operation on active directory - portfolio gary angele -...
TRANSCRIPT
Operation on Active Directory
Angele Gary 12/11/2014
Sommaire
Contexte..........................................................................................................................................2
Installation.......................................................................................................................................3
Installation de l'active directory.......................................................................................................9
Configuration du serveur...............................................................................................................13
Présentation MMC.........................................................................................................................14
Installation Windows 7 (64 bit) :....................................................................................................14
Installation de l’outil d’administration distant...............................................................................17
exécuter la console MMC :............................................................................................................19
Réplication :...................................................................................................................................22
PowerShell Gestion à Distance...................................................................................................22
Introduction...........................................................................................................................22
Entre deux ordinateurs du domaine......................................................................................23
1) Implémentation d’un jeu d’essai :........................................................................................24
2) Sauvegarde de l’annuaire :...................................................................................................25
Sauvegarde :..................................................................................................................................28
GPO................................................................................................................................................31
Lancement de la commande..................................................................................................36
Page 1
Contexte
Votre société de service (SSII Capgemini) a signé, il y a un an, un contrat d’IT en infogérance de l’infrastructure micro chez Schneider Electric. C’est le premier contrat que votre société signe avec un grand compte. C’est dire son importance. Le contrat d’IT en infogérance de l’infrastructure serveurs, actuellement détenu par un concurrent, arrive bientôt à échéance. Un premier ballon
d’essai est lancé par la DSI de Schneider Electric qui souhaite que votre société lui présente un prototype d’exploitation de son Active Directory. Schneider Electric emploie plus de 140 000 salariés sur les 5 continents. Ce projet capital vous est confié.
http://www2.schneider-electric.com/sites/corporate/fr/groupe/rapportannuel-
2012/rapport-strategie-et-developpement-durable.page
Contraintes fonctionnelles
Le prototype d’infrastructure permet de démontrer :
1. La continuité de service de l’annuaire même si un serveur s’arrête brutalement.
2. La reprise sur incident en moins d’une heure dans le cas où les services annuaires des deux serveurs tombent brutalement et durablement hors d’usage.
3. L’audit et la supervision de l’AD
4. Le reporting et les statistiques de l’AD
Contraintes techniques
Schneider Electric souhaite optimiser l’utilisation de ses ressources serveurs en mutualisant l’interface d’administration et en supprimant le module GUI sur les serveurs eux-mêmes.
Le prototype sera implémenté sous Windows 2008 R2 en mode core administré à distance.
La console d’administration sera implémentée sous Windows 7 :En interface graphique via la MMC pour les opérations courantes et ponctuelles d’administration.
En interface caractère via le Remote Powershell pour une administration plus pointue ou des traitements par lots automatisés.
Le prototype présente un jeu d’essai représentatif des contraintes de volume du groupe Schneider : plusieurs centaines d’UO et plus de 140 000 salariés.
http://korben.info/un-generateur-de-donnees-pour-remplir-vos-bases.html
http://www.generatedata.com/#generator
http://jchambon.fr/Textes/XL_Jeuessai.pdf
Page 2
Installation
Windows 2008 R2 Mode Core
Depuis les tout débuts de Microsoft Windows, les serveurs inclus généralement tous types de services dont certains ne sont guère nécessaires ou que vous n’utiliserez jamais dans votre parc réseau.
Prenons par exemple Windows Server 2003 (Non Core), lorsque vous l’installez, des services sont préinstallés (comme le Service d’accès distant RRAS) sur votre serveur alors que vous n’en avez peut-être pas besoins. Depuis, Windows Server 2008 propose différentes installations évitant la pré-installation de divers services et/ou qui n’ont pas de rapports avec ce que vous désirez. De plus, Windows Server 2008 a d’ailleurs intégré Windows Server Core.
Microsoft a intégré Windows Core pour justement « éliminer » des services et des caractéristiques qui peuvent être conçu comme polluantes sur des serveurs. Des services comme le DNS (Service des Noms de Domaines) ne nécessitent pas obligatoirement de l’explorer.exe de Windows, l’installation en ligne de commandes est d’ailleurs simplifiée et vous pouvez aisément gérer chaque aspect du DNS via le terminal. Il est d’ailleurs conseillé d’utiliser en compléments le Microsoft Management Console (MMC), lors de l’utilisation d’un serveur Core.
Le but d’un Serveur Windows Core est de pouvoir administrer un serveur avec une configuration matérielle minime. A cela il faut ajouter que Windows Server Core est surtout conçu pour la mise en place d’Active Directory, de DNS, de DHCP, de fichiers d’impression et de d’autres services (très peu connus). Windows Server Core est donc un serveur minimal qui prend en charge un nombre limités de services (rôles) et de fonctionnalités.
