Vous êtes sur la page 1sur 47

Stphane PLOVIER

Master Informatique
FLST - Lille
Administration Systme 2

TP Windows Server 2003


Compte Rendu dInstallation

-1-

Chapitre 0 : Sujet du TP dAdministration Systme 2

.. Annexe

Chapitre 1 : Prsentation de la structure de lentreprise

..Page 03

Chapitre 2 : Prsentation des postes

..Page 04

Chapitre 3 : Installation et configuration de Windows Serveur

..Page 05

Chapitre 4 : Installation des rpertoires personnels et partags

..Page 18

Chapitre 5 : Installation des imprimantes

..Page 30

Chapitre 6 : Installation des logiciels primordiaux (dploiement)

..Page 33

Chapitre 7 : Contrle et audit de laccs Internet

..Page 41

Chapitre 8 : Installation des outils dadministration

..Page 46

Chapitre 9 : Script de cration dutilisateurs

..Page 47

-2-

Chapitre 1 : Prsentation de la structure de lentreprise


La structure principale est une entreprise de dcoupe Laser (NCIA).
Elle est compose des services suivants :






Prsident Directeur Gnral (PDG)


Charg dAffaires
Secrtaire Comptable
Secrtaire
Bureau dtudes

Et est constitue de lquipe suivante :

Remarques :
Les noms du PDG et du personnel de lentreprise sont tout fait fictifs.
Une personne nest pas reprsente sur ce schma, il sagit de linformaticien qui sera
ladministrateur du rseau de lentreprise. Il nest pas reprsent car ne fait pas partie du
personnel dur de lentreprise, il nintervient quen temps quintervenant temporaire.

-3-

Chapitre 2 : Prsentation des postes


Cette entreprise dsire donc mettre jour son Informatique en fonction des besoins des
utilisateurs et de lentreprise en gnral.
Le but est que chaque utilisateur puisse avoir sa disposition les logiciels et les donnes
ncessaires au bon droulement de son travail quotidien.

Systme Windows

Description et remarques

Nombre de postes

Windows Serveur 2003


Ce systme sera le serveur de lentreprise.
Un contrleur de domaine sera install, ainsi quun
systme de rpertoires partags, de sauvegardes
automatiques, et dinstallation automatique de logiciels.
La plus grande partie de la configuration effectuer se
fera sur le serveur.
Windows Vista
Seul le PDG aura son ordinateur sous Windows Vista
pour des raisons de convivialit.
Son ordinateur sera galement reli au contrleur de
domaine, avec des droits de supervision de
linformatique de son personnel
Windows XP Professionnel SP2
Ce systme sera celui utilis par lensemble du
personnel de lentreprise.
Tous les postes seront galement relis au contrleur de
domaine.

-4-

Chapitre 3 : Installation et configuration de Windows Serveur 2003


Cette partie dcrit toutes les modifications et installations ralises sur le Serveur.
Rappel :
Ce TP est ralis en virtualisation * laide du logiciel Open Source Virtual Box de Sun
Microsystems.
(* Ici, porte par Linux Ubuntu 9.04)
Ceci dit, ce C.R. peut servir pour une installation sur de vraies machines
Ont t installes :
1 machine virtuelle sous Windows Serveur 2003 (fourni)
1 machine virtuelle sous Windows XP Professionnel SP2 (fourni)
1 machine virtuelle sous Windows Vista Home Premium ** (non fourni)
(** Sera teste en fin de TP sil reste le temps ncessaire)
1) Installation de la machine virtuelle Windows Serveur 2003
Machine Virtuelle nomme Windows Serveur 2003 WIN avec :

800 Mo de RAM
1 disque dur principal de 12Go (pour le systme)
1 disque dur secondaire de 6Go (pour le stockage)
1 carte rseau (PCNET-FastIII) relie Rseau Interne sur Localhost 127.0.0.1
 Servira pour le contrleur de domaine
1 carte rseau (Intel Pro 1000 MT Desktop) relie NAT
 Servira profiter de laccs Internet de lhte Linux
1 rpertoire partag avec lhte Linux, nomm LinuxServeur2003
 A monter en mode montage permanant sur lhte

2) Configuration lors de linstallation de Windows










Login / Password de ladministrateur : Administrateur / azerty


Nom de ladministrateur : Stphane
Organisation : NCIA
Domaine : DOMPLO / domaine.plo.com
Net Bios : domaineplo
Nom du serveur : SERVEURPLO
Mot de passe du mode de restauration : azerty

3) Installation des additions client Virtual Box (aprs installation de Windows)


Afin que le rendu graphique de la machine virtuelle soit performant, et pour faciliter le
passage du clavier et de la souris entre lhte et la VM, il est ncessaire dinstaller les
additions client.
Accessible via : Menu de la VM > Priphriques > Installer les additions Invit

-5-

4) Configuration des adresses IP


Carte rseau numro 1 (PCNET-FastIII) :
Adresse IP fixe : 192.168.10.10
Masque de sous rseau : 255.255.255.0
Carte rseau numro 2 (Intel Pro 1000 MT Desktop) :
Adresse IP dynamique, attribue par DHCP de lhte

Dans la fentre MS-DOS ci-dessus, nous pouvons voir comment monter le rpertoire partag
sur la machine virtuelle (LinuxServeur2003) :
Commande : net use P : \\vboxsvr\LinuxServeur2003
Comme il a t spcifi un montage permanant du dossier partag, et vu que Windows
Serveur 2003 a la capacit de conserver en favori ce type de rpertoire, il ne sera plus
ncessaire de le remonter.
vboxsvr reprsente le chemin principal daccs des rpertoires partags de Virtual Box.

