Voici tout ce qu’il vous faut savoir en vue d’un passage de la certification 70-640
Chapitre 1
– Microsoft Windows Server 2008 existe en version 32 ou 64 bits.
– La version Windows Server 2008 R2 est une version essentiellement en 64 bits.
– Pour installer la version complète de Windows Server 2008, il faut disposer au moins :
- 512 Mo de RAM
- 10 Go d’espace disque libre
- Un processeur x86 cadencé au minimum à 1 GHz
- Un processeur x64 cadencé au minimum à 1,4 GHz
– Active Directory n’est qu’une solution de gestion des identités et des accès (IDA, Identity and Access).
– L’infrastructure IDA se charge de :
- Mémoriser les informations sur les utilisateurs, les groupes et les autres identités.
- Authentifier une identité (Authentification Kerberos dans un domaine).
- Contrôler les accès (Exemple : ACL).
- Fournir une trace d’audit.
– L’infrastructure IDA est composée de 5 technologies :
- AD FS : Active Directory Federation Services
- AD LDS : Active Directory Lightweight Directory Services
- AD DS : Active Directory Domain Services
- AD CS : Active Directory Certificate Services
- AD RMS : Active Directory Rights Management Services
– AD DS : Active Directory Domain Services : [ANNUAIRE]
- Ce composant de l’infrastructure IDA permet de fournir un service d’authentification et d’autorisation dans un réseau et prend en charge la gestion des objets au moyen de stratégies de groupes.
- Ce dernier fournit également une solution de gestion et de partage d’informations à travers un annuaire et permet de trouver n’importe quel objets au sein d’un domaine Active Directory (Serveurs, utilisateurs, imprimantes, groupes, etc.).
– AD LDS : Active Directory Lightweight Directory Services : [APPLICATIONS]
- Dans les versions précédentes de Windows Server, ce composant était appelé ADAM (Active Directory Application Mode).
- Ce composant prend en charge les applications fonctionnant avec un annuaire.
- L’annuaire AD LDS ne stocke et ne réplique que les informations associés aux applications.
- AD LDS permet de déployer un schéma personnalisé pour prendre en charge une application sans modifier celui d’AD DS.
- Chaque application peut être déployée avec son propre schéma AD LDS.
- AD LDS ne dépend pas d’AD DS et peut être installé sur un environnement autonome comme un groupe de travail.
– AD CS : Active Directory Certificate Services : [CERTIFICATS]
- Ce composant est l’équivalent d’une autorité de certification dans un domaine Active Directory sous Windows Server 2003 par exemple.
- AD CS permet de fournir des certificats numériques dans le cadre d’une infrastructure à clé publique (PKI : Public Key Infrastructure).
- Les certificats délivrés par AD CS pourront ainsi servir à authentifier des utilisateurs, des ordinateurs, des entités sur le web, des cartes à puce, des connexions VPN ou sans fils sécurisés, etc…
– AD RMS : Active Directory Rights Management Services : [INTEGRITE]
- Active Directory permet déjà de sécuriser l’accès à une ressource au moyen d’une ACL mais rien ne contrôle ce qui arrive au document ou à son contenu une fois que l’utilisateur l’a ouvert. AD RMS permet de contrôler l’intégrité des ressources au-delà du contrôle d’accès standard.
- AD RMS permet ainsi de protéger l’information au moyen de stratégies qui définissent les usages autorisés ou interdit sur une ressource.
- A l’aide d’une stratégie AD RMS, il est ainsi possible d’autoriser un utilisateur à lire un document mais pas de l’imprimer, ni de copier son contenu.
- Pour l’utilisation de cette technologie, il faut disposer au minimum d’un domaine Active Directory sous Windows 2000 Server SP3, IIS, un serveur de base de données tel que Microsoft SQL, un navigateur web supportant RMS comme Internet Explorer et le pack Microsoft Office.
- AD RMS peut être couplé à AD CS pour protéger les documents à l’aide de certificats.
– AD FS : Active Directory Federation Services : [APPROBATION]
- Ce composant de l’infrastructure IDA permet l’approbation des environnements Windows et non Windows à l’aide de relations d’approbations.
- AD FS permet aux utilisateurs authentifiés dans un réseau d’accéder aux ressources d’un autre réseau à l’aide d’un processus d’authentification unique (SSO : Single Sign On)
- Dans un environnement fédéré, chaque organisation maintient et gère ses propres identités mais peut également accepter celles d’autres organisations issues des partenaires de confiance.
– Le schéma Active Directory :
- Le schéma permet de définir les différentes classes d’objets et attributs que peut contenir un annuaire Active Directory.
- Un compte d’utilisateur dans un domaine Active Directory sera définit dans le schéma à l’aide de la classe d’objet « User » et possèdera les attributs « Nom », « Prénom », « login », « mot de passe », etc…
– Le catalogue global :
- Cette partition d’Active Directory contient des informations sur tous les objets de l’annuaire. Elle contient une réplique partielle d’objets de l’annuaire.
- C’est une sorte d’index qui permet de localiser des objets dans l’annuaire.
– Les services de réplication distribuent les données de l’annuaire à travers le réseau.
– LDAP : Lightweight Directory Access Protocol
- Ce protocole permet d’interroger et de modifier un service d’annuaire.
- Basé sur TCP/IP.
– La base de données Active Directory :
- Stocké dans un fichier sur un contrôleur de domaine à l’emplacement suivant :
« %SystemRoot%\Ntds\Ntds.dit »
- La base de données Active Directory est divisé en plusieurs partitions : « Schéma », « Configuration », « Catalogue Global » et « le contexte de nommage » (Le contexte de nommage contient les données sur les objets d’un domaine tel que les utilisateurs, les groupes, les ordinateurs, etc…).
– Les contrôleurs de domaine :
- Egalement appelé DC, hébergent le rôle AD DS
- hébergent le service KDC (Key Distribution Center) de Kerberos
– Les domaines Active Directory :
- Un domaine est une unité administrative au sein de laquelle certaines fonctionnalités et caractéristiques sont partagés.
- Un domaine représente un périmètre au sein duquel des stratégies sont définies.
– Une forêt :
- C’est un regroupement de plusieurs domaines Active Directory.
- Une forêt possède un seul schéma, une seule partition de configuration et un seul catalogue global.
- Le premier domaine installé dans une forêt est appelé domaine racine de la forêt.
- Une forêt possède plusieurs arbres.
– Un arbre :
- C’est un ensemble de domaines situés sous une racine unique formant un espace de nom DNS contigus.
- Plusieurs arbres dont l’espace de noms DNS n’est pas contigu constituent une forêt.
– Il existe trois niveaux fonctionnels de domaine sous Windows Server 2008 :
- Windows 2000 natif
- Windows Server 2003
- Windows Server 2008
– Il existe deux niveaux fonctionnels de forêt sous Windows Server 2008 :
- Windows Server 2003
- Windows Server 2008
– Une unité d’organisation (OU, Organizational Unit) :
- Les objets d’un domaine peuvent être contenus dans un conteneur nommé « unité d’organisation » ou « OU ».
- Une OU permet d’organiser les objets d’un domaine afin de les gérer à l’aide d’objets de stratégies de groupe.
– Un site :
- Un site Active Directory est un objet spécifique.
- L’objet « site » représente une portion de l’entreprise dans laquelle la connectivité réseau est bonne.
- Un site crée une frontière de réplication et de l’utilisation des services.
– A l’identique de Windows Vista, l’installation de Windows Server 2008 est basé sur une image au format « Install.wim » (Environnement WinPE).
– Il existe deux types d’installation de Microsoft Windows Server 2008 :
- Complète : Basé sur une interface graphique habituelle.
- Minimale : Aussi appelé « Core Server » et ne dispose d’aucune interface graphique.
– Il existe deux méthodes d’installation de Microsoft Windows Server 2008 :
- Manuelle : Appliquez « Install.wim » et utilisez le fichier « Unattend.xml » pour personnaliser l’installation.
- Automatique : Installez, configurez, capturez et déployez en utilisant les outils IMAGEX, Windows Deployment Services
– Pré requis d’installation d’un contrôleur de domaine (Ajout du rôle AD DS) :
- Il faut posséder le nom du domaine DNS / Netbios
- Avoir une idée du niveau fonctionnel du domaine Active Directory
- Avoir un adressage IP fixe
- Prévoir l’emplacement de la base de données (Ntds.dit) et le répertoire SYSVOL
– L’ajout de rôles s’effectue via la console « Gestionnaire de serveur ».
– Pour créer un contrôleur de domaine, il suffit d’ajouter le rôle « AD DS » puis de taper la commande « dcpromo » pour configurer, initialiser et démarrer Active Directory.
– Après l’installation, la fenêtre « Tâches de configuration initiales » s’affiche afin de configurer les informations de bases (Nom de l’ordinateur, mises à jours, rôles, etc). Pour faire réapparaitre cette fenêtre, il suffit de taper « Oobe.exe ». Pour éviter l’ouverture de cette fenêtre à chaque redémarrage, cochez la case suivante :
– La console « Gestionnaire de serveur » permet d’administrer Windows Server 2008. C’est un regroupement des consoles « Gestion de l’ordinateur » et « Ajout suppression de programmes ».
– Lorsqu’on exécute la commande « dcpromo » sur un contrôleur de domaine sur lequel le rôle AD DS n’a pas été installé, la commande le fera automatiquement.
– Windows Server 2008 autorise la création d’un contrôleur de domaine en lecture seule nommée « RODC » qui veut dire « Read-Only Domain Controller ».
– Le premier contrôleur de domaine d’une forêt devient le « Catalogue Globale » (GC, Global Catalogue) et ne peut pas être un en lecture seule (RODC).
– Lors de l’installation d’Active Directory, il est recommandé de séparer l’emplacement des composants suivants sur des partitions différentes : « Par défaut C:\Windows\NTDS » :
- Les journaux systèmes
- La base de données (Ntds.dit)
- Le volume système (SYSVOL)
– L’installation minimale de Windows ne possède pas d’interface graphique. Il n’est pas possible d’y installer le framework .NET. Les sites web ne peuvent être que statiques. Si on souhaite outre passer cette limitation technique, il faudra basculer vers un OS en Windows Server 2008 R2.
– Pour installer la version minimale de Windows Server 2008, il faut disposer au moins :
- 256 Mo de RAM
- 3 Go d’espace disque libre
- Un processeur x86 cadencé au minimum à 1 GHz
- Un processeur x64 cadencé au minimum à 1,4 GHz
– L’installation minimale prend en charge « 9 rôles » et « 11 fonctionnalités ».
– Commandes de bases d’un « Server Core » :
- Modifier le mot de passe administrateur : Net user administrator *
- Définir une IP statique IPV4 : Netsh interface ipv4
- Joindre un domaine : Netdom
- Ajouter des rôles et des fonctionnalités : Ocsetup.exe
- Afficher les rôles et fonctionnalités installées : Oclist.exe
- Activer le bureau à distance : Cscript C:\windows\system32\scregedit.wsf /AR 0
- Promouvoir un contrôleur de domaine : Dcpromo.exe
- Configurer DNS : Dnscmd.exe
- Configurer DFS : Dfscmd.exe
Chapitre 2
– Une console « mmc » possède 4 modes différents :
- Mode auteur : Personnalisation complète
- Mode utilisateur – accès total : Possibilités de parcourir tous les composants
- Mode utilisateur accès limité, fenêtre multiple : Possibilité de configurer plusieurs fenêtres correspondant à des composants spécifiques
- Mode utilisateur accès limité, fenêtre unique : Pas de personnalisation de l’affichage ou de la console
– L’emplacement d’enregistrement par défaut d’une console « mmc » est situé à l’emplacement suivant : %profilutilisateur%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Outils d’administration
– Le composant logiciel enfichable « Schéma Active Directory » n’est pas disponible par défaut car il n’est pas enregistré. Pour l’ajouter, tapez la commande : « regsvr32 schmmgmt.dll »
– Dans les « Best Practices Microsoft », un administrateur doit toujours ouvrir une session sur sa machine cliente avec un compte d’utilisateur standard, et démarrer les outils d’administration en utilisant la commande « Exécuter en tant qu’administrateur ».
– RSAT (Remote Server Administration Tool) : C’est l’équivalent de l’Admin Pack sous Windows XP. Ce composant permet d’installer les outils d’administration à distance sur Windows Server 2008, Windows Vista ou Windows 7
– MMC (Microsoft Management Console) : C’est un composant de Windows Server qui permet de centraliser les outils d’administration au sein d’une même console en rajoutant des composants logiciels enfichable (Snap In). L’extension est au format « *.msc ».
– Pour créer une console d’administration personnalisée, il suffit de taper la commande « mmc »
– Lors de la création d’une OU, on a désormais la possibilité de la protéger des suppressions accidentelles en cochant une case :
– Lorsque l’on tente de supprimer une OU protégé par « la suppression accidentelle », on obtient un message d’erreur même si on est Administrateur du domaine :
– Pour supprimer une OU protégée contre « la suppression accidentelle », il suffit d’activer les fonctionnalités avancés de la console « Utilisateurs et ordinateurs Active Directory »…D’éditer les propriétés de l’OU et dans l’onglet « OBJET » et décocher la case « Protéger l’objet des suppressions accidentelles » :
– Un suffixe UPN « User Principal Name » correspond au nom d’utilisateur dans un domaine Active Directory auquel on rajoute un « @ » suivi du nom de domaine DNS. Exemple : Si on a le login suivant « pduran » dans le domaine « contoso.com », le suffixe UPN de cet utilisateur sera « pduran@contoso.com »
– Pour ouvrir le composant « Utilisateurs et Ordinateurs Active Directory », il suffit de taper la commande « dsa.msc »
– « Les requêtes sauvegardées » : C’est une fonction introduite depuis Windows Serveur 2003 qui permet de créer des requêtes de recherches personnalisée dans l’Active Directory. Une requête est créée dans l’instance du composant logiciel enfichable. Pour l’utiliser dans une autre instance ou la transmettre à un autre utilisateur, il suffit de l’exporter au format *.xml.
– L’option « requêtes sauvegardée » n’apparait pas la console « Utilisateurs et Ordinateurs Active Directory » présente dans la console « Gestionnaire de serveur ». Pour avoir accès à cette option, il suffit de lancer « dsa.msc »
– La commande « DSQUERY » permet de trouver des objets dans l’Active Directory.
- DSquery user : permet de rechercher des utilisateurs
- DSquery computer : permet de rechercher des ordinateurs
- Dsquery group : permet de rechercher des groupes
Exemple : dsquery user –name James*
Cette commande recherchera tous les utilisateurs dont le nom commence par « James »
– DN (Distinguished Name) : Représente le chemin d’accès complet d’un objet dans l’AD. Ce dernier est unique au sein du domaine.
Exemple : DN CN=James Fine,OU=Utilisateurs,DC=contoso,DC=com
– CN (Common Name) : Représente le nom commun d’un objet. Lorsqu’on créé un objet dans un AD, le champ « Nom complet » permet de créer le CN de l’objet.
– RDN (Relative Distinguished Name) : Représente la portion du « DN » qui précède la première « OU » ou le premier conteneur. Tous les RDN ne sont pas des « CN »
Exemple 1 : CN=James Fine,OU=Utilisateurs,DC=contoso,DC=com
Le RDN de cet objet utilisateur est « CN=James Fine »
Exemple 2 : OU=Utilisateurs,DC=contoso,DC=com
Le RDN de cet objet unité d’organisation est « OU=Utilisateurs »
– Dans Active Directory, la délégation de contrôle permet à une organisation d’assigner des tâches administratives spécifiques aux équipes et aux individus appropriés.
