Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Microsoft Active Directory : fiche de révision supinfo.com/articles/single/6171

Microsoft Active Directory : fiche de révision supinfo.com/articles/single/6171-microsoft-active-directory-fiche-revision Articles - Étudiants SUPINFO Par Maxime FEVRIER Publié le 19/10/2017 à 18:41:47 Noter cet article: ☆☆☆☆☆ (0 votes) Avis favorable du comité de lecture Maxime FEVRIER Promotion: M.Sc. 1 Campus de Troyes Dans cet article, vous retrouverez un résumé de ce qu'est Microsoft Active Directory ainsi que différentes définitions qui vont vous permettre de mieux le comprendre. Introduction Active Directory Pour commencer, Microsoft Active Directory est mise en oeuvre par Microsoft pour fournir des services d’annuaire pour les machines ayant un système d’exploitation sous Windows. Il est apparu pour la première fois dans le système Microsoft Windows Server 2000. Puis en est suivi, Windows Server 2003, Windows Server 2008, Windows Server 2012 et enfin Windows Server 2016. 1/5 Son objectif principal est de fournir un service d’annuaire. On appelle contrôleur de domaine, tout serveur informatique hébergeant l’annuaire Active Directory. Il est également basé sur le protocole TCP/IP. Il permet de référencer aussi bien une personne avec par exemple son nom, son prénom, son âge, son sexe, son adresse etc que tout type d’objet. J’entends par là qu’il permet de référencer aussi bien un ordinateur, une imprimante, un scanner, des serveurs ou bien encore des applications avec leur différentes bases de données. Plus concrètement, pour généralisé ce qui viens d'être dit précédemment, il recense toutes les informations concernant les utilisateurs et les machines sur le réseau. Il stocke toutes ces informations dans une base de données. Ayant une structure comme celle-ci, celui lui permet de gérer de façon centralisée les différentes informations qu’il peut contenir. C’est pourquoi, un utilisateur lambda peut facilement retrouver différentes ressources qui ont été partagées. Les administrateurs peuvent contrôler tout ceci afin que tout le monde ne puisse pas avoir accès à tel ou tel ressources. Pour ce faire, Ils peuvent sécuriser l’accès aux ressources en donnant des droits à certains utilisateurs uniquement. Les administrateurs ont aussi différents contrôles tels que la duplication de données, leurs partitionnements ou encore des fonctionnalités de distribution. Autre point important qui n’a pas été encore abordées jusqu’ici, Microsoft Active Directory permet également de déployer différentes mises à jour sur le réseau ainsi que déployer des applications. Ceci pouvant être très utile du fait que si l’on a une mise à jour importante à faire sur des milliers d’ordinateurs alors il nous suffira juste de la déployer celle-ci sur Active Directory pour que les ordinateurs puissent la recevoir et ainsi la faire. Ce qui nous permet d’une part de gagner en temps et d’autre part de faire en sorte que le système soit le plus protégé possible si cette mise à jour est importante. Active Directory possède plusieurs rôles : Gpupdade permet de mettre à jours les GPO d’un client. AD Domain Services : une source d’informations rendant les informations disponibles et utilisables. (Ex : carnet d’adresse). AD Certificate Services : Permet la gestion des certificats digitaux. AD Federation Services : Permet l’accès aux systèmes ainsi qu'aux applications d’une organisation externe (Simple Sign-On pour les applications web – relation de confiance). AD Right Management Services : Permet d’améliorer la protection des informations contenues dans les documents de l’entreprise. Administrateur et utilisateur peuvent spécifier des droits comme tout ce qui est mprimable, transférable ou bien encore copiable. AD Lightweight Directory Services : C'est une version légère d’Active Directory. Elle permet une utilisation au niveau applicative. Avantages Active Directory : Gestion centralisée des ressources, Gestion des accès et SSO (Simple Sign-On) , Sécurité intégrée, Evolution facile et rapide, interface de gestion commune. L’Authentification Autonome n’utilise pas active directory. C’est une authentification locale. Il n'y a pas de gestion centralisée par contre on peut avoir des comptes multiples. En conclusion, la maintenance y est difficile. L’authentification Domaine permet le stockage centralisé des identités ainsi qu'une relation de confiance avec les membres du domaine. Elle as aussi un service d’authentification centralisé. La relation de confiance permet d’étendre les possibilités d’authentifications dans une architecture Active Directory. Chaque utilisateur à un identifiant de sécurité (SID) initialisé à la création. Lors d’une Authentification, un ticket est créé pour l’utilisateur contenant : son SID ainsi que les SID des groupes auxquels il appartient. C'est une ressource protégée par des ACL. Le DNS (Domain Name System) permet la résolution de noms. ADDS requière une infrastructure DNS. Le schéma ADDS représente l’ensemble des objets que possède un AD. Il possède deux attributs : Type (classe de l’objet : utilisateur, ordi etc …) Champs ( nom, adresse, OS etc …). 