Auteur(s)

Loïc THOBOIS (Membre depuis le 04/09/2007 17:50:01) Société : AVAEDOS Fonction : Consultant / Formateur Contactez cet auteur - Affichez les ressources de cet auteur

[Active Directory] 1 Introduction à l'infrastructure Active Directory

1.4 Méthodes d’administration d’un réseau Windows 2008

1.4.1 Utilisation d’Active Directory pour la gestion centralisée

Active Directory permet à un seul administrateur de centraliser la gestion et l’administration des ressources du réseau. Comme il contient des informations sur tous les objets et leurs attributs, la recherche d’informations se fait sur l’ensemble de la forêt.

Active Directory permet aussi d’organiser les objets de façon hiérarchique grâce aux conteneurs comme les unités organisationnelles, les domaines ou les sites. Il est ainsi possible d’appliquer certains paramètres à un ensemble d’ordinateurs et d’utilisateurs.

1.4.2 Les outils d’administration d’Active Directory

L’administration du service d’annuaire Active Directory se passe par le biais de différentes consoles MMC :

• Utilisateurs et ordinateurs Active Directory : C’est le composant le plus utilisé pour accéder à l’annuaire. Il permet de gérer les comptes d’utilisateurs, les comptes d’ordinateurs, les fichiers et les imprimantes partagés, les unités d’organisation …

• Sites et Services Active Directory : Ce composant permet de définir des sites, des liens de sites et de paramétrer la réplication Active Directory.

• Domaines et approbations Active Directory : Ce composant permet de mettre en place les relations d’approbations et les suffixes UPN. Il propose aussi d’augmenter le niveau fonctionnel d’un domaine ou d’une forêt.

• Schéma Active Directory : Ce composant permet de visualiser les classes et les attributs de l’annuaire. Pour pouvoir accéder à la console Schéma Active Directory, il faut dans un premier temps enregistrer une DLL. Pour cela, il vous faut ouvrir une invite de commande et taper la commande : regsvr32 schmmgmt.dll.

• Gestion des Stratégies de Groupe : Ce composant permet de centraliser l’administration des stratégie de groupe d’une forêt, de vérifier le résultat d’une stratégie de groupe ou bien encore de comparer les paramètres de deux stratégies de groupe. Ce composant n’est pas disponible sur le CD-ROM de Windows 2008 Server, il doit être téléchargé sur le site de Microsoft.

• ADSI Edit : Ce composant permet de visualiser l’arborescence LDAP réelle du service d’annuaire. Elle peut s’avérer utile pour lire ou modifier certains attributs ou certains objets de l’annuaire. Elle permet aussi d’attribuer des permissions sur les objets de l’annuaire avec une granularité plus fine. En outre, elle se révèle quasi indispensable pour développoer une application accédant aux données contenues dans l’annuaire. Cette console doit être installée avec les outils de support situés sur le CD-ROM de Windows 2008 Server.

• Centre d’administration Active Directory : Complément à la console Utilisateurs et ordinateurs Active Directory, cette console permet d’agir facilement sur un nombre important d’objets quelques soit leurs emplacements de stockage en se basant sur la logique de fonctionnement de PowerShell.

En complément des divers composants logiciels enfichables énumérés ci-dessus, divers outils sont mis à la disposition de l’administrateur pour gérer Active Directory :

• Lpc.exe : Cet outil permet d’envoyer manuellement des requêtes LDAP vers n’importe quel annuaire LDAP (Active Directory, NDS, Open LDAP,…). Il peut être utilisé pour vérifier la connectivité entre une machine et l’annuaire ou bien pour lister des informations bien spécifiques dans une partie de l’annuaire. LPC affiche l’intégralité des données échangées entre le poste client et le service d’annuaire. Il est disponible avec les outils de support situés sur le CD-ROM de Windows 2008 Server.
• Dsadd, dsmod, dsrm, dsget, dsquery, dsmove : Ces outils en ligne de commande permettent respectivement d’ajouter, de modifier, de supprimer, de lister ou de déplacer des objets dans l’annuaire. Ils sont utilisés dans des scripts afin d’automatiser certaines tâches administrativement lourdes.
• Ldifde : L’outil en ligne de commande LDIFDE (LDAP Data Interchange Format Directory Export) permet d’importer des données à partir d’un fichier texte vers Active Directory ou bien d’exporter des données à partir d’Active Directory vers un fichier texte.
• Csvde : L’outil en ligne de commande CSVDE est utilisé pour importer des comptes d’utilisateurs à partir d’un fichier texte vers Active Directory.
• WSH : WSH pour Windows Scripts Host est un environnement permettant d’exécuter des scripts en VBS ou en JScript.sur une plateforme Windows 9x ou NT.

1.4.3 Gestion de l’environnement utilisateur

A l’aide des stratégies de groupe de Windows 2000/2008, il est possible de restreindre les actions des utilisateurs directement à partir du serveur.

• Contrôle des actions que peuvent réaliser les utilisateurs.
• Centralisation de la gestion de l’installation des applications et des services.
• Configuration des données utilisateur pour suivre les utilisateurs.

1.4.4 Délégation du contrôle d’administration

La hiérarchie mise en place au sein d’Active Directory permet une délégation fine toujours basée sur les conteneurs permettant la délégation sur un ensemble défini de machines et d’utilisateurs.