– Les autorisations d’un objet sont appelés des entrées de contrôles d’accès (ACE, Access Control Entries) et son affectés à des groupes ou des ordinateurs (appelés entités de sécurité)
– Les ACE sont sauvegardés dans la liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List).
– Pour accéder à l’ACL (Access Control List) d’un objet, il suffit d’afficher les Fonctionnalités avancées de la console Utilisateurs et Ordinateurs Active Directory, d’afficher les propriétés d’un objet et cliquer sur l’onglet « Sécurité ».
– Pour afficher la DACL d’un objet, il suffit de cliquer sur le bouton « Avancé » dans l’onglet « Sécurité » d’un objet :
– La délégation est le résultat des autorisations, ou ACE, sur la DACL des objets AD.
– Une délégation est l’action d’attribuer à une personne ou un groupe, des droits administratifs sur des objets de l’AD.
– Pour déléguer des tâches administratives, il est recommandé d’utiliser l’assistant de délégation de contrôle plutôt que de modifier les ACL d’un objet.
– Pour vérifier avec efficacité les autorisations d’un objet, tapez la commande suivante :
Dsacls « OU=People, DC=Contoso, DC=com »
– Pour réinitialiser les autorisations d’un objet, tapez la commande suivante :
Dsacls « OU=People, DC=Contoso, DC=com » /resetDefaultDACL
– Best Practice : Lorsqu’on conçoit une structure d’où dans un AD, il faut créer des OU par type d’objet. Par exemple, une OU nommée « People » sera dédiée à héberger le compte des utilisateurs et non des ordinateurs.
– Par défaut et pour des raisons de sécurité, un compte d’utilisateur standard n’a pas le droit de se connecter sur un contrôleur de domaine. Pour l’autoriser temporaire à des fins de tests, vous pouvez ajouter le compte de l’utilisateur dans le groupe « Opérateurs d’impression ».
– Avec Windows Server 2008, il est possible d’ouvrir plusieurs session localement sur un contrôleur de domaine afin de switcher entre les sessions ouvertes sont fermer les programmes de l’utilisateur en cours.
Chapitre 3
– Pour automatiser la création de comptes d’utilisateurs, il est possible d’utiliser des outils en ligne de commandes comme CSVDE (Coma Separated Value Data Exchange) ou LDIFDE (LDAP Data Interchange Format Data Exchange)
– Lorsqu’on utilise les commandes CSVDE ou LDIFDE, il faut utiliser les paramètres « -i » pour spécifier le mode « importation », « -f » pour spécifier le nom du fichier à importer et « -k » pour spécifier que l’on souhaite exécuter la commande en ignorant les erreurs.
Exemple :
- Csvde -i -f [Nom du fichier] -k
- Ldifde -i -f [Nom du fichier] -k
– Active Directory comporte plusieurs utilitaires intégré à l’OS et qui permettent d’exécuter plusieurs tâches administratives en ligne de commande :
- Dsadd : Permet de créer un objet dans l’annuaire
- Dsget : Permet d’afficher les attributs d’un objet
- Dsmod : Permet de modifier les attributs d’un objet
- Dsmove : Permet de déplacer un objet d’une OU à une autre
- Dsrm : Permet de supprimer un objet ou une arborescence de l’annuaire
- Dsquery : Permet d’exécuter des requêtes basé sur des critères spécifiques dans l’AD
Exemple :
- Dsadd user « cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com »
- Dsrm user » cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com »
- Dsget user » cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com »
– CSVDE permet d’importer ou d’exporter des utilisateurs à l’aide d’un fichier au format « txt » ou « csv ». Le fichier à importer est un fichier texte séparé par des virgules dans lequel la première ligne définit les noms d’attributs importés par LDAP (Lightweight Directory Access Protocol)
– LDIFDE permet d’importer ou d’exporter des utilisateurs
– En installant la fonctionnalité Windows PowerShell, il est possible de créer des utilisateurs en ligne de commande.
– Il est également possible de créer des objets dans l’AD avec Vbscript.
Exemple :
Set objOU=GetObject(« LDAP://OU=People,DC=contoso,DC=com »)
set objUser=objOU.Create(« user », »CN=Mary North »)
objUser.Put « sAMAccountName », »mary.north »
objUser.SetInfo()
Chapitre 4
– Dans l’AD, il existe 7 types de groupes différents : Deux types de groupes de domaine avec trois étendues chacun et des groupes de sécurité locaux.
– Un groupe AD possède, tout comme un compte d’utilisateur, un SID (Security Identifier)
– Lorsqu’on créé des groupes dans AD, il faut s’assurer qu’on respecte une convention de nommage définit à l’avance.
– Il existe deux types de groupe : Des groupes de sécurité et des groupes de distribution.
– Il existe quatre types d’étendue : Domaine locaux, globaux, universelle, locale
– Un groupe possède plusieurs étendues : Locale ou Globale
– Les groupes de distributions sont essentiellement utilisés par les applications de messagerie. La sécurité n’y est pas activée : Ils n’ont pas de SID (Security IDentifier) et ne peuvent donc pas recevoir d’autorisations vers des ressources. Envoyer un message à un groupe de distribution revient à l’envoyer à tous les membres de ce groupe.
– Les groupes de sécurité sont des entités de sécurité dotées d’identificateur de sécurité (SID). En conséquence, ils peuvent faire office d’entrée d’autorisation dans des ACL pour contrôler la sécurité de l’accès aux ressources. Les groupes de sécurité peuvent être utilisé comme groupes de distribution par les applications de messagerie.
– Dans les best Practices, si vous avez un groupe qui ne sert que de liste de distribution, il est recommandé de le créer en tant que groupe de distribution. Sinon le groupe reçoit un SID qui est ajouté au jeton d’accès de sécurité de l’utilisateur ce qui peut conduire à un problème d’augmentation des jetons (token bloat).
– Les groupes locaux ne servent qu’à gérer la sécurité des ressources sur un système et sont créés uniquement dans la base de données SAM d’un serveur membre du domaine. Les groupes locaux peuvent héberger tout types de ressource en provenance de n’importe quel domaine approuvé.
– Les groupes de domaines locaux ne servent qu’à gérer des entités de sécurité dans le domaine. Ils peuvent héberger tout type de ressource en provenance de n’importe quel domaine approuvé et sont répliqués sur l’ensemble des contrôleurs de domaine.
– Les groupes globaux ne servent qu’à définir des collections d’objets des domaines basés sur des rôles. Ces derniers ne peuvent héberger uniquement des ordinateurs, des utilisateurs ou des groupes globaux du même domaine. Ils sont répliqués vers l’ensemble des contrôleurs de domaine.
– Les groupes universels s’utilisent surtout dans les environnements multi-domaines. Ces groupes accueillent des users, ordinateurs ou des groupes (Globaux ou universels) issue de toute la forêt. Ces groupes peuvent servir à gérer des ressources dans des contextes multi-domaines. Ils sont répliqués sur le Catalogue Global (CG).
– Une fois qu’un groupe est créé, il est possible de modifier sont étendue.
– Il est possible de modifier le type d’un groupe avec la commande dsmod :
dsmod group [DNgroup] -secgrp {yes | no} -scope {l | g | u}
– Lorsqu’on ajoute un utilisateur à un groupe, la modification n’est pas prise en compte de suite. Il faut que l’utilisateur ferme sa session puis se reconnecte au domaine afin de renouveler son jeton de sécurité avec le SID du groupe nouvellement ajouté.
– Un « Shadow Group » est un concept dans l’Active Directory qui consiste à créer un groupe de sécurité qui contiendrait tous les utilisateurs d’une unité d’organisation afin d’y gérer des droits d’accès sur des ressources.
– Les groupes par défaut sont des groupes qui existent à l’installation de l’OS ou de l’AD. Exemple : Le groupe administrateur de l’entreprise, administrateur du domaine, opérateur de serveur, opérateur de compte, opérateur d’impression etc.
– Une unité spéciale est un groupe particulier qui est gérer par le système d’exploitation. Exemple : Groupe tout le monde, ouverture de session anonyme, interactif, réseau, etc.
– L’onglet « gérer par » d’un groupe AD permet de déléguer la gestion de l’appartenance aux groupes.
– La commande « run as » permet d’exécuter des programmes avec d’autres informations d’identification. Exemple : runas /user :aasimane cmd.exe
Chapitre 5
– Un compte d’ordinateur dans un domaine AD possède à l’identique d’un compte d’utilisateur, un SID, un mot de passe, un nom d’ouverture de session. Le mot de passe est gérer par le système et ce dernier est renouvelé en moyenne tous les 30 jours.
– Par défaut lorsqu’une machine rejoint un domaine, un objet « Ordinateur » correspondant au nom de la machine est créé dans l’OU « Computers ». L’OU computer est un objet prédéfini à l’installation d’AD DS. Il n’est pas possible d’y appliquer des GPO.
– Afin de rediriger le répertoire par défaut des ordinateurs qui joigne un domaine, il suffit d’utiliser la commande « redircmp » : redircmp [DN pour les nouveaux objets ordinateurs]
– La commande « redirusr » permet de rediriger le répertoire des utilisateurs par défaut
– Il est recommandé de créer un compte d’ordinateur dans l’Active Directory avant de joindre la machine au domaine.
– Par défaut, les utilisateurs peuvent joindre 10 machines au domaine avec leur compte. Si on veut interdire la possibilité de joindre une machine au domaine pour un compte standard, il suffit d’utiliser ADSI et de modifier l’attribut « ms-DS-MachineAccountQuota » à 0.
– Lors de la création du premier contrôleur de domaine de la forêt, il faut penser à bien architecture l’arborescence de ses OU. A savoir, il est recommandé de créer une OU par type d’objet et les regrouper par site, par région, par Pays, par filiale afin de faciliter l’administration et mieux se retrouver dans l’AD.
– Il est recommandé de nommé les comptes d’ordinateur de façon a pouvoir les identifier rapidement dans l’AD ou même reconnaitre plus facilement la différence entre un portable et un ordinateur fixe.
– Tout comme les objets utilisateurs, il est possible d’utiliser les commandes Powershell, CSVDE, LDIFDE, NETDOM ou les commandes DS pour gérer, importer ou exporter les comptes d’ordinateurs.
– Tout compte d’ordinateur d’un domaine possède un SID, un nom d’utilisateur (sAMAccountName) et un mot de passe stocké sous la forme d’un secret LSA (Local Security Authority) qui est changé tous les 30 jours.
– Pour recycler un ordinateur et l’utiliser à d’autres fins tout en gardant son appartenance aux différents groupes de sécurité, il suffit juste de réinitialiser son mot de passe et joindre une machine au domaine.
– La commande « nltest » permet de vérifier si le canal sécurisé entre l’ordinateur et le domaine n’est pas rompue ou désynchronisé.
– Le service NETLOGON se charge d’authentifier la machine sur le domaine.
RAPPEL : Chaque objet Active Directory possède un GUID (Globally Unique IDentifier) qui identifie de manière unique l’objet dans l’annuaire.
Chapitre 6
– Une stratégie de groupe (GPO, Group Policy Objet) est un objet qui permet d’appliquer des paramètres personnalisés aux objets d’une OU.
– Pour éditer une GPO, il faut utiliser le composant « Gestion de Stratégie de groupe » (GPMC, Group Policy Management Console)
– L’étendue d’une stratégie de groupe correspond à la collection d’objets qui appliqueront le paramètre spécifié dans le GPO.
– Le jeu de stratégie résultant (RSoP, Resultant Set of Policy) permet de déterminer l’ensemble des GPO qui s’appliquent à un objet utilisateur ou ordinateur.
– Les paramètres de stratégies s’appliquent à l’ouverture de session pour les utilisateurs et au démarrage pour les ordinateurs. Ces paramètres s’appliquent à nouveau toutes les 90 à 120 min qui suivent.
– Pour forcer l’actualisation des stratégies de groupe, il suffit d’utiliser la commande suivante :
- Gpupdate /target :computer ou Gpupdate /target :user
– La commande « Gpupdate » possède les commutateurs suivant :
- /force : pour forcer les stratégies à s’appliquer
- /logoff : pour forcer la fermeture de session après la mise à jour des GPO
- /boot : pour forcer le redémarrage de l’ordinateur après la mise à jour des GPO
– Il existe deux types de GPO :
- GPO locaux
- GPO du domaine
– Les GPO locaux sont stockés dans %SystemRoot%\System32\GroupPolicy. Par défaut, seul les stratégies « Paramètres de sécurité » sont configuré.
– Les GPO basés sur le domaine sont stockés sur les contrôleurs de domaines.
– Le client de stratégie de groupe est un service qui se charge de télécharger les GPO qui ne sont pas encore en cache. Une fois téléchargé, une série de processus appelé extension côté client (CSE, Client-Side Extension) se chargent d’interpréter les paramètres du GPO.
– Un GPO de domaine contient deux composants :
- Un conteneur de stratégie de groupe (GPC, Group Policy Container).
- Un modèle de Stratégie de groupe (GPT, Group Policy Template).
– Le GPC est un objet Active Directory stocké dans le conteneur Objets de stratégie de groupe. Ce dernier définit les attributs du GPO mais ne contient aucuns paramètres. Le GUID de cet objet définira le nom de la collection de fichier (GUID GPO)
– Le GPT désigne les paramètres du GPO qui sont stockés dans une collection de fichiers stockée dans le dossier SYSVOL des contrôleurs de domaine à l’emplacement suivant :
GPT de la GPO = %SystemRoot%\SYSVOL\Domain\Policies\GUID GPO
– Un GPO possède un numéro de version qui est incrémenté à chaque changement. Ce numéro est stocké sous la forme d’un attribut du GPC dans le fichier « GPT.ini ».
Contenu du fichier « GPT.INI » :
NB : Il est recommandé d’activer le paramètre de stratégie « Toujours attendre le réseau lors du démarrage de l’ordinateur et de l’ouverture de session ». Grâce à ce dernier, un utilisateur ouvrira toujours une session après avoir télécharger les dernières stratégies du domaine.
Ce paramètre se trouve sous :
Configuration ordinateur\Stratégie\Modèles d’administration\Système\Ouverture de session
– GPSI (Group Policy Software Installation) est un élément de la stratégie de groupe qui permet de gérer l’installation de logiciel.
– Le client de stratégie de groupe détecte aussi la vitesse de connexion à un domaine. Il est donc possible de configurer un GPO afin d’empêcher l’application des paramètres lorsqu’une liaison lente est détecté. Par défaut, une liaison est considérée comme lente lorsque le débit est inférieur à 500 kilobits par seconde (kbps).
– Dans un domaine AD, les GPC sont répliqués par l’Agent de Réplication (DRA, Directory Replication Agent) et les GPT sont répliqués via le service de réplication de fichiers (FRS, File Replication Service). Si tous les contrôleurs de domaine exécutent Windows Server 2008, il est possible de configurer la réplication du répertoire SYSVOL avec DFS (DFS-R, Distributed File System Replication).
– Si la réplication des GPC et GPT n’est plus synchrone, il est possible d’utiliser l’outil « gpotool.exe » afin de dépanner l’état des GPO.
– Les modèles d’administration sont une collection de paramètres stockés dans un fichier « *.ADM / *.ADMX / *.ADML ». Lorsqu’on importe un de ces fichiers, l’éditeur de stratégie de groupe (GPME, Group Policy Management Editor) les extraits depuis le poste local.
– Le Magasin Central est un dossier unique dans SYSVOL qui permet de centraliser l’importation des fichiers d’administration pour l’ensemble des contrôleurs de domaine.
– Windows Server 2008 offre la possibilité de filtrer les paramètres de Stratégie de groupe d’un modèle d’administration afin de faciliter la recherche d’un paramètre spécifique.
– Un GPO Starter est une nouvelle fonctionnalité de Windows Server 2008. Elle permet de créer un nouveau GPO pré peuplé des paramètres du GPO Starter.
