaoctet (Go) de RAM
DC2 : Processeur 1 GHz avec 512 mgaoctets (Mo) de RAM
DC3 : Processeur 450 MHz avec 512 Mo de RAM
Voici les exigences pour la nouvelle configuration :
nterdire le trafic de rplications pendant les heures ouvrables New Delhi car il
rduit la bande passante disponible pour les transferts de fichiers et de donnes.
Minimiser limpact potentiel de la rplication sur les performances des
contrleurs de domaine dans le site de New Delhi.
Alication rati!ue : P"anifier un site
1. Que doit contenir votre plan pour que la planification, la frquence et la priode de la
rplication garantissent que le trafic de rplications naffecte pas ngativement les
transferts de donnes pendant les heures ouvrables sur la liaison WAN du site de New
Delhi ?
ECcl&'# la t'ancA# Ao'ai'# $# 5 M 22 A#&'#( $an( la !lanification. Po&' t#ni' co!t#
$# l%")"n##nt final $# '"!lication, o$ifi#J l%Ao'ai'# $%#Ccl&(ion $# $"9&t #n l#
$"fini((ant M 4A30. P&i( $"fini((#J la '"!lication !a' $"fa&t to&t#( l#( 30 o& 50
86
in&t#( a& li#& $# -70 in&t#( !o&' a&G#nt#' l# no9'# $%")"n##nt( $#
'"!lication #n $#Ao'( $#( A#&'#( o&)'a9l#(.
2. Allez-vous configurer un serveur de tte de pont privilgi, et si oui, quels serveurs de
New Delhi utiliserez-vous ?
O&i. Un (#')#&' $# t<t# $# !ont !'i)il"Gi" !#'#tt'a $# $%acA#in#' l# t'afic $#
'"!lication( (&' &n (#&l (#')#&' $& (it#, '"$&i(ant ain(i la ;&antit" $# $onn"#(
t'an(f"'"#( (&' la liai(on +AN. Utili(#J l# (#')#&' $ont l# !'oc#((#&' #(t l# !l&(
'a!i$#. Il #(t l# i#&C a!!'o!'i" !o&' c#tt# tQcA# ca' l# !o&'c#ntaG# $# cAa'G# ;&i
#(t !lac" $an( l# !'oc#((#&' $# c# (#')#&' #(t inf"'i#&' a&C a&t'#(.
3. Quelle configuration de pont de liens de sites utiliseriez-vous pour le site de New Delhi ?
0# !a'aPt'# R#li#' to&( l#( li#n( $& (it# #(t l# !l&( a!!'o!'i" ca', $an( c# ca(,
)o&( n%a)#J !a( 9#(oin $# confiG&'#' an&#ll##nt $#( !ont( $# li#n( $# (it#( #t
l%a'cAit#ct&'# $# '"!lication !#&t cAanG#' a&toati;&##nt #n ca( $%"cA#c(.
At#li#' A = I!l"#ntation $# (it#( !o&' G"'#' la '"!lication
Acti)# Di'#cto'*
Objectifs
la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
crer et configurer un site, des liens de sites et des ponts entre les liens de sites ;
configurer les planifications de rplication pour les contrleurs de domaine ; ! dpanner et
vrifier la rplication entre sites.
Scnario
Vous tes un ingnieur systme de la socit Northwind Traders. Votre suprieur vous a
demand de piloter et de tester larchitecture de rplication.
Pour chaque fort de lentreprise, vous devez tablir des standards de rplication et les tester.
Lorganisation souhaitant rduire les cots dexploitation des connexions de la rplication, cette
opration naura lieu quune fois par jour et les connexions seront maintenues deux heures au
maximum.
Vous devez crer une configuration pilote de sorte que le groupe de conception logicielle de
lentreprise puisse tester la rplication Active Directory et le transfert des fichiers dapplication.
Pour vrifier la taille et limpact de la rplication Active Directory, vous allez crer plusieurs sites
dans un environnement LAN et collecter des informations sur les transferts de donnes au sein
du rseau laide de tests logiciels que vous excuterez sur chaque site.
L o cest ncessaire, crez un nouvel objet sous-rseau avec lD rseau 10.10.n.0 (o n est
votre numro de stagiaire + 100 (par exemple, si votre numro de stagiaire est 10, utilisez 110) et
le masque de sous-rseau 255.255.255.0.
%onfiguration de latelier
Cette section rpertorie les tches que vous devez effectuer avant de commencer latelier.
Compltez le tableau suivant avant de commencer le premier exercice.
87
[l"#nt No
1. 5om du contrBleur de domaine racine de
la 2or-t
<. 5om du contrBleur de domaine en2ant
8. 5om de &otre domaine
=. 5om de domaine pleinement quali2i#
pour &otre domaine
A. 5om de &otre site
EC#'cic# - = C'"ation $%&n cont'Ol#&' $# $oain# '"!li;&"
Dans cet exercice, vous allez supprimer Active Directory dans le contrleur de domaine du
domaine enfant en prparation la cration de sites pour la rplication Active Directory. Vous
installerez ensuite ce serveur comme contrleur de domaine rpliqu dans la fort
nwtraders0.msft.
