Vous êtes sur la page 1sur 12

Stratgie

de 16 novembre

groupe
dans
Active
2012
Directory
Dans ce document vous trouverez des informations fondamentales sur
les fonctionnements de Active Directory, et de ses fonctionnalits, Windows
peut tre utilis en tant que support daide par exemple, ou bien TP
de part sa prsentation en tape structur. Noubliez pas de vous Server
documenter sur le support Microsoft qui rcence de nombreuses 2008R2
informations importante lorsque vous rencontr un problme.
Stratgie de groupe dans Active Directory 2012

Sommaire
I. Introduction ..................................................................................................................................... 3
II. Installation et configuration de base............................................................................................... 5
1. Avant de commencer .................................................................................................................. 5
2. Installation AD ............................................................................................................................. 5
III. Gestion des utilisateurs et ordinateur......................................................................................... 5
3. Units organisationnelles ............................................................................................................ 5
4. Groupes ....................................................................................................................................... 7
5. Intgration d'un client dans un domaine .................................................................................... 7
6. Discrimination clients AD ............................................................................................................ 8
7. Profil itinrant ............................................................................................................................. 9
IV. Stratgies de Groupe ................................................................................................................. 10
8. Domaine GPO ............................................................................................................................ 10
9. Activation de GPO ..................................................................................................................... 11

2
Stratgie de groupe dans Active Directory 2012

I. Introduction

192.168.0.0/24
192.168.0.0/24

Windows
WindowsServer
Server2008R2,
2008R2, Active
Active Directory
Directory Windows
WindowsSeven,
Seven,
@IP:192.168.0.11
@IP:192.168.0.11 @IP:192.168.0.100
@IP:192.168.0.100
Mask:255.255.255.0
Mask:255.255.255.0

L'objectif principal d'Active Directory est de fournir des services centraliss d'identification et
d'authentification un rseau d'ordinateurs utilisant le systme Windows. Il permet galement
l'attribution et l'application de stratgies, la distribution de logiciels, et l'installation de mises jour
critiques par les administrateurs. Active Directory rpertorie les lments d'un rseau
administr tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers
partags, les imprimantes, etc.

Active Directory existe depuis la version 2000, Le service d'annuaire Active Directory peut
tre mis en uvre sur Windows 2000 Server, Windows Server 2003 et Windows Server 2008, il
rsulte de l'volution de la base de compte plane SAM. Un serveur informatique hbergeant
l'annuaire Active Directory est appel contrleur de domaine .

Active Directory stocke ses informations et paramtres dans une base de donnes centralise. La
taille d'une base Active Directory peut varier de quelques centaines d'objets pour de petites
installations plusieurs millions d'objets pour des configurations volumineuses.

Dans les premiers documents Microsoft mentionnant son existence, Active Directory s'est d'abord
appel NTDS (pour NT Directory Services, soit Services d'annuaire de NT en franais). On peut
d'ailleurs encore trouver ce nom dans la littrature couvrant le sujet ainsi que dans certains utilitaires
AD comme NTDSUTIL.EXE par exemple, ou le nom du fichier de base de donnes NTDS.DIT.

Le protocole principal d'accs aux annuaires est LDAP qui permet d'ajouter, de modifier et de
supprimer des donnes enregistres dans Active Directory, et qui permet en outre de rechercher et
de rcuprer ces donnes. N'importe quelle application cliente conforme LDAP peut tre utilise
pour parcourir et interroger Active Directory ou pour y ajouter, y modifier ou y supprimer des
donnes. Il utilise galement DNS, LDAP, Kerberos V, SNTP, SMB/CIFS, MSRPC.

3
Stratgie de groupe dans Active Directory 2012

Active Directory introduit les notions de domaine, fort, arborescence:

Une arborescence Active Directory est donc compose de :

La fort : structure hirarchique d'un ou plusieurs domaines INDEPENDANTS (ensemble de tous les
sous domaines Active Directory). L'arbre ou l'arborescence : domaine de toutes les ramifications. Par
exemple, dans l'arbre domaine.tld, sous1.domaine.tld, sous2.domaine.tld et
photo.sous1.domaine.tld sont des sous-domaines de domaine.tld. Le domaine : constitue les feuilles
de l'arborescence. photo.sous1.domaine.tld peut-tre un domaine au mme titre que domaine.tld.

Le modle de donnes Active Directory est driv du modle de donnes de la norme X.500 :
l'annuaire contient des objets reprsentant des lments de diffrents types dcrits par des
attributs. Les stratgies de groupe (GPO) sont des paramtres de configuration appliqus aux
ordinateurs ou aux utilisateurs lors de leur initialisation, ils sont galement grs dans Active
Directory.

4
Stratgie de groupe dans Active Directory 2012

II. Installation et configuration de base

1. Avant de commencer
- Pensez donner un nom Windows facile retenir pour votre serveur : PODx,...
- Votre serveur doit avoir une adresse IP fixe : 192.168.X.Y

2. Installation AD
Ajoutant le rle Service de Domaine Active Directory

Avec la commande dcpromo :

- Cocher l'installation en mode avanc.


