Académique Documents
Professionnel Documents
Culture Documents
Mr Mohamed GUERROUMI
Thème
Introduction ………………………………………………………………................................... 3
Solutions ……………………………………………………………………………………………. 52
Référence ………………………………………………………………………………………….. 75
2
Introduction
L’administration des réseaux est une fonction indispensable dont il faut tenir compte
lorsqu’on décide de s’investir dans la conception d’un réseau. Selon le standard ISO,
l’administrateur de réseau doit :
• Surveiller et réparer les anomalies du réseau;
• S’occuper de toutes les configurations, que ce soit sur les postes ou sur les éléments du
réseau;
• Gérer toute la sécurité du réseau (mots de passe, pare-feu, ...);
• Mesurer et analyser les performances du réseau;
• Gérer les informations comptables du réseau (coût des liaisons longue distance, etc.).
En particulier, ces travaux pratiques vont permettre aux étudiants d’acquérir les
connaissances et les compétences nécessaires à l’administration des comptes et des ressources
de réseau. Ils permettent également de savoir manipuler les autorisations permettant d’accéder
aux ressources, d’administrer les accès aux fichiers et de configurer les stratégies de groupe.
Enfin, ces travaux pratiques portent sur les modèles de sécurité et le test de la stratégie de
sécurité des ordinateurs. Ils aident à apprendre à configurer des audits et à gérer les journaux
de sécurité.
3
Tableau1 : Répartition de ces travaux pratiques selon la spécialité
Spatialité Module TP
L3 Génie des Télécommunications Administration réseau Tp9, TP5, Tp10, Tp6, Tp11,
et Réseaux Tp12
L3 Informatique académique Administration client Tp1, Tp2, Tp3, Tp4, Tp5,
serveur Tp6,
L2 Génie des Télécommunications SES Tp1, Tp2, Tp3, Tp4, Tp7,
et Réseaux TP8
4
TP n°1
Préparation de l’environnement, Installation et configuration du
Serveur DNS et du contrôleur de domaine.
Objectifs
À la fin de ces travaux pratiques, vous serez à même capable d’effectuer les opérations suivantes :
Machine virtuelle Machine virtuelle
Serveur Client
192.168.10.1/24 192.168.10.2/24
LAN
5
…………………………………………………………………………………
…..………………………………………………………………………………
……..……………………………………………………………………………
………..…………………………………………………………………………
………..…………………………………………………………………………
………..
b. Installer une machine virtuelle serveur et une machine virtuelle cliente (Windows
Xp ou Windows 7.0).
2. Configuration du réseau virtuel :
a. Citer les différents modes de configuration disponible.
……………………………………………………………………………………..
……………………………………………………………………………………..
……………………………………………………………………………………..
……………………………………………………………………………………..
……………………………………………………………………………………..
……………………………………………………………………………
………..……………………………………………………………………………
……..………………………………………………………………………………
…..
………………………………………………………………………………………
………………………………………………………………………………………
……………………..
b. Quel est le mode que vous devez utiliser pour connecter les machines sur le même
réseau LAN
….…………………………………………………………………........................
c. Utiliser ce mode et configurer les deux machines virtuelles sur le même réseau
local en utilisant le plan ip suivant :
6
……………………………………………………………………………………..
……………………………………………………………………………………..
……………………………………………………………………………………..
……………………………………………………………………………………..
……………………………………………………………………………………..
…………………………………………………………………………………..…
………………………………………………………………………………..……
………………………………………………………………………………………
7
Pour adhérer la machine cliente au domaine « mondomaine.dz » procéder comme
suit :
1. Sur le serveur, ouvrir une session en tant que administrateur puis exécuter la
commande mmc ou utiliser la commande runas (Démarrer et Exécuter, tapez runas
/user:administrateur mmc) si vous avez ouvert une session d’un autre utilisateur.
2. Dans le menu Fichier de la console, cliquer sur Ajouter/Supprimer un composant
logiciel enfichable.
3. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable,
cliquez sur Ajouter.
4. Dans la boîte de dialogue Ajout d’un composant logiciel enfichable autonome,
double-cliquez sur l’élément à ajouter.
5. Si un Assistant apparaît, suivez les instructions qui s’affichent.
6. Pour ajouter un élément supplémentaire à la console, répétez l’étape 4.
6. Dans la boîte de dialogue Ajout d’un composant logiciel enfichable autonome,
cliquez sur Fermer.
7. Cliquer sur OK une fois les opérations terminées.
8. Dans le menu Fichier, cliquer sur Enregistrer.
8
TP N°2
Compte utilisateur et ordinateur
Objectifs
Dans cette application pratique, vous allez :
- Créer un compte d’utilisateur local en utilisant Gestion de l’ordinateur.
- Créer un compte de domaine à l’aide d’Utilisateurs et ordinateurs Active Directory.
- Créer un compte d’utilisateur de domaine.
- Créer un compte d’ordinateur.
10
b. Cliquer avec le bouton droit sur UOTp2, pointer sur Nouveau, puis cliquer sur
Ordinateur et ajouter un compte d’utilisateur à l’unité d’organisation UOTp2
avec le nom d’ordinateur : Ordinateur001.
c. Créer un autre compte d’ordinateur Ordinateur002 dans l’unité d’organisation
UOTp2 à l’aide de la commande dsadd
à l’invite de commandes, tapez la commande suivante :
dsadd computer "cn=Ordinateur002,ou=UOTp2,dc=mondomaine,dc=dz"
d. Comment lier un compte ordinateur à un ordinateur physique ?
………………………………………………………………………………..
………………………………………………………………………………..
………………………………………………………………………………..
e. Quel est l’utilité du compte ordinateur ?
………………………………………………………………………………..
…………………………………………………………………………………
………………………………………………………………………………..
………………………………………………………………………………..
11
TP N°3
Gestion de groupes
Objectifs
Dans cette application pratique, vous allez :
- Créer Les différents types de groupe.
- Gérer l’appartenance à un groupe.
- Tester l’accès aux ressources.
b. Dans l’unité d’organisation UOTp3, créer les groupes de domaine local suivants:
- DLEngineeringManagersFullControl.
- DLEngineeringManagersRead
b. Créer les groupes de domaine local suivants dans l’unité d’organisation UOTp3:
- DLEngineeringTeamFullControl
- DLEngineeringTeamRead
12
- Tp3User2 et Tp3User3 appartiennent au groupe GEngineeringTeam.
