OFPPT

Office de la Formation Professionnelle et de la Promotion du Travail

Complexe de Formation Route Imouzzer Fès

TD – Eléments de corrigé
Exercice 1 :
1. Le domaine sous Windows correspond à :
A. Une gestion locale des utilisateurs.
B. Une gestion centralisée des utilisateurs.
2. Active Directory :
A. est un ordinateur qui gère l’accès des utilisateurs aux ressources réseau
B. est une base de données d’annuaire stock les informations sur les utilisateurs et les ressources réseau.
3. Un domaine :
A. est un ensemble d’ordinateurs et d’utilisateurs partageant une base de données d’annuaire centralisée
B. est un ensemble d’ordinateurs et d’utilisateur connecté à un réseau local
4. Vrai ou Faux : Un compte de domaine est enregistré sur le poste local de l’utilisateur.
5. Vrai ou Faux: SAM (Security Accounts Manager) est le gestionnaire de la sécurité des comptes de domaines.
6. Vrai ou Faux : Dans un profil itinérant : Lorsque l’utilisateur ferme la session, toutes les modifications apportées à
son profil, ne sont pas enregistrées sur le réseau.
Exercice 2:
1. Quelle est la configuration requise pour pouvoir installer Active Directory ?
System requirements:
Windows Server 2012 peut être installé en démarrant depuis
le DVD, ou depuis un autre Système déjà présent sur le PC.

 Processor: 1.4Ghz 64-bit processor.

 RAM: 512 MB. Configuration minimum :
 Disk Space: 32 GB.
 Processeur : 1.4 GHz 64-bit
 Network: Gigabit (10/100/1000baseT) Ethernet adapter.
 RAM : 512 Mo
 Optical Storage: DVD drive (if installing the OS from DVD media)  Disque : 32 Go
 Video: Super VGA (1024 x 768) or higher-resolution (optional)
Input Devices: Keyboard and mouse (optional)

2. Décrire les éléments de la base de données NTDS.

-Elle est stocquée dans le fichier [Link] par défaut dans C:\Windows\NTDS
- Il est possible de réaliser des captures instantanées de ce fichier afin de le consulter en mode « hors ligne » avec des
outils spécifiques Tel que : ntdsutil (voir cour installation IFM)
3. Quels sont les deux outils pour vérifier que le contrôleur de domaine a été ajouté au domaine ?
Vous pouvez utiliser Utilisateurs et ordinateurs Active Directory et vérifier que le contrôleur de
domaine apparaît dans l'unité d'organisation Contrôleurs de domaine.
Vous pouvez également utiliser Sites et services Active Directory et vérifier que le contrôleur de domaine a été
ajouté au site approprié.anisation Contrôleurs de domaine.
4. Quels sont les types de restauration qu’on peut appliquer sur une base de données d’Active Directory ?
B. Primaire
C. Normale
D. Autoritaire
Automated System Recovery (ASR) Les restaurations ASR et autoritaire concernent respectivement le système et la base de données Active
Directory, et la restauration primaire n'existe pas.
5. Quel est le rôle du schéma Active Directory ?
Rôle. Le schéma Active Directory contient les définitions des types d'objets qui peuvent être créés et stockés
dans Active Directory. Les types d'objet contiennent des attributs spécifiques et des informations qui s'y rapportent.
Toutes ces informations sont stockées au sein d'Active Directory sous forme d'objet.
6. Quelle est la différence entre les deux 2 types des structures : logique et physique ?
Dans Active Directory la structure logique est séparée de la structure physique.
La structure logique organise les ressources réseau, tandis que la structure physique sert à configurer et à gérer le
trafic réseau.
Ce sont les contrôleurs de domaine et de sites qui forment la structure physique d’Active Directory.
7. Définir quelques composants de chaque structure ?