– On dit qu’un paramètre de stratégie est « géré » lorsque ce dernier n’applique plus les paramètres du GPO une fois désactivé, supprimé ou que l’ordinateur n’est plus dans l’étendue du GPO.
– On dit qu’un paramètre de stratégie est « non géré » lorsque ce dernier s’applique encore après que le GPO soit désactivé, supprimé ou que l’ordinateur n’est plus dans l’étendue du GPO.
– Windows Server 2008 donne la possibilité d’attacher des commentaires aux GPO.
– Un GPO peut être lié à un Site, un domaine ou une OU.
– L’héritage des GPO fonctionne à l’aide d’un système de priorités. Un GPO avec une priorité « 1 » prévaut sur les autres GPO. Par défaut, l’arborescence de l’AD contient des niveaux de priorités différents (Un site AD étant le niveau le plus haut). Dans l’ordre de priorité la plus élevé : Site, Domaine, OU
– Il est possible de bloquer l’héritage des droits administratifs sur une OU.
– L’option « Filtrage de Sécurité » d’un GPO permet de spécifier les utilisateurs concernés par le GPO.
– L’option « Filtre WMI » permet de filtrer par rapport à des caractéristiques « Ordinateur ». Les requêtes WMI sont écrites en langage WQL (WMI Query Language)
– L’option « Appliqué » du paramètre d’un GPO permet de définir une priorité de niveau supérieur aux autres GPO.
– « Le traitement par boucle de rappel de la stratégie » oblige le système à modifier la manière dont il applique les GPO selon deux modes :
- Fusionner : Une fois que les paramètres des GPO étendus à l’utilisateur sont appliqués, le système applique les paramètres de stratégie de groupe étendus à l’ordinateur.
- Remplacer : Les paramètres de la configuration utilisateur des GPO étendus à l’utilisateur ne sont pas appliqués. En lieu et place, seuls les paramètres de la configuration utilisateur des GPO étendus à l’ordinateur le sont.
– La GPMC possède un outil qui permet de générer des rapports du jeu de stratégie résultant sur une machine distante ou locale. Les prés requis liés à cet outil sont les suivants :
- Il faut posséder des droits administratifs sur le système cible à auditer
- L’ordinateur cible doit être équiper au minimum de Windows XP
- Avoir accès à WMI sur le système cible qui doit être sous tension, accessible via le réseau via les ports 135 et 445.
– Les rapports du jeu de stratégie résultant sont disponibles au format DHTML (HTML Dynamique)
– La GPMC possède un outil qui permet de modéliser l’application des paramètres de Stratégie de groupe. Grâce à cet outil, il est possible de simuler l’impacte des paramètres d’une GPO sur un système avant de l’appliquer.
– L’équivalent des « rapports du jeu de stratégie résultant » est la commande « gpresult.exe ». Cette commande possède les options suivantes :
- /s nomordinateur : Spécifie le nom ou l’adresse IP du système distant à auditer
- /scope [user |computer] : Affiche l’analyse du jeu de stratégie résultant pour les paramètres de l’utilisateur ou de l’ordinateur
- /user nomutilisateur : Spécifie l’utilisateur pour lequel les données du jeu de stratégie résultant sont affichées
- /r : Affiche un résumé des données du jeu de stratégie résultant
- /v : Affiche des données documentées sur le jeu de stratégie résultant
- /z : Affiche des données extrêmement détaillés (mode plus verbeu)
- /u domaine\utilisateur /p mot de passe : Fournit les informations d’identification
- [/x | /h] nom fichier : Enregistre le rapport au format XML ou HTML
– L’observateur d’évènement Windows permet de visualiser les journaux concernant les stratégies de groupe. Un nouveau journal nommée « Operational », fournit des informations détaillées sur le traitement de la stratégie de groupe.
Chapitre 7
– « La Stratégie des Groupes Restreints » permet de gérer l’appartenance des groupes locaux d’une machine. Avec ce paramètre, il est possible de configurer dans un GPO les groupes ou utilisateurs qui seront membre des groupes locaux d’un objet computer.
– Le nœud « Groupes Restreints » possède deux paramètres :
- Ce groupe est Membre de : Ce paramètre indique que le groupe spécifié par la stratégie est membre d’un autre groupe. Lorsqu’il existe plusieurs GPO qui utilisent le paramètre « Groupes restreints », chaque stratégie « Membre de » s’appliquent donc se cumulent.
- Membres de ce groupe : Ce paramètre indique toute l’appartenance au groupe spécifié par la stratégie. Tout membre non spécifié dans la stratégie est supprimé, y compris les administrateurs du domaine. Le paramètre « Membres de ce groupe » est une stratégie qui fait autorité. S’il existe plusieurs GPO avec des stratégies « Groupes restreints » qui utilisent ce paramètre, c’est celui dont la priorité est la plus élevée qui prévaut.
– Tous les serveurs Windows 2008 possède un GPO local qui peut être configuré via le composant « Editeur d’objet de stratégie de groupe » ou via la console « Stratégie de sécurité locale ». Les contrôleurs de domaine quant à eux ne disposent pas de GPO local mais des paramètres de sécurités configurés au niveau des GPO de domaine nommé « Default Domain Policy » et « Domain Controllers Policy »
– Les « Modèles de sécurité » permettent de définir des paramètres de sécurité stockées dans un fichier « *.inf ». Ce dernier s’utilise via un composant logiciel enfichable :
– Pour déployer un modèle de sécurité, il suffit d’importer le fichier « *.inf » dans un objet de stratégie de groupe au niveau du nœud « Paramètre de sécurité ». Il est également possible de déployer un modèle de sécurité via le composant logiciel enfichable « Configuration et analyse de la sécurité » ou l’utilitaire « Secedit.exe ».
– Lors de l’installation d’un contrôleur de domaine, un modèle de sécurité par défaut est appliqué par Windows. Ce dernier est situé à l’emplacement suivant :
%SystemRoot%\Security\Templates\DC security.inf
– Le composant logiciel enfichable « Configuration et Analyse de la Sécurité » permet d’appliquer un modèle de sécurité mais également d’analyser la configuration actuelle de la sécurité d’un système et de la comparer à une base (fichier *.sdb) enregistrée sous forme de modèle de sécurité.
– « Secedit.exe » est un utilitaire en ligne de commande qui permet d’effectuer les mêmes opérations que le composant logiciel enfichable « Configuration et analyse de la sécurité ». L’avantage de cet utilitaire est de pouvoir appliquer uniquement une partie d’un modèle de sécurité à un ordinateur.
– « L’assistant Configuration de la sécurité » permet de configurer la sécurité d’un serveur pas à pas afin de générer un fichier « *.xml » qui permettra de déployer la configuration. Cet assistant est également disponible via la ligne de commande « scwcmd.exe ».
– Par défaut, la base de données de configuration de la sécurité et l’ensemble des fichiers « *.xml » qu’utilise « l’assistant Configuration de la sécurité » est situé dans :
« %SystemRoot%\Security\Msscw\Kbs ».
– Pour centraliser l’emplacement de la base de données de configuration de la sécurité, il suffit de copier le contenu du répertoire « %SystemRoot%\Security\Msscw\Kbs » dans un dossier préalablement partagé sur le réseau, puis d’exécuter la commande suivante :
« scw.exe /kb \\serveur01\scwkb »
– Une stratégie de sécurité créée à l’aide de « l’assistant Configuration de la sécurité » ou l’utilitaire en ligne de commande « scwcmd.exe » peut être transformé en GPO.
Pour cela, il suffit d’utiliser la commande :
scwcmd.exe transform /p : »Sécurité DC Contoso.xml » /g : »GPO de sécurité DC Contoso »
– GPSI (Group Policy Software Installation) permet de gérer l’installation de logiciels via des GPO. Ce composant utilise Windows Installer pour installer, maintenir et supprimer des logiciels. Il est possible de personnalisé des packages Windows Installer à l’aide de fichiers de transformation au format « *.mst » ou des fichiers correctif au format « *.msp ».
– GPSI gère deux types de package : les fichiers « *.msi » et « *.zap »
– Lorsqu’on utilise des GPO pour installer des logiciels, il est possible d’attribuer ou publier des applications
- Attribuer : Une application est dite « attribuée » lorsque celle-ci est installée sur l’ordinateur lors du processus de démarrage. Une application peut être attribuée à un utilisateur ou à un ordinateur.
- Publier : Une application est dite « publiée » lorsque celle-ci est rendue disponible à l’utilisateur dans le menu « Ajout suppression de programmes » à l’ouverture de session. L’utilisateur a le choix d’installer l’application en cliquant dessus dans le panneau de configuration ou en cliquant sur un type de fichier associé à l’application. Il n’est pas possible de publier une application pour un ordinateur mais seulement à un utilisateur.
– Par défaut, GPSI test les performances du réseau avant d’appliquer le paramètre de stratégie de groupe. Si une liaison lente est détecté (Moins de 500 Kbits/s), les paramètres lié à GPSI ne seront pas traités. Il est possible de modifier la vitesse de connexion qui définie une connexion lente en configurant un seuil plus bas via les modèles d’administration d’un GPO à l’emplacement suivant :
Modèles d’administration\Système\Stratégie de groupe\
Editer les propriétés du paramètre : « Détection d’une liaison lente de stratégie de groupe »
– La stratégie d’audit configure un système pour qu’il audite des catégories d’activités. Par défaut, tous les évènements d’échec ne sont pas audités. Il est important de définir à l’avance ce que l’on souhaite auditer car manipuler les audites via les journaux d’évènement peut se relever bien compliquer à évaluer.
– Pour configurer l’audit, il faut accomplir trois opérations :
- Spécifier les paramètres d’audit dans la SACL de l’objet (Fichier /Dossier)
- Activer la stratégie d’audit dans la stratégie (Locale ou de Domaine)
- Evaluer les évènements dans le journal de sécurité
– Auditer les évènements d’échec permet de contrôler les tentatives malveillantes d’accès aux ressources pour lesquelles l’accès est refusé ou d’identifier les tentatives d’accès à un fichier ou un dossier auquel l’utilisateur demande à accéder.
– Il ne faut pas abuser de l’audit Windows car les journaux ont tendance à grossir très rapidement.
– Configurer les entrées d’audit sur un fichier ou un dossier n’active pas en soi l’audit. L’audit doit être activé en définissant le paramètre « Auditer l’accès aux objets » dans un GPO (Local ou de domaine étendu au serveur qui contient l’objet à auditer).
– Pour évaluer les évènements relatifs à l’activation de l’audit sur un serveur, il suffit d’ouvrir les journaux de sécurité Windows depuis les outils d’administration.
– Windows Server 2008 introduit une nouvelle catégorie d’audit appelée « Modification du service d’annuaire ». Cela permet d’avoir accès aux valeurs précédentes d’un objet audité lorsque ces attribues sont modifiés. Cette catégorie n’est pas activé par défaut car il faut taper la ligne de commande suivante pour :
Auditpol /set /subcategory : »directory service changes” /success:enable
– Il faut toujours modifier la liste SACL d’un objet pour spécifier les attributs à auditer.
Chapitre 8
– Une nouvelle notion dans Windows Server 2008, ce sont les contrôleurs de domaine en lecture seul (RODC : Read Only Domain Controller)
– Par défaut, dans un domaine Windows Server 2008, les utilisateurs doivent changer leur mot de passe tous les 42 jours. Ce mot de passe doit contenir au moins 7 caractères et répondre à des exigences de complexité.
– La stratégie de mot de passe se configure dans l’objet de stratégie de groupe « Default Domain Policy ».
– L’exigence de complexité requiert au moins trois des quatre types de caractères suivants :
- Majuscule – Par exemple A à Z
- Minuscule – Par exemple a à z
- Numériques – 0 à 9
- Symboles non alphanumériques – Par exemple !, #, %, ou &
– La stratégie « Enregistrer les mots de passe en utilisant un cryptage réversible » permet de stocker en clair le mot de passe des utilisateurs car certaines applications en ont besoin. Dans les Bests Practices, il est recommandé de supprimer le plus possible ce type d’applications car stocker un mot de passe en clair revient à créer une faille de sécurité.
– « Les stratégies de mot de passe à grain fin » permettent de configurer une stratégie de mot de passe dont l’étendue sera un ou plusieurs groupes, ou un ou plusieurs utilisateurs. Pour utiliser ces nouvelles stratégies, il faut être dans un niveau fonctionnel de domaine Windows Server 2008. Les paramètres de cette nouvelle stratégie sont identiques aux paramètres de stratégie de mot de passe du domaine, sauf qu’ils ne s’appliquent pas en tant que GPO mais sont contenu dans une class d’objet spécifique qui maintient le paramétrage de ces stratégies : PSO, Password Settings Objet
– Un PSO possède dispose d’un attribue qui défini sa priorité. Cette priorité est définie par un nombre supérieur à 0. Le chiffre 1 indique que la priorité est la plus élevé.
– L’audit permet de journaliser des évènements qui concernent plusieurs types d’activités qu’ils soient une réussite ou un échec.
– L’audit « Evènement de connexion au compte » consiste à journaliser la tentative de connexion d’un utilisateur au domaine. Le contrôleur de domaine qui authentifie l’utilisateur va générer un évènement de connexion au compte dans le journal de sécurité du contrôleur de domaine.
– L’audit « Evènement de connexion » consiste à journaliser sur un poste client les évènements d’authentification d’un utilisateur qui ont été relayé à un contrôleur de domaine. Un poste client n’authentifie pas l’utilisateur mais transmet la connexion interactive à un contrôleur de domaine pour validation. Cette action enregistre un évènement de connexion dans le journal de sécurité du poste client.
– Un RODC (Read Only Domain Controller) permet d’authentifier des utilisateurs situés dans une succursale d’une entreprise et qui contient une copie de tous les objets du domaine et de tous les attributs à l’exception des données confidentielles comme les mots de passe. Pour authentifier un utilisateur, un RODC transmet les requêtes d’authentification à contrôleur de domaine principal (en écriture).
– Etant données que les mots de passes des utilisateurs ne sont pas stockées sur les RODC, il est possible de configurer une stratégie de réplication des mots de passe appelé PRP (Password Replication Policy).
– Pour déployer un RODC, il est impératif que le niveau fonctionnel de domaine soit au minimum en Windows Server 2003 et qu’un contrôleur de domaine Windows Server 2008 en écriture soit accessible.
– Si la forêt possède certains domaines fonctionnant sous Windows Server 2003, il faudra d’abord exécuter la commande suivante : Adprep /rodcprep
– Pour séparer les rôles d’administratif sur un RODC, il suffit de taper la commande suivante : dsmgmt
Chapitre 9
– DNS (Domain Name System) est une composante essentielle des services AD DS. Sans DNS il n’y aurait pas d’Internet car ce système permet de convertir une adresse IP en nom de domaine plus commode à mémoriser.
– DNS fonctionne sur les protocoles IPv4 (32 bits) et IPv6 (128 bits)
– Lorsqu’un ordinateur démarre, le client commence par identifier les enregistrements de ressources SRV (Service Location Records) d’un serveur DNS afin d’identifier le contrôleur de domaine (DC) le plus proche. Une fois que la localisation DNS a été effectuée, le processus d’identification entre l’ordinateur et le DC peut débuter. Sans serveurs DNS, il n’y aurait pas d’authentification d’ordinateurs sur un domaine.
– DNS communique sur l’Internet ou le réseau interne via le port TCP/IP 53. Tous les clients DNS sont configurés sur ce port pour localiser des informations sur les noms des ordinateurs.
– IPv6 est intégré à Windows Server 2008, et les adresses IP sont composées de huit sections de 16 bits pour créer une adresse en 128 bits généralement affiché au format hexadécimal.