- Domaine dans une nouvelle fort
- Le domaine sera votreville.local
- Nom NetBios : VOTREVILLE
- Niveau fonctionnel : Windows 2008R2
- Les autres options seront laisses par dfaut.

III. Gestion des utilisateurs et ordinateur


3. Units organisationnelles
L'unit d'organisation est un type d'objet annuaire particulirement utile, contenu dans les
domaines. Les units d'organisation sont des conteneurs Active Directory dans lesquels vous pouvez
placer des utilisateurs, des groupes, des ordinateurs et d'autres units d'organisation. Une unit
d'organisation ne peut pas contenir des objets d'autres domaines.

Une unit d'organisation est l'tendue ou l'unit la plus petite laquelle vous pouvez
attribuer des paramtres de Stratgie de groupe ou dlguer une autorit administrative. Avec les
units d'organisation, vous pouvez crer des conteneurs l'intrieur d'un domaine afin de
reprsenter les structures hirarchiques et logiques de votre organisation. Vous pouvez ensuite grer
la configuration et l'utilisation des comptes et des ressources en fonction de votre modle
d'organisation. Pour plus d'informations sur les paramtres de Stratgie de groupe, voir Stratgie de
groupe (avant GPMC).

Tel qu'il apparat dans l'illustration, les units d'organisation peuvent contenir d'autres units
d'organisation. Vous pouvez dvelopper une hirarchie de conteneurs selon vos besoins afin de
traduire la hirarchie de votre organisation l'intrieur d'un domaine. Avec les units d'organisation
vous pouvez minimiser le nombre de domaines requis pour votre rseau.

Vous pouvez utiliser des units d'organisation pour crer un modle administratif auquel
vous pourrez appliquer une chelle quelconque. Un utilisateur peut recevoir des droits

5
Stratgie de groupe dans Active Directory 2012

d'administration pour toutes les units d'organisation d'un domaine ou pour une seule unit
d'organisation. Un administrateur d'une unit d'organisation ne requiert pas des droits
d'administration pour les autres units d'organisation du domaine. Pour plus d'informations sur la
dlgation d'autorit administrative, voir Dlgation de l'administration.

Les UO sont des conteneurs logiques dans lesquels des utilisateurs, des groupes, des
ordinateurs et d'autres UO sont placs. Elles ne peuvent contenir que des objets de leur domaine
parent. Une UO est la plus petite unit laquelle il soit possible d'appliquer une stratgie de groupe
ou une dlgation d'autorit.

Crez les trois U.O suivantes :

Dans utilisateurs et Ordinateurs Active Directory :

Entrez un nom pour crer votre UO.

- Comptabilit
- Secrtariat
- Informatique

6
Stratgie de groupe dans Active Directory 2012

4. Groupes
Pour comprendre le principe des groupes sous Windows 2008, vous pouvez lire cet article :

http://www.alexwinner.com/articles/win2008/9-groupead.html

Active Directory est un annuaire rfrenant notamment les utilisateurs et les groupes d'une
entreprise. Tous les utilisateurs et groupes existant sous Windows avant l'installation d'AD ont t
copis dans AD.

Comme pour lunit DUO, cliquez droit maintenant sur lUO, et faite Ajouter => Groupe

- Dans l'U.O. Comptabilit, crez le groupe assistants et le groupe chefs comptables.


- Dans l'U.O. Secrtariat, crez le groupe accueil et le groupe assistantes de direction.
- Dans l'U.O. Informatique, crez le groupe dveloppeurs et le groupe techniciens rseau.

Utilisateurs :

Chaque utilisateur devra pouvoir se connecter par le login suivant :

Premire lettre du prnom, nom complet, par exemple Sam Secrt devra
taper : ssecrt
Dfinissez un mot de passe. Les utilisateurs ne pourront pas changer de mot
de passe.

- Sam Secrt et Will Tariat seront ajouts l'U.O Secrtariat et dans


le groupe Accueil.
- Julie Assist et Rose Directi seront ajouts l'U.O Secrtariat
et dans le groupe Assistantes de direction. Jean Develo et
Joseph Peur seront ajouts l'U.O Informatique et dans le groupe
Dveloppeurs.
- Lucien Tec et Arthur Nicien seront ajouts l'U.O Informatique et
dans le groupe Techniciens rseau.
- Yves Comp et Franois Table seront ajouts l'U.O Comptabilit et
dans le groupe chefs comptables.
- Mathieu Assis et Julien Tant seront ajouts l'U.O Comptabilit et
dans le groupe Assistants.

5. Intgration d'un client dans un domaine


Avec votre client XP ou Seven, intgrez votre domaine (clic droit > proprits sur le poste de
travail, onglet nom de l'ordinateur).

Indiquez un nom d'utilisateur du groupe Secrtariat pour vous connecter.

7
Stratgie de groupe dans Active Directory 2012

6. Discrimination clients AD
Une option utile en entreprise dun point de vue scurit, vous pouvez dfinir des plages
dhoraires o les utilisateurs sont autoriss se connecter. Cliquez sur un utilisateur =>
Proprits , dans longlet compte dfinissez la plage dhoraires.