5. Tester l’accès
a. Sur la machine cliente, ouvrir une session en tant que Tp3User1.
b. Documenter les différentes méthodes d’accès à distance à une ressource ?
…………………………………………………………………………………………
…………………………………………………………………………………………
……………………………………………………………………….
c. Tester l’accès aux ressources Rep1 et Rep2.
d. Qu’est ce que vous remarquez ?
……………………………………………………………………..…………
e. Commenter ce résultat d’accès
……………………………………………………………………………………….…
………………………………………………………………………………………
……………………………………………………………………………………….
……………………………………………………………………….
f. Ajoutez le groupe global GEngineeringManagers au groupe
DLEngineeringManagersFullControl.
g. Ajoutez le groupe global GEngineeringTeam dans le groupe
DLEngineeringTeamRead.
h. Tester l’accès aux ressources Rep1 et Rep2.
13
TP n°4
Autorisation d’accès aux ressources partagées
Objectifs
À la fin de ces travaux pratiques, vous serez à même capable d’effectuer les opérations suivantes :
14
o Peut-on supprimer Rep2_Tp4? quelle permission permet d’autoriser la
suppression?
…………………………………………………………………………………
….…………….…………………………………
15
système de permissions de NTFS. On vous demande de proposer une solution (ressources à
partager, comptes à créer) pour permettre aux équipes de partager les informations du projet et
de suivre les étapes de réalisation. Comment vous allez procéder ?
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
……………………………..……………………………………………………………………
…………………………………………………………………………………………………
……………………………………………
16
TP N°5
Les objets Active Directory
Objectif
Pour répartir la charge entre les administrateurs, votre entreprise souhaite que chaque
administrateur puisse créer et supprimer des comptes d’utilisateurs et d’ordinateurs et
réinitialiser les mots de passe utilisateur. Ces tâches spécifiques sont effectuées dans les unités
d’organisation qui lui sont affectées.
17
b. Dans la page Bienvenue de l’Assistant Délégation de contrôle, cliquer sur
Suivant.
c. Dans la page Utilisateurs ou groupes, sélectionner Tp5User2, puis cliquer sur
Suivant.
d. Dans la page Tâches à déléguer cliquez sur Créer une tâche personnalisée à
déléguer, puis cliquez sur Suivant.
e. Dans la page Type d’objet Active Directory, cliquer sur Seulement des objets
suivants dans le dossier, puis activez la case à cocher Objets Ordinateur.
f. Activer les cases à cocher Créer les objets sélectionnés dans ce dossier et
Supprimer les objets sélectionnés dans ce dossier, puis cliquez sur Suivant.
g. Dans la page Autorisations, activez la case à cocher Générales.
h. Sous Autorisations, activez les cases à cocher Lire et Écrire, puis cliquez sur
Suivant.
i. Dans la page Fin de l’Assistant Délégation de contrôle, cliquez sur Terminer.
18
parent de se propager à cet objet et aux objets enfants. Cela inclut les objets
dont les entrées sont spécifiquement définies ici.
c. Dans la boîte de dialogue Sécurité, cliquez sur Supprimer.
19
TP N°6 :
L’utilisation des stratégies de groupe
Objectifs
L’objectif de ce TP est d’effectuer les taches suivantes :
• Implémenter une stratégie Locale.
• Implémenter une stratégie de groupe dans un domaine.
• Tester la différence entre la suppression d'un lien et la suppression d'une stratégie de
groupe.
Pour créer un objet de stratégie de groupe pour un site, un domaine ou une unité
d’organisation, en utilisant l’outil Gestion des stratégies de groupe procédez comme suit :
1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestion
des stratégies de groupe.
20
2. Dans l’arborescence de la console Gestion des stratégies de groupe, développez la
forêt contenant le domaine où vous voulez créer l’objet de stratégie de groupe, puis
développez Domaines et le domaine.
3. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur
Nouveau.
4. Dans la boîte de dialogue Nouvel objet GPO, tapez le nom du nouvel objet de
stratégie de groupe, puis cliquez sur OK.
5. Configurer la nouvelle stratégie de groupe.
6. Pour lier la stratégie de groupe regardez la partie 2 de cet exercice.
Pour créer une stratégie de groupe en utilisant l’outil ordinateur et utilisateur Active
directory procédez comme suit :
1. Cliquez avec le bouton droit sur le domaine, le site ou l’unité d’organisation, puis
cliquez sur Propriété.
2. Sélectionnez l’onglet stratégie de groupe
3. Dans la boîte de dialogue Sélectionner nouveau.
4. Dans la boîte de dialogue Nouvel objet GPO, tapez le nom du nouvel objet de
stratégie de groupe, puis cliquez sur OK.
Quelle est la différence entre l’outil Gestion des stratégies de groupe et l’outil ordinateur et
utilisateur Active directory quant à la création d’objet de stratégie de groupe ?
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………
21
…………………………………………………………………………………………
…………………………………………………………………………………………
…………
5. Fermer la session en cours puis ouvrir une session avec le compte de domaine
Tp6usre1
6. Est-ce que l’option Arrêter figure dans le menu Démarrer?
…………………………………………………………………………………………
… ………………………………………………………………………………
7. Désactiver la stratégie locale de l’exercice 1. ouvrir une session avec le compte de
domaine Tp6usre1 sur la machine cliente. Est-ce que l’option Arrêter figure dans le
menu Démarrer?
…………………………………………………………………………………………
………………………………….………………
8. Sur le serveur, active la stratégie de groupe définie dans cet exercice (propriétés de
cette stratégie, cliquer sur activé). Sur la machine cliente, ouvrir une session avec le
compte de domaine Tp6usre1 sur la machine cliente. Est-ce que l’option Arrêter figure
dans le menu Démarrer?
…………………………………………………………………………………………
………………………………..……
22
TP N°7
Administration d’un ordinateur à distance
Objectifs
L’administration à distance vous aide à identifier et à résoudre les problèmes que les
utilisateurs peuvent rencontrer, sans envoyer le personnel du support technique sur le site
de l'utilisateur.
L’objectif de ces travaux pratiques est d’effectuer les opérations suivantes :
23
e. Cocher la case Autoriser les utilisateurs à se connecter à distance à cet ordinateur.
2. Ouvrir une session de console distante
a. Sur la machine cliente, Ouvrir une session en tant utilisateur TP7_user1.
b. Décrire les méthodes permettant de lancer l’outil Bureau à distance
……………………………………………………………….…………………….