TQcA#( In(t'&ction( (!"cifi;&#(
Important 6 @22ectue" cette tAche uniquement sur le contrBleur du domaine en2ant.
1. ?upprimer %cti&e 'irector( du
contrBleur de domaine du domaine en2ant.
8u&re" une session sous
,wtraders!<Nom_rdinateurUser *Nom_rdinateur #tant
le nom de lordinateur sur lequel &ous tra&aille"> a&ec le
mot de passe P@ssw0rd
@.#cute" dpromo en tant que
,wtraders!7Administrateur en utilisant Ex$uter en tant
2ue a&ec le mot de passe P@ssw0rd
<. %)outer le contrBleur de domaine de la
tAche pr#c#dente en tant que
contrBleur de domaine r#pliqu# dans le
domaine n,traders!.ms2t.
8u&re" une session en tant quAdministrateur local
a&ec le mot de passe P@ssw0rd
EC#'cic# 2 = C'"ation #t confiG&'ation $%&n (it# !o&' )ot'#
$oain#
Dans cet exercice, vous allez crer et configurer un site pour votre ordinateur dans la fort
nwtraders0.msft.
TQcA#( In(t'&ction( (!"cifi;&#(
1. Cr#er dans %cti&e 'irector( un ob)et de
site pour le domaine.
Cr#e" un site nomm# ?A-Nom_rdinateurSite.
88
<. Con2igurer les propri#t#s du lien de sites
en d#2inissant le coRt3 linter&alle et la
plani2ication de la r#plication.
'#2inisse" les propri#t#s sui&antes :
6#plication S 5
Cnter&alle S 6
Jlani2ie" hors de la tranche horaire 18h $ 6h3
du lundi au &endredi3 pour le lien.
EC#'cic# 3 = R"(ol&tion $#( !'o9lP#( li"( M la '"!lication #nt'#
(it#(
Dans cet exercice, vous allez rassembler des informations sur la rplication, puis diagnostiquer
son tat. Excutez '#!lon, $c$iaG et '#!a$in pour afficher ltat de la rplication dans votre
site.
TQcA#( In(t'&ction( (!"cifi;&#(
1. @.#cute" rep"mon Etilise" Ex$uter en tant 2ue pour e.#cuter
rep"mon en tant que ,wtraders!7Administrateur a&ec le
mot de passe P@ssw0rd
Fuel est le nom unique de &otre contrBleur de domaine G
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
Fuel est le dernier E?5 mis $ )our et utilis# pour la partition de domaine G 'ans ?ites et ser&ices %cti&e
'irector(3 impose" un c(cle de r#plication et enregistre" toute modi2ication de lE?5. Fuelles modi2ications
se sont produites G
_______________________________________________________________________
<. @.#cute" ddia! pour a22icher l#tat de
la r#plication3 puis e.#cute" des tests sur
&otre contrBleur de domaine.
%nal(se" le r#sultat du diagnostic pour r#pondre $ la
question sui&ante.
'es erreurs apparaissent7elles pour &otre contrBleur de domaine G
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
8. @.#cute" repadmin pour a22icher l#tat
de la r#plication sur &otre
contrBleur de domaine.
%nal(se" le r#sultat pour r#pondre au. questions
sui&antes.
Fuels ser&eurs sont &os partenaires de r#plication G 'es erreurs sont7elles r#pertori#es G
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
89
Mo$&l# 7 = I!l"#ntation $& !lac##nt $#(
cont'Ol#&'( $# $oain#
EC#'cic# - = I!l"#ntation $& cataloG&# Glo9al $an( Acti)#
Di'#cto'*
Objectif
Dans cette application pratique, vous allez activer un serveur de catalogue global.
Scnario
Votre organisation compte 4000 utilisateurs dans une fort plusieurs domaines. Un contrleur
de domaine existe dans une succursale comptant 200 utilisateurs, lesquels font partie dun
domaine comptant 2000 comptes dutilisateurs. Vous souhaitez permettre aux utilisateurs douvrir
une session sur le domaine, mme si la liaison WAN nest pas disponible.
Alication rati!ue : Ati*er un ser*eur de ata"o!ue !"oba"
1. Ouvrez une session sous N,t'a$#'(0\-omEOrdinate!rU(#' (-omEOrdinate!r tant le
nom de lordinateur sur lequel vous travaillez) avec le mot de passe PS((,0'$.
2. Cliquez sur D"a''#', pointez sur O&til( $%a$ini(t'ation, cliquez du bouton droit sur
Sit#( #t (#')ic#( Acti)# Di'#cto'*, puis cliquez sur EC"c&t#' #n tant ;&#.
3. Dans la bote de dialogue EC"c&t#' #n tant ;&#, cliquez sur 0%&tili(at#&' (&i)ant, tapez
FotreEDomaineTA$ini(t'at#&' comme nom dutilisateur, avec pour mot de passe
PS((,0'$ et cliquez ensuite sur OR.
4. Utilisez la console Sites et services Active Directory pour accder aux proprits NTDS
pour votre contrleur de domaine.
