Les groupes Active Directory

Sommaire

 

Continuer la lecture de « Les groupes Active Directory »

Changer un SID machine: NewSID vs. SYSPREP

Sommaire

 

 

Introduction : Qu’est ce qu’un SID ? Dans quel cas et pourquoi changer un SID ?

Le SID pour « security identifier » ou en français « identifiant de sécurité » est utilisé dans un environnement Microsoft NT  et est un identifiant unique attaché à une machine, un utilisateur ou un groupe de sécurité. Il doit être unique sous peine de rencontrer un jour ou l’autre des problèmes.  L’environnement Microsoft NT se base sur cette information pour autoriser ou non l’accès à des ressources local ou de l’annuaire d’où la nécessité de respecter ce principe d’unicité au sein d’un groupe de travail ou d’un domaine.

Le changement du SID s’applique généralement dans le cadre du déploiement d’images système au sein d’un groupe de travail (Workgroup) en particulier et  dans une moindre mesure dans une infrastructure Active Directory. En effet, déployer une seule et même image sur un réseau entrainera la duplication du SID de l’image source. Cet élément est moins problématique au sein d’Active Directory car le SID de la machine membre du domaine  est généré lors de son intégration au domaine (Le SID est généré par le maître RID et assure donc l’unicité des SID générés) sauf où des comptes locaux viennent à être utilisé car le SID Local prend le pas. De ce fait, un SID dupliqué dans un groupe de travail est plus problématique car justement toutes les ressources utilisent une base utilisateurs locale.

 

 

NewSID : Pourquoi a-t-il disparu de la circulation ?

Pendant quelques années, un petit logiciel de NewSID avait pignon sur rue pour ce genre d’opération. De nombreux informaticiens l’ont utilisés et en on été ravi. Cependant, si vous essayez désormais de télécharger NewSID, vous risquez de rencontrer quelques difficultés. En effet, il a été retiré de bon nombre de sites de téléchargement et en particulier du site officiel de Microsoft. D’ailleurs, quand nous nous attardons sur cette dernière, nous obtenons  la réponse à notre question : pourquoi a-t-il disparu de la circulation ? (le lien en anglais ici).

Le logiciel est officiellement non supporté par Microsoft pour la préparation d’image système. Le développeur de NewSID en rajoute une couche depuis son blog technet où il s’attarde longuement sur le pourquoi du comment (le lien en anglais ici).

Toujours pour des raisons de bonnes pratiques, il est de mise de respecter les recommandations d’un éditeur, en particulier si vous voulez gagner en stabilité, éviter des BSOD (écrans bleus) ou éviter des problèmes de dysfonctionnement. En conclusion, n’utilisez pas NewSID !

 

 

SYSPREP : la méthode recommandée par Microsoft

Nous allons vérifier dans un premier temps le SID de la machine sur laquelle nous allons changer le SID. Pour cela, il faut récupérer le programme PsGetsid ici (A noter que l’outil a été développé par le développeur de NewSID).

Une fois l’outil télécharger, il suffit de l’invoquer dans une interpréteur de commande afin d’obtenir le SID de la machine. {gallery}3_change_SID/1{/gallery}

 

 

 

 

 

Lancer la commande sysprep afin de modifier le SID. L’exécutable se trouve dans le répertoire c:\Windows\System32\sysprep. {gallery}3_change_SID/2{/gallery}

 

 

 

 

 

 

 

Une fois sysprep lancé, nous allons choisir l’option « Entrer en mode OOBE » et surtout cocher « Généraliser » car sinon le SID ne changera pas. {gallery}3_change_SID/3{/gallery}

 

 

 

 

 

 

 

Sysprep exécuté, la machine redémarre et Windows propose de paramétrer le système comme s’il s’agit de son premier démarrage. {gallery}3_change_SID/4{/gallery}

 

 

 

 

 

 

 

 

Nous nous connectons au serveur et nous vérifions que le SID a bien été changé toujours grâce à PsGetsid. Nous pouvons voir en effet qu’il est bien modifié. D’ailleurs comme vous pouvez le constater ci-dessous, le nom machine a été régénéré également de façon aléatoire (commande « hostname »). {gallery}3_change_SID/5{/gallery}

 

 

 

 

 

 

Conclusion

Nous avons vu dans un premier temps pourquoi il ne faut pas utiliser NewSID et suivre les recommandations de Microsoft en passant par l’outil SYSPREP pour la préparation d’image système et en particulier pour la modification du SID.

