Vous êtes sur la page 1sur 6

T.P.

n3
Active Directory

Contrleur de domaine
Profils itinrants

Etudiant

Groupe

1 Domaine Active Directory : contrleur de domaine et machines membres


Introduction
Vous allez dans ce TP configurer votre serveur Windows 2008R2 en contrleur de domaine Active Directory, et votre autres machines
virtuelles en membres du domaine ; vous crerez et configurerez ensuite des comptes dutilisateurs du domaine AD (Active Directory).
Active Directory est en fait limplmentation par Microsoft dun ensemble des technologies et protocoles destins faciliter la mise en uvre
et ladministration dun rseau local. Son objectif principal est de fournir des services centraliss d'identification et d'authentification un
rseau d'ordinateurs utilisant le systme Windows. Il permet galement l'attribution et l'application de stratgies, la distribution de logiciels,
et l'installation de mises jour critiques par les administrateurs.
Active Directory rpertorie les lments d'un rseau administr tels que les comptes des utilisateurs, les serveurs, les postes de travail, les
dossiers partags, les imprimantes, etc.
Notion de Domaine et d'annuaire Active Directory

Lisez le document pdf Notion de Domaine Active Directory et le paragraphe II de Installation AD 2008R2.
Ils dcrivent la structure d'un rseau local organis selon un domaine contrl par un serveur tournant sous Windows Server 2008.
Quel sont selon vous les avantages et les inconvnients d'une organisation en domaine par rapport un groupe de travail ?

Les diffrents ordinateurs et utilisateurs du domaine sont rfrencs sur le contrleur dans un "annuaire" Active Directory.
A quoi sert, selon le document, l'annuaire Active Directory ? Quels services offre-t-il ? Quel est le protocole utilis ?

Active Directory introduit les notions de domaine, fort, arborescence. Dfinissez ces termes :

Qu'est ce qu'un contrleur de domaine Active Directory ?

Active Directory sappuie donc sur organisation des machines en domaines DNS, dont il assure la bonne intgration ; sur une centralisation
des informations des membres du rseau (machines, utilisateurs, .) dans un annuaire LDAP ; sur une scurisation forte par le protocole
d'authentification Kerberos ; sur des partages de ressources (dossiers, imprimantes,) par le protocole SMB/CIFS
Le tout ensemble forme alors un domaine Active Directory, qui est dsign le mme nom que celui du domaine DNS quil utilise.
Il sera possible d'intgrer une machine Linux un domaine en configurant ces protocoles avec Samba et Winbind, destins intgrer Unix
au monde Windows, ou bien encore en couplant les comptes et dossier partags dun domaine AD ceux dun domaine NIS/NFS.

Promotion de la machine Windows Server 2008R2 en contrleur de domaine Active Directory

Regardez la vido de cration du domaine AD

C309.local sur la machine contrleur


siege-societe en suivant galement les indications dinstallation du paragraphe IV du document Installation AD 2008R2

Vous allez configurer comme sur la vido votre rseau virtuel en un domaine AD agence-i.C309.local dans une nouvelle fort

En vous inspirant de la vido, supprimez tout d'abord le rle Serveur DNS et aprs redmarrage de l'ordinateur, installez le

rle Services de domaine Active Directory , puis configurez votre machine serveur Windows Server 2008R2 en contrleur
du domaine racine AD agence-i.C309.local dans une nouvelle fort

Copie dcran du choix


du nom de domaine racine
de la nouvelle fort

Copie dcran du choix


du niveau fonctionnel
Windows Server 2008 R2

Lanalyse de la configuration DNS devrait dtecter que votre domaine DNS agence-i.C309.local peut tre configur comme
domaine fils du domaine parent C309.local de la salle et vous proposer deffectuer cette configuration (dlgation)
Utiliser le compte Administrateur / C309 du contrleur siege-societe du domaine C309.local de la salle pour crer la dlgation

Copie dcran de la fentre


de proposition de cration
de la dlgation DNS

Aprs redmarrage de votre machine

Copie dcran de la boite


de saisie des paramtres du
compte pour crer la dlgation

serveur, connectez-vous y avec le compte AGENCE-i\Administrateur du domaine

Pour des raisons de scurit, le serveur DHCP configur au TP n2 doit recevoir lautorisation dattribuer des adresses IP sur le
domaine Active Directory par le contrleur de domaine.
, cliquez avec le bouton
Ouvrez loutil dadministration
droit de la souris sur serveur.agence-i.C309.local
et choisissez loption Autoriser , puis Actualiser
Vrifier que licone IPv4 est maintenant verte
Remarque :