-6-

5) Configuration avance du Serveur (pour une utilisation plus aise)


Enlever la combinaison de touches CTRL+ALT+SUPPR au dmarrage
Dmarrer > Excuter > gpedit.msc
Configuration ordinateur >
Paramtres Windows >
Paramtres de scurit >
Stratgies locales >
Options de scurit >
Ouverture de Session interactive : ne pas demander la
combinaison CTRL ALT SUPPR (double clic) >
Activer
Enlever le moniteur dvnements lors de larrt du serveur
Dmarrer > Excuter > gpedit.msc
Configuration ordinateur >
Modles dadministration >
Systme >
Afficher larrt du moniteur dvnements (double clic)
Dsactiver
Explications :
Cette option permet de dsactiver le fait de devoir systmatiquement entrer une information
lorsque lon arrte le serveur (obligation de justifier de laction car en principe, le serveur na
pas redmarrer, il doit tre en Haute Disponibilit).
Avec le moniteur dvnements

Sans le moniteur dvnements

-7-

Modifier les composants du Menu dmarrer


Par dfaut, le menu Dmarrer nest pas complet (selon convictions dutilisation).
Il est ncessaire de le complter afin davoir tous les outils essentiels sous la main
(et aussi pour enlever les options inutilement mises par dfaut galement).
Dmarche :
Clic droit > proprits (sur la barre des tches)
(Voir la suite de la dmarche dans le schma ci-dessus)

Ajouter ou modifier les fonctionnalits suivantes (dans lordre dapparition) :













Connexion rseau : afficher en tant que menu Connexions


Cocher la case Favori Rseau
Cocher la case Imprimantes et tlcopieurs
Dcocher la case Menu Favoris
Ma musique / Mes images / Mes documents : ne pas afficher
Outils dadministration systme : Afficher sur le menu tous les programmes et menu
dmarrer
Panneau de configuration : afficher en tant que menu
Poste de travail : afficher en tant que menu
Cocher Rechercher
Dcocher Afficher les documents ouverts rcemment

-8-

Enlever la configuration renforce dInternet Explorer (pour pouvoir naviguer sur Internet)
Internet Explorer nest pas configur par dfaut pour pouvoir naviguer sur Internet, afin
dviter des problmes pouvant venir de lextrieur du serveur
Mais pour des raisons de configuration de notre serveur, il est ncessaire de pouvoir accder
Internet durant quelques jours, du moins en attendant la mise en place du Proxy qui aura pour
rle de rguler cela.

Dmarche :
Dmarrer >
Panneau de configuration >
Ajout / Suppression de programmes (double clic)
(Voir la suite de la dmarche sur le schma ci-dessous)

Dcocher simplement la case


Il est possible que lassistant demande le CD dinstallation de Windows Serveur 2003.
Remarque :
(Pour viter davoir rinsrer le CD pour des programmes ou pour des pilotes, il est
galement conseill de copier le dossier i386/ du CD dans le C:/ du serveur)

-9-

6) Configuration logicielle du serveur


Installation des programmes ncessaires la configuration du serveur, et au travail de
ladministrateur.
Logiciels utiles pour la configuration future du contrleur de domaine




PDF Creator Writer (imprimante PDF virtuelle)


Service Pack 2 pour Windows Serveur 2003
ABEUI : Access Based Enumeration (programme servant masquer des rpertoires
sur le rseau)
ORK : Office Ressource Kit (programme servant dployer le pack Office sur les
clients de lActive Directory)
GPMC : Outil permettant de configurer la GPO sur lactive Directory




Logiciels utiles pour ladministrateur (selon ses convictions)







Microsoft Office Word 2003


Firefox 3.0
Adobe Reader 8.0
R-Drive Image (programme servant crer des Ghosts dun disque dur et le
redployer si ncessaire sur un autre disque)

7) Configuration du contrleur de domaine


Dfinitions :
Contrleur de domaine :
Dans l'environnement de rseau Microsoft, la notion de domaine dfinit un ensemble de
machines partageant des informations d'annuaire (Wikipdia).
Active Directory :
Avec l'Active Directory de Microsoft, les notions de domaine de "comptes" et de
"ressources" sont fusionnes. Il apparat de nouvelles notions :
les arbres runissent plusieurs domaines qui peuvent communiquer
les forts joignent des domaines disjoints ; la fort runit aussi des sites diffrents ;
Attention : les concepts de sites et d'units organisationnelles dans Active Directory sont
deux concepts trs diffrents de celui de domaine (Wikipdia).
Par rapport au schma de lentreprise, et par rapport leurs attentes, nous allons dans un
premier temps :
1.
2.
3.
4.
5.

Installer un contrleur de domaine


Activer lannuaire Active Directory
Ajouter un serveur de fichiers
Ajouter un serveur dimpression
Ajouter un serveur DNS

- 10 -

Dmarche :
Dmarrer > Outils dadministration > Grer votre serveur

(Il manque ltape du serveur DNS sur le schma)


LActive Directory servira la configuration :
 Des Units dorganisation
(Permet de grer les stratgies, les droits et les priphriques)
(Permet aussi de crer une arborescence claire dans lannuaire A.D.)
 Des groupes dutilisateurs
(Permet de globaliser des utilisateurs)
 Des utilisateurs
 Des ordinateurs
 Des applications
(Dploiement automatique de logiciels pour les clients de lA.D.)
Le serveur de fichiers servira partager des donnes entre les utilisateurs du domaine
Le serveur dimpression servira partager des imprimantes entre les utilisateurs
Le serveur DNS servira ce que les clients puissent joindre le contrleur de domaine

- 11 -

Configuration de lActive Directory

> Cliquer sur Grer les utilisateurs et les ordinateurs dans Active Directory.
Premire phase :
Crer 6 units dorganisation au total, dont 5 appartiennent 1
[-] Entreprise
[+] Bureau dtudes
[+] Charg daffaires
[+] PDG
[+] Secrtariat
[+] Secrtariat comptable
Ce mode de fonctionnement permet de reprsenter au mieux le schma actuel de lentreprise.