……………………………………………………………….…………………….
……………………………………………………………….…………………….
……………………………………………………………….…………………….
……………………………………………………………….…………………….
……………………………………………………..
c. Vérifier que le serveur est démarré et qu’une session locale est ouverte.
d. Utiliser l’une des méthodes décrites dans 2(a) pour ouvrir une session à distance
sur le serveur. Utiliser le compte de l’administrateur pour ouvrir cette session.
Que se passe-t-il pour la session locale ouverte sur serveur après l’ouverture de la
session Bureau distance pendant sur le serveur depuis la machine cliente ?
………………………………………………………………………………………
………………………………………………………………
e. Créer un dossier partagé sur le serveur avec les paramètres suivants :
Nom du partage : TP7_Patrage2
Chemin : C:\
Autorisation : Administrateur : Contrôle total et TP7_user1: Lecture
seule
f. Fermer la session Bureau à distance.
g. Vérifier que l’administrateur accède en contrôle total au dossier TP7_Patrage2 et
que l’utilisateur TP7_user1 accède en lecture seulement.
h. Quelle est la différence entre l’outil Gestion de l’ordinateur et l’outil Bureau à
distance ?
…………………………………………………………………………………….
……………………………………………………………….…………………….
……………………………………………………………….…………………….
……………………………………………………………….…………………….
……………………………………………………………….…………………….
………………………………………………………………..
3. Existe-t-il d’autres outils de connexion bureau à distance ?
…………………………………………………………………………………………
……………………………………………..…………………….…………………….
………………………………………………
Exercice 3 : Gestion de sessions de Bureau à distance
Cet exercice vous permet de surveiller et de gérer les utilisateurs et les sessions distantes
ouvertes sur serveur.
24
a. Sur le serveur et en tant qu’administrateur, exécuter l’outil d'administration
« Configuration des services Terminal Server ».
b. Dans le volet d'informations, cliquer avec le bouton droit sur RDP-Tcp, puis
cliquez sur Propriétés.
c. Sous l'onglet Sessions, activer la première case « Remplacer les paramètres de
l'utilisateur ».
d. Limiter la durée d’une session active par une minute.
e. Ouvrir une session Bureau distance sur le serveur depuis la machine cliente pour
tester le paramètre « Limite de session active »
Analyser une session distante
a. Sur le serveur et dans le menu Outils d'administration, cliquer sur Gestionnaire
des services Terminal Server.
b. Cliquer sur l'onglet Sessions pour afficher les sessions en cours.
c. Pour déconnecter une session distante, cliquer avec le bouton droit sur la session,
puis cliquez sur Réinitialiser.
25
TP N°8
Analyse des performances du serveur
Objectifs
L’objectif de ces travaux pratiques est d’effectuer les opérations suivantes :
26
3. Sélectionner l'une des options suivantes pour analyser les instances du
compteur sélectionné :
• Toutes les instances (si vous souhaitez analyser toutes les instances
des compteurs sélectionnés).
• Choisir les instances (si vous souhaitez analyser les instances choisies
dans la liste des compteurs sélectionnés).
• Dans quel cas un compteur sélectionné peut avoir plusieurs instances ?
…………………………………………………………………………
………………………………………………………………………...
…………………………………………………………………………
…………………………………………………………………………
……………………………………
- Cliquer sur Ajouter, puis sur Fermer.
- Sous l'onglet Général, modifier l'intervalle dans le champ correspondant.
- Sous l'onglet Planification, modifier le jour et l'heure du démarrage et de l'arrêt du
journal, puis cliquez sur OK.
- Si un message vous invite à créer un dossier de journal, cliquer sur Oui.
3. Si l'un de vos serveurs est distant. Vous souhaitez l’analyser depuis votre machine
locale (serveur local ou machine cliente locale). Comment allez-vous procéder ?
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
………………………………………………………………………………………..
Exercice 2 : Configurer et gérer un journal de compteur.
Scénario :
Vous êtes l'administrateur système d'un réseau. Votre travail consiste à analyser les serveurs.
Récemment, certains utilisateurs de votre entreprise se sont plaints de la vitesse de leur
serveur. Vous analysez alors ce serveur à l'aide du Moniteur système, mais vous ne détectez
aucune anomalie. Comment devez-vous procéder à votre avis ?
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
……………………………………………………………………
1. Sur le serveur, ouvrir une session en tant qu’administrateur.
27
2. Lancer la console Performances, cliquer sur Démarrer, Outils d'administration, puis sur
Performances ou exécuter la commande perfmon.msc.
3. Dans la console Performances, développer Journaux et alertes de performance, ouvrir
Journaux de compteur, puis créer un journal de compteur nommé « serveurx ».
4. Ajouter des compteurs, si le serveurx est distant, dans le champ Choisir les compteurs
sur, taper le nom du ce serveur.
5. Ajouter les compteurs suivants puis cliquer fermer:
• Processeur\% Temps processeur
• Mémoire\Pages/s
• Disque physique\Long. moy. de file d'attente du disque
Exercice 3 : Création et configuration d’une alerte
Scénario :
Vous êtes l'administrateur système sur un réseau. Vous déterminez que le processeur du
serveurx de ne doit jamais être utilisé à plus de 50 %. Vous souhaitez configurer une alerte
pour suivre toute utilisation intensive du processeur et pour être averti lorsque l’utilisation du
processeur dépasse 50%. Vous devez également tester l'alerte.
28
f. Dans la zone Avertir si la valeur est, cliquez sur Supérieure à, puis tapez 50 dans la
zone Limite.
29
TP N°9
Les comptes, les groupes et les autorisations d’accès
Objectifs
À la fin de ces travaux pratiques, vous serez à même capable d’effectuer les opérations suivantes :
Conditions préalables
Pour réaliser ces travaux pratiques, vous devez disposer de l’environnement schématisé par la
figure 1 et qui contient une machine serveur (Win 2008 serveur) plus une machine cliente
(Win7 par exemple).
Serveur
192.168.10.1/24
Serveur Client
192.168.10.1/24 192.168.10.2/24
Client
192.168.10.2/24
- Assurer que votre serveur joue le rôle de serveur DNS et de contrôleur du domaine.
- Assurer que votre machine cliente est adhérente au votre domaine.