SYSPREP est un outil extrêment complet et nous ne le verrons sans doute dans son intégralité lors d’un prochain article.

Installation des services de domaine Active Directory sur 2008 R2

Sommaire

 

Introduction

Nous allons voir ensemble l’installation de l’annuaire Microsoft Active Directory, élément devenu incontournable dans tous les types de structures professionnelles équipés d’une infrastructure Microsoft. De nombreux avantages découlent de son utilisation au sein d’un réseau informatique aussi bien au niveau de l’administration que de l’utilisation.

Outre le fait que de nombreuses applications nécessitent son installation comme Microsoft Exchange par exemple, disposer d’Active Directory va permettre d’intégrer vos postes de travail et de créer des comptes utilisateurs pour ensuite les administrer. Vous pourrez donc par la suite appliquer de façon simple et efficace des restrictions d’accès par poste ou par utilisateur, faire du déploiement de périphériques comme des imprimantes ou même d’applications, de monter des lecteurs réseaux en fonction de différents critères et bien d’autres choses que nous verrons plus tard.

Active Directory est apparu avec la version Microsoft Windows 2000 Server est s’est enrichi au fil du temps.  D’ailleurs, et comme de nombreux éditeurs de solution logicielle, la dénomination a évolué et est désormais AD DS pour « Active Directory Domain Services », ce qui donne en français « Services de Domaine Active Directory ». Nous pourrons également nous attarder prochainement sur les différences et les évolutions entre les versions Active Directory et leur compatibilités.

Installer Active Directory correspond à promouvoir un serveur en tant que contrôleur de domaine.

 

Pre-requis

Le seul pre-requis pour réaliser cette installation est de disposer d’une installation de Microsoft Windows 2008 R2. Si ce n’est pas déjà le cas, je vous invite à suivre le tutoriel suivant : Installation de Windows 2008 R2.

 

Installation

Sur Windows 2008, l’installation de l’annuaire peut se lancer de deux façons différentes de part son mode de fonctionnement différent de ses prédécesseurs qui étaient 2000 et 2003. En effet, sur les versions antérieures, il fallait exécuter depuis « Executer » du menu « Démarrer » la commande « DCPROMO.EXE » qui lançait l’assistant d’installation Active Directory. Cette solution est toujours opérationnelle sur 2008 cependant il est possible désormais de passer au préalable par l’interface graphique. DCPROMO reste cependant nécessaire pour configurer l’annuaire sous 2008 car le nouvel assistant  n’installe que les fichiers et services nécessaires à AD DS mais ne l’installe pas à proprement parler. En résumé, ca ne semble pas servir à grande chose de prime abord à part perdre un peu plus de temps cependant, le fait d’installer le rôle vous permettra entre autres d’utiliser des outils comme DCDIAG.

Lancer le « gestionnaire de serveur » en cliquant sur l’icône situé à côté de « Démarrer ». Vous pouvez également y accéder par un clic droit sur « Ordinateur » depuis le menu « Démarrer » et choisir l’option « Gérer » (les deux options sont surlignées en jaune sur le premier des imprimes écrans ci-dessous). {gallery}2_install_ad2008/1{/gallery}

 

 

 

 

 

 

 

Une fois le gestionnaire de serveur lancé, rendez-vous dans la section « Rôles » à partir du menu situé sur la gauche. Vous devriez en avoir zéro d’installé tel que cela est le cas dans cet exemple. Cliquer ensuite sur « Ajouter des rôles » situé sur la fenêtre de droite ou sélectionner l’option portant le même nom à l’aide d’un clique droit sur « Rôles » dans le menu de gauche. {gallery}2_install_ad2008/2{/gallery}

 

 

 

 

 

 

 