- 12 -

Deuxime phase :
Crer les utilisateurs et les groupes, sachant que chaque utilisateur appartient une unit
dorganisation et un groupe.
Nous allons prendre lexemple du Bureau dtudes, les autres utilisateurs et groupes se
creront de la mme manire.
[-] Entreprise
[-] Bureau dtudes (unit dorganisation)
 Groupe-BUREAUDETUDE (groupe)
 Jack Dubar (utilisateur)
 Jacques Dupont (utilisateur)
 Jean Dubateau (utilisateur)
 Jo Duplan (utilisateur)
Explications :
On cre un groupe dutilisateurs reli une unit dorganisation.
On cre ensuite nos 4 utilisateurs du bureau dtude.
On place nos 4 utilisateurs dans le groupe cre.
(Voir ci-aprs les explications avances pour les dmarches de cration dutilisateurs et de
groupes).

Il y aura donc un schma identique pour chaque unit dorganisation :

- 13 -

Dmarche de cration dun groupe :

Un clic droit sur une unit dorganisation permet de crer aisment un groupe, un utilisateur,
une imprimante, etc.
> Ici il faut choisir la cration dun groupe et suivre les tapes suivantes :

Il suffit de donner un nom au groupe et de renseigner son tendue.


Dans le prsent cas, il nest pas ncessaire de ltendre au domaine local, puisque nous
navons quun seul domaine.

- 14 -

Dmarche intermdiaire :
Windows Serveur 2003 a une politique de cration des mots de passe utilisateurs assez
restrictive, et mme si cela permet notre domaine dtre inviolable, cela fait aussi quil est
difficile de valider la plupart des chanes saisies, et donc de crer facilement des mots de
passe nos utilisateurs.
Il est donc ncessaire (dans notre cas uniquement) de dsactiver cette stratgie.
(Son nom est dans le registre : Le mot de passe doit respecter des exigences de complexit)
Dmarrer > Excuter > gpedit.msc
Configuration ordinateur >
Paramtres Windows >
Paramtres de scurit >
Stratgies de comptes >
Stratgie de mot de passe (clic)
Puis configurer la stratgie des mots de passe selon vos attentes.
Voici comment celle-ci a t configure sur le serveur :

- 15 -

Dmarche de cration dun utilisateur :


> Ici il faut choisir la cration dun utilisateur et suivre les tapes suivantes :

Figure 1

Figure 2

Etape numro 1 :
Renseigner le nom, le prnom, le login
Etape numro 2 :
Dfinir un mot de passe, et dfinir des
restrictions sur celui-ci
Etape numro 3 :
Rcapitulatif de cration, et
confirmation finale
Figure 3

Attention !!
Les utilisateurs de notre domaine ont tous un nom douverture de session comme celui-ci :
prenomnom@domaine.plo.com
dossier partag (sur le serveur en local) : C:\Utilisateurs\prenomnom\
dossier partag (sur le rseau) : \\serveurplo\prenomnom$ ($ pour le cacher sur le rseau)
Par la suite, un script permettra lautomatisation de cration dutilisateurs (qui les liera
automatiquement des units dorganisation, des groupes, des dossiers partags), et
respectera de la mme manire ces paramtres.
Il est donc fortement conseill den faire ainsi pour une cration manuelle.
Attention !!

- 16 -

Ensuite, il est ncessaire de lier les utilisateurs leurs groupes respectifs.


Dmarche :
(Voir schma ci-dessous)

Il suffit dajouter un groupe un utilisateur, sachant que dans notre schma il ne peut
appartenir qu un seul groupe.
Cela dit, dans dautres schmas dorganisation, un utilisateur pourrait parfaitement adhrer
plusieurs groupes.
Liste des utilisateurs (et groupes) crs sur lannuaire A.D. :
Nom / Prnom
Stphane PLOVIER
Ginette Dubois
Thierry Duboss
Georges Durand
Giselle Dubloc
Jacques Dupont
Jean Dubateau
Jack Dubar
Jo Duplan

Login
Administrateur
Ginettedubois
Thierryduboss
Georgesdurand
Giselledubloc
Jacquesdupont
Jeandubateau
Jackdubar
Joduplan

Passwd
Azerty
Plopplop
Plopplop
Plopplop
Plopplop
Plopplop
Plopplop
Plopplop
Plopplop

Statut / Groupe
Admin.
Groupe-SECRETARIAT
Groupe-PDG
Groupe-CHAREGDAFFAIRES
Groupe-SECRETARIATCOMPTABLE
Groupe-BUREAUDETUDES
Groupe-BUREAUDETUDES
Groupe-BUREAUDETUDES
Groupe-BUREAUDETUDES

Tous les couples Login / Mot de passe doivent tre saisis intgralement en minuscules.

- 17 -

Chapitre 4 : Installation des rpertoires personnels et partags


Il est ncessaire dajouter le rle auparavant (C.f. : tapes prcdentes).
Configuration du partage de fichiers

> Cliquer sur Grer ce serveur de fichiers.

Depuis cette vue, il est possible de grer (et surtout de voir) les rpertoires partags.