Les différentes versions de Windows Server prenant en charge le mode Core
Page 3
Les outils existants et non existants en mode core
En mode Core, comme dis précédemment, il s’agit d’un serveur « minimal » qui possède alors le moins possibles de software installés :
Les services/softwares très connus/utilisés en versions non core non présents :
Le service explorer.exe permettant l’affichage du bureau et des fenêtres (thèmes). Toutes les consoles de contrôles à distances (bureau à distance) Le panneau de configurations et toutes les fonctionnalités de configurations Tous les langages hypertextes (incluant les navigateurs internet) Mail Windows Windows Media Player Et plus comme Wordpad… Paint… La calculatrice…
Installation de Windows 2008 R2 Mode Core
Page 4
L’installation du serveur va se terminer une fois ces quelque opérations terminer .
Comme dans chaque version de Windows il faut identifier, Il faut s’authentifier avec le compte administrateur et sans mot de passe.Une fois fait Windows nous demande de changer le mot de passe pour la première utilisation
Il ne faut pas oublier de mettre au minimum une MAJUSCULE, un chiffre (0~9) et des lettres minuscules, afin d’avoir un mot de passe sécuriser.
Page 5
Page 6
Installation vmwarestools
Pourquoi installer vmwares tools
Installer vmwares Tools permet d’améliorer les performances mais aussi une meilleure interaction entre la machine virtuelle et l’hôte.
Même si Windows Server 2008 Core fonctionne avec une invité de commande, il est possible d'exécuter l'installation des VMware Tools en mode graphique.
Dans le logiciel VMware Workstation, cliquez sur le menu VM / Install VMware Tools. Cela monte le disque VMware Tools sur le lecteur de CD-ROM virtuel.
Puis connecter vous connecter en tant qu'Administrateur du serveur.
Vous avez alors accès à l'invité de commande de Windows Server 2008 Core. Dans celui, taper la commande suivante :
C:\Users\Administrateur>D:D:\>setup.exeD:\>
Page 7
Vous devez alors réduire l'invité de commande pour faire apparaitre l'assistant d'installation. Vous devez le suivre et redémarrer le serveur pour terminer l'installation.
Bienvenue sur le mode CORE de Windows. Sur cette version de windows tous ce fait en ligne de commande, dans une console CMD.
Page 8
Dans la cmd on tape sconfig afin d’accéder à cette interface qui nous permet de faire diverse chose sur le server
Dans sconfig on tape 8 afin accéder aux configurations réseaux et puis 0 pour accéder à l’adresse qui nous intéresse
On accède a la configuration par défaut on tape 1 afin de définir l’adresse ip puis S pour statique par la suite on entre notre adresse ip et notre masque par défaut
Page 9
Comme on peut le voir sur la photo on active les MMC qui permet de gére le serveur a distance
Ensuite nous allons activer powershell, sans quoi l’option 3 ne peut pas être activée (car elle éxécute un script powershell), il vous sera demandé de redémarrer, faite le :
Page 10
Enfin, faite l’option « 3 » :
Très bien ! Désormais nous pouvons commencer à mettre en place notre Active Directory et le DNS de notre réseau !
Page 11
Installation de l'active directory
2.1. Qu’est-ce que Active Directory ?
Les services de domaine Active Directory (AD DS, Active Directory Domain Services) stockent les données d'annuaire et gèrent les communications entre les utilisateurs et les domaines, y compris les processus d'ouverture de session utilisateur, l'authentification et les recherches dans l'annuaire. Un contrôleur de domaine Active Directory est un serveur qui exécute les services de domaine Active Directory.
2.2. Qu’est-ce que DNS (Domain Name Server) ?
DNS (Domain Name System) est un système d’appellation d’ordinateurs et de services réseau organisé selon une hiérarchie de domaines. Les réseaux TCP/IP tels qu’Internet utilisent DNS pour localiser des ordinateurs et des services par le biais de noms conviviaux.
Pour faciliter l’utilisation des ressources réseau, des systèmes de noms tels que DNS permettent d’établir une correspondance entre le nom convivial d’un ordinateur ou d’un service et d’autres informations associées à ce nom, comme une adresse IP. Un nom convivial est plus simple à retenir que les adresses numériques qui sont utilisées par les ordinateurs pour communiquer sur un réseau. La plupart des utilisateurs préfèrent recourir à un nom convivial (par exemple, ventes.fabrikam.com) pour trouver un serveur de messagerie ou un serveur Web sur un réseau, plutôt qu’à une adresse IP telle que 157.60.0.1. Lorsqu’un utilisateur entre un nom DNS convivial dans une application, les services DNS résolvent le nom en son adresse numérique.