Lors de la promotion dune machine serveur en contrleur dun domaine AD, tous les comptes utilisateurs locaux de
ce serveur / contrleur de domaine sont automatiquement transforms en comptes du domaine Active Directory
(dailleurs la branche Utilisateurs et groupes locaux disparait de loutil dadministration Gestion de lordinateur )
En particulier, le compte administrateur local initial du serveur promu en contrleur de domaine devient alors
le compte administrateur du domaine Active Directory cr.
Nous verrons par la suite que nous pourrons crer dautres comptes du domaine sur ce contrleur, qui pourront tre
utiliss pour se connecter depuis toute machine membre du domaine (y compris le contrleur lui-mme)
Nous pourrons galement continuer utiliser et crer des comptes purement locaux sur toutes les machines membres
du domaine, sauf sur la machine contrleur elle-mme ou tous les comptes sont du domaine
2

Intgration des machines clientes virtuelles comme membres du domaine Active Directory agence-i.C309.local

Regardez la vido de lintgration dune machine au domaine AD

C309.local

A la fin de la vido, on se connecte 2 fois successivement sur la machine Client avec des comptes administrateurs diffrents
La 1re connexion seffectue avec le compte administrateur :

local la machine

du domaine AD

La 2nde connexion seffectue avec le compte administrateur :

local la machine

du domaine AD

Comment est dsign un compte local user une machine de nom Netbios PC ?
Comment est dsign un compte user dun domaine AD de nom Netbios DOMAIN ?
Remarque :

le nom Netbios dun domaine correspond la partie la plus gauche de son nom complet, crite gnralement en majuscule
expl : SIEGE-SOCIETE pour le domaine siege-societe.C309.local

Intgrez alors en vous inspirant de cette vido vos 4 machines virtuelles clientes votre domaine AD

agence-i.C309.local

(dmarrez et intgrez chacune des 4 machines virtuelles successivement pour viter des accs disques physiques simultans)

Vous pouvez mettre en pause

une machine virtuelle cliente une fois intgre au domaine et redmarre pour conomiser la mmoire

Quel est le compte, dont les paramtres vous sont demands, qui vous sert effectuer cette intgration ?

Ouvrez sur votre machine

serveur

loutil dadministration (menu dmarrer)

Dveloppez la branche relative votre


domaine et slectionnez la feuille
Computers pour vrifier que vos machines
clientes sont bien membres du domaine
Copie dcran de la fentre
Utilisateurs et ordinateurs Active directory

Vrifier que depuis les machines virtuelles de votre domaine, vous pouvez de pinger la machine

siege-societe du domaine parent


C309.local et celles (serveur, direction ...) dautres domaines virtuels dagences agence-k.C309.local

Copies dcran

Pourquoi ces machines sont elles maintenant joignables par leurs noms qualifis de domaine (ce qui n'tait pas le cas au TP2) ?

2 Cration et configuration de comptes utilisateurs du domaine Active Directory


Modification de paramtres de scurit des mots de passe

Regardez la vido

et modifiez de mme les paramtres de scurit de votre domaine


Active Directory agence-i.C309.local pour simplifier la cration des comptes utilisateurs puis redmarrez l'ordinateur.

Comptes utilisateurs du domaine Active Directory

Lisez le document pdf Comptes utilisateurs du domaine


A quel mcanisme du TP n1 sous Linux peut-on rapprocher celui des comptes utilisateurs du domaine Active Directory ?

Vous allez crer et configurer de manire optimale les comptes suivants dans votre domaine Active Directory agence-i.C309.local :
- un directeur, pouvant ouvrir une session nimporte quand sur tous les ordinateurs du domaine
- une secrtaire, dpendant du directeur, travaillant du Lundi au Vendredi de 8h 17h, et ne pouvant ouvrir de session que sur lordinateur
secrtariat aux horaires de travail.
- un technicien employ en CDI, dpendant du directeur, pouvant ouvrir des sessions nimporte quel moment sur les ordinateurs
technique1 et technique2 et galement sur lordinateur secretariat.
- un technicien stagiaire, prsent du Lundi au Jeudi de 9h 16h jusquau 30 juin, dpendant du technicien en CDI, et ne pouvant ouvrir
de session que sur les ordinateurs technique1 et technique2 pendant ses heures de prsence.

Dfinissez les paramtres de vos 4 comptes dans le tableau suivant, puis crez-les dans votre domaine AD
Prnom

Nom

Identifiant

Mot de passe

Gestionnaire

Expiration

Horaires

agence-i.C309.local
Ordinateurs

Vrifiez que vous pouvez bien ouvrir une session avec votre compte
directeur sur votre domaine agence-i.C309.local depuis
la machine virtuelle membre direction

Crez-y ensuite un fichier quelconque sur le bureau

Fermez la session et essayez den r-ouvrir une avec votre compte


directeur localement sur la machine direction

Y parvenez-vous ? Pourquoi ?

Mettez en pause la machine

serveur contrleur du domaine, et essayez douvrir sur la machine secretariat une session du
domaine agence-i avec le compte secrtaire .

Essayez maintenant sur la machine direction de r-ouvrir une session du domaine agence-i avec le compte directeur .
Que se passe-t-il ? Dans quel cas la session souvre-elle ? Quel profil utilisateur retrouve-t-on alors ?

