Windows Server 2008

De NCad Wiki
Aller à la navigation Aller à la recherche

Rôles Active Directory

Installation du rôle ADCS | Gestion des certificats | Authentification par cartes à puce

Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS


Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008

Contrôleur de domaine Active Directory

Définitions

Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows. L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques par les administrateurs.

Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. Ce protocole est utilisé par Windows Server 2008 et plus particulièrement dans la phase d'authentification des utilisateur via Active Directory.

Installation

  1. Ouvrir le Gestionnaire de serveur depuis le menu Démarrer / Outils d'Administration.
  2. Depuis l'encart Résumé des rôles, cliquer sur le lien Ajouter des rôles.
  3. Un Assistant de configuration va débuter. Dans la liste des rôles proposés, sélectionner Service de domaine Active Directory.
  4. Une fois l'installation terminée, revenir au Gestionnaire de serveur puis accéder aux propriétés du Services de domaine Active Directory. Le service n'est pas démarrer.
  5. Cliquer sur le lien Exécuter l'assistant installation des services de domaine Active Directory pour installer les composants additionnels et configurer le service.

Ajout d'un client Windows 7 au contrôleur de domaine Windows Server 2003

Avant toute chose, on va configurer les paramètres de la carte réseau de la station et plus particulièrement les options DNS afin d'y définir l'adresse de l'Active Directory.

  1. Accéder au menu Démarrer / Panneau de configuration
  2. Cliquer sur l'item Réseau et Internet puis cliquer sur Afficher l'état et la gestion du réseau sous l'item Centre réseau et partage.
  3. Pour accéder au propriétés TCP/IP cliquer sur le lien Connexion au réseau local.
  4. Dans la fenêtre Etat de Connexion au réseau local, cliquer sur le bouton Propriétés, dans la liste cliquer sur Protocole Internet version 4 (TCP/IPv4) puis cliquer sur le bouton Propriétés.
  5. Sélectionner la case Utiliser l'adresse de serveur DNS suivante puis indiquer dans le champs Serveur DNS préféré l'adresse IP du contrôleur de domaine Active Directory.

Maintenant on peut ajouter le poste client au contrôleur de domaine Active Directory.

  1. Accéder au menu Démarrer / Panneau de configuration.
  2. Cliquer sur l'item Système puis sur le menu Paramètres système avancés.
  3. Dans la fenêtre Propriétés système, cliquer sur l'onglet Nom de l'ordinateur.
  4. Cliquer sur le bouton Identité sur le réseau... .
  5. Sélectionner l'option Cet ordinateur appartient à un réseau d'entreprise. Je l'utilise pour me connecter à d'autres ordinateurs de la société puis cliquer sur le bouton Suivant.
  6. Sélectionner Ma société utilise un réseau comprenant un domaine puis cliquer sur le bouton Suivant.
  7. Saisir les identifiants du compte mod_loc de la station cliente puis cliquer sur le bouton Suivant.
  8. Saisir le nom du domaine avec ou sans son extension : ncad.lan ou ncad, par exemple.
  9. Saisir les identifiants du compte Administrateur du contrôleur de domaine Active Directory.
  10. L'assistant vous propose d'ajouter le compte mod_loc aux utilisateurs du contrôleur Active Directory. Nous choisirons de laisser cet utilisateur comme utilisateur local donc on sélectionnera l'option Ne pas ajouter ce compte d'utilisateur au domaine.

Comptes Utilisateurs

Définition des Unités Organisationnelles (OU)

Les OU permettent d'organiser la structure des composants Active Directory (Utilisateurs, Groupes, Machines) . On peut affecter pour chaque OU crée, une GPO distincte qui permettra de définir les droits et autorisations pour l'ensemble des objets qu'elle contient.

Ici, nous distingueront trois catégories d'objets avec des permissions bien distinctes :

  • Classe Basic, avec des pouvoirs sur la personnalisation et la configuration de l'environnement très restreint ;
  • Classe Medium, avec des pouvoirs sur la personnalisation et la configuration de l'environnement autorisé à condition que cela n'affecte pas les paramètres globaux de la machine ;
  • Classe Master, avec des pouvoirs sur la configuration de la station.
  1. Accéder au Gestionnaire de serveur depuis le menu Démarrer / Outils d'Administration.
  2. Depuis le menu en arborescence, accéder à la branche Gestionnaire de serveur / Rôles / Services domaine Active Directory / Utilisateurs et ordinateurs Active Directory /NCAD.lan/. Effectuer un clic droit sur <domain> puis accéder à Nouveau / Unité d'organisation.
  3. Nommer l'OU Basic puis répéter l'opération deux fois pour Medium et Master.
  4. Les OU Basic, Medium et Master apparaissent sous l’arborescence Gestionnaire de serveur / Rôles / Services domaine Active Directory / Utilisateurs et ordinateurs Active Directory /NCAD.lan/.
  5. Dans chacune de ces OU créer un Groupe portant le même nom que son OU parente. La création d'un groupe s'effectue en accédant à ses Propriétés puis en cliquant sur Nouveau / Groupe.
WIN2008 Utilisateur et ordinateur Active Directory.png