30
1. Créer un compte d’utilisateur de domaine
Dans l’unité d’organisation UO_TP9, créer deux comptes d’utilisateurs (user1 et
user2). Créer tout d’abord l’unité d’organisation puis créer user1 à l’aide de l’interface
graphique puis user2 à l’aide de la ligne de commande. Utiliser le nom user1 et user2
comme nom d’ouverture de session de ces utilisateurs.
- Dans la console Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton
droit sur l’unité d’organisation UO_TP9, pointez sur Nouveau, puis cliquez sur
Utilisateur.
- Saisir les paramètres de l’utilisateur user1 (Prénom, Nom de la session et le Mot de
passe).
- À l’invite de commandes, tapez la commande suivante pour créer le compte user2 :
dsadd user "cn=user2, ou=UO_TP9, dc=votre domaine, dc=l’extension de votre
domaine" -samid une description -pwd le mot de passe de user2
31
…………………………………………………………………………………………
………………………………………………………………………………………
dsadd group "cn=votre groupe, ou= UO_TP9, dc= votre doamine, dc= l’extension de
votre domaine" -secgrp yes -scope G/L -samid "description de votre groupe"
1. Sur la machine cliente, ouvrez une session en tant que user1 et créez un dossier
RepTestl et donnez les droits de contrôle total à user1 et à l'administrateur. Donnez un
32
accès en lecture/Affichage à user3. Supprimez « tout le monde et expliquez sa
présence et la raison pour laquelle il faut le supprimer.
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
………………………………………………
2. Créer un dossier RepTest2 dans RepTestl. Faites en sorte que user1 y aie accès en
contrôle totale, user2 en lecture/Affichage et que l'administrateur n'y aie pas accès du
tout.
3. Créer un dossier RepTest3 dans RepTestl. Faites en sorte que l'administrateur et user1
y aient accès en contrôle totale et user2 en lecture/écriture/Affichage.
4. Ouvrir une session successivement en tant que user1, user2, et administrateur, vérifier
les accès de chaque utilisateur. Pour vérifier le droit d'écriture, vous pourrez créer un
simple fichier texte.
5. Ouvrir une session en tant qu'administrateur et faites en sorte que user1 n'aie plus
accès à ces dossiers qu'en lecture/Affichage et ne puisse plus modifier les ACL pour se
redonner plus de droits.
4. Etait-il possible d'utiliser l'héritage pour simplifier la gestion des ACL sur ces dossiers
?
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
……………………………………………
33
Note : Le bureau de l’utilisateur user1 est situe dans «c:\Profiles and Setting\user1 ». Ce
dossier a des ACL qui interdissent l'accès aux autres utilisateurs. Créer les dossiers demandes
sur le bureau est donc une erreur car les autres utilisateurs ne pourront y accéder via
l'arborescence de fichiers.
1. Pour quelle raison les méthodes de recherche de ressources sur le réseau utilisées
précédemment ne sont-elles pas efficace ?
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
………………………………………
34
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
………………………………….
3. Ajouter un ou deux mots –clés pour faciliter la recherche de ce dossier.
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
……………………….
35
5. Ouvrir une session sur le poste client. Dans le menu Rechercher, cliquez sur Des
imprimantes. Dans la boîte de dialogue Rechercher Imprimantes, dans l'onglet
Imprimantes, dans la zone Emplacement, tapez Salle122 et cliquez sur Rechercher
36
TP N°10
Autorisations sur les objets
Objectifs
Dans ces travaux pratiques, vous allez effectuer les tâches suivantes :
• Etudier les paramètres de sécurité par défaut appliqués aux composants Active
Directory.
• Déléguer le contrôle de l’unité d’organisation.
• Tester les autorisations déléguées de l’unité d’organisation.
Scénario
Pour répartir la charge entre les administrateurs, Votre entreprise souhaite que ces derniers
puissent effectuer des tâches spécifiques dans les unités d’organisation qui leur sont affectées.
Les tâches ci-dessous doivent être déléguées dans les unités d’organisation suivantes :
• Unité d’organisation : Computers, Tâche : Créer et supprimer des comptes
d’ordinateurs dans l’unité d’organisation.
• Unité d’organisation : Users, Tâche : Réinitialiser les mots de passe utilisateur et
forcer le changement de mot de passe à la prochaine ouverture de session.
1. Créer une unité d’organisation UO_TP10. Dans cette unité créer trois utilisateurs,
user1, user2, user3.
2. Activer l’option Fonctionnalités avancées du menu Affichage. cliquer avec le bouton
droit sur UO_TP10, puis cliquer sur Propriétés. Cliquer sur l'onglet Sécurité.
Enumérer les groupes qui disposent d'autorisations pour l'unité d'organisation
UO_TP10 et les autorisations accordées à chaque groupe. Vous devrez faire référence
à ces autorisations dans le prochain exercice3.
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………….………………………………………………………
………………………………………………………………………………………
37
…………………………………………………………………………………………
…………………………………………………………………………………………
……………………………………………………………………………………………………………
………..……………………………………………………………………………………………………
………………………………………………………………………
4. Pourquoi, pour certains groupes, toutes les cases à cocher correspondant aux
autorisations sont-elles désactivées ?
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
…………………………………………………………………………………………………………
5. Dans la boîte de dialogue Propriétés de Sécurité, dans l'onglet Sécurité, cliquez sur
l'option Avancé. Dans la zone Liste des autorisations de la boîte de dialogue
Paramètres du contrôle d'accès pour Sécurité, cliquez sur chaque entrée Opérateurs de
compte, puis sur Afficher/Modifier.
Quelles autorisations sur les objets sont accordées au groupe Opérateurs de compte ?
Quelles opérations les membres de ce groupe sont-ils à même d'effectuer dans cette
unité d'organisation ?
……………………………………………………………………………………………………………
…………………………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………
38
o Activez les cases à cocher Créer les objets sélectionnés dans ce dossier et
Supprimer les objets sélectionnés dans ce dossier, puis cliquez sur Suivant.
o Dans la page Autorisations, activez la case à cocher Générales.
o Sous Autorisations, activez les cases à cocher Lire et Écrire, puis cliquez sur
Suivant.
o Dans la page Fin de l’Assistant Délégation de contrôle, cliquez sur
Terminer.
39
Partie 3: Supprimer les autorisations héritées
1. Dans la boîte de dialogue Propriétés de l’unité d’organisation UO_TP10, dans
l’onglet Sécurité, cliquez sur Paramètres avancés.