5. Vrifiez que la case CataloG&# Glo9al est coche, puis cliquez sur OR.
6. Fermez la console Sites et services Active Directory.
EC#'cic# 2 = D"t#'ination $& !lac##nt $# cont'Ol#&'( $#
$oain# $an( Acti)# Di'#cto'*
Objectifs
Dans cette application pratique, vous allez dterminer le placement de contrleurs de domaine
laide dActive Directory Sizer.
Scnario
Woodgrove Bank est une petite banque locale possdant cinq agences Chicago. La banque
compte 375 employs : 300 employs au sige et 15 employs dans chaque agence. Woodgrove
Bank a choisi dutiliser :
Une stratgie base sur un seul domaine
9
Le nom de domaine corp.woodgrove.msft
Une stratgie base sur un seul site, sans serveurs dans les agences
Utilisez Active Directory Sizer pour vous aider dvelopper un plan de placement pour les
contrleurs de domaine de Woodgrove Bank.
Alication rati!ue : D$terminer "e p"aement du ser*eur
1. Ouvrez une session sous le nom N,t'a$#'(0\-omEOrdinate!rU(#' avec le mot de
passe PS((,0'$.
2. Cliquez sur D"a''#', pointez sur To&( l#( !'oG'a#(, puis sur Acti)# Di'#cto'*
SiJ#', puis cliquez sur Acti)# Di'#cto'* SiJ#'.
3. Dans la bote de dialogue Acti)# Di'#cto'* SiJ#', cliquez sur Fil#, puis sur N#,.
4. Lorsque vous y serez invit, tapez le nom du domaine, puis cliquez sur N#Ct.
5. Dans la page U(#' Acco&nt(, tapez le nombre dutilisateurs, puis cliquez sur Fini(A.
Dans larborescence de la console, le domaine corp.woodgrove.msft apparat sous
Doain ConfiG&'ation et, sous Sit# ConfiG&'ation, le site par dfaut D#fa&lt-Fi'(t-
Sit#. Dans le volet de dtails, consultez le nombre de serveurs quActive Directory Sizer
vous recommande de placer dans le site.
6. Fermez Active Directory Sizer.
At#li#' A = I!l"#ntation $& !lac##nt $#( cont'Ol#&'( $#
$oain#
Objectifs
la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
dterminer le placement de contrleurs de domaine laide dActive Directory Sizer ;
activer la mise en cache de lappartenance au groupe universel et spcifier les sites que
les contrleurs de domaine contacteront pour actualiser la mmoire cache.
Scnario
Northwind Traders est une banque daffaires comportant 200 agences rparties entre lllinois,
lndiana et lOhio. Chaque centre rgional possde son propre personnel informatique qui rend
des comptes au personnel informatique du groupe, bas au sige de la banque Chicago.
Northwind Traders a choisi une stratgie de domaine unique avec pour nom de domaine
corp.nwtraders.msft.
l inclura trois sites : Chicago, ndianapolis et Columbus.
EC#'cic# - = D"t#'ination $& !lac##nt $# cont'Ol#&'( $#
$oain# M l%ai$# $%Acti)# Di'#cto'* SiJ#'
Dans cet exercice, vous allez entrer dans Active Directory Sizer des informations du scnario
pour dterminer combien de contrleurs de domaine, de serveurs de catalogue global et de
serveurs de tte de pont privilgis placer sur chaque site pour Northwind Traders.
Scnario
Northwind Traders a choisi :
Une stratgie base sur un seul domaine.
91
Le nom de domaine corp.nwtraders.msft.
Trois sites : Chicago, ndianapolis et Columbus.
Les oprations sur le site de Chicago sont stratgiques pour Northwind Traders. Les utilisateurs
situs dans ce site doivent pouvoir ouvrir une session et accder aux ressources du rseau 24
heures sur 24, 7 jours sur 7.
La direction de Northwind Traders vous a fourni les informations suivantes concernant le nombre
dutilisateurs dans chaque centre rgional.
Site ,ombre d>a!enes ,ombre tota" d>uti"isateurs
Chicago
Cndianapolis
Columbus
1otal
1
6
35
195
2675
135
925
495
Vous avez consult le personnel informatique dans les centres rgionaux concernant leur rseau
et leurs stations de travail. ls vous ont fourni les informations suivantes.

E"$ment Informations
Jourcentage dutilisateurs acti2s simultan#ment au. heures de pointe 9
4o(enne des attributs suppl#mentaires 25
4o(enne des groupes par utilisateur 3
@.piration des mots de passe en nombre de )ours 45
1au. ma.imum mo(en dou&erture de sessions interacti&es par seconde 5
1au. ma.imum mo(en dou&erture de session par lot par seconde
1au. ma.imum mo(en dou&erture de sessions de traitement par lot par seconde 25
8rdinateurs +indo,s 2 4
%utres ordinateurs 1
%utres ob)ets $ publier 23
Etilisation mo(enne souhait#e par processeur 6 T
Jrocesseur pr#2#r# pour contrBleur de domaine %uto select
5ombre de processeurs dans les contrBleurs de domaine %uto select
%)out dob)ets par semaine 2
?uppression dob)ets par semaine 15
4odi2ication dob)ets par semaine 5
4icroso2t @.change 2 8ui
4essages 4icroso2t @.change 2 75
'estinataires par message 4icroso2t @.change 2 15
?er&eurs @.change 2
/roupes de routage @.change 1
'5? +indo,s 2 8ui
Conne.ions dappel entrant 1
@.piration des bau. 'DCJ en nombre de )ours 12
JaramKtre '5? 5o6e2reshCnter&al en )ours 7
%utres ser&ices %cti&e 'irector( %ucun
TQcA#( In(t'&ction( (!"cifi;&#(
1. 8u&rir un nou&eau pro)et dans %cti&e
'irector( ?i"er3 puis sp#ci2ier les
in2ormations requises.