Nous arrivons sur « Assistant Ajout de rôles » qui propose en premier lieu de faire tout un ensemble de vérification. Dans un cadre productif, il sera conseillé de les suivre à la lettre et en particulier les mises à jour. Cela sera un gage supplémentaire pour obtenir un système stable (A noter que vous pouvez désactiver cette page en cochant « ignorer cette page par défaut » lors d’un prochain appel à l’assistant). {gallery}2_install_ad2008/3{/gallery}

 

 

 

 

 

 

 

Sélectionner le rôle « Services de domaine Active Directory ». {gallery}2_install_ad2008/4{/gallery}

 

 

 

 

 

 

 

Dans le cas présent, il manque une fonctionnalité requise pour l’installation du rôle (en l’occurrence le .NET Framework). Choisir « Ajouter les fonctionnalités requises ». {gallery}2_install_ad2008/5{/gallery}

 

 

 

 

 

L’assistant nous convie à prendre quelques dispositions concernant la mise en place d’un annuaire dans le cadre d’un environnement de production. Premier point, et non des moindres, il sera nécessaire d’installer le service DNS mais ca nous verrons cela par la suite. Deuxième point, à souligner, est l’importance de l’annuaire une fois intégrée dans votre architecture et le risque d’indisponibilité suite à une panne du serveur. La solution sera de prévoir rapidement un contrôleur de domaine secondaire afin d’assurer la continuité de service. Enfin, l’assistant nous invite après l’installation à lancer DCPROMO. {gallery}2_install_ad2008/6{/gallery}

 

 

 

 

 

 

 

L’assistant suit son cours et termine sur un rapport d’installation (dans notre rapport nous pouvons voir par exemple que Windows Update n’est pas actif). {gallery}2_install_ad2008/7{/gallery}

 

 

 

 

 

 

 

Une fois, le rôle installé, vous pouvez désormais lancer dcpromo à partir de « Executer » depuis le menu « Démarrer ».

Astuce: bien que dans le cadre d’une nouvelle création de forêt sans réel existant cela ait peu d’intérêt, il vous est possible toutefois de vérifier si le serveur est éligible pour un promotion en tant que contrôleur de domaine d’une nouvelle forêt avec la commande dcdiag /test:dcpromo /dnsdomain:domaine.local /newforest (le service DNS domaine.local doit être configuré)

{gallery}2_install_ad2008/8{/gallery}

 

 

 

 

 

Nous allons activer le mode avancé afin de voir les différentes options qui s’offrent à nous. Une seconde fenêtre évoque la compatibilité antérieure du système d’exploitation. {gallery}2_install_ad2008/9{/gallery}

 

 

 

 

 

 

 

 

 

Nous allons choisir de créer un domaine dans une nouvelle forêt car dans le cadre de cet article nous ne disposons pas d’un domaine existant.

Après vous allez désigner le nom de votre nouveau domaine Active Directory. Un nom de domaine Active Directory est exactement similaire à un domaine DNS. Il doit être localisable depuis Internet. Si vous n’avez le moindre doute sur le nom de votre domaine, je vous engage à consulter notre article sur le sujet Bien choisir son nom de domaine Active Directory.

Remarque: le nom de domaine de l’imprime écran ci-dessous n’est donc pas un exemple à suivre !

Ensuite, vous allez désigner le nom NETBIOS, qui est une réminiscence des anciens systèmes Windows et encore utilisé par de nombreux éditeurs de logiciels par exemple. Il est préférable de le laisser tel que l’assistant le génère. {gallery}2_install_ad2008/10{/gallery}

 

 

 

 

 

 

 

 

 

Le niveau fonctionnel de la forêt est une notion importante dans une infrastructure. C’est ce niveau fonctionnel qui va vous permettre de profiter ou non de certaines nouvelles fonctionnalités ou d’assurer une compatibilité descendante avec des anciennes versions clients ou serveurs Microsoft. Dans notre cas, n’ayant aucun existant, nous opterons pour le niveau « Windows Server 2008 R2 ». {gallery}2_install_ad2008/11{/gallery}

 

 

 

 

 

 

 

 

 

Comme nous le disions plus haut, le service DNS est essentiel pour le fonctionnement d’Active Directory et repose en priorité sur lui pour localiser les ressources sur le réseau et être localisé ! L’assistant détecte la présence du DNS et vous propose le cas échéant de l’installer s’il n’est pas présent. {gallery}2_install_ad2008/12{/gallery}