Ces rpertoires sont situs la racine du Serveur, accessible laide de ladresse


\\serveurplo\, accessible depuis une barre dadresse prsente dans votre navigateur de fichiers
Windows.
(Voir ci-dessous)

- 18 -

Remarque :
Depuis cette vue-ci, on ne peut voir que les rpertoires partags sans le $ la fin.
Ce qui nempche pas de pouvoir y accder directement en tapant par exemple, pour le disque
dur X:/ qui est partag (seulement ladministrateur) :
\\serveurplo\X$

- 19 -

Cration des rpertoires partags pour les units dorganisation et pour les utilisateurs.
Schma suivre :
Crer un rpertoire par utilisateur (son rpertoire personnel)
Crer un rpertoire commun la comptable et au PDG
Crer un rpertoire commun au secrtariat et au PDG
Crer un rpertoire commun tous
Crer un rpertoire pour la base de donnes de lentreprise
Par rapport aux Units dorganisation
Chemin global des rpertoires pour les units dorganisation :
C:/Entreprise/ (Ce rpertoire seulement est partag sur le rseau tout le monde)
Ensuite, dans le rpertoire Entreprise/, afin de rgler les permissions des dossiers auxquelles
utilisateurs ont accs / pas accs, il est ncessaire dtablir des autorisations spciales.
Cest pour cette raison (entre autres) quil a t ncessaire de crer des groupes utilisateurs
pour chaque unit dorganisation, ce qui nous permet de dfinir les droits dun dossier pour un
groupe prcis. (Remarque : LAdministrateur a aussi les droits sur tous ces rpertoires).
Il nest pas ncessaire de partager ces dossiers, simplement rgler les bons droits dessus).
Afin que les utilisateurs nayant pas accs certains rpertoires ne puissent les voir
(physiquement), il faudra utiliser ABEUI prcdemment install.
Nom du rpertoire
C:/Entreprise/
C:/Entreprise/Bureau dtudes/
C:/Entreprise/Charg daffaires/
C:/Entreprise/Commun-comptable-pdg/
C:/Entreprise/Commun-secretariat-pdg/
C:/Entreprise/Fichiers partags de lentreprise/
C:/Entreprise/PDG/
C:/Entreprise/Secrtariat/
C:/Entreprise/Secrtariat comptable/

- 20 -

Groupe(s) ayant les droits


TOUT LE MONDE
Groupe-BUREAUDETUDE
Groupe-CHARGEDAFFAIRES
Groupe-COMPTABLE
Groupe-PDG
Groupe-SECRETARIAT
Groupe-PDG
TOUT LE MONDE
Groupe-PDG
Groupe-SECRETARIAT
Groupe-SECRETARIATCOMPTABLE

Dmarche de modification des droits dun groupe pour un rpertoire partag :


Attention !!!
Avant toutes modifications, veillez bien mettre les bons droits sur le rpertoire Entreprise/,
sans quoi ses sous rpertoires vont hriter de ses droits en priorit (car en hritage).
Il est ncessaire de mentionner pour les droits dEntreprise/ :
(Clic droit proprits sur le dossier) >
Onglet Partage > Autorisations > Tout le monde ( droit tout RWX)
Onglet Scurit > Tout le monde (Contrle total)
Attention !!!
En gardant toujours lexemple du rpertoire appartenant au Bureau dtudes
(La dmarche est identique pour les autres rpertoires partags en suivant le tableau ci avant)
Clic droit sur le dossier >
Proprits >
Onglet Scurit >
Enlever tous les groupes sauf lAdministrateur (contrle total)
Enlever tous les utilisateurs (si il y en avait)
Laisser le groupe Systme et Crateur
Ajouter le groupe en rapport avec le dossier partager (contrle total)

La dmarche est lgrement diffrente en ce qui concerne les rpertoires communs


(Commun-comptable-pdg / Commun-secretariat-pdg / Fichiers partags de lentreprise).
 Il faudra renseigner plusieurs groupes pour un mme rpertoire (2 ou 5).

- 21 -

Par rapport aux utilisateurs


Chemin global des rpertoires pour les utilisateurs :
C:/Utilisateurs/
Chaque utilisateur possde un dossier qui porte son prnom et son nom tel que :
prenomnom/, celui-ci est partag et visible seulement par lutilisateur lui-mme (et par
lAdministrateur bien sr).
Dossier partag
C:/Utilisateurs/thierryduboss/
C:/Utilisateurs/georgesdurand
C:/Utilisateurs/ginettedubois
C:/Utilisateurs/giselledubloc
C:/Utilisateurs/jackdubar
C:/Utilisateurs/jacquesdupont
C:/Utilisateurs/jeandubateau
C:/Utilisateurs/joduplan

Utilisateur ayant les droits


Thierry Duboss PDG
Georges Durand
Ginette Dubois
Giselle Dubloc
Jack Dubar
Jacques Dupont
Jean Dubateau
Jo Duplan

Ces rpertoires peuvent galement tre accessibles depuis la racine du serveur :


Exemple pour lutilisateur Jacques Dupont : \\serveurplo\jacquesdupont$\
Rpertoires en local :

Exemple daccs pour lutilisateur Jacques Dupont :

- 22 -

Dmarche de modification des droits dun utilisateur pour son rpertoire personnel :
En gardant toujours lexemple du rpertoire appartenant a Jacques Dupont (Bureau dtudes)
(La dmarche est identique pour les autres rpertoires personnels en suivant le tableau ci
avant)
Clic droit sur le dossier >
Proprits >
Onglet Scurit >
Enlever tous les groupes sauf lAdministrateur (contrle total)
Enlever tous les utilisateurs (si il y en avait)
Laisser le groupe Systme et Crateur
Ajouter lutilisateur portant le nom du dossier personnel (contrle total)

Attention !!!
Ne pas oublier, dans longlet Partage, de rgler le partage du dossier en ajoutant un $ la fin
du nom du partage (Voir schma ci-dessous).