Dans le mme onglet, imposez l'utilisateur de se connecter uniquement sur


l'ordinateur client que vous venez d'intgrer.

A louverture de session du client, nous allons dfinir dans son poste de travail, un lecteur P :
personnel, qui pourra contenir ses documents de travail, lavantage tant dy avoir accs de
nimporte quelle poste informatique.

Utilisez nimporte quels utilisateurs, dans ses proprits, onglet Profil ,

Ici on peut voir quun dossier dj tait cre situ la racine du serveur et dans un dossier
profil, le dossier enfant comportant le nom de lutilisateur. Cre ce dossier o vous le dsirez, et
affectez lui des scurits en nautorisant laccs qu lutilisateur concern, ainsi qu ladministrateur
systme par exemple.

8
Stratgie de groupe dans Active Directory 2012

7. Profil itinrant
Il peut arriver qu'une personne utilise plusieurs ordinateurs, avec le mme compte d'utilisateur.
Lorsqu'il va utilisateur un ordinateur, il pourra avoir un environnement diffrent de celui prsent sur
l'autre ordinateur. Dans ce cas, il pourra tre intressant de configurer pour cet utilisateur un profil
itinrant. En effet, le fait d'utiliser ce type de compte va permettre votre utilisateur de conserver
ses documents, ses paramtres, et son environnement de travail, quelque soit l'ordinateur sur lequel
il ouvre une session. Les profils itinrants vont stocker leurs informations sur un serveur que vous
choisissez

Quels sont les avantages et inconvnients des profils itinrants ?

Pour crer un profil itinrant, il dabord cre un dossier la racine de notre serveur par exemple, en
le nommant profil. Configurez-le :

- Cliquez droit partage et scurit, Partagez le dossier


- Donnez le contrle total tous le monde (Autorisations)
- Commentez le partage (Profil itinrants)

Dans utilisateurs Active Directory :

- Cliquez droit sur le profil en question, dans onglet profil :


o Chemin du profil : \\@IPServeur\[Dossier_Parent]\%[Dossier_du_profil]%

Une fois connect lutilisateur crera ses dossiers et pourra y accder de nimporte quelle
autre poste, vrifier la fonctionnalit de votre configuration dans poste de travail sur le client :

- Cliquez droit proprit Poste de travail

- Cliquez sur
- Profil des utilsiateurs -> Paramtres

Changer le fond dcran par exemple, cre des fichiers, dconnectez-vous, et connectez vous
dune autre machine. Vous allez pouvoir constater quen se connectant le fond dcran correspond,
et dans lexplorateur Windows taper le chemin du profil pour accder aux documents.

9
Stratgie de groupe dans Active Directory 2012

IV. Stratgies de Groupe

8. Domaine GPO
Lorsque vous configurer les stratgies de groupe et dailleurs pour nimporte quelle applications
Windows Server, il faut tre particulirement mthodique. La base de GPO repose sur une
problmatique de gestion dentreprise, de scurit, daccs aux donnes, Qui le droit de faire
quoi ?

On peut schmatiser le processus daction des GPO :

En rgle gnrale on distingue chacun des groupes AD par des Domains GPO contenant les
feuilles GPO. (Expliquer ci-dessous). On peut galement classer les Domains GPO par type de
restriction. Des groupes AD peuvent correspondre plusieurs Domain GPO.

10
Stratgie de groupe dans Active Directory 2012

9. Activation de GPO
a. Domain GPO ; Objet de stratgie de groupe

Une liste de GPO de base est disponible, vous pouvez nanmoins crer les vtres, ceci dit elle ne
prsente que trs peu dintrts, mise part pour des cas trs particuliers, la liste fournie de base est
complte, comme vous allez pouvoir le constater

Dans le menu dmarrer :

Dans larborescence dployer votre fort, dans vous avez deux Domain GPO
de base, prenant pour notre exemple .

- Cliquez droit, Modifier.


- Activer toutes les feuilles GPO qui vous intresse pour ce Domain.

b. Feuilles de stratgie de groupe

Arborescence de gauche prsent tout dabord 2 grandes parties :

Comme vous pouvez le voir de nombreuses options sont disponibles, les fichiers se trouvant dans
.Maintenant comment se passe lactivation.

11
Stratgie de groupe dans Active Directory 2012

Trs simplement, cherchez la GPO que vous voulez appliquer :

- Cliquez droit, Modifier


- , OK

Spcifier dans les groupes qui hriteront de ce Domain GPO avec ses
feuilles correspondantes.

Ajouter
les
groupes

Pour ajouter un Domain GPO, cliquez droit , Nouveau .

Le client de stratgie de groupe du poste rcupre la configuration (par dfaut au bout de 60 120
minutes) qui est applicable lordinateur et/ou lutilisateur connect. Pour forcer l'application des
GPO, vous pouvez utiliser la commande :

gpupdate /force

Pour vrifier le rsultat de l'application des GPO, vous pouvez utiliser la commande :

gpresult /h rapport.

12