Structure physique : Structure logique :

● Sites
● Forêts
● Arborescences
● Contrôleurs de domaines ● Domaines

● Unités d'organisation

● Forêts : Comprend une ou plusieurs arborescences. Les forêts ne forment pas un espace de nom contigu. En revanche les
forêts partagent un schéma et un catalogue global commun.
● Arborescences : Est une organisation hiérarchique de domaines Windows 2000 partageant un espace de noms contigus.
● domaines :Limites de sécurité (qui est responsable de quoi) .
Les domaines mappent la structure logique de l’organisation. Autorisation d'accès aux ressources
● unités d'organisation : Possibilité de délégation d'administration .
------------------------
● Contrôleur de domaine : stocke un réplica de l’annuaire, gère les modifications et les duplique vers les autres contrôleurs
du même domaine. Ils gèrent les ouvertures de session, d’authentification, et de recherche dans l’annuaire.
● Sites : Est une combinaison d’un ou plusieurs sous-réseaux IP connecté par une liaison haut débit.
Les sites mappent la structure physique du réseau.
8. Quelle est la différence entre un domaine et un contrôleur de domaine (DC) ?
Lorsque l’on crée un domaine, le serveur depuis lequel on effectue cette création est promu au rôle de «
contrôleur de domaine » du domaine créé. Il devient contrôleur du domaine créé, ce qui implique qu’il sera au cœur
des requêtes à destination de ce domaine.
De ce fait, il devra vérifier les identifications des objets, traiter les demandes d’authentification, veiller à
l’application des stratégies de groupe ou encore stocker une copie de l’annuaire Active Directory.
Un contrôleur de domaine est indispensable au bon fonctionnement du domaine, si l’on éteint le contrôleur de
domaine ou qu’il est corrompu, le domaine devient inutilisable.
9. Que fait le catalogue global ?
Réponse : Le catalogue global comporte des informations sur tous les objets de la forêt, ce qui facilite la recherche
d'objets dans la forêt.
10. Donner la signification du : DN, RDN UPN et FQDN.
Active Directory Naming Standard :
- Fully qualified domain name FQDN : the path to a network object
- DN Distinguished names : every object in AD has a DN
- UPN User principal names : are user friendly names for user accounts
- RDN Relative distinguished names : must be unique in an OU but do not have to be unique in a domain
DC=com, DC=mycompany, DC=support, OU=dallas, CN=Users CN=wmaples The distinguished name
abbreviations are :
 DC domain component
 OU organizational unit
 CN common name

11. Quelles sont les différences entre un domaine, une arborescence de domaine et une forêt ?
Réponse : Toutefois, vous pouvez avoir plusieurs domaines dans une arborescence de domaine tant que tous les
domaines partagent un espace de nom commun.
 Dans une forêt, vous pouvez avoir plusieurs arborescences de domaine.
12. Quelle fonctionnalité facilite et accélère la recherche dans une forêt ?
Réponse : Le catalogue global comporte des informations sur tous les objets de la forêt, ce qui facilite la recherche
d'objets dans la forêt.
13. Quelle est la relation entre un domaine et un site ?
Réponse : Vous pouvez avoir une variété de configurations de site et de domaine:
Un domaine unique pourrait se trouver ainsi à plusieurs emplacements, chacun d'eux pouvant être un site distinct.
Un site pourrait également contenir des contrôleurs de domaine de plusieurs domaines d'une forêt.
[Link] les domaines de la même arborescence, qu’est ce qu’ont partagent ?
Arborescence. -Une arborescence correspond à un groupe de domaines.
- Les domaines qui appartiennent à une arborescence ont le même espace de nom racine.
Si elles partagent un même espace de nom, les arborescences n'en constituent pas pour autant des limites de
sécurité ou de réplication.
15. Dans l’Active Directory, quel(s) est (sont) le(s) partition(s) commun(s) entre tous les DC du même domaine ?
Partition de domaine
-Contient des informations concernant tous les objets spécifique au domaine crées dans AD, y compris les
utilisateurs, les groupes , les ordinateurs, les OU ;
-Est dupliquée au sein de son domaine
-Il peut y avoir plusieurs partition de domaine par forêt
16. Dans l’Active Directory, quel(s) est (sont) le(s) partition(s) commun(s) entre tous les DC de la même forêt ?