- 23 -

Afin que les utilisateurs aient les droits de lecture / criture / modification sur leurs rpertoires
personnels, dans ce mme onglet partage mentionn ci-dessus, il faut aller dans les
Autorisations du partage et mettre que TOUT LE MONDE a tous les droits sur le partage.
Remarque :
(Il est possible de mettre galement les droits de TOUT LE MONDE en lecture seule, et de
mettre que seul le propritaire du dossier ait tous les droits, par contre, cela fera que
lAdministrateur naura plus les droits dcriture sur ce rpertoire).
Par la suite, cest dans longlet Scurit que lon rgle le droit daccs uniquement
lutilisateur.

Seulement ce moment la, lutilisateur pourra travailler sur son rpertoire personnel.

- 24 -

Automatisation du montage des rpertoires partags propres chaque utilisateur


Maintenant que chaque utilisateur a son rpertoire personnel, ainsi quun accs dautres
rpertoires partags sur le rseau, il faut crer un script de dmarrage qui placera ces
rpertoires la manire de lecteurs rseau au sein du poste de travail.
Ces scripts seront placs et organiss selon le schma des units dorganisation.
Par consquent, et puisquil a t dfini des autorisations spciales sur les sous dossiers du
rpertoire Entreprise/ :
UN SEUL SCRIPT EST NECESSAIRE POUR LENSEMBLE DES UTILISATEURS DU RESEAU !!

Ce script sera plac dans lUnit dorganisation ENTREPRISE.


Laccs ce script se fait par la Gestion des Stratgies de Groupe.
Le but est de crer un objet de stratgie de groupes identique pour chaque utilisateur qui va
monter automatiquement au dmarrage leurs lecteurs rseau ncessaires
 Un lecteur pointera vers le dossier partag Entreprise.
 Un lecteur pointera vers le rpertoire personnel de lutilisateur.
Le fichier sappellera script-entreprise.bat et contiendra le code suivant :
script-entreprise.bat
Net use T: \\serveurplo\Entreprise
Net use P: \\serveurplo\%USERNAME%$

Dmarche :
Ouvrir loutil de Gestion des stratgies de groupes via la commande :
Dmarrer >
Excuter >
gpmc.msc (programme install ci avant)
Etape 1) Crer un nouvel objet de stratgie de groupe
Etape 2) Faire un clic droit > Modifier sur le nouvel objet
Etape 3) Lier notre script ci-dessus lobjet de stratgie :
Configuration utilisateur >
Paramtres Windows >
Scripts (dmarrage / arrt) >
Ouverture de Session (double clic)
Cliquer sur Ajouter puis lui indiquer le
chemin de notre script script-entreprise.bat
(Vrifier que le script est bien la bonne place)
Etape 4) Donner un nom cet objet de stratgie : Script-ENTREPRISE
Etape 5) Dfinir les droits des utilisateurs ou des groupes sur cet objet
Et lier cet objet dans lUnit dorganisation ENTREPRISE
Etape 6) Actualiser la stratgie au moyen de la commande gpupdate /force (MS-DOS)
(Voir dmarche en images ci-dessous)

- 25 -

Etape 1)

Etape 2)

- 26 -

Etape 3)

Etape 4)

Remarque :
Le fait de lier lobjet de stratgie de groupe du rpertoire Stratgies de groupes vers
lUnit dorganisation Entreprise fait que les 2 objets sont dfinitivement lis.
Si vous en supprimez un quelque part, il sera supprim partout !

- 27 -

Etape 5)

Ltape 5) permet de mettre jour les stratgies GPO sans avoir redmarrer le serveur.

Automatisation du montage des rpertoires partags propres aux groupes


Par rapport au mode de fonctionnement de lentreprise, il faut crer des rpertoires partags
entre certains utilisateurs, c'est--dire :
 Un rpertoire pour stocker la base de donnes de lentreprise (pour le PDG)
 Un rpertoire commun au secrtariat et au PDG
 Un rpertoire commun au secrtariat comptable et au PDG
Pour la dmarche de cration, elle sera dcrite rapidement, le mode de fonctionnement est le
mme que pour la cration des rpertoires partags des utilisateurs, quelques diffrences
prs sur les droits de partage :

Crer les rpertoires suivants dans le rpertoire Entreprise/ :


Bdd-entreprise/
Commun-secretariat-pdg/
Commun-comptable-pdg/

Rpartir les droits selon le schma suivant : (en contrle total)


Bdd-entreprise : Administrateur & groupe-PDG
Commun-secretariat-pdg : Administrateur & groupe-SECRETARIAT / PDG
Commun-comptable-pdg : Admin & groupe-SECRETARIATCOMPTABLE / PDG

- 28 -

Dmarche de cration des scripts de montage automatique (facultatif)


De par la manire dcrite ci-dessus, ces rpertoires seront visibles et accessibles uniquement
depuis le dossier Entreprise/.
Si vous dsirez avoir un lecteur rseau pour ces dossiers, vous pouvez procder comme tel :
1. Dplacez ces rpertoires du dossier Entreprise/ vers la racine C:/ du serveur par
exemple.
2. Partagez ces rpertoires avec un $ la fin du nom de partage pour les cacher sur le
rseau.
3. Laissez leur leurs droits pour les groupes comme dcrit ci avant
4. Puis crez dans la Gestion des stratgies de groupe, un nouvel objet de stratgie que
vous rattacherez aux units dorganisation correspondantes.
script-comptable.bat
Net use J: \\serveurplo\commun-comptable-pdg$
script-secretariat.bat
Net use K: \\serveurplo\commun-secretariat-pdg$
script-pdg.bat
Net use I: \\serveurplo\bdd-entreprise$
Net use J: \\serveurplo\commun-comptable-pdg$
Net use K: \\serveurplo\commun-secretariat-pdg$