a. 8u&re" une session sous ,wtraders!<Nom_rdinateurUser
*5omI8rdinateur #tant le nom de lordinateur sur lequel &ous
tra&aille"> a&ec le mot de passe P@ssw0rd.
92
b. 'ans l%ssistant %cti&e 'irector( ?i"er3 utilise" les in2ormations
2ournies dans le sc#nario pour compl#ter celui7ci lorsque &ous (
sere" in&it#.
<. Cr#er trois sites dans %cti&e
'irector( ?i"er.
Cr#e" les trois sites sui&ants :
Chicago
Cndianapolis
Columbus
8. 6#partir les utilisateurs dans les sites
que &ous &ene" de cr#er.
a. Etilise" %cti&e 'irector( ?i"er.
b. '#place" tous les utilisateurs du site 'e2ault7Nirst7?ite.
=. 0isualiser le rapport du site dans
%cti&e 'irector( ?i"er.
5ote" la r#partition recommand#e des contrBleurs de
domaine3 des ser&eurs de t-te de pont et des catalogues
globau. pour chaque site.
Combien de contrBleurs de domaine %cti&e 'irector( ?i"er recommande7t7il pour le site de Chicago G
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
Combien de contrBleurs de domaine alle"7&ous recommander pour le site de Chicago G
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
EC#'cic# 2 = Acti)ation $# la i(# #n cacA# $# l%a!!a't#nanc# a&
G'o&!# &ni)#'(#l
Dans cet exercice, vous allez activer la mise en cache de lappartenance au groupe universel
pour un site, et spcifier quel site vous utiliserez pour actualiser la mmoire cache.
Scnario
Lune des agences de Northwind Traders a connu une telle croissance que vous avez cr un
nouveau site pour elle dans Active Directory, dans lequel vous avez plac un contrleur de
domaine qui nest pas un serveur de catalogue global. Vous devez vous assurer que les
utilisateurs peuvent ouvrir une session et accder aux ressources sur les serveurs locaux, mme
en cas de rupture de liaison avec le WAN. Cependant, la liaison WAN avec le sige du groupe
est fortement utilise pendant la journe pour grer le trafic des sessions avec les macro-
ordinateurs. Vous devez minimiser la quantit de trafic de rplications Active Directory qui est
envoye sur la liaison WAN.
TQcA#( In(t'&ction( (!"cifi;&#(
%cti&er la mise en cache de
lappartenance au groupe uni&ersel
pour le site !%UNom_rdinateur?ite3
et la con2igurer pour que
lactualisation se 2asse $ partir du site
Jremier7?itepar7de2aut.
a. 8u&re" une session sous le nom
,wtraders!<Nom_rdinateurUser a&ec le mot de passe
P@ssw0rd.
b. Etilise" Ex$uter en tant 2ue pour d#marrer la console
Etilisateurs et ordinateurs %cti&e 'irector(
nwtraders!<Administrateur a&ec le mot de passe P@ssw0rd.
93
Mo$&l# 8 = 3#(tion $#( a\t'#( $%o!"'ation(
EC#'cic# -= T'an(f#'t $#( 'Ol#( $# a\t'#( $%o!"'ation(
Objectifs
Dans cette application pratique, vous allez effectuer les tches suivantes :
dterminer le contrleur de domaine qui excutera le rle de matre dinfrastructure dans
votre domaine ;
transfrer le rle de matre dinfrastructure un autre serveur du domaine.
#nstructions
Travaillez avec un partenaire dont le contrleur de domaine appartient au mme domaine Active
Directory que le vtre. Cette application pratique ne pouvant tre effectue que sur un serveur du
domaine, travaillez ensemble sur un serveur.
Scnario
Northwind Traders labore un plan de rcupration durgence. l est important de comprendre la
rpartition des rles de matres doprations. Lquipe dimplmentation dActive Directory a
dcid que le rle de matre dinfrastructure serait plac sur un autre serveur que celui qui le
dtient actuellement.
Alication rati!ue : &ransf$rer "e r("e de maFtre d>infrastruture
1. Ouvrez une session sous le nom N,t'a$#'(0\-omEOrdinate!rU(#' avec le mot de
passe PS((,0'$.
2. Cliquez sur D"a''#', pointez sur O&til( $%a$ini(t'ation, cliquez avec le bouton droit
sur Utili(at#&'( #t o'$inat#&'( Acti)# Di'#cto'*, puis cliquez sur EC"c&t#' #n tant
;&#.
