Table Des Matieres

Table des matières Page 1
Chapitre 1
Introduction aux services de domaine Active Directory
A. Rôle du service d'annuaire dans l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
B. Positionnement et innovations de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . 23
1. Version majeure de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2. Évolutions en matière de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3. Accès aux applications et mobilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4. Virtualisation des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
5. Nouveautés apportées par Windows Server 2008 et Windows Server 2008 R2 . . . . . 24
6. Innovations apportées à Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
a. AD DS: Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
b. AD DS: Gestion granulaire des stratégies de mot de passe . . . . . . . . . . . . . . . . 26
c. AD DS: Contrôleurs de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . 26
d. AD DS: Redémarrage des services de domaine Active Directory . . . . . . . . . . . . 26
e. AD DS: Aide à la récupération des données . . . . . . . . . . . . . . . . . . . . . . . . . . 26
f. AD DS: Améliorations de l’interface Active Directory . . . . . . . . . . . . . . . . . . . . . 26
C. Windows Server 2008 R2 : stratégie de Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
1. Intégration de l'innovation au sein de Windows Server . . . . . . . . . . . . . . . . . . . . . . 27
2. Le nouveau cycle de produits Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
a. Versions majeures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
b. Versions mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
c. Service Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
d. Feature Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3. Windows Server 2008 et Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . . . . . 29
D. Services fondamentaux et protocoles standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
E. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
F. Travaux pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
1. Installation de Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2. Configuration des paramètres généraux du serveur Windows Server 2008 R2. . . . . . 40
3. Configuration des paramètres TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4. Vérification des paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Chapitre 2
Ó Editions ENI - All rights reserved
DNS : concepts, architecture et administration

A. Introduction aux services de résolution de noms DNS . . . . . . . . . . . . . . . . . . . . . . . . . 48
1. Un peu d'histoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
2. Qu'est-ce que les services DNS ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3. Terminologie du système DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
a. L'espace de nom DNS (Domain Namespace) . . . . . . . . . . . . . . . . . . . . . . . . . 51
b. Hiérarchie DNS et espace de noms Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4. Le DNS : base de données distribuée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Examen 70-640
Page 2 Table des matières
B. Structure de l'espace DNS et hiérarchie des domaines. . . . . . . . . . . . . . . . . . . . . . . . 56

1. Le domaine racine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
2. Les domaines de premier et deuxième niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
C. Les enregistrements de ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
D. Domaines, zones et serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
1. Domaines DNS et zones DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
2. Zones et fichiers de zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
3. Noms de domaines DNS et noms de domaines Active Directory . . . . . . . . . . . . . . 66
4. Types de zones et serveurs de noms DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
a. Serveurs de noms et zones primaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
b. Serveurs de noms et zones secondaires. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
c. Types de transferts de zones DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
d. Serveurs de cache et serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5. Mise en œuvre des zones standard : bonnes pratiques . . . . . . . . . . . . . . . . . . . . . 75
6. Délégation des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
7. Utilisation des redirecteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
8. Zones de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
a. Contenu d'une zone de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
b. Avantages des zones de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
c. Mise à jour des zones de stub. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
d. Opérations sur les zones de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
9. Redirecteurs, zones de stub et délégation : bonnes pratiques . . . . . . . . . . . . . . . . 84
E. Gestion des noms multihôtes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
F. Vieillissement et nettoyage des enregistrements DNS . . . . . . . . . . . . . . . . . . . . . . . . . 86
G. Options de démarrage du serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
H. Récursivité des serveurs DNS et protection des serveurs . . . . . . . . . . . . . . . . . . . . . . . 91
1. Blocage des attaques de type Spoofing DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
2. Blocage des attaques de type Spoofing DNS sur les serveurs de type Internet . . . . . 91
I. Synthèse des rôles des serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
J. Commandes de gestion du service DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
1. La commande ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
a. Gestion du cache du client DNS et des enregistrements dynamiques . . . . . . . . 93
b. Renouvellement de l'inscription du client DNS. . . . . . . . . . . . . . . . . . . . . . . . . . 94
c. Nouvelles options de la commande ipconfig. . . . . . . . . . . . . . . . . . . . . . . . . . 96
2. La commande NSLookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
3. La commande DNSCmd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
4. La commande DNSLint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
5. La commande Netdiag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
K. Surveillance du service DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
1. Définition d'une base de référence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
2. Utilisation de la console Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . . 103
3. Utilisation des journaux d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

4. Utilisation des journaux de débogage DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

L. Restauration des paramètres par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
M. Interface NetBIOS et Configuration DNS du client Windows . . . . . . . . . . . . . . . . . . . . 107
1. À propos de l'interface NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
a. Interface NetBIOS et Configuration DNS du client Windows XP Professionnel . . . . 107
b. Types de noms à prendre en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
c. Positionnement de l'interface NetBIOS par rapport à TCP/IP . . . . . . . . . . . . . . . 108
2. Plate-forme Windows et interface Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
a. Services NetBIOS et codes de services Microsoft . . . . . . . . . . . . . . . . . . . . . . . 109
b. Résolution de noms NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
c. Ordre des résolutions NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
d. Ordre de résolution d'un poste de travail de type H-node . . . . . . . . . . . . . . . . 111
e. Interface et noms NetBIOS, résolutions WINS et domaines Active Directory. . . . . 114
3. Configuration d'un poste client Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 114
a. À propos des Clients Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
b. Postes de travail Windows XP et paramètres DNS nécessaires
aux environnements de domaines Active Directory . . . . . . . . . . . . . . . . . . . . . 119
4. Demandes de résolutions DNS et NetBIOS : Processus de sélection de la méthode 126
5. Test d'intégration de l'ordinateur dans le domaine Active Directory . . . . . . . . . . . . 127
N. Nouveautés des services DNS de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . 127
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
2. Chargement des zones en arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
3. Support des adresses IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
4. Support DNS des contrôleurs de domaine en lecture seule . . . . . . . . . . . . . . . . . 129
5. Support des zones de type GlobalNames . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
6. Évolutions de la partie Client DNS de Windows 7 et Windows Server 2008 R2 . . . . . 131
7. Sélection des contrôleurs de domaine avec Windows 7 et Windows Server 2008 R2131
O. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
P. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
1. Installation du service DNS en vue d'installer Active Directory. . . . . . . . . . . . . . . . . 137
2. Configuration du service DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
3. Configuration des zones DNS en mode dynamique. . . . . . . . . . . . . . . . . . . . . . . 138
4. Test de bon fonctionnement du service DNS à l'aide de Nslookup . . . . . . . . . . . . 139
5. Création des enregistrements de A et PTR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
6. Création d'un nouveau sous-domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