2. Dans l’onglet Autorisations de la boîte de dialogue Paramètres de sécurité avancé,
désactivez la case à cocher Permettre aux autorisations héritées du parent de se
propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées
sont spécifiquement définies ici.
3. Dans la boîte de dialogue Sécurité, cliquez sur Supprimer.
4. Dans la boîte de dialogue Paramètres de sécurité avancé, cliquez sur OK.
5. Affichez les paramètres de sécurité de votre unité d’organisation UO_TP10 en
effectuant les actions suivantes :
o Cliquez avec le bouton droit sur votre unité d’organisation UO_TP10, puis cliquez
sur Propriétés.
o Dans la boîte de dialogue Propriétés, cliquez sur l’onglet Sécurité.
o Indiquez les noms d’utilisateur ou de groupe qui disposent d’autorisations héritées
ou explicites.
2. Ouvrir une session en tant que User3 et tentez de modifier le mot de passe pour un
utilisateur quelconque dans le conteneur Users. Y êtes-vous parvenu ? Pourquoi ?
…………………………………………………………………………………………
…………………………………………………………………………………………
40
…………………………………………………………………………………………
……………………………………………………………………………………………………………
………………………………….
……………………………………………………………………………..
5. Ouvrir une session en tant User1 et tenter de modifier l'horaire d'accès pour le compte
utilisateur User2.
6. Ouvrir une session en tant que User3 et tenter de réinitialiser le mot de passe pour un
compte quelconque dans le conteneur Utilisateurs.
41
TP N°11
Stratégies de groupes
Objectifs
À la fin de ces travaux pratiques, vous serez capable d’effectuer les taches suivantes :
- Implémenter une stratégie de groupe.
- Implémenter des objets de stratégie de groupe dans un domaine.
- Configurer les paramètres de stratégie de groupe
Pour créer un objet de stratégie de groupe pour un site, un domaine ou une unité
d’organisation, en utilisant l’outil Gestion des stratégies de groupe procédez comme suit :
7. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestion
des stratégies de groupe.
8. Dans l’arborescence de la console Gestion des stratégies de groupe, développez la
forêt contenant le domaine où vous voulez créer l’objet de stratégie de groupe, puis
développez Domaines et le domaine.
9. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur
Nouveau.
10. Dans la boîte de dialogue Nouvel objet GPO, tapez le nom du nouvel objet de
stratégie de groupe, puis cliquez sur OK.
11. Configurer la nouvelle stratégie de groupe.
12. Pour lier la stratégie de groupe regardez la partie 2 de cet exercice.
Pour créer une stratégie de groupe en utilisant l’outil ordinateur et utilisateur Active
directory procédez comme suit :
5. Cliquez avec le bouton droit sur le domaine, le site ou l’unité d’organisation, puis
cliquez sur Propriété.
6. Sélectionnez l’onglet stratégie de groupe
7. Dans la boîte de dialogue Sélectionner nouveau.
8. Dans la boîte de dialogue Nouvel objet GPO, tapez le nom du nouvel objet de
stratégie de groupe, puis cliquez sur OK.
42
Quelle est la différence entre l’outil Gestion des stratégies de groupe et l’outil ordinateur et
utilisateur Active directory quant à la création d’objet de stratégie de groupe ?
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………..
9. Ouvrit une session en tant qu'administrateur et ajouter l’utilisateur User1 dans la liste
des utilisateurs autorisés à ouvrir une session sur le contrôleur de domaine. Il est
préférable de créer un groupe LocaSession, ajouter ce groupe aux utilisateurs pouvant
ouvrir une session et ensuite mettre User1 dans ce groupe.
10. Ouvrir une session en tant qu'utilisateur User1 sur le contrôleur de domaine. Que se
passe-t-il ? Pourquoi ?
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………… ………………………………………..
11. Comment procéder pour forcer la propagation des stratégies de groupes ?
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
1. Créer une unité d'organisation nommée License. Dans cette unité, créez des
utilisateurs etud1, etud2, ..., etud5. Créer un utilisateur EtudAdmin dans le conteneur
Users (Utilisateurs) crée par défaut.
2. Supprimer le menu exécuter à tous les utilisateurs de l'unité d'organisation License.
Créer une stratégie de groupe implantant cette limitation.
3. Vérifier en ouvrant une session sur la station cliente que cette modification s'applique
bien à tous les étudiants (etud1, etud2, ..., etud5), mais pas à EtudAdmin. Expliquez
pourquoi.
43
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
………………………………………………………………………
4. On souhaite appliquer une stratégie de groupes aux utilisateurs du conteneur Users
mais pas à ceux de l'unité d'organisation License. Est-ce possible ? Comment faire
pour appliquer une stratégie de groupe à tous les utilisateurs de Users, de License, ... ?
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………
5. On souhaite que tous les utilisateurs du domaine n'appartenant pas à l'unité
d'organisation License n'aient pas d'item Exécuter dans leur menu démarrer. Comment
procéder ? Mettez le en application.
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
………………
1. Dans votre contrôleur de domaine, consulter les ACL des objets de stratégie de groupe
(License /propriété/stratégie de groupe/propriété) et indiquer à qui s'applique la
stratégie de groupe, qui a le droit de la modifier et qui a le droit d'en créer d'autres.
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………
2. Modifier ces ACL de telle sorte que l'utilisateur Etudadmin puisse modifier la stratégie
mais pas en créer d'autres. Ouvrir une session en tant qu’Etudadmin pour vérifier.
Qu’est ce vous remarquez ?
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
44
…………………………………………………………………………………………
………………………………………………….
3. Modifier ces ACL de telle sorte que l'utilisateur Etudadmin puisse créer des stratégies
de groupes et les associer à l'unité License sans avoir le droit de le faire ailleurs (pour le
domaine ou pour d'autres unités). Noter les modifications apportées.
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
………………………………………………………………..
5. Supprimer l'une des stratégies de groupe de License. On vous propose deux choix : «
supprimer la liaison » ou « supprimer la liaison et la stratégie ». Expliquer les
conséquences de chacun de ces choix.
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………
Les utilisateurs du domaine sont soit des membres du personnel ou des étudiants
Les membres du personnel sont soit des enseignants, soit des personnels administratifs
Les étudiants sont soit des étudiants de licence, soit des étudiants de Master
Les utilisateurs ont tous le même fond d'écran (X)
Les étudiants ne doivent pas pouvoir changer leur mot de passe
Les étudiants de Licence ne doivent pas avoir de menu permettant de connecter ou
déconnecter des lecteurs réseau
Les étudiants de Licence ont le même fond d'écran (Y). Les étudiants de Master ont le
même fond d'écran (Z)
Une secrétaire (sec1) peut réinitialiser les mots de passe des étudiants
45
Un enseignant (ens1) peut gérer les comptes des étudiants (et notamment en créer). Il
peut aussi appliquer des stratégies de groupe aux étudiants.