– Lorsqu’il n’y a pas de serveur DHCP (Dynamic Host Configuration Protocol) sur le réseau, les cartes réseaux configurées avec le protocole IPv6 reçoivent l’adresse « FE80 :: » qui est l’équivalent de l’adresse APIPA (Automatic Private IP Adressing).
– Dans l’adresse « FE80 :: », les deux doubles points représentent toutes les sections de 16 bits qui sont composés de zéros.
– Adresses de liaison locale (IPv6) : FE80 ::
- Attribué par défaut lorsqu’IPv6 est activé. C’est l’équivalent de l’adressage APIPA sur IPv4 (169.254.0.0/16)
– Adresses de site local (IPv6) : FEC0 ::
- Ces adresses peuvent être routées localement uniquement. Il n’est pas possible de les router vers Internet. C’est l’équivalent des adresses de classe A, B et C sous IPv4 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
– Adresses de monodiffusion globales (IPv6) : Toutes les autres IP
- Ces adresses sont routables sur Internet et permettent une communication directe avec tout type de périphérique. C’est l’équivalent des adresses IP publique sous IPv4. L’avantage sous IPv6 est que l’attribution des adresses IP peut atteindre au totale 340 milliards de milliards de milliards de milliards – soit 2 puissance 128 adresses.
– Adresse de bouclage (IPv6) : ::1
- Permet à un nœud de s’envoyer des paquets à lui-même. C’est l’équivalent de l’adresse de loopback 127.0.0.1 dans IPv4.
– Le protocole PNRP (Peer Name Resolution Protocol) est un système de résolution de nom comme DNS sauf que la résolution s’effectue sur un système différent. C’est un système de nommage distribué qui interroge les hôtes à proximité pour résoudre les noms de domaine.
– Le protocole PNRP peut s’étendre à des milliards de noms contrairement à DNS qui n’héberge qu’un petit nombre de noms. Grâce à ce système distribué, PNRP est donc tolérant aux pannes. La publication de noms est instantanée, gratuite et n’exige pas d’intervention humaines.
– Les serveurs DNS dynamiques (DDNS, Dynamique Domain Name Server) autorisent la mise à jour automatique des clients qui peuvent s’auto-inscrire sur le serveur DNS.
– Les serveurs DNS en lecture-écriture sont également nommés « serveur DNS Principal » et autorise la mise à jour manuel via des opérateurs autorisés.
– Les serveurs DNS en lecture seule sont également nommés « serveur DNS secondaire ». Les données ne peuvent pas être modifiées manuellement car la réplication est unidirectionnelle du serveur principal. Ce type de serveur est également installé sur les RODC.
– Le « split-brain » est le fait d’utiliser un nom de domaine Internet identique au nom de domaine DNS du domaine Active Directory.
– Le « Whole-brain » est le fait d’utiliser un nom de domaine Internet différent que celui du domaine Active Directory interne. Il est recommandé d’utiliser cette méthode.
– Processus de résolution de noms DNS :
- Un utilisateur demande la page web http://www.google.com/
- La requête est envoyée au serveur DNS local sur le réseau interne
- Le serveur DNS local envoyé une requête de redirection au serveur de nom « .com »
- La requête est envoyée au serveur DNS faisant autorité pour le nom « google.com »
- Le serveur DNS pour « google.com » envoi l’adresse IP correspondante au client
- Le traducteur de noms du client utilise l’adresse IP pour demander la page web
- La page web est envoyée à l’utilisateur et s’affiche sur l’écran
– Termes et concepts DNS :
- Zone DNS intégrée à Active Directory : C’est une zone qui est hébergé dans la base de données des services AD DS (NTDS.Edit).
- Vieillissement : On donne cette appellation à un enregistrement DNS qui a expiré en raison de sa durée de vie jugée trop vieux pour être considéré comme toujours actif.
- Partition d’annuaire d’application : C’est une partition personnalisée qui peut héberger les données d’annuaire liés aux applications ou des données DNS liés au domaine racine d’une forêt.
- DDNS : Ce service DNS peut être mis à jour automatiquement par les clients possédant un compte AD DS. Par défaut, l’installation des services AD DS installent le service DDNS.
- Notification DNS : Ce sont des alertes automatiques qui avertissent un serveur DNS secondaire que des mises à jour sont disponibles afin de lancer le processus de transfert de zone vers des serveurs en lecture seule.
- Zone DNS de domaine : C’est une zone qui contient les enregistrements d’un domaine particulier qu’il soit issue d’un domaine racine, d’un domaine enfant ou au sein d’une forêt AD DS.
- Zone DNS de forêt : C’est une zone qui contient les enregistrements qui se rapportent à l’ensemble d’une forêt AD DS.
- Recherche directe : Ce mode de fonctionnement du serveur DNS à pour but de faire correspondre les requêtes FQDN (transmise par un client) à une adresse IP
- Zone de recherche directe : C’est un conteneur DNS qui contient les correspondances FQDN/IP pour les recherches directes
- Redirecteur : C’est un mécanisme qui permet aux serveurs DNS de transférer les requêtes inconnues reçus des clients vers des serveurs DNS externes approuvé.
- Zones GlobalNames Zone : C’est une zone DNS qui a été conçu pour remplacer les serveurs WINS sur un réseau Windows. Ces zones gèrent des noms NetBIOS.
- Zone de stub : C’est une zone spéciale qui n’héberge que les enregistrements des autres serveurs DNS qui assurent la maintenance de la zone en cours.
- TTL (Time to Live) : C’est la valeur qui est attribué à un enregistrement et qui détermine sa durée de vie avant de considérer l’enregistrement comme expiré.
- Recherche inversée : Ce mode de fonctionnement du serveur DNS à pour but de faire correspondre les requêtes de résolution d’adresses IP en nom FQDN.
- Enregistrement SOA (Start of Authority) : C’est un enregistrement qui contient des informations de domaine, comme la planification des mises à jour des enregistrements, les intervalles utilisés par les autres serveurs pour vérifier les mises à jour et la date et l’heure de la dernière mise à jour…
- Enregistrement SRV : Désigne l’emplacement d’un service dans un enregistrement DNS qui comprend l’adresse IP du serveur et le port associé au service.
- Alias (CNAME) : C’est un enregistrement DNS utilisé pour indiqué un alias d’un nom déjà spécifié comme étant un autre type d’enregistrement dans une zone spécifique. On l’appel aussi enregistrement de nom canonique.
- Serveur de messagerie (MX) : Cet enregistrement désigne les noms des serveurs de messagerie vers lesquels les messages électroniques d’un domaine doivent être acheminés
– Le protocole WPAD (Web Proxy Automatic Discovery Protocol) est utilisé par les navigateurs web pour rechercher automatiquement les paramètres de proxy.
– Le protocole ISATAP (Intrasite Automatic Tunnel Addressing Protocol) est utilisé pour permettre aux protocoles IPv4 et IPv6 de cohabiter ensemble. Les paquets IPv6 sont encapsulés au format IPv4 pour être transmis via des routeurs.
– Les listes rouges de requêtes globales permettent d’accroitre la sécurité des protocoles WPAD et ISATAP en bloquant des plages d’adresses spécifiques.
– Par défaut, lors de l’installation du service DNS dans un environnement AD DS, une zone de recherche directe sera créée pour toute la forêt et portera le nom suivant :
_msdcs.nomdomain
– Lorsqu’on installe un contrôleur de domaine, la zone de recherche directe est créée automatiquement. Par contre, la zone de recherche indirecte doit être ajoutée manuellement pour prendre en charge la recherche inversée.
– La configuration de l’option de « nettoyage des enregistrements » et « la suppression automatique des enregistrements obsolètes » doit s’effectuer manuellement.
– L’attaque des serveurs DNS par déni de service (DoS, Denial-of-Service) est la plus fréquente. Cette opération consiste à inonder de requête le service DNS jusqu’à ce qu’il ne puisse plus répondre à des requêtes valides.
– L’attaque des serveurs DNS par encombrement du réseau consiste à modifier les données d’un serveur afin de le rediriger vers un serveur DNS qui est sous le contrôle du pirate.
– Chaque enregistrement de noms se voit attribuer un TTL. Lorsque cette valeur expire, l’enregistrement doit être supprimé pour que les utilisateurs effectuant une recherche n’obtiennent pas de résultats faussement positifs. C’est pourquoi il est important de configurer le nettoyage de la zone pour tous les serveurs DNS.
– Les enregistrements SOA indique les divers intervalles et paramètres temporels des enregistrements, l’intervalle d’actualisation et la durée de vie.
– Il est utile de créer des ZRI (Zone de Recherche Inversée) si vous possédez des applications sur votre réseau qui nécessite d’utiliser la résolution d’une adresse IP en nom ou si votre réseau dépasse les 500 ordinateurs.
– Les indications de racine permette à un serveur DNS d’interroger d’autres serveurs DNS principaux en direct sur Internet. Un redirecteur permet de transférer une requête DNS afin qu’un autre serveur exécute la recherche. Dans les réseaux sécurisés, les serveurs DNS interne sont configurés pour utiliser un redirecteur qui renvois les requêtes DNS vers un autre serveur DNS chargés de communiquer en direct avec Internet. Dans ce cas précis, il faut désactiver la recherche via des indications de racine sur les DNS interne pour les interdire d’accéder en direct sur Internet.
– Pour créer des enregistrements dans une Zone de recherche directe GlobalNames (Fonction de remplacement du Wins), il faut d’abord activer la fonction via la commande suivante :
Dnscmd /config /enableglobalnamessupport 1
– Une fois la ZRD GlobalNames activée, il faut ajouter des enregistrements de noms en une seule partie via la commande suivante :
Dnscmd nomserveurdns /recordadd globalnames nomenuneseulepartie cname nomdns
– Pour modifier une liste rouge de requêtes globale, il faut exécuter la commande suivante :
Dnscmd /config /globalqueryblocklist wpad isatap manufacturing
Chapitre 10
– Sous Windows Server 2003, les réplications AD étaient gérer via le système FRS (File Replication Service). Avec Windows Server 2008, une nouvelle fonctionnalité visant à remplacer FRS a été ajouté : DFS-R (Distributed File System Replication)
– Pour installer un contrôleur de domaine, il est possible d’utiliser « un fichier de réponses » ou de remplir les informations nécessaires à la création du contrôleur de domaine via une ligne de commande « dcpromo ».
– Pour créer un contrôleur de domaine via un fichier de réponse, il suffit de taper la ligne de commande suivante :
Dcpromo /unattend : »chemin vers le fichier de réponse »
– Un fichier de réponse est enregistré dans le format suivant :
[DCINSTALL]
ReplicaOrNewDomain=domain
NewDomain=forest
NewDomainDNSName=Nom DNS complet
DomainNetBiosName=Nom NetBIOS du domaine
ForestLevel={0=Windows 2000 Server Native;
2=Windows Server 2003 Native;
3=Windows Server 2008 Native}
DomainLevel={0=Windows 2000 Server Native;
2=Windows Server 2003 Native;
3=Windows Server 2008 Native}
InstallDN S=yes
DatabasePath= »chemin vers un dossier d’un volume local »
LogPath= »chemin vers un dossier d’un volume local »
SYSVOLPath »chemin vers un dossier d’un volme local »
SafeModeAdminPassword=mot de passe
RebootOnCompletion=yes
– Il est possible d’inclure les options du fichier de réponses en ligne de commande :
Dcpromo /unattend /installDNS :yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDNSName:contoso.com /DomainNetbiosName:contoso /databasePath: »e:\ntds » /logPath: »f:\ntds.logs » /sysvolpath : »g:\sysvol » /safeModeAdminPassword :motdepasse /forestLevel :3 /domainLevel :3 /rebootOnCompletion :yes
– Si on souhaite installer un contrôleur de domaine Windows Server 2008 dans une forêt qui contient des serveurs Windows 2000 ou Windows 2003, il est important de préparer la forêt afin de mettre à jour le schéma Active Directory existant avec les nouveaux objets de l’AD 2008.
– Pour préparer une forêt Windows 2000 ou Windows 2003, il faut identifier le contrôleur de domaine ayant le rôle FSMO « Contrôleur de schéma », puis copier le contenu du répertoire « \Sources\Adprep » du DVD de Windows Server 2008. Ensuite, il faut ouvrir une invite de commande en se positionnant dans le dossier « Adprep » pour taper la commande suivante :
adprep /forestprep
Une fois la forêt préparée. Il faut identifier le contrôleur de domaine ayant le rôle FMSO « Maître d’infrastructure » pour y copier le contenu du répertoire « \Sources\Adprep » du DVD de Windows Server 2008. Ensuite, il faut ouvrir une invite de commande en se positionnant dans le dossier « Adprep » pour taper la commande suivante :
adprep /domainprep /gpprep
– Pour installer un RODC dans un domaine de la forêt possédant des contrôleurs de domaine avec Windows 2000 Server ou Windows Server 20003, il faut aussi préparer le domaine avec la commande suivante :
Adprep /rodcprep
– Lorsqu’on installe un contrôleur de domaine supplémentaire via le mode « avancé » on a la possibilité de choisir le contrôleur de domaine source pour la réplication des données ou bien demander une installation à partir d’un support (équivalent d’une sauvegarde – IFM : Install From Media).
– Pour organiser l’installation d’un contrôleur de domaine en lecture seule dans une succursale qui ne dispose pas de personnel informatique, il est possible de créer le compte d’ordinateur pour le RODC soit même dans l’OU « Domain Controller » :
Ensuite, il ne reste plus qu’à utiliser une ligne de commande sur le serveur RODC pour joindre le domaine :
Dcpromo /useexistingaccount :attach
Ou
Dcpromo /useexistingaccount :attach /unattend : »c:\rodcanswer.txt »
– L’installation IFM correspond à l’installation d’un contrôleur de domaine à partir d’un support. Pour créer ce support d’installation, il faut exécuter les commandes suivantes sur un contrôleur de domaine Windows Server 2008 en écriture :
Exécuter Ntdsutil.exe dans une invite de commande et taper : activate instance ntds puis ifm
Ensuite, il faut taper une des lignes de commande suivante pour créer le support :
- Create sysvol full [chemin] : Crée le support d’installation avec SYSVOL pour un DC accessible en écriture dans le dossier spécifié par [chemin]
- Create full [chemin] : Crée le support d’installation sans SYSVOL pour un contrôleur de domaine accessible en écriture ou une instance AD LDS (Active Directory Lightweight Directory Services) dans le dossier spécifié par [chemin]
- Create sysvol rodc [chemin] : Crée un support d’installation avec SYSVOL pour un contrôleur de domaine en lecture seule dans le dossier spécifié par [chemin]
- Create rodc [chemin] : Crée le support d’installation sans SYSVOL pour un contrôleur de domaine en lecture seule dans le dossier spécifié par [chemin]
Quand le support est créé, il faut exécuter l’assistant Installation des services de domaine Active Directory en cochant la case « Utiliser l’installation en mode avancé ». Choisir ensuite « Répliquer les données à partir d’un support à l’emplacement suivant ».
– Pour supprimer un contrôleur de domaine, il faut utiliser la commande « dcpromo »
– Si le contrôleur de domaine à supprimer ne peut contacter le domaine, il faut utiliser la commande « dcpromo /forceremoval »
– Les opérations à maître unique se nomment également :
- Maîtres d’opérations
- Rôles de maîtres d’opérations
- Rôles de maître unique
- Jetons d’opérations
- Rôles FSMO (Flexible Simple Master Operations)
– Il existe 5 rôles FSMO :
- Maître d’attribution des noms de domaines (Unique dans la forêt)
- Contrôleur de schéma (Unique dans la forêt)
- Maître RID (Unique dans un domaine)
- Maître d’infrastructure (Unique dans un domaine)
- Emulateur PDC (Unique dans un domaine)
– Le rôle de maître d’attribution de noms de domaine sert à ajouter ou à supprimer des domaines dans la forêt. Lorsqu’on ajoute ou supprime un domaine, le maître d’attribution des noms de domaine doit être accessible, sous peine que l’opération échoue.