7. Création d'un nouveau sous-domaine en tant que nouvelle zone. . . . . . . . . . . . . 141
8. Configuration d'une zone secondaire et du transfert de zones . . . . . . . . . . . . . . . 142
9. Création d'une nouvelle zone DNS mise en délégation . . . . . . . . . . . . . . . . . . . . 143
10. Création d'une nouvelle zone DNS de stub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
11 Création des indications de racines DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
12. Configuration des redirecteurs conditionnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
13. Affichage du cache du serveur DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Examen 70-640
Chapitre 3
Intégration des zones DNS dans Active Directory
A. Stockage des zones DNS et réplication Active Directory . . . . . . . . . . . . . . . . . . . . . . 148
1. Objets ordinateurs Active Directory et nommages . . . . . . . . . . . . . . . . . . . . . . . . 149
2. Avantages de l'intégration des zones DNS dans Active Directory . . . . . . . . . . . . . . 151
a. Mise à jour en mode multimaîtres (ou maîtres multiples) . . . . . . . . . . . . . . . . . 151
b. Sécurité avancée des contrôles d'accès sur la zone et les enregistrements . . . 151
3. Partitions par défaut disponibles sous Windows 2000 . . . . . . . . . . . . . . . . . . . . . . 153
4. Intégration des zones DNS dans Active Directory avec Windows 2000 . . . . . . . . . . 154
5. Intégration des zones DNS dans Active Directory avec Windows Server 2003
et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
a. ForestDnsZones.NomForêtDns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
b. DomainDnsZones.NomdeDomaineDns. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
c. Utilisation d'autres partitions de l'annuaire d'applications . . . . . . . . . . . . . . . . . 159
d. Création d'une partition dans l'annuaire d'applications Active Directory. . . . . . . 159
e. Réplication des partitions du répertoire d'applications et cas
des catalogues globaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
f. Stockage des zones, partitions d'applications et réplications . . . . . . . . . . . . . . 160
g. Zones DNS intégrées dans Active Directory et partitions d'annuaire ADAM . . . . . 160
h. Conditions nécessaires pour réaliser un changement de stockage . . . . . . . . . 163
i. Indications de racines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
j. Stockage des zones dans Active Directory et enregistrements dynamiques
des contrôleurs de domaines Windows 2000, Windows Server 2003
et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
6. Sécurisation des mises à jour dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
a. Configurer les mises à jour dynamiques sécurisées . . . . . . . . . . . . . . . . . . . . . 165
7. Mises à jour sécurisées et enregistrements DNS réalisés via DHCP . . . . . . . . . . . . . 167
a. Utilisation du groupe spécial DNSUpdateProxy pour réaliser les mises à jour
dynamiques des zones DNS sécurisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
b. Sécurisation des enregistrements lors de l'utilisation du groupe DnsUpdateProxy . 170
c. Sécurisation des zones DNS et pouvoir du service serveur DHCP
sur les contrôleurs de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . 170
d. Commande Netsh et déclaration de l'authentification du serveur DHCP . . . . . . 172
8. Conflits de gestion des autorisations sur les zones DNS . . . . . . . . . . . . . . . . . . . . . 172
B. Intégration des serveurs DNS Windows avec l'existant . . . . . . . . . . . . . . . . . . . . . . . . 173
1. À propos des RFC pris en charge par le service DNS de Windows Server 2003
2. À propos des RFC 1034 et 1035 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
3. Consultation des RFC sur le Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
4. Interopérabilité des services DNS de Windows Server 2003 et 2008 R2 . . . . . . . . . . 174
5. Problème de compatibilité et recherches directe et inversée WINS . . . . . . . . . . . . 174
6. Spécificité du DNS de Windows 2000 Server, Windows Server 2003
et Windows Server 2008 R2 et intégration dynamique aux serveurs DHCP . . . . . . . 175

7. Autorisations des transferts de zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

C. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
D. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
1. Création des partitions de l'annuaire d'applications DNS par défaut . . . . . . . . . . . 177
2. Stockage d'une zone vers tous les serveurs DNS de la forêt . . . . . . . . . . . . . . . . . 178
3. Stockage d'une zone vers tous les serveurs DNS du domaine Active Directory . . . . 178
4. Stockage d'une zone vers tous les contrôleurs de domaine du domaine
Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
5. Stockage d'une zone dans une partition de répertoire
d'application spécifique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
6. Autorisations des mises à jour dynamiques sécurisées . . . . . . . . . . . . . . . . . . . . . 180
7. Activation des fonctions de vieillissement et de nettoyage sur le serveur DNS. . . . . 181
Chapitre 4
Localisation des services Active Directory et services DNS
A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
B. Service de Localisation DNS et sélection des contrôleurs de domaine. . . . . . . . . . . . 185
C. Structure DNS et intégration dans l'annuaire Active Directory. . . . . . . . . . . . . . . . . . . 188
D. Enregistrements DNS "Emplacement du service" des contrôleurs de domaine . . . . . . 190
1. Structure d'accueil de la zone DNS pour les enregistrements de ressources
de type SRV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
a. À propos de l'enregistrement de ressources DNS de type SRV . . . . . . . . . . . . . 191
b. Enregistrements SRV inscrits par le service "Ouverture de session réseau" . . . . . . 193
c. À propos de l'enregistrement DsaGuid._msdcs.NomdeForêt . . . . . . . . . . . . . . 195
d. Enregistrements de ressources pour les clients non compatibles
avec les enregistrements SRV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
2. Serveurs DNS non dynamiques et enregistrements dynamiques des contrôleurs
de domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
3. À propos de la zone DNS du domaine racine de la forêt. . . . . . . . . . . . . . . . . . . 196
E. Contraintes et problèmes potentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
F. Contrôle rapide des enregistrements de ressources . . . . . . . . . . . . . . . . . . . . . . . . . 197
1. Tests des enregistrements DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
G. Gestion du problème de la transition des contrôleurs de domaines NT
vers Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

I. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
1. Inscription manuelle des enregistrements SRV du service
Ouverture de session réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
2. Désenregistrements des enregistrements SRV. . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
3. Réinitialisation du cache de résolution client à l'aide de la commande ipconfig . . 206
4. Effacement du contenu du cache des noms de serveurs DNS . . . . . . . . . . . . . . . 206
Examen 70-640
Chapitre 5
Annuaires, opérations LDAP et services de domaine AD
A. À propos des annuaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
B. Un peu d'Histoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
C. LDAPv2 & LDAPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
D. Conformité LDAP de Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
E. Conformité LDAP de Windows Server 2003, Windows Server 2008
et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
F. Compatibilité LDAP et support de la classe inetOrgPerson . . . . . . . . . . . . . . . . . . . . 212
G. Objet RootDSE et extensions LDAPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
H. Authentifications LDAP et SASL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
I. Références LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
J. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
K. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
1. Affichage du RootDSE avec ADSI Edit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
2. Utilisation de Ldp pour vérifier le mode fonctionnel d'un domaine ou d'une forêt . . 223
Chapitre 6
Éléments de structure Active Directory
A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
B. Objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
1. Classes et attributs d'objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
2. Création d'un attribut LDAP et valeur du Nom LDAP affiché. . . . . . . . . . . . . . . . . . 233
3. Protection des classes et attributs SYSTEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
4. Désactivation d'une classe ou d'un attribut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
5. Objets, classes, attributs et intégration des applications . . . . . . . . . . . . . . . . . . . . 237
6. Outils d'administration en ligne de commande de Windows Server 2003
C. Schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
1. Construction de l'annuaire Active Directory et chargement du schéma par défaut 240
2. Protection du schéma. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
D. Conventions de nommage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
1. Le nom unique relatif (RDN - Relative Distinguished Name) . . . . . . . . . . . . . . . . . . 244
2. Le nom unique (DN - Distinguished Name) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
3. Le nom canonique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
4. Le GUID de l'objet (Globally Unique Identifier) . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
5. Le SID de l'objet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
E. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
F. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
1. Rechargement du schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
2. Création d'un nouvel attribut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
3. Indexation d'un attribut dans les catalogues globaux Active Directory . . . . . . . . . . 251