 

 

 

 

 

 

 

 

 

L’assistant valide également vos paramètres réseau. Dans l’exemple ci-dessous, le serveur dispose d’une IP dynamique ce qui est proscrit sur un serveur AD. De plus, pensez à mettre l’adresse de boucle locale du serveur (127.0.0.1) comme serveur DNS primaire.  {gallery}2_install_ad2008/13{/gallery}

 

 

 

 

 

 

 

 

 

L’assistant cherche à savoir si vous allez faire l’objet d’une délégation DNS. Dans notre cas, nous passons outres.   {gallery}2_install_ad2008/14{/gallery}

 

 

 

 

 

 

Vous allez devoir définir les dossiers pour l’ensemble des fichiers stockés par Active Directory. La configuration de base peut tout à fait convenir. Nous partons de toute façon du principe que l’annuaire sera hébergé sur un serveur disposant d’un système RAID. {gallery}2_install_ad2008/15{/gallery}

 

 

 

 

 

 

 

 

 

Vous allez enfin définir le mot de passe de restauration. Ce mot de passe sera utilisé essentiellement dans le cadre d’une restauration de l’annuaire. En effet, si vous devez restaurer votre domaine, vous serez obligé de démarrer le serveur en mode « Restauration des services d’annuaire » et vous devrez utiliser ce mot de passe pour vous connecter au serveur. Il est donc très important ! {gallery}2_install_ad2008/16{/gallery}

 

 

 

 

 

 

 

 

 

L’assistant se termine sur un résumé. Vous avez également la possibilité d’exporter les paramètres définis tout au long de cette procédure sous forme de fichier de réponses pour automatiser une prochaine installation. {gallery}2_install_ad2008/17{/gallery}

 

 

 

 

 

 

 

 

 

Une fois le serveur redémarré, vous n’utilisez déjà plus le compte administrateur local (la base utilisateurs locaux est désactivé !) mais le compte administrateur du domaine. {gallery}2_install_ad2008/18{/gallery}

 

 

 

 

 

 

 

 

 

Vous disposez désormais des différents outils liés à l’installation d’Active Directory comme par exemple la console « Utilisateurs et ordinateurs » disponible depuis le menu « Démarrer » | « Outils d’administration ». {gallery}2_install_ad2008/19{/gallery}

 

 

 

 

 

 

 

 

Conclusion

Nous avons donc désormais un annuaire à disposition qui nous permet d’avoir d’une base utilisateurs centralisés, d’intégrer des postes au domaine et de gérer un large panel de tâches d’administration que nous détaillerons dans de prochains articles.

Si vous désirez aller plus loin dans la découverte de l’annuaire Microsoft, nous vous proposons les articles suivants:

Installation de Windows 2008 R2

Sommaire

 

Introduction

Nous allons voir à travers cette procédure comment installé une installation de la dernière monture de Microsoft Windows.

 

 

Minimum requis / Recommandation

Processeur : au minimum 1.4 GHz avec support x64 (La recommandation dépendra de la charge que le nouveau système devra assumer, un bi-cœur à 2Ghz devrait cependant largement couvrir les besoins pour un contrôleur de domaine).

Mémoire : au minimum 512 Mo (Un bon compromis serait de prévoir entre 2 et 4Go).

Espace disque : au minimum 32 Go (Prévoir au moins 60 Go pour couvrir les besoins de la partie système sur plusieurs années).

 

Pour obtenir la liste de compatibilité matérielle si vous désirez installer sur un de vos anciens serveurs par exemple. Rendez-vous ici. A noter, que la stabilité de votre système dépendra en grande partie de l’assurance de disposer d’un matériel adapté à Microsoft Windows 2008 R2.

Il en est de même pour les applications. La bonne pratique consiste à évitez d’installer des applications surtout si elles ne sont pas nécessaires et non signées.

 ATTENTION : La version R2 est exclusivement en 64bits. Pour pouvoir disposer d’une version 32bits, il faudra dès lors se retrancher sur une version 2008 SP2.