- 29 -

Chapitre 5 : Installation des imprimantes


Selon le schma de lentreprise, il est ncessaire davoir 3 imprimantes sur le rseau.
Rappel :
Puisque linstallation de ce contrleur de domaine se fait en virtualisation, il est utile de se
servir dune imprimante PDF virtuelle.
Il est donc ncessaire dinstaller le logiciel PDFCreator.
Celui-ci tant libre de droits, il est facile de le trouver sur lInternet.

http://pdf-reader-creator.com/fr/
Celui install : PDF Creator 0.9.6
Par dfaut lors de linstallation, une imprimante PDF est cre, sur le port RPT1:, au niveau
de linstallation du Driver, tant donn que limprimante est virtuelle, il est possible de
slectionner le driver de son choix dans la liste propose par Windows.
Puisque dans le schma de lentreprise il est ncessaire davoir 3 imprimantes au total, il faut
les simuler dans la machine virtuelle. Pour cela, il faut crer 2 autres imprimantes au moyen
du menu Ajouter une imprimante dans Imprimantes et tlcopieurs .
Puisque les imprimantes sont virtuelles, et afin den avoir plusieurs, il faudra chaque
nouvelle installation mentionner une imprimante PDF sur un nouveau port virtuel (RPTx:) et
la crer avec un driver encore inutilis, sans quoi les imprimantes ayant le mme driver seront
rinstalles !

Besoins :
 1 imprimante commune tous services
 1 imprimante commune au secrtariat comptable et au PDG
 1 imprimante commune au bureau dtudes

- 30 -

Imprimantes cres :
Nom
PDFCreatorWriter

Nom du partage
PDFCW

Port
PDFCreator :

PDFCreatorWriter2

PDFCW2

RPT2 :

PDFCreatorWriter3

PDFCW3

RPT3 :

Driver
AGFA-AccuSet
v52.3
Apollo
P2100/P2300U

KODAK 1392
Model 44 PPD

Droits
TOUT LE
MONDE
Groupe du
secrtariat
comptable et
Groupe PDG
Groupe Bureau
dtudes

Les imprimantes sont accessibles via le serveur :


\\serveurplo\ Nom du partage de limprimante

Rglage des droits :


PDFCW > Tout le monde

(Ci-dessus) Dmarche de rglage des droits pour limprimante commune tous les services.
On dfinit le nom du partage de limprimante, et on met les droits TOUT LE MONDE dans
les scurits.

- 31 -

Pour les imprimantes PDFCW2 et PDFCW3 :


PDFCW2 > Groupes Secrtariat comptable et PDG
PDFCW3 > Groupe Bureau dtudes

Problme non encore rsolu : Monter les imprimantes partages de chaque utilisateur

Comment procder afin que les imprimantes partages dfinies soient visibles
automatiquement dans le dossier Imprimantes et tlcopieurs de chaque utilisateur ???
Le seul moyen qui fonctionne est que chaque utilisateur slectionne lui-mme limprimante
de son choix dans lActive Directory. Les outils et la dmarche pour la (les) trouver sont
relativement simples pour qui connat un peu (ou beaucoup) linformatique, mais pas
forcment pour les autres (on pense nos ans)
La solution (qui devrait fonctionner) se tourne vers le fichier NTUSER.DAT :
1- Configurer les imprimantes dun seul utilisateur (les trouver au moyen de lA.D.)
2- Copier son fichier C:\Documents and Settings\%USERNAME%\NTUSER.DAT dans le
dossier commun tous : C:\Documents and Settings\All Users\
Cette solution apporte en thorie la liste complte des imprimantes dans le dossier
imprimantes et tlcopieurs de chaque utilisateur

- 32 -

Chapitre 6 : Installation des logiciels primordiaux (dploiement)


Une des fonctionnalits intressante quoffre Windows Serveur 2003 est de pouvoir faire du
dploiement de logiciels sur les machines clientes distance et de manire totalement
automatique.
Par dploiement de logiciels il faut entendre installation de logiciels.
Pour dployer un logiciel sur une machine distante, il faut utiliser des packages dinstallation
au format .MSI.
Pour certains programmes ncessitant une clef de licence comme le clbre Pack Office, une
configuration spciale doit se faire sur le serveur laide dun logiciel tiers provenant du
mme constructeur.
Dans cet exemple seront configurs les 2 types dinstallation : Firefox et le pack Office.
Dmarche :
Crer un dossier Dploiement/ la racine C:/
Partager ce dossier en lui mettant en droits la lecture et laffichage pour TOUT LE MONDE

- 33 -

A lintrieur du dossier Deploiement/ , il est dsormais possible de crer diffrents rpertoires


contenant chacun les programmes ncessaires
Exemple :

La deuxime tape est de configurer dans la GPO un nouvel objet de stratgie de groupe pour
chaque nouveau programme dployer.
Etapes pour un exemple de dploiement classique, comme Firefox :
1) Crer dans la GPO un nouvel objet de stratgie, le nommer Firefox_deploy et dfinir
les droits pour les diffrents groupes.
2) Aprs cration, faire un clic droit > Modifier puis, lier cet objet :
Configuration utilisateur (ou ordinateur, cela dpend des choix) >
Installation de logiciel >
(Clic droit) > Nouveau Package >
Prendre le package Firefox.MSI dans le dossier Deploiement/
(Attention : le chemin spcifi doit contenir le chemin travers le rseau afin que les
utilisateurs puissent y accder depuis les postes client XP)
3) Faire un clic droit > Proprits sur le nom du package ainsi ajout puis configurer les
options suivantes :
-- Type de dploiement : publi * ou attribu **
(* Lutilisateur peut choisir sil veut installer le logiciel ou non)
(** Lutilisateur ne peut choisir, le logiciel est dploy directement)
-- Options de dploiement : installer le logiciel louverture de session
-- Onglet catgorie : lui attribuer une catgorie ***
4) Lorsque lobjet de stratgie est prt, il peut tre li lUnit dorganisation Entreprise.
Ne pas oublier de forcer la mise jour des stratgies avec un gpupdate /force

