Vous êtes sur la page 1sur 6

I.U.T. Nice Sophia Antipolis – Département R&T.

TP 4 & 5 : Administration Windows 2003 Server

Concepteur original : Gilles Masson

Nous allons configurer :

Un client Windows XP

Un serveur Windows (version 2003)

Ce TP dure 6 heures. Vous devrez reprendre la même machine pour le 2 TPs afin de retrouver vos machines virtuelles d'une session à l'autre.

Important : Vous devez utiliser les 2 machines physiques de la paillasse. Démarrez les machines physiques en ubuntu car pour faire les manipulations sous windows, il faut être root sur donc nous allons utiliser des machines virtuellles. Plus précisément, vous devez mettre :

- le client Windows XP sur une machines physique. - le serveur Windows Serve 2003 sur l'autre machine physique.

1 Configuration des cartes et disques des machines

Pour configurer les machines virtuelles, dans un terminal lancer 'createvm-gm' (pas createvm). Reprenez la ligne d'exemple avec la machine virtuelle dont vous avez besoin en mettant IDE à la place SATA à la fin de la ligne. :

WS2003admin3.vdi pour l'une

WXPadmin3.vdi pour l'autre.

Une fois le createvm-gm effectué, il faut éditer la configuration de la machine depuis l'interface Virtualbox avant de la lancer.

Pour le client et le serveur :

Modifier son type en Windows si elle est en linux.

Allez dans la partie Réseau/Carte 1/Avancé et modifiez le type de carte en Pcnet-Fast III.

Vous pouvez maintenant lancer la machine virtuelle.

Configuration client Utilisez le compte 'cisco' (mot de passe vide). Pour le client XP bouton droit sur Poste de travail/Propriété/Nom de l'ordinateur et bouton changer. Donnez comme nom gtrXPN où N est le numéro de paillasse. Rédémarrez la machine virtuelle. Si la VM est figée au bout de moment, stoppez la en fermant la fenêtre et redémarrez ensuite depuis l'interface VirtualBox.

Configuration serveur Pour faire l’équivalent de ctrl-alt-suppr vous devrez donc faire Ctrl-suppr (avec le Ctrl de droite) Mot de passe pour l'Administrateur sur la machine virtuelle serveur : 'CCNA'. La touche permettant de « détacher » la souris de l'écran de virtualisation est 'Ctrl' (de droite) . Si vous passez en plein écran avec Ctrl-F alors Ctrl-home permet d'avoir en menu popup ce qui est en menu de la fenêtre sinon. Modifiez le nom du serveur avec la même procédure que le client en mettant le nom gtrWSN où N est le numéro de la paillasse.

Redémarrez (il faut indiquer un commentaire dans le fenêtre qui contrôle le démarrage))

En entreprise un serveur est configuré avec une adresse statique et non en DHCP. Récupérer les paramètres (adresse IP/masque/passerelle/DNS) de la carte réseau (bouton droit puis Etat ou Statut suivant que vous êtes parti du panneau de configuration ou de la barre d'état en bas à droite).

I.U.T. Nice Sophia Antipolis – Département R&T.

Configurez la à la main (ouvrir Connexion Réseau/Connexion au réseau local/Propriété/Protocole TCP/IP/Utilisez l'adresse IP suivante) avec les informations obtenues plus haut (le serveur DNS, si il n'y en a pas, est 134.59.136.1.)

Reportez les configurations dans le tableau suivant :

Serveur: Nom:

(il doit apparaître dans la fénêtre « Gérer votre Serveur »)

IP:

Client: Nom:

IP:

Nom du domaine:

Les noms s'appellent aussi noms Netbios dans la suite de ce TP (en dans le monde windows en général).

Vérifiez que le ping fonctionne. Le client a un pare-feu qu'il faut désactiver.