– Le contrôleur de schéma est chargé d’apporter des changements au schéma de la forêt. Tous les autres contrôleurs de domaine contiennent des réplicas en lecture seule du schéma. Pour modifier le schéma ou installer une application qui modifie le schéma, il est recommandé de le faire sur le contrôleur de schéma. Dans le cas contraire, les changements demandés doivent être envoyés au contrôleur de schéma pour qu’il les inscrive dans le schéma.
– Le maître RID (Relative Identifier) joue un rôle majeur dans la génération des SID (Identificateur de sécurité) pour des entités de sécurité telles que les utilisateurs, les groupes et les ordinateurs. Le SID d’une entité de sécurité doit être unique. Comme n’importe quel contrôleur de domaine peut créer des comptes et donc des SID, il doit exister un mécanisme qui garantisse que les SID générés par un contrôleur de domaine soient uniques. Les contrôleurs de domaine Active Directory génèrent des SID en assignant un ID relatif (RID) au SID du domaine pour chaque objet de l’annuaire. Le maître RID du domaine alloue des pools de RID uniques à chaque contrôleur de domaine du domaine. Ainsi, chacun d’eux peut être certains que les SID qu’il génère sont uniques.
NB : Le maître RID se comporte exactement un serveur DHCP pour les SID. Au lieu d’affecter des adresses IP unique aux ordinateurs d’un réseau, le maître RID affectera des pools RID aux contrôleurs de domaine pour la création des SID.
– Le maître d’infrastructure agit plus particulièrement dans des environnements multi domaine afin de mettre à jour la liste des groupes qui hébergent des utilisateurs provenant d’un autre domaine. C’est une sorte de dispositif de suivi pour les membres des groupes issus d’autres domaines. Si ces membres sont renommés ou supprimés de l’autre domaine, le maître d’infrastructure du domaine du groupe actualise l’attribut « member » du groupe conséquent.
– Le maître d’émulateur PDC accomplit plusieurs fonctions cruciales dans un domaine :
- Il émule un contrôleur principal de domaine pour la compatibilité ascendante
- Il participe à la gestion spéciale de l’actualisation des mots de passe du domaine
- Il gère l’actualisation des stratégies de groupe d’un domaine
- Il fournit une horloge principale au domaine
- Il agit comme un navigateur de maître de domaine
– Il est recommandé de placer les rôles « contrôleur de schéma » et « maître d’attribution de noms de domaine » sur un même contrôleur de domaine qui fait office de catalogue global.
– Il est recommandé de placer les rôles « maître RID » et « maître d’émulateur PDC » sur le même contrôleur de domaine.
– Il est recommandé de placer les rôles « maître d’infrastructure » sur un contrôleur de domaine qui n’est pas un serveur de catalogue global. Si tous les contrôleurs de domaine d’un domaine sont des serveurs de catalogue globaux, il importe peu de savoir quel serveur tient le rôle de maître d’infrastructure.
– Pour identifier les contrôleurs de domaine qui possèdent les « rôles de maître RID », « maître d’émulateur PDC » et « maître d’infrastructure », il suffit d’ouvrir le composant logiciel enfichable « Utilisateur et ordinateurs Active Directory », de faire un clic droit sur le domaine et de cliquer sur « Maîtres d’opérations » :
– Pour identifier le contrôleur de domaine qui héberge le rôle « maître d’attribution des noms de domaines », il suffit d’ouvrir le composant logiciel enfichable « Domaines et approbations Active Directory », de faire un clic droit sur le nœud racine et de cliquer sur « Maîtres d’opérations » :
– Pour identifier le contrôleur de domaine qui héberge le rôle « contrôleur de schéma », il suffit d’ouvrir le composant logiciel enfichable « Schéma Active Directory », de faire un clic droit sur le nœud racine et de cliquer sur « Maîtres d’opérations » :
– Pour identifier les maîtres d’opérations, il est possible d’utiliser les commandes suivantes :
« ntdsutil », « dcdiag » ou « netdom »
- Ntdsutil roles connections connect to server « list roles for connected server »
- Dcdiag /test :knowsofroleholders /v
- Netdom query fsmo
– Pour transférer des rôles FSMO, il est possible d’utiliser les outils d’administration correspondant à chaque rôle. En se connectant sur le contrôleur de domaine adéquat, il est possible de transférer le rôle via le menu « Maître d’opérations » :
– Si un contrôleur de domaine crash alors qu’il héberge un rôle FSMO, il est possible de prendre le rôle FMSO manquant et le dédier à un autre contrôleur de domaine en récupérant le jeton des opérations.
– Lorsqu’on prend possession d’un des rôles suivant, il n’est pas possible de remettre en ligne le contrôleur de domaine qui accomplissait le rôle :
- Maitre RID
- Contrôleur de schéma
- Maître d’attribution des noms de domaine
– Lorsqu’on prend possession d’un des rôles suivant, il est possible de remettre en ligne le contrôleur de domaine qui accomplissait le rôle puis de lui transférer de nouveau le rôle à sa reconnexion :
- Emulateur PDC
- Maître d’infrastructure
– Pour prendre possession d’un rôle, il faut utiliser la commande « ntdsutil » :
- Ntdsutil
- Roles
- Connections
- Connect to server [FQDN_DU_SERVEUR]
- Quit
- Seize role
- Contrôleur de schéma
- Maître de schema
- Maître d’attribution des noms de domaine
- Maître RID
- Emulateur PDC
- Maître d’infrastructure
– Dans les précédentes versions de Windows Server, le répertoire SYSVOL était répliqué sur l’ensemble des contrôleurs de domaine via le service FRS (File Replication Service). Sous Windows Server 2008, nous disposons désormais du service DFS-R (Distributed File System – Replication) qui est plus fiable et plus robuste que le système FRS.
– Afin de répliquer le répertoire SYSVOL avec le nouveau système de réplication DFS-R, il faut d’abord s’assurer que le niveau fonctionnel du domaine est Windows Server 2008.
– Pour migrer vers le système de réplication DSF-R, il faut utiliser la commande :
« dfsrmig.exe »
– La migration vers DFS-R est composée de 4 étapes :
- 0 (start) : Etape par défaut du contrôleur de domaine. Seul FRS est utilisé pour répliquer « SYSVOL » à cette étape.
- 1 (prepared) : Une copie du répertoire « SYSVOL » est créée dans un dossier nommé « SYSVOL_DFSR » puis ce dernier est ajouté au jeu de réplication existant. DFS-R réplique ensuite le contenu des dossiers « SYSVOL_DFSR » vers tous les contrôleurs de domaine. FRS continue toujours de répliquer les dossiers « SYSVOL » d’origine et les clients continuent d’utiliser « SYSVO L » à cette étape.
- 2 (redirected) : Le partage « SYSVOL\sysvol » est redirigé pour être désormais « SYSVOL_DFSR\sysvol ». Les clients utilisent désormais le dossier « SYSVOL_DFSR » pour obtenir les scripts d’ouverture de session et les modèles de stratégies de groupe.
- 3 (eliminated) : Le service de réplication FRS est interrompu, ce qui arrête automatiquement la réplication du dossier « SYSVOL ».
– La commande « dsfrmig.exe » comporte 3 options :
- Setglobalstate [state] : Cette option configure l’état de la migration DFS-R globale en cours qui s’applique à tous les contrôleurs de domaine. L’état est spécifié par le paramètre [state], qui est compris entre 0 et 3. Chaque contrôleur de domaine sera notifié du nouvel état de la migration DFS-R et migrera automatiquement vers cet état.
- Getglobalstate : Cette option rapporte l’état de migration DFS-R globale en cours.
- Getmigrationstate : Cette option rapport l’état de migration en cours de chaque contrôleur de domaine. L’option « gestmigrationstate » permet de surveiller l’avancement des contrôleurs de domaine vers l’état de migration DFS-R global en cours.
NB : En cas de problème lors du passage d’un état vers un autre, il est possible de revenir aux états précédents en utilisant l’option « setglobalstate ». Toutefois, après avoir utilisé l’option « setglobalstate » pour spécifier l’état 3 (eliminated), il est impossible de revenir aux états précédents.
Chapitre 11
– Les sites Active Directory sont des objets de l’annuaire qui se trouvent dans le conteneur « Configuration » : CN=Configuration,DC=domaine racine de la forêt
– Un site à pour objectif de gérer le trafic de réplication et faciliter la localisation des services.
– Un réseau fortement connectée représente un site Active Directory dans lequel les réplications des changements apportés à l’AD sont presque instantanées.
– Un réseau moins fortement connectés est représenté par des connexions lentes, moins fiables ou coûteuses. Il n’est donc pas indispensable de répliquer les changements immédiatement sur ce type de réseau afin d’optimiser les performances, réduire les coûts ou économiser de la bande passante.
– La localisation de service permet à des clients d’un site de localiser le contrôleur de domaine le plus proche ou un service à proximité du site.
– Les sites Active Directory aident à localiser les services, y compris ceux fournis par les contrôleurs de domaine. A l’ouverture de session, les clients Windows sont automatiquement dirigés vers un contrôleur de domaine de leur site. Si aucun DC n’est disponible dans le site, ils sont redirigés vers le DC d’un autre site qui sera capable de les identifier.
– Certains documents indiquent qu’une liaison est lente lorsque son débit est inférieur à 512 Kbit/s. Il est donc recommandé de créer un site pour déterminer cette partie du réseau.
– Il est recommandé de créer un site pour une partie du réseau qui héberge au minimum un contrôleur de domaine ou un service de ressource DFS répliquée.
– Pour définir un site, il faut créer un objet de classe « Site ». Cet objet est un conteneur qui permet de gérer la réplication entre les contrôleurs de domaines.
– Il est recommandé de renommer le site par défaut afin de lui donner un nom plus représentatif de la situation de l’entreprise.
– Un site est utile que lorsque les clients et les serveurs savent à quel site ils appartiennent. Pour ce faire, l’adresse IP du système client doit être associée au site, et ce sont les objets sous-réseau qui réalisent cette association. Il faut donc définir les sous réseaux :
– Un sous réseau est associé à un site. Lorsqu’un client se connectera au domaine, il sera identifié avec son adresse IP afin d’être redirigé vers le contrôleur de domaine de son site.
– Il est important de définir chaque sous réseau IP en tant qu’objet sous-réseau Active Directory (LAN, WAN, VPN). Si l’adresse IP d’un client n’est pas comprise dans la page d’adresses d’un sous réseau, ce client sera incapable de déterminer à quel sous-réseau il appartient et cela peut entrainer des problèmes de performance.
– Chaque serveur qui rejoint un domaine annonce ces services en créant des enregistrements DNS « Emplacement de service » ou enregistrement SRV :
– Chaque contrôleur de domaine contient un réplica de plusieurs contextes de nommage. Un contexte de nommage correspondant aux éléments suivants :
- Domaine : Contient tous les objets stockés dans un domaine (users, ordinateurs et groupes et stratégies de groupes).
- Configuration : Contient les objets qui représentent la structure logique de la forêt – les domaines – et la topologie physique – les sites, les sous-réseaux et les services.
- Schéma : Définit les classes d’objets et leurs attributs
– Un contrôleur de domaine ayant pour fonction d’être un catalogue global contient un jeu d’attributs partiel ou PAS (Partial Attribute Set) de l’ensemble des domaines de la forêt. Cela lui permet d’effectuer des recherches d’objet dans un domaine A et B avec plus d’efficacité. Une application interroge un catalogue global en envoyé des requêtes LDAP sur le port 3268.
– Un groupe universel peut contenir des objets provenant de tous les domaines de la forêt. L’appartenance aux groupes universels est répliquée dans le catalogue global.
– Lorsqu’un utilisateur ouvre une session, son appartenance au groupe universel est obtenue depuis un serveur de catalogue global. Si le serveur de catalogue global est indisponible, l’appartenance au groupe universel l’est également. Pour empêcher un incident de sécurité, Windows empêche un utilisateur appartenant à groupe universel de s’authentifier sur le domaine lorsque le catalogue global est indisponible. Ce fonctionnement ne se produit pas si tous les contrôleurs de domaine font office de catalogue global.
– Pour éviter un problème de compte bloqué appartenant à un groupe universel, il est possible d’activer la mise en cache des membres des groupes universels à l’aide d’UGMC (Universal Group Membership Caching). Lorsque « UGMC » est activé, un utilisateur appartenant à un groupe universel qui ouvre une session sur le domaine aura ses informations d’appartenance au groupe mise en cache indéfiniment sur le serveur de catalogue global et actualisé toutes les 8 heures.
– Pour configurer UGMC, il faut ouvrir le composant logiciel enfichable « Sites et service Active Directory », sélectionner le site dans l’arborescence de la console. Dans le volet de détails, il faut cliquer droit sur « NTDS Site Settings » et sélectionner « Propriétés » :
– Pour examiner les partitions d’annuaire d’application, il faut utiliser l’outil « Modification ADSI », de cliquer sur « Connexion » puis de sélectionner « Configuration » dans la liste déroulante du « contexte d’attribution de noms connu » :
– Lorsque l’on créé un contrôleur de domaine, ce dernier est ajouté automatiquement dans la console « Site et Services Active Directory ». Le vérificateur de cohérence des données également appelé KCC (Knowledge Consistency Checker) crée automatiquement un objet connexion afin de créer les relations bidirectionnelle entre les contrôleurs de domaine. Si un contrôleur de domaine est supprimé, les KCC mettent à jour les objets de connexion en réorganisant dynamiquement la topologie de réplication.
– Il est également possible de créer des objets de connexion manuellement afin de gérer soit même la topologie de réplication. Un objet de connexion créé manuellement ne sera jamais supprimé par la gestion dynamique des KCC.
– Lorsqu’une modification est effectuée sur un contrôleur de domaine, ce dernier envoi une notification de mise à jour à son premier partenaire de réplication 15 secondes après (Délais de notification initiale). Une fois la notification envoyée, le contrôleur de domaine attend 3 secondes (Délais de notification ultérieure) pour notifier ses autres partenaires de réplication. Ces délais décalés de quelques secondes permettent de réduire le trafic réseau causé par les réplications intrasite.
– A réception de la notification, le contrôleur de domaine demande à son partenaire de réplication de lui envoyer l’attribut modifié via l’agent de réplication d’annuaire (DRA, Directory Replication Agent).
– Dans une topologie de réplication, il ne peut y avoir plus de trois sauts. Cela permet d’optimiser la réplication et limiter le trafic sur le réseau. Dans un réseau composé de 3 à 5 contrôleurs de domaine, à raison d’environs 15 secondes d’attente par saut, une modification dans l’AD sera entièrement répliquée en moins d’une minute.
– Dans une topologie de réplication automatique, si un des contrôleurs de domaine n’est pas disponible, certains partenaires de réplication ne pourront recevoir de notifications lors d’une modification. C’est pourquoi il existe un processus de scrutation des modifications également appelé « polling ». Ce processus permet de vérifier auprès de son partenaire de réplication si une mise à jour a été effectuée (Par défaut la scrutation est effectuée toutes les heures). Si le serveur interrogé ne répond pas, le partenaire de réplication lance le KCC afin de vérifier la topologie qui sera reconstruite si le contrôleur de domaine est réellement déconnecté.
– Les liens de sites permettent de définir les chemins que la réplication doit emprunter en créant des objets « Liens de sites ». Un lien de site contient deux ou plusieurs sites. Le générateur de topologie inter-sites (ITSTG, Intersite Topology Generator), un composant du KCC, construit des objets connexion entre les serveurs de chacun des sites pour permettre la réplication inter-sites.