Partition de schéma
-Contient les définition de tous les objets et attributs qui peuvent être crées dans l’annuaire, ainsi que les
règles de création et de gestion de ces objets et attributs
-Est dupliquée sur tous les contrôleurs de domaine de la forêt
-Il ne peut y avoir qu’un seul schéma dans la forêt
Partition de configuration
-Contient les informations portant sur la structure d’AD , y compris quels domaines et quels sites existent,
quel contrôleur de domaine existent dans chacun d’eux et quels services sont disponibles.
-Est dupliquée sur tous les contrôleurs de domaine de la forêt
-Il ne peut y avoir qu’une seule partition de configuration dans la forêt
Partition de domaine
-Contient des informations concernant tous les objets spécifique au domaine crées dans AD, y compris les
utilisateurs, les groupes , les ordinateurs, les OU ;
-Est dupliquée au sein de son domaine
-Il peut y avoir plusieurs partition de domaine par forêt
[Link] appelle t on le maître d’opérations permettant de synchroniser l’horloge des contrôleurs de domaines ?
Le système de synchronisation horaire est implémenté sur les contrôleurs de domaines jouant le rôle de maître
d'opérations d'émulateur PDC. Cette tâche est réaliser par l'intermédiaire du service W32Timeà l'aide du protocole
SNTP (S imple N etwork T ime P rotocol) conformément à la RFC 1769

18. Quelles sont les particularités des relations d’approbations ?

Une relation d'approbation, en plus d'être unidirectionnelle ou bidirectionnelle, peut être ou ne pas être
transitive. La transitivité signifie que si un domaine A approuve un domaine B, et que ce domaine B approuve un
domaine C, alors le domaine A approuvera implicitement le domaine C.

La relation d’approbation entre deux forets / domaines Active Directory est un lien de confiance qui permet à des utilisateurs
authentifiés d’accéder à des ressources d’un autre domaine.

19. Donner le rôle la réplication Active directory, citez ses différents protocoles ?

Permet d’avoir une tolérance de panne, assure une continuité disponibilité des servises ADDS.
Protocole de duplication
RPC  duplication intersites et intrasite
SMTP  duplication intersites (préférez RPC)
Exercice 3:

1. Citer les différents types d’utilisateurs dans l’Active directory ?

Les types de comptes

Comptes locaux Ils sont créés par l’intermédiaire de la console de Gestion de l’ordinateur. Les comptes locaux ont
la particularité d’être enregistrés dans la base de données de comptes locale : la SAM. Ils ne sont pas enregistrés
dans Active Directory. Il est déconseillé de créer des comptes locaux sur des machines rattachées à un domaine,
car les utilisateurs n’auront accès qu’aux ressources locales de la machine.
Comptes de domaine : Les comptes d'utilisateurs de domaine résident dans Active Directory, sur des contrôleurs de
domaine et peuvent accéder à toutes les ressources sur le réseau, à condition d'avoir les privilèges nécessaires.
Dans ce cas, l'utilisateur peut ouvrir une session à partir de tout poste du domaine (sauf interdictions particulières).

2. Quels sont les types des groupes dans l’Active Directory ?

Il existe deux types de groupes dans Active Directory: Groupes de distribution Permet de créer des listes de distribution
de courrier électronique. Distribution groups Used to create email distribution lists. Groupes de sécurité Permet de définir
des autorisations sur les ressources partagées.

3. Citez les niveaux d’étendue de groupe, puis précisez la différence entre eux ?

Etendues de groupe

L'étendue d'un groupe définit les restrictions d'appartenance et d'utilisation du groupe. Il existe trois étendues
différentes applicables aux groupes de sécurités :

• Groupes globaux : Ces groupes peuvent être utilisés pour accorder un accès à des ressources dans n'importe quel
domaine de la forêt et ils servent généralement à regrouper des utilisateurs ayant des besoins similaires en termes
d'accès aux ressources.

• Groupes locaux de domaine : Ces groupes ne peuvent être utilisés que pour un accès à des ressources du
domaine local.
 • Groupes universels : Ces groupes peuvent être utilisés pour accéder à des ressources dans n'importe quel domaine
de la forêt. Ils diffèrent des groupes globaux par le fait qu'ils ne sont disponibles que dans les domaines WS2003
s'exécutant en mode natif. De plus, leurs membres peuvent provenir de n'importe quel domaine, alors que ceux des
groupes globaux ne peuvent provenir que du propre domaine du groupe. Les groupes universels sont nouveaux
dans WS2003 et n'ont pas d'équivalence sous NT.