3. Dans la bote de dialogue EC"c&t#' #n tant ;&#, cliquez sur 0%&tili(at#&' (&i)ant, tapez
le nom dutilisateur 3/traders0TA$ini(t'at#&' avec le mot de passe PS((,0'$, puis
cliquez sur OR.
4. Dans larborescence de la console, cliquez avec le bouton droit sur n,t'a$#'(0.(ft,
puis cliquez sur Ma\t'#( $%o!"'ation(.
5. Sous longlet Inf'a(t'&ct&'#, dans le champ Ma\t'# $%o!"'ation(, notez le nom du
matre doprations en cours, puis cliquez sur F#'#'.
____________________________________________________________
____________________________________________________________
6. Dans larborescence de la console, cliquez avec le bouton droit sur n,t'a$#'(0.(ft,
puis cliquez sur S# conn#ct#' a& cont'Ol#&' $# $oain#.
7. Dans la liste O& ("l#ctionn#' &n cont'Ol#&' $# $oain# $i(!oni9l# de la bote de
dialogue S# conn#ct#' a& cont'Ol#&' $# $oain#, slectionnez le serveur qui
nexcute pas le rle de matre dinfrastructure pour linstant et cliquez sur OR.
8. Dans larborescence de la console, cliquez avec le bouton droit sur n,t'a$#'(0.(ft,
puis cliquez sur Ma\t'#( $%o!"'ation(.
94
9. Sous longlet Inf'a(t'&ct&'#, cliquez sur Mo$ifi#'.
10. Dans la bote de dialogue Acti)# Di'#cto'*, cliquez sur O&i, puis sur OR.
11. Dans la bote de dialogue Ma\t'#( $%o!"'ation(, remarquez que le matre doprations a
t transfr sur le contrleur de domaine slectionn, puis cliquez sur F#'#'.
12. Fermez la fentre Utilisateurs et ordinateurs Active Directory.
At#li#' A = 3#(tion $#( a\t'#( $%o!"'ation(
Objectifs
la fin de cet atelier, vous serez mme de transfrer et prendre des rles de matres
doprations dans Active Directory.
Scnario
Vous tes administrateur et responsable de la gestion des rles de matres doprations uniques
chez Northwind Traders. Vous allez prendre un rle de matre doprations, puis transfrer des
rles de matres doprations selon le plan labor pour eux par lquipe de conception Active
Directory.
EC#'cic# - = P'i(# $# 'Ol#( $# a\t'#( $%o!"'ation(
Dans cet exercice, vous allez utiliser Ntdsutil.exe pour prendre le rle de matres dinfrastructure
du serveur de votre partenaire. Le contrleur de domaine jouant le rle de matre dinfrastructure
a subi une surtension du fait du dysfonctionnement de son onduleur (UPS, %ninterr!)tible #oHer
S!))ly).
Le problme est d une boisson renverse sur le botier. Lordinateur ne fonctionne plus.
TQcA#( In(t'&ction( (!"cifi;&#(
1. Etiliser le composant Etilisateurs et
ordinateurs %cti&e 'irector( pour
identi2ier le ser&eur e.#cutant le rBle de
ma;tre din2rastructure dans &otre
domaine.
Important 6 @.#cute" cette tAche sur les deu. ser&eurs du
domaine.
Fuel ser&eur e.#cute le rBle de ma;tre din2rastructure G
<. Jour simuler une d#2aillance du ser&eur3
#teindre celui d#tenant le rBle de ma;tre
din2rastructure dans &otre
domaine.
Important 6 @.#cute" cette tAche uniquement sur le ser&eur
d#tenant le rBle de ma;tre din2rastructure.
8. Etiliser 5tdsutil.e.e pour prendre le rBle
de ma;tre din2rastructure.
a. 8u&re" une session sous le nom
,wtraders!<Nom_rdinateurUser a&ec le mot de passe
P@ssw0rd.
b. Clique" sur D$marrer3 clique" a&ec le bouton droit sur
In*ite de ommande3 puis sur Ex$uter en tant 2ue.
. 'ans la bo;te de dialogue Ex$uter en tant 2ue3 clique" sur
?>uti"isateur sui*ant3 tape" ,wtraders!7Administrateur
comme nom dutilisateur3 puis le mot de passe P@ssw0rd et
clique" sur O3.
Important 6 5e.#cute" cette tAche que sur le ser&eur qui ne
d#tient pas le rBle de ma;tre din2rastructure.
95
=. 6ed#marre" le ser&eur que &ous a&e"
#teint $ l#tape 2.
EC#'cic# 2 = T'an(f#'t $#( 'Ol#( $# a\t'#( $%o!"'ation(
Dans cet exercice, vous allez transfrer les rles de matre doprations un autre serveur.
Lquipe informatique (T) de Northwind Traders a dcid de placer les rles dmulateur PDC et
de matre RD sur un serveur ne dtenant pas les rles de contrleur de schma et de matre
dattribution de noms de domaine. Vous devez transfrer les rles dmulateur PDC et de matre
RD sur lautre serveur.