– Par défaut lorsqu’on crée une forêt, l’objet lien de sites « DEFAULTIPSITELINK » est créé dans le composant logiciel enfichable « Sites et services Active Directory ». Dans une structure AD composé de plusieurs sites, il est recommandé de créer manuellement des liens de sites qui reflètent la topologie physique du réseau.
– Les modifications sont répliquées entre contrôleurs de domaine au moyen de deux protocoles :
- DS-RPC (Directory Service Remote Procedure Call) : DS-RPC apparaît dans le composant logiciel enfichable Sites et services Active Directory sous la forme IP. IP est utilisé pour toute réplication intrasite et est le protocole de prédilection par défaut pour la réplication inter-sites
- ISM-SMTP (Inter-site Messaging – Simple Mail Transfert Protocol) : Ce protocole n’est utilisé que lorsque les connexions réseaux entre sites ne sont pas fiables ou ne sont pas toujours disponibles. SMTP ne peut pas être utilisé pour répliquer le contexte de nommage du domaine. C’est pourquoi la réplication via STM vers le reste de l’entreprise doit être un domaine séparé. Très peu d’organisation utilise SMTP pour la réplication à cause de la charge administrative requise pour configurer et gérer une autorité de certification (CA).
– Un serveur de tête de pont est un serveur responsable de toute la réplication d’une partition, dans le site et hors du site. Ces derniers sont chargés de répliquer les modifications d’une partition reçues des serveurs têtes de pont des autres sites.
– Chaque site peut être configuré pour disposer d’un serveur de tête de pont qui répliquera les données vers un serveur de tête de pont d’un autre site :
– Les liens de sites sont transitifs par défaut, ce qui veut dire qu’ils sont reliés entre eux pour augmenter la tolérance de panne lié à la réplication. Pour désactiver la transitivité des liens de sites, il suffit de désactiver la case « Relier tous les liens de sites » dans les propriétés du protocole « IP » :
– Les coûts de liens de site sont utilisés pour gérer le flux du trafic de réplication. Les coûts les plus élevés sont utilisés pour les liens lents et les coûts les plus faibles pour les liens rapides. Par défaut, tous les liens sont configurés avec un coût de « 100 » :
– Lorsque la transitivité des liens de sites à été désactivé, il est possible de créer soit même des liens de sites via des « ponts de sites ».
– La réplication inter-site est basée sur la scrutation : Il n’y a pas de notification de modification pour démarrer le processus de réplication. Par défaut, toutes les 3 heures (180 minutes), un serveur de tête de pont va interroger ses partenaires de réplication pour déterminer si des modifications sont disponibles. Il est possible de modifier cette valeur pour réduire l’intervalle de scrutation sachant que la valeur minimale est de 15min.
– Afin de surveiller et gérer la réplication dans le but de la dépanner ou l’optimiser, il est possible d’utiliser l’un de ces deux outils de reporting :
- Repadmin.exe : Outil de diagnostic de la réplication
- Dcdiag.exe : Outil de diagnostic des services d’annuaires
– « Repadmin.exe » est un outil en ligne de commande qui permet de connaître l’état de la réplication sur chaque contrôleur de domaine. Il est possible d’utiliser « repadmin.exe » pour créer la topologie de réplication et forcer la réplication entre contrôleurs de domaine.
– Exemple de commandes « repadmin.exe » :
NB : Dans les exemples suivants, « DSA_LIST » représente un identifiant réseau (nom DNS, NetBIOS ou adresse IP d’un contrôleur de domaine)
- Repadmin /showrepl DSA_LIST : Permet d’afficher les partenaires de réplication d’un contrôleur de domaine
- Repadmin /showconn DSA_LIST : Permet d’afficher les objets connexion d’un contrôleur de domaine
- Repadmin /showobjmeta DSA_LIST : Permet d’afficher les métadonnées sur un objet, ses attributs et la réplication
- Repadmin /kcc : Force le KCC à recalculer la topologie de réplication entrante pour le serveur
- Repadmin /replicate Destination_DSA_LIST Source_DSA_Nom_Contexte_Nommage : Permet de forcer la réplication entre deux partenaire
- Repadmin /syncall DSA /A /e : Permet de synchroniser un contrôleur de domaine avec tous ces partenaires, y compris ceux des autres sites.
– « Dcdiag.exe » est un outil en ligne de commande qui permet de diagnostiquer l’état des services d’annuaires. Cet outil effectue un certains nombre de tests et génère un rapport sur la santé globale de la réplication et de la sécurité des services de domaine Active Directory. Exécuté seul, « dcdiag.exe » exécute des tests récapitulatifs et affiche les résultats.
– Exemple de commandes « dcdiag.exe » :
- Dcdiag /c : exécute presque tous les tests
- Dcdiag /FrsEvent : Affiche toutes les erreurs de fonctionnement du service de réplication de fichiers (FRS)
- Dcdiag /DFSREvent : Affiche toutes les erreurs de fonctionnement du service de réplication de fichiers (DFS-R)
- Dcdiag /Intersite : Détecte les défaillances qui pourraient empêcher ou retarder la réplication inter-sites
- Dcdiag /KccEvent : Identifie les erreurs du vérificateur de cohérence des données
- Dcdiag /Replications : Vérifie la ponctualité de la réplication entre contrôleurs de domaine
- Dcdiag /Topology : Vérifie que la topologie de réplication est complètement connectée pour tous les DSA
- Dcdiag /VerifyReplicas : Vérifie que toutes les partitions d’annuaire d’applications sont complètements instanciées sur les DC hébergeant des réplicas
Chapitre 12
– Les niveaux fonctionnels de domaine apportent de nouvelles fonctionnalités au domaine et permettent aussi de définir les systèmes d’exploitation autorisé sur les contrôleurs de domaine.
– Il existe trois niveaux fonctionnels de domaine :
- Windows 2000 Natif : Autorise les systèmes d’exploitation suivant sur les serveurs : Windows 2000 Server, Windows Server 2003 et Windows Server 2008
- Windows Server 2003 : Autorise les systèmes d’exploitation suivant sur les serveurs : Windows Server 2003 et Windows Server 2008. Ce niveau fonctionnel apporte plusieurs nouvelles fonctionnalités comme le renommage d’un contrôleur de domaine, l’attribut « LastLogonTimestamp », l’attribut « userPassword », la redirection du conteneur d’utilisateur et d’ordinateurs par défaut, la stratégie du gestionnaire d’autorisation, la délégation contrainte et l’authentification sélective.
- Windows Server 2008 : Autorise uniquement les systèmes d’exploitation Windows Server 2008. Ce niveau fonctionnel de domaine apporte de nouvelles fonctionnalités au domaine comme la réplication DFS-R de SYSVOL, les services de chiffrement avancé (AES 128 et AES256 pour Kerberos), l’enregistrement des dernières informations d’ouverture de session interactive et la stratégie de mot de passe à grain fin.
– Il existe trois niveaux fonctionnels de forêt :
- Windows 2000 : Dans ce niveau fonctionnel, les domaines peuvent s’exécuter dans tous les niveaux fonctionnels de domaine pris en charge.
- Windows Server 2003 : Dans ce niveau fonctionnel, les domaines peuvent s’exécuter dans les niveaux fonctionnels Windows Server 2003 et Windows Serveur 2008. Ce niveau fonctionnel de forêt apporte de nouvelle fonctionnalité comme l’approbation de forêt, le renommage de domaine, la réplication de valeurs liées, les algorithmes du vérificateur de cohérences des données (KCC) améliorés, la conversion d’objets inetOrgPerson en objet utilisateur, la prise en charge de la classe auxiliaire dynamicObjet, la prise en charge des groupes d’applications et des groupes de requêtes LDAP et les contrôleurs de domaine en lecture seul.
- Windows Server 2008 : Ce niveau fonctionnel de forêt autorise uniquement des domaines s’exécutant dans un niveau fonctionnel de forêt Windows Serveur 2008 et n’apporte aucunes nouvelles fonctionnalités.
– Pour augmenter le niveau fonctionnel d’un domaine, il faut ouvrir le composant logiciel enfichable « Domaines et approbations Active Directory », de faire un clic droit sur le domaine puis de choisir « Augmenter le niveau fonctionnel du domaine » :
– Pour augmenter le niveau fonctionnel d’une forêt, il faut ouvrir le composant logiciel enfichable « Domaines et approbations Active Directory », de faire un clic droit sur la racine et cliquer sur « Augmenter le niveau fonctionnel de la forêt » :
– Les domaines qui exécutent des niveaux fonctionnels de domaine inférieurs à Windows Server 2008 ne peuvent prendre en charge qu’une seule stratégie de mot de passe et de verrouillage des comptes. Seuls les domaines au niveau fonctionnel de domaine peuvent utiliser les stratégies de mot de passe à grain fin.
– Dans un contexte multi domaine, un administrateur peut être amené à déplacer des objets d’un domaine A vers un domaine B (Utilisateurs, ordinateurs, etc).
– Une migration intraforêt consiste à déplacer des objets issus de domaines Active Directory de la même forêt.
– Une migration inter forêt consiste à déplacer des objets issus de domaines Active Directory distinct. L’opération consiste à conserver le domaine source et cloner/copier des comptes dans le domaine cible. Cette méthode permet de revenir en arrière en cas de problèmes.
– Pour effectuer des migrations d’objets, il faut utiliser un outil tiers ou tout simplement l’outil de migration Active Directory version 3 nommé ADMT v3 (Administration Domain Migration Tools : Disponible sur Internet).
– Lors de la migration d’un objet dans un autre domaine, ce dernier est copié dans le domaine cible, récupérant ainsi un nouveau SID. Du fait que l’objet récupère dans un nouveau SID, il ne possède donc plus d’accès aux ressources du domaine source. Pour contourner ce problème, il existe ce que l’on appel les sIDHistory qui sont des attributs de l’objet contenant le SID de l’objet dans le domaine source. Cet astuce permet à un compte d’utilisateur copié dans un nouveau domaine de pouvoir accéder aux mêmes ressources malgré le fait que sont SID ai été recréé dans le nouveau domaine.
– Lorsqu’un utilisateur ouvre une session dans un domaine Active Directory, le jeton de l’utilisateur est peuplé avec le SID principal et l’attribut sIDHistory du compte de l’utilisateur et des groupes auxquels ce dernier appartient. Le processus système LSASS utilise les SID de l’attribut de sIDHistory comme tout autre SID situé dans le jeton pour maintenir l’accès de l’utilisateur vers des ressources du domaine source.
– Le processus qui consiste à remapper des ACL vers des comptes migrés dans le domaine cible est également appelé re-ACLing. Il suffit d’utiliser l’utilitaire ADMT pour ce type d’opérations.
– ADMT traduit les descripteurs de sécurité des objets :
- Des autorisations de fichier et de dossier
- Des autorisations d’imprimante
- Des autorisations de partage
- Des autorisations de Registre
- Des droits d’utilisateur
- Des profils locaux, qui impliquent des changements d’autorisations de fichier, de dossier et de registre
- Des appartenances aux groupes
– Dans une migration AD inter forêts, il faut d’abord migrer les groupes du domaine source vers le domaine cible car s’il s’agit de groupe Globaux, par défaut, ces derniers ne peuvent accepter que des utilisateurs issue du même domaine, ce qui poserait un problème pour la migration des utilisateurs. Ces groupes une fois migré maintiendront les SID des groupes source dans leurs attributs sIDHistory, ce qui contribuera à conserver l’accès aux ressources.
– Dans une migration AD intra forêts, un groupe global est créé dans le domaine cible en tant que groupe universel afin de pouvoir contenir un utilisateur des domaines source et cible. Le nouveau groupe obtient un nouveau SID et son attribut sIDHistory est peuplé avec le SID du groupe global du domaine source. Une fois la migration terminée, le groupe universel est converti en groupe global.
– ADMT permet également de migrer des mots de passe. Il est possible de conserver le mot de passe du domaine source mais ADMT ne gère pas les stratégies de mot de passe du domaine cible. Sinon il est possible de déterminer un mot de passe lors de la migration du compte d’utilisateur.
– ADMT permet également d’automatiser l’actualisation des comptes de services qui auront été migrés.
– ADMT à du mal à migrer les objets qui sont intégrés dans les groupes « Admins du domaine » ou dans le groupe local « Administrateurs du domaine ». Il existe cependant une option de contournement dans le mode d’emplois d’ADMT.
Chapitre 13
– Même si AD DS compacte régulièrement sa base de données (Ntds.dit), il est recommandé de le faire manuellement.
– « AcctInfo.dll » permet de rajouter un onglet supplémentaire dans le composant logiciel enfichable « Utilisateurs et ordinateurs Active Directory »
– Le bouton « Domain PW Info… » de l’onglet « Additional Account Info » affiche la stratégie de mot de passe affecté au compte d’utilisateur :
– Le bouton « SID History » de l’onglet « Additional Account Info » permet d’afficher l’attribut SID History d’un objet.
– Le bouton « Set PW On Site DC… » de l’onglet « Additional Account Info » permet de modifier le mot de passe d’un compte d’utilisateur directement sur le contrôleur de domaine pour éviter les délais de réplication.
– « Specops Gpudate » permet d’ajouter des fonctionnalités supplémentaires au composant logiciel enfichable « Utilisateurs et ordinateur Active Directory » :
- Actualisation à distance des GPO d’un objet de l’annuaire
- Démarrage d’ordinateurs à distance avec Wake-on-LAN s’il est activé localement
- Redémarrage et arrêt à distance de l’ordinateur sélectionné
- Génération d’un rapport graphique sur les résultats de l’opération
NB : Il faut télécharger cet outil sur le site de l’éditeur « Specops Gpupdate » :
http://www.specopssoft.com/products/specops-gpupdate/specops-gpupdate-download
– Récapitulatif des outils d’administrations Windows :
- Domaines et approbations Active Directory : Administrer les relations d’approbations
- Schéma Active Directory : Modifier le schéma pour les annuaires AD DS ou AD LDS
- Sites et services Active Directory : Configurer et gérer les étendues de réplications
- Utilisateurs et ordinateurs Active Directory : Configurer et gérer les rôles FSMO
- Modifications ADSI : Interroger, visualiser et modifier les objets de l’annuaire
- CSVDE.exe : Importer des données dans les annuaires AD DS ou AD LDS
- DCDIAG.exe : Diagnostiquer les annuaires AD DS ou les instances AD LDS
- DCPROMO.exe : Ajouter ou supprimer des contrôleurs de domaine
- DFSRadmin.exe : Gère la réplication DFS
- Gestionnaire DNS : Assurer la maintenance générale des serveurs DNS
- DNSCMD.exe : Gérer les aspects des serveurs DNS
- DSACLS.exe : Gère les listes de contrôles d’accès aux objets
- DSADD.exe : Ajouter des types d’objets spécifiques (user/computer)
- DSAMAIN.exe : Monter des sauvegardes ou des clichés instantanés d’AD DS
- DSBUTIL.exe : Assurer la maintenance de la base de données AD DS
- DSGET.exe : Visualiser les propriétés d’un objet donnée (user/computer)
- DSMGMT.exe : Gérer les partitions d’applications et les rôles de maîtres d’opérations
- DSMOD.exe : Modifier un objet existant d’un type donnée (user/computer)
- DSMOVE.exe : Transférer un objet à un autre emplacement de l’annuaire
- DSQUERY.exe : Rechercher dans l’annuaire un type d’objet donné
- DSRM.exe : supprimer un objet dans l’annuaire
- Observateur d’évènements : Auditer les journaux d’évènements Windows
- GPfixup.exe : Répare les dépendances de noms de domaines dans les GPO
- Group Policy Diagnostic Best Practices Analyzer : Vérifier les GPO
- Console gestion dela Stratégiede groupe : Créer, gérer, sauvegarder les GPO
- Ipconfig : Afficher et modifier les détails de la configuration IP
- Ksetup.exe : Configurer un client pour utiliser un domaine Kerberos V5
- Ktpass.exe : Configurer un service Kerberos non Windows
- LDIFDE.exe : Importer des données dans les instances AD LDS
- Ldp.exe : Effectuer des opérations LDAP dans l’annuaire
- Movetree.exe : Transférer des objets entre des domaines d’une forêt
- Netdom.exe : Gérer les comptes d’utilisateurs, les domaines et les approbations
- Nltest.exe : Vérifier l’état de la réplication ou les relations d’approbations
- Nslookup.exe : Afficher les informations sur les serveurs DNS
- Ntdsutil.exe : Assurer la maintenance de la base de données AD DS
- Repadmin.exe : Diagnostiquer et dépanner la réplication FRS
- Gestionnaire de serveur : Gérer les domaines AD DS existants ou les instances AD LDS
- Moniteur système : Créer des graphiques des performances d’un serveur
- Ultrasound.exe : Outil graphique pour diagnostiquer la réplication FRS avec WMI
- W32tm.exe : Visualiser les paramètres, gérer la configuration Windows Time
- Sauvegarde de Windows Server : Sauvegarder ou restaurer AD DS ou AD LDS
– Une base de données AD DS fonctionne comme toutes les bases de données. Lorsqu’un enregistrement est inscrit dans la base, le système alloue de l’espace supplémentaire. Lorsqu’un enregistrement est détruit, l’espace alloué n’est pas récupéré. C’est pourquoi il est important d’effectuer des tâches d’administration visant à compacter la base de données.