4. Ajout d'un attribut dans les catalogues globaux Active Directory . . . . . . . . . . . . . . 252
5. Gestion des comptes utilisateur à l'aide de la console MMC Utilisateurs
et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
6. Gestion des comptes d'ordinateur à l'aide de la console
MMC Utilisateurs et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 253
7. Gestion des comptes de groupe à l'aide de la console Utilisateurs
8. Création d'une stratégie de mot de passe pour un domaine . . . . . . . . . . . . . . . . 256
Chapitre 7
Composants de la structure logique
A. Introduction aux composants de la structure logique . . . . . . . . . . . . . . . . . . . . . . . . 260
B. Les domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
1. Conteneur (container) au sein de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
2. Niveaux fonctionnels des domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
3. Gestion des stratégies au niveau des domaines . . . . . . . . . . . . . . . . . . . . . . . . . 266
4. Délégation de l'administration des domaines et contrôle
des paramètres spécifiques au domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
5. Utilisation du domaine comme unité de réplication élémentaire . . . . . . . . . . . . . 269
6. Limites du domaine Active Directory et délégation contrainte . . . . . . . . . . . . . . . 269
C. Contrôleurs de domaine et structure logique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
D. Les unités d'organisation (OU) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
E. Les arbres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
F. Les forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
1. Critères, rôle et bon usage des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
2. Configuration de la forêt et domaine racine . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
3. Activation des nouvelles fonctionnalités de forêt de Windows Server 2003,
Windows Server 2008 et de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . 289
4. Unités de réplication et rôle des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
5. Maîtres d'opérations FSMO de forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
6. La forêt et l'infrastructure physique Active Directory. . . . . . . . . . . . . . . . . . . . . . . . 295
7. Frontières de sécurité et rôle des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
8. Approbations au sein des forêts Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . 298
a. Bénéfices apportés par la transitivité des approbations . . . . . . . . . . . . . . . . . . 298
b. Structure de la forêt et approbations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299

c. Approbations et objets TDO dans les forêts Active Directory . . . . . . . . . . . . . . . 300
d. Types d'approbation supportés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
e. Forêts Windows Server (2003, 2008 ou 2008 R2) et approbations de forêts . . . . 304
f. Routage des suffixes de noms et approbations de forêts . . . . . . . . . . . . . . . . 305
g. Utilisation de la commande Netdom pour créer et gérer les approbations . . . . 307
G. Réussir le processus de mise à niveau d’Active Directory vers les services
de domaine Active Directory de Windows Server 2008 (et R2) . . . . . . . . . . . . . . . . . 308
1. Vérifications et gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Examen 70-640
2. Préparation de l’infrastructure Active Directory pour Windows Server 2008

ou Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
3. Mise en œuvre d’un nouveau contrôleur Windows Server 2008
ou Windows Server 2008 R2 AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
4. Réaffectation des rôles FSMO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
5. Opérations de finalisation Post Migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
a. Modification des stratégies de sécurité des contrôleurs de domaine . . . . . . . . 312
b. Mise à jour des autorisations des objets GPO pour les domaines migrés
à partir de Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
1. Création du domaine racine de la forêt Active Directory . . . . . . . . . . . . . . . . . . . 318
2. Ajout d'un deuxième contrôleur de domaine dans le domaine racine . . . . . . . . . 319
3. Création d'un nouveau domaine enfant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
4. Création d'une nouvelle arborescence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
5. Désinstallation normale d'un contrôleur de domaine Active Directory . . . . . . . . . . 321
6. Désinstallation forcée d'un contrôleur de domaine Active Directory. . . . . . . . . . . . 322
7. Augmentation du niveau fonctionnel d'un domaine . . . . . . . . . . . . . . . . . . . . . . 323
8. Augmentation du niveau fonctionnel de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . 324
9. Recherche d'un objet à l'aide des Requêtes sauvegardées . . . . . . . . . . . . . . . . . 324
10. Création d'une Unité d'Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
11. Délégation du contrôle de l'administration sur une OU et modification
de l'ACL d'un objet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
12. Déplacement d'une OU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
13. Création des relations d'approbations externes . . . . . . . . . . . . . . . . . . . . . . . . . . 328
14. Création des relations d'approbations raccourcies. . . . . . . . . . . . . . . . . . . . . . . . 329
15. Création des relations d'approbations entre forêts . . . . . . . . . . . . . . . . . . . . . . . . 329
16. Gestion des suffixes UPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Chapitre 8
Groupes OUs et délégation
A. Usage des groupes en environnement Active Directory . . . . . . . . . . . . . . . . . . . . . . 334
1. Les différents types de groupes Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
a. Les groupes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
b. Les groupes de distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
2. Portée des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
a. Les groupes globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
b. Les groupes locaux de domaine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
c. Les groupes universels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
3. Règles générales concernant les objets groupes . . . . . . . . . . . . . . . . . . . . . . . . . 337
a. Bon usage des comptes de groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
b. Bon usage des groupes universels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