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………
46
TP N°12
Stratégie de sécurité et d'audit
Objectifs
Dans cette application pratique, vous effectuerez les tâches suivantes :
47
• Affecter la valeur 10 au paramètre Stratégies de comptes/Stratégie de mot de
passe/Longueur minimale du mot de passe.
• Affecter la valeur Accès autorisé uniquement au paramètre Stratégies
locales/Options de sécurité/Ouverture de session interactive : contenu du
message pour les utilisateurs essayant de se connecter.
• Affecter le nom « nom de votre machine » au paramètre Stratégies
locales/Options de sécurité/Ouverture de session interactive : titre du
message pour les utilisateurs essayant de se connecter.
• Affecter la valeur Désactivé au paramètre Services système/Avertissement.
• Enregistrez le modèle de sécurité personnalisé sous NewSecModel1.
48
- Utiliser l’outil Configuration et analyse de la sécurité et analyser la sécurité de votre
machine. Dans le volet d’informations, noter les paramètres système signalés par un
drapeau rouge. Le drapeau rouge indique que les paramètres du modèle de sécurité
sont différents des paramètres de l’ordinateur actuel.
5. Enregistrer le modèle.
49
Exercice 3 : Test d’un modèle personnalisé
Après avoir crée le modèle NewSecModel2 dans l’exercice 2, vous allez, dans cet exercice,
comparer un modèle de sécurité personnalisé à la stratégie de sécurité actuelle de votre
serveur.
1. Créer une base de données initiale de configuration et d’analyse avec les propriétés
suivantes :
• Nom de la base de données : BDTest de sécurité
• Modèle : Modèle de serveur.inf
2. Analyser le serveur en utilisant Test de sécurité.log comme nom du journal d’analyse.
3. Vérifier les résultats de l’analyse de la stratégie d’audit en comparant les points
suivants :
• Auditer les événements de connexion aux comptes
• Auditer la gestion des comptes
• Auditer les événements de connexion
• Auditer l’accès aux objets
• Auditer les modifications de stratégie
• Auditer l’utilisation des privilèges
• Auditer les événements système
50
• Auditer les événements de connexion aux comptes
• Auditer la gestion des comptes
• Auditer les événements de connexion
• Auditer l’accès aux objets
• Auditer les modifications de stratégie
• Auditer l’utilisation des privilèges
• Auditer les événements système
3. Activer l’audit de l’unité d’organisation UO_TP12, Activer l’audit selon les critères
suivants :
• Auditez le groupe Tout le monde.
• Auditez l’unité d’organisation UO_TP12 et tous les objets enfants.
• Auditez les propriétés d’accès suivantes des événements qui aboutissent et
qui échouent :
• Créer des objets account
• Suppression des objets account
• Créer des objets Ordinateur
• Suppression des objets Ordinateur
• Créer des objets Groupe
• Suppression des objets Groupe
51
Solutions
52
Solution TP n°1
Préparation de l’environnement, Installation et configuration du
Serveur
b. Quel est le mode que vous devez utiliser pour connecter les machines sur le même
réseau LAN
Bridge
53
2. Installation d’Active Directory et configuration du domaine :
d. Pourquoi l’installation de DNS est obligatoire pour l’Active Directory ?
DNS est utilisé pour faire reconnaître un compte (machine, utilisateur) plutôt
par son nom (comme un prénom) que son adresse IP.
54
Solution TP N°2
Compte utilisateur et ordinateur
55
Solution TP N°3
Gestion de groupes
56
Solution TP n°4
Autorisation d’accès aux ressources partagées
57
o Peut-on supprimer le fichier créé dans Rep2_Tp4?
Oui.
58
Solution TP N°5
Les objets Active Directory
59
Solution TP N°6 :
L’utilisation des stratégies de groupe
8. Sur le serveur, active la stratégie de groupe définie dans cet exercice (propriétés de
cette stratégie, cliquer sur activé). Sur la machine cliente, ouvrir une session avec le
compte de domaine Tp6usre1 sur la machine cliente. Est-ce que l’option Arrêter figure
dans le menu Démarrer?
Non, la stratégie de groupe s’applique bien sur l’utilisateur Tp6usre1
60
Solution TP N°7
Administration d’un ordinateur à distance
c. Utiliser l’une des méthodes décrites dans 2(a) pour ouvrir une session à distance
sur le serveur. Utiliser le compte de l’administrateur pour ouvrir cette session.
Que se passe-t-il pour la session locale ouverte sur serveur après l’ouverture de la
session Bureau distance pendant sur le serveur depuis la machine cliente ?
La session locale est verrouillée
61
Solution TP N°8
Analyse des performances du serveur
3. Si l'un de vos serveurs est distant. Vous souhaitez l’analyser depuis votre machine
locale (serveur local ou machine cliente locale). Comment allez-vous procéder ?
a. Utiliser l’outil d’administration Performances (perfmon.msc).
b. Ouvrir la boite de dialogue Ajouter des compteurs en cliquant sur le signe plus (+),
puis sélectionner les compteurs (regardez l’étape f de cette exercice).
c. Dans la zone « choisir le compteur sur » sélectionner le nom de votre serveur
distant.
d. Ajoutez les compteurs suivants :
• Processeur\% Temps processeur
• Mémoire\Pages/s
Pour identifier le problème, il faut analyser le serveur en planifiant des journaux de compteur
avec les compteurs suivants
• Processeur\% Temps processeur
• Mémoire\Pages/s
• Disque physique\Long. moy. de file d'attente du disque
62
Solution TP N°9
Les comptes, les groupes et les autorisations d’accès
1. Sur la machine cliente, ouvrir une session en tant que user3Disabled qu’est ce vous
remarquez ?
L’utilisateur user3Disabled n’arrive pas à ouvrir la session
63
Exercice 4 : Gestion d’accès aux ressources
Partie1 : Permissions NTFS
1. Sur la machine serveur, ouvrir une session en tant que user1 et créez un dossier
RepTestl et donner les droits de contrôle total à user1 et à l'administrateur. Donnez un
accès en lecture/Affichage à user3. Supprimer le groupe de tout le monde et expliquer
sa présence et la raison pour laquelle il faut le supprimer.