Configuration des Groupes Policy (GPO)

La définition des GPO s'effectue depuis l'utilitaire Gestion des Stratégies de Groupe accessible depuis le menu Démarrer / Outils d'Administration. Les GPO permettront de définir les permissions et rôles accordés pour chacune de nos OU.

Accéder à la branche Gestion de stratégies de groupe / Forêt : NCAD.lan / Domaines / NCAD.lan. On remarquera la présence de nos OU définies précédemment.

WIN2008 Gestion de stratégie de groupe.png

Par défaut, et pour tous les comptes utilisateurs, les GPO utilisées sont celles présentes dans la branche Objets de stratégie de groupes. Il va falloir ici créer trois nouvelles GPO qui seront rattachées au trois OU définies précédemment.

  1. Accéder aux Propriétés de l'une des trois OU puis cliquer sur Créer un objet GPO dans ce domaine, et le lier ici... . Nommer la GPO à l'identique de son OU père pour l'identifier facilement.
  2. La GPO peut être visualisées sous la branche de l'OU concernée.
  3. Pour modifier la GPO, il suffit d'accéder à ses Propriétés et de cliquer sur Modifier.
  4. La fenêtre Éditeur de gestion des stratégies de groupe s'affiche alors.
  5. Nous allons nous concentrer sur la branche Configuration Utilisateur / Stratégies / Modèles d'administration : définition de stratégies.
  6. On configurera chacun des éléments pour chacun des OU en respectant le tableau synthétique suivant :

Création d'un compte utilisateur

On va créer le compte utilisateur cacheln sous l'OU Basic.

  1. Accéder au Gestionnaire de serveur depuis le menu Démarrer / Outils d'Administration.
  2. Depuis le menu en arborescence, accéder à la branche Gestionnaire de serveur / Rôles / Services domaine Active Directory / Utilisateurs et ordinateurs Active Directory /NCAD.lan/Basic.
  3. Depuis les propriétés de l'OU Basic, cliquer sur Nouveau/Utilisateur.
  4. On indiquera les informations suivantes pour le formulaire Nouvel objet – Utilisateur :
    Prénom : Jack
    Nom : O'Neill
    Nom complet : O'Neill Jack
    Nom d'ouverture de session de l'utilisateur : oneillj@ncad.lan
  5. À l'étape suivante, on veillera à décocher toutes les cases.
  6. L'utilisateur crée, accéder à ses Propriétés puis cliquer sur Ajouter à un groupe et saisir basic puis valider en cliquant sur le bouton OK.

Répertoires utilisateurs partagés

On va définir sur le serveur un répertoire partagé accessible depuis le réseau pour le stockage des documents utilisateurs. Ainsi, les ressources seront disponibles depuis n'importe quel machine.

On choisira de créer un répertoire sur la racine du disque principal appelé Partages dans lequel on retrouvera des répertoires spécifiques aux différents partages sur le réseau dont :

  • Applications : avec tous les programmes, logiciels et utilitaires à installer sur les machines ;
  • Profils : pour le stockage des profils itinérants spécifiques aux différents groupes ;
  • Utilisateurs : pour le stockage des répertoires de session des utilisateurs ;
  • Média : pour le stockage de ressources divers (Documents, Vidéos, Musiques).
  1. Créer à la racine du disque dur le répertoire Partages dans lequel on créera les sous répertoires UtilisateursProfilsMédias et Applications.
  2. Accéder aux Propriétés de l'un des sous dossiers UtilisateursProfilsMédias et Applications puis cliquer sur l'onglet Partage de la fenêtre Propriétés de Utilisateurs.
  3. Cliquer sur le bouton Partage Avancé.
  4. Activer l'option Partager ce dossier.
  5. Cliquer sur Autorisations puis définir les autorisations des groupes.

Déportation des répertoires utilisateurs sur le partage

On va configurer l'utilisateur cacheln pour que son profil soit stocké sur le répertoire partagé du serveur.

