L’objectif principal d’Active Directory est de fournir des services centralisés d’identification et d’authentification à un réseau d’ordinateurs utilisant le système Windows.
Compte_rendu_TP_ADIl permet également l’attribution et l’application de stratégies, la
distribution de logiciels, et l’installation de mises à jour critiques par les administrateurs.
Active Directory répertorie les éléments d’un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc.
Depuis quelle version de Windows Server, AD existe-t-il ? 2000
Quel est le protocole utilisé par l’annuaire Active Directory ?
Le protocole LDAP (port 389) (Lightweight Directory Access Protocol) est un protocole qui permet de gérer des annuaires, notamment grâce à des requêtes d’interrogations et de modification de la base d’informations.
Citer d’autres serveurs utilisant ce protocole :
Apache directory server, IBM Lotus Domino, openLDAP
Active Directory introduit les notions de domaine, forêt, arborescence. Définir ces termes :
Domaine : Centenaire qui réunit un ensemble d’Unités d’Organisation, elles-même
remplies d’objets de différentes classes.
Au sein du domaine se trouve tout un ensemble d’Unités d’Organisation remplies d’objets
de différentes classes : utilisateurs, ordinateurs, groupes, contrôleurs de domaine, etc.
Arborescence : regroupement hiérarchique de plusieurs domaines.
Forêt : structure hiérarchique d’un ou plusieurs domaine indépendant (ensemble de tous les sous domaines)
Qu’est ce qu’un contrôleur de domaine ?
Un serveur informatique hébergeant l’annuaire Active Directory.
II- Gestion des utilisateurs et ordinateurs
Unités organisationnelles
Qu’est ce qu’une unité organisationnelle (U.O.) ?
Les unités d’organisation sont des conteneurs Active Directory dans lesquels vous pouvez placer des utilisateurs, des groupes, des ordinateurs et d’autres unités d’organisation et nous permet d’organiser.
C’est comme un dossier pour organiser.
Quelle est la différence entre une U.O et un groupe (dans quels cas utilise-t-on l’un et l’autre) ?
un groupe permet de faciliter l’administration et la gestion des droits pour un ensemble
d’objets.
C’est pour regrouper des choses de même type.
Créer les trois U.O suivantes :
Comptabilité Secrétariat Informatique
Groupes
Pour comprendre le principe des groupes sous Windows 2008, vous pouvez lire cet article :
Active Directory est un annuaire référençant notamment les utilisateurs et les groupes d’une entreprise. Tous les utilisateurs et groupes existant sous Windows avant l’installation d’AD ont été copiés dans AD.
Dans l’U.O. Comptabilité, créez le groupe Assistants et le groupe Chefs comptables.
Dans l’U.O. Secrétariat, créez le groupe Accueil et le groupe Assistantes de direction. Dans l’U.O. Informatique, créez le groupe Développeurs et le groupe Techniciens réseau.
Utilisateurs
Chaque utilisateur devra pouvoir se connecter par le login suivant :
Première lettre du prénom, nom complet, par exemple Sam Secret devra taper : SSecret
Le mot de passe sera identique au login.
Les utilisateurs ne pourront pas changer de mot de passe.
Sam Secret et Will Tariat seront ajoutés à l’U.O Secrétariat et dans le groupe Accueil. Julie Assist et Rose Directi seront ajoutés à l’U.O Secrétariat et dans le groupe Assistantes de direction. Jean Develo et Joseph Peur seront ajoutés à l’U.O Informatique et dans le groupe Développeurs. Lucien Tec et Arthur Nicien seront ajoutés à l’U.O Informatique et dans le groupe Techniciens réseau. Yves Comp et François Table seront ajoutés à l’U.O Comptabilité et dans le groupe chefs comptables. Mathieu Assis et Julien Tant seront ajoutés à l’U.O Comptabilité et dans le groupe assistants.
Intégration d’un client dans le domaine :
Indiquer un nom d’utilisateur de l’UO Secrétariat pour se connecter.
Profils utilisateur :
Faire en sorte que les utilisateurs du groupe accueil ne puissent se connecter que de 8h à 18h. Imposer à l’utilisateur de se connecter uniquement sur l’ordinateur client que vous venez d’intégrer.
Horaire d’accès pour la question 1 , « Se connecter à… » pour la question 2
Faire en sorte que l’utilisateur Sam Secret ait un lecteur réseau personnel nommé P: qui pointe vers le partage \\Serv2008\Sam.
Les profils itinérants améliorent la mobilité des utilisateurs et permettent la centralisation des données de profils utilisateurs. Bien sûr, il requiert la mise en place d’un annuaire Active Directory puisque c’est dans cet annuaire que s’effectue la configuration.
Quels sont les avantages et inconvénients des profils itinérants ?
Grâce aux profils itinérants, on peut retrouver les données (hébergés sur un serveur) du profil à chaque nouvelle connexion quel que soit la machine.
Inconvénients :
Lorsque un changement est fait au niveau du profil (comme le mdp) il faut être connecté au serveur.
Mettre en place un profil itinérant pour l’utilisateur Sam Secret.
https://www.it-connect.fr/active-directory-creer-des-profils-itinerants-pour-ses-utilisateurs/ IV – Stratégies de groupes
Donner une définition des stratégies de groupes Windows (GPO : Group Policy Object) :
Les stratégies de groupe sont des fonctions de gestion centralisée de la famille Microsoft
Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory.