Le groupe de Tout le mode représente tous les utilisateurs actuels du réseau, y compris
les invités. Chaque fois qu’un utilisateur se connecte au réseau, l’utilisateur est ajouté
automatiquement au groupe de Tout le monde.
Supprimer le groupe de tout le monde pour éviter les accès non autorisés.
4. Etait-il possible d'utiliser l'héritage pour simplifier la gestion des ACL sur ces dossiers
?
Le système NTFS enregistre un ACL pour chaque fichier ou dossier d’un
volume NTFS.
L’ACL contient une liste des comptes utilisateurs et des groupes avec
l’autorisation d’accès pour le fichier ou le dossier.
Il est possible d'utiliser l'héritage pour simplifier la gestion des ACL sur ces dossiers.
Par défaut, les permissions définies sur un répertoire se propagent sur
l’ensemble des sous-dossiers et fichiers contenu dans ce dossier. Quelque soit
les permissions que vous définissez sur un dossier, ces permissions se retrouveront
héritées sur les sous-dossiers existants ou créer par la suite, ainsi que sur les
fichiers. Cependant, il est possible de casser l’héritage, de sorte que la
propagation des droits NTFS n’ait plus lieu.
1. Ouvrir une session en tant que user1 sur le serveur. Créer un dossier Repuser2 à la
racine de C:/. Pouvez-vous créer un partage associe à ce dossier ?
On ne peut pas partager le dossier Reptest4 parce que Repuser2 n’est pas un
administrateur
2. Tester l’accès de ces utilisateurs et motionner les méthodes d’accès à distance à une
ressource partagée.
64
• Utiliser favoris réseau
• Exécuter la commande \\ adresse ip serveur
1. Pour quelle raison les méthodes de recherche de ressources sur le réseau utilisées
précédemment ne sont-elles pas efficace ?
Pour accéder aux dossiers partagés en parcourant le réseau, les utilisateurs doivent
connaître le nom du dossier partagé ainsi que le nom de l'ordinateur à partir duquel le
dossier est partagé et le nom du domaine contenant l'ordinateur
65
Oui. Contrairement aux dossiers partagés, les imprimantes partagées sont
automatiquement publiées par défaut.
66
Solution TP N°10
Autorisations sur les objets
4. Pourquoi, pour certains groupes, toutes les cases à cocher correspondant aux
autorisations sont-elles désactivées ?
Il existe d'autres autorisations (les autorisations spéciales), mais vous ne pouvez pas les afficher
dans cette boîte de dialogue. Pour les afficher, cliquez sur Avancé.
5. Dans la boîte de dialogue Propriétés de Sécurité, dans l'onglet Sécurité, cliquez sur
l'option Avancé. Dans la zone Liste des autorisations de la boîte de dialogue
Paramètres du contrôle d'accès pour Sécurité, cliquez sur chaque entrée Opérateurs de
compte, puis sur Afficher/Modifier.
Quelles autorisations sur les objets sont accordées au groupe Opérateurs de compte ?
Quelles opérations les membres de ce groupe sont-ils à même d'effectuer dans cette
unité d'organisation ?
Les autorisations qui sont accordées au groupe Opérateurs de compte sont : Créer/Suppr des
objets Utilisateur, Créer/Suppr des objets Groupe, Créer/Suppr des objets Ordinateur. Les
membres du groupe Opérateurs de compte peuvent uniquement créer et supprimer des comptes
d'utilisateur, de groupe et d'ordinateur.
Exercice 2 : Déléguer le contrôle de l’unité d’organisation (a)
Partie 1 : Déléguer le contrôle de l’unité d’organisation Computers
3. Tester les autorisations de l’unité d’organisation Computers en effectuant les taches
Effectuer le même test avec user2 et user3. Qu’est vous avez remarqué ?
67
user2 et user3 n’ont pas l’accès à l’unité d’organisation computer. Ils peuvent
uniquement créer des comptes utilisateurs dans l’unité Users uniquement
1. Ouvrer une session en tant user1 et tenter d'afficher le contenu de l'unité d'organisation
Sécurité.
o Quels sont les objets de type Utilisateur qui apparaissent dans unité
d'organisation Sécurité ?
Les utilisateurs user1, user2, user3
2. Ouvrir une session en tant que User3 et tentez de modifier le mot de passe pour un
utilisateur quelconque dans le conteneur Users. Y êtes-vous parvenu ? Pourquoi ?
Non. Le compte d'utilisateur User3 ne possède pas les autorisations nécessaires.
5. Ouvrir une session en tant User1 et tenter de modifier l'horaire d'accès pour le compte
utilisateur User2.
68
Non. Le compte d'utilisateur User1 s'est vu accorder l'autorisation Contrôle
total pour tous les objets de l'unité d'organisation. Celle ci n'est pas valable
pour le conteneur Utilisateurs.
6. Ouvrir une session en tant que User3 et tenter de réinitialiser le mot de passe pour un
compte quelconque dans le conteneur Utilisateurs.
69
Solution TP N°11
Stratégies de groupes
5. Ouvrir une session en tant qu'utilisateur User1 sur le contrôleur de domaine. Que se
passe-t-il ? Pourquoi ?
L'ouverture de session est refusée. C'est du au fait que les stratégies de groupe mettent
un certain temps à se diffuser (#5 mn pour un contrôleur de domaine, #1h30 pour un
ordinateur membre).
3. Vérifier en ouvrant une session sur la station cliente que cette modification s'applique
bien à tous les étudiants (etud1, etud2, ..., etud5), mais pas à EtudAdmin. Expliquez
pourquoi.
Même problème de propagation des stratégies qu'à l'exercice précédent. Utilisez
secedit pour forcer la propagation.
70
On définit une stratégie de groupe au niveau du domaine qui enlève l'item Exécuter du
menu Démarrer de tous les utilisateurs du domaine. On définit une stratégie de groupe
sur License qui impose l'item exécuter dans le menu Démarrer des utilisateurs de
License.
1. Dans votre contrôleur de domaine, consulter les ACL des objets de stratégie de groupe
(License /propriété/stratégie de groupe/propriété) et indiquer à qui s'applique la
stratégie de groupe, qui a le droit de la modifier et qui a le droit d'en créer d'autres.