– Contrairement aux autres versions de Windows, pour effectuer la maintenance des services AD DS, il n’est pas utile de redémarrer le contrôleur de domaine en mode « Restauration des services d’annuaire » mais il est possible d’utiliser la « Maintenance Hors ligne ».
– Le service AD DS compacte automatiquement la base de données, mais ce compactage ne récupère pas l’espace et se contente de réorganiser les données. Pour récupérer l’espace perdu, il faut placer la base de données hors-ligne et exécuter une séquence de compactage et de défragmentation.
– Dans Windows Server 2008, le service AD DS n’est qu’un service Windows qui peut être arrêté et démarré comme n’importe quel service Windows. Pour mettre un contrôleur de domaine hors ligne et exécuter une maintenance, il faut qu’il y ait au minimum deux DC dans le domaine. Lorsqu’on arrête le service AD DS, le DC communique avec un autre DC afin de vérifier qu’au moins un DC est disponible en permanence au moment de l’arrêt.
– Windows Server 2008 possède 4 fonctionnalités qui augmentent la sécurité des données :
- Protection des objets contre une suppression accidentelle
- Audit de l’accès aux services AD DS, qui permet la journalisation des anciennes et nouvelles valeurs et permet de retourner à la valeur d’origine lorsque les propriétés d’un objet ont été modifiées.
- Le conteneur « tombstone » qui permet de stocker tous les objets supprimés de l’annuaire. Un objet supprimé dispose d’une période de grâce durant laquelle il peut encore être récupéré.
- Les fonctionnalités de sauvegarde et restauration prises en charge par l’utilitaire de sauvegarde Windows Server.
– La protection des données contre les suppressions accident est activée par défaut pour les objets unité d’organisation. Pour les autres objets, il faut activer cette option explicitement via l’onglet « Objet » de l’objet sélectionné :
– L’audit des modifications de l’annuaire permet de journaliser toutes les modifications apporter aux différents objets. Toutes les modifications sont enregistrées avec un ID d’évènement unique dans le journal des modifications du service d’annuaire. Il est possible de vérifier qu’elle était l’ancienne valeur et la nouvelle apporté à l’objet pour corriger les modifications qui n’avaient pas lieu d’être.
– Lorsqu’un objet est supprimé de l’annuaire accidentellement, il est possible de le récupérer via la commande « Ldp.exe » tant que la période de grâce n’a pas expiré. La restauration d’un objet avec cet utilitaire récupère seulement l’objet et son SID mais ne permet pas de récupérer le reste de ses attributs. Il faudra donc les spécifier à nouveau.
– L’utilitaire « Quest Object Restor for Active Directory » permet également de restaurer des objets supprimés qui sont encore contenue dans le répertoire « Deleted Objects,DC=contoso,DC=com ». Ce conteneur des objets supprimé s’appel « conteneur tombstone ». La restauration d’un objet avec cet utilitaire récupère seulement l’objet et son SID mais ne permet pas de récupérer le reste de ses attributs. Il faudra donc les spécifier à nouveau.
– Tout objet supprimé de l’annuaire à un délai de grâce de 180 jours par défaut. Les objets sont déplacé dans le répertoire « Deleted Objects ». Au-delà de cette période, les objets sont définitivement supprimés de l’annuaire par les opérations de nettoyage de la base de données.
– L’utilitaire de sauvegarde Windows permet de restaurer des objets supprimés tout en conservant tous les attributs de l’objet. Windows Server 2008 possède un outil qui permet de monter une base de données Active Directory à partir d’un jeu de sauvegarde afin de visualiser le contenu avant l’opération de restauration. Lorsqu’on utilise l’utilitaire de sauvegarde Windows, il est possible d’exécuter plusieurs opérations :
- Sauvegarder le serveur entier, y compris son système d’exploitation
- Ne sauvegarder que les données sur l’état du système, qui comprennent les données de configuration du serveur et la base de données de l’annuaire, Ntds.dit.
- Restaurer les données ne faisant pas autorité, qui seront ajoutées au DC mais seront actualisées par la réplication multi maître quand le DC sera reconnecté
- Effectuer des installations IFM (Install From Media) d’un DC qui s’appuient sur une copie de Ntds.dit venant d’un autre DC pour réduire le volume de réplication nécessaire pour créer le DC durant l’installation.
Les sauvegardes sont effectuées avec Windows Server Backup ou avec l’outil en ligne de commande correspondant « Wbadmin.exe ». Ce sont des fonctionnalités qui doivent être ajouté au serveur.
Il n’est pas possible de faire une sauvegarde sur un lecteur de bande ou des volumes dynamique. Il faut des lecteurs réseau, des disques durs amovibles ou des DVD/CD.
– Si un serveur tombe en panne, il est possible d’utiliser WinRE (Windows Recovery Environment) pour restaurer le système. WinRE peut être installé localement ou localisé sur le support d’installation de Windows Server 2008.
– Pour utiliser la sauvegarde avec Wbadmin.exe, il suffit d’exécuter une ligne de commande :
- Wbadmin start backup –allcritical –backuptarget :[chemin cible] –quiet
– Pour utiliser la sauvegarde avec Windows, il faut aller dans les outils d’administration et démarrer « Sauvegarde de Windows Server » :
– Lorsque l’on sauvegarde l’état du système sur un serveur exécutant le rôle AD DS, les données sauvegardées sont les suivantes :
- Le registre
- La base de données d’enregistrement de classes COM+
- Les fichiers de démarrage
- Les systèmes de fichiers protégés par WRP (Windows Resource Protection)
- La base de données des services de domaine Active Directory (Ntds.dit)
- Le répertoire SYSVOL (GPO du domaine / Scripts d’ouverture de session)
– La sauvegarde Windows Server prend en charge 3 modes de restauration :
- Restauration complète du serveur
- Restauration de l’état du système seulement
- Restauration d’un fichier ou d’un dossier seulement
– Pour créer une sauvegarde complète, il suffit de lancer l’utilitaire « Sauvegarde de Windows Server » après avoir installé la « fonctionnalité de la sauvegarde Windows Server ».
– Pour planifier une sauvegarde de Windows Server, il faut lancer l’utilitaire « Sauvegarde de Windows Server » depuis les outils d’administration, puis de cliquer sur « Planification de la sauvegarde » dans le menu « Actions » :
NB : Il n’est pas possible d’utiliser des lecteurs mappés avec « Sauvegarde de Windows Server »
– pour planifier une sauvegarde avec l’utilitaire « wbadmin.exe », il faut exécuter les lignes de commandes suivantes :
- Identifier l’identificateur du disque : wbadmin get disks > diskidentifers.txt
- Planifier : wbadmin enable backup –addtarget:IDdisque –schedule:heures –include:disquessource
Exemple : wbadmin enable backup –addtarget:{f0e2788d-0000-0000-0000-000000000000} –schedule:21:00,06:00 –include:C:
Cette commande planifie une sauvegarde du disque C:\ à 9h et à 18h sur le disque cible désigné par le GUID spécifié.
NB : La cible sera formatée à chaque nouvelle exécution de la sauvegarde planifiée.
– Pour restaurer des données sur un DC, il n’est pas possible de le faire pendant le système est en cours d’exécution. Il faut impérativement redémarrer le DC en mode DSRM (Directory Services Restore Mode). Il suffit de redémarrer le serveur, d’appuyer sur la touche F8 pendant le démarrage et de sélectionner « mode de restauration des services d’annuaire ».
– DSRM restaure les données de l’annuaire, tandis que WinRE récupère le système entier.
– Avec Windows Server 2008, il est possible de visualiser le contenu des données avant d’entamer une restauration. Pour cela, il suffit de monter le jeu de données avec l’outil de montage des clichés instantanées de la base de données.
– Pour créer un cliché instantané de la base de données, il faut taper la commande suivante :
- Ntdsutil « activate instance NTDS » snapshot create quit quit
– Une fois le cliché instantané créé, il est possible de le monter et de le charger en tant serveur LDAP pour en visualiser son contenu (Voir TP).
– Pour restaurer des données, il est donc possible d’utiliser soit l’utilitaire de « Sauvegarde Windows Server », soit la ligne de commande « wbadmin ». Pour restaurer les données de l’annuaire, il faut effectuer une restauration du système en utilisant les lignes de commandes suivante en mode DSRM (Directory Services Restore Mode) :
- Redémarrer le DC en « Mode restauration des services d’annuaire » :
– Exécuter cette ligne de commande pour lister les sauvegardes disponibles :
- Wbadmin get versions –backuptarget :[lecteur] –machine:[nomserveur]
– Exécuter cette ligne de commande pour récupérer l’état du système à partir d’un backup :
- Wbadmin start systemstaterecovery –version :[date] –backuptarget:[lecteur] –machine:nomserveur –quiet
– Lorsque la restauration est terminée, il faut redémarrer le serveur en mode normal. AD DS sait qu’il a été récupéré à partir d’une sauvegarde et vérifie l’intégrité de la base de données.
– Pour exécuter une sauvegarde faisant autorité, il faut marquer les données en tant que telles en tapant les commandes suivantes en mode DSRM :
- Ntdsutil « authoritative restore » “restore database” quit quit
NB : La commande « Restaure Database » marque toutes les données de la base de données NTDS.dit du contrôleur de données comme faisant autorité. Pour restaurer une portion de l’annuaire, il faut utiliser la commande restore dans ntdsutil :
- Restore subtree OU=OUname,DC=nomDC,DC=nomDC
– Pour la tolérance aux pannes, installer un DC sur une machine virtuelle est une bonne pratique car en cas de crash, il suffit de revenir à une version précédente de la VM. Une fois restauré, la réplication multi maître se charge du reste pour effectuer les mises à jour.
– Le service VSS (Volume Shadow Copy Service) sous Windows Server 2008, prend des clichés instantanés du contenu d’un disque à intervalles réguliers. En cas de pertes de données, il suffit d’utiliser les versions précédentes. Cette fonctionnalité est présente par défaut dans Windows Server 2008 et Windows Vista. Chaque cliché VSS pèse 100 Mo, car il ne capture que les pointeurs de disques et non la structure de disque entière. Il est possible de stocker jusqu’à 512 clichés à la fois. Quand on atteint ce maximum, VSS écrase automatiquement les clichés les plus anciens. C’est pourquoi il faut dimensionner les disques en conséquence.
– Pour activer les clichés instantanés, il suffit d’ouvrir les propriétés d’un lecteur et de cliquer sur l’onglet « clichés instantanées ». Pour configurer le service VSS, il faut cliquer sur « Paramètres » puis sur le bouton « Activer » pour mettre en place les VSS :
– Il est également possible d’activer les clichés instantanés via une ligne de commande :
- Vssadmin add shadowstorage /for=d : /on=e: /maxsize=6000mb
- Vssadmin create shadow /for=d:
- Vssadmin list shadowstorage
- Vssadmin list shadows
– Les planifications de clichés instantanés sont des tâches planifiées. Pour contrôler une tâche planifiée, il est possible d’utiliser la commande « Schtasks.exe » (Schedule Tasks) ou le planificateur de tâches depuis la console de Gestion de l’ordinateur :
– Pour identifier les goulets d’étranglement, il est possible d’utiliser les outils suivants :
- Gestionnaire des tâches
- Observateur d’évènements
- Moniteur de fiabilité
- Analyseur de performances
- Gestionnaire de ressources système Windows (WSRM, Windows System Manager)
– Dans l’onglet « Performances » du « Gestionnaire des tâches », il y a un bouton « Moniteur des ressources » qui permet d’afficher des graphiques sur l’utilisation de l’UC, du disque, du réseau et de la mémoire en une seule fenêtre :
– L’observateur d’évènements permet d’obtenir des informations essentielles sur l’état de santé du système. Par défaut, l’observateur d’évènements maintient les journaux Windows suivant :
- Application
- Sécurité
- Configuration
- Système
- Evènements transmis
– Les contrôleurs de domaine hébergent des journaux supplémentaires dédiés aux services AD DS :
- Réplication DFS
- Service d’annuaire
- Serveur DNS
– Le moniteur de fiabilité est un outil qui permet d’identifier les problèmes potentiels. Ce dernier conserve les traces des modifications apportées à un système (Modification système, installations ou désinstallations de logiciels, défaillances des applications, pannes matériels…)
– L’analyseur de performances est un outil qui permet de tracer des données de performances sur un système.
– WSRM (Windows System Ressources Manager) est une nouvelle fonctionnalité de Windows Server qui permet de profiler des applications afin de déterminer les ressources nécessaires à une application. Cette fonctionnalité permet également de fonctionner en mode de gestion des processus exécuté sur un serveur afin surveiller la charge de chaque processus, utilisateurs ou sessions et bloquer l’un des processus qui aurait dépassé son seuil autorisé. L’ensemble de ces règles de gestion ne s’applique pas si la charge totale du serveur n’excède pas 70% du CPU.
Chapitre 14
– AD LDS (Active Directory Lightwey Directory Services) est un annuaire autonome dédié aux applications. Certaines applications nécessitent de modifier le schéma Active Directory pour fonctionner. Il est recommandé de modifier le moins possible le schéma. Pour installer ce type d’applications, il est recommandé d’utiliser AD LDS qui est une portion de l’annuaire AD DS dédié à l’installation des applications. Chaque application spécialisée peut posséder sa propre instance AD LDS. Les modifications du schéma n’auront lieu que sur l’instance AD LDS dédiée et pas sur le schéma AD DS.
– Les instances AD LDS sont basées sur le protocole LDAP.
– AD LDS n’est qu’une sorte d’application que l’on installe sur un serveur ou un poste client.
– AD LDS ne supporte pas les stratégies de groupe.
– AD LDS peut être installé ou désinstallé sans redémarrage du système.
– AD LDS peut utiliser sur la réplication multi maître pour assurer la cohérence des données.
– AD LDS peut être installé et configuré indifféremment sur des installations complètes ou minimales de Windows Server 2008.
