Uploaded by jewiye3026

S44-PreChap4

advertisement
Module S44
Chapitre 4
Implémentation de
comptes d'utilisateurs, de
groupes et d'ordinateurs
Plan du cours
1.
2.
3.
4.
Types de comptes
Implémentation de comptes d’utilisateurs
Implémentation de comptes de groupe
Outils d’administration et tâches
administratives
1. Types de comptes
Comptes d'utilisateurs
Active une ouverture de session unique pour
un utilisateur
Offre un accès aux ressources
Comptes d'ordinateurs
Active l'authentification et l'audit de l'accès
d'un ordinateur aux ressources
Comptes de groupes
Aide à simplifier l'administration
2. Implémentation de comptes
d’utilisateurs
 Définition d'un nom d'utilisateur principal
 Fonctionnement du routage des suffixes de
noms
Définition d'un nom d'utilisateur principal
Un nom d'ouverture de session utilisé uniquement pour la
connexion à un réseau Windows Server 2003
laurab@contoso.msft
Avantages
 Unique dans Active Directory
 Peut être identique à l'adresse électronique d'un utilisateur
Fonctionnement du routage des suffixes de noms
C'est un mécanisme fournissant une résolution de noms entre forêts
Lorsque deux forêts Windows Server 2003 sont connectées par une
approbation de forêt, les suffixes des noms de domaines sont crées
automatiquement
Le routage des suffixes pour les arborescences de domaine que
vous créez après l’établissement de l’approbation est désactivé par
défaut.
Prof.local
Bts.local
Approbation
Ahmed@bts.local
3. Implémentation de comptes de groupe
 Types de groupes
 Les groupes locaux de domaine
 Les groupes globaux
 groupes universels
 Instructions de planification d'une
stratégie de groupe
Types de groupes
Groupes de distribution
Utilisés uniquement avec les applications de
messagerie
Sans sécurité activée
Groupes de sécurité
Servent à affecter des droits et des autorisations aux
groupes d'utilisateurs et d'ordinateurs
Utilisés de manière optimale lorsqu'ils sont imbriqués
Le niveau fonctionnel détermine le type de groupe à créer
Les groupes locaux de domaine
Des utilisateurs, des ordinateurs, des groupes
universels et des groupes globaux issus de
n'importe quel domaine dans la forêt
Autres groupes de domaine locaux appartenant à
son propre domaine
Visible uniquement dans son propre domaine
 Utilisez les lorsque vous souhaitez affecter des
autorisations d’accès à des ressources qui se situent dans
le même domaine que celui dans lequel vous créez le
groupe local de domaine.
Les groupes globaux
Des utilisateurs, des ordinateurs, des groupes
globaux membres de son propre domaine
Visible dans son domaine et tous les domaines
approuvés
 Ne les créez pas dans le but de permettre aux utilisateurs d’accéder
à des ressources spécifiques à un domaine (visibles dans toute la
forêt).
 Utilisez les pour organiser des utilisateurs ou des groupes
d’utilisateurs.
Les groupes universels
Des utilisateurs, des ordinateurs, des groupes
globaux et d’autres groupes universels de
n'importe quel domaine dans sa forêt
Visibles dans tous les domaines de la forêt
 Utilisez les lorsque vous souhaitez imbriquer des groupes globaux. De
cette manière, vous pouvez affecter des autorisations aux ressources
connexes dans plusieurs domaines.
Vous pouvez utiliser des groupes de distribution universels dans un
domaine Windows Server 2003 en mode Windows 2000 mixte ou
ultérieur.
Stratégie d’utilisation de groupe dans un
domaine
Pour attribuer les autorisations sur les ressources du réseau,
plusieurs stratégies sont recommandées: C G A , C DL A, C G
DL A, C G U DL A, C G L A
La stratégie privilégiée est : C G DL A
Rassemblez des comptes d’utilisateur (C) dans des
groupes globaux (G).
 Ajoutez les groupes globaux à un groupe local de
domaine (DL).
 Affectez les autorisations (A) sur le groupe local de
domaine.