B. Définition d'une structure d'unités d'organisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

1. Rôle des objets unités d'organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
2. Utilisation des unités d'organisation et relation avec l'organisation de l'entreprise . . 339
3. Délégation de l'autorité d'administration et usage des unités d'organisation. . . . . . 340
a. Structure basée sur la nature des objets gérés . . . . . . . . . . . . . . . . . . . . . . . . 341
b. Structure basée sur les tâches d'administration . . . . . . . . . . . . . . . . . . . . . . . . 341
c. Facteurs à intégrer dans la définition d'une hiérarchie d'unités d'organisation . . 341
4. Usage des unités d'organisation pour les stratégies de groupe . . . . . . . . . . . . . . . 345
5. Règles générales et bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
C. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Chapitre 9
Composants de la structure physique
A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
B. Contrôleurs de domaine et structure physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
1. Catalogue global et ensemble partiel d'attributs . . . . . . . . . . . . . . . . . . . . . . . . . 354
2. Rôle des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
3. Fonctions principales des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . 356
4. Catalogues globaux et activation de l'appartenance aux groupes universels . . . . 357
C. Sites et services Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
1. Qu'est-ce qu'un site Active Directory ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
2. Pourquoi créer un site ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
3. Sites et services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
D. Réplication Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
1. Concept de la réplication intrasite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
2. Réplication intrasite avec des contrôleurs Windows 2000 Server,
Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2. . . . . . . . . 364
3. Concept de la réplication intersites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
4. Création des objets connexion en intrasite et anneaux de réplication . . . . . . . . . . 365
5. Réplication intersites à l'aide des liens de sites et ponts de liaisons . . . . . . . . . . . . 368
a. Les liens de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
b. Choix du transport Intersites : IP (avec RPC) ou SMTP . . . . . . . . . . . . . . . . . . . . 370
c. Service système Messagerie intersites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
d. Mise en œuvre du transport SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
6. Gestion des liens intersites et des coûts de réplication . . . . . . . . . . . . . . . . . . . . . 373

a. Détermination de la planification et des coûts des liens intersites . . . . . . . . . . . 373
b. Pourquoi désactiver le pontage par défaut de tous les liens de sites ? . . . . . . . 375
c. Effets de la désactivation de la transitivité sur le KCC et avantages
dans les grands réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
d. Effets de la désactivation de la transitivité sur la topologie DFS . . . . . . . . . . . . 376
e. À propos des algorithmes utilisés par le KCC/ISTG . . . . . . . . . . . . . . . . . . . . . . 376
f. Création d'un nouveau pont entre liens de sites . . . . . . . . . . . . . . . . . . . . . . . 377
g. Gestion des serveurs tête de pont . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Examen 70-640
h. Définition du générateur de topologie intersites . . . . . . . . . . . . . . . . . . . . . . . 380

E. Résolution des problèmes de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
F. Contrôle des réplications urgentes en intersites . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
1. Événements pris en charge par les réplications urgentes . . . . . . . . . . . . . . . . . . . 381
2. Verrouillage des comptes utilisateur et réplication urgente . . . . . . . . . . . . . . . . . . 382
3. Changements de mots de passe et réplication Active Directory . . . . . . . . . . . . . . 383
4. Gestion des "Bad Passwords" et optimisation des trafics . . . . . . . . . . . . . . . . . . . . 384
5. Activation des messages de notification de modifications sur un objet lien de site. 384
6. Administration des mots de passe à l'aide de la DLL Acctinfo.dll. . . . . . . . . . . . . . 385
G. Critères d'architecture à considérer pour définir la topologie de réplication intersites. 387
1. Recherche des serveurs maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
2. Transfert d'un rôle de maître d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
3. Prise de rôle d'un maître d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
4. Création d'un site Active Directory et déplacement d'un serveur . . . . . . . . . . . . . . 395
5. Création des sous-réseaux IP Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
6. Ajout d'un serveur de catalogue sur un site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
7. Activation de la mise en cache de l'appartenance
des groupes universels sur un site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
8. Création d'un objet de connexion intrasite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
9. Désactivation de la transitivité intersites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
10. Création d'un nouveau lien de sites et gestion de la réplication intersites . . . . . . . 400
11. Création d'un pont de liaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
12. Affectation des serveurs têtes de pont (BHS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
13. Forçage des réplications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
14. Utilisation de Repadmin et Replmon. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Chapitre 10
Services d'infrastructure Active Directory
A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
B. Recherches LDAP et catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
1. LDAP et la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
2. Comment utiliser la commande LDP pour rechercher un objet via LDAP . . . . . . . . 411
3. Récupération des syntaxes et attributs à l'aide de la console Utilisateurs
4. Ajout, retrait de la fonction de catalogue global et ports TCP/IP . . . . . . . . . . . . . . 414
5. Ports réseaux utilisés par les contrôleurs de domaine catalogues globaux . . . . . . . 415
C. Positionnement des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
1. Authentifications et appartenance aux groupes universels de sécurité. . . . . . . . . . 416
2. Indisponibilité des catalogues globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
3. Personnalisation des attributs présents dans les catalogues globaux . . . . . . . . . . . 417
4. Mise en cache de l'appartenance des groupes universels . . . . . . . . . . . . . . . . . . 418

5. Bonnes pratiques pour déterminer le positionnement des catalogues globaux . . . 419

D. Planification et critères d'emplacement et d'affectation des contrôleurs de domaine 420
E. Planification et critères d'emplacement et d'affectation des catalogues globaux . . . 421
F. Planification et critères d'emplacement et d'affectation
des serveurs DNS Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
G. Positionnement des maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
1. Rôle des contrôleurs maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
2. Recommandations générales concernant l'emplacement
des maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
3. Emplacement du contrôleur maître de schéma . . . . . . . . . . . . . . . . . . . . . . . . . 427
4. Emplacement du contrôleur maître d'opérations de noms de domaines . . . . . . . 427
5. Emplacement du contrôleur maître d'opérations de PDC Emulator . . . . . . . . . . . . 428
6. Emplacement du maître d'opérations RID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
7. Emplacement du maître d'opérations d'infrastructure. . . . . . . . . . . . . . . . . . . . . . 429
8. Prise de contrôle forcée des maîtres d'opérations . . . . . . . . . . . . . . . . . . . . . . . . 429
9. Bonnes pratiques à respecter et emplacement des maîtres d'opérations . . . . . . . 430
1. Contrôle des opérations du KCC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
2. Ajout et suppression d'un catalogue global. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
3. Vérification de la suppression des enregistrements SRV. . . . . . . . . . . . . . . . . . . . . 439
Chapitre 11
Principes fondamentaux des stratégies de groupe
A. Technologie IntelliMirror . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
2. Apports pour l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
3. Évolutions apportées aux GPO par les clients Windows 7 . . . . . . . . . . . . . . . . . . . 444
a. Amélioration de la détection réseau (Network Location Awareness) . . . . . . . . . 444
b. Multiples stratégies locales (LGPO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
c. Meilleure gestion des messages d'événements . . . . . . . . . . . . . . . . . . . . . . . 446
d. Anciens ADM et nouveaux ADMX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
e. Windows Vista prend en charge de nombreuses nouvelles catégories . . . . . . . 447
4. Nouveautés apportées aux postes clients grâce aux évolutions des stratégies
de groupe de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448