Fermez la session prcdente, rallumez la machine

serveur , puis ouvrez une autre session, toujours avec votre compte directeur

du domaine, mais cette fois-ci sur la machine secretariat

Retrouvez-vous le fichier prcdemment cr sur le bureau ? Les fichiers du profil utilisateur directeur sont-ils locaux
(propres chaque machine du domaine) ou hbergs sur le serveur et commun louverture de session sur chaque machine ?

4 - Profils dutilisateurs itinrants du domaine Active Directory


Nous allons tout dabord crer une nouvelle partition sur le serveur, qui contiendra les profils des utilisateurs itinrants

Sur votre machine contrleur de domaine

serveur, lancez loutil dadministration

et slectionnez le menu Gestion de disques

Cliquez avec le bouton droit


sur la zone non alloue du
disque dur et choisissez
Nouveau volume simple
et la lettre dunit
Choisissez la taille maximum
et formatez cette partition en NTFS sous le nom Comptes AD
Aprs le formatage, vrifiez de la nouvelle unit E: dans lexplorateur

Regardez la vido

et configurez de mme le paramtre de scurit autorisant

les Administrateurs du domaine accder aux dossiers des profils itinrants puis redmarrez l'ordinateur.

Ouvrez maintenant le document pdf Profils utilisateurs itinrants et lisez-le entirement.


En suivant les diffrentes tapes, crez des profils itinrants sur la partition E: pour le directeur et les techniciens
Pourquoi cela ne prsente-t-il pas dintrt de crer des profils itinrants pour la secrtaire ?

Ouvrez ensuite une session du domaine avec votre compte directeur sur la machine cliente

direction

La machine direction possde-t-elle une copie locale du dossier du profil itinrant du directeur ? Ou se situe cette copie ?

Enregistrez un petit texte essai.txt avec le bloc-note sur le bureau de la machine direction sous votre compte directeur
Que se passe-t-il lorsque vous fermez la session ? Ou retrouve-t-on le fichier texte prcdent sur le contrleur de domaine ?

Pour chaque utilisateur itinrant du domaine, Windows 2008 synchronise son dossier de profil sur le serveur avec leurs copies locales
des diffrentes machines membres du domaine. A louverture ou la fermeture de session, lorsquune version dun fichier diffre entre
le serveur et la machine cliente, la version la plus rcente est garde : une copie seffectue pour remplacer la plus ancienne.
(une copie seffectue galement lorsque le fichier nexiste pas dun cot)
Que se passerait-il la fermeture de session avec un profil itinrant si vous tlchargiez avez un fichier de 10 Go sur votre Bureau ?
Et louverture de session sur une autre machine client que celle ou sest effectu le tlchargement ?

Fermez la session directeur sur la machine cliente

direction

5 - Cration et configuration des dossiers de base


Ouvrez le document pdf Dossiers de base et lisez-le entirement.
En suivant les diffrentes tapes, crez des dossiers de base sur la partition E: pour le directeur et les techniciens
Ouvrez une session du domaine sur la machine
direction avec le compte directeur et
vrifiez dans lexplorateur la prsence du
lecteur rseau associ son dossier de base.

Copie dcran

Quel est l'intrt de stocker des fichiers dans son dossier de base plutt que dans le dossier "Mes documents"

De quel mcanisme du TP n1 celui des dossiers de base se rapproche-t-il ? Quelles en sont les diffrences ?

Remarque :

Il est galement possible de changer l'emplacement de certains dossiers du profil dun utilisateur (par exemple Bureau
et Documents ) pour les situer dans le dossier de base, tout en les excluant du profil itinrant.
Cela permet d'viter les transferts de synchronisation, le travail s'effectuant directement sur les documents du lecteur rseau
et non pas sur une copie locale.

Ouvrez une session du domaine sur la machine

secretariat avec le compte directeur

Vrifiez la prsence sur le bureau du fichier texte esssai.txt cr l'tape 4. Supprimez-le.


Crez un fichier texte bureau.txt sur le bureau et un autre base.txt dans le dossier de base Z: et crivez-y "Secretariat".

Sans fermer celle sur la machine

secretariat, ouvrez une autre session du domaine avec le compte directeur mais de

de nouveau sur la machine direction

Que trouve-t-on sur le bureau de la machine direction et dans le dossier de base ? Expliquez.

Sur la machine

direction, crez ou modifiez le fichier bureau.txt sur le bureau et le fichier base.txt dans le dossier de

base crivez-y "Direction".

Arrtez d'abords la machine direction, puis la machine secretariat , et allez sur le contrleur Windows 2008 voir les
fichiers de votre directeur dans le dossier "Bureau" de son profil, et dans son dossier de base.
Quelles versions des fichiers voit-on alors sur le contrleur du domaine ? Expliquez pour chacun des fichiers.