(Voir les tapes en images ci-aprs)

- 34 -

Etape 1)

Etape 2)

- 35 -

Etape 3)

Etape 4)
Lier lobjet de stratgie lunit dorganisation Entreprise.
Attention !!!
Lorsque vous liez lobjet de stratgie, celui-ci apparat deux fois dans la liste du domaine (
la fois dans Entreprise et dans les Objets de stratgie de groupe). Si vous supprimez un des
objets, les autres disparatront aussi !
Avec cette mthode-ci, les logiciels suivants ont t dploys :






Firefox 3.6
Adobe Flash player 10 (pour finaliser correctement linstallation de Firefox)
Adobe Acrobat Reader 7
Winrar (le package utilis a mis prs dune heure, mais fonctionne)

Voici une adresse utile ou lon peut trouver des packages MSI intressants
http://msicreteil.free.fr/

- 36 -

Etapes pour un exemple de dploiement complexe, comme le pack Office :


Le Pack Office est un logiciel de Microsoft, trs rpandu dans le monde daujourdhui qui est
livr avec une licence dutilisation.
De plus, sa procdure dinstallation permet de rgler plus ou moins doptions (le chemin
dinstallation, les composants du pack office que nous souhaitons installer, lentre de la clef
de licence, etc).
Afin que le Pack Office puisse se dployer facilement sur les machines clientes XP, il est
ncessaire de procder une Installation Administrative .
Dans un premier temps, il faut rcuprer lexcutable (sur Internet) nomm O.R.K.exe (Office
Ressource Kit) et linstaller sur le serveur.
Puis copier le contenu du CD dinstallation du Pack Office dans le rpertoire partag ddi au
dploiement de logiciels.

Puis, au moyen de la commande suivante, lancer linstallation administrative dOffice :

- 37 -

Installation administrative : tapes de cration du Fichier MST :


Linstallation administrative vous demandera quel package dinstallation il faut utiliser pour
crer le fichier MST : vous indiquerez PRO11.MSI dans le dossier dinstallation.
Le fichier MST servira pour les options de dploiement dOffice sur les clients.
Cest ce fichier qui sera cr lors de linstallation administrative, il contiendra les
informations que nous allons choisir, savoir :





Installation des packages : Word Excel Outlook PowerPoint


(Laissez toutes les options coches pour ces packages)
Clef de licence utilise : WWWWW-XXXXX-CCCCC-VVVVV-BBBBB
Acceptation du contrat de licence : Oui

A la suite de cela, le fichier MST est cr :

Il faut maintenant procder la configuration du dploiement dOffice dans la GPO.


La procdure de cration du nouvel objet de stratgie de groupe est la mme que pour Firefox
expliqu ci avant, la diffrence quil faut mentionner le fichier MST dans longlet
Modifications

- 38 -

Lorsque le client XP dtectera linstallation du Pack Office, lutilisateur naura plus aucun
paramtre entrer, le fichier MST fournira de manire totalement transparente les
informations et linstallation se fera la manire dun package simple.
Par rapport aux options entres, voici le rsultat final aux yeux de lutilisateur :

Remarque :
Il est tout fait possible de procder au dploiement dOffice sans passer par linstallation
administrative, toutefois, lutilisateur devra insrer la clef de licence et procder lui-mme
linstallation du Pack Office.
Tout dpend de la faon dont on souhaite que les choses se passent !

- 39 -

Informations sur dautres logiciels dploys sur le Client XP :


(Pour les packages trouvs sur http://msicreteil.free.fr )

WinRar
WinRar est un logiciel permettant de crer ou dextraire des archives aux formats zip, rar, iso,
etc
A savoir que le package MSI trouv sur Internet met environ 50 minutes se dployer (pour
un logiciel de 1,5Mo, le package doit avoir un problme de configuration).

Thunderbird
Pour linstallation de Thunderbird, il faudrait dans lidal que le dossier contenant les mails de
chaque utilisateur soit stock sur son rpertoire personnel, de manire pouvoir en assurer la
sauvegarde quotidienne mais aussi pour la scurit du contenu et de la vie prive de chacun.
La configuration de ces paramtres est peut tre possible laide dun fichier MST comme
pour le pack Office, tournez vous vers le Mozilla Ressource Kit peut tre
Sinon, cette configuration peut tre ralise la main par ladministrateur (plus laborieux
dans le cas dune grosse structure).

Adobe Flash Player


Linstallation dAdobe Flash Player est facultative, cest juste pour dassurer que lutilisateur
dispose de tous les outils ncessaires pour une navigation aise sur Internet avec Firefox.

Dernire remarque sur le sujet :


Il est possible de crer soi-mme des packages MSI laide de logiciels tels que
WININSTALL ou encore INSTALLSHIELD.