a. La gestion centralisée des paramètres de gestion de l'alimentation . . . . . . . . . 448
b. Améliorations apportées aux paramètres de sécurité . . . . . . . . . . . . . . . . . . . 449
c. Meilleure gestion des paramètres liés à Internet Explorer . . . . . . . . . . . . . . . . . 450
d. Assignement des imprimantes en fonction du site Active Directory . . . . . . . . . . 450
e. Délégation de l'installation des pilotes d'impression via les GPO . . . . . . . . . . . . 450
f. Nouveaux objets "GPO Starter". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
g. Paramètres du protocole NAP - Network Access Protection . . . . . . . . . . . . . . . 452
Examen 70-640
5. Nouvelles préférences des stratégies de groupe de Windows Server 2008 R2 . . . . 453

a. Préférences ou stratégies de groupe ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
b. Déploiement et prise en charge des Préférences de stratégies de groupe . . . . 454
c. Familles de paramètres pris en charge par les Préférences de stratégies
de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
d. Opérations et Actions sur les Eléments des Préférences . . . . . . . . . . . . . . . . . . 459
e. Arrêter le traitement des éléments de cette extension si une erreur survient. . . . 460
f. Exécuter dans le contexte de sécurité de l'utilisateur connecté (option
de stratégie utilisateur) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
g. Supprimer l'élément lorsqu'il n'est plus appliqué . . . . . . . . . . . . . . . . . . . . . . . 460
h. Appliquer une fois et ne pas réappliquer . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
i. Ciblage au niveau de l'élément de Préférences. . . . . . . . . . . . . . . . . . . . . . . 461
j. Utilisation des variables au sein de l'éditeur de cibles . . . . . . . . . . . . . . . . . . . 462
k. Suivi de l'exécution des Préférences des stratégies de groupe . . . . . . . . . . . . . 462
B. Création et configuration d'objets stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . 464
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
2. Stratégies de groupe et relation avec les technologies . . . . . . . . . . . . . . . . . . . . 464
3. Que contient une stratégie de groupe ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
a. Modèles administratifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
b. Règles de sécurité pour les ordinateurs et modèles de sécurité . . . . . . . . . . . . 467
c. Gestion des applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
d. Gestion de l'exécution des scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
e. Gestion des services d'installation à distance RIS. . . . . . . . . . . . . . . . . . . . . . . 475
f. Gestion des paramètres de configuration et de sécurité d'Internet Explorer. . . . 476
g. Redirection des dossiers utilisateurs (dossiers spéciaux) . . . . . . . . . . . . . . . . . . 478
h. Qu'est-ce qu'une stratégie de groupe ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
i. Qu'est-ce qu'une stratégie locale ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
4. Structure physique d'une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
a. Objet Conteneur de Stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
b. Modèle de la stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
c. Composants d'une stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
d. Modèles de stratégie de groupe ADMX pour Windows Vista et Windows 7 . . . . 486
e. Création du "Central Store" au sein du SYSVOL . . . . . . . . . . . . . . . . . . . . . . . . 490
f. Recommandations sur l'administration des GPO en environnement
Windows Vista/Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
5. Application des stratégies de groupe dans l'environnement Active Directory . . . . . 492
a. Application à l'aide du modèle S,D,OU et ordre de traitement. . . . . . . . . . . . . 492
b. Domaines Active Directory et domaines NT : L, S, D, OU et 4, L, S, D, OU . . . . . 494
c. Liaisons des stratégies de groupe sur les objets Sites, Domaine
et Unités d'organisation et de l'héritage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
d. Liaisons et attribut gPLink . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
e. Sélection du contrôleur de domaine préféré . . . . . . . . . . . . . . . . . . . . . . . . . 496

6. Création d'une stratégie de groupe avec les outils Active Directory. . . . . . . . . . . . 498
a. Utilisation de la console de gestion MMC Utilisateurs et ordinateurs
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
b. Utilisation de la console de gestion MMC "Sites et services Active Directory" . . . 499
7. Création d'une stratégie de groupe avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . 499
a. Création d'une stratégie de groupe non liée . . . . . . . . . . . . . . . . . . . . . . . . . 500
b. Création d'une stratégie de groupe liée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
c. Gestion des liens de stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
d. Suppression d'une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
e. Désactivation d'une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
8. Administration du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
a. Gestion des conflits de traitement des stratégies de groupe . . . . . . . . . . . . . . 501
b. Gestion du filtrage du déploiement des stratégies de groupe . . . . . . . . . . . . . 503
c. Points importants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
d. Définition de filtres WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
C. Configuration des paramètres d'actualisation des stratégies de groupe . . . . . . . . . . 508
1. Rafraîchissement des stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
a. Rafraîchissement des stratégies en tâche de fond . . . . . . . . . . . . . . . . . . . . . 508
b. Cycle de rafraîchissement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
c. Rafraîchissement à la demande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
2. Configuration de la fréquence de rafraîchissement des stratégies de groupe . . . . 509
3. Rafraîchissement à l'aide de Gpupdate.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510
4. Traitement des composants des stratégies de groupe sur les liaisons lentes . . . . . . 511
a. Traitement des paramètres de stratégie de groupe non modifiés . . . . . . . . . . 511
b. Activation de la détection de liens lents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
c. Forçage de l'application des paramètres de stratégie même lorsqu'ils
n'ont pas changé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
5. Interdiction du rafraîchissement pour les utilisateurs . . . . . . . . . . . . . . . . . . . . . . . 514
6. Traitement par boucle de rappel (Loopback) . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
D. Gestion des stratégies de groupe à l'aide de la GPMC . . . . . . . . . . . . . . . . . . . . . . 516
1. Opération de sauvegarde et restauration des stratégies de groupe . . . . . . . . . . . 516
2. Opération de copie de stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
3. Opération d'importation des paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
a. Pourquoi utiliser la fonctionnalité d'importation de la GPMC ? . . . . . . . . . . . . . 519
b. Utilisation d'une table de correspondances entres les objets

de différents domaines ou forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
E. Vérification et résolution des problèmes liés aux stratégies de groupe avec RsoP . . . 520
F. Délégation du contrôle administratif sur les stratégies de groupe . . . . . . . . . . . . . . . 520
1. Accorder une délégation via le groupe "Propriétaires créateurs
de la stratégie de groupe" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
2. Accorder une délégation à l'aide de la console de gestion GPMC . . . . . . . . . . . 522
a. Accorder une délégation de liaison des stratégie de groupe . . . . . . . . . . . . . 522
b. Accorder une délégation de modélisation des stratégie de groupe. . . . . . . . . 523
Examen 70-640
c. Accorder une délégation de création des filtres WMI . . . . . . . . . . . . . . . . . . . 523