L’objectif de ce TP est de configurer un domaine Windows 2003 et d’accomplir un certain nombre d’opérations d’administration liées aux comptes utilisateurs, aux groupes, au partage de fichiers, à la gestion des permissions et des stratégies de sécurité mais aussi d’étudier la configuration interne des postes Windows.

2 Installation du serveur de domaine

Un serveur de domaine est un serveur Windows 2003 sur lequel est installé un annuaire centralisant l’ensemble des informations nécessaires à l’administration des postes de travail, des utilisateurs et des ressources réseau (imprimantes…). Cet annuaire est activé par le service Active Directory.

2.1 Installation de Active Directory

Sur le poste serveur, démarrer l’assistant d’installation de Active Directory : à partir de 'Gérer votre serveur' -> ajouter un rôle -> configuration personnalisée -> choisissez contrôleur de domaine. Répondez oui aux questions.

Créer une nouvelle “forêt” : nouveau domaine -> nouvelle forêt -> domaine domX.gtr.tp où X est le numéro de pallaisse. Configurer votre serveur comme serveur DNS du domaine domX.gtr.tp où N est le numéro de la paillasse. Quand le serveur propose le nom de domaine Netbios DOMN, acceptez (passez à Suivant).

Il va y avoir une erreur sur le service DNS qui n'est pas installer Lorsqu'il proposera d'installer le DNS, acceptez, c'est-

à-dire cochez la case « Installer et configurer le serveur DNS

Autorisations uniquement 2000/2003, pas de mot de passe de restauration. Montez l'image CD si besoin : menu Périphériques (de la fenêtre Virtualbox !), monter image CD depuis l'interface VirtualBox, aller chercher l'iso dans le bon dossier : /home/VBox/iso – voir enseignant (démontez le cd virtuel après usage).

»

Après redémarrage, allez dans Outils d'Administration->Assistant Configurer votre serveur et ajouter le serveur WINS.

Vous devez voir tous les services : Active Directory/Wins/DNS depuis la fenêtre Gérer votre ordinateur.

Pendant l'installation :

Elle prend un peu de temps, donc profitez en pour faire une recherche sur les services mis en oeuvre sur le serveur :

DNS, WINS, Netbios et Active Directory à partir de Wikipedia. Si vous avez des problèmes d'accès à Internet avec le navigateur (firefox), vérifiez que dans Préférences/Réseaux/paramètres, vous avez bien wall.unice.fr en proxy sur le port 3128.

A faire avant de poursuivre :

Sur le serveur et le client, allez dans les propriétés TCP/IP Avancées de la carte réseau, modifiez les paramètres réseaux afin que :

L'adresse IP votre serveur soit le 1er DNS,

134.59.136.1 soit le le second DNS.

Passez dans la partie configuration avancée (bouton Avancé

)

et faites également en sorte que :

domX.gtr.tp soit votre 1er suffixe de recherche DNS (il devrait y avoir domX.gtr.tp, gtr.tp, unice.fr) en utilisant

les flèches vertes pour le monter dans la liste,

Ajouter le en préfixe par défaut

I.U.T. Nice Sophia Antipolis – Département R&T.

les machines s'enregistrent sur votre nouveau DNS du serveur : cochez les 2 cases dessous.

Sur onglet WINS, indiquez votre serveur comme serveur WINS, et Activer NETBIOS : cochez la case. Redemarrez le serveur et le client !

2.2 Installation de la Console de Management

La console Microsoft Management Console (MMC) est un outil qui permet d’administrer Windows 2003 en concentrant l’ensemble des composants de gestion sous une même interface. La plupart des composants sont maintenant également présents directement dans les menus, mais il peut rester plus pratique d'avoir sa configuration personnalisée à disposition.