Page 12
Créer un fichier de réponse
L'installation de l’active directory sur le serveur 2k8 nécessitera l'utilisation d'un fichier réponsePour ce faire on va créez un fichier nomdeficher.txt contenant l'un des modèles de fichiers réponses présentés ci-après.Vous pouvez créer ce fichier depuis la ligne de commande de Server Core en utilisant l'outil notepad
Dans la console on tape la commande notepad afin d’ouvrir le bloc note ,dans le bloc note on ouvre le fichier .txt qui s’appelle unattend.txt
Page 13
Pour installer le rôle Contrôleur de Domaine, il faut utiliser un fichier réponse. Nous utiliserons ici un fichier réponse puis un script d'installation pour la mise en place du Contrôleur de Domaine Secondaire (AD répliqué).
Il s’agit là de la grande différence par rapport à une installation standard (avec GUI) de Windows Server 2008 où tout s'installe graphiquement.
Ouvrez un notepad avec la commande "notepad" puis saisissez les informations suivantes :
Page 14
ReplicaOrNewDomain=Domain
NewDomain=forest
InstallDNS=yes
NewDomainDNSName=GAAN-Schneider.localadresse nom domaine
DomainNetbiosName= GAAN-Schneidernom du domaine
ForestLevel=4Le niveau du serveur 2k8
DomainLevel=4Le niveau du serveur 2k8
SiteName=site1nom du site
DatabasePath=%systemroot%\ntds
LogPath=%systemroot%\ntds
SYSVOLPath=%systemroot%\sysvol
SafeModeAdminPassword=280211MAMot de passe mode echec
RebootOnCompletion=Yes Redémarre après l’installation d’AD
Pour lancer le DCPROMO, entrez la commande suivante, toujours depuis l’invite de commande du Server Core.
dcpromo /unattend:C:\dcinstall.txt
Vérifier l’installationLorsque le redémarrage c’est fait, l’Active Directory est installé On tape la commande Oclist afin de liste les rôles
Le rôle suivant confirme de la présence de l’active Directory sur le server:
DirectoryServices-DomainController-ServerFoundation
Page 15
Sur l’AD1 on tape dans la console cmd sconfig puis 8 pour accéder au paramètre réseau puis 0pour choisir la carte réseau et on accède au paramètre de la carte réseau on tape 2 pour configure l’adresse du dns
Mise en place du contrôleur de domaine secondaire
Pour le contrôleur de domaine secondaire, nous allons virtuelle une seconde machine Windows Server 2008 R2 en mode Core.
Une fois l’installation arriver à son terme avec succès on procédé à sa configuration
start / w ocsetup DNS-Server-Core-Rôlepermet d’installer le dns sur le serveur répliquant
Page 16
Configuration du serveurOn modifie le nom du serveur et on le rentre dans notre domaine :
A l’aide de sconfig :
Remarque : il est possible de changer le nom netbios via la ligne de commande
On procède à la configuration des paramètres réseaux :
Il fautsélectionnés l'option 8 puis renseignez l'index de l'interface réseau à paramétrer qui dans notre cas sera 0 :
Puis sur le 1 pour définir l’adresseIP puis 2 pour configure les adresse DNS
Puis on tape 4 pour retourner au menu principal, On écrit de nouveau 4 afin accéder a la configuration de l’administration àdistance.
On tape 1 pour Autoriser l’administration a distance de MMC
Page 17
Une fois l’autorisation faite un msg apparaît pour nous dire que qu’une regle a été créé dans le part feu
On tape 3 pour autoriser l’administration à distance du gestionnaire de serveur
On autorise l'administration à distance du gestionnaire de serveur
Option 4 puis 3
Il est désormais possible de gérer le serveur à distance à l'aide des MMC (Microsoft Management Console) ou à partir d'autres solutions tels que PowerShell.
Présentation MMC
La Console MMC (Microsoft Management Console) contient et affiche les outils d’administration créés par Microsoft. Les outils disponibles dans la console MMC s’appellent des composants logiciels enfichables, et ils permettent de gérer les composants logiciels, matériels et réseau de Windows.
Installation Windows 7 (64 bit) :
On va installer Windows 7 professionnelle puis suivre les différentes indications pour l’installation
Page 18
On sélectionné sur quelle disque dur on va installer notre os
L’Installation de Windows ce déroule donc on ne touche a rien on laisse faire.