TQcA#( In(t'&ction( (!"cifi;&#(
1. 1rans2#rer le rBle de l#mulateur J'C $
un autre ser&eur dans &otre domaine.
a. 8u&re" une session sous le nom
,wtraders!<Nom_rdinateurUser a&ec le mot de passe
P@ssw0rd.
b. Clique" sur D$marrer3 clique" a&ec le bouton droit sur
In*ite de ommande3 puis sur Ex$uter en tant 2ue.
. 'ans la bo;te de dialogue Ex$uter en tant 2ue3 clique" sur
?>uti"isateur sui*ant3 tape" ,wtraders!7Administrateur
comme nom
dutilisateur3 puis le mot de passe P@ssw0rd et clique" sur
O3.
Important 6 @.#cute" cette tAche uniquement sur le ser&eur
actuellement propri#taire des rBles d#mulateur J'C et de
ma;tre 6C'.
<. 1rans2#rer le rBle de ma;tre 6C' sur
&otre ser&eur.
a. 8u&re" une session sous le nom
,wtraders!<Nom_rdinateurUser a&ec le mot de passe
P@ssw0rd.
b. Cliquer sur D$marrer3 clique" a&ec le bouton droit sur
In*ite de ommande3 puis clique" sur Ex$uter en tant 2ue.
. 'ans la bo;te de dialogue Ex$uter en tant 2ue3 clique" sur
?>uti"isateur sui*ant3 tape" ,wtraders!7Administrateur
comme
nom dutilisateur3 puis le mot de passe P@ssw0rd et clique"
sur O3.
Important 6 5e.#cute" cette tAche que sur le ser&eur qui ne
d#tient pas le rBle de ma;tre 6C'.
8. Etiliser la console Etilisateurs et
ordinateurs %cti&e 'irector( pour
&#ri2ier que les rBles ont bien #t#
trans2#r#s.
Important 6 @.#cute" cette tAche sur les deu. ser&eurs du
domaine.
96
Mo$&l# -0 = Maint#nanc# $'Acti)# Di'#cto'*
EC#'cic# -= D"!lac##nt #t $"f'aG#ntation $# la 9a(# $#
$onn"#( Acti)# Di'#cto'*
Objectifs
Dans cette application pratique, vous allez dplacer la base de donnes de votre contrleur de
domaine vers un autre emplacement pour effectuer ensuite une dfragmentation hors connexion.
Vous allez galement effectuer un contrle dintgrit et une analyse smantique de la base de
donnes dfragmente.
#nstructions
Vous travaillerez avec un partenaire dans le domaine Active Directory qui contient votre
contrleur de domaine et celui de votre partenaire.
Scnario
Northwind Traders a dfini un programme de maintenance pour la mise hors connexion des
contrleurs de domaine et la mise niveau du disque dur. Une fois la mise niveau termine,
vous allez dplacer la base de donnes Active Directory vers le nouveau disque dur.
Alication rati!ue : D$p"aement et d$fra!mentation d>une base de donn$es
Ati*e Diretor'
1. Ouvrez une session en tant que N,t'a$#'(0T-omEOrdinate!rU(#' (o -omEOrdinate!r
correspond au nom de votre ordinateur) avec un mot de passe PS((,0'$.
2. Ouvrez une invite de commandes en tant que N,t'a$#'(0TA$ini(t'at#&' avec un mot
de passe PS((,0'$.
3. linvite, tapez (A&t$o,n F' F$ !=2=4 et appuyez sur ENTRE.
4. Redmarrer votre contrleur de domaine en Mode restauration Active Directory.
5. Ouvrez une session en tant quA$ini(t'at#&' avec le mot de passe PS((,0'$.
6. linvite de commande, tapez nt$(&til et appuyez sur ENTRE.
7. linvite nt$(&til, tapez fil#( et appuyez sur ENTRE pour dfinir le mode de
maintenance de fichier de Ntdsutil.
8. linvite fil# aint#nanc#, tapez o)# $9 to c=To)#$-$9 et appuyez sur ENTRE
pour dplacer la base de donnes Active Directory vers C:\moved-db.
9. Dfragmentez la base de donnes dplace.
a. linvite fil# aint#nanc#, tapez co!act to c=T$#f'aG et appuyez sur
ENTRE.
b. Dans lExplorateur Windows, copiez la base de donnes dfragmente dans le
dossier moved-db. Notez que le fichier copi est moins volumineux que le fichier
dorigine.
c. Supprimez \Windows\NTDS\*.log.
97
10. linvite fil# aint#nanc#, tapez int#G'it* puis ;&it pour effectuer un contrle dintgrit
de la base de donnes.
11. Effectuez une analyse smantique de la base de donnes.
a. linvite nt$(&til, tapez S#antic Data9a(# Anal*(i(.
b. linvite (#antic cA#c?#', tapez 3o.
12. Redmarrez le contrleur de domaine.
EC#'cic# 2= Sa&)#Ga'$# $%Acti)# Di'#cto'*
Objectifs
Dans cette application pratique, vous allez crer une unit dorganisation que vous supprimerez
aprs sauvegarde des donnes dtat systme de lordinateur.
