Module S44 Chapitre 4 Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs Plan du cours 1. 2. 3. 4. Types de comptes Implémentation de comptes d’utilisateurs Implémentation de comptes de groupe Outils d’administration et tâches administratives 1. Types de comptes Comptes d'utilisateurs Active une ouverture de session unique pour un utilisateur Offre un accès aux ressources Comptes d'ordinateurs Active l'authentification et l'audit de l'accès d'un ordinateur aux ressources Comptes de groupes Aide à simplifier l'administration 2. Implémentation de comptes d’utilisateurs Définition d'un nom d'utilisateur principal Fonctionnement du routage des suffixes de noms Définition d'un nom d'utilisateur principal Un nom d'ouverture de session utilisé uniquement pour la connexion à un réseau Windows Server 2003 laurab@contoso.msft Avantages Unique dans Active Directory Peut être identique à l'adresse électronique d'un utilisateur Fonctionnement du routage des suffixes de noms C'est un mécanisme fournissant une résolution de noms entre forêts Lorsque deux forêts Windows Server 2003 sont connectées par une approbation de forêt, les suffixes des noms de domaines sont crées automatiquement Le routage des suffixes pour les arborescences de domaine que vous créez après l’établissement de l’approbation est désactivé par défaut. Prof.local Bts.local Approbation Ahmed@bts.local 3. Implémentation de comptes de groupe Types de groupes Les groupes locaux de domaine Les groupes globaux groupes universels Instructions de planification d'une stratégie de groupe Types de groupes Groupes de distribution Utilisés uniquement avec les applications de messagerie Sans sécurité activée Groupes de sécurité Servent à affecter des droits et des autorisations aux groupes d'utilisateurs et d'ordinateurs Utilisés de manière optimale lorsqu'ils sont imbriqués Le niveau fonctionnel détermine le type de groupe à créer Les groupes locaux de domaine Des utilisateurs, des ordinateurs, des groupes universels et des groupes globaux issus de n'importe quel domaine dans la forêt Autres groupes de domaine locaux appartenant à son propre domaine Visible uniquement dans son propre domaine Utilisez les lorsque vous souhaitez affecter des autorisations d’accès à des ressources qui se situent dans le même domaine que celui dans lequel vous créez le groupe local de domaine. Les groupes globaux Des utilisateurs, des ordinateurs, des groupes globaux membres de son propre domaine Visible dans son domaine et tous les domaines approuvés Ne les créez pas dans le but de permettre aux utilisateurs d’accéder à des ressources spécifiques à un domaine (visibles dans toute la forêt). Utilisez les pour organiser des utilisateurs ou des groupes d’utilisateurs. Les groupes universels Des utilisateurs, des ordinateurs, des groupes globaux et d’autres groupes universels de n'importe quel domaine dans sa forêt Visibles dans tous les domaines de la forêt Utilisez les lorsque vous souhaitez imbriquer des groupes globaux. De cette manière, vous pouvez affecter des autorisations aux ressources connexes dans plusieurs domaines. Vous pouvez utiliser des groupes de distribution universels dans un domaine Windows Server 2003 en mode Windows 2000 mixte ou ultérieur. Stratégie d’utilisation de groupe dans un domaine Pour attribuer les autorisations sur les ressources du réseau, plusieurs stratégies sont recommandées: C G A , C DL A, C G DL A, C G U DL A, C G L A La stratégie privilégiée est : C G DL A Rassemblez des comptes d’utilisateur (C) dans des groupes globaux (G). Ajoutez les groupes globaux à un groupe local de domaine (DL). Affectez les autorisations (A) sur le groupe local de domaine. Cette stratégie est aussi appelée A G DL P (Accounts Global group Domain Local group Permissions) Une évolution de cette stratégie : C G U DL A. 4. Outils d’administration et tâches administratives Outils permettant de créer et gérer plusieurs comptes Comment créer des comptes à l'aide de l'outil Csvde Comment créer et gérer des comptes à l'aide de l'outil Ldifde Comment créer et gérer des comptes à l'aide de l'environnement d'exécution de scripts Windows Outils permettant de créer et gérer plusieurs comptes Utilisateurs et ordinateurs Active Directory Outils de service d'annuaire Dsadd Dsmod Dsrm Outils Csvde et Ldifde Environnement d'exécution de scripts Windows Comment créer des comptes à l'aide de l'outil Utilisateurs et ordinateurs AD La console Utilisateurs et ordinateurs Active Directory est un composant logiciel enfichable MMC. Vous pouvez l'utiliser pour gérer des comptes d’utilisateurs, d’ordinateurs et de groupes. Il convient de l’utiliser lorsque vous gérez un petit nombre de comptes. Comment créer des comptes à l'aide de l'outil service d’annuaire Vous pouvez utiliser les outils de ligne de commande Dsadd, Dsmod et Dsrm pour gérer des comptes d’utilisateurs, d’ordinateurs et de groupes dans Active Directory. Vous devez spécifier le type d’objet que vous souhaitez créer, modifier ou supprimer. Exemple: dsadd user dsrm group Les outils de ligne de commande permettent de créer un seul objet Active Directory à la fois Vous pouvez les utiliser dans des fichiers de commandes et des scripts. Comment créer des comptes à l'aide de l'outil Csvde Vous pouvez l'utiliser pour créer plusieurs comptes dans AD. Vous ne pouvez pas l'utiliser pour modifier des comptes. Pour créer des comptes à l’aide de cet outil, effectuez les tâches suivantes : Créez le fichier Csvde à importer. Exemple: DN,objectClass,sAMAccountName,userPrincipalName, displayName, userAccountControl "cn=Laura Bartoli,ou=Human Resources, dc=asia, dc=contoso, dc=msft", user,laurab, laurab@contoso.msft, Laura Bartoli,514 Exécutez la commande csvde : csvde -i -f Nom_fichier -b Nom_Utilisateur Domaine Mot_de_Passe Comment créer et gérer des comptes à l'aide de l'outil Ldifde Vous pouvez l'utiliser pour créer et modifier plusieurs comptes. Pour l'utiliser, procédez comme suit : Préparez le fichier Ldifde à importer. Exemple : dn: cn=Laura,ou= Human Resourc, dc=asia, dc=contoso, dc=msft Changetype: Add objectClass: user SamAccountName: laurab userPrincipalName: laurab@contoso.msft displayName: Laura Bartoli userAccountControl: 514 Exécutez la commande ldifde : ldifde .i .k .f nom_fichier -b Nom_Utilisateur Domaine Mot_de_Passe Comment créer et gérer des comptes à l'aide de l'environnement d'exécution de scripts Windows Le processus de création d’un objet Active Directory: 1. Utilisez le Bloc-notes pour créer un fichier texte avec une extension .vbs. Placez les commandes dans le fichier, puis enregistrez-le. Exemple: Set objOU =GetObject("LDAP://ou=management,dc=fabrikam,dc=com") Set objUser = objOU.Create("User", "cn=MyerKen") objUser.Put "sAMAccountName", "myerken" objUser.SetInfo objUser.AccountDisabled = FALSE objUser.ChangePassword "", "jl3R86df" objUser.SetInfo 2. Exécutez le script en tapant la commande : Wscript.exe nom_fichier