Promotion d'un serveur 2008 en Serveur de Domaine Active Directory
Plan d'action
- Présentations.
- Plus sur les ACLs et les ACEs... encore.
- La Sam
- Le System DNS
- Active Directory
- Reconfiguration de l'interface ipv4.
- Installation du rôle de serveur DNS
- Installation du rôle de serveur de Domaine
- Configuration initiale du Serveur de Domaine
- Installation d'un client Windows 7
- Adjonction du client Windows 7 à votre nouveau Domaine
- Test.
Plus sur les ACLs et les ACEs... encore.
Utilisez sur votre serveur 2008 le logiciel suivant ACLVIEW pour obtenir la liste des SIDS autorisés dans les différentes ressources. Faites attention, vous pourriez sérieusement abîmer votre système. Contentez-vous d'explorer.
Utilisez les deux sites suivants, ici (Inheritance Flags) et ici (Generic Access Rights) pour interpréter les autorisations que vous pouvez voir en explorant les répertoires que vous avez créés dans les laboratoires précédents. Que remarquez-vous ?
Utilisez le site suivant pour voir la liste des SIDS utilisés par l’environnement Windows.
Vous trouverez ici toute la vérité sur les ACEs.
La Sam
La SAM, pour Security Accounts Manager, est un fichier de la base de registre, ou le registre Windows, qui sert à stocker les hash des mot de passe des usagers. La Sam a été utilisé à partir de Windows NT jusqu'à Windows 7. À l'origine, la fonction de hachage (LM hash) utilisée n'était pas très sécuritaire. Elle a été remplacé par NTLM qui utilisait la fonction de hachage MD5. Étant donné les problème de sécurités associé malgré tout à MD5, microsoft propose d'utiliser un utilitaire appelé SYSKEY qui permet de chiffrer partiellement le contenu de la SAM.
La Sam est remplacé par Kerberos lorsqu'Active Directory est utilisé.
Suivez ces instructions pour activer le chiffrement de la Sam sur votre système NT. Choisissez d'entrer le mot de passe au démarrage puis redémarrez. Que se passe-t-il ? Choisissez ensuite un mot de passe généré par le système et enregistré localement, puis redémarrez. Que se passe-t-il ?
Les plus aventureux pourront aller se créer une disquette de démarrage à la fin du labo s'ils en ont le temps.
Finalement, essayez d'ouvrir le fichier suivant: C:\Windows\System32\config\SAM
ou :\Windows\System32\config\SYSTEM
avec notepad à l'aide DOS par exemple. Les explications sont ici
Le DNS
Inutile d'en écrire plus que ce qui est écrit ici : DNS sur Wikipedia.
Vous trouverez ici un exemple de fichier DNS.
Reconfiguration de l'interface ipv4.
Avant de passer à l'installation de nouveau rôle, il vous faut modifier les interfaces ipv4 de votre serveur afin qu'elle utilise une adresse statique et qu'elles pointent statiquement vers le serveur dns du labo. Pensez aussi à reconfigurer la passerelle. Utilisez la commande ipconfig \all
pour obtenir toutes les données nécessaires. Il faudrait normalement pour qu'Active directory soit heureux que toutes les interfaces soient configurées statiquements. Nous nous contenterons de l'interface ipv4, vous pourriez même désactiver les interfaces ipv6. Vérifiez que tout fonctionne normalement.
Avant :
Après :
Installation du rôle de serveur DNS
Vous pouvez maintenant installer le rôle de serveur DNS. Votre serveur doit être configuré comme un serveur principal. Si l'assistant ne vous l'offre pas, ne tentez pas de le configurer, le tout sera fait automatiquement par la configuration d'Active Directory. Cependant, installez une redirection conditionnelle de requêtes vers le serveur DNS du Labo pour les requêtes concernants BdeB.qc.ca
puis changez le serveur DNS de votre interface ip vers l'hôte local et testez le tout avec quelques machines du labo et du Collège.
Installation et configuration du rôle : Service de Domaine Active Directory
Voici l'étape importante de cette semaine. Ajoutez le rôle Service de Domaine Active Directory.
Une fois le rôle installé, redémarrez si nécessaire et tapez dcpromo
à l'invite de commande DOS. Un assistant de configuration vous aidera à configurer votre premier domaine.
Vous devez choisir de créer un nouveau domaine dans une nouvelle forêt. Ne vous préoccupez pas des complaintes de Windows qui n'aime pas installer Active Directory sur un serveur où TS est déjà installé (en pratique vous ne feriez jamais ça ou vous restreindriez sérieusement l'accès).
Choisissez un nom unique pour votre domaine et utilisez un domaine local : par exemple MonSuperDomaineJusteAMoi.local
. Configurez la forêt pour qu'elle soit compatible windows2008 seulement. Terminez l'installation. Redémarrez.
Retrouvez vos usagers et vos groupes. Ils ne sont plus accessible de la même manière qu'auparavant.
Installation d'un client Windows 7
Créez un nouveau PC dans VBox et installez y Windows 7 que vous retrouverez sur Titan. Pendant ce temps enregistrez votre copie de Windows 2008 et utilisez la même page pour enregistrer votre copie de windows 7. Lors de l'installation, donnez à votre premier compte windows 7 un nom différend d'Administrateur. J'ai utilisé Simon mais assurez-vous d'appartenir au groupe Administrateurs ; utilisez aussi un mot de passe différend de celui utilisé sur windows 2008 (un peu différend). Normalement, un utilisateur Administrateur a été créé mais est inutilisable. Vérifiez ces informations.
Adjonction du client Windows 7 à votre nouveau Domaine
Il vous faut maintenant joindre votre client windows 7 à votre Domaine flambant neuf. Pour cela, il vous faudra changer manuellement le serveur DNS de votre client windows 7 vers le serveur DNS pour votre Domaine et configurer le client pour accéder au domaine. Puis connectez vous comme l'un des utilisateurs que vous aviez définis sur votre serveur 2008 il y a deux semaines. Testez différends usagers.
Ajoutez une règle à votre serveur DNS sur la machine 2008 pour que votre machine répondre à un nouveau nom. Personnellement, j'ai ajouté le nom simon
à mon domaine, alors que la machine s'appelait SimonW7
. N'oubliez pas, le système DNS n'est pas sensible à la case : SimonW7
est parfaitement équivalent à SimonW7
. Testez ensuite votre règle à l'aide de la commande ping
. Vous pourriez avoir besoin d'ajouter une règle au pare-feu sur votre client Windows7.
Essayez de vous connecter à votre machine Windows 7 à l'aide de votre administrateur local que vous avez configuré lors de l'installation.