G. Recommandations pour la définition d'une stratégie de groupe pour l'entreprise . . . 524
1. Création des stratégies de groupe à l'aide des outils d'administration standards . . 533
2. Modification d'un objet stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
3. Création d'une stratégie liée à un site, un domaine ou une OU . . . . . . . . . . . . . . 535
4. Installation de la Console de Gestion des Stratégies de groupe et autres outils . . . 535
5. Création, liaison et suppression d'une stratégie de groupe
dans le conteneur de stratégie avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . 537
6. Modification d'une stratégie de groupe avec la GPMC . . . . . . . . . . . . . . . . . . . . 537
7. Délégation de la création d'un objet stratégie de groupe avec la GPMC . . . . . . . 538
8. Délégation de la création des scripts WMI avec la GPMC . . . . . . . . . . . . . . . . . . 538
9. Ajout/suppression des liaisons sur les objets sites, domaine et OU avec la GPMC . . 538
10. Créer un filtrage à l'aide du droit AGP avec la GPMC . . . . . . . . . . . . . . . . . . . . . 539
11. Créer un filtrage à l'aide d'un filtre WMI avec la GPMC . . . . . . . . . . . . . . . . . . . . 539
12. Exemples, modèles de filtres WMI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
13. Blocage de l'héritage sur les objets sites, domaines et OU avec la GPMC . . . . . . . 541
14. Utilisation de l'option "Appliqué" avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . 541
15. Rafraîchissement manuel des stratégies sur les postes Windows 2000 . . . . . . . . . . 542
16. Rafraîchissement des stratégies sur les postes Windows XP, Windows
Server 2003, Windows Vista, Windows 7, Windows Server 2008 et R2 . . . . . . . . . . . 542
17. Utilisation du mode Résultats de stratégie de groupe
à l'aide du protocole RSoP avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
18. Utilisation du mode Modélisation de stratégie de groupe
à l'aide du protocole RSoP avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
19. Utilisation de la commande Gpotool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
20. Utilisation de la commande Gpresult . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
21. Procédure de sauvegarde des stratégies avec la GPMC . . . . . . . . . . . . . . . . . . . 546
22. Procédure de restauration des stratégies avec la GPMC . . . . . . . . . . . . . . . . . . . 546
23. Automatisation des sauvegardes à l'aide d'un script livré avec la GPMC . . . . . . . . 547
24. Copie des stratégies de groupe avec la GPMC . . . . . . . . . . . . . . . . . . . . . . . . . 548
25. Création d'une stratégie de groupe pour configurer l'environnement utilisateur . . . 548
26. Configuration des mises à jour automatiques pour des clients réseau
via une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
27. Création d'une stratégie de groupe pour configurer les paramètres ordinateurs . . . 557
Chapitre 12
Déploiement et gestion des logiciels à l'aide des stratégies de groupe
A. Introduction à la gestion des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
1. IntelliMirror et la gestion des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
2. Le cycle de vie du logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566

B. Déploiement de logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568

1. Les différentes étapes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
a. Disposer d'un package MSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
b. Déployer le logiciel : Distribution et Ciblage . . . . . . . . . . . . . . . . . . . . . . . . . . 569
c. Assurer la maintenance du logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
d. Supprimer le logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
2. Technologie Windows Installer et types de Packages . . . . . . . . . . . . . . . . . . . . . . 572
a. Logiciels au format Microsoft Windows Installer . . . . . . . . . . . . . . . . . . . . . . . . 572
b. Applications repackagées en format MSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
c. Fichiers .Zap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
d. Remarques générales concernant les différents types de formats d'installation . 576
C. Configuration du déploiement des logiciels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
1. Création d'un nouveau déploiement d'applications. . . . . . . . . . . . . . . . . . . . . . . 577
a. Création ou modification d'une stratégie de groupe. . . . . . . . . . . . . . . . . . . . 577
b. Configuration des options de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . 580
c. Association des extensions de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
d. Création des catégories des applications publiées . . . . . . . . . . . . . . . . . . . . . 582
D. Maintenance des logiciels déployés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
1. Mise à niveau des applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
2. Déploiement des Services Packs et mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . 585
3. Suppression des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586
E. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
F. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
1. Publication d'une application à l'aide des stratégies de groupe . . . . . . . . . . . . . . 589
2. Affectation (Attribution) d'une application à l'aide des stratégies de groupe. . . . . . 590
3. Passage des patchs et redéploiement d'une application. . . . . . . . . . . . . . . . . . . 591
4. Configuration d'un point de distribution DFS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592
5. Suppression d'une application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593
6. Activation des diagnostics avancés de Windows Installer . . . . . . . . . . . . . . . . . . . 593
Chapitre 13
Maintenance d'une infrastructure Active Directory
A. Maintenance Active Directory avec Windows Server 2008 et 2008 R2 . . . . . . . . . . . . 598
B. Introduction à la maintenance Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599

1. À propos du moteur de base de données ESE . . . . . . . . . . . . . . . . . . . . . . . . . . 600
a. Mise en cache et points importants. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600
b. Fichiers utilisés par ESE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
c. Nouvelle structure de fichiers Active Directory de Windows Server 2008
et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
C. Opérations de maintenance Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
2. Pourquoi est-il nécessaire de défragmenter ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 604
Examen 70-640
3. Comment défragmenter ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604

a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604
b. Pourquoi effectuer une défragmentation hors connexion ? . . . . . . . . . . . . . . . 604
c. Procédure de défragmentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604
4. Pourquoi déplacer la base de données et les fichiers journaux ? . . . . . . . . . . . . . 606
5. Comment déplacer la base de données ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606
D. Sauvegarde de l'annuaire Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
2. Pourquoi est-il vital de réaliser une sauvegarde ?. . . . . . . . . . . . . . . . . . . . . . . . . 607
3. État du système (System State) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
4. Procédure de sauvegarde de l'Active Directory avec Windows Server 2003 . . . . . . 609
E. Restauration de l'annuaire Active Directory avec Windows Server 2003 . . . . . . . . . . . 610
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
2. Méthodes de restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
a. Importance de la durée de vie des objets de désactivation . . . . . . . . . . . . . . 612
3. Comment exécuter une restauration en mode principal
pour Windows Server 2003 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
4. Comment exécuter une restauration normale pour Windows Server 2003 . . . . . . . 613
5. Comment exécuter une restauration forcée avec Windows Server 2003 ? . . . . . . . 614
F. Outils et méthodes de Sauvegarde de Windows Server 2008 et 2008 R2 . . . . . . . . . . 614
1. Opérations prises en charge par l'outil Sauvegarde de Windows Server . . . . . . . . . 615
2. À propos des droits de sauvegarde et restauration et de NTBackup 2003 . . . . . . . 615
3. Nouvelles fonctionnalités de Sauvegarde de Windows Server . . . . . . . . . . . . . . . . 615
4. Différences entre NTBackup et Sauvegarde de Windows Server. . . . . . . . . . . . . . . 616
5. Installation de l'outil Sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . . . . . 617
6. Nouvelles fonctionnalités de l'outil Sauvegarde de Windows Server . . . . . . . . . . . . 619
a. Composants Windows et opérations de sauvegardes . . . . . . . . . . . . . . . . . . . 619
b. Outil Sauvegarde de Windows Server, support de VSS et performances . . . . . . 619
c. Sauvegardes locales et clichés instantanés du support de sauvegarde VHD. . . 620
d. Sauvegarde sur le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
e. Sauvegardes sur DVD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
f. Sauvegardes de type Etat du système en ligne de commande . . . . . . . . . . . 622
g. Sauvegarde d'un serveur via la console MMC . . . . . . . . . . . . . . . . . . . . . . . . 624
h. Sauvegarde d'un serveur en ligne de commande . . . . . . . . . . . . . . . . . . . . . 626
G. Opérations de sauvegarde et restauration Active Directory
avec Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . 627
1. Récupération complète du système d'exploitation Windows Server 2008 . . . . . . . . 627
a. Restauration à l'aide de l'environnement de récupération WinRE . . . . . . . . . . . 627
2. Récupération de l'état système d'un contrôleur de domaine
Windows Server 2008 ou 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
a. Clichés instantanés de la base Active Directory et consultation des données
via l'outil Active Directory Database Mounting Tool - DMT . . . . . . . . . . . . . . . . . 632
H. Sauvegarde et restauration AD DS - Bonne pratiques . . . . . . . . . . . . . . . . . . . . . . . . 634

