Professional Documents
Culture Documents
Programme
Domaines NT4 Active Directory
Introduction l'infrastructure Active Directory Groupes Relations dapprobation (Trust Relationships) Units dorganisation (OU) Stratgies de groupe (Group Policies) Application : scurisation des systmes Windows
Machine membre
Appartient un domaine Possde une base de comptes (SAM) locale Ouverture de session
compte local compte dun domaine (notion de confiance, ou dapprobation)
DOMAINES NT4
Base de comptes
Domaine de ressources
Approbation
Domaine de comptes
Permissions
Domaine de ressources
Domaine de ressources
Site central
Domaine de ressources
BDC
Rgion
BDC BDC
BDC
Rplication
Site
Stations
Serveur membre
Agence
Stations
Responsable utilisateurs
Utilisateurs Jean Dupont
Responsable organisation
Groupes global Comptables
Responsable de la ressource
Limites de NT4
Limite de taille
Maximum ~40 000 objets dans le domaine
Beaucoup de domaines chez les grands comptes Complexit des relations dapprobation Complexit de larchitecture physique
ACTIVE DIRECTORY
Donnes cryptes
Contrleurs de domaine
Plus de distinction PDC / BDC Modifications possibles sur tous les DC Un PDC Emulator dans chaque domaine pour certains cas particuliers Base de donnes AD diffrente de la SAM Un DC a une SAM, utilise uniquement en mode Recovery Console / AD Restore Mode
Espaces de noms
Arbre : hirarchie de noms DNS Un domaine = un nom DNS Fort : plusieurs hirarchies DNS
DNS : france.europe.demo.com LDAP : DC=france,DC=europe,DC=demo,DC=com
Matres d'oprations
Flexible Single Master Operations (FSMO)
Rle
mulateur PDC PDC Emulator
Service
Agit en tant que contrleur de domaine principal (PDC, Primary Domain Controller) pour les contrleurs de domaine secondaires Windows NT 4.0 dans le domaine Traite toutes les mises jour de mots de passe pour les clients qui n'excutent pas le logiciel client Active Directory Reoit des mises jour immdiates d'autres contrleurs de domaine lorsque le mot de passe d'un utilisateur est modifi
Matre d'infrastructure Infrastructure Master Fort Contrleur de schma Schema Master Matre d'attribution de noms de domaine Domain Naming Master
Assigne les identificateurs relatifs (RID, Relative ID) tous les contrleurs de domaine Vrifie que toutes les entits de scurit ont un identificateur unique Maintient une liste d'entits de scurit d'autres domaines qui sont membres de groupes dans son domaine Contrle les modifications apportes au schma
Service d'annuaire
Un rfrentiel d'informations structur sur les personnes et les ressources d'une organisation
Schma
Une dfinition au niveau de la fort d'attributs et de classes d'objets qui peut tre tendue Les modifications de schma peuvent tre redfinies ou dsactives
Catalogue global
Un rfrentiel d'informations contenant un sous-ensemble des attributs de tous les objets de la fort
Gestion dcentralise
Permet de dlguer les tches d'administration rseau de certaines units d'organisation d'autres administrateurs Permet de dlguer certaines tches entre les units d'organisation
Users an Computers
Niveaux dadministration
Domaine :
Stratgie de scurit Stratgie de mot de passe Stratgies de groupe Groupes : Domain Admins
Fort :
Schma Topologie rseau sites Groupes : Enterprise Admins, Schema Admins
OU :
Dlgation dadministration
Fonctionnalits de scurit
Attaques potentielles
GROUPES
Les groupes se caractrisent par l'tendue et le type L'tendue d'un groupe dtermine si le groupe couvre plusieurs domaines ou s'il est limit un seul domaine Les tendues de groupe peuvent tre globales, locales de domaine ou universelles
Types de groupes
Domain Local
Contient des groupes/utilisateurs de tous les domaines Utilisable pour le contrle daccs aux ressources de son propre domaine
Global
Contient des groupes/utilisateurs de son domaine Utilisable pour le contrle daccs aux ressources de tous les domaines
Universel
Contient des groupes/utilisateurs de tous les domaines Utilisable pour le contrle daccs aux ressources de tous les domaines Dfinition stocke dans le Global Catalog
tendues de groupes
Groupes prdfinis
Conus pour grer des ressources partages et dlguer des rles administratifs de domaine spcifiques
Oprateurs de compte Administrateurs Oprateurs de sauvegarde Gnrateurs d'approbations de fort entrante Oprateurs de configuration rseau Utilisateurs du journal de performances Utilisateurs de l'Analyseur de performances Accs compatible pr-Windows 2000 Oprateurs d'impression Utilisateurs du Bureau distance Duplicateurs Oprateurs de serveur Utilisateurs