4. On veut que tous les utilisateurs d’une forêt aient un d’ouverture de session commun sous cette forme
‘X@[Link]’. Comment peut-on réaliser cette tâche et à partir de quelle console MMC ?

5. Un administrateur système a voulu créer des groupes dans le domaine, mais la case pour sélectionner des groupes
de sécurité universels est désactivée !! Proposez une solution à ce problème ?

6. On souhaite regrouper tous les utilisateurs d’un bâtiment afin de pouvoir affecter des autorisations sur un dossier
partagé à tous les utilisateurs de cette succursale. Quel type d'objet AD DS doit-on créer ?

7. Donnez le nom unique absolue DN (sous forme ldap) d’un utilisateur nommé ‘User01’, qui est dans l’unité ‘SP1’,
cette unité d’organisation est dans une autre unité nommé ‘Ntic’ qui est dans le domaine ‘[Link]’.

8. En tapant : ldif -f [Link] -d ‘‘dc=tri, dc=local’’, quel est le résultat attendu lors d’exécution de cette commande ?

Exercice 4 :

Vous êtes l’administrateur de la société « univers ».Vous êtes chargé au niveau de l’entreprise d’installer et de
configurer des serveurs. Vous avez décidé d’implémenter le service Active directory pour mieux gérer le réseau
informatique de cette entreprise. Vous avez adopté le schéma suivant : Le nom de domaine Active directory est
«[Link]» et trois unités d’organisation OU1, OU2 et OU3.

1. Quels sont les rôles de maîtres d’opération qu’un contrôleur de domaine peut jouer ?

2. En utilisant les commandes, créer le compte ordinateur « poste 3 »dans l’unité d’organisation OU3.

3. En utilisant la ligne de commande, créer le compte utilisateur « Ali Samri » dans l’unité d’organisation OU1.

4. L’utilisateur Ali souhaite utiliser un espace disque important alors qu’il ne possède que
40Go sur son poste local. Comment vous pouvez lui attribuer de l’espace disque à partir du contrôleur de domaine.

5. En utilisant les commandes, supprimer le compte ordinateur « poste3 ».

6. Que signifie stratégie de groupe « GPO »? citer ses avantages.

7. Donner la différence entre droit d’accès et GPO ?

8. Sur quels types d’objets peut-on appliquer les stratégies des groupes ?

9. Quel est le nom du maître d’opérations qui gère les modifications des stratégies de groupe du domaine ?
10. On a configuré des stratégies de groupes pour gérer les utilisateurs et les ordinateurs à distance, on a
paramétré deux stratégies de groupe (GPO1et GPO2) :

• GPO1 : Désactiver l’accès au panneau de configuration

• GPO2 : Retirer le solitaire

Appliquer les GPO et « bloquer l’héritage » sur l’objet convenable pour atteindre les résultats suivants :

• Désactiver l’accès au panneau de configuration pour les utilisateurs du domaine et du OU2 et OU3 Retirer le
solitaire pour les utilisateurs de l’unité d’organisation OU1
9. Vous avez paramétré deux stratégies de groupe (GPOA et GPOB) :

• GPOA : installe Microsoft Office

• GPOB : installe l’application de sauvegarde

Appliquer chaque GPO et blocage d’héritage sur le bon endroit pour atteindre les résultats suivant :

• Les utilisateurs du domaine et de OU1 et OU3 nécessitent Microsoft Office.

• Les utilisateurs dans l’unité d’organisation OU2 et OU3 doivent disposer de l’application de sauvegarde

10. Vous avez paramétré trois stratégies de groupe (GPOA, GPOB et GPOC) :

• GPOA : applique un script de fermeture de session

• GPOB : garantit l’affichage de l’option « exécuter » dans le menu démarrer et retire l’option rechercher de ce menu

• GPOC : garantit l’affichage de l’option « rechercher» dans le menu démarrer

Appliquer les stratégies de groupes sur l’emplacement approprié afin d’obtenir les résultats suivants : Le script de
fermeture de session s’applique à tous les utilisateurs du domaine et des OU

• Exécuter « affichée » uniquement pour les utilisateurs dans les OU2 et OU3

• Afficher l’option « Rechercher » uniquement pour les utilisateurs dans l’unité d’organisation OU3 [Link]
supprimer les OU1 et OU2 à l’aide de ligne de commande ?