2/5 Les arbres ou Arbres de domaines sont une hiérarchisation de plusieurs domaines. Cela partage le nom du domaine parent. Peut avoir plusieurs sous domaine. Une forêt est une collection d’arbres de domaines. Les unités d’organisation (abréviations : OU) sont des conteneurs pour des utilisateurs, groupes, ordinateurs et autres. Il représente l’organisation hiérarchique et/ou logique de l’organisation. ADDS Installation Un contrôleur de domaine est un serveur Windows avec le rôle ADDS installé. Les Read Only Domain Controllers (RODC) sont des contrôleurs de domaine en lecture seule. Ils ne contiennent qu’une copie des comptes sans synchronisation des mots de passe. Le catalogue Global contient une copie de tous les objets de la forêt mais seulement avec quelques attributs. Un serveur avec un catalogue global est aussi un contrôleur de domaine. Un Magasin de données : La base de données (NTDS.dit) est stockée par défaut dans le dossier %systemRoot%\NTDS. Utilisateurs et ordinateurs Deux types d’utilisateurs, locaux et du domaine. Local : accès aux ressources local du pc, BDD Sécurity Account Manager (SAM), Pas de réplication Domaine : Il contient des comptes centralisés, on peut avoir accès aux ressources réseaux et il permet la haute dispo. Modèle : Les comptes utilisateur sont désactivé, ont des propriétés copiées pour un autre utilisateur et il y à possibilité de choisir les attributs qui seront copiés. Les noms : Nom d’ouverture de session unique dans le domaine. Le compte Administrateur a le contrôle total sur le domaine, il ne peut être supprimé. DAC (Dynamic access control) : Le contrôle d’accès dynamique permet d’établir des autorisations d’accès en fonction de règles précises. Il permet de compléter les droits existants sur un dossier ou un fichier. Il n’a pas vocation à remplacer les ACL mais vient s’ajouter aux droits NTFS en place. Le compte invité : permet un accès temporaire. Ne peut être supprimé et est désactivé par défaut. Compte de service managés : compte attribué à un service (pool d’application IIS, Exchange, SharePoint). Gestion automatique du mot de passe. Best practice : Il est important de renommer le compte admin ainsi que de choisir un mot de passe complexe. Il important par ailleurs de ne pas utiliser le compte admin pour les taches courrantes. Donner le moins de droits possibles aux différents invités. Pour ajouter un PC au domaine il faut être administrateur local de l’ordinateur et avoir la permission dans l’active directory. Groupes et Unités d’organisation Un groupe possède un nom unique dans l’unité d’organisation alors qu’en pré-windows 2000 il est unique dans le domaine. Une convention de nommage doit être établie pour retrouver facilement à qui le groupe s’adresse ; à quoi il va donner accès ; quels droits il va donner. Il existe deux types de groupes : Distribution et Sécurité.; ainsi que quatre étendues de groupe : le groupe local, le domaine local, le groupe global ainsi que le groupe universel. Les groupes par défaut sont les admins du domaine. Ils donnent accès à tous les contrôleurs du domaine. Les utilisateur du domaine regroupe tous les comptes utilisateur d’un domaine même domaine. L'admins de l’entreprise : donne les droits d’admin sur tous les domaines de la forêt L'admins du schéma : permet aux membres de modifier le schéma. Les ressources partagées ne sont partagées qu’à des groupes de gestion d’accès qui possèdent des groupes de rôles et pas directement à des comptes. Les appartenances de groupe s’appliquent après l’ouverture de session utilisateur et après un redémarrage de l’ordinateur. Une unité d’organisation est un « Conteneur » permettant de regrouper des objets d’un domaine. Il y a possibilité de déléguer des permissions sur les unités d’organisation. 3/5 Groupe Policy Object Ce sont des stratégies de groupe. Plus précisément, c'est un ensemble de paramètres permettant de configurer les ordinateurs membre d’un Active Directory. La GPO par defaut est appliqué à tous les ordinateur utilisateurs du domaine. Ne pas utiliser cette GPO mise à part pour une configuration de sécurité générale. On peut bloquer l’héritage ou le forcer. Il est conseillé de mettre le moins de règles possibles dans une GPO et de ne pas mettre plusieurs types d’objets dans la même GPO. Les GPO sont mise à jour lors du démarrage d’un ordinateur ou de l’ouverture d’une session utilisateur. Par défaut elles sont rafraîchies toutes les 90 minutes. WMI Filtering permet de déterminer dynamiquement l’application d’une GPO en fonction de l’ordinateur cible. Cela consiste en un système de requêtes WQL. Le Déploiement d’applications se fait via le System Center Configuration Manager. On installe des applications avec des paquets MSI. On uploads/Management/ chap-10.pdf