  1. Accéder au Gestionnaire de serveur depuis le menu Démarrer / Outils d'Administration.
  2. Depuis le menu en arborescence, accéder à la branche Gestionnaire de serveur / Rôles / Services domaine Active Directory / Utilisateurs et ordinateurs Active Directory /NCAD.lan/Users.
  3. Accéder aux Propriétés de l'utilisateur dont on souhaite définir le répertoire de stockage de son profil.
  4. Accéder à l'onglet Profil puis sélectionner l'option Connecter dans l'encart Dossier de base et indiquer dans le champ à l'adresse suivante \\<nom_serveur_active_directory>\Partages\Utilisateurs\%username%.

Redirection des répertoires

On voudrait qu'en accédant aux répertoires Mes Documents, Mes Images etc... que les fichiers de l'utilisateur soient enregistrés directement sous le dossier partagé Partages\Utilisateurs de l'Active Directory et non sur la machine locale. Pour cela on va rediriger ces répertoires via les GPO des OU Basic, Medium et Master précédemment définies.

  1. Accéder au menu Démarrer / Outils d'administration / Gestion de stratégies de groupe.
  2. Depuis le menu en arborecence, accéder à Forêt : NCAD.lan / Domaines / NCAD.lan / Basic.
  3. Accéder aux Propriétés de Groupe Policy Basic puis Modifier.
  4. La gestion des redirections des répertoires utilisateurs est accessible depuis l'arborescence Configuration utilisateur / Paramètres Windows / Redirection de dossiers.
  5. Pour modifier la redirection du répertoire Images, accéder aux Propriétés de ce dernier.
  6. Depuis l'onglet Cible, sélectionnez le Paramètre De base – Rediriger les dossiers de tout le monde vers le même emplacement.
  7. Dans l'encart Emplacement du dossier cible, sélectionner l'option Créer un dossier pour chaque utilisateur sous le chemin d'accès racine.
  8. Dans le champ Chemin d'accès de la racine : inscrire le chemin réseau jusqu'au répertoire partagé de l'utilisateur sur le serveur \\<nom_serveur_active_directory>\Partages\Utilisateurs\.
WIN2008 Proprietes de images.png

Complexité des mots de passe

Par défaut, Windows Server 2008 exige un certain niveau de complexité des mots de passe :

  1. Ne pas contenir le nom de compte de l'utilisateur ou des parties du nom complet de l'utilisateur comptant plus de deux caractères successifs.
  2. Comporter au moins six caractères.
  3. Contenir des caractères provenant de trois des quatre catégories suivantes : Caractères majuscules.
    Caractères minuscules.
    Chiffre en base 10.
    Caractères non alphanumériques.

Pour désactiver ces exigences ou les modifier, il suffit d'intervenir sur la GPO Default Domain Policy qui se trouve sous Gestion de stratégie de groupe / Forêt : NCAD.lan / Domaines / NCAD.lan / Objets de stratégie de groupes / accessible depuis l'utilitaire Gestion de stratégies de groupe.

La liste des paramètres est accessible depuis l'arborescence Stratégie Default Domain Policy / Configuration ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies de comptes / Stratégie de mot de passe.

Serveur IIS

Service FTP

L'ajout d'un nouveau service au contrôleur de domaine Active Directory nécessite de se rendre sur l'assistant d'Ajout de nouveau rôle.

  • Accéder au Gestionnaire de serveur depuis le menu Démarrer / Outils d'Administration.
  • Depuis l'encart Résumé des rôles, cliquer sur le lien Ajouter des rôles.
  • Un Assistant de configuration va débuter. Dans la liste des rôles proposés, sélectionner Serveur web IIS.
  • L'assistant demandera également quels fonctionnalités ajouter au package IIS. Vérifier que les options suivantes soient bien activées :
    • Fonctionnalités HTTP communes
      • Contenu statique
      • Document par défaut
      • Exploration de répertoire
      • Erreurs HTTP
    • Sécurité
      • Authentification de base
      • Authentification Windows
    • Service de publication FTP
      • Serveur FTP
      • Console de gestion FTP

Une fois le service installé, il est possible de l'administrer depuis la console dédié. Cette console est accessible depuis le menu Démarrer / Outils d'Administration / Gestionnaire des services Internet. En développant la catégorie relative au Contrôleur de Domaine apparaît une rubrique Sites FTP. L'écran de gestion propose un lien nommé Cliquez ici pour démarrer pour accéder à la console de gestion du service.