#nstructions
Vous travaillerez avec un partenaire dans le domaine Active Directory qui contient votre
contrleur de domaine et celui de votre partenaire.
Scnario
Northwind Traders a dvelopp des procdures de rcupration durgence.
Vous devez tester les procdures de sauvegarde pour vous assurer quelles sont adquates
avant de les implmenter dans lorganisation.
Alication rati!ue : Sau*e!arder Ati*e Diretor'
1. Ouvrez une session sous le nom N,t'a$#'(0T-omEOrdinate!rU(#' avec le mot
de passe PS((,0'$.
2. Dmarrez le composant Utilisateurs et ordinateurs Active Directory en tant que
N,t'a$#'(0TA$ini(t'at#&' avec un mot de passe PS((,0'$ et laide de la
commande EC"c&t#' #n tant ;&#.
3. Crez une unit dorganisation baptise P'actic#-omEOrdinate!rOU dans votre
domaine.
4. Affichez les proprits de cet objet et notez le numro de la squence de mise
jour. ____________________________________________________________
____________________________________________________________
5. Dmarrez lUtilitaire de sauvegarde en tant que N,t'a$#'(0TA$ini(t'at#&'
avec un mot de passe PS((,0'$ en utilisant la commande EC"c&t#' #n tant ;&# puis
effectuez une sauvegarde de ltat systme.
6. Supprimez lunit dorganisation P'actic#-omEOrdinate!rOU.
EC#'cic# 3 = R#(ta&'ation $%Acti)# Di'#cto'*
Objectifs
Dans cette application pratique, vous allez restaurer la dernire sauvegarde avant de supprimer
les units dorganisation de test. Vous allez galement vrifier que lopration de restauration
sest bien droule en examinant les donnes qui font autorit.
#nstructions
98
Vous travaillerez avec un partenaire dans le domaine Active Directory qui contient votre
contrleur de domaine et celui de votre partenaire. Effectuez cette procdure uniquement pour le
contrleur de domaine dsign comme serveur de restauration.
Scnario
Northwind Traders a dvelopp des procdures de rcupration durgence. Vous devez tester les
procdures dune restauration force avant de les implmenter dans lorganisation.
Alication rati!ue : Effetuer une restauration for$e d>Ati*e Diretor'
1. Redmarrez votre contrleur de domaine en Mode restauration Active Directory.
2. Ouvrez une session en tant quA$ini(t'at#&' avec le mot de passe PS((,0'$.
3. Dmarrez lUtilitaire de sauvegarde et restaurez les donnes dtat systme partir de la
sauvegarde cre dans le cadre de lapplication pratique Sauvegarde Active Directory.
4. linvite de commande, excutez nt$(&til en mode de restauration force.
5. Marquez les units dorganisation prcdemment supprimes comme forces.
6. Redmarrez le contrleur de domaine.
7. Ouvrez une session en tant que N,t'a$#'(0T-omEOrdinate!rU(#'.
8. Vrifiez que lunit dorganisation cre dans le cadre de lapplication pratique
Sauvegarde dActive Directory a bien t restaure.
9. Affichez les proprits de lunit dorganisation restaure et notez le numro de
squence de mise jour.
____________________________________________________________
At#li#' A = Maint#nanc# $%Acti)# Di'#cto'*
Objectifs
la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
sauvegarder une base de donnes Active Directory ;
effectuer une restauration force dune base de donnes Active Directory.
EC#'cic# - = Sa&)#Ga'$# $%Acti)# Di'#cto'*
Dans cet exercice, vous allez crer une unit dorganisation et un ensemble de comptes
dutilisateurs dans lunit dorganisation. Ensuite, vous allez sauvegarder les donnes dtat
systme au niveau du contrleur de domaine, puis supprimer lunit dorganisation.
Vous travaillerez avec un partenaire dans le domaine Active Directory qui contient votre
contrleur de domaine et celui de votre partenaire. Vous excuterez les tapes de votre ct,
puis vrifierez avec votre partenaire que la sauvegarde comprend les donnes que vous avez
tous les deux cres.
Scnario
Northwind Traders ouvre une nouvelle division dans le dpartement marketing destine
encourager la prise de conscience de lenvironnement au sein de lorganisation. Vous devez
crer lobjet Active Directory adquat, qui devra comporter la nouvelle division et cinq comptes
99
dutilisateurs pour les personnes qui travailleront dans cette division. Northwind Traders a choisi
un mot de passe standard pour tous les nouveaux comptes dutilisateurs, savoir St@rTr3k!.
Vous allez dsactiver les comptes dutilisateurs jusquau lancement officiel de la nouvelle
division.
La direction de Northwind Traders souhaite que vous utilisiez cette unit dorganisation pour
tester sa procdure de rcupration durgence. Aprs avoir cr la structure de base de la
nouvelle unit dorganisation, vous devez supprimer lobjet, puis vrifiez que vous pouvez le
rcuprer en utilisant les procdures de sauvegarde et de restauration.