Cette stratégie est aussi appelée A G DL P (Accounts
Global group Domain Local group Permissions)
Une évolution de cette stratégie : C G U DL A.
4. Outils d’administration et tâches
administratives
 Outils permettant de créer et gérer plusieurs
comptes
 Comment créer des comptes à l'aide de l'outil
Csvde
 Comment créer et gérer des comptes à l'aide
de l'outil Ldifde
 Comment créer et gérer des comptes à l'aide
de l'environnement d'exécution de scripts
Windows
Outils permettant de créer et gérer plusieurs
comptes
Utilisateurs et ordinateurs
Active Directory
Outils de service d'annuaire
Dsadd
Dsmod
Dsrm
Outils Csvde et Ldifde
Environnement d'exécution
de scripts Windows
Comment créer des comptes à l'aide de l'outil
Utilisateurs et ordinateurs AD
 La console Utilisateurs et ordinateurs Active
Directory est un composant logiciel enfichable MMC.
 Vous pouvez l'utiliser pour gérer des comptes
d’utilisateurs, d’ordinateurs et de groupes.
 Il convient de l’utiliser lorsque vous gérez un petit
nombre de comptes.
Comment créer des comptes à l'aide de l'outil
service d’annuaire
 Vous pouvez utiliser les outils de ligne de commande
Dsadd, Dsmod et Dsrm pour gérer des comptes
d’utilisateurs, d’ordinateurs et de groupes dans Active
Directory.
 Vous devez spécifier le type d’objet que vous souhaitez
créer, modifier ou supprimer.
 Exemple:
dsadd user
dsrm group
 Les outils de ligne de commande permettent de créer un
seul objet Active Directory à la fois
 Vous pouvez les utiliser dans des fichiers de commandes
et des scripts.
Comment créer des comptes à l'aide de l'outil
Csvde
Vous pouvez l'utiliser pour créer plusieurs comptes dans AD.
Vous ne pouvez pas l'utiliser pour modifier des comptes.
 Pour créer des comptes à l’aide de cet outil, effectuez les tâches
suivantes :
 Créez le fichier Csvde à importer.
Exemple:
DN,objectClass,sAMAccountName,userPrincipalName, displayName,
userAccountControl
"cn=Laura Bartoli,ou=Human Resources, dc=asia, dc=contoso, dc=msft",
user,laurab, laurab@contoso.msft, Laura Bartoli,514
Exécutez la commande csvde :
csvde -i -f Nom_fichier -b Nom_Utilisateur Domaine Mot_de_Passe
Comment créer et gérer des comptes à l'aide de
l'outil Ldifde
Vous pouvez l'utiliser pour créer et modifier plusieurs comptes.
Pour l'utiliser, procédez comme suit :
 Préparez le fichier Ldifde à importer.
Exemple :
dn: cn=Laura,ou= Human Resourc,
dc=asia, dc=contoso, dc=msft
Changetype: Add
objectClass: user
SamAccountName: laurab
userPrincipalName: laurab@contoso.msft
displayName: Laura Bartoli
userAccountControl: 514
 Exécutez la commande ldifde :
ldifde .i .k .f nom_fichier -b Nom_Utilisateur Domaine Mot_de_Passe
Comment créer et gérer des comptes à l'aide de
l'environnement d'exécution de scripts Windows
Le processus de création d’un objet Active Directory:
1. Utilisez le Bloc-notes pour créer un fichier texte avec une extension .vbs.
Placez les commandes dans le fichier, puis enregistrez-le.
Exemple:
Set objOU =GetObject("LDAP://ou=management,dc=fabrikam,dc=com")
Set objUser = objOU.Create("User", "cn=MyerKen")
objUser.Put "sAMAccountName", "myerken"
objUser.SetInfo
objUser.AccountDisabled = FALSE
objUser.ChangePassword "", "jl3R86df"
objUser.SetInfo
2. Exécutez le script en tapant la commande :
Wscript.exe nom_fichier
Download