– Il faut autant que possible éviter d’installer AD LDS sur des contrôleurs de domaine. La cohabitation avec le rôle AD DS fonctionne très bien mais il est recommandé de considérer AD LDS comme un rôle spécial du réseau.
– Pour désinstaller AD LDS, il faut d’abord supprimer toutes les instances AD LDS existante, puis employer le « Gestionnaire de server » pour enlever le rôle AD LDS.
– Pour installer AD LDS, il suffit de rajouter le rôle depuis le « Gestionnaire de server ». Sur une installation minimale de Windows Server 2008, il faut procéder de la manière suivante :
- Identifier le package à installer en tapant : oclist | more
- Installer le package : start /w ocsetup DirectoryServices-ADAM-ServerCore
NB : Lorsque l’on installe le package, il faut faire attention à la casse.
– L’installation d’AD LDS sur une installation complète va créer 20 fichiers et 2 sous-dossiers dans le répertoire %SystemRoot%\ADAM
– L’installation d’AD LDS sur une installation minimale va créer 19 fichiers et 1 sous-dossier dans le répertoire %SystemRoot%\ADAM
– Le répertoire %SystemRoot%\ADAM contient des fichiers « *.LDF » qui sont utilisés pour peupler les instances d’AD LDS quand elles sont créés.
– Pour créer une instance AD LDS, les éléments suivant doivent être réunis :
- Un disque de données présent sur le serveur, distinct du système d’exploitation, qui servira à héberger les bases de données de l’annuaire.
- Un nom significatif pour l’instance AD LDS qui servira à identifier l’application qui sera attachée à l’instance.
- Définir les ports qui seront utilisés pour communiquer avec l’instance. Bien qu’il est possible d’utiliser les mêmes ports que les services AD DS, il est toutefois recommandé d’utiliser la plage 50 000.
- Définir le nom de la partition d’application qui sera utilisé avec l’instance.
- Un compte de service pour faire fonctionner l’instance. S’il existe plusieurs instances, il est recommandé d’utiliser un compte de service nommé pour chaque instance plutôt que d’utiliser le compte Service réseau par défaut. La bonne pratique veut que l’on crée un compte de domaine portant le même nom que l’instance AD LDS, et que ce compte bénéficie des droits « Ouvrir une session en tant que service » dans la stratégie locale de chaque serveur qui hébergera l’instance.
- Définir un groupe qui contiendra les comptes d’utilisateurs qui administreront l’instance.
- Déposer tous les fichiers LDIF supplémentaires dans le dossier %SystemRoot%\ADAM. Il est également possible d’importer des fichiers LDIF par la suite.
NB : Petit rappel sur les ports AD DS et AD LDS :
- Port LDAP : 389
- Port LDAP sur SSL / Secure LDAP : 636
- Port Catalogue Global : 3268
- Port Catalogue Global Sécurisé : 3269
– Les fichiers LDIF par défaut sont les suivants :
- MS-ADAM-Upgrade-1.ldf : Met le schéma d’AD LDS au niveau de la dernière version
- MS-adamschemaw2k3.ldf : Pré requis pour synchroniser une instance avec Active Directory sous Windows Server 2003
- MS-adamschema2K8.ldf : Pré requis pour synchroniser une instance avec Active Directory sous Windows Server 2008
- MS-AdamSyncMetedata.ldf : Requis pour synchroniser les données entre la forêt AD DS et une instance d’AD LDS via ADAMSync
- MS-ADLDS-DisplaySpecifiers.ldf : Requis pour le composant logiciel enfichable Sites et services Active Directory
- MS-AZMan.ldf : Requis pour supporter le Gestionnaire d’autorisations Windows
- MS-InetOrgPerson.ldf : Requis pour créer les classes d’utilisateurs InetOrgPerson
- MS-User.ldf : Requis pour créer les classes d’utilisateurs et les attributs associés
- MS-UserProxy.ldf : Requis pour créer une classe userProxy élémentaire
- MS-UserProxyFull.ldf : Requis pour créer une classe userProxy complète
– Pour migrer une instance précédente de LDAP ou ADAM vers AD LDS, il faut d’abord exporter les données au format « *.ldif » puis les importer à l’aide de la commande LDIFDE.
– Pour exporter une instance avec LDIFDE, il faut taper la commande suivante :
- Ldifde –f [NomDeFichier] –s [NomDeServer:NuméroDePort] –m –b [NomUtilisateur] [NomDomaine] [MotDePasse]
– Pour importer une instance avec LDIFDE dans AD LDS, il faut taper la commande suivante :
- Ldifde –i [NomDeFichier] –s [NomDeServer:NuméroDePort] –m –b [NomUtilisateur] [NomDomaine] [MotDePasse]
NB : Le commutateur « –h » permet d’importer les mots de passe de l’instance héritée. Ce commutateur chiffrera tous les mots de passe en utilisant SASL (Simple Authentification Security Layer).
– AD LDS crée des journaux pendant la création de l’instance. Ces fichiers sont localisés dans le dossier %SystemRoot%\Debug et sont nommés ADAMSetup.log et ADAMSetup_loader.log.
– Pour importer l’un des fichiers « *.ldif » présent dans le répertoire %SystemRoot%\ADAM, il faut taper la commande suivante :
- Ldifde –i –f MS-ADLDS-DisplaySpecifiers.ldf –s [NomDeServer:NomDePort] –m –a [NomUtilisateur] [NomDomain] [MotDePasse]
Chapitre 15
– Le rôle AD CS est basé sur une infrastructure à clé publique (PKI, Public Key Infrastructure)
– AD CS peut fournir des services de certificat à l’intérieur et à l’extérieur du réseau
– AD CS comprend les composants suivants :
- Autorités de certification (CA) : Les CA (Certificate Authority) sont des serveurs qui peuvent émettre et gérer des certificats. AD CS prend en charge les CA racine et les CA secondaires, ou enfants.
- Inscription via le web : C’est une interface web à laquelle les clients peuvent se connecter pour demander un certificat, utiliser des cartes à puce ou obtenir des listes de révocation de certificat (CRL, Certification Revocation Lists).
- Répondeur en ligne : Permet de répondre à des requêtes de validation spécifique et met en œuvre le protocole OCSP (Online Certificate Status Protocol). Ce système évite de demander une liste de révocation des certificats complète et permet de soumettre une demande de validation pour un certificat donné.
- Service d’inscription de périphérique réseau : permet d’affecter des certificats à des équipements réseau tel que des routeurs, des switchs, ou firewall. Grâce aux services d’inscription NDES (Network Device Enrollment Service) et SCEP (Simple Certificate Enrollment Protocole), ces équipements qui exécutent des systèmes d’exploitation de bas niveau peuvent aussi participer à une PKI gérée et maintenue par une installation AD CS.
– AD CS prend en charge deux types de CA : CA Autonome et CA d’entreprise
– Une CA autonome n’est pas nécessairement intégré dans un service d’annuaire et peut s’exécuter sur des postes de travail. Ce type de CA est souvent utilisé comme CA racine interne et placées hors ligne pour des raisons de sécurité après qu’on les a utilisées pour générer des certificats. Les CA autonomes peuvent s’exécuter sur Windows Serveur 2008 Standard Edition, Windows Server 2008 Enterprise Edition et Windows Server 2008 Datacenter Edition.
– Une CA d’entreprise est intégré à un service d’annuaire AD DS. Ce type de CA émet des certificats aux utilisateurs finaux et aux autres d’extrémités. Comme ce type de CA est intégré à AD DS, une CA d’entreprise peut émettre et approuvé des certificats automatiquement en réponse aux requêtes des membres de l’annuaire. Les CA d’entreprises peuvent s’exécuter sur Windows Server 2008 Enterprise Edition et Windows Server 2008 Datacenter Edition.
– Chaque fois qu’un certificat est présenté, ce dernier doit être validé par une CRL ou par un répondeur en ligne.
– Pour accroitre la sécurité, il faut créer des hiérarchies de CA. Mais attention tout de même car toute attaque d’une CA de haut niveau ou racine compromet l’ensemble des certificats qui en dépendent. C’est pourquoi il faut sécuriser les CA racine autant que possible.
– Il est recommandé de créer une CA racine et au moins une CA émettrice. La CA racine donnera un certificat à la CA émettrice pour fonctionner. Une fois que la CA émettrice est opérationnelle, il faudra mettra la CA racine hors ligne pour empêcher toute attaque éventuelle.
– Exemple de hiérarchie à deux couches :
– Exemple d’architecture à trois couches dans un déploiement géographique :
NB : Il est conseillé de ne pas créer d’architecture de plus de trois couches. Plus on crée de couches et plus l’administration deviendra complexe.
– Affectation des CA selon le type de modèle :
Type de CA | Une couche | Deux couches | Trois couches |
CA racine | CA d’entreprise (en ligne) | CA autonome (hors ligne) | CA autonome (hors ligne) |
CA intermediaire | CA autonome (hors ligne) | ||
CA éméttrice | CA d’entreprise (en ligne | CA d’entreprise (en ligne) |
NB : Il faut éviter les infrastructures monocouche car elles sont difficiles à protéger
NB : Les CA racines et les CA intermédiaires doivent être mise hors ligne pour plus de sécurité
NB : Il n’est pas possible de transformer une CA autonome en CA d’entreprise et vice versa une fois AD CS installé, tout comme il n’est pas possible de renommer un serveur par la suite. Il faut donc prévoir les noms de serveurs en conséquence pour les conserver longtemps.
NB : Il faut éviter d’installer AD CS sur un contrôleur de domaine même si cela est possible.
– Les certificats générés contiennent généralement deux clés : Une clé privée et une clé publique. Pour chiffrer les données ont utilise la clé privée. Pour déchiffrer les données il faudra utiliser la clé publique. Ce jeu de clé à une durée de vie limité qui nécessite un renouvellement de la clé après expiration du certificat afin de générer un nouveau jeu de clés.
– Les CA racines fonctionnent avec un certificat dont la durée doit être la plus longue possible. Il y a ensuite les CA intermédiaires et les CA émettrices qui possèdent également un certificat. Il est possible de fixer un intervalle de 10 ans pour chaque couche de l’architecture.
– Dans une architecture à trois couches, il est recommandé de définir 30 ans pour la CA racine, 20 ans pour les CA intermédiaires et 10 ans pour les CA émettrices. Ensuite, on peut affecter un ou deux ans aux certificats que l’on émettra pour les utilisateurs.
– Lorsqu’un certificat de serveur expire, tous les certificats enfants expirent également. C’est pourquoi il faut donner une durée de vie plus longue aux serveurs.
– Il y a révocation quand on doit annuler un certificat pour une raison donnée. La révocation est la seule méthode pour invalider un certificat mal utilisé.
– La CPS (Certificate Practice Statement) est un document qui relate la politique de gestion des certificats ainsi que la politique de révocation. Ce document doit être remis aux utilisateurs sous quelconque forme sur Internet ou des intranets.
– Le rôle AD CS ne peut pas être installé sur Server Core et nécessite une installation complète de Windows Serer 2008.
– AD CS ne peut être installé sur des serveurs basé sur Itanium.
– Il faut penser à sauvegarder chaque CA émettrice avec des sauvegardes :
– Pour restaurer une autorité de certification, il suffit d’opérer comme suit :
Chapitre 16
– AD RMS permet d’assurer l’intégrité des données. A l’image des DRM sur les morceaux de musique, Windows Serveur 2008 améliore le service AD RMS de Windows Server 2003 afin d’apporter une fonctionnalité de protection supplémentaire pour la propriété intellectuelle.
– AD RMS s’intègre aux services AD DS et peut également avoir recours aux Services de Certificat Active Directory. AD CS peut générer les certificats de l’infrastructure à clés publiques (PKI) qu’AD RMS peut incorporer dans des documents.
– AD FS étend les stratégies AD RMS au-delà du pare-feu.
– AD RMS s’appuie sur une base de données SQL Server 2005 ou 2008 pour y stocker la configuration et la journalisation d’AD RMS. Dans un environnement de test, il est possible d’installer AD RMS sur une base de données locale WIS (Windows Internal Database), qui ne prend pas en charge les connexions à distance.
– AD RMS fonctionne avec un client AD RMS. Ce client est déjà présent dans les versions de Windows Vista, Windows 7 et Windows Server 2008.
– Les services Internet IIS (Internet Information Services) 7.0 offrent des services web dont dépendent AD RMS.
– La première fois qu’on installe AD RMS, on créé un cluster racine AD RMS par défaut. Ce cluster est conçu pour gérer les requêtes de certificat.
– AD RMS est administré via une « mmc ».
– Un serveur AD RMS s’auto-inscrit lors de la création. L’inscription crée un certificat de licence serveur (SLC, Server Licensor Certificate), ce qui lui permet de s’exécuter également sur des réseaux isolés sans accès Internet.
– AD RMS contient 4 rôles d’administration qui permettent de déléguer des tâches :
- Administrateur d’entreprise : Permet de gérer tous les aspects du service
- Administrateur de modèles : Permet de lister, créer, modifier et exporter des modèles de stratégie de droits
- Auditeurs AD RMS : Permet de gérer des journaux et des rapports.
- Groupe de service AD RMS : Contient le compte de service lié à AD RMS
– Un modèle de stratégie de droits AD RMS est une définition des actions autorisé ou refusé sur une ressource (Autorisation de lire, écrire, copier, imprimer ou coller).
– AD RMS n’est pas pris en charge et ne s’exécute pas dans les installations Server Core de Windows Server 2008.
– AD RMS utilise des licences au format XrML (Extensible Rights Markup Language)
– Les prés requis pour l’installation d’AD RMS :
- Processeur : un Pentium 4,3 GHz (Recommandé : Deux processeurs Pentium 4,3 GHz)
- RAM : 512 Mo (Recommandé : 1024 Mo)
- Espace disque : 40 Go (Recommandé : 80 Go)
- OS : Windows Server 2008 sauf Web Edition et systems bases sur Itanium (Recommandé : Windows Server Enterprise Edition ou Datacenter)
- Système de fichiers : FAT32 ou NTFS (Recommandé : NTFS)
- Messagerie : Message Queuing
- Service Web : IIS avec ASP.NET
– Les considérations d’AD RMS :
- URL du serveur Web : Réserver des URL qui ne changeront pas
- AD DS : Un domaine AD DS exécutant Windows 2000 SP3, Windows Server 2003 ou Windows Server 2003
- Emplacement de l’installation : AD RMS doit être installé sur le même domaine que les utilisateurs
- Comptes d’utilisateur du domaine : Adresse de messagerie configurée dans AD DS
- Compte de service : Le compte doit être du domaine
- Serveurs de base de données : WID (Windows Internal Database) ou SQL Server 2005 avec SP2
- Certificat d’installation : Il faut un certificat SSL pour le cluster AD RMS.
- Protection de l a clé du cluster : Stockez la clé du cluster dans la base de données de configuration AD RMS
- Configuration DNS : créez des enregistrements CNAME personnalité pour l’URL du cluster racine et le serveur de base de données
- Client activé pour AD RMS : Un navigateur ou une application activée pour AD RMS (Word, Outlook, PowerPoint, IE)
- Système d’exploitation client : Windows Vista, Windows 7 ou Windows XP avec le client AD RMS
– Certificats AD RMS :
- Certificat de licence serveur : Certificat auto-signé et généré à l’installation (250 ans)
- Certificat de compte de droits : Transmis à des utilisateurs approuvés (certificat RM)
- Certificat de licence client : Généré lors du lancement d’une application protégé
- Certificat d’ordinateur : Est créé lors de l’activation d’une application pour RMS
- Licence de publication : Est créé lorsqu’un utilisateur enregistre du contenu protégé
- Licence d’utilisation : Attribué à un utilisateur qui ouvre un contenu protégé