TQcA#( In(t'&ction( (!"cifi;&#(
1. 8u&rir le domaine n,traders!.ms2t et cr#er
une unit# dorganisation.
a. 8u&re" une session en tant que
,wtraders!7Nom_rdinateurUser *o= Nom_rdinateur
correspond au nom de &otre ordinateur> a&ec un mot de passe
P@ssw0rd.
b. Cr#e" lunit# dorganisation sui&ante :
?ab5omI8rdinateurOU
<. Cr#er des comptes dutilisateurs dans
lunit# dorganisation
?abNom_rdinateurOU.
Cr#e" les comptes dutilisateurs sui&ants dans lunit#
dorganisation ?abNom_rdinateurOU :
Jr#nom % Nom_rdinateur. 5om % Eser1. 5om
dou&erture de session S Nom_rdinateurEser1
Jr#nom % Nom_rdinateur. 5om % Eser2. 5om
dou&erture de session S Nom_rdinateurEser2
8. !ancer la r#plication a&ec le contrBleur de
domaine de &otre partenaire.
/emar2ue 6 ?i lunit# dorganisation de &otre partenaire ne
sa22iche pas3 e22ectue" de nou&eau la r#plication sur lob)et de
conne.ion $ partir du ser&eur de &otre partenaire
=. ?au&egarder les donn#es d#tat s(stKme de
&otre contrBleur de domaine.
Important 6 0#ri2ie" que &ous a&e" param#tr# la sau&egarde
pour quelle utilise la )ournalisation d#taill#e.
?au&egarde" les donn#es d#tat s(stKme dans le
2ichier c:<48C<2194<bacQup.bQ2.
A. %22icher le )ournal de la session
sau&egard#e.
5ote" le nom des 2ichiers des donn#es d#tat s(stKme
et leur emplacement.
Important 6 Chaque stagiaire doit e22ectuer les tAches ci7aprKs.
:. ?upprimer lunit# dorganisation cr##e
pr#c#demment3 con2irmer la suppression des
deu. ob)ets et 2orcer la r#plication si
n#cessaire.
a. ?upprime" lunit# dorganisation que &ous a&e" cr##e plus
tBt.
b. H lin&ite3 clique" sur Oui.
G. !ancer la r#plication a&ec le contrBleur de
domaine de &otre partenaire.
a. 8u&re" une session sous le nom
,wtraders!7Administrateur en utilisant la commande
Ex$uter en tant 2ue a&ec un mot de passe
P@ssw0rd.
b. 0#ri2ie" que lunit# dorganisation a bien #t# supprim#e.
1
EC#'cic# 2 = R#(ta&'ation $%Acti)# Di'#cto'*
Dans cet exercice, vous allez tester les fonctions de rcupration durgence en effectuant une
restauration force de lunit dorganisation supprime lexercice 1.
Scnario
Lors du test des fonctions de rcupration durgence de Northwind Traders, vous allez essayer
de rcuprer une unit dorganisation supprime accidentellement ainsi que les objets utilisateur
du conteneur.
TQcA#( In(t'&ction( (!"cifi;&#(
1. 6ed#marrer &otre contrBleur de domaine
en 4ode restauration %cti&e
'irector(.
a. 8u&re" une in&ite de commande en tant que
,wtraders!7Administrateur en utilisant la commande
Ex$uter en tant 2ue et a&ec un mot de passe P@ssw0rd
b. %prKs le red#marrage de &otre contrBleur3 ou&re" une
session en tant quAdministrateur a&ec le mot de passe
P@ssw0rd
. H la22ichage dun message indiquant lacti&ation du mode
sans #chec de +indo,s3 clique" sur O3.
<. 6estaurer l#tat s(stKme du contrBleur de
domaine $ partir de la derniKre
sau&egarde.
8. 4arquer lunit# dorganisation restaur#e
comment 2aisant autorit#.
Etilise" lunit# dorganisation
?abNom_rdinateurOU.
EC#'cic# 3 = 1"'ification $#( '"(&ltat( $%&n# '#(ta&'ation
$%Acti)# Di'#cto'*
Dans cet exercice, vous allez travailler conjointement avec votre partenaire pour vrifier que les
objets supprims ont bien t restaurs et rpliqus dans les contrleurs de domaine. Excutez
chacune des tapes indpendamment de votre partenaire. Assurez-vous que votre partenaire a
ralis chaque exercice avant de continuer.
Scnario
Vous tes dans la phase finale du cycle de test de la rcupration durgence. Vous devez
prsent vrifier que le processus de restauration force fonctionne comme prvu. Vous allez
dterminer si les objets rcuprs ont t restaurs dans la base de donnes Active Directory
afin de documenter la procdure de rcupration durgence pour une utilisation future.
11
TQcA#( In(t'&ction( (!"cifi;&#(
!ancer une r#plication a&ec le
contrBleur de domaine de &otre partenaire
et &#ri2ier que la restauration 2orc#e de
lunit# dorganisation sest bien d#roul#e.
/emar2ue 6 ?i lunit# dorganisation de &otre partenaire ne
sa22iche pas3 e22ectue" de nou&eau la r#plication sur lob)et
conne.ion $ partir du ser&eur de &otre partenaire.
12