Créer une console MMC personnalisée (Menu Démarrer, Exécuter, taper mmc) Configurer la console pour travailler en mode “Auteur” (Menu Fichier, Options) Enregistrer votre console sous le nom RT-Admin dans le Bureau sans changer l'extension msc du fichier. Ajouter les composants logiciel enfichables (option du menu Fichier) puis bouton Afficher

Utilisateurs et ordinateurs Active Directory,

Sites et services Active Directory,

Gestion de l’ordinateur (répondre local sur la fenêtre),

Dossiers partagés (local).

DNS

Domaines et approbations Active Directory.

2.3 Ajout d'un client au domaine

Se connecter sur le PC client et le rajouter à votre domaine (domX.gtr.tp) qui vient d’être créé : il devient “client” du domaine (Même menu que celui pour modifier le nom précédemment). Tout le monde n'a pas le droit d'attacher sa machine à un domaine. Il faut s'identifier avec un compte administrateur du serveur ou du domaine : e compte Cisco du client est administrateur sur la machine (domaine GTRXPN) mais pas sur

le domaine. Vous devez donc utilisez le compte Administrateur du serveur !!!

Note: soyez sûr que le client à été démarré lorsque le serveur est pleinement actif !!!

3 Gestion des comptes utilisateurs

3.1 Création des espaces de données

Il s’agit de créer des dossiers sur le serveur et de les rendre accessibles depuis n’importe quelle machine du réseau. Un

de ces dossiers contiendra les répertoires de travail (l’espace « homedir ») de chaque compte utilisateur et l’autre

contiendra les profils utilisateurs.

Sur le serveur, créer les dossiers C:\Users et C:\Profiles et les rendre partageables (bouton droit quand vous sélectionnez les répertoires) sous les noms respectifs Users et Profiles, avec des permissions de sécurité de partage et des dossiers permettant à tout le monde un contrôle total (bouton Autorisations).

3.2 Création d’un compte utilisateur dans le domaine

Travaillez depuis la console RT-Admin précédemment créée.

Créer un compte user1 (icône avec une tête de personnage dans la barre d'outil) sur le serveur de domaine en utilisant le composant « Utilisateurs et ordinateurs Active Directory » en se plaçant sur domX.gtr.tp puis dans le répertoire User. Lui affecter un mot de passe qui n’expirera pas (au moins une majuscule et un chiffre). Dans l’onglet Profil, connecter le lecteur Z: au partage \\nom_serveur\Users\%username% Vous devez modifier nom_serveur avec GTRXSN mais pas%username %. Quel que soit le poste client du domaine où se connecte user1, la connexion sur le lecteur réseau Z: du répertoire de travail de user1 est automatiquement exécutée.

A quel groupe appartient user1 ? (cherchez l'onglet qui donne cette information 'Membre de').

Sur le poste client : tester le compte user1 en vous connectant sous cette identité. Vérifier que le montage de son répertoire de travail sur le lecteur Z: est effectif. Créer un fichier sur le client et vérifier que vous le voyez côté serveur

I.U.T. Nice Sophia Antipolis – Département R&T.

3.3 Création d’un compte d’utilisateur local sur la station

Depuis le serveur, ajouter un nouveau module Gestion de l’ordinateur, mais cette fois-ci pour votre machine client :

vous devez donc entrer son nom netbios.

Désactivez le pare-feu sur le client local en utilisant le compte Cisco d'origine qui est administrateur local sur la machine (attention, il faut changer de domaine, ce n'est plus domX, mais le domaine correspondant au nom netbios de la machine).

Aller dans la rubrique Utilisateurs et Groupes locaux et créer le compte userlocal1, membre du groupe local Utilisateurs.

Sur la station cliente : vous déconnectez du compte user1 et vous connecter sous le compte local userlocal1. Que constatez-vous ?

3.4 Utilisation des profils itinérants

L’utilisation des profils itinérants permet aux utilisateurs qui se connectent depuis plusieurs ordinateurs de retrouver leur données de profil utilisateur (Bureau, Mes documents, Menus…). Pour mettre en service cette fonctionnalité, il faut disposer sur un serveur d’un dossier partagé qui hébergera les profils : utiliser le partage \\nom_serveur\Profiles créé précédemment.