 

Installation 

– Choisir la langue.{gallery}1_install_2008/1{/gallery}

 

 

 

 

 

 

 

– Choisir « Installer maintenant » pour démarrer l’installation. {gallery}1_install_2008/2{/gallery}

 

 

 

 

 

 

 

– Choisir la version de Windows : ici vous trouverez un tableau comparatif fournis par Microsoft des différentes versions. La version minimale correspond à la version « core ». Pour aller au plus simple, il s’agit d’une version sans interface graphique permettant d’administrer le serveur seulement par ligne de commande ou par une console d’administration distante. {gallery}1_install_2008/3{/gallery}

 

 

 

 

 

 

 

– Accepter les termes du contrat de licence. {gallery}1_install_2008/4{/gallery}

 

 

 

 

 

 

 

– Choix du type d’installation. Dans le cadre d’une nouvelle installation, nous choisissons l’installation personnalisée.{gallery}1_install_2008/5{/gallery}

 

 

 

 

 

 

 

– Choix de la partition système. {gallery}1_install_2008/6{/gallery}

 

 

 

 

 

 

 

– L’installation débute. {gallery}1_install_2008/7{/gallery}

 

 

 

 

 

 

 

– L’installation se poursuit ensuite sans intervention humaine. Dès terminée, nous entrons dans la configuration du système. Premièrement, le 2008 vous demande d’entrer le mot de passe administrateur. {gallery}1_install_2008/8{/gallery}

 

 

 

 

 

 

 

 

 

– Une fois authentifié et l’environnement chargé, Windows 2008 lance l’assistant « Tâches de configuration initiales ». Cela va nous permettre de nommer le serveur, de définir l’heure, de configurer le réseau et d’activer le système. {gallery}1_install_2008/9{/gallery}

 

 

 

 

 

 

 

– Définir le nom de l’ordinateur, en cliquant sur « Indiquer un nom d’ordinateur et un domaine » depuis l’assistant « Tâches de configuration initiales ». Cliquer ensuite sur le bouton « Modifier » et entrer le nom désiré dans le champ correspondant à « Nom de l’ordinateur ». Une fois validée, il faudra redémarrer le serveur. {gallery}1_install_2008/10{/gallery}

 

 

 

 

 

 

 

 

 

– Définir l’heure et le fuseau horaire si celui-ci n’est pas correct à partir de « définir fuseau horaire » toujours depuis l’assistant « Tâches de configuration initiales ».

 

– Ensuite, il faut configurer le réseau afin que le serveur puisse  accéder à Internet entre autres pour assurer l’activation ultérieure de votre serveur. Aller dans « Configurer le réseau » à partir de l’assistant qui ouvre « Connexions réseau » depuis le panneau de configuration. Un clic droit sur la carte réseau pour accéder à ses propriétés va nous permettre de modifier les paramètres TCP/IP.

Ci-joint un exemple de configuration TCP/IP.

Astuce : pour accéder plus rapidement à « Connexions réseau » vous pouvez lancer la commande ncpa.cpl faisant appel au composant depuis le menu démarrer.

{gallery}1_install_2008/11{/gallery}

 

 

 

 

 

 

 

 

 

– Si vous disposez d’une licence valide, vous pouvez l’activer via « Activer Windows » depuis l’assistant « Tâches de configuration initiales ». L’évaluation est valable 60 jours (voir 120 jours selon le support) et peut être prolongée de deux fois supplémentaires pour un total de 180/240 jours. (KB Microsoft : Comment allonger la période d’activation sur 2008). Il suffit donc de rentrer votre clé et de cliquer sur suivant qui lancera la validité de votre clé et terminera sur une activation réussie dans le meilleur des cas. {gallery}1_install_2008/12{/gallery}

 

 

 

 

 

 

 

 

Conclusion

Nous avons donc vu à travers cette procédure comment installer Microsoft Windows 2008 R2 et configurer les éléments de base vous permettant de débuter dans cet environnement.

Vous avez maintenant la possibilité d’installer le service d’annuaire d’après l’article Installation des services de domaine Active Directory sur 2008 R2.

Nous vous proposons également un Ebook en anglais introduisant les nouveautés apportées avec Windows 2008 R2 et que vous pouvez télécharger au format pdf depuis Ebook: Introducing Windows Server 2008 R2.