Consulter les propriétés de l’unité de d’organisation Licence (License
/propriété/stratégie de groupe/propriété)
2. Modifier ces ACL de telle sorte que l'utilisateur Etudadmin puisse modifier la stratégie
mais ne pas en créer d'autres. Ouvrir une session en tant qu’Etudadmin pour vérifier.
Qu’est ce vous remarquez ?
Le bouton nouveau es grisé puisque l'utilisateur EtudAdmin n'a pas le droit de créer
de nouvelles stratégies.
3. Modifier ces ACL de telle sorte que l'utilisateur Etudadmin puisse créer des stratégies
de groupes et les associer à l'unité License sans avoir le droit de le faire ailleurs (pour le
domaine ou pour d'autres unités). Noter les modifications apportées.
Il suffit de lui donner le droit ad hoc dans les ACL.
5. Supprimer l'une des stratégies de groupe de License. On vous propose deux choix : «
supprimer la liaison » ou « supprimer la liaison et la stratégie ». Expliquer les
conséquences de chacun de ces choix.
On peut supprimer le lien seul ou supprimer le lien et l'objet GPO. Si on supprime le
lien, l'objet GPO peut être lié à d'autres unités d'organisation. Si on supprime le lien et
l'objet GPO, ce dernier est complètement détruit et ne peut plus être utilisé (lié) à
d'autres unités d'organisation.
On est obligé de créer des unités d'organisation pour regrouper des comptes (utilisateurs
ou ordinateurs) auxquels on veut appliquer un traitement commun : soit des paramètres via
les stratégies de groupe, soit déléguer des tâches administratives sur ces comptes via la
délégation de contrôle.
71
Du cahier des charges, on déduit que les comptes des enseignants et des
personnes administratifs ont les mêmes particularités et contraintes. On ne les séparera donc
pas dans des unités d'organisation distinctes.
Les étudiants sont par contre répartis en deux groupes qui ont des particularités propres. Nous
allons donc adopter l'organisation suivante:
une unité d'organisation Département
dans Département, deux unités d'organisation: Personnel et Etudiants
dans Etudiants, deux unités d'organisation : Licence, Master.
Une stratégie de groupe sur Département qui impose le fond d'écran X
Une stratégie de groupe sur Etudiants qui empêche le changement de mot de passe
Une stratégie de groupe sur Master qui impose le fond Z
une stratégie de groupe sur Licence qui impose le fond d'écran Y
une stratégie de groupe sur Licence qui supprimer les items permettant
de connecter/déconnecter des lecteurs réseau. On aurait pu regrouper les deux
propriétés (fond d'écran et connecter) dans une seule stratégie mais il est considérer
comme une bonne pratique d'avoir des stratégies clairement identifiables jouant des
rôles clairs et cohérent avec des noms parlants. Cela facilite leur réutilisation.
On créera un groupe initMDPEtu et on utilisera la délégation de contrôle sur
Etudiants pour donner le droit de réinitialiser les mots de passe à initMDPEtu. On
ajoutera sec1 à initMDPEtu.
On créera un groupe gestionCompteEtu et on utilisera la délégation de contrôle sur
Etudiants pour donner le droit de gérer les comptes à gestionCompteEtu. On
ajoutera ens1 à initMDPEtu.
72
Solution TP N°12
Stratégie de sécurité et d'audit
Exercice 1 : Test et analyse de la sécurité de l’ordinateur
1. Noter la procédure de modification et de personnalisation d’un modèle de sécurité
prédéfini.
• Dans l’arborescence de l’outil console Modèles de sécurité, développez
Modèles de sécurité, puis double-cliquez sur le chemin d’accès au dossier
par défaut
• Cliquez avec le bouton droit sur le modèle prédéfini à modifier, puis cliquez
sur Enregistrer sous et enregistrer le modèle sous un nouveau nom.
• Double-cliquer sur le nouveau modèle de sécurité pour afficher les stratégies
de sécurité.
• Dans le volet d’informations, cliquez avec le bouton droit sur l’attribut de
sécurité, puis cliquez sur Propriétés.
• Activer la case à cocher Définir ce paramètre de stratégie dans le modèle,
effectuer les modifications appropriées, puis cliquez sur OK.
• Cliquer avec le bouton droit sur le nouveau modèle de sécurité, puis cliquez
sur Enregistrer.
3. Maintenant que vous avez configuré le modèle et les paramètres de stratégie
appropriés, vous devez analyser la sécurité pour créer une base pour les prochaines
analyses et vérifier la configuration actuelle.
- Noter la procédure d’imploration un modèle de sécurité sur une machine.
• Ouvrir Configuration et analyse de la sécurité.
• Cliquer avec le bouton droit sur Configuration et analyse de la sécurité, puis
cliquez sur Importer un modèle.
• Pour supprimer tous les modèles existants dans la base de données, activez la
case à cocher Effacer cette base de données avant d’importer.
• Sélectionner le fichier de modèle, puis sur Ouvrir.
• Répéter cette procédure pour chaque modèle à fusionner dans la base de
données.
- Noter la procédure d’analyse de la sécurité.
• Utiliser l’outil Configuration et analyse de la sécurité, puis cliquer sur
Ouvrir une base de données.
• Sélectionner un fichier de base de données existant ou entrez un nom unique
pour créer une nouvelle base de données, puis cliquez sur Ouvrir. Les bases de
données existantes contiennent déjà des paramètres importés. Si vous créez une
base de données, la boîte de dialogue Modèle d’importation s’affiche.
Sélectionner une base de données, puis cliquez sur Ouvrir.
• Cliquer avec le bouton droit sur Configuration et analyse de la sécurité, puis
cliquer sur Analyser l’ordinateur maintenant.
• Dans la boîte de dialogue Effectuer l’analyse, choisissez l’emplacement du
fichier journal de l’analyse, puis cliquez sur OK.
• Développer Configuration et analyse de la sécurité.
73
• Parcourir les paramètres de sécurité dans l’arborescence de la console et
comparer les colonnes Paramètre de base de données et Paramètre de
l’ordinateur dans le volet d’informations.
74
Références
1. SUPINFO, « Administration système et réseau » Éditeur : DUNOD, 2008.
2. Susan Snedaker, “The Best Damn Windows Server 2003 Book Period”
ScienceDirect , ISBN: 978-1-931836-12-8.
3. William R. stanek « Guide de l’administrateur de Microsoft Windows Server 2008 »
Édition : Dunod, 2008.
75