Paul Jusot

Portfolio développeur

Contrôleur de domaine et Active Directory

Windows Server

Le système Windows Server embarquent de nombreux logiciels serveurs permettant:
 (DHCP, DNS, fichiers SMB, web, BDD, mises à jour de Windows, etc)

  1. de concevoir une infrastructure réseau (DHCP, DNS),
  2. de gérer les utilisateur, machines et ressources (Active Directory), c'est sur ce point que Windows Server se révèle incontournable.
  3. d'offrir des services réseau (partage de fichiers SMB, partage d'imprimantes, web IIS, base de données, mises à jour de Windows)

Contrôleur de domaine

Windows Server permet à une organisation de reproduire sa structure et sa hiérarchie au niveau de son système d'information. Il utilise un annuaire, l'Active Directory, contenant des utilisateurs, machines et ressources sur le réseau et les rassemble au niveau d'unités d'organisation (OU).

Les administrateurs peuvent ainsi attribuer des droits d'accès et des règles (GPO) au niveau des OU (les groupes d'utilisateurs sont des OU) et des dossiers (droits NTFS). On utilisera avantageusement la méthode AGDLP qui repose sur des droits attribués aux dossiers.

Noter qu'utiliser Windows Server ne dispense pas de concevoir son réseau de manière sécurisée à l'aide de sous-réseaux et de Vlans. L'Active Directory apporte également de la "sécurité" mais à un autre niveau.

En effet, on s'est apperçu en cours qu'un serveur DHCP doit être membre du domaine et être autorisé pour pouvoir fonctionner, empêchant les machines du réseau d'obtenir leurs configuration IP et DNS d'un intrus arrivant dans les locaux avec un PC portable et un cable ethernet.

Méthode AGDLP

Nous avons créé un contrôleur de domaine pour l'entreprise fictive Laser Informatique. Celle-ci comporte des sous-OU correspondant à des agences situées sur des lieu géographiques différents. Les utilisateurs sont placés dans des groupes en fonction du service dans lequel ils travaillent et de leur place dans la hiérachie.

AGDLP signifie Account, Global, Domain, Local et Permissions. Le principe est le suivant:

  • On n'attribue pas de droits aux utilisateurs un par un, ce serait trop fastidieux et source d'erreur.
  • On place les utilisateurs dans groupes globaux (direction, DSI, comptabilité, commerciaux...) puis on place ces groupes dans d'autres groupes: les groupes locaux (Rennes, Brest, Quimper).
  • Enfin on donne aux groupes locaux des droits NTFS sur les dossiers partagés (ou d'autres ressources).

La gestion devient aisée et très souple. Il est par exemple possible de créer un dossier accessible par tous les gens d'une agence ou bien par tous les gens du service comptabilité quelque que soit l'agence.

Partage Windows

Cette fonctionnalité existe dans toutes les versions de Windows et même sur Linux et ne nécéssite pas que les ordinateurs fassent partie d'un domaine. C'est toutefois ce dernier cas qui nous intéresse. Créons un dossier, supprimons tous les utilisateurs par défaut dans l'onglet "Sécurité", puis ajoutons les groupes de domaine qui seront autorisés à y accéder. Pour finir, déterminer si les groupes ont des droits de lecture, écriture, modification... Nous avons appliqué la méthode AGDLP.

La méthode AGDLP repose sur les droits NTFS pour des raisons de sécurité. En effet, les droits NTFS ont l'intérêt d'être plus précis et plus robustes que les règles appliquées aux partages réseaux.

Il s'agit du 3è onglet des propriétés d'un dossier, à ne pas confondre avec les règles de partage sur le 2è onglet.

GPO

Les stratégies de groupe (GPO) permettent de contrôler les utilisateurs et ordinateurs du domaine. Elles peuvent permettre à l'administrateur de choisir une politique de mots de passe (complexité, fréquence de renouvèlement) ou encore d'interdire aux élèves d'une école d'ouvrir le panneau de configuration sur des machines à vocation purement pédagogique.

Commes les partages de dossiers ou d'imprimantes, ces règles sont appliquées à des groupes de domaine au moment de la connexion et non au poste de travail lui-même.