Plus dinformations sur cette page (trs complte dans les explications)
http://www.commentcamarche.net/forum/affich-4754383-creer-un-msi-avec-logiciel

- 40 -

Chapitre 7 : Contrle et audit de laccs Internet


Il est ncessaire dauditer laccs Internet, afin que les utilisateurs ne puissent naviguer que
sur certains sites.
En dautres termes : il faut bloquer des adresses qui ne sont pas ncessaire leur travail.
(Exemples : Facebook, Programme TV, sites pornographiques, )
Pour cela, il faut installer et configurer un Proxy .
Dfinition : Ordinateur ou logiciel qui s'intercale entre un rseau priv et Internet. Il enregistre
les pages Web transfres par les utilisateurs pour les dlivrer sans qu'il soit ncessaire de se
connecter sur le serveur initial. (Source : http://blog.wmaker.net/glossary/).
Ici, le Proxy test est : Freeproxy.
Cest un logiciel gratuit disponible sur lInternet.
Le procd se ralise en deux phases :
1) Paramtrer le partage de la connexion Internet sur le Client XP
Dabord, nous ajoutons une carte rseau notre machine virtuelle, que nous relions au NAT,
c'est--dire que nous laissons lhte (Linux ici) nous dlivrer une adresse IP et faire suivre les
services dont il dispose (ici, cest lInternet que lon cherche !).
Une fois cela fait, il faut se reloguer sous le serveur et paramtrer le partage.
Etape 1)

- 41 -

Le fait de partager la connexion Internet modifie lIP statique de lautre carte rseau en
192.168.0.1. Il est possible de remettre le rang 10 plutt que 0, mais la qualit des
informations transmises (au niveau des logs) sera moins consquente.
Une fois que la connexion Internet est partage, il faut ensuite configurer le pare-feu sur cette
carte rseau (ncessaire de le supprimer)
Etape 2) (Pare Feu Windows - Onglet Gnral)
(Ici il est totalement dsactiv pour lordinateur, mais il est aussi possible de le laisser pour les
autres cartes rseau)

Etape 3) (Pare Feu Windows - Onglet Avanc)

A partir de cette tape, la connexion Internet depuis le Client XP est effective


- 42 -

2) Paramtrer le Proxy sur le serveur


Il est ncessaire de commencer par installer le programme Freeproxy sur le serveur.
Ensuite, il faut le configurer

Etapes de configuration
1.
2.
3.
4.
5.
6.

Donner un nom au proxy cr


Le rgler sur un port (par dfaut, le 8080 sera choisi)
Local binding : en local, on slectionne la premire carte rseau (PCNet Family)
Remote binding : on prend la seconde carte rseau (Intel Pro 1000MT)
Cliquer sur Done
Enregistrer le profil de configuration en local ()

Quelques indications :
Les utilisateurs que lon peut dfinir dans Freeproxy ne sont pas issus de la liste des
utilisateurs de lActive Directory : ils sont dissocis
Dans les options, aucun paramtrage prcis nest ncessaire.
Attention !!!
Les sauvegardes pour le profil de configuration et pour les BanList (voir ci-aprs) doivent
tre en local afin de garantir leur accessibilit lors du lancement / de la rinitialisation du
Serveur. Sans quoi, au dmarrage de Windows, une erreur apparatra disant que certains
pilotes ou services nont pas pu dmarrer. Cette erreur sera rfrence dans le journal
dvnements de lobservateur dvnements (Dans le menu Outils dadministration).

- 43 -

Une fois le paramtrage du proxy termin, il est ncessaire de dfinir une liste de sites
Web auxquels nos utilisateurs nont pas accs (aussi appels sites web bannis)
Dmarche :
Crer un nouveau profil de BanList
Lister les sites o nous voulons une redirection automatique vers une page derreur
Enregistrer ce profil dans un dossier local

Etapes de configuration
7. () Lancer lditeur de BanList
8. Crer une catgorie (ici, elle sappelle Refused Websites )
9. Cliquer sur Manage Category details
10. Cliquer en bas sur Add URL / IP et ajouter les URL bloquer souhaites
11. Enregistrer cette BanList en local
12. Cliquer sur le bouton vert Activate , ce qui aura pour effet de mettre en place ces
rgles de scurit de navigation Web.

Maintenant que la configuration gnrale est termine, on peut lancer le service du Proxy.

- 44 -

A partir dici, il est maintenant obligatoire de faire comprendre au navigateur Web (du client
XP) quil faut quil passe par un Proxy afin daccder lInternet

Ici le navigateur configur est Firefox, mais cette politique daccs lInternet est rglable sur
tous les autres navigateurs connus tels quInternet Explorer
En thorie, partir de cet instant, le navigateur Internet du client XP acceptera daller sur
tous les sites saufs ceux dfinis dans la BanList.

- 45 -

Chapitre 8 : Installation des outils dadministration


Afin de faciliter le travail de ladministrateur rseau, il existe des outils permettant de
visualiser toutes les machines du rseau et de lister au cas par cas les problmes quelles
possdent
Il sagit de loutil THE DUDE disponible gratuitement sur lInternet
Explications : The Dude est un programme de surveillance de rseau par MikroTik.
Il permet d'amliorer votre faon de grer votre environnement rseau. Il analysera
automatiquement tous les appareils au sein d'un rseau intranet pour tracer une carte de votre
rseau. Il surveille aussi tous les services et vous alerte en cas de problmes sur n'importe quel
appareil.
(Source : http://www.commentcamarche.net)

The Dude Version 3.5

- 46 -

Chapitre 9 : Script de cration dutilisateurs (non ralise)


Il est possible de raliser un script permettant une cration rapide dun utilisateur.
Cela permettra simplement ladministrateur rseau de gagner du temps pour une cration
rapide. Dans le cas du schma dentreprise prsent ici, on pourrait galement fournir ce
script au PDG de lentreprise, afin quil procde lui-mme cette tache sans avoir besoin de
faire appel un informaticien.
Algorithme raliser :
Entrer nom :
Entrer prnom :
Slectionner groupe
Cration du rpertoire C:/Utilisateurs/prenomnom
Partager son rpertoire pour cet utilisateur seulement
Premire solution :
Installer un serveur IIS sur SERVEURPLO
(Ajouter un rle au serveur > Serveur IIS ASP+ASP.NET)
Crer une page avec un Script en ASP (la placer dans C:/Inetpub/wwwroot/)
Deuxime solution :
Crer le script sous MS-DOS ! (Plus laborieux)

- 47 -