Une fois l’installation terminer on installe les VMware Tools .
Page 19
Il faut installer une nouvelle machine sur votre réseau dans notre cas sa sera une machine windows7 on va dans les paramètres IP puis on configure l’adresse IP de notre machine
Une fois la configuration réseau terminée, il faut contacterle domaine précédemment crééafin de lui demander approbation pour connecter notre machine windows 7
On clique sur la case domaine on entre le nom et le mon de passe administrateur afin de nous permettre d’obtenir approbation du serveur pour ajouter la machine
Page 20
Maintenant que l’on est dans le domaine il faut redémarrer l'ordinateur pour prendre en compte les modifications apportées.
Installation de l’outil d’administration distant
Il faut Ensuite télécharger l’outil d’administration à distance pour Windows 7à l’adresse suivant « http://www.microsoft.com/fr-fr/download/details.aspx?id=7887 »
Une fois le téléchargement terminer on lance exécutable.
Page 21
A la fin de la mise à jour aller sur Démarrer
Panneau de configuration
désinstallé des programmes
activer ou désactiver des programmes (cherchez votre outil d’administration de serveur a distant)
coché les services à installer puis cliquez sur « ok »
Page 22
Veuillez attendre l’installation des nouvelles fonctionnalités.
A la fin de l’installation aller sur démarrer puis outils d’administration pour vérifier si vous outils se sont bien installer
exécuter la console MMC :
Sur la station client (Windows7) tapez mmc
Il faut s’assurez-vous que l’on est connecté en tant que administrateur de domaine
Page 23
Sur la console mmc.exe aller sur fichier puis sur « ajouter/supprimer un composant logiciel enfichable.. »
Choisir les outils à administrer à distance
L'ajout du composant logiciel enfichable est maintenant terminé et on a accès a la gestion et l'administration des Utilisateurs et Ordinateurs Active Directory de notre domaine.
Page 24
Page 25
Réplication :Teste de réplication du domaine
PowerShell Gestion à Distance
Introduction
L’une des forces de Powershellest la gestion à distance de serveurs, de postes clients et d’applications . Communément appelée Remote Powershell, elle est apparue avec Powershell 2.0 et donc disponible à partir de Windows Server 2003 (R2) SP2. Cette fonctionnalité n’est pas activée par défaut sur les systèmes d’exploitation Windows hors Windows 2012 (R2).
Pour réaliser cette opération il faut lancer la commande suivante en mode administrateur :
Enable-PSRemoting
Dans la suite de la documentation , nous verrons comment se connecter à une machine (qu’elle soit dans le même domaine ou dans un workgroup)
Page 26
Entre deux ordinateurs du domaine
Il s’agit du cas le plus simple. Pour se connecter à une machine du même domaine, il suffit d’utiliser la commande suivante :
Enter-PSSession -ComputerName GAAN-2K8-AD1
Il est possible de spécifier l’utilisateur avec lequel on souhaite se connecter via le paramètre Credential :
Ainsi, une boite de dialogue s’ouvre et nus demande notre mot de passe.
Page 27
1) Implémentation d’un jeu d’essai :
On utilise un fichier csv génère auparavant contenant des nom utilisateurs
Voilà à quoi corresponds le fichier générer
Maintenant ce qu’il nous reste à faire c’est de créer notre script power Shell
Nos utilisateurs seront rajoutés dans notre Active Directory dans le groupe Test
Page 28
2) Sauvegarde de l’annuaire :
Avant toute chose il faut activer Windows Server Backup en tapant la commande suivante
Il conseiller de créer un deuxième disque dur pour la sauvegarde :
Sur notre serveur aller sur VCenter cliquez sur le nom de votre machine et modifier les paramètre laisser vous guider par les sreenshot
Page 29
Page 30
On vérifier que le disque dur a bien été ajouté au serveur en exécutent un DISKPART puis un list disk
On constate que le disque a bien été créé, qu’il est en ligne et qu’il porte le numéro 0.
On sélectionne le disque numéro 1 (créé précédemment)
On créer la partition du disque n°1 et on constate que la partition a bien été créée.