Les stratégies de groupe sont gérées à travers des objets de stratégie de groupe communément appelés GPO (Group Policy Objects).
Rappel : les trois phases de la création d’une GPO sont les suivantes :
Création de la GPO Liaison de la GPO Application de la GPO
4.1 – GPO simples
Pour vérifier les applications des stratégies de groupe :
gpresult /R
Mettre en place les stratégies de groupe suivantes :
Tout le domaine :
Désactiver la combinaison de touches Ctrl+Alt+Suppr lors de l’ouverture de session.
Empêcher les utilisateurs d’éteindre leur ordinateur. Supprimer l’icône Favoris réseau du bureau. Supprimer la commande Exécuter du menu Démarrer.
Service Secrétariat :
Empêcher les utilisateurs de modifier le fond d’écran.
Empêcher l’utilisateur d’utiliser Ajout/Suppression de programmes. Empêcher les utilisateurs d’utiliser Poste de travail.
Service Comptabilité sauf les chefs comptables :
Masquer le lecteur C: Masquer la commande Propriétés du menu contextuel du Poste de travail.
Service Informatique :
Permettre aux utilisateurs d’arrêter leur machine.
Vérification et sauvegarde
Appliquer ces GPO (clic droit sur son nom > Appliqué). Forcer la mise à jour des GPO.
Vérifier que les stratégies s’appliquent bien aux utilisateurs des différentes unités d’organisation.
Si les GPO ont bien fonctionné, dans la partie Objets de stratégies de groupes, sauvegarder toutes les GPO sur le Bureau.
FIN DU TP TRONC COMMUN.
4.2 – GPO complexes
Créer une nouvelle U.O nommée production avec deux utilisateurs à l’intérieur.
Cette U.O concerne des ordinateurs installés dans un contexte de production (commandant des automates ou aidant les techniciens).
Ils doivent être restreints au maximum : Locke
Les utilisateurs de cette unité d’organisation ne doivent pas pouvoir faire autre chose que d’utiliser le logiciel spécifique (considérons que ce logiciel est paint.exe par exemple).
4.3 – Scripts de démarrage
Créer un script Batch pour les comptables permettant :
de mettre à l’heure les ordinateurs clients. La commande permettant de gérer l’heure sur Windows est : ……………………………………………..
de monter un lecteur z: qui permette d’accéder au partage \\Serv2008\compta qui soit
accessible en lecture et écriture. La commande permettant d’utiliser un partage réseaux est : ………………………………………………..
Intégrer ce script dans une GPO qui s’appliquera à l’unité d’organisation Comptabilité. Appliquer la GPO et vérifier son fonctionnement.
4.4 – Déploiement de logiciels
Qu’est ce que le déploiement attribué, qu’est ce que le déploiement publié ?
Le déploiement s’applique-t-il plutôt à l’utilisateur ou à l’ordinateur ? Pourquoi ?
Création de fichiers MSI pour le déploiement :
Le fichier .msi est un ensemble de clés de registre et de fichiers à installer, définis par la différence entre l’image avant et l’image après installation. Historiquement, Windows Server utilisait un logiciel inclus dans le CD de Windows nommé Veritas pour convertir les logiciels de .exe en .msi.
Aujourd’hui, on peut utiliser le logiciel libre AppDeploy Repackager.
Ces logiciels font une liste des clés de registres et des fichiers présents sur Windows avant l’installation puis après.
Télécharger le logiciel Thunderbird.
A l’aide du logiciel App Deploy Repackager, transformer le fichier exe en msi (à faire sur un client 7). Grâce à une GPO, déployer ce logiciel sur tous les postes du domaine.
V – Architectures Active Directory
Contrôleurs principal et secondaire
Ce travail est à effectuer par groupes de 2 machines.
Contrôleur principal Contrôleur Secondaire
Le premier serveur sera le contrôleur principal du domaine btssio.lan. Le second sera le
contrôleur secondaire du même domaine.
Configurer ces deux contrôleurs.
Vérifier que les informations du serveur principal sont bien recopiées sur le secondaire (comptes utilisateurs, groupes, ordinateurs, U.O…). Visualiser avec Wireshark.
Quel est l’intervalle de temps entre deux synchronisations des données ?
……………………………………
Connecter les clients au domaine. Stopper le serveur principal pour simuler une panne, puis redémarrer le client Windows pour vérifier s’il arrive toujours à se connecter malgré la panne.
Domaine et sous-domaines
Ce travail est à effectuer par groupes de 2 machines.
paris.btssio.lan
lyon.btssio.lan
bordeaux.btssio.lan Domaine btssio.lan
L’un des serveurs doit représenter le siège social de l’entreprise. Les autres serveurs représentent des agences de l’entreprise situées dans des grandes villes de province.
Chaque site de l’entreprise doit créer :
Une U.O. »Service Finance »
Dans cette U.O. un groupe « cadres » Dans cette U.O. et appartenant au groupe cadres, trois utilisateurs.
Lors de séminaires, il arrive que les nouveaux utilisateurs aient à utiliser des ordinateurs d’une ville autre que leur ville d’attache.
Faire en sorte que les employés puissent se connecter depuis n’importe quel site.