Créer un utilisateur user2 avec les mêmes caractéristiques que user1 pour le domaine. Dans l’onglet profil de la boîte de dialogue Propriétés du compte, taper le chemin d’accès \\nom_serveur\Profiles\%username% dans la zone Chemin du profil. Vous connecter sur le poste client sous l’identité user2 et vérifier sur le serveur le contenu du dossier C:\Profiles\. Pour user1 et user2, modifier la couleur de fond du bureau et créer un raccourci vers l’explorateur Windows. Fermer puis réouvrir les sessions pour vérifier que tout marche bien. Sur le poste client : vous connecter en tant qu’administrateur. Editer les propriétés du système (Menu Panneau de configuration – si vous ne voyez pas système, cliquez d'abord sur « Basculer vers l'Affichage Classique à droite »), onglet Avancé, et supprimer les profils de user1 et de user2 (ou bien effacer les 2 répertoires dans D:\Document and Settings\). Se reconnecter en tant que user1 et user2. Que constatez-vous ?

3.5 Gestion des permissions

Permissions de connexion d’un utilisateur Modifier les horaires de connexion de l’utilisateur user1 (éditer les propriétés de l’utilisateur user1 depuis le module Utilisateurs et ordinateurs Active Directory puis aller dans « Comptes »). Vérifiez que cela fonctionne.

Permissions sur les dossiers En tant qu’administrateur sur le contrôleur de domaine, essayer d’accéder aux dossiers user1 et user2 dans les répertoire C:\Users et C:\Profiles. Que constatez-vous ? Changer les autorisations de sécurité du dossier C:\Profiles de sorte que les membres du groupe Administrateurs du domaine aient le droit Contrôle total dans les dossiers de profil des utilisateurs.

Permissions sur les partages En tant qu’administrateur sur le contrôleur de domaine changer les autorisations des partages Users et Profiles :

Supprimer au groupe Tout le monde toute autorisation (décocher tout, ou le supprimer),

Attribuer au groupe Adminstrateurs du domaine le droit Contrôle total,

Ajouter l’accès au groupe Utilisateurs du domaine avec les droits en lecture et modification.

Ainsi seuls les utilisateurs de comptes membres du domaine pourront accéder à ces partages et modifier leur contenu.

Gestion des groupes

3.6 Groupe global

Depuis le module de gestion de l’annuaire, créer les groupes de sécurité globaux GTR et GTR1. Mettre user1 et user2 membres de GTR et user1 membre de GTR1. Sur le poste serveur de domaine, vous connecter administrateur et créer les partages C:\GTR et C:\GTR1.

I.U.T. Nice Sophia Antipolis – Département R&T.

Faire en sorte que seuls les groupes Administrateurs du domaine et GTR aient accès au partage GTR et Administrateur du domaine et GTR1 au partage GTR1. Vous connectez en user2 sur le poste client et vérifier les accès à ces 2 partages en allant dans Poste de travail puis Outils/Connectez un lecteur réseau /Parcourir et fouillez dans le serveur

3.7 Groupe de domaine local

Sur le contrôleur de domaine, créer un groupe de sécurité de domaine local (cocher les bonnes cases dans le fenêtre de création) intitulé RessourcesGTR. Y ajouter comme membres le groupe GTR de votre domaine. Modifier les propriétés du partage GTR pour donner le contrôle total au groupe RessourcesGTR. Vérifiez en vous connectant user1 que vous pouvez toujours y accéder.

4 Gestion des stratégies de groupes

Les stratégies de groupes permettent de gérer centralement depuis l’annuaire les paramètres de configuration de l’environnement des utilisateurs et des postes de travail. Les stratégies s’appliquent sur l’ensemble ou une partie des objets de l’annuaire ou la totalité d’un site selon les besoins. Ces stratégies sont stockées dans des objets Group policy Object (GPO). Editer la stratégie de groupe du domaine en ouvrant la boîte de dialogue Propriétés du composant Utilisateurs et ordinateurs Active Directory, sélectionner la racine du domaine et afficher ses Propriétés : l’onglet Stratégie de groupe permet de modifier la stratégie Default Domain Policy.