On sélectionne le volume n°3
On formate ensuite le volume au format de fichier NTFS et on lui attribue un nom de volume
Puis on lui assigne une lettre dans notre cas sa sera E
Page 31
Sauvegarde :
Tape wbadmin start systemstatebackup –backuptraget :e : pour lancé la sauvegarde
Maintenant il faut attendre que la sauvegarde soit fini
Page 32
Une fois terminer Vérification de la sauvegarde aller sur votre lecture disque et tape en tapant par exemple e:\
Page 33
Cryptage
Pour le cryptage on crée un fichier .bat contenant les information suivante
-f spécifie le fichier de sortie vers lequel le contenu de l’ad sera sauvegardé
-s spécifie le serveur sur lequel l’Active Directory est implémenté
-d spécifie le nom de domaine pleinement qualifié
-p spécifie l’arborescence a sauvegardée (subtree sauvegarde toute l’arborescence
Le fichier.bat une fois sauvegarder ressemble à cela.
On exécute le script :
Page 34
On vérifie que le fichier de sauvegardé a bien été créé :
La couleur verte du nom du fichier de sauvegarde indique que celui-ci est crypté.
On ouvre le fichier pour essayer de le lire :
On voie que le fichier a bien été crypte car on ne peut rien lire à l’intérieur on voie qu’une suite de lettre qui ne veulent rien dire .
GPO
Les stratégies de groupe sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe font partie de la famille des technologies IntelliMirror, qui incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection des dossiers ainsi que la gestion des fichiers en mode déconnecté. Les stratégies de groupe sont gérées à travers des objets de stratégie de groupe communément appelés GPO (Group Policy Objects).
Les entreprises utilisent les stratégies de groupe pour restreindre les actions et les risques potentiels comme le verrouillage du panneau de configuration, la restriction de l’accès à certains dossiers, la désactivation de l’utilisation de certains exécutables, etc.
Page 35
On ouvre exécuter et on tape gpmc.msc afin d’ouvrir l’éditeur de gestion des stratégies de groupe
Sur la capture d’ecran on voie les stratégie d’audit , Dans cette onglet on voie les différentes chose qui seront auditer lorsque l’on va lancer audit.
Page 36
L'onglet audit affiche le nom des utilisateurs et des groupes ayant des droits particuliers sur notre machine. Il est possible d'ajouter des membres à cette liste, d'en supprimer ou encore d'affiner ou de modifier les droits de ces membres en appuyant sur le bouton Avancé.
En appuyant sur le bouton avancé on accédé au choix des droit que l’on veut accorder au groupe tout le monde
Page 37
Pour accéder aux journaux d’événement avec LogParser, il faut créer 2 fichiers dans C:\InformationTechnologies\ActiveDirectory\Audit.
Dont un qui se présente sous cette forme dans notre cas il s’appelle logparser.spl
Ce fichier est la requête SQL que nous allons appliquer aux journaux d’événements de sécurité.
Dans cet exemple je dispose de 3 contrôleurs Active DirectoryFROM \\GAAN-2K8-AD1\security,\\GAAN-2K8-AD2\security l’accès de la requête aux contrôleurs de domaines s’effectue via la ligne
Page 38
Ce fichier est le « Template » il permet de structurer les réponses de LogParser dans un fichier au format HTML.
Grace à cette commande, nous disposons d’un rapport d’Audit simple et rapide à étudier.
Le logiciel LogParser vous permet de réaliser bien d’autres rapports d’audits sous plein d’autres formats. Cet outil n’est pas simple à prendre en main au début.
On va récupérer les ID 5136, 5137, 5139, 5139, 5141 grâce à l’instruction :
WhERE Eventid=5136 OR Eventid=5137 OR Eventid=5138 OR Eventid=5139 OR Eventid=5141
Page 39
Lancement de la commande
C:\Log-Parser-2.2\LogParser
-i:EVT file: C:\InformationTechnologies\ActiveDirectory\audit_ad.sql-o:TPL
-tpl: C:\InformationTechnologies\ActiveDirectory\Audit\audit_ad.tpl
-stats:off > C:\InformationTechnologies\ActiveDirectory\Audit_AD.HTML
Le résultat de la commande est un fichier HTML nommé Audit_AD.HTML
Grace à LogParser, vous disposez d’un rapport d’Audit simple et rapide
Conclusion :
Le logiciel LogParser vous permet de réaliser bien d’autres rapports d’audits sous plein d’autres formats.
En conclusion la réalisation d’un rapport d’audit au format html demande un peu d’utilisation de l’outil LogParser mais nous permettra de disposer d’informations simples à étudier afin de capitaliser et améliorer nos environnements.
Page 40
Bibliotheque :
http://msdn.microsoft.com/https://technet.microsoft.com/fr-fr/library/cc753802(v=ws.10).aspxhttp://fr.wikipedia.org/wiki/Windows_Server_2008
Page 41