I. Nouveaux paramètres de GPO pour les opérations de sauvegarde

de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
J. Maintenance de l'annuaire Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636
1. Définir une politique de surveillance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636
2. Outils utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637
a. L'observateur d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637
b. L'analyseur de performances et le moniteur de fiabilité et de performances . . 639
c. Journaux de surveillance et de traçage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644
3. Événements à auditer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
a. Événements réseaux des contrôleurs de domaine . . . . . . . . . . . . . . . . . . . . . 645
b. Événements de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
c. Événements d'authentification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
4. Compteurs de performance à contrôler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
a. Compteurs de performance pour le contrôle de la quantité de données
répliquées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
b. Compteurs de performance pour le contrôle des fonctions
et services principaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
c. Compteurs de performance de contrôle des volumes de sécurité principaux . 647
d. Compteurs de performance pour le contrôle des principaux indicateurs
du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647
5. Usage des bonnes pratiques pour surveiller Active Directory . . . . . . . . . . . . . . . . . 648
K. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
L. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
1. Déplacement des fichiers de base de données Active Directory
de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
2. Réalisation d'une défragmentation hors ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
3. Vérification de l'intégrité de la base de données Active Directory
de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
4. Modification du mot de passe du compte Administrateur
de réparation d'urgence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
5. Sauvegarde System State régulière de l'Active Directory . . . . . . . . . . . . . . . . . . . . 656
6. Restauration forcée de la base Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . 656
7. Surveillance des réplications Active Directory et FRS . . . . . . . . . . . . . . . . . . . . . . . 657
8. Installation des fonctionnalités de Sauvegarde
de Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . 659
9. Installation des fonctionnalités de Sauvegarde de Windows Server 2008

ou Windows Server 2008 R2 à l'aide de la ligne de commande . . . . . . . . . . . . . . 659
10. Sauvegarde des volumes critiques à l'aide de l'outil Sauvegarde
de Windows Server 2008 ou Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . 660
11. Sauvegarde de type Etat du système d'un contrôleur de domaine
à l'aide de la ligne de commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
12. Sauvegarde complète d'un contrôleur de domaine via l'interface graphique . . . . 661
13. Sauvegarde complète d'un contrôleur de domaine via la ligne de commande . . 662
Examen 70-640
14. Récupération complète d'un contrôleur de domaine via l'environnement

WinRE de Windows Server 2008 ou Windows Server 2008 R2 . . . . . . . . . . . . . . . . . 663
15. Récupération complète d'un contrôleur de domaine via la ligne
de commande de Windows Server 2008 ou Windows Server 2008 R2 . . . . . . . . . . 664
16. Gestion des clichés instantanés sur la base de données Active Directory . . . . . . . 665
17. Planification d'un cliché instantané automatique . . . . . . . . . . . . . . . . . . . . . . . . . 666
18. Montage d'un cliché instantané en dynamique via DSAMAIN . . . . . . . . . . . . . . . . 666
19. Accès aux données Active Directory stockées dans un cliché instantané . . . . . . . 667
Chapitre 14
Configuration des rôles de serveurs avec les services AD
A. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
1. Services d'annuaire de Windows 2000 Server et services associés . . . . . . . . . . . . . 671
2. Services d'annuaire de Windows Server 2003 et services associés . . . . . . . . . . . . . 672
3. Services d'annuaire de Windows Server 2003 R2 et services associés. . . . . . . . . . . 674
4. Services d'annuaire de Windows Server 2008 R2 et services associés. . . . . . . . . . . 675
B. Nouvelles fonctionnalités des services de domaine AD DS
de Windows Server 2008 et Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . 676
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
2. Rôle contrôleur de domaine et mode Server Core . . . . . . . . . . . . . . . . . . . . . . . 676
a. À propos du mode Server Core. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
b. Limitations d'une installation en mode Server Core . . . . . . . . . . . . . . . . . . . . . 678
c. Server Core et rôles Windows Server 2008 ou Windows Server 2008 R2 . . . . . . . 678
d. Installation de Windows Server 2008 en mode Server Core . . . . . . . . . . . . . . . 679
e. Installation d'un contrôleur RODC en mode Server Core . . . . . . . . . . . . . . . . . 684
3. Rôle de contrôleur de domaine en mode lecture seule . . . . . . . . . . . . . . . . . . . 686
a. Sécurisation des mots de passe sur les contrôleurs RODC . . . . . . . . . . . . . . . . 687
b. Réplication des mots de passe sur les contrôleurs RODC. . . . . . . . . . . . . . . . . 689
c. Pré-remplissage des mots de passe sur un contrôleur en lecture seule . . . . . . . 691
d. Conditions requises pour déployer un contrôleur en mode lecture seule
(RODC) et limitations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
4. Pourquoi et comment évoluer vers le niveau fonctionnel de domaine
Windows Server 2008 et 2008 R2 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
5. Gestion des stratégies de mot de passe granulaires . . . . . . . . . . . . . . . . . . . . . . 695
6. Service d'audit Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
7. Protection des objets Active Directory contre l'effacement . . . . . . . . . . . . . . . . . . 703
C. Active Directory Certificate Services (AD CS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
1. Introduction aux infrastructures à clés publiques (PKI) . . . . . . . . . . . . . . . . . . . . . . 705
2. Les différents types de certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
b. Nature et contenu d'un certificat numérique . . . . . . . . . . . . . . . . . . . . . . . . . 709
c. Certificats X.509 version 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
d. Certificats X.509 version 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713

e. Certificats X.509 version 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713