4.1 Gestion des paramètres de sécurité

Faire en sorte pour tous les ordinateurs du domaine (Configuration ordinateur->Paramètres Windows->Paramètres de sécurité) de :

- Masquer le nom d’utilisateur précédemment connecté (->Stratégies locales->Options de sécurité),

- Autoriser l’arrêt de la machine sans se connecter depuis la bannière de connexion (idem),

- Ajouter un message de bienvenue à l’ouverture de session (~idem, il faut le message ET le titre ! Ce sont deux GPO distincts !!!!).

- Modifier les exigences pour le mot de passe des utilisateurs (->Stratégies de comptes).

- Donner les droit d'accès aux administrateurs sur les répertoires des profiles (Configuration ordinateur->Modèles d'administration->Système->Profils utilisateur)

Il est nécessaire de redémarrer le poste client pour que les changements soient effectifs. Après le démarrage, il faut parfois ouvrir 2 sessions pour que cela soit pris en compte car à la première, on charge, mais on exécute pas. Vérifier le bon fonctionnement de ces changements.

4.2 Gestion des modèles d’administration

Faire en sorte pour tous les utilisateurs du domaine (Configuration utilisateur->Modèles d'administration) e :

- supprimer le menu Documents du menu Démarrer (->Menu démarrer et Barre des tâches),

- désactiver l’application Ajouter/supprimer des programmes du panneau de configuration (->Panneau de configuration). Vérifier le bon fonctionnement de ces changements.

5 Connexion sans le contrôleur de Domaine

Sur le poste serveur, désactiver l’interface réseau. Vous connecter en tant que user1 sur le poste client. Que se passe-t’il ? Redémarrer l’interface réseau sur le serveur.

6 Installation imprimante

Faire l'installation d'une imprimante réseau sur le serveur (imprimante locale sans détection, port TCP/IP sur 10.4.108.92, Epson-EPL5800. Elle devrait automatiquement être partagée (vérifier).

En tant que simple utilisateur la configurer sur le poste client, en tant que imprimante réseau, en \\votre_serveur\xxx. Se connecter sur le client avec un autre compte, non admin (donc pas en cisco) : qu'en est- il de l'imprimante ?

I.U.T. Nice Sophia Antipolis – Département R&T.

En admin sur le client (admin local à la machine ou admin de domaine), ajouter l'imprimante cette fois ci en imprimante locale, sans détection, et créer un port local avec \\votre_serveur\xxx. Se connecter sur le client avec un autre compte, non admin : qu'en est-il de l'imprimante ?

7 Déploiement de logiciels sur les postes du domaine

Abaisser le niveau de sécurité dans 'Panneau de configuration' -> 'Option internet' sur le serveur.

Récupérer putty_suite-0.58.msi depuis Internet et le mettre dans un partage fonctionnel de votre serveur : netlogon. Comme ce répertoire est difficile à trouver sur le serveur, il faut le monter comme si c'était un répertoire externe (Connecter un lecteur réseau).

Aller dans 'Gestion des stratégies de groupe' -> votre domaine -> 'ordi', click droit sur -> 'Modifier' -> 'Configuration '

ordinateur' -> 'Paramèteres du logiciel' -> 'Installation de logiciel' -> 'Nouveau' -> 'Package via son partage réseau, puis terminer les boites de dialogue.

. Choisir le .msi copié

Faire un 'gpupdate /force' dans un terminal puis redémarrer le serveur. Redémarrer le client, l'application devrait s'être installée à la première ou à la seconde connexion. Vous devez le trouver dans le menu application.