Groupes spciaux
Conus pour fournir l'accs aux ressources sans interaction de la part de l'administrateur ou de l'utilisateur
Ouverture de session anonyme Utilisateurs authentifis Tche Crateur Crateur propritaire Ligne Tout le monde Interactif Systme local Rseau Self Service Utilisateurs Terminal Server Autre organisation Cette Organisation
Dsadd
Ifmember Getsid
RELATIONS DAPPROBATION
Approbations implicites
Hirarchie de domaines dans un arbre : Approbations bases sur Kerberos Implicites Transitives Bidirectionnelles
Types dapprobations
Catgories dapprobation :
Approbations transitives Approbations non transitives
Directions dapprobations :
Approbation entrante sens unique Approbation sortante sens unique Approbation bidirectionnelle
Approbations de fort
Une approbation de fort est une relation d'approbation entre deux forts Windows Server 2003 Elle forme les relations d'approbation entre tous les domaines des deux forts Elle est cre entre les forts impliques dans l'approbation Elle est transitive pour tous les domaines des forts Elle peut utiliser l'authentification l'chelle de la fort ou l'authentification slective
Approbations raccourcies
Shortcut Trusts
Une approbation raccourcie : Rduit la dure de lauthentification dans les forts complexes Est partiellement transitive Peut tre sens unique ou bidirectionnelle
Approbations externes
Filtrage SID
UNITS ORGANISATIONNELLES
Dfinition des OU
Conteneurs dobjets de type utilisateurs, groupes, ordinateurs, OU au sein dun domaine Utilisation
Application des stratgies systmes Dlgation des droits dadministration
Assistant dlgation
Simplifie la dfinition des permissions sur les OU Dlgation simplifie de tches administratives courantes Application du principe de moindre privilge
Pas ncessaire dtre administrateur du domaine pour grer une OU Rappel : le domaine nest pas une frontire de scurit ladmin. dun domaine peut devenir admin. de la fort
Assistant dlgation
STRATGIES DE GROUPE
Types de paramtres
Types de paramtres de stratgies de groupe
Administrative Templates Security Software Installation Scripts Remote Installation Services Internet Explorer Maintenance Folder Redirection Registry-based Group Policy settings Settings for local, domain, and network security Settings for central management of software installation Startup, shutdown, logon, and logoff scripts Setting that control the options available to users when running the Client Installation Wizard used by RIS Setting to administer and customize Microsoft Internet Explorer on Microsoft Windows-based computers Setting for storing users folders on a network server
Guides de scurisation
Guides de scurisation (Security Guidance) : http://www.microsoft.com/technet/security/topics Windows Server 2003 Security Guide Windows XP Security Guide Threats and Countermeasures Guide Pourquoi des guides de scurisation ? Durcissement fonction de lenvironnement et des menaces Il ny a pas une seule rponse Compatibilit des applications Configuration par dfaut en gnral approprie pour des rseaux de confiance
Exemple
<Env>-Infrastructure Server.inf <Env>-File Server.inf <Env>-Print Server.inf <Env>-Web Server.inf <Env>-IAS Server.inf <Env>-CA Server.inf <Env>-Bastion Host.inf
<Env> replaced by LC (for Legacy Client), EC (for Enterprise Client), or SSLF (for Specialized Security Limited Functionality) as appropriate.
OU et groupes
OU name Domain Controllers Member Servers Infrastructure File Print IAS Web CA Administrative group Domain Engineering Domain Engineering Infrastructure Admins Infrastructure Admins Infrastructure Admins Domain Engineering Web Services Administrators
Mthode
Crer l'environnement AD, les groupes et les OU ; dfinir les dlgations sur les OU Configurer la synchronisation de temps sur le PDC Emulator Configurer les stratgies domaine Crer les stratgies de base avec SCW Convertir les stratgies de base en GPO et les lier aux OU appropries Crer les stratgies de rles avec SCW et les modles de scurit fournis Tester les stratgies de rles avec SCW Convertir les stratgies de rles en GPO et les lier aux OU appropries
Exemple
WINDOWS XP SP2
3 scnarios
Enterprise Client
Clients XP dans un Active Directory
Stand-Alone Client
Clients XP autonomes
Vue globale