3. Les certificats et l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
a. Relation entre les certificats et les authentifications . . . . . . . . . . . . . . . . . . . . . 721
b. Cadre d'utilisation des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722
c. Utilisation des certificats numériques en entreprise . . . . . . . . . . . . . . . . . . . . . 728
d. Certificats Utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729
e. Certificats pour les Ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
f. Certificats pour les Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
4. Stockage des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
b. Stockage des certificats et interface CryptoAPI . . . . . . . . . . . . . . . . . . . . . . . . 732
c. Affichage des certificats : Magasin logique et magasin physique . . . . . . . . . . 733
d. Archivage local des certificats expirés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734
e. Structure de rangement du magasin de certificats logique . . . . . . . . . . . . . . . 734
f. Origine des certificats stockés dans les magasins . . . . . . . . . . . . . . . . . . . . . . 736
g. Protection et Stockage des Clés Privées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736
5. Console de gestion MMC des certificats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
6. Nouvelle interfaces cryptographiques de Windows 7 et Windows Server 2008 R2 . . 738
a. Interface CNG (Cryptographic API Next Generation) . . . . . . . . . . . . . . . . . . . . 738
7. Services de certificats de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . 739
a. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
b. Pourquoi utiliser une PKI Microsoft Windows Server plutôt qu'une autre ? . . . . . . 740
c. Importance de l'Architecture d'une infrastructure à clés publiques . . . . . . . . . . 742
8. Nouveautés apportées par les Autorités Windows Server 2008 et 2008 R2 . . . . . . . 742
a. Nouveau composant MMC PKI d'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . 743
b. Enrôlement pour les périphériques réseau à l'aide du protocole MSCEP . . . . . . 744
c. Évolution des méthodes d'enrôlement Web avec AD CS . . . . . . . . . . . . . . . . . 750
d. OCSP et paramètres de validation du chemin d'accès. . . . . . . . . . . . . . . . . . 753
9. Nouveautés apportées par les Autorités de certification Windows Server 2008 R2 . . 761
a. Amélioration des bases de données des autorités de certification
devant gérer de grands volumes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761
b. Nouveau service Web Inscription de certificats . . . . . . . . . . . . . . . . . . . . . . . . 762
c. Support de l’enrôlement des certificats entre les forêts . . . . . . . . . . . . . . . . . . 762
D. Active Directory Federation Services (AD FS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763
1. Concepts fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763

2. AD FS : Nouveautés apportées par Windows Server 2008
3. Installation du rôle AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765
4. Références pour AD FS avec Windows Server 2008 et Windows Server 2008 R2 . . . 768
5. À propos des différentes versions d'AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768
E. Active Directory Lightweight Directory Services (AD LDS) . . . . . . . . . . . . . . . . . . . . . . 768
2. AD LDS : Nouveautés apportées par Windows Server 2008 et 2008 R2. . . . . . . . . . 769
Examen 70-640
3. Installation du rôle AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770

4. Références pour AD LDS avec Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . 780
5. Nouveautés apportées pour Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . 780
F. Active Directory Rights Management Services (AD RMS) . . . . . . . . . . . . . . . . . . . . . . 780
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
3. AD RMS : Nouveautés apportées par Windows Server 2008 . . . . . . . . . . . . . . . . . 782
4. Installation du rôle AD RMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783
5. Validation du bon fonctionnement de la plate-forme RMS . . . . . . . . . . . . . . . . . . 791
6. Références pour AD RMS avec Windows Server 2008 et Windows Server 2008 R2 . . 797
7. Nouveautés de Windows Server 2008 R2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
G. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
H. Travaux pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
1. Affichage du certificat local d'un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
2. Exportation d'un certificat local avec sa clé privée . . . . . . . . . . . . . . . . . . . . . . . 804
3. Exportation d'un certificat stocké dans Active Directory. . . . . . . . . . . . . . . . . . . . . 805
4. Étapes de configuration de l'inscription automatique . . . . . . . . . . . . . . . . . . . . . . 805
5. Création d'une autorité racine d'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806
6. Activation de l'inscription automatique des certificats ordinateur . . . . . . . . . . . . . . 806
7. Activation de l'inscription automatique des certificats utilisateur . . . . . . . . . . . . . . 807
8. Mise en place de l'authentification par carte à puce (Modèles V2) . . . . . . . . . . . 807
9. Mise en place de l'authentification par carte à puce
pour Windows Vista ou Windows 7 à l'aide des modèle V3 . . . . . . . . . . . . . . . . . . 809
10. Déploiement d'un contrôleur de domaine RODC . . . . . . . . . . . . . . . . . . . . . . . . 810
11. Déploiement d'une stratégie de mot de passe affinée et
d'une configuration du verrouillage des comptes via la console ADS Edit . . . . . . . 811
12. Déploiement d'une stratégie de mot de passe affinée
et d'une configuration du verrouillage des comptes via LDIFDE. . . . . . . . . . . . . . . 813
13. Application d'une stratégie de mot de passe affinée sur des utilisateurs
et des groupes globaux de sécurité à l'aide de la commande LDIFDE . . . . . . . . . 814
14. Activation des fonctionnalités d'audit de Windows Server 2008
ou Windows Server 2008 R2 via les Stratégies d'audit granulaire
(GAP - Granular Audit Policy) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
Tableau des objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823

Table Des Matieres

Transféré par

Droits d'auteur :

Formats disponibles

Table Des Matieres

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Table Des Matieres

Transféré par

Droits d'auteur :

Formats disponibles

Table des matières Page 1

DNS : concepts, architecture et administration

B. Structure de l'espace DNS et hiérarchie des domaines. . . . . . . . . . . . . . . . . . . . . . . . 56

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

4. Utilisation des journaux de débogage DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

6. Création d'un nouveau sous-domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

7. Autorisations des transferts de zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

b. Structure de la forêt et approbations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299

2. Préparation de l’infrastructure Active Directory pour Windows Server 2008

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

B. Définition d'une structure d'unités d'organisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

6. Gestion des liens intersites et des coûts de réplication . . . . . . . . . . . . . . . . . . . . . 373

h. Définition du générateur de topologie intersites . . . . . . . . . . . . . . . . . . . . . . . 380

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

5. Bonnes pratiques pour déterminer le positionnement des catalogues globaux . . . 419

de groupe de Windows Server 2008 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448

5. Nouvelles préférences des stratégies de groupe de Windows Server 2008 R2 . . . . 453

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

b. Utilisation d'une table de correspondances entres les objets

c. Accorder une délégation de création des filtres WMI . . . . . . . . . . . . . . . . . . . 523

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

B. Déploiement de logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568

B. Introduction à la maintenance Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599

3. Comment défragmenter ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

I. Nouveaux paramètres de GPO pour les opérations de sauvegarde

9. Installation des fonctionnalités de Sauvegarde de Windows Server 2008

14. Récupération complète d'un contrôleur de domaine via l'environnement

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

e. Certificats X.509 version 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713

1. Concepts fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763

3. Installation du rôle AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770

Tableau des objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817

Windows Server 2008 et 2008 R2 - Configuration d'une infrastructure Active Directory

Vous aimerez peut-être aussi