Académique Documents
Professionnel Documents
Culture Documents
de
groupe
dans
Active
Directory
16 novembre
2012
Windows
Server
2008R2
Sommaire
I.
Introduction ..................................................................................................................................... 3
II.
2.
Installation AD ............................................................................................................................. 5
III.
3.
4.
Groupes ....................................................................................................................................... 7
5.
6.
7.
IV.
8.
9.
Introduction
192.168.0.0/24
192.168.0.0/24
Windows
WindowsServer
Server2008R2,
2008R2, Active
Active Directory
Directory
@IP:192.168.0.11
@IP:192.168.0.11
Mask:255.255.255.0
Mask:255.255.255.0
Windows
WindowsSeven,
Seven,
@IP:192.168.0.100
@IP:192.168.0.100
L'objectif principal d'Active Directory est de fournir des services centraliss d'identification et
d'authentification un rseau d'ordinateurs utilisant le systme Windows. Il permet galement
l'attribution et l'application de stratgies, la distribution de logiciels, et l'installation de mises jour
critiques par les administrateurs. Active Directory rpertorie les lments d'un rseau
administr tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers
partags, les imprimantes, etc.
Active Directory existe depuis la version 2000, Le service d'annuaire Active Directory peut
tre mis en uvre sur Windows 2000 Server, Windows Server 2003 et Windows Server 2008, il
rsulte de l'volution de la base de compte plane SAM. Un serveur informatique hbergeant
l'annuaire Active Directory est appel contrleur de domaine .
Active Directory stocke ses informations et paramtres dans une base de donnes centralise. La
taille d'une base Active Directory peut varier de quelques centaines d'objets pour de petites
installations plusieurs millions d'objets pour des configurations volumineuses.
Dans les premiers documents Microsoft mentionnant son existence, Active Directory s'est d'abord
appel NTDS (pour NT Directory Services, soit Services d'annuaire de NT en franais). On peut
d'ailleurs encore trouver ce nom dans la littrature couvrant le sujet ainsi que dans certains utilitaires
AD comme NTDSUTIL.EXE par exemple, ou le nom du fichier de base de donnes NTDS.DIT.
Le protocole principal d'accs aux annuaires est LDAP qui permet d'ajouter, de modifier et de
supprimer des donnes enregistres dans Active Directory, et qui permet en outre de rechercher et
de rcuprer ces donnes. N'importe quelle application cliente conforme LDAP peut tre utilise
pour parcourir et interroger Active Directory ou pour y ajouter, y modifier ou y supprimer des
donnes. Il utilise galement DNS, LDAP, Kerberos V, SNTP, SMB/CIFS, MSRPC.
1. Avant de commencer
-
Pensez donner un nom Windows facile retenir pour votre serveur : PODx,...
Votre serveur doit avoir une adresse IP fixe : 192.168.X.Y
2. Installation AD
Ajoutant le rle Service de Domaine Active Directory
Avec la commande dcpromo :
-
III.
3. Units organisationnelles
L'unit d'organisation est un type d'objet annuaire particulirement utile, contenu dans les
domaines. Les units d'organisation sont des conteneurs Active Directory dans lesquels vous pouvez
placer des utilisateurs, des groupes, des ordinateurs et d'autres units d'organisation. Une unit
d'organisation ne peut pas contenir des objets d'autres domaines.
Une unit d'organisation est l'tendue ou l'unit la plus petite laquelle vous pouvez
attribuer des paramtres de Stratgie de groupe ou dlguer une autorit administrative. Avec les
units d'organisation, vous pouvez crer des conteneurs l'intrieur d'un domaine afin de
reprsenter les structures hirarchiques et logiques de votre organisation. Vous pouvez ensuite grer
la configuration et l'utilisation des comptes et des ressources en fonction de votre modle
d'organisation. Pour plus d'informations sur les paramtres de Stratgie de groupe, voir Stratgie de
groupe (avant GPMC).
Tel qu'il apparat dans l'illustration, les units d'organisation peuvent contenir d'autres units
d'organisation. Vous pouvez dvelopper une hirarchie de conteneurs selon vos besoins afin de
traduire la hirarchie de votre organisation l'intrieur d'un domaine. Avec les units d'organisation
vous pouvez minimiser le nombre de domaines requis pour votre rseau.
Vous pouvez utiliser des units d'organisation pour crer un modle administratif auquel
vous pourrez appliquer une chelle quelconque. Un utilisateur peut recevoir des droits
Comptabilit
Secrtariat
Informatique
Utilisateurs :
Chaque utilisateur devra pouvoir se connecter par le login suivant :
Premire lettre du prnom, nom complet, par exemple Sam Secrt devra
taper
:
ssecrt
Dfinissez un mot de passe. Les utilisateurs ne pourront pas changer de mot
de passe.
-
de
se
connecter
uniquement
sur
A louverture de session du client, nous allons dfinir dans son poste de travail, un lecteur P :
personnel, qui pourra contenir ses documents de travail, lavantage tant dy avoir accs de
nimporte quelle poste informatique.
Utilisez nimporte quels utilisateurs, dans ses proprits, onglet Profil ,
Ici on peut voir quun dossier dj tait cre situ la racine du serveur et dans un dossier
profil, le dossier enfant comportant le nom de lutilisateur. Cre ce dossier o vous le dsirez, et
affectez lui des scurits en nautorisant laccs qu lutilisateur concern, ainsi qu ladministrateur
systme par exemple.
Une fois connect lutilisateur crera ses dossiers et pourra y accder de nimporte quelle
autre poste, vrifier la fonctionnalit de votre configuration dans poste de travail sur le client :
-
Cliquez sur
Profil des utilsiateurs -> Paramtres
Changer le fond dcran par exemple, cre des fichiers, dconnectez-vous, et connectez vous
dune autre machine. Vous allez pouvoir constater quen se connectant le fond dcran correspond,
et dans lexplorateur Windows taper le chemin du profil pour accder aux documents.
Stratgies de Groupe
8. Domaine GPO
Lorsque vous configurer les stratgies de groupe et dailleurs pour nimporte quelle applications
Windows Server, il faut tre particulirement mthodique. La base de GPO repose sur une
problmatique de gestion dentreprise, de scurit, daccs aux donnes, Qui le droit de faire
quoi ?
On peut schmatiser le processus daction des GPO :
En rgle gnrale on distingue chacun des groupes AD par des Domains GPO contenant les
feuilles GPO. (Expliquer ci-dessous). On peut galement classer les Domains GPO par type de
restriction. Des groupes AD peuvent correspondre plusieurs Domain GPO.
10
Comme vous pouvez le voir de nombreuses options sont disponibles, les fichiers se trouvant dans
.Maintenant comment se passe lactivation.
11
, OK
Spcifier dans
feuilles correspondantes.
Ajouter
les
groupes
, Nouveau .
Le client de stratgie de groupe du poste rcupre la configuration (par dfaut au bout de 60 120
minutes) qui est applicable lordinateur et/ou lutilisateur connect. Pour forcer l'application des
GPO, vous pouvez utiliser la commande :
gpupdate /force
Pour vrifier le rsultat de l'application des GPO, vous pouvez utiliser la commande :
gpresult /h rapport.
12